Wat kan 'n federale privaatheidswet vir die VSA beteken?
INHOUDSOPGAWE:
Die Amerikaanse federale regering het sy billike deel van voorgestelde breë verbruikersprivaatheidswette gesien, wat blykbaar almal kwyn. Sy nuutste kan anders wees.
Terwyl die meeste ander wetgewende pogings partydig was, het die skrywers van die Amerikaanse Wet op Privaatheidsregte (APRA), Rep Cathy McMorris Rodgers (R-WA) en Sen Maria Cantwell (D-WA), kom van weerskante van die Senaatvloer. Sen. Cantwell teenstelling APRA se voorganger, die Amerikaanse Wet op Data Privaatheid en Beskerming (ADPPA), wat in 2022 nie die president se lessenaar bereik het nie. Nou is sy die tweeledige skrywer van die vervanging daarvan. Alhoewel hierdie voorstel steeds net 'n besprekingskonsep is, kan dit alleen dit die naaste maak wat ons nog aan 'n GDPR-agtige Amerikaanse federale wetsontwerp gekom het.
Breë dekking
As dit aangeneem word, sal organisasies wat onder APRA se omvang val, data-minimaliseringstandaarde moet volg en dit slegs vir beperkte doeleindes insamel. Verbruikers sal in staat wees om toegang tot hul data te kry, die verwydering, regstelling en uitvoer daarvan te eis, en kan onttrek van nie-sensitiewe data-oordragte vir derde partye. Hulle sal ook moet kies vir sensitiewe data-oordragte.
Organisasies wat deur wetsontwerp gedek word, is dié wat die doel van die insameling of verwerking van data bepaal en wat onder die FTC-wet val. Daar is 'n subgroep van groot datahouers met groter minimum drempels ($250 miljoen en vyf miljoen mense), waarvan lede strenger beperkings ondervind. Ondernemings wat jaarliks minder as $40 miljoen verdien en die data van nie meer as 200,000 XNUMX mense hanteer nie, is buite die bestek daarvan.
Die wet dek data wat redelikerwys aan 'n toestel gekoppel kan word, maar nie publieke of werknemerinligting nie. Daar is ook 'n subset van sensitiewe data wat datapunte insluit soos: gesondheid; biometriese (nie foto's, oudio of video nie) en genetiese inligting; ras; etnisiteit; nasionale oorsprong; godsdiens; en seks; saam met finansiële rekening- en betalingsdata. Hierdie sensitiewe kategorie strek wyer en dek presiese geoligging-inligting, aanmelddata, privaat kommunikasie, telefoonlogboeke en selfs kalenderdata.
Daar is ook 'n paar eksplisiete definisies, insluitend foto's en opnames vir privaat gebruik, naakte of privaat beelde, en inligting wat seksuele gedrag openbaar.
Ben Sperry, senior geleerde van innovasiebeleid by die Internasionale Sentrum vir Regte en Ekonomie, is bekommerd oor 'n spesifieke datatipe in die sensitiewe datakategorie: aanlynaktiwiteite wat mettertyd en oor derdeparty-webwerwe versamel is.
“Dit is oor die algemeen hoe geteikende advertensies werk,” sê hy aan ISMS.online, en voeg by dat die beperking van die vermoë om advertensies te teiken sakemodelle vir aanlynplatforms en die inhoudskeppers wat dit gebruik, sal beïnvloed.
Breë verpligtinge
Die verpligtinge vir diegene wat deur die wetsontwerp gedek word, is talle. Daar is 'n afdeling wat manipulasiepraktyke verbied wat ontwerp is om verbruikers se aandag van hul privaatheidsregte af te lei (bekend as 'donker patrone'), en 'n ander wat toepaslike sekuriteitspraktyke vereis. Nog 'n ander vereis omsigtigheid wanneer derdeparty-diensverskaffers gekies word wat gebruikersdata sal hanteer.
Algoritmes is ook onderhewig aan regulering kragtens die voorgestelde wet, met groot datahouers wat vereis word om impakbeoordelings te doen op diegene met "gevolglike risiko van skade". Hulle moet dit aan die FTC rapporteer. Verbruikers sal die reg hê om van hierdie algoritmes te onttrek.
Gedekte organisasies sal privaatheidsbeleide moet publiseer wat die doeleindes van die dataverwerking verduidelik en hoe lank dit behou sal word. Die beleide sal derde partye moet lys waarna die data oorgedra word, uitdruklik datamakelaars ingesluit. Die FTC sal ook 'n datamakelaarregister moet vestig met 'n opt-out opsie vir verbruikers.
Die FTC speel 'n groot rol in hierdie wetgewing, en dien as sy handhawingsliggaam tot die mate dat dit sy Reëlstelling oor kommersiële toesig en datasekuriteit toe die wet in werking getree het.
Ashley Johnson, senior beleidsbestuurder by die tegnologie-industrie-lobbygroep die Information Technology & Innovation Foundation (ITIF), identifiseer die FTC se rol as 'n knelpunt vir die voorgestelde wetsontwerp. Die vereiste vir 'n opt-out sentrale FTC-register ondermyn die opt-out-bepalings vir gedekte data, vertel sy aan ISMS.online, en voeg by dat dit advertensie-inkomste vir aanlyndienste sal laat krimp.
Wie se wet tel?
Nog 'n twispunt is watter wette presedent sou kry; APRA of staatsvlak wetgewing. Soos dit nou staan, sal die federale wet staatswette vooruitloop – behalwe wanneer dit nie die geval is nie, wat, soos dit blyk, redelik dikwels is.
"Terwyl APRA daarop gemik is om 'n nasionale standaard daar te stel, poog dit ook om die sterk beskerming van staatswette soos dié in Kalifornië, Illinois en Washington in te sluit," waarsku Perla Khattar, 'n doktorale kandidaat in die Universiteit van Notre Dame Law School se Tech Ethics Lab . "Om hierdie doelwitte te balanseer om bekommernisse van state met robuuste privaatheidsbeskerming aan te spreek, hou 'n komplekse uitdaging in."
Die voorkoopvraag speel in 'n ander spanningspunt: die wetsontwerp se voorsiening vir private regsgedinge saam met boetes van staatsprokureurs-generaal en die FTC. Dit laat ITIF bekommerd wees oor wegholkoste.
"Onder die Illinois Biometric Information Privacy Act (BIPA) was daar enorme skikkings van hofsake in die miljoene dollar reekse, net vir daardie een staatswet," sê ITIF se Johnson. Die wet laat individue toe om private regsgedinge te bring.
"Baie maatskappye kyk na sulke voorbeelde en dink 'hoe sou dit lyk as dit op 'n federale vlak was?'."
Die wet sal individue in Illinois toelaat om kragtens BIPA en sy Genetiese Inligting Privaatheidswet te dagvaar wanneer die oortreding daar plaasgevind het. Dit laat Kaliforniërs ook toe om kragtens die Kaliforniese Wet op Privaatheidsregte te dagvaar. Johnson noem hierdie “backroom dealing” wat state 'n onregverdige voordeel sou gee.
Dispute soos hierdie is moeilik om op te los, gegewe die baie belanghebbendes en agendas wat betrokke is, en die tyd raak min.
"As die wetsontwerp te lank sonder vordering talm, loop dit die risiko om momentum en die ondersteuning van sleutelbelanghebbendes te verloor," waarsku Khattar.
“Aangesien 2024 'n verkiesingsjaar is, word tydsberekening selfs meer krities vir die aanvaarding van wetgewing soos die APRA. Wetgewers reageer gewoonlik meer op die openbare mening gedurende hierdie tydperk. Hulle kan egter ook versigtig wees om kontroversiële of verdelende maatreëls te ondersteun.”
Selfs die mees belowende wet het min nut as dit nie oor die lyn kom nie. Besighede moet nietemin voorberei vir die APRA – of enige daaropvolgende pogings tot wetgewing – as 'n besigheidsrisiko.
"Evalueer eers hoe goed jou huidige datahantering ooreenstem met streng staatswette, soos dié van Kalifornië of Illinois," sluit Khattar af. “Maatskappye wat reeds aan sulke robuuste regulasies voldoen, kan die oorgang na APRA-nakoming gladder vind. As jou praktyke egter aangepas is om aan minder streng standaarde te voldoen, sal jy dalk aansienlike aanpassings nodig hê.”
Waar moontlik, om nou aan sleutelbepalings te voldoen, kan later hoofpyn voorkom. Dit kan ook help om waardevolle kliëntevertroue op te bou.
