Die FTC herinner ons aan die reg om vergeet te word
INHOUDSOPGAWE:
'Die internet vergeet nooit' is 'n waarskuwing dat wat jy aanlyn doen, later by jou kan terugkom. Dit is ook 'n algemene mite, aangesien inhoud gereeld verdwyn, hetsy per ongeluk of doelbewus. Probeer net toegang tot daardie aanlyn besprekingsforums wat jy in 1998 gelees het. Of dekades van MTV News.
In sommige gevalle kan mense egter daarvan hou dat hul digitale inligting verdwyn - veral wanneer dit deur maatskappye aangebied word wat hulle nie meer vertrou nie. Die FTC het dit in Oktober 'n bietjie makliker gemaak toe dit gevestig a geval met Marriott International. Dié skikking stel verbruikers in staat om te eis dat Marriott International hul rekords uitvee. Kan dit 'n presedent in die VSA skep wat Europese verbruikers jare lank geniet?
Toe misdadigers ingeboek het – en miljoene rekords uitgecheck het
In 2018 het Marriott onthul dat indringers die besprekingstelsel van sy Starwood Hotels & Resorts-filiaal gekompromitteer het. In twee oortredings het hulle 339 miljoen kliënterekords van Starwood gesteel, insluitend kredietkaartbesonderhede en paspoortnommers.
Die aanvalle het in 2014 begin voordat Marriott Starwood verkry het. Toe Marriott die oortreding twee jaar ná die 2016-verkryging ontdek het, het hy Starwood steeds nie na sy eie besprekingstelsel oorgeskakel nie. Toe, tussen 2018 en 2020, het 'n derde oortreding plaasgevind, hierdie keer wat Marriott se eie stelsels beïnvloed het. Daardie inbraak het gelei tot die diefstal van nog 5.2 miljoen kliënterekords, hoofsaaklik omdat hulle hul lojaliteitspunte gesteel het.
Die FTC se klagte teen Marriott fokus op twee dinge. Die eerste is die beweerde versuim om toepaslike sekuriteitsmaatreëls te verskaf, insluitend wagwoordkontroles, sagteware-kolle en netwerkregistrasie. Die tweede is wat die FTC beskou as verbruikersmisleiding deur misleidende sekuriteitsverklarings.
Wat die FTC nie uitdruklik in sy klagte uiteensit nie, is Marriott se U-draai op sy enkripsie-eise. Die hotelier het destyds gesê dat die kredietkaartnommers en sommige paspoortdata in die Starwood-oortreding geïnkripteer is met AES-128, 'n kragtige enkripsieprotokol. In 'n regsverhoor op 10 April vanjaar het dit egter die lig gebring dat dit is in werklikheid verwerk met behulp van die SHA-1 hashing-algoritme. Nie net is dit nie 'n enkripsiemeganisme nie, maar sekuriteitsnavorsers het ook kwesbaarhede in SHA-1 so ver terug as 2005 ontbloot. Die NSA het dit nou heeltemal afgetree.
Verbruikers sal binnekort hul Marriott-data kan uitvee
Marriott het ingestem tot 'n stewige betaling van $52 miljoen in 'n aparte skikking met 50 prokureurs-generaal. Dit is verantwoordelik vir 0.8% van sy inkomste of net meer as drie dae se inkomste—of, anders gestel, sowat 15 sent per geaffekteerde verbruiker.
Miskien 'n meer wesenlike uitkoms vir die werklike slagoffers van die Marriott-oortreding was die hotelketting se ooreenkoms met beide die state en die FTC dat dit kliënte sou toelaat om hul persoonlike inligting uit sy stelsels te verwyder. Marriott moet 'n knoppie op sy webwerf insluit wat kliënte in staat stel om hierdie data-uitvee te versoek. Dit moet dan ontvangs bevestig en die data-skrapproses verduidelik binne 60 dae na elke versoek.
Dit is nie die eerste keer dat die FTC versoeke vir die uitvee van data as deel van sy skikkings uitgereik het nie. In Oktober 2022 het die Kommissie met die opvoedkundige tegnologieverskaffer Chegg geskik vir sy beweerde kubersekuriteitstekortkominge, en die ooreenkoms het 'n bevel ingesluit vir die maatskappy om verbruikers hul data te laat uitvee. A nedersetting met bemarkingsmaatskappy InMarket het in Mei vanjaar ook 'n eis ingesluit dat die maatskappy enige kliënt se liggingdata op versoek van die klant uitvee.
In 'n analise van die Marriott-saak, sê Jim Dempsey, besturende direkteur van die IAPP Cybersecurity Law Centre, dat die Marriott-skikking iets nuuts bevat. "Dit was die eerste keer dat die FTC 'n maatskappy wat 'n sekuriteitsbreuk gely het, vereis het om aan alle kliënte 'n skakel te verskaf om die verwydering van persoonlike inligting wat verband hou met 'n e-posadres en/of 'n lojaliteitsbeloningsprogramrekeningnommer te versoek," het hy gesê.
Verspreiding van verbruikersdata-skrapvereistes
Hierdie dataskrapbepalings kan meer wydverspreid raak. Die VSA het nie 'n federale privaatheidswet nie. Daar is egter baie wette oor die uitvee van data op staatsvlak is reeds in werking of sal in werking tree. Diegene wat sake doen in Kalifornië, Colorado, Connecticut, Utah en Virginia moet nou verbruikersdata op versoek uitvee, terwyl soortgelyke wette in Iowa en Nebraska in Januarie volgende jaar in werking sal tree. Daar is meer in die werke.
In Europa het maatskappye al lank hiermee te doen. Die Algemene Databeskermingsregulasie (GDPR), wat in 2018 in werking getree het, het verbruikers die reg opgelê om data uit te vee.
Dit alles beteken dat die FTC se jongste en mees aggressiewe reg-om-te-skrap-skikking waarskynlik nie sy laaste sal wees nie. Met 'n nuwe, grootliks anti-regulasie regering op pad in, is dit onduidelik of die Kongres binnekort 'n oorkoepelende federale reg-om-te-skrap-wet sal aanvaar. Namate staatsvlaksteun vir reg-om-te-skrap-maatreëls groei, gee dit die FTC egter meer grondslag om hierdie konsep in skikkings met maatskappye te gebruik.
Hoe om voor te berei
Dit is belangrik vir organisasies wat dink dat hulle dalk deur data-uitveeversoeke geraak word om vir hulle voor te berei. Daar is beide wetlike en tegniese aspekte hieraan. Om hul verantwoordelikheid rondom 'n inkomende uitveeversoek te verstaan, beteken om die spesifieke kenmerke van daardie data te beoordeel teen die omvang van die reël – of dit nou 'n regulatoriese skikking, 'n staatswet of 'n streekregulasie is. Dit sluit in om te verstaan of die doel om die data te behou vrygestel is onder die reël en of jy die data nodig het om 'n kontrak met die individu na te kom.
As jy die data moet uitvee, behels dit die identifisering en insameling van die betrokke inligting, dikwels vanaf verskeie stelsels. Die skep van 'n databestuurstrategie wat dit ondersteun, kan die gebruik van tegnologie insluit om die data op versoek te merk en op te spoor en dan skraprekords te skep om verslagdoening te outomatiseer.
Hoe meer regte verbruikers kry om hul data uit te vee, hoe meer kan dit vertroue herstel in 'n aanlyn-ekosisteem wat hulle erg in die steek gelaat het. Maatskappye wat nou vir hierdie geleentheid voorberei, sal meer doen as om te verseker dat hulle aan daardie spesifieke reël kan voldoen; hulle sal databestuur gelyk maak in 'n wêreld wat dit baie nodig het.
