1 पॉइंट द्वारा GN⁺ 2024-04-30 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • ग्राहकों की real-time location information तक पहुंच को बिना सहमति बाहरी पक्षों के साथ साझा किए जाने के मामले में FCC ने AT&T, Sprint, T-Mobile, Verizon पर कुल मिलाकर लगभग 20 करोड़ डॉलर के जुर्माने को अंतिम रूप दिया
  • telecom कंपनियों ने location information access को aggregators को बेचा, और aggregators ने इसे आगे third-party location-based service providers को फिर से बेचा
  • ग्राहक सहमति सुनिश्चित करने की जिम्मेदारी downstream recipients पर डालने वाली संरचना थी, लेकिन कई मामलों में वैध सहमति नहीं ली गई थी और सुरक्षा उपाय भी पर्याप्त नहीं थे
  • जुर्माने की राशि Sprint पर 1.2 करोड़ डॉलर से अधिक, T-Mobile पर 8 करोड़ डॉलर से अधिक, AT&T पर 5.7 करोड़ dollar से अधिक, और Verizon पर लगभग 4.7 करोड़ dollar है; Sprint और T-Mobile जांच शुरू होने के बाद विलय कर चुके हैं
  • Communications Act Section 222 location information सहित ग्राहक जानकारी की सुरक्षा और स्पष्ट सहमति की मांग करता है, और यही दायित्व third-party sharing पर भी लागू होता है

location data बिक्री की संरचना और जुर्माने का आकार

  • FCC ने 29 अप्रैल 2024 को कहा कि अमेरिका की बड़ी wireless telecom कंपनियों ने ग्राहकों की location information तक पहुंच अवैध रूप से साझा की, और उन पर जुर्माना लगाया
    • Sprint: 1.2 करोड़ डॉलर से अधिक
    • T-Mobile: 8 करोड़ डॉलर से अधिक
    • AT&T: 5.7 करोड़ डॉलर से अधिक
    • Verizon: लगभग 4.7 करोड़ डॉलर
  • हर telecom कंपनी ने ग्राहक location information access को aggregators को बेचा, और aggregators ने इसे third-party location-based service providers को फिर से बेचा
  • telecom कंपनियों ने ग्राहक सहमति लेने की जिम्मेदारी downstream recipients पर डालने की कोशिश की, लेकिन कई मामलों में ग्राहकों की वैध सहमति ली ही नहीं गई थी
  • प्रभावी सुरक्षा उपाय मौजूद नहीं होने की जानकारी मिलने के बाद भी, इन चारों कंपनियों ने बिना अनुमति access रोकने के लिए उचित कदम उठाए बिना location information access बिक्री कार्यक्रम जारी रखा
  • FCC Chairwoman Jessica Rosenworcel ने जोर दिया कि यह डेटा sensitive information है, जो ग्राहकों की आवाजाही के पैटर्न और पहचान को उजागर कर सकता है

जांच की शुरुआत और कानूनी आधार

  • जांच 2018 में Senator Ron Wyden के सार्वजनिक पत्र और संबंधित उपयोग मामलों पर आई सार्वजनिक रिपोर्टों के बाद शुरू हुई
  • सार्वजनिक रिपोर्टों के अनुसार, correctional facility communications service provider Securus द्वारा चलाए गए location lookup service के जरिए Missouri के एक sheriff ने कई व्यक्तियों की location track कर ली थी
  • FCC का निष्कर्ष है कि चारों telecom कंपनियों ने unauthorized access का पता चलने के बाद भी यह सुनिश्चित करने के लिए उचित सुरक्षा उपाय नहीं बनाए कि location-based service providers वास्तव में ग्राहक सहमति ले रहे हैं या नहीं
  • Communications Act Section 222 सहित संबंधित कानून telecom कंपनियों पर ये दायित्व डालते हैं
    • location information सहित कुछ ग्राहक जानकारी की सुरक्षा के लिए उचित कदम उठाना
    • ग्राहक जानकारी की गोपनीयता बनाए रखना
    • जानकारी के उपयोग, खुलासे या access की अनुमति देने से पहले स्पष्ट और सक्रिय ग्राहक सहमति लेना
    • third parties के साथ ग्राहक जानकारी साझा करते समय भी वही दायित्व लागू करना

आदेश की पुष्टि और आगे की कार्रवाई

  • ये Forfeiture Orders, फरवरी 2020 में जारी किए गए Notices of Apparent Liability की पुष्टि करते हैं
    • AT&T और Sprint पर जुर्माने NAL चरण के समान हैं
    • T-Mobile और Verizon पर जुर्माने NAL के जवाब में जमा सामग्री की अतिरिक्त समीक्षा के बाद कम किए गए
    • कानून NAL जारी होने के बाद कुछ उल्लंघनों पर forfeiture amount बढ़ाने की अनुमति नहीं देता
  • संबंधित आदेश:
  • FCC Chairwoman ने 2023 में Privacy and Data Protection Task Force बनाई थी, जो agency के भीतर privacy और data protection से जुड़ी rulemaking, enforcement और public awareness आवश्यकताओं का समन्वय करती है
  • FCC ने कहा कि यह घोषणा आयोग की कार्रवाई की अनौपचारिक घोषणा है, जबकि आयोग के आदेश का पूर्ण पाठ जारी होना ही आधिकारिक कार्रवाई माना जाएगा

1 टिप्पणियां

 
GN⁺ 2024-04-30
Hacker News की राय
  • असली मुद्दा पारदर्शिता है। 'Privacy Policy' नहीं, बल्कि मैं यह देखना चाहता हूं कि कंपनी ने मेरी जानकारी किसे बेची या किसे दी, और उस बिक्री पर कौन-सी सीमाएं लगी थीं
    विचार सरल है। अगर मेरी जानकारी इकट्ठा की गई और किसी दूसरे पक्ष को उस तक पहुंचने दिया गया, तो मुझे यह बात बताई जानी चाहिए और इसे आसानी से जांचने और ब्लॉक करने की सुविधा होनी चाहिए। लोगों को अगर सिर्फ यह पता चल जाए कि असल में क्या हो रहा है, तो privacy के दुरुपयोग का ज्यादातर हिस्सा खत्म हो जाएगा

    • सब कुछ पहले से सहमति पर आधारित होना चाहिए। जिम्मेदारी कंपनी की तरफ होनी चाहिए, और बात कुछ ऐसी होनी चाहिए: “हम आपका डेटा शेयर करना चाहते हैं, और अगर आप सहमत हों तो ये फायदे मिलेंगे”
    • इसमें Facebook जैसी कंपनियां भी शामिल होनी चाहिए, जो डेटा का विश्लेषण करके मेरे बारे में और गहरे अनुमान बनाती हैं। मुझे अपने डेटा से मेरे बारे में निकाले गए हर निष्कर्ष को देखने का अधिकार होना चाहिए, ताकि गलत धारणाओं को ठीक कर सकूं या अपने बारे में और सीख सकूं
    • “मैं देखना चाहता हूं कि कंपनी ने मेरी जानकारी किसे बेची या किसे दी, और उस बिक्री पर कौन-सी सीमाएं लगी थीं” वाली मांग को आगे बढ़ाएं, तो जब भी कोई कंपनी निजी जानकारी आगे दे, उसे custody chain संभालकर रखने के लिए बाध्य करने वाला कानून अपेक्षाकृत कम विवादित लग सकता है
      निजी जानकारी की खरीद-फरोख्त को पूरी तरह खत्म करना बेहतर होगा, लेकिन पहले कदम के तौर पर “किस-किस पक्ष ने यूज़र का डेटा छुआ, इसे सटीक तरह से ट्रैक न करने वाली कंपनियों पर भारी जुर्माना” लगाया जा सकता है
    • लोगों के पास वास्तव में इस्तेमाल करने लायक विकल्प भी होने चाहिए। बेशक, अगर ब्लॉक करने की सुविधा हो, तो वह भी काम कर सकती है
    • मुद्दा पारदर्शिता नहीं, बल्कि निगरानी और बेबसी है
  • 200 मिलियन डॉलर तो मामूली रकम है। ये टेलीकॉम कंपनियां लंबे समय से यह करती आई हैं, और कुछ भी नहीं बदलेगा
    ज्यादा से ज्यादा Privacy Policy में एक फुटनोट जुड़ जाएगा

    • सवाल यह है कि इसे बेचकर उन्होंने कितना कमाया। अगर 200 मिलियन डॉलर इसलिए मामूली है क्योंकि उन्होंने 200 बिलियन डॉलर कमाए, तो बात बहुत मायने नहीं रखती। अगर असली कमाई 200 मिलियन डॉलर से काफी कम थी, तो वे यह काम बंद कर देंगे
    • सटीक तौर पर, Securus नाम की एक थर्ड-पार्टी कंपनी ने मोबाइल कैरियर्स के साथ लोकेशन डेटा खरीदने के समझौते किए और एक ऐसा व्यापक प्रोडक्ट दिया जिससे लगभग हर किसी को ट्रैक किया जा सकता था
      Securus मूल रूप से अमेरिका में कैदियों से जुड़े काम पर केंद्रित कंपनी थी, लेकिन उसने सभी का डेटा इकट्ठा करने के बाद अपनी क्षमता और रिश्तों को सेवा के रूप में दोबारा पैकेज कर दिया। FCC के फैसले के बाद और मुकदमों से बचने की एक भोंडी कोशिश में लगता है कि अब यह खत्म हो चुका है
      https://securustechnologies.tech/investigative/investigation...
      ट्रैकिंग की सटीकता पर अभी तकनीकी विवरण नहीं हैं। कैरियर modem कहां खत्म होता है और firmware/hardware कहां शुरू होते हैं, यह धुंधला है, और शायद जानबूझकर ऐसा है। real-time GPS coordinates query कर पाना कम संभावना वाला है, और बहुत अधिक संभावना है कि base stations से ASN query करके यूज़र की लोकेशन का मोटा दायरा दिया गया हो
    • संयोग से, मुझे ईमेल मिला कि Verizon पर प्रति लाइन 5 डॉलर बढ़ रहे हैं, और Internet ATT पर महंगा हो रहा है
      FCC ने 200 मिलियन डॉलर का जुर्माना ले लिया, लेकिन जेल नहीं हुई, और उस 200 मिलियन डॉलर में से जिन लोगों की privacy का उल्लंघन हुआ उन्हें मिलने वाली रकम 0 डॉलर है। आखिरकार, एक सामान्य सोमवार, हमेशा की तरह
    • असली बात रकम नहीं, बल्कि जुर्माना लगने का तथ्य है
      शेयरहोल्डर्स को यह स्थिति पसंद नहीं आती कि “इस काम के लिए जुर्माना लगा था, फिर भी जारी रखा, और अब फिर जुर्माना देना पड़ रहा है।” साथ ही, अगर कंपनी पर पहले भी इसी काम के लिए सच में जुर्माना लगा हो, तो प्रशासन, अदालतें और जूरी भी “हमें पता नहीं था” वाली बचाव दलील को ज्यादा संदेह से देखेंगी
  • पहले मैं एक hedge fund में काम करता था, जहां हर महीने 125 मिलियन अमेरिकियों के cellphone ping data खरीदे जाते थे
    तरह-तरह के deep learning algorithms shopping, warehouses और बाकी foot traffic का विश्लेषण करते थे। निजी निवेशक किस स्तर तक समझते हैं, इसका लोगों को बिल्कुल अंदाजा नहीं है। यह सार्वजनिक आंकड़ों में दिखने से कहीं ज्यादा गहरा है, और धरती के सबसे स्मार्ट लोग अमेरिकियों की रोजमर्रा की आदतों से भारी-भरकम तथ्य निकालते हैं। मानवता को ज्ञात लगभग हर statistical algorithm इस डेटा पर लागू किया गया था

    • यह “बाजार”, यानी आम लोग कैसे खर्च करते हैं, इसका विश्लेषण करने के लिए था?
    • अलग-अलग datasets को जोड़ने और de-anonymization का स्तर कहां तक पहुंच गया है, यह जानने की उत्सुकता है
      उदाहरण के लिए मान लें कि मैं सब कुछ cash में खरीदता हूं, prepaid SIM और ऐसा फोन इस्तेमाल करता हूं जिसके purchase history में मेरा नाम नहीं है, और जो चीज मैंने खुद source से compile नहीं की उसे run नहीं करता। अगर फोन पर NixOS इस्तेमाल करने जैसा कुछ करूं, तो क्या मेरा डेटा इतना बेकार होगा कि ऐसे datasets में शामिल ही न हो? या वे पहले से इतने सारे data points जोड़ने के आदी हो चुके हैं कि सिर्फ cash इस्तेमाल करने का तरीका भी अब खास मायने नहीं रखता?
  • T-Mobile, AT&T, Verizon के कुल दैनिक revenue के आधार पर 196 मिलियन डॉलर कमाने में करीब 9 घंटे लगते हैं
    अगर तीनों कंपनियों का संयुक्त दैनिक revenue T-Mobile 45.5 मिलियन डॉलर, AT&T 125.6 मिलियन डॉलर, Verizon 349.3 मिलियन डॉलर माना जाए, तो कुल 520.4 मिलियन डॉलर होता है। इसे 24 घंटे से भाग दें तो प्रति घंटा 21.6 मिलियन डॉलर होता है, और 196 मिलियन डॉलर के जुर्माने को इससे भाग दें तो करीब 9.07 घंटे आते हैं

    • गणना गलत है। अगर दैनिक revenue 520.4 मिलियन डॉलर है, तो 196 मिलियन डॉलर revenue बनाने में आधे दिन से कम लगेगा
      वास्तविक प्रभाव के ज्यादा करीब माने जाने वाले profit के आधार पर देखना ज्यादा दिलचस्प तरीका होगा
  • सिर्फ “ग्राहक की लोकेशन जानकारी तक पहुँच की अनुमति बिना सहमति के शेयर की गई” वाले हिस्से से ऐसा नहीं लगता कि टेलीकॉम कंपनियों को उस EULA या privacy policy में “लोकेशन डेटा शेयरिंग” जोड़ने से रोका जा सकेगा जिसे कोई पढ़ता नहीं, और फिर यह दावा करते हुए जारी रहने से कि अब उन्होंने सहमति ले ली है
    अगर अलग से opt-out विकल्प देने की मांग नहीं की जाती, तो लंबे समय में यह ऐसा अस्थायी speed bump लगता है जो कुछ भी नहीं बदलेगा

    • समस्या को सीधे संबोधित करने वाला कानून चाहिए। उदाहरण के लिए, लोकेशन डेटा का संग्रह तभी अनुमति योग्य हो जब संग्रह करने वाली इकाई या service को इसकी स्पष्ट जरूरत हो और वह इसे सीधे इस्तेमाल करे, और sharing या बिक्री पर रोक होनी चाहिए
    • लंबे दस्तावेज़ में यह बात कवर की गई है: https://docs.fcc.gov/public/attachments/FCC-24-41A1.pdf
      Commission ने माना कि ग्राहक CPNI की सुरक्षा के लिए सिर्फ prior consent requirement पर्याप्त नहीं है। खासकर इसलिए कि “pretexting” जैसी तरकीबें—जहाँ कोई किसी खास ग्राहक या अधिकृत व्यक्ति होने का दिखावा करके ग्राहक जानकारी अवैध रूप से हासिल करता है—prior consent requirement को bypass कर सकती हैं
    • अगर कोई बैंक credit card application में लोकेशन डेटा consent clause डालता है, तो यह भी सवाल है कि क्या telecom company को अलग से कुछ करना होगा
      “fraud prevention और/या अन्य उद्देश्यों” जैसी wording लगाई जा सकती है, या नहीं भी। Insurance कंपनियों के साथ भी यही बात है। मैंने ऐसे clauses देखे हैं, और मुझे पूरा भरोसा है कि वे mobile carrier से data खींचते हैं
  • क्या अमेरिकी law enforcement बिना warrant के रास्ता निकालने के लिए ऐसा commercial data खरीदती नहीं है?

    • हाँ
  • क्या AT&T पर कभी इस बात के लिए fine लगाया गया कि उसने NSA को decrypted network data के पूरे हिस्से की wiretap करने की अनुमति दी? वह तो कहीं ज्यादा गंभीर लगता है
    https://techcrunch.com/2018/06/25/nsa-att-intercept-surveill...

    • अगर NSA सभी लोगों के drive backups restore करने के लिए शुल्क लेना शुरू कर दे, तो शायद self-funding भी कर सके
    • उस मामले में retroactive immunity का दोनों parties ने समर्थन किया था
    • bill NSA को भेज दें
  • संबंधित लेख:
    Cape ने personal data का इस्तेमाल न करने वाली mobile service के लिए A16Z आदि से 61 million डॉलर जुटाए
    https://news.ycombinator.com/item?id=40080673
    https://techcrunch.com/2024/04/18/cape-dials-up-61m-from-a16...
    https://www.cape.co/

  • ये civil penalties हैं। मैं जानना चाहता हूँ कि FCC किन limits के भीतर काम करता है—या अगर कोई limit नहीं है, तो किस दायरे में
    क्या वह बड़ा fine लगा सकता था? और यह भी कि क्या इसका असर इस पर पड़ता है कि DOJ criminal prosecution आगे बढ़ाएगा या नहीं