No início deste ano, o Departamento de Comércio dos EUA propôs uma regra regulatória abrangente isso forçaria os provedores de serviços em nuvem a coletar e reter informações pessoais de seus usuários, especialmente aqueles baseados fora dos Estados Unidos.
Este regulamento, motivado pelas Ordens Executivas do Presidente Joe Biden sobre o “Emergência nacional com relação a atividades cibernéticas maliciosas significativas”, exigiria extensa manutenção de registros e coleta de dados de usuários para todos os provedores de infraestrutura como serviço (IaaS), empresas que oferecem o que é comumente conhecido como máquinas virtuais, servidores web, computação e armazenamento em nuvem, redes privadas virtuais (VPNs), Bitcoin e nós de criptomoeda, modelos de inteligência artificial e muito mais.
Os alvos pretendidos são serviços que têm clientes baseados no exterior, a fim de impedir hackers e atores estrangeiros mal-intencionados, mas a regra é escrita de forma ampla o suficiente para que qualquer provedor de nuvem que não capture essas informações de seus usuários domésticos nos EUA seja responsável por ações civis e Penalidades criminais.
Centro de Escolha do Consumidor comentários enviados opor-se à regra proposta pelo Departamento de Comércio, solicitando diversas mudanças e modificações para melhor proteger os dados e a privacidade do consumidor.
Encontra-se abaixo:
Requisitos arrogantes de identidade KYC para provedores de nuvem colocam os consumidores em risco e ameaçam a liberdade de expressão e o comércio on-line
Prezado subsecretário Alan F. Estevez,
O Consumer Choice Center é um grupo independente e apartidário de defesa do consumidor que defende os benefícios da liberdade de escolha, inovação e abundância na vida cotidiana.
Como uma organização que representa consumidores em todo o país, estamos profundamente preocupados com a regra proposta que exige procedimentos significativos de Conheça Seu Cliente (KYC) para todo e qualquer provedor de Infraestrutura como Serviço (IaaS), conforme detalhado em Álbum nº DOC-2021-0007.
Se estas regras, tal como estão, entrarem em vigor, terão consequências imediatas para os consumidores e utilizadores online que criam, utilizam e implementam todos os tipos de serviços online, servidores, sistemas em nuvem e máquinas virtuais. Isso inclui serviços que permitem aos usuários implantar servidores para hospedar seus próprios documentos privados e conteúdo fotográfico, nós de Bitcoin e criptomoeda, modelos de inteligência artificial, redes privadas virtuais (VPNs) e muito mais, de acordo com os termos de serviço oferecidos pelos provedores de IaaS.
Embora essas regras se destinem a fornecer acesso mais imediato a informações e dados sobre atores estrangeiros mal-intencionados que utilizam a infraestrutura de nuvem americana, elas resultarão em um risco significativo para a privacidade individual, facilitarão a perda ou o uso malicioso de dados e concederão poderes extraordinários às agências governamentais. que são inconsistentes com a Constituição dos EUA e a Declaração de Direitos.
Compreendemos que a intenção é atingir intervenientes hostis estrangeiros, mas a exigência imposta aos prestadores de serviços dos EUA exigirá inevitavelmente que todos os americanos forneçam também esta informação.
A exigência de que os prestadores de serviços mantenham informações pessoais e financeiras exaustivas sobre os seus clientes apresenta não apenas uma grave violação da privacidade, mas também um risco significativo, uma vez que os milhares de fornecedores de IaaS estarão na posse de grandes quantidades de dados pessoais susceptíveis de serem pirateados ou divulgados. .
Além do mais, as agências de aplicação da lei já possuem ferramentas e autoridade suficientes para seguir processos legais para obter mandados e conduzir informações.
Acreditamos que esta regra proposta vai longe demais ao restringir a capacidade dos americanos de usarem os serviços online que desejam escolher e limitaria a sua capacidade de usar servidores e serviços em nuvem sem risco significativo para a sua privacidade e dados pessoais.
Além disso, as informações exaustivas exigidas por um serviço que pretende oferecer aos utilizadores a capacidade de executar uma máquina virtual, um servidor, um modelo de IA ou mais, obrigarão necessariamente a maioria dos americanos a optar por não utilizar totalmente os serviços domésticos, criando consequências económicas não calculadas. nos custos de conformidade da regra proposta.
Recomendamos que esta regra seja totalmente revista, eliminando os riscos significativos de privacidade que a recolha de KYC em fornecedores de IaaS exigiria para os utilizadores domésticos, bem como a autoridade duplicada e extralegal que seria concedida aos agentes da lei, em violação da lei constitucional.
Abaixo, listamos as duas principais áreas de preocupação para os consumidores dos EUA.
Requisitos KYC para usuários estrangeiros aplicados a usuários domésticos
Como observado no Fundo previsto nas Informações Suplementares da norma, esses novos poderes exigiriam que os prestadores de serviços segmentassem os usuários com base em seu país de origem:
Para enfrentar essas ameaças, o Presidente emitiu a EO 13984, “Tomando medidas adicionais para enfrentar a emergência nacional com relação a atividades cibernéticas maliciosas significativas”, que fornece ao Departamento autoridade para exigir que os provedores de IaaS dos EUA verifiquem a identidade de usuários estrangeiros de produtos IaaS dos EUA, para emitir padrões e procedimentos que o Departamento possa usar para fazer uma conclusão para isentar os provedores de IaaS de tal exigência, para impor obrigações de manutenção de registros com relação a usuários estrangeiros de produtos IaaS dos EUA e para limitar o acesso de certos atores estrangeiros a Produtos IaaS dos EUA em circunstâncias apropriadas.
No entanto, para que os provedores de IaaS determinem efetivamente a localização de um usuário, eles serão obrigados pela força da lei – e pelo risco de penalidades civis e criminais – a registrar, categorizar e documentar a localização de um usuário e as informações pessoais que a acompanham, independentemente de sua localização, tudo no esforço de determinar se um usuário potencial seria considerado um “usuário estrangeiro” ou pessoa benéfica.
Isto levará a um aumento da recolha de informações semelhantes a contas bancárias e transações financeiras, conduzindo a requisitos generalizados de “Conheça o seu Cliente” (KYC) que nunca foram aplicados a este nível aos serviços online.
Além da aprovação do Congresso, acreditamos que esta proposta de regulamento excede em muito os limites da autoridade da agência, seja do Departamento de Comércio ou através das Ordens Executivas mencionadas, e criaria áreas de risco significativas para usuários comuns e clientes localizados no exterior e nos Estados Unidos. .
Além disso, a ampla aplicação e definição de serviço coberto – “qualquer produto ou serviço oferecido a um consumidor, incluindo ofertas gratuitas ou de “teste”, que forneça processamento, armazenamento, redes ou outros recursos computacionais fundamentais, e com os quais o consumidor é capaz de implantar e executar software que não é predefinido, incluindo sistemas operacionais e aplicativos” – significa essencialmente que qualquer serviço em nuvem estaria dentro do escopo deste regulamento.
O risco de violações de privacidade
Como os provedores de serviços seriam obrigados a manter um Programa de Identificação de Clientes robusto, conforme descrito no § 7.302, isso colocaria a responsabilidade de todos os provedores de nuvem para coletar e reter o nome completo, endereço, número de cartão de crédito, números de moeda virtual, e-mail, telefone números, endereços IP e muito mais sobre qualquer cliente potencial de seu serviço.
Embora reconheçamos que os provedores de nuvem privada e as empresas de IaaS teriam liberdade para determinar como estruturam seus Programas de Identificação de Clientes, acreditamos que a exigência de coletar essas informações e armazená-las localmente constituirá um alto potencial para que essas informações sejam acessadas sem autorização , seja por hacks, vazamentos ou outras atividades maliciosas.
Dado que os prestadores de serviços serão obrigados a catalogar esta informação durante anos a fio, isto revelar-se-á inevitavelmente um alvo de elevado valor para intervenientes mal-intencionados, ao mesmo tempo que proporciona um benefício mínimo às agências de aplicação da lei que já podem obter legalmente esta informação através de mandados legalmente executados. .
Poderes Extraordinários e Duplicativos
As agências de aplicação da lei em nível federal, estadual e local já possuem as ferramentas legais para intimar ou solicitar provedores de nuvem de dados ou provedores de VPN com mandados obtidos legalmente.
O fato de os provedores de IaaS serem obrigados não apenas a reter essas informações, mas também a “notificar” preventivamente as autoridades policiais sem qualquer ordem judicial ou suspeita de crime, viola a Quarta Emenda e a Cláusula do Devido Processo, conforme interpretada a partir da Quinta e Décima Quarta Emendas.
A Seção § 7.306(d) estabelece a estipulação para ser isento dos requisitos como “cooperação voluntária” com agências de aplicação da lei, forçando então os provedores a permitir o acesso a “informações forenses para investigações de atividades maliciosas identificadas via cibernética”.
Acreditamos que isso seria facilmente abusado, pois proporcionaria um caminho legal para as empresas divulgarem informações de clientes às autoridades governamentais além do que é necessário e legal, e forneceria incentivos para que empresas e empresas enviassem voluntariamente informações sobre seus clientes a agências governamentais, leis agentes de fiscalização e muito mais.
Tal como está escrito, acreditamos que esta regra proposta foi oferecida às pressas e provavelmente levará a danos e riscos significativos aos dados, à privacidade e à liberdade dos consumidores de se envolverem no comércio livre. Recomendamos que esta regra seja reescrita tendo estas preocupações em mente.
Atenciosamente,
Yaël Ossowski
Vice diretor,
Centro de Escolha do Consumidor