FTC muistuttaa meitä oikeudesta tulla unohdetuksi
Sisällysluettelo:
"Internet ei koskaan unohda" on varoitus siitä, että se, mitä teet verkossa, voi kummituttaa sinua myöhemmin. Se on myös a yleinen myytti, koska sisältö katoaa usein, joko vahingossa tai tarkoituksella. Yritä vain käyttää niitä online-keskustelufoorumeita, joita luit vuonna 1998. Or vuosikymmeniä MTV Newsista.
Joissakin tapauksissa ihmiset saattavat kuitenkin haluta digitaalisten tietojensa katoavan – varsinkin kun niitä isännöivät yritykset, joihin he eivät enää luota. FTC teki siitä hieman helpompaa lokakuussa, kun se asettunut a tapaus Marriott Internationalin kanssa. Tämä sovinto antaa kuluttajille mahdollisuuden vaatia Marriott Internationalia poistamaan tietonsa. Voisiko tämä luoda Yhdysvalloissa ennakkotapauksen, josta eurooppalaiset kuluttajat ovat nauttineet vuosia?
Kun rikolliset kirjautuivat sisään – ja kirjasivat ulos miljoonia levyjä
Vuonna 2018 Marriott paljasti, että tunkeilijat olivat vaarantaneet sen Starwood Hotels & Resorts -tytäryhtiön varausjärjestelmän. Kahdessa rikkomuksessa he varastivat Starwoodilta 339 miljoonaa asiakasta, mukaan lukien luottokorttitiedot ja passin numerot.
Hyökkäykset alkoivat vuonna 2014 ennen kuin Marriott osti Starwoodin. Kun Marriott havaitsi rikkomuksen kaksi vuotta 2016 hankinnan jälkeen, se ei vieläkään ollut siirtänyt Starwoodia omaan varausjärjestelmäänsä. Sitten vuosina 2018–2020 tapahtui kolmas rikkomus, joka tällä kertaa vaikutti Marriottin omiin järjestelmiin. Tämän tunkeutumisen yhteydessä varastettiin vielä 5.2 miljoonaa asiakastietuetta, pääasiassa heidän kanta-asiakaspisteiden varastamisesta.
FTC:n valitus Marriottia vastaan keskittyy kahteen asiaan. Ensimmäinen on väitetty asianmukaisten turvatoimien, kuten salasanan hallinnan, ohjelmistokorjausten ja verkon kirjaamisen, tarjoamatta jättäminen. Toinen on se, mitä FTC pitää kuluttajien pettämisessä harhaanjohtavien turvallisuuslausuntojen avulla.
Mitä FTC ei nimenomaisesti täsmentä valituksessaan, on Marriottin salausvaatimusten kääntäminen. Hotellinpitäjä sanoi tuolloin, että luottokorttien numerot ja jotkut passitiedot Starwood-loukkauksessa oli salattu AES-128:lla, tehokkaalla salausprotokollalla. Kuitenkin oikeudellisessa kuulemisessa 10. huhtikuuta tänä vuonna se Paljasti, että se oli itse asiassa käsitelty SHA-1-hajautusalgoritmilla. Tämä ei ole vain salausmekanismi, vaan tietoturvatutkijat ovat myös paljastaneet SHA-1:n haavoittuvuuksia jo vuonna 2005. NSA on nyt poistanut sen kokonaan.
Kuluttajat voivat pian poistaa Marriott-tietonsa
Marriott suostui 52 miljoonan dollarin maksuun erillisessä sovinnossa 50 lakimiehen kanssa. Tämä vastaa 0.8 prosenttia sen tuloista tai hieman yli kolmen päivän kuluista – tai toisin sanoen noin 15 senttiä kärsivää kuluttajaa kohden.
Ehkä merkittävämpi tulos Marriottin rikkomisen todellisille uhreille oli hotelliketjun sopimus sekä osavaltioiden että FTC:n kanssa, jonka mukaan asiakkaat voivat poistaa henkilökohtaiset tietonsa järjestelmistään. Marriottin on lisättävä verkkosivuilleen painike, jonka avulla asiakkaat voivat pyytää tietojen poistamista. Sen on sitten vahvistettava vastaanottaneensa ja selitettävä tietojen poistoprosessi 60 päivän kuluessa kustakin pyynnöstä.
Tämä ei ole ensimmäinen kerta, kun FTC on esittänyt tietojen poistopyyntöjä osana ratkaisujaan. Lokakuussa 2022 komissio sopi opetusteknologian toimittaja Cheggin kanssa sen väitetyistä kyberturvallisuuspuutteista, ja sopimukseen sisältyi määräys, jonka mukaan yritys antoi kuluttajien poistaa tietonsa. A sovitus kanssa markkinointiyhtiö InMarket tämän vuoden toukokuussa vaati myös yritystä poistamaan asiakkaan pyynnöstä kaikki asiakkaan sijaintitiedot.
Kuitenkin analyysi Marriottin tapauksessa IAPP Cybersecurity Law Centerin toimitusjohtaja Jim Dempsey sanoo, että Marriottin sovinto sisältää jotain uutta. "Se oli ensimmäinen kerta, kun FTC vaati tietoturvaloukkauksesta kärsivää yritystä antamaan kaikille asiakkaille linkin, joka pyytää sähköpostiosoitteeseen ja/tai kanta-asiakaspalkkioohjelman tilinumeroon liittyvien henkilötietojen poistamista", hän sanoi.
Kuluttajatietojen poistovaatimusten levittäminen
Nämä tietojen poistamista koskevat säännökset saattavat yleistyä. Yhdysvalloissa ei ole liittovaltion tietosuojalakia. Useat osavaltiotason tietojen poistamista koskevat lait ovat kuitenkin jo voimassa tai niiden on määrä tulla voimaan. Kaliforniassa, Coloradossa, Connecticutissa, Utahissa ja Virginiassa liiketoimintaa harjoittavien on nyt poistettava kuluttajatiedot pyynnöstä, kun taas vastaavat lait Iowassa ja Nebraskassa tulevat voimaan ensi vuoden tammikuussa. Työssä on enemmänkin.
Euroopassa yritykset ovat käsitelleet tätä jo pitkään. Vuonna 2018 voimaan tullut yleinen tietosuoja-asetus (GDPR) on antanut kuluttajille oikeuden poistaa tietoja.
Kaikki tämä tarkoittaa, että FTC:n uusin ja aggressiivisin poisto-oikeusratkaisu ei todennäköisesti jää sen viimeiseksi. Kun uusi, suurelta osin sääntelyä vastustava hallitus on tulossa, on epäselvää, hyväksyykö kongressi kattavan liittovaltion lain poistaa lain pian. Kuitenkin, kun valtion tason tuki poisto-oikeuden toimenpiteille kasvaa, se antaa FTC:lle enemmän pohjaa käyttää tätä konseptia yritysten kanssa sovittaessa.
Kuinka valmistautua
On tärkeää, että organisaatiot, jotka luulevat, että tietojen poistopyynnöt saattavat vaikuttaa niihin, valmistautuvat niihin. Tähän liittyy sekä juridisia että teknisiä näkökohtia. Heidän vastuunsa ymmärtäminen saapuvan poistopyynnön suhteen tarkoittaa tietojen erityispiirteiden arvioimista säännön soveltamisalaan nähden – olipa kyseessä säädösratkaisu, osavaltion laki tai alueellinen määräys. Tähän sisältyy ymmärrys siitä, onko tietojen säilyttämisen tarkoitus säännön mukaan vapautettu ja tarvitsetko tietoja henkilön kanssa tehdyn sopimuksen täyttämiseksi.
Jos sinun on poistettava tiedot, kyseisten tietojen tunnistaminen ja kerääminen usein useista järjestelmistä. Tätä tukevan tiedonhallintastrategian luominen voi sisältää tekniikan käyttämisen tietojen merkitsemiseen ja paikantamiseen pyynnöstä ja poistotietueiden luomisen raportoinnin automatisoimiseksi.
Mitä enemmän kuluttajilla on oikeuksia poistaa tietojaan, sitä enemmän se saattaa palauttaa luottamuksen verkkoekosysteemiin, joka on pettänyt heidät pahasti. Yritykset, jotka valmistautuvat tähän mahdollisuuteen nyt, tekevät enemmän kuin varmistavat, että ne voivat noudattaa tätä erityissääntöä. he tasoittavat tietojen hallintaa maailmassa, joka tarvitsee sitä kipeästi.
