Регулятор по вопросам конфиденциальности штата Калифорния оштрафовал техасского брокера данных на 45 000 долларов и запретил ему продавать личную информацию жителей Калифорнии после того, как он продал данные пациентов с болезнью Альцгеймера. Техасская компания Rickenbacher Data LLC, которая ведет деятельность под названием Datamasters, покупала и перепродавала имена, адреса, номера телефонов и адреса электронной почты людей, страдающих серьезными заболеваниями, согласно данным Калифорнийского агентства Privacy (CPPA).
В окончательном постановлении CPPA в отношении Datamasters говорится, что компания вела базу данных, содержащую 435 245 почтовых адресов пациентов с болезнью Альцгеймера. Но на этом дело не закончилось. Также были доступны записи о 2 317 141 слепых или слабовидящих людях и 133 142 наркоманах. Компания также продавала записи о 857 449 людях с проблемами контроля мочевого пузыря.
Данные, связанные со здоровьем, были не единственной категорией, которой торговала компания Datamasters. Компания также продавала информацию, связанную с этнической принадлежностью, в том числе так называемые «списки латиноамериканцев», содержащие более 20 миллионов имен, а также «списки пожилых людей» с указанием возраста и показателями финансовой уязвимости. Например, она продавала записи о людях, имеющих ипотечные кредиты с высокими процентами.
А если покупатели хотели получить данные о других вероятных характеристиках и действиях клиентов, например, кто скорее либерал, а кто правый, то это тоже было возможно благодаря 3370 «моделям прогнозирования поведения потребителей», охватывающим предпочтения в автомобилях, финансовую деятельность, использование СМИ, политическую принадлежность и некоммерческую деятельность.
Datamasters предлагает прямую покупку записей из своей национальной базы данных потребителей, которая, по ее утверждению, охватывает 114 миллионов домохозяйств и 231 миллион человек. Клиенты также могут приобрести обновления по подписке.
Регулирующие органы Калифорнии начали расследование в отношении Datamasters после того, как обнаружили, что компания не зарегистрировалась в качестве брокера данных в штате, как того требует закон Калифорнии «Delete Act». Закон требует от брокеров данных регистрироваться с 31 января 2025 года.
Компания сначала отрицала, что ведет бизнес в Калифорнии или имеет данные о жителях этого штата. Однако это утверждение было опровергнуто, когда регулирующие органы обнаружили на веб-сайте таблицу Excel с 204 218 записями о студентах из Калифорнии.
Datamasters сначала заявила, что не проводила проверку своей национальной базы данных с целью удаления данных жителей Калифорнии. После привлечения адвоката компания изменила свою позицию, утверждая, что на самом деле отфильтровала данные жителей Калифорнии из набора данных. Однако это не убедило CPPA.
Регулирующий орган признал, что Datamasters действительно пыталась соблюдать законы Калифорнии о конфиденциальности, но что она
«не имело достаточных письменных политик и процедур для обеспечения соблюдения Закона об удалении».
Штраф, наложенный на Datamasters, также учитывает тот факт, что компания не была зарегистрирована в государственном реестре брокеров данных. Брокеры данных, которые не зарегистрированы, подлежат штрафу в размере 200 долларов в день, а за не удаление данных потребителей налагается штраф в размере 200 долларов в день за каждого потребителя.
С 1 января 2028 года брокеры данных, зарегистрированные в Калифорнии, также будут обязаны проходить независимые аудиты соответствия требованиям, проводимые третьей стороной, каждые три года.
Почему продажа особо конфиденциальных данных клиентов так опасна
«История учит нас, что определенные типы списков могут быть опасными».
Михаил Мако, глава отдела по обеспечению соблюдения законодательства CPPA, отметил.
Исследования показывают, что пациенты с болезнью Альцгеймера особенно уязвимы для финансовой эксплуатации. Если вы думаете, что мошенники не ищут такие списки, подумайте еще раз: было установлено, что преступники в прошлом получали доступ к данным как минимум трех брокеров данных. Хотя нет никаких доказательств того, что Datamasters сознательно продавала данные мошенникам, похоже, что людям легко купить списки брокеров данных.
Не нужно быть доктором наук, чтобы понять, почему многие из этих записей (которые, напомним, компания хранит о людях по всей стране) могут быть особенно деликатными в текущей политической обстановке в США.
Здесь также возникает более широкая проблема конфиденциальности. Хотя многие американцы могут полагать, что федеральный закон о переносимости и подотчетности медицинского страхования (HIPAA) защищает их медицинские данные, он применяется только к поставщикам медицинских услуг. Удивительно, но брокеры данных находятся за пределами его компетенции.
Что же можно сделать, чтобы защитить себя?
В первую очередь вам следует ознакомиться с законом о защите данных вашего штата. В этом году Калифорния ввела систему Data Request and Opt-out Platform (DROP) в соответствии с законом Delete Act. Это система отказа для жителей Калифорнии, позволяющая заставить всех брокеров данных, зарегистрированных в реестре, удалить данные, хранящиеся о них.
Если вы не живете в штате, который серьезно относится к конфиденциальным данным, ваши возможности более ограничены. Вы можете переехать — например, в Европу, где защита конфиденциальности значительно сильнее.
Мы не просто сообщаем о конфиденциальности данных - мы помогаем вам удалить вашу личную информацию.
Риски кибербезопасности не должны выходить за рамки заголовка. С помощью Malwarebytes Personal Data Removerвы можете проверить, какие сайты раскрывают вашу личную информацию, а затем удалить эти конфиденциальные данные из Интернета.
