"Sedikit lagi tentang PD": Perusahaan TV AS akan berhenti menjual geodata pelanggan

Pekan lalu, perusahaan telekomunikasi AS Verizon, AT&T, dan Sprint Corp mengatakan mereka tidak akan lagi menjual data lokasi perangkat pengguna kepada broker.

Di bawah potongan, kami akan menjelaskan mengapa operator telekomunikasi membuat keputusan seperti itu.


/ foto Bertram Nudelbach CC

Masalah dengan data geolokasi

Pialang data adalah organisasi yang mengumpulkan dan menjual informasi tentang pengguna berbagai layanan. Broker menganalisis riwayat pencarian dan pembelian di jaringan, serta informasi yang ditentukan dalam profil media sosial (status perkawinan, pendidikan, minat, dll.). Seringkali pelanggan mereka adalah perusahaan yang melakukan kampanye iklan bertarget. Misalnya, layanan broker beralih ke Facebook .

Broker juga mengumpulkan data tentang geolokasi pengguna - mereka membeli informasi ini dari operator seluler. Data lokasi perangkat digunakan oleh sistem anti-penipuan dan perusahaan yang memberikan bantuan darurat di jalan - dalam hal terjadi kerusakan mobil atau jika terjadi kecelakaan.

Namun, pada akhir Juni diketahui bahwa sejumlah penyedia telekomunikasi AS akan berhenti menjual data di lokasi perangkat pelanggan mereka. Keputusan itu muncul setelah Senator Ronald Lee Wyden mengumumkan bahwa beberapa broker mentransfer data ke pihak ketiga, dan mereka menggunakannya tanpa persetujuan pengguna untuk "melacak" telepon.

Juga diketahui bahwa salah satu broker yang berkolaborasi dengan Verizon meneruskan geodata ke organisasi yang menggunakannya untuk melacak orang.

Karenanya, Verizon mengumumkan bahwa mereka akan berhenti menjual data lokasi ke pialang data. Tak lama setelah Verizon, AT&T, Sprint Corp, dan T-Mobile juga mengubah kebijakan lokasi pelanggan mereka .


/ foto Katalog Buku CC

Masalah keamanan

Salah satu alasan penolakan untuk menjual data geolokasi adalah juga fakta bahwa banyak situs "pialang" tidak terlindungi dengan baik. Dalam hal meretas salah satunya, peretas akan dapat menentukan lokasi telepon mana pun di Amerika Serikat.

Spesialis dan peneliti keamanan informasi Alex Haynes (AS) menganalisis situs web pialang data AS untuk kerentanan dan menemukan bahwa separuh menerima skor kurang dari A ketika lulus tes Labs SSL . Dan pada sejumlah sumber, dia mengungkapkan suntikan SQL.

Dan ada beberapa kasus ketika informasi yang dikirim ke broker jatuh ke tangan pihak ketiga tanpa sepengetahuan penyedia. Pada 2011, penyerang "meretas" perusahaan pemasaran Epsilon, dan jutaan alamat email orang (dari daftar pemasaran perusahaan) "bocor" ke jaringan. Akibatnya, pemilik e-mail ini diserang oleh spammer dan menjadi korban phishing yang ditargetkan .

Dan pada 2015, cracker di broker data Experian “membocorkan” informasi pribadi kepada 15 juta pengguna, termasuk nama, alamat, nomor jaminan sosial, dan paspor.

Peraturan Broker Data AS

Mengingat peristiwa baru-baru ini, dan karena broker bekerja dengan data pribadi pengguna, beberapa anggota parlemen AS telah memutuskan untuk memperhatikan peraturan daerah ini.

Misalnya, pada bulan Mei tahun ini, Negara Bagian Vermont mengeluarkan Undang - Undang H.764 , yang menyatakan bahwa semua pialang data yang bekerja di negara bagian Vermont atau mengumpulkan informasi tentang penghuninya setiap tahun harus mendaftar pada otoritas lokal, mengamati semua tindakan keamanan yang ditentukan oleh undang-undang, dan melaporkan kebocoran data ke penegak hukum (yang sebelumnya opsional).

Pihak berwenang di negara bagian lain juga mengambil langkah-langkah untuk memperketat persyaratan pemrosesan PD. Misalnya, mulai bulan September tahun ini, perusahaan yang beroperasi di Colorado akan diminta untuk memberi tahu pelanggan dan pihak berwenang "kebocoran data" dalam waktu 30 hari, dan penduduk California mungkin memiliki hak tambahan terkait PD jika inisiatif baru "lolos uji ".

Di antara hak-hak ini: hak untuk memberikan informasi yang dikumpulkan oleh perusahaan mana pun kepada pemilik PD; hak untuk menuntut agar perusahaan tidak menjual atau menyediakan PD kepada pihak ketiga untuk tujuan komersial.

Dari sini kita dapat menyimpulkan bahwa pemerintah AS dan penyedia secara bertahap menyadari bahaya yang ditimbulkan oleh kebocoran data pribadi, oleh karena itu mereka mencoba melindungi populasi negara itu dari ancaman potensial karena peraturan perundang-undangan yang lebih ketat.

---

NB Beberapa materi lagi dari First Ia IaS Blog:

• Apa yang berkaitan dengan data pribadi dari sudut pandang regulator Rusia
• Perlindungan data pribadi: pendekatan Eropa
• Memproses data pribadi: apa yang dikatakan hukum

PPS Posting pada subjek dari blog kami di Habré:

• “Menurut GDPR”: bagaimana jejaring sosial mengubah kebijakan privasi dan prinsip kerja dengan PD
• Tenggat waktu terlewat, atau mengapa lebih dari setengah perusahaan tidak siap untuk GDPR
• Reformasi hak cipta UE dapat sepenuhnya mengubah status web

---

Aktivitas utama perusahaan IT-GRAD adalah penyediaan layanan cloud:

Infrastruktur Virtual (IaaS) | Hosting PCI DSS | Cloud FZ-152 | Sewa 1C di awan

---