'האינטרנט לעולם לא שוכח' היא אזהרה שמה שאתה עושה באינטרנט עלול לחזור לרדוף אותך מאוחר יותר. זה גם א מיתוס נפוץ, מכיוון שתוכן נעלם לעתים קרובות, בטעות או בכוונה. פשוט נסה לגשת לאותם פורומי דיונים מקוונים שקראת עוד בשנת 1998. או עשרות שנים של חדשות MTV.
עם זאת, במקרים מסוימים, אנשים עשויים לרצות שהמידע הדיגיטלי שלהם ייעלם - במיוחד כאשר הוא מתארח בחברות שהם כבר לא סומכים עליהם. ה-FTC עשה את זה קצת יותר קל באוקטובר התיישבו א מקרה עם מריוט אינטרנשיונל. ההסדר הזה מאפשר לצרכנים לדרוש ממריוט אינטרנשיונל למחוק את הרישומים שלהם. האם זה יכול ליצור תקדים בארה"ב שצרכנים אירופאים נהנים ממנו במשך שנים?
כשפושעים נכנסו - ובדקו מיליוני רשומות
בשנת 2018, מריוט חשפה כי פולשים התפשרו על מערכת ההזמנות של חברת הבת שלה Starwood Hotels & Resorts. בשתי הפרות, הם גנבו 339 מיליון רישומי לקוחות מסטארווד, כולל פרטי כרטיס אשראי ומספרי דרכון.
ההתקפות החלו ב-2014 לפני שמריוט רכשה את סטארווד. כשמריוט גילתה את הפרצה שנתיים לאחר הרכישה ב-2016, היא עדיין לא העבירה את סטארווד למערכת הזמנות משלה. ואז, בין 2018 ל-2020, התרחשה הפרה שלישית, הפעם השפיעה על המערכות של מריוט עצמה. בחדירה זו נגנבו עוד 5.2 מיליון רישומי לקוחות, בעיקר בגלל גניבת נקודות הנאמנות שלהם.
התלונה של ה-FTC נגד מריוט מתמקדת בשני דברים. הראשון הוא הכישלון לכאורה במתן אמצעי אבטחה מתאימים, כולל בקרות סיסמאות, תיקוני תוכנה ורישום רשת. השני הוא מה שה-FTC רואה בהטעיית צרכנים באמצעות הצהרות אבטחה מטעות.
מה שה-FTC לא מפרט במפורש בתלונתו הוא פניית הפרסה של מריוט בטענות ההצפנה שלה. המלונאי אמר אז שמספרי כרטיסי האשראי וכמה נתוני דרכונים בפרצת Starwood הוצפנו באמצעות AES-128, פרוטוקול הצפנה רב עוצמה. עם זאת, בדיון משפטי ב-10 באפריל השנה, זה גילה כי הוא, למעשה, עובד באמצעות אלגוריתם הגיבוב SHA-1. לא רק שזה לא מנגנון הצפנה, אלא שגם חוקרי אבטחה חשפו נקודות תורפה ב-SHA-1 עוד בשנת 2005. ה-NSA הוציא אותו כעת לחלוטין.
צרכנים יוכלו בקרוב למחוק את נתוני Marriott שלהם
מריוט הסכימה לתשלום כבד של 52 מיליון דולר בהסדר נפרד עם 50 פרקליטים כלליים. זה מהווה 0.8% מההכנסות שלה או קצת יותר משלושה ימים - או, במילים אחרות, כ-15 סנט לכל צרכן מושפע.
אולי תוצאה משמעותית יותר עבור הקורבנות האמיתיים של הפרת מריוט הייתה הסכמה של רשת המלונות עם המדינות וה-FTC כי היא תאפשר ללקוחות למחוק את המידע האישי שלהם מהמערכות שלה. Marriott חייבת לכלול כפתור באתר האינטרנט שלה המאפשר ללקוחות לבקש מחיקת נתונים אלה. לאחר מכן, עליו לאשר קבלה ולהסביר את תהליך מחיקת הנתונים תוך 60 יום מיום כל בקשה.
זו לא הפעם הראשונה שה-FTC מוציא בקשות למחיקת נתונים כחלק מההסדרים שלה. באוקטובר 2022, הנציבות סיכמה עם ספקית הטכנולוגיה החינוכית Chegg על חסרונותיה לכאורה באבטחת הסייבר, וההסכם כלל הוראה לחברה לאפשר לצרכנים למחוק את הנתונים שלהם. א יישוב עם חברת השיווק InMarket במאי השנה כללה גם דרישה מהחברה למחוק כל נתוני מיקום הלקוח לפי בקשת הלקוח.
עם זאת, בסעיף ניתוח של במקרה של מריוט, ג'ים דמפסי, מנהל מרכז IAPP לחוק אבטחת סייבר, אומר שההסדר של מריוט מכיל משהו חדש. "זו הייתה הפעם הראשונה שה-FTC דרש מחברה שסבלה מפרצת אבטחה לספק לכל הלקוחות קישור לבקשת מחיקת מידע אישי המשויך לכתובת דוא"ל ו/או מספר חשבון של תוכנית תגמולי נאמנות", אמר.
הפצת דרישות מחיקת נתוני צרכן
הוראות מחיקת נתונים אלה עשויות להיות נפוצות יותר. לארה"ב אין חוק פרטיות פדרלי. עם זאת, הרבה חוקי מחיקת נתונים ברמת המדינה כבר בתוקף או אמורים להיכנס לתוקף. אלה שעושים עסקים בקליפורניה, קולורדו, קונטיקט, יוטה ווירג'יניה חייבים כעת למחוק נתוני צרכנים לפי בקשה, בעוד שחוקים דומים באיווה ובנברסקה ייכנסו לתוקף בינואר בשנה הבאה. יש עוד בעבודות.
באירופה, חברות מתמודדות עם זה כבר זמן רב. תקנת הגנת המידע הכללית (GDPR), שנכנסה לתוקף בשנת 2018, הטילה את הזכות לצרכנים למחוק נתונים.
כל זה אומר שההסדר האחרון והאגרסיבי ביותר של זכות המחיקה של ה-FTC לא צפוי להיות האחרון. עם ממשלה חדשה, בעיקר נגד רגולציה, בדרך פנימה, לא ברור אם הקונגרס יעביר חוק פדרלי מקיף על זכות המחיקה בזמן הקרוב. עם זאת, ככל שהתמיכה ברמת המדינה בצעדי הזכות למחוק גוברת, זה נותן ל-FTC יותר בסיס להשתמש במושג זה בהתנחלויות עם חברות.
איך להכין
חשוב לארגונים שחושבים שהם עלולים להיות מושפעים מבקשות למחיקת נתונים להתכונן אליהם. יש לכך היבטים משפטיים וטכניים כאחד. הבנת האחריות שלהם לגבי בקשת מחיקה נכנסת פירושה להעריך את המאפיינים הספציפיים של הנתונים האלה מול היקף הכלל - בין אם זה הסדר רגולטורי, חוק מדינה או תקנה אזורית. זה כולל הבנה אם מטרת שמירת הנתונים שלך פטורה על פי הכלל והאם אתה צריך את הנתונים כדי לקיים חוזה עם הפרט.
אם עליך למחוק את הנתונים, הדבר כרוך בזיהוי ואיסוף המידע המדובר, לרוב ממספר מערכות. יצירת אסטרטגיית ניהול נתונים התומכת בכך עשויה לכלול שימוש בטכנולוגיה לתיוג ואיתור הנתונים לפי בקשה ולאחר מכן יצירת רשומות מחיקה כדי להפוך את הדיווח לאוטומטי.
ככל שצרכנים מקבלים יותר זכויות למחוק את הנתונים שלהם, כך זה עשוי להחזיר את האמון במערכת אקולוגית מקוונת שכשלה בהם קשות. חברות שמתכוננות לאירוע הזה עכשיו יעשו יותר מאשר להבטיח שהן יכולות לציית לכלל הספציפי הזה; הם ישדרגו את ממשל הנתונים בעולם שזקוק לו מאוד.
