Período de 4 dias para contestação das exigências de KYC em serviços de internet

 (federalregister.gov)
1 pontos por GN⁺ 2024-04-26 | 1 comentários | Compartilhar no WhatsApp

Resumo das regras sobre programa de identificação de clientes e isenções para provedores de IaaS

  • Todos os provedores de IaaS dos EUA devem estabelecer e implementar um programa escrito de identificação de clientes (CIP) que atenda, no mínimo, aos requisitos exigidos
  • O CIP deve incluir procedimentos para coleta de informações de identificação de clientes e beneficiários finais, verificação de identidade de clientes estrangeiros e beneficiários finais, retenção de informações e notificação ao cliente sobre divulgação de informações
  • Os provedores de IaaS devem coletar, no mínimo, informações como nome, endereço, meio/origem de pagamento da conta, e-mail, número de telefone e endereço IP de potenciais clientes estrangeiros e beneficiários finais
  • Os provedores de IaaS devem estabelecer procedimentos baseados em risco para verificar a identidade de clientes estrangeiros e beneficiários finais, por meios documentais ou não documentais
  • O CIP também deve incluir procedimentos de resposta para situações em que não seja possível verificar a identidade do cliente
  • Todos os registros obtidos no processo de verificação das informações do cliente devem ser armazenados com segurança por pelo menos 2 anos, com procedimentos para restringir o acesso de terceiros
  • Os provedores de IaaS também devem exigir que revendedores estrangeiros mantenham e implementem um CIP, e devem fornecer ao Departamento de Comércio uma cópia do CIP do revendedor em até 10 dias quando solicitado
  • As transações com revendedores estrangeiros em descumprimento devem ser interrompidas em até 30 dias

Resumo dos requisitos de reporte do CIP

  • Todos os provedores de IaaS devem enviar um formulário de certificação do CIP para notificar o Departamento de Comércio sobre a implementação do CIP próprio e dos revendedores estrangeiros
  • O CIP deve ser revisado e atualizado anualmente para recertificação, e mudanças materiais no meio do período devem ser comunicadas ao Departamento de Comércio
  • Novos provedores de IaaS devem enviar o formulário de certificação do CIP antes de oferecer o serviço, e também devem notificar a inclusão de novos revendedores estrangeiros
  • As informações de CIP dos revendedores estrangeiros devem ser coletadas e enviadas anualmente ao Departamento de Comércio

Resumo da avaliação de conformidade do CIP

  • O Departamento de Comércio pode solicitar e inspecionar uma cópia do CIP do provedor de IaaS, e pode notificá-lo para corrigir pontos insuficientes
  • O Departamento de Comércio avalia o nível de risco e realiza avaliações de conformidade com base em sua própria análise ou nas informações enviadas pelo provedor de IaaS
  • Com base nos resultados da supervisão de conformidade, pode recomendar medidas de mitigação de risco ou medidas especiais

Resumo das regras de isenção do CIP

  • O Secretário de Comércio pode conceder isenções do cumprimento dos requisitos de CIP para provedores de IaaS, tipos de conta, locatários, revendedores estrangeiros etc.
  • O provedor de IaaS pode solicitar isenção dos requisitos de CIP por meio da criação de um programa de prevenção de uso indevido de produtos de IaaS (ADP)
  • O ADP deve incluir políticas e procedimentos para identificação de indicadores de risco, detecção, resposta e atualizações periódicas
  • Para manter a isenção, alterações no ADP devem ser comunicadas anualmente ao Departamento de Comércio, e a isenção pode ser cancelada a qualquer momento

Resumo das medidas especiais para determinados países ou estrangeiros

  • O Secretário de Comércio pode impor medidas especiais se concluir que determinado país ou estrangeiro esteve envolvido em atividades cibernéticas que abusaram de produtos de IaaS dos EUA
  • Entre as medidas estão a proibição ou imposição de condições para abertura de contas por estrangeiros naquele país, bem como a proibição ou restrição de abertura de contas por determinados estrangeiros
  • A decisão sobre impor medidas especiais e seu tipo é tomada com base na avaliação conjunta de fatores relevantes

Resumo dos requisitos de reporte sobre treinamento de grandes modelos de IA

  • Quando um provedor de IaaS tomar conhecimento de uma transação de treinamento de grande modelo de IA que possa ser explorada em atividades cibernéticas maliciosas por um estrangeiro, deve reportá-la ao Departamento de Comércio em até 15 dias
  • Revendedores estrangeiros também têm a mesma obrigação de reporte, e o provedor de IaaS deve enviá-la ao Departamento de Comércio em até 30 dias
  • Quando solicitado pelo Departamento de Comércio, um relatório complementar com informações adicionais deve ser enviado em até 15 dias
  • Se um erro for encontrado, um relatório corrigido deve ser enviado em até 15 dias
  • O relatório deve incluir informações sobre o cliente estrangeiro e sobre o treinamento
  • O provedor de IaaS deve envidar esforços razoáveis para que os revendedores estrangeiros cumpram esse requisito

Resumo da aplicação em caso de violação das regras

  • Entre os atos proibidos estão não estabelecer/manter um CIP, descumprimento do CIP por revendedores e não cumprimento de proibições/suspensões relacionadas ao treinamento de grandes modelos de IA
  • Fazer declarações falsas ao Departamento de Comércio também constitui infração
  • Nos termos da IEEPA, pode ser aplicada multa civil de até US$ 250 mil por ocorrência ou o dobro do valor da transação em violação, o que for maior
  • Em caso de violação intencional, pode haver multa de até US$ 1 milhão ou pena de prisão de até 20 anos
  • Além disso, outras sanções civis/criminais previstas na legislação dos EUA também podem ser aplicadas

Opinião do GN⁺

Essas regras parecem ter como objetivo obrigar provedores de IaaS dos EUA a identificar e verificar clientes estrangeiros para evitar que seus serviços sejam explorados em atividades cibernéticas maliciosas. Também parece refletir a preocupação com o uso de IaaS no treinamento de grandes modelos de IA.

Do ponto de vista dos provedores de IaaS, a carga relacionada à coleta e verificação de informações dos clientes, bem como à guarda de registros, deve aumentar bastante. A verificação de clientes estrangeiros pode não ser simples, e questões de privacidade também são esperadas. As relações contratuais com revendedores estrangeiros também devem ser impactadas.

Por outro lado, o governo parece buscar aumentar seu controle sobre o mercado de IaaS e bloquear ameaças à segurança nacional por meio dessas medidas. Chamam atenção as cláusulas de medidas especiais voltadas a determinados países ou atores, o que parece refletir conflitos geopolíticos.

As disposições sobre grandes modelos de IA parecem resultar do aumento da percepção sobre o caráter de uso dual da IA. Fica evidente a intenção do governo de monitorar atividades de desenvolvimento de IA feitas por meio de IaaS. Pode ser interpretado como uma tentativa de responder a novos riscos decorrentes do avanço tecnológico.

Essas regras parecem fazer parte de uma busca por equilíbrio entre segurança nacional e inovação tecnológica. Embora representem um peso para os provedores de IaaS, no longo prazo podem contribuir para melhorar a solidez e a confiança do mercado. Ainda assim, como há preocupação com prejuízos à inovação por excesso de regulação, sua implementação exigirá cautela.

Leituras relacionadas

1 comentários

 
GN⁺ 2024-04-26
Opinião do Hacker News
  • Este projeto de lei parece exigir que provedores de IaaS (infraestrutura como serviço) verifiquem a identidade das pessoas que usam seus serviços para treinar IA. É uma tentativa de impedir que pessoas sob sanções ou agentes mal-intencionados treinem IA e continuem treinando modelos ao migrar entre serviços ou usar pseudônimos.
  • Isso parece relativamente inofensivo, e é difícil entender as comparações que outras pessoas fazem na discussão do HN. Fico em dúvida se é uma ladeira escorregadia ou se sou ingênuo quanto ao alcance do projeto de lei.
  • Os provedores de IaaS vão se opor ferozmente, e se a AWS começar a exigir documentos de KYC, vou migrar imediatamente todos os meus recursos de nuvem para outro lugar. Quase não há esforço envolvido nisso.
  • KYC significa "know your customer". É melhor escrever por extenso na primeira vez que a sigla aparece, especialmente porque o artigo vinculado não usa a própria sigla. Também vale notar que esta proposta é sobre produtos de IaaS dos EUA, não sobre "serviços de internet" em geral.
  • Se os bancos conhecem seus clientes, nós não precisamos conhecer. O caminho do KYC sempre leva a pagamentos e finanças. Se aceitarmos pagamento pelos serviços por meio de transações padrão com cartão bancário ou transferências, o conhecimento sobre o cliente pode ficar centralizado nos bancos.
  • A tendência de adicionar exigências de KYC a cada vez mais serviços online é preocupante. O KYC impõe um grande peso a quem quer oferecer um serviço.
  • Sistemas de KYC tendem a não filtrar criminosos com muita eficácia. A maioria dos sistemas de KYC depende de agregadores de dados (pessoas que compram dados pessoais), e pessoas jovens, pobres ou preocupadas com privacidade acabam sendo tratadas com suspeita.