| 6 октября 2023 г. — 6:32 по тихоокеанскому времени
Отчет Министерства внутренней безопасности о незаконном использовании данных о местоположении смартфонов несколькими государственными учреждениями, включая Секретную службу США, теперь стал общедоступным. В отчете делается вывод, что три отдельных агентства США нарушили закон, посягнув на защиту конфиденциальности.
Изначально отчет был классифицирован как «Конфиденциально для правоохранительных органов», но эта классификация теперь снята, и отредактированная версия стала доступной для общественности …
Государственные учреждения США покупают данные о местоположении из приложений
Нам известно как минимум три года, что Секретная служба США и другие государственные учреждения покупали данные о местоположении смартфонов, собранные из широкого спектра приложений.
Секретная служба США покупала данные о местоположении смартфонов, собранные из популярных приложений, говорится в сегодняшнем новом отчете. Это утверждение подкреплено контрактом, обнародованным в результате запроса в соответствии с Законом о свободе информации (FOIA). Данные были приобретены у брокера данных.
Таможенно-пограничная служба США была названа еще одним ведомством, покупающим эти данные.
Сомнительная законность этого была поднята в то время сенатором-демократом Роном Уайденом, который заявил, что это нарушает Четвертую поправку.
Очевидно, что многочисленные федеральные агентства стали покупать данные американцев, чтобы обойти их права, гарантированные Четвертой поправкой.
Отчет Министерства внутренней безопасности подтверждает незаконное использование
Министерство внутренней безопасности провело проверку закупки данных о местоположении смартфонов тремя государственными учреждениями и пришло к выводу, что они действительно нарушили закон.
В частности, Таможенно-пограничная служба США (CBP), Иммиграционная и таможенная служба США (ICE) и Секретная служба США нарушили меры защиты конфиденциальности, закрепленные в Законе об электронном правительстве 2002 года и Законе о внутренней безопасности 2002 года.
Копии отчета были предоставлены правоохранительным органам в прошлом месяце, но не общественности. Однако отредактированная копия теперь стала общедоступной и была опубликована в Интернете изданием 404 Media.
Таможенно-пограничная служба США, Иммиграционная и таможенная служба США и Секретная служба США не соблюдали политику конфиденциальности Министерства и не разработали достаточных политик до получения и использования коммерческих телеметрических данных (CTD).
В частности, подразделения не соблюдали политику конфиденциальности Министерства внутренней безопасности (DHS) и Закон об электронном правительстве 2002 года, которые требуют, чтобы определенные технологии, чувствительные к конфиденциальности, или данные, полученные с помощью таких технологий, как CTD, имели утвержденную Оценку воздействия на конфиденциальность (PIA) до разработки или приобретения таких технологий.
Это произошло потому, что у подразделений не было достаточного внутреннего контроля для обеспечения соответствия политике конфиденциальности DHS, а также потому, что Управление конфиденциальности DHS не соблюдало и не применяло свои собственные политики и руководства по конфиденциальности. Без действующей PIA риски конфиденциальности могут быть не выявлены и не смягчены.
В отчете содержится восемь рекомендаций, и подразумевается, что пять из них были выполнены к удовлетворению генерального инспектора.
Фото: Мэтт Попович/Общественное достояние
На основании информации, представленной в вашем ответе на проект отчета, мы считаем рекомендации 3, 4 и 6 открытыми и нерешенными.
Полный список рекомендаций приведен ниже, при этом нерешенные выделены жирным шрифтом:
Рекомендация 1: Мы рекомендуем Комиссару Таможенно-пограничной службы США прекратить использование коммерческих телеметрических данных до завершения и утверждения Оценок воздействия на конфиденциальность.
Рекомендация 2: Мы рекомендуем Комиссару Таможенно-пограничной службы США разработать и внедрить меры контроля для обеспечения соответствия политике конфиденциальности DHS, в частности, для утверждения Оценок воздействия на конфиденциальность, когда это требуется, до разработки или приобретения информационных технологий, которые собирают, хранят или распространяют информацию в идентифицируемой форме.
Рекомендация 3: Мы рекомендуем Директору Иммиграционной и таможенной службы США прекратить использование коммерческих телеметрических данных до завершения и утверждения Оценок воздействия на конфиденциальность.
Рекомендация 4: Мы рекомендуем Директору Иммиграционной и таможенной службы США разработать и внедрить меры контроля для обеспечения соответствия политике конфиденциальности DHS, в частности, для утверждения Оценок воздействия на конфиденциальность, когда это требуется, до разработки или приобретения информационных технологий, которые собирают, хранят или распространяют информацию в идентифицируемой форме.
Рекомендация 5: Мы рекомендуем Директору Секретной службы США разработать и внедрить меры контроля для обеспечения соответствия политике конфиденциальности DHS, в частности, для утверждения Оценок воздействия на конфиденциальность, когда это требуется, до разработки или приобретения информационных технологий, которые собирают, хранят или распространяют информацию в идентифицируемой форме.
Рекомендация 6: Мы рекомендуем Главному специалисту по конфиденциальности, Управлению конфиденциальности DHS включить в утвержденные Анализы пороговых значений конфиденциальности заявление о том, что использование проекта, программы или системы, определенной как чувствительная к конфиденциальности, не разрешено для оперативного использования до утверждения требуемой Оценки воздействия на конфиденциальность.
Рекомендация 7: Мы рекомендуем Главному специалисту по конфиденциальности, Управлению конфиденциальности DHS обеспечить соблюдение своих политик конфиденциальности или пересмотреть их, чтобы включить необходимые рекомендации для программных офисов по выполнению требований конфиденциальности, когда с должной осмотрительностью необходимо закупить и протестировать технологию для завершения процесса Оценки воздействия на конфиденциальность. Дополнительные рекомендации, если они будут разработаны, должны касаться обоснования отступления от политик конфиденциальности, связанных с Оценкой воздействия на конфиденциальность, и ограничений на оперативное использование информации, чувствительной к конфиденциальности; рекомендации также должны гарантировать, что Оценки воздействия на конфиденциальность завершены до того, как информация, чувствительная к конфиденциальности, будет собрана и использована в оперативных целях.
Рекомендация 8: Мы рекомендуем Главному специалисту по данным, Управлению главного специалиста по информационным технологиям, Директорату по управлению разработать и внедрить общеведомственную политику по коммерческим телеметрическим данным, включая требования к политике компонентов, для обеспечения надзора за использованием коммерческих телеметрических данных, защитой конфиденциальности и применимыми правовыми стандартами.