1 pontos por GN⁺ 2024-04-30 | 1 comentários | Compartilhar no WhatsApp
  • A FCC confirmou multas que somam quase US$ 200 milhões contra AT&T, Sprint, T-Mobile e Verizon por um caso em que o acesso a informações de localização em tempo real de clientes foi compartilhado externamente sem consentimento
  • As operadoras venderam o acesso a dados de localização a agregadores, que por sua vez o revenderam a provedores terceirizados de serviços baseados em localização
  • A estrutura transferia aos destinatários subsequentes a responsabilidade de obter o consentimento dos clientes, mas em vários casos não houve consentimento válido, e as salvaguardas também não foram suficientes
  • As multas são de mais de US$ 12 milhões para a Sprint, mais de US$ 80 milhões para a T-Mobile, mais de US$ 57 milhões para a AT&T e cerca de US$ 47 milhões para a Verizon; Sprint e T-Mobile se fundiram após o início da investigação
  • A Section 222 do Communications Act exige a proteção de informações de clientes, incluindo dados de localização, e consentimento explícito; as mesmas obrigações se aplicam ao compartilhamento com terceiros

Estrutura de venda de dados de localização e valor das multas

  • Em 29 de abril de 2024, a FCC aplicou multas a grandes operadoras móveis dos EUA por compartilharem ilegalmente o acesso a dados de localização de clientes
    • Sprint: mais de US$ 12 milhões
    • T-Mobile: mais de US$ 80 milhões
    • AT&T: mais de US$ 57 milhões
    • Verizon: cerca de US$ 47 milhões
  • Cada operadora vendeu o acesso a dados de localização de clientes a agregadores, que o revenderam a provedores terceirizados de serviços baseados em localização
  • As operadoras tentaram repassar aos destinatários subsequentes a obrigação de obter consentimento dos clientes, mas em vários casos não foi obtido consentimento válido dos clientes
  • Mesmo depois de tomarem conhecimento de que as salvaguardas não eram eficazes, as quatro operadoras continuaram operando programas de venda de acesso a dados de localização sem medidas razoáveis para impedir acessos não autorizados
  • A presidente da FCC, Jessica Rosenworcel, destacou que esses dados são informações sensíveis capazes de revelar os trajetos e a identidade dos clientes

Origem da investigação e base legal

  • A investigação começou a partir de uma carta pública do senador Ron Wyden em 2018 e de reportagens públicas sobre casos de uso relacionados
  • Segundo as reportagens, por meio de um serviço de consulta de localização operado pela Securus, fornecedora de serviços de comunicação para unidades correcionais, um xerife do Missouri conseguiu rastrear a localização de várias pessoas
  • A FCC concluiu que, mesmo depois de tomarem conhecimento do acesso não autorizado, as quatro operadoras não estabeleceram salvaguardas razoáveis para verificar se os provedores de serviços baseados em localização de fato obtinham o consentimento dos clientes
  • A Section 222 do Communications Act e outras leis relacionadas impõem às operadoras as seguintes obrigações
    • Medidas razoáveis para proteger determinadas informações de clientes, incluindo dados de localização
    • Manutenção da confidencialidade das informações dos clientes
    • Obtenção de consentimento explícito e afirmativo do cliente antes de usar, divulgar ou permitir acesso às informações
    • Aplicação das mesmas obrigações também ao compartilhar informações de clientes com terceiros

Confirmação das ordens e medidas posteriores

  • Estes Forfeiture Orders confirmam os Notices of Apparent Liability emitidos em fevereiro de 2020
    • As multas da AT&T e da Sprint permanecem iguais às da etapa de NAL
    • As multas da T-Mobile e da Verizon foram reduzidas após análise adicional dos materiais apresentados nas respostas ao NAL
    • A lei não permite aumentar o valor de confisco por violações específicas após a emissão do NAL
  • Ordens relacionadas:
  • A presidente da FCC criou em 2023 a Privacy and Data Protection Task Force, que coordena dentro da agência demandas relacionadas à elaboração de regras, fiscalização e conscientização pública nas áreas de privacidade e proteção de dados
  • A FCC afirmou que este anúncio é uma divulgação informal de uma ação da comissão, e que a publicação do texto completo da ordem da comissão constitui a ação oficial

1 comentários

 
GN⁺ 2024-04-30
Comentários do Hacker News
  • O ponto central é a transparência. Não uma “política de privacidade”, mas querer ver para quem a empresa vendeu ou repassou minhas informações, e quais restrições estavam associadas a essa venda
    O conceito é simples. Se coletaram meus dados e permitiram que outras partes tivessem acesso a eles, deveriam informar isso e permitir que eu verificasse isso facilmente e bloqueasse. Se as pessoas souberem o que realmente está acontecendo, a maior parte do abuso de dados pessoais desapareceria

    • Tudo deveria ser opt-in. O ônus deveria estar do lado da empresa, algo como: “queremos compartilhar seus dados, e se você concordar, há estes benefícios”
    • Isso também deveria incluir empresas como o Facebook, que analisam dados para criar inferências mais profundas sobre mim. Eu deveria ter o direito de ver todas as conclusões tiradas sobre mim a partir dos meus dados, para poder corrigir suposições erradas ou até aprender mais sobre mim mesmo
    • Expandindo ainda mais a exigência de “quero ver para quem a empresa vendeu ou repassou minhas informações e que restrições estavam associadas a isso”, parece que haveria relativamente pouca controvérsia em uma lei que obrigasse empresas a manter uma cadeia de custódia (custody chain) sempre que transferirem dados pessoais
      Seria melhor eliminar de vez a compra e venda de dados pessoais, mas como primeiro passo seria viável algo como “multas enormes para empresas que não rastrearam exatamente quais entidades tocaram nos dados do usuário”
    • Também deveria haver alternativas que as pessoas realmente possam usar. Claro, se existir um recurso de bloqueio, isso também pode funcionar
    • O ponto central não é transparência, mas vigilância e impotência
  • US$ 200 milhões é troco. Essas operadoras fazem isso há muito tempo, e nada vai mudar
    No máximo, vão acrescentar uma nota de rodapé à política de privacidade

    • A questão é quanto elas ganharam vendendo isso. Se US$ 200 milhões é troco porque faturaram US$ 20 bilhões, então isso não importa muito. Se o lucro real foi muito menor que US$ 200 milhões, então elas vão parar com isso
    • Mais exatamente, uma empresa terceirizada chamada Securus fez contratos com as operadoras para comprar dados de localização e ofereceu um produto abrangente que, na prática, permitia rastrear quase todo mundo
      A Securus era originalmente uma empresa focada principalmente em serviços ligados ao sistema prisional dos EUA, mas coletou os dados de todos e depois reempacotou essa capacidade e esses relacionamentos como serviço. Depois da decisão da FCC, parece ter desaparecido numa tentativa tosca de evitar mais processos
      https://securustechnologies.tech/investigative/investigation...
      Ainda não há detalhes técnicos sobre a precisão do rastreamento. É nebuloso onde termina o modem da operadora e onde começam firmware/hardware, e isso talvez seja intencional. É improvável que fosse possível consultar coordenadas GPS em tempo real; é muito mais provável que consultassem o ASN a partir da torre de celular para fornecer uma faixa aproximada da localização do usuário
    • Coincidentemente, recebi um e-mail dizendo que na Verizon vai subir US$ 5 por linha, e a Internet vai subir na ATT
      A FCC arrecadou uma multa de US$ 200 milhões, mas não houve prisão, e dos US$ 200 milhões nada vai para as pessoas cuja privacidade foi violada. No fim, é só uma segunda-feira comum, tudo como sempre
    • O valor não é o ponto principal; o ponto principal é o fato de terem sido multadas
      Os acionistas não gostam da situação de “já fomos multados por isso, continuamos mesmo assim, e agora vamos ter de pagar multa de novo”. E, se a empresa já foi realmente multada no passado pela mesma coisa, governos, tribunais e jurados também ficam mais céticos em relação à defesa de “não sabíamos”
  • Eu trabalhava em um hedge fund, e eles compravam todo mês dados de ping de celular de 125 milhões de americanos
    Todo tipo de algoritmo de deep learning analisava compras, armazéns logísticos e outros fluxos de pessoas. As pessoas não fazem ideia do nível de entendimento que investidores privados já alcançaram. É muito mais profundo do que aparece nos números públicos, e algumas das pessoas mais inteligentes do planeta extraem fatos impressionantes dos hábitos cotidianos dos americanos. Quase todos os algoritmos estatísticos conhecidos pela humanidade já foram aplicados a esses dados

    • Isso era para analisar o “mercado”, isto é, como as pessoas em geral consomem?
    • Fico curioso até onde chegou o nível de conectar diferentes conjuntos de dados e reverter a anonimização
      Por exemplo, suponha que eu compre tudo em dinheiro, use um SIM pré-pago e um celular sem meu nome no histórico de compra, e não execute nada que eu mesmo não tenha compilado a partir do código-fonte. Se eu usasse algo como NixOS no celular, meus dados seriam inúteis o bastante para ficarem fora desses conjuntos? Ou eles já estão tão acostumados a conectar tantos pontos de dados que viver só no dinheiro perdeu quase todo o sentido?
  • Com base na receita diária combinada de T-Mobile, AT&T e Verizon, elas levam cerca de 9 horas para faturar US$ 196 milhões
    Supondo receita diária combinada de US$ 45,5 milhões para a T-Mobile, US$ 125,6 milhões para a AT&T e US$ 349,3 milhões para a Verizon, isso dá um total de US$ 520,4 milhões por dia. Dividindo por 24 horas, dá US$ 21,6 milhões por hora; dividindo a multa de US$ 196 milhões por isso, chegamos a cerca de 9,07 horas

    • A conta está errada. Se a receita diária é de US$ 520,4 milhões, então elas levam menos de meio dia para faturar US$ 196 milhões
      Uma forma mais interessante seria olhar para o lucro, que está mais próximo do impacto real
  • A parte de “compartilhar o acesso às informações de localização do cliente sem consentimento” por si só não parece suficiente para impedir que as operadoras simplesmente adicionem “compartilhamento de dados de localização” a um EULA ou política de privacidade que ninguém lê, aleguem que agora receberam consentimento e continuem fazendo isso
    Se não exigirem uma opção separada de recusa, no longo prazo isso parece mais uma lombada temporária que não muda nada de verdade

    • É preciso uma lei que trate do problema em si. Por exemplo, a coleta de dados de localização deveria ser permitida apenas quando a entidade ou serviço que coleta precisa disso explicitamente e vai usar diretamente, e o compartilhamento ou venda deveria ser proibido
    • Isso é abordado em um documento mais longo: https://docs.fcc.gov/public/attachments/FCC-24-41A1.pdf
      A comissão reconheceu que apenas a exigência de consentimento prévio não é suficiente para proteger o CPNI dos clientes. Em especial porque táticas como “pretexting”, em que alguém finge ser um cliente específico ou uma pessoa autorizada para obter ilegalmente informações do cliente, podem contornar a exigência de consentimento prévio
    • Se um banco colocar uma cláusula de consentimento para dados de localização no pedido de cartão de crédito, também fica a dúvida se a operadora precisaria fazer algo à parte
      Pode haver ou não uma frase como “prevenção a fraudes e/ou outros fins”. Seguradoras também fazem isso. Já vi cláusulas desse tipo e tenho quase certeza de que puxam os dados da operadora móvel
  • As autoridades policiais dos EUA não compram esses dados comerciais para contornar a exigência de mandado?

    • Sim
  • A AT&T já foi multada por permitir que a NSA interceptasse todo o tráfego de rede descriptografado? Isso parece muito mais grave
    https://techcrunch.com/2018/06/25/nsa-att-intercept-surveill...

    • Se a NSA cobrasse para restaurar os backups dos drives de todo mundo, talvez até desse para fazer autofinanciamento
    • Nesse caso, os dois partidos apoiaram a anistia retroativa
    • É só mandar a conta para a NSA
  • Post relacionado:
    A Cape captou US$ 61 milhões de A16Z e outros para um serviço móvel que não usa dados pessoais
    https://news.ycombinator.com/item?id=40080673
    https://techcrunch.com/2024/04/18/cape-dials-up-61m-from-a16...
    https://www.cape.co/

  • Estas são sanções civis. Fico curioso sobre quais limites a FCC tem, ou em que faixa ela atua, caso não haja limites
    Ela poderia ter aplicado uma multa maior? E também fico curioso se isso influencia a decisão do DOJ de buscar punição criminal