FCC ने बिना अनुमति location data साझा करने पर अमेरिका की बड़ी telecom कंपनियों पर 20 करोड़ डॉलर का जुर्माना लगाया
(docs.fcc.gov)- ग्राहकों की real-time location information तक पहुंच को बिना सहमति बाहरी पक्षों के साथ साझा किए जाने के मामले में FCC ने AT&T, Sprint, T-Mobile, Verizon पर कुल मिलाकर लगभग 20 करोड़ डॉलर के जुर्माने को अंतिम रूप दिया
- telecom कंपनियों ने location information access को aggregators को बेचा, और aggregators ने इसे आगे third-party location-based service providers को फिर से बेचा
- ग्राहक सहमति सुनिश्चित करने की जिम्मेदारी downstream recipients पर डालने वाली संरचना थी, लेकिन कई मामलों में वैध सहमति नहीं ली गई थी और सुरक्षा उपाय भी पर्याप्त नहीं थे
- जुर्माने की राशि Sprint पर 1.2 करोड़ डॉलर से अधिक, T-Mobile पर 8 करोड़ डॉलर से अधिक, AT&T पर 5.7 करोड़ dollar से अधिक, और Verizon पर लगभग 4.7 करोड़ dollar है; Sprint और T-Mobile जांच शुरू होने के बाद विलय कर चुके हैं
- Communications Act Section 222 location information सहित ग्राहक जानकारी की सुरक्षा और स्पष्ट सहमति की मांग करता है, और यही दायित्व third-party sharing पर भी लागू होता है
location data बिक्री की संरचना और जुर्माने का आकार
- FCC ने 29 अप्रैल 2024 को कहा कि अमेरिका की बड़ी wireless telecom कंपनियों ने ग्राहकों की location information तक पहुंच अवैध रूप से साझा की, और उन पर जुर्माना लगाया
- Sprint: 1.2 करोड़ डॉलर से अधिक
- T-Mobile: 8 करोड़ डॉलर से अधिक
- AT&T: 5.7 करोड़ डॉलर से अधिक
- Verizon: लगभग 4.7 करोड़ डॉलर
- हर telecom कंपनी ने ग्राहक location information access को aggregators को बेचा, और aggregators ने इसे third-party location-based service providers को फिर से बेचा
- telecom कंपनियों ने ग्राहक सहमति लेने की जिम्मेदारी downstream recipients पर डालने की कोशिश की, लेकिन कई मामलों में ग्राहकों की वैध सहमति ली ही नहीं गई थी
- प्रभावी सुरक्षा उपाय मौजूद नहीं होने की जानकारी मिलने के बाद भी, इन चारों कंपनियों ने बिना अनुमति access रोकने के लिए उचित कदम उठाए बिना location information access बिक्री कार्यक्रम जारी रखा
- FCC Chairwoman Jessica Rosenworcel ने जोर दिया कि यह डेटा sensitive information है, जो ग्राहकों की आवाजाही के पैटर्न और पहचान को उजागर कर सकता है
जांच की शुरुआत और कानूनी आधार
- जांच 2018 में Senator Ron Wyden के सार्वजनिक पत्र और संबंधित उपयोग मामलों पर आई सार्वजनिक रिपोर्टों के बाद शुरू हुई
- सार्वजनिक रिपोर्टों के अनुसार, correctional facility communications service provider Securus द्वारा चलाए गए location lookup service के जरिए Missouri के एक sheriff ने कई व्यक्तियों की location track कर ली थी
- FCC का निष्कर्ष है कि चारों telecom कंपनियों ने unauthorized access का पता चलने के बाद भी यह सुनिश्चित करने के लिए उचित सुरक्षा उपाय नहीं बनाए कि location-based service providers वास्तव में ग्राहक सहमति ले रहे हैं या नहीं
- Communications Act Section 222 सहित संबंधित कानून telecom कंपनियों पर ये दायित्व डालते हैं
- location information सहित कुछ ग्राहक जानकारी की सुरक्षा के लिए उचित कदम उठाना
- ग्राहक जानकारी की गोपनीयता बनाए रखना
- जानकारी के उपयोग, खुलासे या access की अनुमति देने से पहले स्पष्ट और सक्रिय ग्राहक सहमति लेना
- third parties के साथ ग्राहक जानकारी साझा करते समय भी वही दायित्व लागू करना
आदेश की पुष्टि और आगे की कार्रवाई
- ये Forfeiture Orders, फरवरी 2020 में जारी किए गए Notices of Apparent Liability की पुष्टि करते हैं
- AT&T और Sprint पर जुर्माने NAL चरण के समान हैं
- T-Mobile और Verizon पर जुर्माने NAL के जवाब में जमा सामग्री की अतिरिक्त समीक्षा के बाद कम किए गए
- कानून NAL जारी होने के बाद कुछ उल्लंघनों पर forfeiture amount बढ़ाने की अनुमति नहीं देता
- संबंधित आदेश:
- FCC Chairwoman ने 2023 में Privacy and Data Protection Task Force बनाई थी, जो agency के भीतर privacy और data protection से जुड़ी rulemaking, enforcement और public awareness आवश्यकताओं का समन्वय करती है
- FCC ने कहा कि यह घोषणा आयोग की कार्रवाई की अनौपचारिक घोषणा है, जबकि आयोग के आदेश का पूर्ण पाठ जारी होना ही आधिकारिक कार्रवाई माना जाएगा
1 टिप्पणियां
Hacker News की राय
असली मुद्दा पारदर्शिता है। 'Privacy Policy' नहीं, बल्कि मैं यह देखना चाहता हूं कि कंपनी ने मेरी जानकारी किसे बेची या किसे दी, और उस बिक्री पर कौन-सी सीमाएं लगी थीं
विचार सरल है। अगर मेरी जानकारी इकट्ठा की गई और किसी दूसरे पक्ष को उस तक पहुंचने दिया गया, तो मुझे यह बात बताई जानी चाहिए और इसे आसानी से जांचने और ब्लॉक करने की सुविधा होनी चाहिए। लोगों को अगर सिर्फ यह पता चल जाए कि असल में क्या हो रहा है, तो privacy के दुरुपयोग का ज्यादातर हिस्सा खत्म हो जाएगा
निजी जानकारी की खरीद-फरोख्त को पूरी तरह खत्म करना बेहतर होगा, लेकिन पहले कदम के तौर पर “किस-किस पक्ष ने यूज़र का डेटा छुआ, इसे सटीक तरह से ट्रैक न करने वाली कंपनियों पर भारी जुर्माना” लगाया जा सकता है
200 मिलियन डॉलर तो मामूली रकम है। ये टेलीकॉम कंपनियां लंबे समय से यह करती आई हैं, और कुछ भी नहीं बदलेगा
ज्यादा से ज्यादा Privacy Policy में एक फुटनोट जुड़ जाएगा
Securus मूल रूप से अमेरिका में कैदियों से जुड़े काम पर केंद्रित कंपनी थी, लेकिन उसने सभी का डेटा इकट्ठा करने के बाद अपनी क्षमता और रिश्तों को सेवा के रूप में दोबारा पैकेज कर दिया। FCC के फैसले के बाद और मुकदमों से बचने की एक भोंडी कोशिश में लगता है कि अब यह खत्म हो चुका है
https://securustechnologies.tech/investigative/investigation...
ट्रैकिंग की सटीकता पर अभी तकनीकी विवरण नहीं हैं। कैरियर modem कहां खत्म होता है और firmware/hardware कहां शुरू होते हैं, यह धुंधला है, और शायद जानबूझकर ऐसा है। real-time GPS coordinates query कर पाना कम संभावना वाला है, और बहुत अधिक संभावना है कि base stations से ASN query करके यूज़र की लोकेशन का मोटा दायरा दिया गया हो
FCC ने 200 मिलियन डॉलर का जुर्माना ले लिया, लेकिन जेल नहीं हुई, और उस 200 मिलियन डॉलर में से जिन लोगों की privacy का उल्लंघन हुआ उन्हें मिलने वाली रकम 0 डॉलर है। आखिरकार, एक सामान्य सोमवार, हमेशा की तरह
शेयरहोल्डर्स को यह स्थिति पसंद नहीं आती कि “इस काम के लिए जुर्माना लगा था, फिर भी जारी रखा, और अब फिर जुर्माना देना पड़ रहा है।” साथ ही, अगर कंपनी पर पहले भी इसी काम के लिए सच में जुर्माना लगा हो, तो प्रशासन, अदालतें और जूरी भी “हमें पता नहीं था” वाली बचाव दलील को ज्यादा संदेह से देखेंगी
पहले मैं एक hedge fund में काम करता था, जहां हर महीने 125 मिलियन अमेरिकियों के cellphone ping data खरीदे जाते थे
तरह-तरह के deep learning algorithms shopping, warehouses और बाकी foot traffic का विश्लेषण करते थे। निजी निवेशक किस स्तर तक समझते हैं, इसका लोगों को बिल्कुल अंदाजा नहीं है। यह सार्वजनिक आंकड़ों में दिखने से कहीं ज्यादा गहरा है, और धरती के सबसे स्मार्ट लोग अमेरिकियों की रोजमर्रा की आदतों से भारी-भरकम तथ्य निकालते हैं। मानवता को ज्ञात लगभग हर statistical algorithm इस डेटा पर लागू किया गया था
उदाहरण के लिए मान लें कि मैं सब कुछ cash में खरीदता हूं, prepaid SIM और ऐसा फोन इस्तेमाल करता हूं जिसके purchase history में मेरा नाम नहीं है, और जो चीज मैंने खुद source से compile नहीं की उसे run नहीं करता। अगर फोन पर NixOS इस्तेमाल करने जैसा कुछ करूं, तो क्या मेरा डेटा इतना बेकार होगा कि ऐसे datasets में शामिल ही न हो? या वे पहले से इतने सारे data points जोड़ने के आदी हो चुके हैं कि सिर्फ cash इस्तेमाल करने का तरीका भी अब खास मायने नहीं रखता?
T-Mobile, AT&T, Verizon के कुल दैनिक revenue के आधार पर 196 मिलियन डॉलर कमाने में करीब 9 घंटे लगते हैं
अगर तीनों कंपनियों का संयुक्त दैनिक revenue T-Mobile 45.5 मिलियन डॉलर, AT&T 125.6 मिलियन डॉलर, Verizon 349.3 मिलियन डॉलर माना जाए, तो कुल 520.4 मिलियन डॉलर होता है। इसे 24 घंटे से भाग दें तो प्रति घंटा 21.6 मिलियन डॉलर होता है, और 196 मिलियन डॉलर के जुर्माने को इससे भाग दें तो करीब 9.07 घंटे आते हैं
वास्तविक प्रभाव के ज्यादा करीब माने जाने वाले profit के आधार पर देखना ज्यादा दिलचस्प तरीका होगा
सिर्फ “ग्राहक की लोकेशन जानकारी तक पहुँच की अनुमति बिना सहमति के शेयर की गई” वाले हिस्से से ऐसा नहीं लगता कि टेलीकॉम कंपनियों को उस EULA या privacy policy में “लोकेशन डेटा शेयरिंग” जोड़ने से रोका जा सकेगा जिसे कोई पढ़ता नहीं, और फिर यह दावा करते हुए जारी रहने से कि अब उन्होंने सहमति ले ली है
अगर अलग से opt-out विकल्प देने की मांग नहीं की जाती, तो लंबे समय में यह ऐसा अस्थायी speed bump लगता है जो कुछ भी नहीं बदलेगा
Commission ने माना कि ग्राहक CPNI की सुरक्षा के लिए सिर्फ prior consent requirement पर्याप्त नहीं है। खासकर इसलिए कि “pretexting” जैसी तरकीबें—जहाँ कोई किसी खास ग्राहक या अधिकृत व्यक्ति होने का दिखावा करके ग्राहक जानकारी अवैध रूप से हासिल करता है—prior consent requirement को bypass कर सकती हैं
“fraud prevention और/या अन्य उद्देश्यों” जैसी wording लगाई जा सकती है, या नहीं भी। Insurance कंपनियों के साथ भी यही बात है। मैंने ऐसे clauses देखे हैं, और मुझे पूरा भरोसा है कि वे mobile carrier से data खींचते हैं
क्या अमेरिकी law enforcement बिना warrant के रास्ता निकालने के लिए ऐसा commercial data खरीदती नहीं है?
क्या AT&T पर कभी इस बात के लिए fine लगाया गया कि उसने NSA को decrypted network data के पूरे हिस्से की wiretap करने की अनुमति दी? वह तो कहीं ज्यादा गंभीर लगता है
https://techcrunch.com/2018/06/25/nsa-att-intercept-surveill...
संबंधित लेख:
Cape ने personal data का इस्तेमाल न करने वाली mobile service के लिए A16Z आदि से 61 million डॉलर जुटाए
https://news.ycombinator.com/item?id=40080673
https://techcrunch.com/2024/04/18/cape-dials-up-61m-from-a16...
https://www.cape.co/
ये civil penalties हैं। मैं जानना चाहता हूँ कि FCC किन limits के भीतर काम करता है—या अगर कोई limit नहीं है, तो किस दायरे में
क्या वह बड़ा fine लगा सकता था? और यह भी कि क्या इसका असर इस पर पड़ता है कि DOJ criminal prosecution आगे बढ़ाएगा या नहीं