ABD Federal İletişim Komisyonu Pazartesi günü yaptığı açıklamada, ABD’nin dört büyük kablosuz iletişim operatörüne, müşterilerin gerçek zamanlı konum verilerini rızaları olmadan “yasadışı” olarak paylaşmaları ve satmaları nedeniyle toplamda yaklaşık 200 milyon dolar para cezası vereceğini söyledi.
FCC’nin açıklamasına göre AT&T’nin cezası 57 milyon dolardan fazla, Verizon’unki neredeyse 47 milyon dolardan, T-Mobile’ınki 80 milyon dolardan ve Sprint’inki ise 12 milyon dolardan fazla.
“İletişim sağlayıcılarımız hakkımızdaki en hassas bilgilerin bazılarına erişime sahip. Bu taşıyıcılar kendilerine emanet edilen bilgileri korumada başarısız oldu. Burada, ellerindeki en hassas verilerden bazılarından bahsediyoruz: müşterilerin gerçek zamanlı konum bilgileri, nereye gittiklerini ve kim olduklarını ortaya koyuyor,” dedi FCC Başkanı Jessica Rosenworcel duyuruda.
FCC, soruşturma kolu olan Uygulama Bürosu’nun, dört şirketin müşterilerinin konum verilerine erişimi, FCC’nin “toplayıcılar” olarak adlandırdığı üçüncü taraf şirketlere sattığı ve bu şirketlerin de konum verilerini diğer şirketlere yeniden sattığı sonucuna vardığını söyledi. Bu satış ve yeniden satış serisi, cep telefonu abonelerinin geçmiş ve gerçek zamanlı konum verileri için etkili bir şekilde tamamen gri bir pazar yarattı. Çoğu müşterinin, verilerinin satışına izin vermek şöyle dursun, verileri için böyle bir pazarın varlığından bile haberi yoktu.
FCC, cep telefonu operatörlerinin yasa gereği “bu tür müşteri bilgilerinin gizliliğini korumaları ve bu tür bilgileri kullanmadan, ifşa etmeden veya erişime izin vermeden önce olumlu, açık müşteri rızası almaları” gerektiğini yazdı.
Cezalar, haber kuruluşlarının yaptığı araştırmaların, dört taşıyıcının bu tür verileri diğer kuruluşların yanı sıra kolluk kuvvetleri ve ödül avcılarıyla paylaştığının ortaya çıkmasından yıllar sonra geldi.
2018’de The New York Times, ABD genelindeki kolluk kuvvetleri ve ceza infaz kurumlarının insanların konumlarını takip etmek için Securus Technologies adlı bir şirket kullandığını bildirdi. NYT, Securus’un çözümünün “genellikle pazarlamacılar ve diğer şirketler tarafından büyük cep telefonu operatörlerinden konum verilerini almak için kullanılan bir sisteme” dayandığını yazdı.
Ertesi yıl, Motherboard’da yapılan bir araştırma, ödül avcılarının herhangi bir cep telefonu müşterisinin konumunu 300 $ gibi düşük bir ücret karşılığında coğrafi olarak tespit edebildiğini ortaya çıkardı. Şu anda 404 Media’da bulunan Motherboard’dan Joseph Cox, o zamanlar şöyle yazmıştı: “Bu gözetleme yetenekleri bazen kulaktan kulağa ağlar yoluyla satılıyor.”
FCC, bu kamuya açık raporlara rağmen dört operatörün “müşterilerinin konum bilgilerine erişimi olan düzinelerce konum tabanlı hizmet sağlayıcının gerçekten müşteri rızası aldığından emin olmak için” güvenlik önlemlerini uygulamaya koymadığını ve verileri satmaya devam ettiğini yazdı .
Dört havayolunun tamamı kararı eleştirdi ve itiraz etmeyi planladıklarını söyledi.
T-Mobile sözcüsü Tara Darrow, yaptığı açıklamada şunları söyledi: “Sektör çapındaki bu üçüncü taraf toplayıcı konum tabanlı hizmet programı, yol yardımı, dolandırıcılığa karşı koruma ve acil müdahale gibi kritik hizmetlerin sunulmasını sağlamak için adımlar attıktan sonra beş yıldan fazla bir süre önce durduruldu.” aksamayacaktır.”
Darrow, 2020 yılında Sprint ile birleşen T-Mobile’ın karara itiraz edeceğini söyledi.
“Müşteri verilerini güvende tutma sorumluluğumuzu çok ciddiye alıyoruz ve FCC’nin tüketicileri koruma taahhüdünü her zaman destekledik, ancak bu karar yanlış ve ceza da çok fazla. Buna meydan okumayı planlıyoruz” ifadesine yer verildi.
AT&T sözcüsü Alex Byers da şirketin itiraz edeceğini söyledi ve FCC kararının “hem yasal hem de fiili değerden yoksun olduğunu” söyledi.
“Başka bir şirketin rıza almak için sözleşmeden doğan gereksinimlerimizi ihlal etmesinden bizi haksız bir şekilde sorumlu tutuyor, o şirketin başarısızlıklarını gidermek için attığımız acil adımları görmezden geliyor ve acil tıbbi uyarılar ve yol kenarı yardımı gibi hayat kurtaran konum hizmetlerini desteklediğimiz için bizi sapkın bir şekilde cezalandırıyor. FCC’nin kendisi daha önce teşvik etmişti. Byers, TechCrunch’a yaptığı açıklamada, “Yasal bir inceleme yaptıktan sonra karara itiraz etmeyi bekliyoruz” dedi.
Verizon sözcüsü Rich Young, “FCC’nin emri hem gerçekler hem de kanun açısından yanlış anlıyor ve bu karara itiraz etmeyi planlıyoruz” dedi.
“Bu durumda, kötü bir aktör çok az sayıda müşteriyle ilgili bilgilere yetkisiz erişim sağladığında, dolandırıcıyı hızlı ve proaktif bir şekilde durdurduk, programı kapattık ve bunun bir daha gerçekleşmemesini sağlamak için çalıştık.” beyanı okundu. “FCC’nin emrinin, Verizon’un yarım on yıldan fazla bir süre önce kapattığı eski bir programla ilgili olduğunu unutmayın. Bu program, müşterinin olumlu onayını gerektiriyordu ve yol yardımı ve tıbbi uyarılar gibi hizmetleri desteklemeyi amaçlıyordu.”
Kaynak: https://techcrunch.com/2024/04/30/us-fines-telcos-200m-for-sharing-customer-location-data-without-consent/