| 28 фев 2020 — 14:02 PT
Примерно год назад стало известно, насколько легко было купить данные о местоположении американских пользователей беспроводной связи в реальном времени через слабые стандарты операторов, сомнительных третьих лиц и охотников за головами. Теперь, после «обширного расследования», FCC заявила, что «один или несколько операторов беспроводной связи предположительно нарушили федеральный закон».
Обновление 28.02: FCC опубликовала свое предложение оштрафовать четырех основных американских операторов беспроводной связи на общую сумму 200 миллионов долларов (через TechCrunch). Распределение основано на «продолжительности времени, в течение которого операторы продавали доступ к информации о местоположении клиентов «без разумных мер защиты», и количестве сторонних компаний, которым они его продавали».
Согласно предложению, T-Mobile должен заплатить 91 миллион долларов, AT&T — 57 миллионов долларов, Verizon — 48 миллионов долларов, а Sprint — 12 миллионов долларов. В заявлении FCC отмечается, что у операторов будет возможность ответить на предложение, прежде чем оно будет окончательно утверждено.
Ни обвинения, ни предложенные санкции в NAL не являются окончательными решениями Комиссии. Сторонам будет предоставлена возможность ответить, и Комиссия рассмотрит доказательства и юридические аргументы сторон, прежде чем предпринять дальнейшие действия для разрешения этих вопросов. Комиссия не может наложить более крупный денежный штраф при окончательном решении о том, нарушили ли стороны закон, чем сумма, предложенная в NAL.
TechCrunch отметил, насколько слабым оказалось расследование FCC по этому серьезному вопросу безопасности и конфиденциальности.
Масштаб штрафов, по их словам, мало связан с масштабом нарушений — и это потому, что расследование не проводилось должным образом и не предпринимались попытки исследовать масштаб этих нарушений. По сути, FCC даже не изучала количество или характер фактических случаев причинения вреда — она просто попросила операторов предоставить количество заключенных контрактов.
И почему не привлечь к ответственности отдельные компании? Их вообще не штрафуют. Даже если бы у FCC не было полномочий это сделать, она могла бы передать дело в Министерство юстиции или местные органы власти, которые могли бы определить, нарушили ли эти компании другие законы.
Неожиданный вывод был подробно описан в письме, направленном председателем FCC Аджитом Паем в Комитет Палаты представителей США по энергетике и коммерции (через The Verge).
Хотя в письме не указано, какие именно операторы «предположительно» нарушали федеральный закон, Пай далее заявил, что он «привержен обеспечению того, чтобы все организации, подпадающие под нашу юрисдикцию, соблюдали Закон о связи и правила FCC», при этом в ближайшем будущем ожидается объявление о штрафе и/или других последствиях.
Примечательно, что после первоначального разоблачения от Motherboard в январе прошлого года, T-Mobile и Sprint согласились прекратить продажу данных о местоположении пользователей, в то время как AT&T заявила о своей невиновности. Однако позже в мае сообщалось, что они не выполнили эти обещания или, по крайней мере, не в тот срок, который они указали.
Вот письмо председателя FCC в полном объеме:
Я пишу, чтобы дать дополнительную информацию по моему письму от 3 декабря 2019 года относительно статуса расследования FCC по раскрытию данных о местоположении потребителей в реальном времени. Выполняя обязательство, данное в том письме, я хочу проинформировать вас, что Бюро по правоприменению FCC завершило свое обширное расследование и пришло к выводу, что один или несколько операторов беспроводной связи предположительно нарушили федеральный закон.
Я привержен обеспечению того, чтобы все организации, подпадающие под нашу юрисдикцию, соблюдали Закон о связи и правила FCC, в том числе те, которые защищают конфиденциальную информацию потребителей, такую как данные о местоположении в реальном времени. Соответственно, в ближайшие дни я намереваюсь направить своим коллегам-комиссарам на рассмотрение одно или несколько уведомлений о предположительной ответственности за возмещение убытков в связи с предполагаемым(ыми) нарушением(ями).