FCC Kenakan Denda US$200 Juta kepada Operator Telekomunikasi Besar AS karena Membagikan Data Lokasi Tanpa Izin
(docs.fcc.gov)- FCC menetapkan denda total hampir US$200 juta kepada AT&T, Sprint, T-Mobile, dan Verizon terkait kasus pembagian akses ke informasi lokasi real-time pelanggan kepada pihak luar tanpa persetujuan
- Operator menjual akses informasi lokasi kepada agregator, lalu agregator menjualnya kembali kepada penyedia layanan berbasis lokasi pihak ketiga
- Struktur ini mengalihkan tanggung jawab memperoleh persetujuan pelanggan kepada penerima di tingkat bawah, tetapi dalam banyak kasus persetujuan yang sah tidak diperoleh dan langkah perlindungannya juga tidak memadai
- Besaran denda: Sprint lebih dari US$12 juta, T-Mobile lebih dari US$80 juta, AT&T lebih dari US$57 juta, dan Verizon sekitar US$47 juta; Sprint dan T-Mobile telah merger setelah penyelidikan dimulai
- Communications Act Section 222 mewajibkan perlindungan informasi pelanggan, termasuk informasi lokasi, serta persetujuan eksplisit; kewajiban yang sama berlaku untuk pembagian kepada pihak ketiga
Struktur penjualan informasi lokasi dan besaran denda
- Pada 29 April 2024, FCC menjatuhkan denda kepada operator nirkabel besar AS karena secara ilegal membagikan akses ke informasi lokasi pelanggan
- Sprint: lebih dari US$12 juta
- T-Mobile: lebih dari US$80 juta
- AT&T: lebih dari US$57 juta
- Verizon: sekitar US$47 juta
- Masing-masing operator menjual akses ke informasi lokasi pelanggan kepada agregator, dan agregator kemudian menjualnya kembali kepada penyedia layanan berbasis lokasi pihak ketiga
- Para operator berupaya mengalihkan kewajiban memperoleh persetujuan pelanggan kepada penerima di tingkat bawah, tetapi dalam banyak kasus persetujuan pelanggan yang sah tidak diperoleh
- Bahkan setelah mengetahui bahwa langkah perlindungan mereka tidak efektif, keempat operator tetap menjalankan program penjualan akses informasi lokasi tanpa langkah yang wajar untuk mencegah akses tanpa izin
- Chairwoman FCC Jessica Rosenworcel menekankan bahwa data ini adalah informasi sensitif yang dapat mengungkap rute pergerakan dan identitas pelanggan
Pemicu penyelidikan dan dasar hukum
- Penyelidikan dimulai menyusul surat terbuka Senator Ron Wyden pada 2018 dan laporan publik tentang kasus penggunaan terkait
- Menurut laporan publik, melalui layanan pencarian lokasi yang dioperasikan oleh penyedia layanan komunikasi fasilitas pemasyarakatan Securus, seorang sheriff di Missouri dapat melacak lokasi beberapa individu
- FCC menilai bahwa bahkan setelah menyadari adanya akses tanpa izin, keempat operator tidak menyiapkan langkah perlindungan yang wajar untuk memastikan penyedia layanan berbasis lokasi benar-benar memperoleh persetujuan pelanggan
- Communications Act Section 222 dan ketentuan hukum terkait mewajibkan operator untuk melakukan hal berikut
- Mengambil langkah yang wajar untuk melindungi informasi pelanggan tertentu, termasuk informasi lokasi
- Menjaga kerahasiaan informasi pelanggan
- Memperoleh persetujuan pelanggan yang eksplisit dan aktif sebelum menggunakan, mengungkapkan, atau mengizinkan akses ke informasi
- Menerapkan kewajiban yang sama saat membagikan informasi pelanggan kepada pihak ketiga
Penetapan perintah dan langkah lanjutan
- Forfeiture Orders kali ini mengukuhkan Notices of Apparent Liability yang diterbitkan pada Februari 2020
- Denda AT&T dan Sprint sama seperti pada tahap NAL
- Denda T-Mobile dan Verizon dikurangi setelah peninjauan tambahan atas materi jawaban NAL
- Hukum tidak mengizinkan peningkatan jumlah forfeiture untuk pelanggaran tertentu setelah NAL diterbitkan
- Perintah terkait:
- Chairwoman FCC membentuk Privacy and Data Protection Task Force pada 2023, dan organisasi ini mengoordinasikan kebutuhan internal lembaga terkait penyusunan aturan, penegakan, serta kesadaran publik di bidang privasi dan perlindungan data
- FCC menyatakan bahwa pengumuman ini merupakan pemberitahuan informal atas tindakan komisi, sedangkan publikasi teks lengkap perintah komisi merupakan tindakan resminya
1 komentar
Komentar Hacker News
Intinya adalah transparansi. Bukan “kebijakan privasi”, melainkan saya ingin melihat kepada siapa perusahaan menjual atau menyerahkan informasi saya, dan batasan apa yang melekat pada penjualan itu
Konsepnya sederhana. Jika mereka mengumpulkan informasi saya dan membuatnya dapat diakses oleh pihak lain, mereka harus memberi tahu saya, serta membuatnya mudah untuk memeriksa dan memblokirnya. Kalau orang-orang tahu apa yang sebenarnya terjadi, sebagian besar penyalahgunaan privasi akan hilang
Akan lebih baik jika perdagangan data pribadi itu sendiri dihapuskan, tetapi sebagai langkah pertama, bisa diterapkan “denda besar bagi perusahaan yang tidak melacak secara tepat entitas mana saja yang menyentuh data pengguna”
200 juta dolar itu uang receh. Operator-operator seperti ini sudah lama melakukan hal ini, dan tidak akan ada yang berubah
Paling-paling hanya akan ada satu catatan kaki tambahan di kebijakan privasi
Securus awalnya adalah perusahaan yang terutama menangani urusan terkait narapidana di AS, lalu setelah mengumpulkan data semua orang, mereka mengemas ulang kemampuan dan relasi itu sebagai layanan. Setelah keputusan FCC, tampaknya layanan itu kini sudah tidak ada, dalam upaya kasar untuk menghindari gugatan tambahan
https://securustechnologies.tech/investigative/investigation...
Belum ada detail teknis tentang presisi pelacakannya. Batas antara bagian akhir modem operator dan awal firmware/hardware memang kabur, dan mungkin itu disengaja. Kemungkinan kecil mereka bisa mengambil koordinat GPS real-time, dan sangat besar kemungkinannya mereka mengambil ASN dari menara seluler untuk memberikan perkiraan kasar lokasi pengguna
FCC mendapatkan denda 200 juta dolar, tetapi tidak ada hukuman penjara, dan dari 200 juta dolar itu, orang-orang yang privasinya dilanggar menerima 0 dolar. Pada akhirnya ini hanya Senin biasa, seperti biasanya
Para pemegang saham tidak suka situasi “mereka sudah didenda karena ini tetapi tetap melakukannya, dan sekarang harus membayar denda lagi”. Selain itu, jika perusahaan pernah benar-benar didenda untuk hal yang sama di masa lalu, pemerintah, pengadilan, dan juri juga akan lebih skeptis terhadap pembelaan “kami tidak tahu”
Dulu saya bekerja di sebuah hedge fund, dan setiap bulan kami membeli data ping ponsel untuk 125 juta orang Amerika
Berbagai macam algoritma deep learning menganalisis belanja, gudang logistik, dan arus pengunjung lainnya. Orang-orang sama sekali tidak tahu sejauh mana investor swasta memahaminya. Ini jauh lebih dalam daripada yang terlihat dari angka publik, dan orang-orang paling cerdas di planet ini mengekstraksi fakta luar biasa dari kebiasaan harian orang Amerika. Hampir semua algoritma statistik yang dikenal manusia pernah diterapkan pada data ini
Misalnya, anggap saja saya membeli semuanya dengan uang tunai, memakai SIM prabayar dan ponsel yang riwayat pembeliannya tidak mencantumkan nama saya, serta tidak menjalankan apa pun yang tidak saya kompilasi sendiri dari sumbernya. Jika saya memakai NixOS di ponsel, apakah data saya akan cukup tidak berguna sehingga tidak masuk ke dataset semacam ini? Atau mereka sudah begitu terbiasa menghubungkan begitu banyak titik data sehingga memakai uang tunai saja pun sudah tidak banyak berarti?
Berdasarkan pendapatan harian gabungan T-Mobile, AT&T, dan Verizon, mereka hanya butuh sekitar 9 jam untuk menghasilkan 196 juta dolar
Jika pendapatan harian gabungan ketiga perusahaan diasumsikan sebesar 45,5 juta dolar untuk T-Mobile, 125,6 juta dolar untuk AT&T, dan 349,3 juta dolar untuk Verizon, totalnya 520,4 juta dolar. Dibagi 24 jam menjadi 21,6 juta dolar per jam, dan jika denda 196 juta dolar dibagi angka itu, hasilnya sekitar 9,07 jam
Pendekatan yang lebih menarik adalah melihat berdasarkan laba, yang lebih dekat dengan dampak sebenarnya
Bagian yang menyebut “membagikan hak akses ke informasi lokasi pelanggan tanpa persetujuan” saja tampaknya tidak cukup untuk mencegah operator menambahkan “berbagi data lokasi” ke EULA atau kebijakan privasi yang tidak dibaca siapa pun, lalu mengklaim bahwa mereka sekarang sudah mendapatkan persetujuan dan terus melakukannya
Jika tidak diwajibkan menyediakan opsi penolakan terpisah, dalam jangka panjang ini terasa seperti polisi tidur sementara yang tidak mengubah apa pun
Komisi mengakui bahwa untuk melindungi CPNI pelanggan, persyaratan persetujuan terlebih dahulu saja tidak cukup. Terutama karena taktik seperti “pretexting”, yaitu berpura-pura sebagai pelanggan tertentu atau orang yang berwenang untuk memperoleh informasi pelanggan secara ilegal, dapat mengakali persyaratan persetujuan terlebih dahulu
Bisa saja disertai frasa seperti “untuk pencegahan penipuan dan/atau tujuan lain”, atau mungkin tidak. Perusahaan asuransi juga sama. Saya pernah melihat klausul semacam itu, dan saya yakin datanya ditarik dari operator seluler
Bukankah lembaga penegak hukum AS membeli data komersial seperti ini untuk mengakali kewajiban surat perintah?
Apakah AT&T pernah didenda karena mengizinkan NSA menyadap seluruh data jaringan yang sudah didekripsi? Itu tampaknya jauh lebih serius
https://techcrunch.com/2018/06/25/nsa-att-intercept-surveill...
Artikel terkait:
Cape meraih pendanaan 61 juta dolar AS dari A16Z dkk. untuk layanan seluler yang tidak memakai data pribadi
https://news.ycombinator.com/item?id=40080673
https://techcrunch.com/2024/04/18/cape-dials-up-61m-from-a16...
https://www.cape.co/
Ini adalah sanksi perdata. Saya penasaran dalam batas apa FCC bergerak, atau jika tidak ada batas, seberapa luas kewenangannya
Apakah mereka bisa mengenakan denda yang lebih besar? Dan saya juga penasaran apakah hal ini memengaruhi keputusan DOJ untuk mengejar tuntutan pidana