All'inizio di quest'anno, il Dipartimento del Commercio degli Stati Uniti proposto una regola normativa radicale ciò costringerebbe i fornitori di servizi cloud a raccogliere e conservare informazioni personali sui propri utenti, in particolare quelli con sede al di fuori degli Stati Uniti.
Questo regolamento, sollecitato dagli ordini esecutivi del presidente Joe Biden sul "Emergenza nazionale in relazione a importanti attività dannose abilitate al cyber”, richiederebbe un'ampia conservazione dei registri e la raccolta dei dati degli utenti per tutti i fornitori di Infrastructure as a Service (IaaS), aziende che offrono ciò che è comunemente noto come macchine virtuali, server Web, cloud computing e archiviazione, reti private virtuali (VPN), Bitcoin e nodi di criptovaluta, modelli di intelligenza artificiale e molto altro.
Gli obiettivi previsti sono servizi che hanno clienti con sede all'estero, al fine di fermare attori stranieri e hacker malintenzionati, ma la regola è scritta in modo sufficientemente ampio per cui qualsiasi fornitore di servizi cloud che non acquisisca queste informazioni dai suoi utenti nazionali negli Stati Uniti sarebbe responsabile di danni civili e sanzioni penali.
Il centro di scelta del consumatore commenti presentati opporsi alla norma proposta dal Dipartimento del Commercio, richiedendo numerosi cambiamenti e modifiche per proteggere meglio i dati e la privacy dei consumatori.
Si trova di seguito:
I prepotenti requisiti di identità KYC per i fornitori di servizi cloud mettono a rischio i consumatori e minacciano la libertà di parola e di commercio online
Caro Sottosegretario Alan F. Estevez,
Il Consumer Choice Center è un gruppo indipendente e imparziale di difesa dei consumatori che difende i vantaggi della libertà di scelta, dell'innovazione e dell'abbondanza nella vita di tutti i giorni.
In qualità di organizzazione che rappresenta i consumatori in tutto il Paese, siamo profondamente preoccupati per la norma proposta che richiede significative procedure Know Your Customer (KYC) per tutti i fornitori di Infrastruttura come servizio (IaaS), come dettagliato in Scheda n. DOC-2021-0007.
Se queste regole così come sono messe in atto, avranno conseguenze immediate sui consumatori e sugli utenti online che creano, utilizzano e distribuiscono tutti i tipi di servizi online, server, sistemi cloud e macchine virtuali. Ciò include servizi che consentono agli utenti di implementare server per ospitare i propri documenti privati e contenuti fotografici, nodi Bitcoin e criptovaluta, modelli di intelligenza artificiale, reti private virtuali (VPN) e altro ancora, in conformità con i termini di servizio offerti dai fornitori IaaS.
Sebbene queste regole abbiano lo scopo di fornire un accesso più immediato a informazioni e dati su attori stranieri malintenzionati che utilizzano l’infrastruttura cloud americana, comporteranno invece un rischio significativo per la privacy individuale, faciliteranno la perdita o l’uso dannoso dei dati e conferiranno poteri straordinari alle agenzie governative. che sono incompatibili con la Costituzione degli Stati Uniti e con la Carta dei Diritti.
Comprendiamo che l'intenzione sia quella di prendere di mira attori stranieri ostili, ma i requisiti imposti ai fornitori di servizi statunitensi richiederanno inevitabilmente che anche ogni americano fornisca queste informazioni.
Il requisito che i fornitori di servizi mantengano informazioni personali e finanziarie esaustive sui propri clienti rappresenta non solo una grave violazione della privacy, ma un rischio significativo, poiché migliaia di fornitori IaaS saranno in possesso di grandi quantità di dati personali che potrebbero essere violati o divulgati .
Inoltre, le forze dell'ordine possiedono già strumenti e autorità sufficienti per seguire i procedimenti legali per acquisire mandati e condurre informazioni.
Riteniamo che questa norma proposta vada troppo oltre nel limitare la possibilità per gli americani di utilizzare i servizi online che desiderano scegliere e limiterebbe la loro capacità di utilizzare server e servizi cloud senza rischi significativi per la privacy e i dati personali.
Inoltre, l’esaustività delle informazioni richieste da un servizio che vuole offrire agli utenti la possibilità di eseguire una macchina virtuale, un server, un modello di intelligenza artificiale o altro, spingerà necessariamente la maggior parte degli americani a rinunciare completamente all’utilizzo dei servizi domestici, creando conseguenze economiche non calcolate. nei costi di conformità della norma proposta.
Raccomanderemmo che questa regola fosse rivista completamente, eliminando i significativi rischi per la privacy che la raccolta KYC sui fornitori IaaS richiederebbe per gli utenti domestici, così come l’autorità duplicativa ed extralegale che verrebbe concessa alle forze dell’ordine, in violazione del diritto costituzionale.
Di seguito elenchiamo le due principali aree di preoccupazione per i consumatori statunitensi.
Requisiti KYC per utenti stranieri applicati agli utenti nazionali
Come notato nel Sfondo previste nelle Informazioni Supplementari della norma, questi nuovi poteri imporrebbero ai fornitori di servizi di segmentare gli utenti in base al loro Paese di origine:
Per far fronte a queste minacce, il Presidente ha emesso l'EO 13984, "Adozione di ulteriori misure per affrontare l'emergenza nazionale rispetto a significative attività dannose abilitate all'uso di strumenti informatici", che conferisce al Dipartimento l'autorità di richiedere ai fornitori IaaS statunitensi di verificare l'identità degli utenti stranieri di prodotti IaaS statunitensi, per emanare standard e procedure che il Dipartimento può utilizzare per esentare i fornitori IaaS da tale requisito, per imporre obblighi di tenuta dei registri rispetto agli utenti stranieri di prodotti IaaS statunitensi e per limitare l'accesso di alcuni attori stranieri a Prodotti IaaS statunitensi in circostanze appropriate.
Tuttavia, affinché i fornitori IaaS possano determinare in modo efficace la posizione di un utente, saranno tenuti dalle forze di legge – e dal rischio di sanzioni civili e penali – a registrare, classificare e documentare la posizione di un utente e le relative informazioni personali indipendentemente da la loro ubicazione, il tutto nel tentativo di determinare se un potenziale utente sarebbe considerato un “utente straniero” o una persona beneficiaria.
Ciò porterà a una maggiore raccolta di informazioni simili ai conti bancari e alle transazioni finanziarie, portando a diffusi requisiti di “Conosci il tuo cliente” (KYC) che non sono mai stati applicati a questo livello ai servizi online.
Al di là dell'approvazione del Congresso, riteniamo che questa proposta di regolamento superi di gran lunga i limiti dell'autorità dell'agenzia, sia da parte del Dipartimento del Commercio che tramite i menzionati ordini esecutivi, e creerebbe significative aree di rischio per gli utenti ordinari e i clienti sia all'estero che negli Stati Uniti. .
Inoltre, l'ampia applicazione e definizione di servizio coperto – “qualsiasi prodotto o servizio offerto a un consumatore, comprese offerte gratuite o di “prova”, che fornisce elaborazione, archiviazione, reti o altre risorse informatiche fondamentali e con cui il consumatore è in grado di distribuire ed eseguire software non predefinito, inclusi sistemi operativi e applicazioni” – significa essenzialmente che qualsiasi servizio cloud rientrerebbe nell’ambito di applicazione di questo regolamento.
Il rischio di violazioni della privacy
Poiché ai fornitori di servizi verrebbe richiesto di mantenere un solido programma di identificazione del cliente, come delineato nel § 7.302, ciò imporrebbe a tutti i fornitori di servizi cloud la responsabilità di raccogliere e conservare nome completo, indirizzo, numero di carta di credito, numeri di valuta virtuale, e-mail, telefono numeri, indirizzi IP e altro su qualsiasi potenziale cliente del loro servizio.
Pur apprezzando che i fornitori di cloud privati e le aziende IaaS abbiano la libertà di determinare come strutturare i propri programmi di identificazione dei clienti, riteniamo che l'obbligo di raccogliere queste informazioni e archiviarle localmente costituirà un alto potenziale di accesso a tali informazioni senza autorizzazione. , da attacchi hacker, fughe di notizie o altre attività dannose.
Poiché ai fornitori di servizi sarà richiesto di catalogare queste informazioni per anni e anni, ciò si rivelerà inevitabilmente un obiettivo di alto valore per gli autori malintenzionati, fornendo al contempo un vantaggio minimo alle forze dell'ordine che possono già ottenere legalmente queste informazioni tramite mandati eseguiti legalmente. .
Poteri straordinari e duplicativi
Le forze dell'ordine a livello federale, statale e locale possiedono già gli strumenti legali per citare in giudizio o richiedere fornitori di cloud dati o fornitori di VPN con mandati ottenuti legalmente.
Il fatto che ai fornitori IaaS venga richiesto non solo di conservare queste informazioni, ma anche di "notificare" preventivamente le forze dell'ordine senza alcun ordine giudiziario o sospetto di un crimine, viola il Quarto Emendamento e la Due Process Clause come interpretato dal Quinto e dal Quattordicesimo Emendamento.
La sezione § 7.306(d) stabilisce la clausola per essere esentati dai requisiti come "cooperazione volontaria" con le forze dell'ordine, obbligando quindi i fornitori a consentire l'accesso a "informazioni forensi per indagini su attività informatiche dannose identificate".
Riteniamo che ciò potrebbe essere facilmente abusato, poiché fornirebbe alle aziende un percorso legale per divulgare le informazioni sui clienti alle autorità governative oltre quanto necessario e legale, e fornirebbe incentivi alle aziende e alle società per fornire volontariamente informazioni sui propri clienti alle agenzie governative, alla legge agenti delle forze dell'ordine e altro ancora.
Così come è stata scritta, riteniamo che questa norma proposta sia stata offerta in fretta e che probabilmente porterà a danni e rischi significativi per i dati dei consumatori, la privacy e la loro libertà di impegnarsi nel libero commercio. Vorremmo sollecitare che questa regola venga riscritta tenendo presenti queste preoccupazioni.
Cordiali saluti,
Yael Ossowski
Vicedirettore,
Centro di scelta dei consumatori