Data Brokers Create National Security Risks
The Duke University Research Team, led by Justin Sherman, has just released a report titled Data Brokers and the Sale of Data on U.S. Military Personnel: Risks to Privacy, Safety, and National Security. This report continues work I have done over the past decade to look at the risks to individuals created by the data broker economy. Past research has focused on risks to survivors of gender violence, individuals who suffer from Alzheimer’s/dementia, students, people identified as suffering from anxiety and depression, and criminal justice system defendants and their families.
This national security report describes research done to understand the sale of data relating to members of the military, their families, and veterans. The report’s focus was on the U.S. military, but the observations of the report extend to military and government officials in foreign countries as the research team has observed that the data broker ecosystem operates globally. We intend to focus future research specifically on the degree to which this ecosystem creates risks for individuals in Latin America.
These risks include potential for foreign nation-states or criminal syndicates to obtain sensitive information, including health data, financial difficulties or sexual behavior. That information then can be used to blackmail military officials. Our research also shows that data brokers sell data about members of the military’s families, including home addresses and information about their children. These activities increase the blackmail risks and introduce physical safety concerns for the families of military and government officials.
The data broker economy contains a wide diversity of companies, including sophisticated organizations that provide legitimate and important services such as the provision of benefits and fraud detection for private sector and government customers. Our research has shown that some of these companies have significant controls in place to understand to whom they are selling data and accountability processes to understand the degree to which they are processing data responsibly. However, data brokers also include companies that operate at the margins of existing regulations and are willing to sell sensitive data without any significant controls.
The report’s findings provide further support for our continued recommendation that governments should explore more robust privacy laws that include within their scope data derived from government records and publicly available information. It is also critical that these privacy laws provide sufficient resources to regulators to enable robust and predictable enforcement. The California Delete Act is at least a partial model for what countries should consider putting in place as it provides for the ability for individuals to remove themselves from data broker records, and it allows the regulator to obtain enforcement resources from registration fees and fines. All countries should begin the process of putting in place effective comprehensive privacy laws and specific data broker regulations such as those included in the California Delete Act.
The primary observations from our report are:
-
It is not difficult to obtain sensitive data about active-duty members of the military, their families, and veterans, including non-public, individually identified, and sensitive data, such as health data, financial data, and information about religious practices. The team bought this and other data from U.S. data brokers via a .org and a .asia domain for as low as $0.12 per record. Location data is also available, though the team did not purchase it.
-
Data broker methods of determining the identity of customers are inconsistent and evidence a lack of industry best-practices.
-
Currently, these inconsistent practices are highly unregulated by the U.S. government.
-
The inconsistencies of controls when purchasing sensitive, non-public, individually identified data about active-duty members of the military and veterans extends to situations in which data brokers are selling to customers who are outside of the United States.
-
Access to this data could be used by foreign and malicious actors to target active-duty military personnel, veterans, and their families and acquaintances for profiling, blackmail, targeting with information campaigns, and more.
​
Author:
Prof. David A. Hoffman
Duke University, Sanford School of Public Policy
November 2023
​
​
Los Corredores de Datos crean riesgos para la Seguridad Nacional
El equipo de investigación de la Universidad de Duke, liderado por Justin Sherman, acaba de publicar un informe titulado "Data Brokers and the Sale of Data on U.S. Military Personnel: Risks to Privacy, Safety, and National Security" (Corredores de Datos y la venta de datos sobre el personal militar de EE. UU.: Riesgos para la privacidad, seguridad y Seguridad Nacional). Este informe continúa el trabajo que he realizado durante la última década para analizar los riesgos para las personas creados por la economía de los corredores de datos. Investigaciones anteriores se han centrado en los riesgos para sobrevivientes de violencia de género, personas que sufren de Alzheimer/demencia, estudiantes, personas identificadas como sufriendo de ansiedad y depresión, y acusados y sus familias en el sistema de justicia penal.
​
Este informe de seguridad nacional describe la investigación realizada para comprender la venta de datos relacionados con miembros del ejército, sus familias y veteranos. El enfoque del informe fue en el ejército de EE. UU., pero las observaciones del informe se extienden a militares y funcionarios gubernamentales en países extranjeros, ya que el equipo de investigación ha observado que el ecosistema de los corredores de datos opera a nivel mundial. Tenemos la intención de centrarnos en investigaciones futuras específicamente sobre el grado en que este ecosistema crea riesgos para individuos en América Latina.
​
Estos riesgos incluyen la posibilidad de que naciones extranjeras o sindicatos criminales obtengan información sensible, como datos de salud, dificultades financieras o comportamiento sexual. Esta información luego puede ser utilizada para chantajear a funcionarios militares. Nuestra investigación también muestra que los corredores de datos venden información sobre las familias de los militares, incluyendo direcciones de hogares e información sobre sus hijos. Estas actividades aumentan los riesgos de chantaje e introducen preocupaciones de seguridad física para las familias de militares y funcionarios gubernamentales.
​
La economía de los corredores de datos contiene una amplia diversidad de empresas, incluyendo organizaciones sofisticadas que brindan servicios legítimos e importantes, como la provisión de beneficios y la detección de fraudes para clientes del sector privado y gubernamental. Nuestra investigación ha demostrado que algunas de estas empresas tienen controles significativos para comprender a quién están vendiendo datos y procesos de responsabilidad para entender en qué medida están procesando datos de manera responsable. Sin embargo, los corredores de datos también incluyen empresas que operan en los márgenes de las regulaciones existentes y están dispuestas a vender datos sensibles sin controles significativos.
​
Los hallazgos del informe respaldan aún más nuestra recomendación continua de que los gobiernos deben explorar leyes de privacidad más sólidas que incluyan en su alcance datos derivados de registros gubernamentales e información públicamente disponible. También es crucial que estas leyes de privacidad proporcionen recursos suficientes a los reguladores para permitir una aplicación sólida y predecible. La California Delete Act es al menos un modelo parcial de lo que los países deberían considerar implementar, ya que permite a las personas eliminarse de los registros de corredores de datos y permite que el regulador obtenga recursos de multas y tarifas de registro. Todos los países deberían comenzar el proceso de implementar leyes de privacidad integrales efectivas y regulaciones específicas de corredores de datos, como las incluidas en la California Delete Act.
​
Las observaciones principales de nuestro informe son:
-
No es difícil obtener datos sensibles sobre miembros en servicio activo del ejército, sus familias y veteranos, incluidos datos no públicos, individualmente identificados y sensibles, como datos de salud, datos financieros e información sobre prácticas religiosas. El equipo compró estos y otros datos de corredores de datos de EE. UU. a través de un dominio .org y un dominio .asia por tan solo US$0.12 por registro. Los datos de ubicación también están disponibles, aunque el equipo no los adquirió.
-
Los métodos de los corredores de datos para determinar la identidad de los clientes son inconsistentes y evidencian una falta de mejores prácticas de la industria.
-
Actualmente, estas prácticas inconsistentes están muy poco reguladas por el gobierno de EE. UU.
-
Las inconsistencias de los controles al comprar datos sensibles, no públicos e individualmente identificados sobre miembros en servicio activo del ejército y veteranos se extienden a situaciones en las que los corredores de datos venden a clientes fuera de los Estados Unidos.
-
El acceso a estos datos podría ser utilizado por actores extranjeros y maliciosos para dirigirse a personal militar en servicio activo, veteranos y sus familias y conocidos para el perfilado, chantaje, campañas de información y más.
​
Autor:
Prof. David A. Hoffman
Duke University, Sanford School of Public Policy
Noviembre 2023