Masa pengajuan keberatan 4 hari terhadap persyaratan KYC layanan internet

 (federalregister.gov)
1 poin oleh GN⁺ 2024-04-26 | 1 komentar | Bagikan ke WhatsApp

Ringkasan aturan terkait program identifikasi pelanggan dan pengecualian bagi penyedia IaaS

  • Semua penyedia IaaS di AS wajib menetapkan dan menjalankan program identifikasi pelanggan (CIP) tertulis yang setidaknya memenuhi persyaratan minimum
  • CIP harus mencakup prosedur untuk pengumpulan informasi identitas pelanggan dan pemilik manfaat akhir, verifikasi identitas pelanggan asing dan pemilik manfaat akhir, penyimpanan informasi, serta pemberitahuan kepada pelanggan terkait pengungkapan informasi
  • Penyedia IaaS harus mengumpulkan setidaknya informasi seperti nama, alamat, metode/sumber pembayaran akun, email, nomor telepon, dan alamat IP dari calon pelanggan asing dan pemilik manfaat akhirnya
  • Penyedia IaaS harus menetapkan prosedur berbasis risiko untuk memverifikasi identitas pelanggan asing dan pemilik manfaat akhir, baik melalui dokumen maupun cara non-dokumen
  • CIP juga harus mencakup prosedur penanganan situasi ketika identitas pelanggan tidak dapat diverifikasi
  • Semua informasi yang diperoleh dalam proses verifikasi informasi pelanggan harus disimpan dengan aman setidaknya selama 2 tahun, dan harus ada prosedur untuk membatasi akses pihak ketiga
  • Penyedia IaaS juga harus mewajibkan reseller asing untuk memelihara dan menjalankan CIP, serta menyerahkan salinan CIP reseller tersebut kepada Departemen Perdagangan dalam 10 hari jika diminta
  • Transaksi dengan reseller asing yang tidak patuh harus dihentikan dalam 30 hari

Ringkasan persyaratan pelaporan CIP

  • Semua penyedia IaaS harus menyerahkan formulir sertifikasi CIP untuk memberi tahu Departemen Perdagangan tentang pelaksanaan CIP mereka sendiri dan CIP milik reseller asing
  • CIP harus ditinjau dan diperbarui setiap tahun untuk disertifikasi ulang, dan jika ada perubahan material di tengah periode, hal tersebut harus diberitahukan kepada Departemen Perdagangan
  • Penyedia IaaS baru harus menyerahkan formulir sertifikasi CIP sebelum mulai memberikan layanan, dan penambahan reseller asing baru juga harus diberitahukan
  • Informasi CIP harus dikumpulkan dari reseller asing dan diserahkan setiap tahun kepada Departemen Perdagangan

Ringkasan evaluasi kepatuhan CIP

  • Departemen Perdagangan dapat meminta salinan CIP penyedia IaaS untuk diperiksa, dan dapat memberi tahu agar kekurangannya diperbaiki
  • Departemen Perdagangan menilai tingkat risiko dan melakukan evaluasi kepatuhan berdasarkan penilaian internalnya sendiri atau informasi yang diserahkan penyedia IaaS
  • Berdasarkan hasil pengawasan kepatuhan, langkah mitigasi risiko atau tindakan khusus dapat direkomendasikan

Ringkasan aturan pengecualian CIP

  • Menteri Perdagangan dapat memberikan pengecualian dari kepatuhan terhadap persyaratan CIP untuk penyedia IaaS, jenis akun, penyewa, reseller asing, dan lainnya
  • Penyedia IaaS dapat mengajukan pengecualian dari persyaratan CIP dengan membentuk program pencegahan penyalahgunaan produk IaaS (ADP)
  • ADP harus mencakup kebijakan dan prosedur untuk identifikasi, deteksi, respons, serta pembaruan berkala atas indikator risiko
  • Untuk mempertahankan pengecualian, perubahan pada ADP harus diberitahukan setiap tahun kepada Departemen Perdagangan, dan pengecualian dapat dibatalkan kapan saja

Ringkasan tindakan khusus terhadap negara atau orang asing tertentu

  • Menteri Perdagangan dapat memberlakukan tindakan khusus jika menilai negara tertentu atau orang asing tertentu terlibat dalam aktivitas siber yang menyalahgunakan produk IaaS AS
  • Tindakan tersebut dapat berupa pelarangan atau pemberian syarat atas pembukaan akun bagi orang asing di negara tersebut, atau pelarangan maupun pembatasan pembukaan akun bagi orang asing tertentu
  • Apakah tindakan khusus diberlakukan dan jenisnya akan ditentukan setelah mengevaluasi berbagai faktor terkait secara menyeluruh

Ringkasan persyaratan pelaporan pelatihan model AI skala besar

  • Penyedia IaaS harus melaporkan kepada Departemen Perdagangan dalam 15 hari jika mengetahui adanya transaksi pelatihan model AI skala besar yang dapat disalahgunakan untuk aktivitas siber berbahaya oleh orang asing
  • Reseller asing juga memiliki kewajiban pelaporan yang sama, dan penyedia IaaS harus menyerahkannya kepada Departemen Perdagangan dalam 30 hari
  • Jika diminta oleh Departemen Perdagangan, laporan lanjutan yang memberikan informasi tambahan harus diserahkan dalam 15 hari
  • Jika ditemukan kesalahan, laporan koreksi harus diserahkan dalam 15 hari
  • Laporan harus mencakup informasi pelanggan asing, informasi terkait pelatihan, dan lainnya
  • Penyedia IaaS harus melakukan upaya yang wajar agar reseller asing mematuhi persyaratan ini

Ringkasan penegakan atas pelanggaran aturan

  • Tindakan yang dilarang mencakup tidak menetapkan/tidak memelihara CIP, ketidakpatuhan CIP reseller, serta tidak menjalankan larangan/penghentian pelatihan model AI skala besar
  • Memberikan pernyataan palsu kepada Departemen Perdagangan juga termasuk pelanggaran
  • Berdasarkan IEEPA, dapat dikenakan denda perdata sebesar hingga $250.000 per pelanggaran atau dua kali nilai transaksi yang melanggar, mana yang lebih besar
  • Untuk pelanggaran yang disengaja, dapat dijatuhi denda hingga $1 juta atau hukuman penjara hingga 20 tahun
  • Selain itu, sanksi perdata/pidana lain berdasarkan hukum AS juga dimungkinkan

Opini GN⁺

Aturan ini tampaknya bertujuan mewajibkan penyedia IaaS di AS untuk mengidentifikasi dan memverifikasi pelanggan asing guna mencegah penyalahgunaan untuk aktivitas siber berbahaya. Kekhawatiran terhadap penggunaan IaaS untuk pelatihan model AI skala besar juga tampaknya tercermin di sini.

Dari sudut pandang penyedia IaaS, beban pengumpulan dan verifikasi informasi pelanggan, serta penyimpanan catatan, kemungkinan akan meningkat. Verifikasi pelanggan asing bisa jadi tidak mudah, dan isu privasi juga dapat diperkirakan. Hubungan kontraktual dengan reseller asing pun kemungkinan akan terdampak.

Di sisi lain, pemerintah tampaknya ingin meningkatkan kendali atas pasar IaaS dan memblokir ancaman terhadap keamanan nasional melalui aturan ini. Klausul tindakan khusus yang menargetkan negara atau aktor tertentu cukup menonjol, dan tampaknya mencerminkan konflik geopolitik.

Ketentuan terkait model AI skala besar tampaknya merupakan hasil dari meningkatnya kesadaran terhadap sifat penggunaan ganda AI. Terlihat ada niat pemerintah untuk memantau aktivitas pengembangan AI melalui IaaS. Ini dapat ditafsirkan sebagai upaya merespons risiko baru yang muncul seiring perkembangan teknologi.

Aturan ini tampaknya merupakan bagian dari proses mencari keseimbangan antara keamanan nasional dan inovasi teknologi. Bagi penyedia IaaS, ini mungkin menjadi beban, tetapi dalam jangka panjang tampaknya dapat berkontribusi pada kesehatan pasar dan peningkatan kepercayaan. Meski begitu, ada juga kekhawatiran bahwa regulasi yang berlebihan dapat menghambat inovasi, sehingga implementasinya perlu dilakukan dengan hati-hati.

Bacaan terkait

1 komentar

 
GN⁺ 2024-04-26
Komentar Hacker News
  • RUU ini tampaknya mengharuskan penyedia IaaS (infrastruktur) memverifikasi identitas orang yang menggunakan layanan mereka untuk melatih AI. Ini merupakan upaya untuk mencegah pihak yang terkena sanksi atau pelaku jahat melatih AI, lalu berpindah-pindah layanan atau menggunakan nama samaran untuk terus melatih model.
  • Ini tampak relatif tidak berbahaya, dan sulit memahami kesamaan yang dibuat orang lain dalam diskusi HN. Saya bertanya-tanya apakah ini lereng licin, atau apakah saya yang naif tentang cakupan RUU ini.
  • Penyedia IaaS akan menentangnya dengan keras, dan jika AWS mulai meminta dokumen KYC, saya akan segera memindahkan semua sumber daya cloud saya ke tempat lain. Upaya untuk itu hampir tidak ada.
  • KYC berarti "kenali pelanggan Anda (know your customer)". Sebaiknya ditulis lengkap saat pertama kali menggunakan singkatan. Terutama karena artikel yang ditautkan bahkan tidak menggunakan singkatan itu sendiri. Perlu juga dicatat bahwa usulan ini ditujukan pada produk IaaS AS, bukan "layanan internet" secara umum.
  • Jika bank mengenal pelanggan mereka, kita tidak perlu melakukannya. Jalan menuju KYC selalu berujung pada pembayaran dan keuangan. Jika kita menerima pembayaran layanan melalui transaksi kartu bank standar atau transfer uang, pengetahuan tentang pelanggan bisa dipusatkan di bank.
  • Tren menambahkan persyaratan KYC ke semakin banyak layanan online mengkhawatirkan. KYC memberikan beban besar bagi orang yang ingin menyediakan layanan.
  • Sistem KYC cenderung tidak efektif dalam menyaring penjahat. Sebagian besar sistem KYC bergantung pada agregator data (pihak yang membeli data pribadi), dan orang yang muda, miskin, atau sangat peduli pada privasi akan dicurigai.