Yhdysvaltain liittohallitus on nähnyt kohtuullisen osuutensa ehdotetuista laajoista kuluttajien tietosuojalakeista, jotka kaikki näyttävät kuihtuvan. Sen uusin saattaa olla erilainen.
Vaikka useimmat muut lainsäädäntöyritykset ovat olleet puolueellisia, kirjoittajat American Privacy Rights Act (APRA), Rep. Cathy McMorris Rodgers (R-WA) ja senaattori Maria Cantwell (D-WA), tulevat senaatin molemmilta puolilta. Senaattori Cantwell vastakkainen APRA:n edeltäjä, American Data Privacy and Protection Act (ADPPA), joka ei päässyt presidentin pöydälle vuonna 2022. Nyt hän on kaksipuolinen kirjoittaja sen tilalle. Vaikka tämä ehdotus on vielä vain keskusteluluonnos, se voi yksin tehdä siitä lähimpänä GDPR-tyyppistä Yhdysvaltain liittovaltion lakia.
Laaja kattavuus
Jos se hyväksytään, APRA:n soveltamisalaan kuuluvien organisaatioiden olisi noudatettava tietojen minimointistandardeja ja kerättävä niitä vain rajoitettuihin tarkoituksiin. Kuluttajat voisivat päästä käsiksi tietoihinsa, vaatia niiden poistamista, korjaamista ja vientiä sekä kieltäytyä ei-arkaluonteisten tietojen siirtämisestä kolmansille osapuolille. Heidän olisi myös valittava arkaluonteisten tietojen siirto.
Laki koskee organisaatioita, jotka määrittävät tietojen keräämisen tai käsittelyn tarkoituksen ja jotka kuuluvat FTC-lain soveltamisalaan. On olemassa alaryhmä suuria tiedonhaltijoita, joilla on suuremmat vähimmäiskynnykset (250 miljoonaa dollaria ja viisi miljoonaa ihmistä), joiden jäsenet kohtaavat tiukempia rajoituksia. Yritykset, jotka tienaavat alle 40 miljoonaa dollaria vuodessa ja käsittelevät enintään 200,000 XNUMX ihmisen tietoja, eivät kuulu sen soveltamisalaan.
Laki kattaa tiedot, jotka ovat kohtuudella linkitettävissä laitteeseen, mutta eivät julkisia tai työntekijöiden tietoja. On myös osa arkaluonteisia tietoja, jotka sisältävät tietopisteitä, kuten: terveys; biometriset (ei valokuvat, ääni tai video) ja geneettiset tiedot; rotu; etnisyys; kansallinen alkuperä; uskonto; ja seksi; sekä rahoitustili- ja maksutiedot. Tämä arkaluonteinen luokka laajenee, ja se kattaa tarkat maantieteelliset tiedot, kirjautumistiedot, yksityisen viestinnän, puhelinlokit ja jopa kalenteritiedot.
On myös joitain tarkkoja määritelmiä, mukaan lukien valokuvat ja tallenteet yksityiskäyttöön, alastomia tai yksityisiä kuvia sekä seksuaalista käyttäytymistä paljastavaa tietoa.
Kansainvälisen oikeus- ja taloustieteen keskuksen innovaatiopolitiikan vanhempi tutkija Ben Sperry on huolissaan tietystä tietotyypistä arkaluontoisessa datakategoriassa: ajan mittaan kerätyistä verkkotoimista ja kolmansien osapuolien verkkosivustoilta.
"Näin kohdistettu mainonta yleensä toimii", hän kertoo ISMS.onlinelle ja lisää, että mainosten kohdistamiskyvyn rajoittaminen vaikuttaa verkkoalustojen liiketoimintamalleihin ja niitä käyttäviin sisällöntuottajiin.
Laajat velvoitteet
Lakiehdotuksen piiriin kuuluvilla on lukuisia velvoitteita. Siinä on osio, joka kieltää manipulointikäytännöt, joiden tarkoituksena on kääntää kuluttajien huomio pois heidän yksityisyysoikeuksistaan (tunnetaan nimellä "tumma malli"), ja toinen osio, jossa vaaditaan asianmukaiset turvallisuuskäytännöt. Toinen vaatii huolellisuutta valittaessa kolmannen osapuolen palveluntarjoajia, jotka käsittelevät käyttäjätietoja.
Algoritmeja säännellään myös ehdotetun lain mukaisesti, ja suurten tiedonhaltijoiden on tehtävä vaikutustenarviointi niille, joilla on "välillinen haitariski". Heidän on ilmoitettava niistä FTC:lle. Kuluttajilla olisi oikeus kieltäytyä näistä algoritmeista.
Suojattujen organisaatioiden olisi julkaistava tietosuojakäytännöt, joissa selvitetään tietojen käsittelyn tarkoitus ja kuinka kauan tietoja säilytetään. Käytännöissä olisi lueteltava kolmannet osapuolet, joille tiedot siirretään, mukaan lukien tiedonvälittäjät. FTC:n olisi myös perustettava tiedonvälittäjärekisteri, joka tarjoaa kuluttajille opt-out-vaihtoehdon.
FTC:llä on tärkeä rooli tässä lainsäädännössä, ja se toimii sen täytäntöönpanoelimenä siltä osin kuin se lopettaisi sen Kaupallista valvontaa ja tietoturvaa koskevien sääntöjen laatiminen kun laki tuli voimaan.
Ashley Johnson, vanhempi politiikkapäällikkö teknologia-alan lobbausryhmässä Information Technology & Innovation Foundationissa (ITIF), tunnistaa FTC:n roolin ehdotetun lakiesityksen ongelmana. Opt-out-keskeisen FTC-rekisterin vaatimus heikentää suojattujen tietojen opt-out-säännöksiä, hän kertoo ISMS.onlinelle ja lisää, että se pienentäisi verkkopalveluiden mainostuloja.
Kenen laki ratkaisee?
Toinen kiistanalainen on se, mitkä lait olisivat etusijalla; APRA tai osavaltiotason lainsäädäntö. Nykyisessä muodossaan liittovaltion laki estäisi osavaltioiden lait – paitsi silloin, kun se ei tee sitä, mikä, kuten käy ilmi, on melko usein.
"Vaikka APRA pyrkii luomaan kansallisen standardin, se pyrkii myös sisällyttämään osavaltioiden lakien vahvan suojan, kuten Kaliforniassa, Illinoisissa ja Washingtonissa", varoittaa Perla Khattar, tohtorikoulutettava Notre Damen yliopiston lakikoulun Tech Ethics Lab -laboratoriossa. . "Näiden tavoitteiden tasapainottaminen sellaisten valtioiden huolenaiheiden käsittelemiseksi, joissa on vankka yksityisyyden suoja, on monimutkainen haaste."
Ennakkomyyntikysymys liittyy toiseen jännityskohtaan: lakiesityksen määräykseen yksityisoikeudellisista kanteista sekä valtion syyttäjien ja FTC:n rangaistuksista. Tämä jättää ITIF:n huolestuneeksi karttuneista kustannuksista.
"Illinois Biometric Information Privacy Act -lain (BIPA) alaisuudessa on tehty valtavia tuomioistuimien ratkaisuja miljoonien dollarien rajoissa, vain yhden osavaltion lain osalta", sanoo ITIF:n Johnson. Laki sallii yksityishenkilöiden nostaa yksityisoikeudellisia kanteita.
"Monet yritykset katsovat tällaisia esimerkkejä ja miettivät, miltä se näyttäisi, jos se olisi liittovaltion tasolla?".
Laki antaisi Illinoisissa asuville henkilöille mahdollisuuden haastaa oikeuteen BIPA:n ja sen geneettisen tiedon tietosuojalain nojalla, kun rikkomus tapahtui siellä. Se sallii myös kalifornialaisten haastaa oikeuteen Kalifornian Privacy Rights Actin nojalla. Johnson kutsuu tätä "taustakaupungiksi", joka antaisi valtioille epäoikeudenmukaisen edun.
Tällaisia kiistoja on vaikea ratkaista, kun otetaan huomioon monet sidosryhmät ja esityslistat, ja aika on loppumassa.
"Jos lakiesitys viipyy liian kauan ilman edistystä, se voi menettää vauhtinsa ja keskeisten sidosryhmien tuen", Khattar varoittaa.
”Koska vuosi 2024 on vaalivuosi, ajoituksesta tulee entistä kriittisempi APRA:n kaltaisen lainsäädännön hyväksyminen. Lainsäätäjät reagoivat yleensä enemmän yleiseen mielipiteeseen tänä aikana. He saattavat kuitenkin myös olla varovaisia tukeessaan kiistanalaisia tai erimielisyyksiä aiheuttavia toimia."
Jopa lupaavimmasta laista ei ole juurikaan hyötyä, jos se ei mene yli rajojen. Yritysten tulee kuitenkin varautua APRA:han – tai mahdollisiin myöhemmiin lainsäädäntöyrityksiin – liiketoimintariskinä.
"Arvioi ensin, kuinka hyvin nykyinen tietojenkäsittelynne noudattaa tiukkoja osavaltiolakeja, kuten Kalifornian tai Illinoisin lakeja", Khattar päättää. ”Yrityksissä, jotka jo noudattavat näin tiukkoja säännöksiä, siirtyminen APRA-vaatimustenmukaisuuteen saattaa olla sujuvampaa. Jos käytäntösi on kuitenkin räätälöity vähemmän tiukkojen standardien mukaisiksi, saatat tarvita merkittäviä muutoksia."
Jos mahdollista, siirtyminen noudattamaan keskeisiä säännöksiä nyt voisi välttää päänsärkyä myöhemmin. Se voi myös auttaa rakentamaan arvokasta asiakkaiden luottamusta.
