Vier Tage Einspruchsfrist gegen KYC-Anforderungen für Internetdienste

 (federalregister.gov)
1 Punkte von GN⁺ 2024-04-26 | 1 Kommentare | Auf WhatsApp teilen

Zusammenfassung der Vorschriften zu Customer Identification Programmen und Ausnahmen für IaaS-Anbieter

  • Alle US-amerikanischen IaaS-Anbieter müssen ein schriftliches Customer Identification Program (CIP) einrichten und umsetzen, das mindestens die Mindestanforderungen erfüllt
  • Das CIP muss Verfahren zur Erhebung von Identifizierungsinformationen über Kunden und wirtschaftlich Berechtigte, zur Überprüfung der Identität ausländischer Kunden und wirtschaftlich Berechtigter, zur Aufbewahrung von Informationen sowie zur Benachrichtigung von Kunden über die Offenlegung von Informationen enthalten
  • IaaS-Anbieter müssen von potenziellen ausländischen Kunden und wirtschaftlich Berechtigten mindestens Informationen wie Name, Anschrift, Zahlungsmittel/-quelle des Kontos, E-Mail-Adresse, Telefonnummer und IP-Adresse erheben
  • IaaS-Anbieter müssen risikobasierte Verfahren einrichten, um die Identität ausländischer Kunden und wirtschaftlich Berechtigter anhand von dokumentarischen oder nicht dokumentarischen Methoden zu verifizieren
  • Das CIP muss auch Verfahren für den Umgang mit Situationen enthalten, in denen die Identität eines Kunden nicht verifiziert werden kann
  • Alle im Rahmen der Verifizierung von Kundeninformationen erhaltenen Informationen müssen mindestens 2 Jahre lang sicher aufbewahrt werden; zudem müssen Verfahren zur Beschränkung des Zugriffs durch Dritte eingerichtet werden
  • IaaS-Anbieter müssen auch von ausländischen Resellern verlangen, ein CIP aufrechtzuerhalten und umzusetzen, und auf Anforderung innerhalb von 10 Tagen dem Handelsministerium eine Kopie des CIP des Resellers vorlegen
  • Geschäftsbeziehungen mit ausländischen Resellern, die die Vorgaben nicht einhalten, müssen innerhalb von 30 Tagen beendet werden

Zusammenfassung der CIP-Meldepflichten

  • Alle IaaS-Anbieter müssen ein CIP-Zertifizierungsformular einreichen, um das Handelsministerium über die Umsetzung des CIP bei sich selbst und bei ausländischen Resellern zu informieren
  • Das CIP muss jährlich überprüft und aktualisiert und anschließend erneut zertifiziert werden; bei wesentlichen Änderungen während des Jahres ist das Handelsministerium zu informieren
  • Neue IaaS-Anbieter müssen das CIP-Zertifizierungsformular vor Aufnahme der Dienstleistung einreichen; auch beim Hinzufügen neuer ausländischer Reseller ist eine Mitteilung erforderlich
  • Informationen zum CIP von ausländischen Resellern müssen erhoben und jährlich beim Handelsministerium eingereicht werden

Zusammenfassung der CIP-Compliance-Bewertung

  • Das Handelsministerium kann eine Kopie des CIP von IaaS-Anbietern anfordern und prüfen sowie auf Mängel hinweisen, die zu beheben sind
  • Das Handelsministerium bewertet Risiken und führt Compliance-Prüfungen auf Grundlage eigener Bewertungen oder der von IaaS-Anbietern eingereichten Informationen durch
  • Je nach Ergebnis der Compliance-Überwachung können Maßnahmen zur Risikominderung oder besondere Maßnahmen empfohlen werden

Zusammenfassung der Ausnahmeregelungen für das CIP

  • Der Handelsminister kann IaaS-Anbietern, Kontotypen, Mietern, ausländischen Resellern usw. Ausnahmen von der Einhaltung der CIP-Anforderungen gewähren
  • IaaS-Anbieter können eine Ausnahme von den CIP-Anforderungen beantragen, indem sie ein Abuse of IaaS Products Prevention Program (ADP) einrichten
  • Das ADP muss Richtlinien und Verfahren zur Identifizierung, Erkennung und Reaktion auf Risikoindikatoren sowie zu regelmäßigen Aktualisierungen enthalten
  • Um die Ausnahme aufrechtzuerhalten, müssen Änderungen am ADP dem Handelsministerium jährlich gemeldet werden; die Ausnahme kann jederzeit widerrufen werden

Zusammenfassung besonderer Maßnahmen gegenüber bestimmten Staaten oder Ausländern

  • Der Handelsminister kann besondere Maßnahmen verhängen, wenn er zu der Einschätzung gelangt, dass ein bestimmter Staat oder Ausländer an Cyberaktivitäten beteiligt war, die US-IaaS-Produkte missbrauchen
  • Dazu gehören Maßnahmen, die die Eröffnung von Konten durch Ausländer in dem betreffenden Staat verbieten oder mit Auflagen versehen, sowie Maßnahmen, die die Eröffnung von Konten durch bestimmte Ausländer untersagen oder beschränken
  • Ob und welche besonderen Maßnahmen verhängt werden, wird nach einer Gesamtbewertung der relevanten Faktoren entschieden

Zusammenfassung der Meldepflichten für das Training großer KI-Modelle

  • IaaS-Anbieter müssen dem Handelsministerium innerhalb von 15 Tagen Meldung erstatten, wenn ihnen ein Training großer KI-Modelle bekannt wird, das für böswillige Cyberaktivitäten durch Ausländer missbraucht werden könnte
  • Für ausländische Reseller gilt dieselbe Meldepflicht; IaaS-Anbieter müssen diese Meldungen innerhalb von 30 Tagen beim Handelsministerium einreichen
  • Auf Anforderung des Handelsministeriums muss innerhalb von 15 Tagen ein Folgebericht mit zusätzlichen Informationen eingereicht werden
  • Werden Fehler entdeckt, muss innerhalb von 15 Tagen ein Korrekturbericht eingereicht werden
  • Der Bericht muss Informationen über ausländische Kunden sowie Angaben zum Training enthalten
  • IaaS-Anbieter müssen sich in angemessenem Umfang bemühen, sicherzustellen, dass ausländische Reseller diese Anforderungen einhalten

Durchsetzung bei Verstößen gegen die Vorschriften

  • Zu den verbotenen Handlungen gehören das Nicht-Einrichten bzw. Nicht-Aufrechterhalten eines CIP, die Nichteinhaltung des CIP durch Reseller sowie die Nichtumsetzung von Verboten oder Aussetzungen im Zusammenhang mit dem Training großer KI-Modelle
  • Auch falsche Angaben gegenüber dem Handelsministerium stellen einen Verstoß dar
  • Nach dem IEEPA können zivilrechtliche Geldbußen von bis zu 250.000 US-Dollar pro Fall oder dem Doppelten des Werts der rechtswidrigen Transaktion verhängt werden, je nachdem, welcher Betrag höher ist
  • Bei vorsätzlichen Verstößen drohen Geldstrafen von bis zu 1 Million US-Dollar oder Freiheitsstrafen von bis zu 20 Jahren
  • Darüber hinaus sind weitere zivil- oder strafrechtliche Sanktionen nach US-Recht möglich

Meinung von GN⁺

Diese Vorschriften scheinen darauf abzuzielen, US-IaaS-Anbieter zur Identifizierung und Verifizierung ausländischer Kunden zu verpflichten, um einen Missbrauch für böswillige Cyberaktivitäten zu verhindern. Insbesondere spiegeln sie offenbar auch die Sorge wider, dass IaaS für das Training großer KI-Modelle genutzt wird.

Aus Sicht der IaaS-Anbieter dürfte der Aufwand für die Erhebung und Verifizierung von Kundendaten sowie für die Aufbewahrung von Aufzeichnungen deutlich steigen. Die Überprüfung ausländischer Kunden könnte schwierig sein, und auch Datenschutzfragen sind absehbar. Zudem dürften die Vertragsbeziehungen mit ausländischen Resellern betroffen sein.

Gleichzeitig scheint die Regierung damit ihre Kontrolle über den IaaS-Markt ausbauen und Bedrohungen für die nationale Sicherheit abwehren zu wollen. Besonders auffällig sind die Bestimmungen zu besonderen Maßnahmen gegen bestimmte Staaten oder Akteure, die wohl geopolitische Spannungen widerspiegeln.

Die Bestimmungen zu großen KI-Modellen wirken wie ein Ergebnis des gestiegenen Bewusstseins für die Dual-Use-Natur von KI. Es zeichnet sich die Absicht der Regierung ab, KI-Entwicklungsaktivitäten über IaaS zu überwachen. Das lässt sich als Versuch verstehen, auf neue Risiken durch den technologischen Fortschritt zu reagieren.

Insgesamt wirken diese Vorschriften wie der Versuch, ein Gleichgewicht zwischen nationaler Sicherheit und technologischer Innovation zu finden. Für IaaS-Anbieter bedeuten sie zwar zusätzliche Belastungen, langfristig könnten sie jedoch zur Stabilität und Vertrauenswürdigkeit des Marktes beitragen. Gleichzeitig erscheint eine vorsichtige Umsetzung notwendig, da übermäßige Regulierung Innovationen auch hemmen könnte.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2024-04-26
Hacker-News-Kommentar
  • Dieses Gesetz scheint von IaaS-Anbietern (Infrastructure as a Service) zu verlangen, die Identität der Personen zu überprüfen, die ihre Dienste für das Training von KI nutzen. Es ist offenbar ein Versuch zu verhindern, dass sanktionierte oder böswillige Akteure KI trainieren und durch den Wechsel zwischen Diensten oder die Nutzung von Pseudonymen das Modelltraining fortsetzen.
  • Das wirkt einigermaßen harmlos, und ich kann die Vergleiche, die andere in der HN-Diskussion ziehen, nur schwer nachvollziehen. Ich frage mich, ob es eine schiefe Ebene ist oder ob ich in Bezug auf den Geltungsbereich des Gesetzes naiv bin.
  • IaaS-Anbieter werden sich heftig dagegen wehren, und wenn AWS anfängt, KYC-Dokumente zu verlangen, würde ich sofort alle Cloud-Ressourcen woandershin verlagern. Der Aufwand dafür ist nahezu null.
  • KYC bedeutet "Know Your Customer". Beim ersten Auftreten einer Abkürzung sollte man sie ausschreiben, zumal im verlinkten Artikel die Abkürzung selbst nicht verwendet wurde. Außerdem ist bemerkenswert, dass sich dieser Vorschlag auf US-amerikanische IaaS-Produkte bezieht, nicht auf allgemeine "Internetdienste".
  • Wenn Banken ihre Kunden kennen, müssen wir das nicht. Der Weg von KYC führt immer zu Zahlungen und Finanzen. Wenn wir Zahlungen für Dienste per Standard-Bankkartentransaktionen, Überweisungen usw. akzeptieren, kann die Kenntnis über den Kunden bei den Banken zentralisiert werden.
  • Der Trend, KYC-Anforderungen immer mehr Online-Diensten hinzuzufügen, ist besorgniserregend. KYC stellt für diejenigen, die einen Dienst anbieten wollen, eine große Belastung dar.
  • KYC-Systeme neigen dazu, Kriminelle nicht besonders gut herauszufiltern. Die meisten KYC-Systeme stützen sich auf Datenaggregatoren (Personen, die personenbezogene Daten kaufen), und junge, arme oder auf Privatsphäre bedachte Menschen geraten dadurch unter Verdacht.