Federal İletişim Komisyonu (FCC), müşterilerin konum bilgilerine erişimi izinsiz olarak ve bu bilgileri izinsiz ifşa edilmeye karşı korumak için makul önlemler almadan yasa dışı olarak paylaştığı için ülkenin en büyük kablosuz operatörlerine para cezası verdi.
Kablosuz operatörler müşterilerin konum verilerine erişimi paylaştı
Soruşturmanın başlamasından bu yana birleşen Sprint ve T-Mobile sırasıyla 12 milyon dolar ve 80 milyon dolardan fazla para cezasıyla karşı karşıya kalacak. AT&T 57 milyon dolardan fazla para cezasına çarptırıldı ve Verizon da neredeyse 47 milyon dolar para cezasına çarptırıldı.
“İletişim sağlayıcılarımız hakkımızdaki en hassas bilgilerin bazılarına erişime sahip. Bu taşıyıcılar kendilerine emanet edilen bilgileri korumada başarısız oldu. Burada, ellerindeki en hassas verilerden bazılarından bahsediyoruz: müşterilerin gerçek zamanlı konum bilgileri, nereye gittiklerini ve kim olduklarını ortaya koyuyor,” dedi FCC Başkanı Jessica Rosenworcel. “İlk olarak son Yönetim tarafından önerilen bu vakaları çözerken, Komisyon tüm taşıyıcıları sorumlu tutmaya ve onların bu en özel verilerin koruyucusu olarak müşterilerine karşı yükümlülüklerini yerine getirmelerini sağlamaya kararlıdır.”
FCC Uygulama Bürosu’nun dört taşıyıcıya ilişkin araştırmaları, her taşıyıcının müşterilerinin konum bilgilerine erişimi “toplayıcılara” sattığını ve onların da bu tür bilgilere erişimi üçüncü taraf konum tabanlı hizmet sağlayıcılara yeniden sattığını ortaya çıkardı. Bunu yaparken her bir taşıyıcı, müşteri onayı alma yükümlülüklerini konum bilgisinin alt alıcılarına devretmeye çalıştı; bu da birçok durumda geçerli bir müşteri onayının alınmadığı anlamına geliyordu.
Bu ilk başarısızlık, güvenlik önlemlerinin etkisiz olduğunun farkına vardıktan sonra taşıyıcıların, konum bilgilerine erişimi, yetkisiz erişime karşı korumak için makul önlemler almadan satmaya devam etmesiyle daha da arttı.
İletişim Yasası’nın 222. maddesi de dahil olmak üzere yasa uyarınca, taşıyıcıların konum bilgileri de dahil olmak üzere belirli müşteri bilgilerini korumak için makul önlemler alması gerekiyor. Taşıyıcıların ayrıca bu tür müşteri bilgilerinin gizliliğini korumaları ve bu bilgileri kullanmadan, ifşa etmeden veya erişime izin vermeden önce olumlu, açık müşteri rızası almaları gerekmektedir. Bu yükümlülükler, taşıyıcıların müşteri bilgilerini üçüncü taraflarla paylaşması durumunda da aynı şekilde geçerlidir.
FCC Uygulama Bürosu Başkanı ve Gizlilik ve Veri Koruma Görev Gücü Başkanı Loyaan A. Egal, “Konum bilgisi gibi hassas kişisel verilerin korunması ve kullanılması kutsaldır” dedi. “Yanlış ellere geçtiğinde veya kötü amaçlarla kullanıldığında hepimizi riske atıyor. Yabancı saldırganlar ve siber suçlular bu bilgileri ele geçirmeye öncelik verdiler ve bu nedenle hizmet sağlayıcıların müşteri konum verilerini korumak için makul korumalara sahip olmasını ve bunların kullanımına ilişkin geçerli izni sağlamak İcra Bürosu için en yüksek önceliğe sahiptir.”
Kablosuz operatörler konum verilerine erişim satmaya devam etti
Bu cezalara yol açan soruşturmalar, müşterilerin konum bilgilerinin Amerika’nın en büyük kablosuz iletişim operatörleri tarafından müşterinin onayı veya başka bir yasal yetki olmadan Securus adlı sağlayıcı tarafından işletilen bir “konum bulma hizmeti” aracılığıyla Missouri Şerifine açıklandığı yönündeki kamuya açık raporların ardından başladı. Çok sayıda kişinin konumunu takip etmek için ıslahevlerine iletişim hizmetlerinin sağlanması.
Ancak, bu yetkisiz erişimden haberdar olduktan sonra bile, dört operatörün tümü, müşterilerinin konum bilgilerine erişimi olan düzinelerce konum tabanlı hizmet sağlayıcının gerçekten müşteri rızası aldığından emin olmak için makul güvenlik önlemleri uygulamadan programlarını çalıştırmaya devam etti. .
Müsadere Emirleri, Şubat 2020’de bu taşıyıcılara karşı yayınlanan Görünür Sorumluluk Bildirimlerinin (NAL) kesinleştiğini duyurdu. AT&T ve Sprint için para cezası miktarı, NAL aşamasından bu yana değişmedi. Hem T-Mobile hem de Verizon cezaları, tarafların NAL’lere yanıt olarak verdikleri beyanların daha ayrıntılı olarak incelenmesinin ardından düşürüldü. Kanun, NAL’nin verilmesinden sonra belirli ihlallere ilişkin hak kaybı miktarlarının artmasına izin vermemektedir.
2023 yılında Başkan, veri ihlalleri (örn. telekomünikasyon sağlayıcıları dahil) ve güvenlik açıkları.