Komisi Komunikasi Federal AS mengatakan pada hari Senin bahwa mereka mengenakan denda kepada empat operator nirkabel besar AS dengan total sekitar $200 juta karena berbagi dan menjual data lokasi real-time pelanggan secara “ilegal” tanpa persetujuan mereka.
Denda AT&T lebih dari $57 juta, Verizon hampir $47 juta, T-Mobile lebih dari $80 juta, dan Sprint lebih dari $12 juta, menurut pengumuman FCC.
“Penyedia komunikasi kami memiliki akses ke beberapa informasi paling sensitif tentang kami. Operator ini gagal melindungi informasi yang dipercayakan kepada mereka. Di sini, kita berbicara tentang beberapa data paling sensitif yang mereka miliki: informasi lokasi real-time pelanggan, mengungkapkan ke mana mereka pergi dan siapa mereka,” kata Ketua FCC, Jessica Rosenworcel, dalam pengumumannya.
FCC mengatakan badan investigasinya, Biro Penegakan Hukum, menyimpulkan bahwa keempat perusahaan tersebut menjual akses ke data lokasi pelanggannya kepada perusahaan pihak ketiga, yang oleh FCC disebut sebagai “agregator,” yang pada gilirannya menjual kembali data lokasi tersebut ke perusahaan lain. Rangkaian penjualan dan penjualan kembali ini secara efektif menciptakan pasar abu-abu untuk data lokasi historis dan real-time pelanggan telepon seluler. Sebagian besar pelanggan tidak tahu bahwa ada pasar seperti itu untuk data mereka, apalagi menyetujui penjualan data mereka.
Operator telepon seluler diwajibkan oleh hukum untuk “menjaga kerahasiaan informasi pelanggan tersebut dan untuk mendapatkan persetujuan pelanggan yang tegas dan tegas sebelum menggunakan, mengungkapkan, atau mengizinkan akses ke informasi tersebut,” tulis FCC.
Denda tersebut dijatuhkan bertahun-tahun setelah investigasi yang dilakukan oleh organisasi berita mengungkapkan bahwa keempat operator tersebut membagikan data jenis ini kepada penegak hukum, pemburu hadiah, dan organisasi lainnya.
Pada tahun 2018, The New York Times melaporkan bahwa petugas penegak hukum dan koreksi di seluruh AS menggunakan perusahaan bernama Securus Technologies untuk melacak lokasi orang. Solusi Securus bergantung pada “sistem yang biasanya digunakan oleh pemasar dan perusahaan lain untuk mendapatkan data lokasi dari operator telepon seluler besar,” tulis NYT.
Tahun berikutnya, penyelidikan Motherboard mengungkapkan bahwa pemburu hadiah dapat menemukan lokasi pelanggan ponsel secara geografis hanya dengan $300. “Kemampuan pengawasan ini terkadang dijual melalui jaringan dari mulut ke mulut,” Joseph Cox dari Motherboard, yang kini bekerja di 404 Mediatulis pada saat itu.
FCC menulis bahwa meskipun ada laporan publik, keempat operator tersebut gagal menerapkan pengamanan “untuk memastikan bahwa lusinan penyedia layanan berbasis lokasi yang memiliki akses ke informasi lokasi pelanggan mereka benar-benar mendapatkan persetujuan pelanggan,” dan terus menjual data tersebut. .
Keempat operator tersebut mengkritik keputusan tersebut dan mengatakan mereka bermaksud mengajukan banding.
Juru bicara T-Mobile Tara Darrow mengatakan dalam sebuah pernyataan bahwa “program layanan berbasis lokasi agregator pihak ketiga di seluruh industri ini dihentikan lebih dari lima tahun yang lalu setelah kami mengambil langkah-langkah untuk memastikan bahwa layanan penting seperti bantuan pinggir jalan, perlindungan penipuan dan tanggap darurat tidak akan terganggu.”
Darrow mengatakan T-Mobile yang bergabung dengan Sprint pada 2020 akan mengajukan banding atas keputusan tersebut.
“Kami mengambil tanggung jawab kami untuk menjaga keamanan data pelanggan dengan sangat serius dan selalu mendukung komitmen FCC untuk melindungi konsumen, namun keputusan ini salah, dan dendanya berlebihan. Kami bermaksud untuk menantangnya,” bunyi pernyataan itu.
Juru bicara AT&T Alex Byers juga mengatakan perusahaan akan mengajukan banding, dan mengatakan bahwa keputusan FCC “tidak memiliki dasar hukum dan faktual.”
“Ini secara tidak adil meminta kami bertanggung jawab atas pelanggaran yang dilakukan perusahaan lain terhadap persyaratan kontrak kami untuk mendapatkan persetujuan, mengabaikan langkah-langkah segera yang kami ambil untuk mengatasi kegagalan perusahaan tersebut, dan secara tidak wajar menghukum kami karena mendukung layanan lokasi yang menyelamatkan jiwa seperti peringatan medis darurat dan bantuan pinggir jalan yang diberikan oleh perusahaan tersebut. FCC sendiri sebelumnya mendorong. Kami berharap untuk mengajukan banding atas perintah tersebut setelah melakukan tinjauan hukum,” kata Byers dalam pernyataan yang dikirim ke TechCrunch.
Juru bicara Verizon Rich Young mengatakan bahwa “Perintah FCC salah berdasarkan fakta dan hukum, dan kami berencana untuk mengajukan banding atas keputusan ini.”
“Dalam kasus ini, ketika salah satu pelaku kejahatan memperoleh akses tidak sah terhadap informasi terkait sejumlah kecil pelanggan, kami dengan cepat dan proaktif memutus si penipu, menutup program, dan berupaya memastikan hal ini tidak terjadi lagi,” pernyataan dibaca. “Perlu diingat, perintah FCC berkaitan dengan program lama yang ditutup Verizon lebih dari setengah dekade lalu. Program tersebut memerlukan persetujuan pelanggan yang tegas dan dimaksudkan untuk mendukung layanan seperti bantuan pinggir jalan dan peringatan medis.”