Jest jeden duży problem z nową federalną ustawą o ochronie danych

Amerykanie od lat domagali się federalnego prawa dotyczącego prywatności, ale intensywny lobbing ze strony branży technologicznej i ogólna niekompetencja naszych federalnych ustawodawców wielokrotnie udaremniały to pragnienie. Cóż, możliwe, że w 2024 roku w końcu otrzymamy silne federalne prawo dotyczące prywatności.

Powtórzę jeszcze raz: to możliwe. Technicznie możliwe jest również, że żaby mogą padać z nieba nad dolnym Manhattanem, pokrywając mieszkańców Nowego Jorku wiosennym deszczem amfibii, ale czy rzeczywiście tak się stanie?

Amerykańska ustawa o prawach do prywatności z 2024 r., wprowadzona niedawno przez Cathy McMorris Rodgers (R-WA) i Marię Cantwell (D-WA), zapewniłaby Amerykanom podstawowe zabezpieczenia prywatności cyfrowej. Ustawa, jeśli wejdzie w życie, zapewni konsumentom różnorodne zabezpieczenia i prawa, w tym możliwość dostępu, kontroli i usuwania informacji gromadzonych przez firmy.

Choć może to brzmieć nieźle, istnieje jeden aspekt prawodawstwa, który wydaje się być zaniepokojony obrońcami prywatności. Proponowana ustawa wyeliminowałaby potencjalnie silniejszą ochronę na poziomie państwa, która obecnie istnieje. Chociaż grupy zajmujące się prawami prywatności pozostają ostrożnym optymistą co do potencjału APRA, obawiają się również proponowanego przez nią wywłaszczenia prawa stanowego. Jeśli obecnie proponowane regulacje wyglądają solidnie, proces legislacyjny dopiero się rozpoczyna i nie wiadomo, jak może wyglądać prawo federalne po z pewnością długim i bojowym procesie kształtowania polityki.

Oto krótkie spojrzenie na to, co obiecują obecnie przepisy i co mówią na ten temat obrońcy prywatności.

Prawo dostępu, kontroli i usuwania

Amerykańska ustawa o prawach do prywatności zapewniłaby szeroką ochronę danych Amerykanów, dając konsumentom możliwość dostępu, kontroli i usuwania danych objętych przepisami. Polityka ta dałaby wszystkim Amerykanom prawo do żądania informacji od podmiotów, które zebrały dane na ich temat. Jak stanowi projekt ustawy, firmy podlegające temu prawu będą musiały spełnić żądania konsumentów w „określonych ramach czasowych”. Projekt ustawy dopuszcza pewne wyjątki od tych obowiązków, w tym małe przedsiębiorstwa (definiowane jako firmy osiągające „roczne przychody wynoszące 40 000 000 USD lub mniej” lub które gromadzą, przetwarzają, przechowują lub przekazują „dane objęte 200 000 lub mniej osób”), jak a także rządy oraz „podmioty działające w imieniu rządów”.

Minimalizacja danych

Ustawa przewidywałaby również wprowadzenie czegoś, co nazywa się „minimalizacją danych”. Pomysł polega na tym, aby zmniejszyć ogólną ilość informacji, jakie firmy mogą gromadzić na temat użytkowników sieci. Zwolennicy ustaw twierdzą, że firmy objęte przepisami nie będą mogły „gromadzić, przetwarzać, zatrzymywać ani przekazywać danych w zakresie wykraczającym poza to, co jest konieczne, proporcjonalne lub ograniczone do dostarczania lub utrzymywania produktu lub usługi żądanej przez osobę fizyczną lub zapewniania komunikacji racjonalnie przewidywane w kontekście związku lub w dozwolonym celu.” Powtórzę raz jeszcze, choć brzmi to nieźle, diabeł tkwi w szczegółach i nie jest jeszcze do końca jasne, jak taka minimalizacja danych wyglądałaby w prawdziwym życiu.

Co to są dane objęte?

Projekt ustawy definiuje dane objęte przepisami w następujący sposób:

...informacje, które identyfikują osobę lub urządzenie, są z nią powiązane lub w rozsądny sposób można je powiązać. Nie obejmuje danych zanonimizowanych, danych pracowników, informacji publicznie dostępnych, wniosków wyciągniętych z wielu źródeł informacji publicznie dostępnych, które nie spełniają definicji danych objętych tajemnicą i nie są łączone z danymi objętymi ochroną, a także informacji znajdujących się w bibliotece, archiwum lub zbiory muzealne podlegają określonym ograniczeniom.

Wzmocnienie pozycji FTC

Egzekucja prawa miałaby odbywać się zarówno na szczeblu federalnym, jak i stanowym. W szczególności Federalna Komisja Handlu miałaby za zadanie opracować przepisy i specyfikacje techniczne dotyczące „scentralizowanego mechanizmu umożliwiającego jednostkom korzystanie” z praw do rezygnacji, a także inne kwestie techniczne związane z wykonaniem przepisów – stwierdza projekt ustawy. Jednocześnie projekt ustawy przyznaje uprawnienia „prokuratorom generalnym stanowym, głównym urzędnikom ds. ochrony konsumentów i innym urzędnikom stanowym w federalnym sądzie okręgowym” do podejmowania działań egzekucyjnych przeciwko firmom naruszającym prawo.

Mając na celu branżę brokerów danych

Projekt ustawy skierowany jest także do brokerów danych. Na mocy nowych przepisów FTC byłaby zobowiązana do utworzenia rejestru brokerów danych, z którego mogliby korzystać konsumenci w celu identyfikacji przedsiębiorstw będących brokerami i rezygnacji z gromadzenia danych przez te firmy. Wszyscy brokerzy danych, którzy gromadzą dane o ponad 5000 osób, byliby zmuszeni co roku ponownie rejestrować się w rejestrze federalnym. Jednocześnie brokerzy byliby również zmuszeni do utrzymywania własnych stron internetowych, które identyfikują ich jako brokerów danych i zawierają narzędzie umożliwiające konsumentom rezygnację.

Prywatne prawo do działania

Od dawna zwolennikami ochrony prywatności było prywatne prawo do działania , które stanowi mechanizm umożliwiający indywidualnym konsumentom pozywanie firm, które naruszyły ich prawa. Wiele stanowych przepisów dotyczących prywatności nie uwzględniło tego. Zgodnie z obecną wersją APRA konsumenci uzyskaliby prywatne prawo do działania, umożliwiające im wnoszenie postępowań sądowych przeciwko firmom, które w sposób oczywisty naruszyły ich prawa do prywatności cyfrowej.

Zwolennicy prywatności pozostają ostrożnymi optymistami

Biorąc pod uwagę lata bezczynności federalnych organów regulacyjnych w zakresie polityki prywatności, w ciągu ostatniej dekady rządy stanowe przyjęły szereg rygorystycznych przepisów dotyczących prywatności. Niektóre z tych przepisów, jak kalifornijska ustawa CCPA, są dość rygorystyczne. W nowo zaproponowanej ustawie federalnej otwarcie przyznano, że wyeliminuje ona „istniejącą mozaikę stanowych kompleksowych przepisów dotyczących ochrony danych” i ustanowi w jej miejsce „solidne mechanizmy egzekwowania prawa umożliwiające pociągnięcie sprawców do odpowiedzialności”. Fakt, że APRA miałaby pierwszeństwo przed przepisami stanowymi, niepokoi niektórych obrońców prywatności, którzy obawiają się potencjalnego złagodzenia prawa federalnego. To, że APRA może się obecnie wydawać silna, niewiele znaczy, gdyż lobbyści mogą ją łatwo zneutralizować w procesie legislacyjnym.

Caitriona Fitzgerald, zastępca dyrektora w Centrum Informacji o Prywatności Elektronicznej, stwierdziła, że ​​wyprzedzenie przez prawo federalne regulacji na szczeblu stanowym jest właściwe tylko wtedy, gdy okaże się, że jest to mocne prawo. „Z naszego punktu widzenia – w idealnym świecie – nie unieważniłoby to praw stanowych, lecz umożliwiłoby stanom uchwalanie silniejszych przepisów” – powiedział Fitzgerald. „Wiemy, że kompromis jest konieczny i że jest to poważny punkt sporny. Jeśli ma unieważnić prawa stanowe, musi być silniejsze niż istniejące prawa i regulacje stanowe. Nadal oceniamy projekt ustawy, aby ustalić, czy tak właśnie jest.”

Inni zwolennicy prywatności, tacy jak projekt nadzoru nad technologią nadzoru (STOP), wyrazili podobne obawy. „ADPPA zapewnia silną ochronę prywatności, zwłaszcza zasady minimalizacji danych” – powiedział Will Owen, dyrektor ds. komunikacji STOP. „Ale ustawa jest niewystarczająca, uniemożliwiając państwom podjęcie jeszcze bardziej zdecydowanych działań, jeśli tak zdecydują. Co najgorsze, ADPPA uniemożliwia stanom egzekwowanie ochrony, pozostawiając to wyłącznie amerykańskiej władzy wykonawczej, która jest niestała w egzekwowaniu praw Amerykanów do prywatności”.

Cody Venzke, starszy doradca ds. polityki w ACLU, powiedział, że jego organizacja pozostaje „zaniepokojona tym, że szerokie wyprzedzenie przepisów stanowych w tej ustawie zablokuje naszą zdolność do reagowania na zmieniające się wyzwania stawiane przez technologię”.