Hvad kan en føderal privatlivslov betyde for USA?

Den amerikanske føderale regering har set sin rimelige andel af foreslåede brede forbrugerbeskyttelseslove, som alle ser ud til at visne. Dens seneste kan være anderledes.

Mens de fleste andre lovgivningsforsøg har været partipolitiske, har forfatterne af American Privacy Rights Act (APRA), Rep. Cathy McMorris Rodgers (R-WA) og senator Maria Cantwell (D-WA), kommer fra hver side af Senatets etage. Sen. Cantwell modsætning APRAs forgænger, den American Data Privacy and Protection Act (ADPPA), som ikke nåede frem til præsidentens skrivebord i 2022. Nu er hun den bipartiske forfatter til dens erstatning. Selvom dette forslag stadig kun er et diskussionsudkast, kan det alene gøre det til det tætteste, vi endnu er kommet på et GDPR-lignende amerikansk lovforslag.

Bred dækning

Hvis de bliver vedtaget, vil organisationer, der falder ind under APRA's anvendelsesområde, skulle følge dataminimeringsstandarder og kun indsamle dem til begrænsede formål. Forbrugere ville være i stand til at få adgang til deres data, kræve deres sletning, rettelse og eksport og kunne fravælge ikke-følsomme dataoverførsler til tredjeparter. De skal også vælge følsomme dataoverførsler.

Organisationer, der er omfattet af lovforslaget, er dem, der bestemmer formålet med at indsamle eller behandle data, og som falder ind under FTC-loven. Der er en undergruppe af store dataindehavere med større minimumstærskler ($250 mio. og fem millioner mennesker), hvoraf medlemmer står over for strammere begrænsninger. Virksomheder, der tjener mindre end 40 millioner USD årligt og håndterer data fra ikke mere end 200,000 mennesker, er uden for dets anvendelsesområde.

Loven dækker data, der med rimelighed kan linkes til en enhed, men ikke offentlige eller medarbejderoplysninger. Der er også en undergruppe af følsomme data, der inkluderer datapunkter såsom: sundhed; biometrisk (ikke fotos, lyd eller video) og genetisk information; race; etnicitet; national oprindelse; religion; og sex; sammen med finansielle konto- og betalingsdata. Denne følsomme kategori går bredere og dækker præcise geolokationsoplysninger, log-in-data, privat kommunikation, telefonlogfiler og endda kalenderdata.

Der er også nogle eksplicitte definitioner, herunder fotos og optagelser til privat brug, nøgne eller private billeder og information, der afslører seksuel adfærd.

Ben Sperry, seniorforsker i innovationspolitik ved International Center for Law & Economics, bekymrer sig om en bestemt datatype i kategorien følsomme data: onlineaktiviteter indsamlet over tid og på tværs af tredjepartswebsteder.

"Det er generelt sådan målrettet annoncering fungerer," siger han til ISMS.online og tilføjer, at en indskrænkning af muligheden for at målrette annoncer vil påvirke forretningsmodeller for online platforme og de indholdsskabere, der bruger dem.

Brede forpligtelser

Forpligtelserne for dem, der er omfattet af lovforslaget, er talrige. Der er et afsnit, der forbyder manipulationspraksis designet til at aflede forbrugernes opmærksomhed fra deres privatlivsrettigheder (kendt som 'mørke mønstre'), og en anden kræver passende sikkerhedspraksis. Endnu en anden kræver due diligence, når du vælger tredjepartstjenesteudbydere, der skal håndtere brugerdata.

Algoritmer er også underlagt regulering i henhold til den foreslåede lov, med store dataindehavere forpligtet til at udføre konsekvensvurderinger af dem med "følgerisiko for skade". De skal indberette disse til FTC. Forbrugerne ville have ret til at fravælge disse algoritmer.

Dækkede organisationer vil skulle offentliggøre privatlivspolitikker, der forklarer formålene med databehandlingen, og hvor længe de vil blive opbevaret. Politikkerne skal angive tredjeparter, som dataene overføres til, eksplicit inklusive datamæglere. FTC vil også skulle oprette et datamæglerregister med en fravalgsmulighed for forbrugere.

FTC spiller en stor rolle i denne lovgivning og fungerer som dets håndhævelsesorgan i det omfang, det ville opsige sin Regeludformning om kommerciel overvågning og datasikkerhed da loven trådte i kraft.

Ashley Johnson, senior policy manager hos tech industry lobby group the Information Technology & Innovation Foundation (ITIF), identificerer FTC's rolle som et knækpunkt for det foreslåede lovforslag. Kravet om et opt-out centralt FTC-register underminerer fravalgsbestemmelserne for dækkede data, siger hun til ISMS.online og tilføjer, at det ville skrumpe annonceindtægterne for onlinetjenester.

Hvis lov tæller?

Et andet uenighedspunkt er, hvilke love der ville have præcedens; APRA eller lovgivning på statsniveau. Som det ser ud, ville den føderale lov foregribe statens love – undtagen når den ikke gør det, hvilket, som det viser sig, er ret ofte.

"Mens APRA sigter mod at etablere en national standard, søger den også at inkorporere den stærke beskyttelse af statslove som dem i Californien, Illinois og Washington," advarer Perla Khattar, en doktorgradskandidat ved University of Notre Dame Law Schools Tech Ethics Lab . "At afbalancere disse mål for at imødegå bekymringer fra stater med robust privatlivsbeskyttelse udgør en kompleks udfordring."

Forkøbsspørgsmålet spiller ind i et andet spændingspunkt: lovforslagets bestemmelse om private retssager sammen med sanktioner fra statsadvokaterne og FTC. Dette efterlader ITIF bekymrende over løbske omkostninger.

"I henhold til Illinois Biometric Information Privacy Act (BIPA) har der været enorme forlig af retssager i millioner af dollars, kun for den ene statslov," siger ITIF's Johnson. Loven giver enkeltpersoner mulighed for at anlægge private retssager.

"Mange virksomheder ser på sådanne eksempler og tænker 'hvordan ville det se ud, hvis det var på føderalt niveau?'."

Loven ville give personer i Illinois mulighed for at sagsøge i henhold til BIPA og dens Genetic Information Privacy Act, når overtrædelsen fandt sted der. Det giver også californiere mulighed for at sagsøge i henhold til California Privacy Rights Act. Johnson kalder dette "bagrumshandler", der ville give stater en uretfærdig fordel.

Tvister som disse er svære at løse på grund af de mange involverede interessenter og dagsordener, og tiden er ved at løbe ud.

"Hvis lovforslaget bliver hængende for længe uden fremskridt, risikerer det at miste momentum og støtte fra centrale interessenter," advarer Khattar.

"Da 2024 er et valgår, bliver timingen endnu mere kritisk for vedtagelsen af ​​lovgivning som APRA. Lovgivere er typisk mere lydhøre over for den offentlige mening i denne periode. Men de kan også være forsigtige med at støtte kontroversielle eller splittende foranstaltninger."

Selv den mest lovende lov har kun lidt nytte, hvis den ikke kommer over stregen. Ikke desto mindre bør virksomheder forberede sig på APRA – eller ethvert efterfølgende forsøg på lovgivning – som en forretningsrisiko.

"Først skal du vurdere, hvor godt din nuværende datahåndtering stemmer overens med strenge statslige love, som dem i Californien eller Illinois," afslutter Khattar. "Virksomheder, der allerede overholder sådanne robuste regler, kan finde overgangen til APRA-overholdelse lettere. Men hvis din praksis er blevet skræddersyet til at opfylde mindre strenge standarder, kan du have brug for betydelige justeringer."

Hvor det er muligt, vil det at flytte for at overholde vigtige bestemmelser nu kunne afværge hovedpine senere. Det kan også være med til at opbygge værdifuld kundetillid.