En ny national privatlivslov, der lover amerikanerne mange af de samme forbrugerrettigheder til privatlivets fred som EU's General Data Protection Regulation (GDPR) arbejder sig vej gennem den amerikanske kongres. Det foreslåede lovforslag lever dog ikke op til den beskyttelse af databeskyttelse, der allerede er forankret i eksisterende statslige privatlivslove og -forskrifter.
Den føderale lovgivnings mål er at skabe et enkelt nationalt grundlag for databeskyttelse for forbrugere, samtidig med at der ydes statsligt tilsyn og håndhævelse af Federal Trade Commission (FTC). I virkeligheden er det foreslåede American Data Privacy and Protection Act ikke opfylder de benchmarks, der er fastsat i California Consumer Privacy Act (CCPA) fra 2018, eller som erstatning California Privacy Rights Act (CPRA), som træder i kraft 1. januar 2023, siger kritikere.
Loven ville falde ind under Federal Trade Commission (FTC), hvilket betyder, at den kun dækker de spørgsmål, som allerede er behandlet af FTC. Disse omfatter forbrugersvindel, identitetstyveri, børns privatliv og nogle cybersikkerhedsproblemer.
Nancy Pelosi, en repræsentant fra Californien, der som formand for Parlamentet har magten til at forhindre lovforslaget i at nå parlamentsgulvet til afstemning, udstedt en erklæring
den 1. september og bemærkede "den amerikanske databeskyttelseslov garanterer ikke den samme væsentlige forbrugerbeskyttelse som Californiens eksisterende privatlivslovgivning." Hendes udtalelse bliver fortolket af eksperter til at betyde, at hun ikke vil støtte lovforslaget uden et nyt foregribelsessprog for at beskytte Californiens love, og vil dræbe det i stedet for at bringe det til afstemning.
I en åbent brev til Kongressens ledere opfordrede 10 generaladvokater, der repræsenterer stater, der i øjeblikket har privatlivslove, Kongressen til at vedtage lovgivning, der kun sætter en baseline for privatlivets fred. "Vi opfordrer Kongressen til at vedtage lovgivning, der sætter et føderalt gulv, ikke et loft, for kritiske privatlivsrettigheder og respekterer det vigtige arbejde, der allerede er udført af stater for at give stærk privatlivsbeskyttelse for vores beboere," skrev de. De citerede eksisterende føderale grundlinjer for andre love, herunder eksisterende beskyttelse af forbrugernes privatliv, børns privatliv og sundhed og HIPAA. "Enhver føderal privatlivsramme skal give plads til, at stater kan lovgive i takt med ændringer i teknologi og dataindsamlingspraksis," skrev generaladvokaten i brevet. "Dette skyldes, at stater er bedre rustet til hurtigt at tilpasse sig de udfordringer, som teknologisk innovation præsenterer, som kan unddrage sig føderalt tilsyn."
Electronic Frontier Foundation også sendte et brev til rep. Frank Pallone, formand for House Committee on Energy and Commerce og sponsor for lovforslaget, der anmoder om, at bestemmelserne i det føderale lovforslag skal styrkes, og at foregribelsen af statslige privatlivslove elimineres. Illinois Information Privacy Act, CCPA og Vermonts Data Broker Act beskytter allerede forbrugerne, og andre stater ser på lignende forslag. "Selvom EFF støtter føderal lovgivning, der faktisk beskytter forbrugernes databeskyttelse, har vi længe været imod at gøre det, hvis prisen er foregribelse af stærkere statslige love," skrev EFF i brevet.
Californien er imod svækket beskyttelse
Lovforslaget fik også stærk kritik fra Californien, hvor California Privacy Protection Agency udsendte et memorandum der anbefaler Californiens kongresdelegation, som udgør 12 % af Repræsentanternes Hus, at modsætte sig lovforslaget.
Lovgivere i Californien og embedsmænd citerer adskillige områder, hvor de hævder, at den føderale lov vil reducere beskyttelsen af privatlivets fred, der i øjeblikket er fastsat af eksisterende statslove. Disse omfatter reduktion af beskyttelsen af privatlivets fred for personer, der ser abortrelaterede tjenester og teenagers mentale sundhed.
Det føderale lovforslag tillader, som det er skrevet i øjeblikket, ikke Californien at inddrive de monetære sanktioner forbundet med dets håndhævelse af den føderale lov. I modsætning hertil tillader CCPA i øjeblikket inddrivelse af betydelige sanktioner for overtrædelser af statsloven.
Andre ændringer ADPPA ville foretage for Californien, som i øjeblikket er omfattet af CCPA:
- Fjernelse af det nuværende fravalg af automatiseret beslutningstagning
- Erstatter Californiens definition af personlige oplysninger med en definition af dækkede data som ikke inkluderer nogle "afledte data og unikke identifikatorer" under californisk lovgivning
- Fjernelse af visse beskyttelser med hensyn til ikke-repressalier for at udøve privatlivets fred
- Tilføjelse af et krav om autentificering af globale opt-out-anmodninger - Californiens lovgivning kræver, at virksomheder respekterer browserens privatlivssignaler som et fravalg, mens ADPPA kræver et eksplicit opt-in for følsomme kategorier
Debbie Reynolds, en global databeskyttelsesekspert og CEO og chief privacy officer for Debbie Reynolds Consulting, siger, at det føderale lovforslag begrænser privatlivets fred kun til den oprindelige forbruger af en enhed. For eksempel, hvis en digital assistent, såsom Alexa, er på et kontor, er det kun den virksomhed, der har købt Alexa-tjenesten, der har deres privatliv beskyttet. Enhver medarbejder, der er overhead af enheden, der diskuterer private oplysninger, ville ikke være beskyttet af loven, da de ikke var det forbruger af enhedens tjeneste.
Fiona Campbell-Webster, Chief Privacy Officer hos MediaMath og den tidligere chefjurist og global databeskyttelsesansvarlig for cloud-baseret Beeswax, en SaaS-applikation erhvervet af Comcast, siger, at der er konsekvenser i det virkelige liv.
"Jeg tror, vi skal være opmærksomme på, før disse love er endelige, hvad det kommer til at betyde for oplevelsen af at forbruge indhold fra interaktion på internettet," siger hun. "Bekymringerne om ... de utilsigtede konsekvenser af, at store platforme i sidste ende kontrollerer alt."
Hun advarer om, at privatlivets fred har en pris. "Jeg synes, det ville være en rigtig skam at se en verden, hvor vi blev straffet, hvis vi ikke kunne betale for alle disse forskellige tjenester, som vi nu får gratis på en bestemt måde." Nogle utilsigtede konsekvenser af lovforslaget om privatlivets fred, advarede hun, kunne påvirke små virksomheder negativt og tvinge dem til at betale højere omkostninger for at overholde de nye regler om beskyttelse af privatlivets fred.
Canada overvejer lignende lovgivning
USA er ikke det eneste nordamerikanske land, der arbejder på at skabe en ny, national lov om privatliv. Canada indførte den længe ventede Digital Charter Implementation Act, 2022 — Bill C-27 — som erstatter et lignende lovforslag, der ikke blev vedtaget af det canadiske parlament i august 2021. Lovforslaget ville vedtage loven om forbrugerbeskyttelse af privatlivets fred (CPPA), loven om personoplysninger og databeskyttelse og loven om kunstig intelligens og data, samt ændre andre eksisterende retsakter.
"Dette er en meget vigtig lov for Canada," siger David Goodis, partner hos INQ Law i Toronto. "Det vil gælde i alle provinser og territorier undtagen British Columbia, Alberta og Quebec. Quebec vedtog sin egen nye, opdaterede lov tidligere på året. BC og Alberta overvejer at opdatere deres nu meget gamle love. Bortset fra Quebec vil CPPA være den mest moderne og strenge privatlivslovgivning i Canada og nogenlunde på niveau med Europas GDPR og Californiens CCPA.”
Der er et par væsentlige forskelle mellem den gamle Bill C-11 og den nye Bill C-27, siger Goodis. "Der er flere nye pligter pålagt organisationer, som kan pådrage sig pengebøder, hvis de ikke overholdes. For eksempel skal organisationer implementere et program til styring af privatlivets fred, sikre, at deres tjenesteudbydere har tilsvarende beskyttelse af privatlivets fred, når de overfører personlige oplysninger fra virksomheden til tjenesteudbyderen, og sikre, at en tjenesteudbyder, der opdager et sikkerhedsbrud, underretter organisationen. Der er også en helt ny del af lovgivningen, der adresserer de specifikke bekymringer omkring beskyttelse af børns privatliv,” forklarer han.
Derudover ifølge analyse
fra det globale forretningsadvokatfirma DLA Piper erstattede det gamle lovforslag ikke provinslove, der "i det væsentlige ligner" den føderale lov, hvilket betød, at provinserne Quebec, Alberta og British Columbia ville have været i stand til at anvende deres love i stedet for af den føderale. Mens det nye lovforslag giver den føderale regering mulighed for at beslutte, om provinslove er væsentligt ens og dermed får lov til at bestå, er det endnu ikke klart, om Alberta og British Columbia vil bestå mønstringen - Quebec, som opdaterede sin privatlivslov i 2021, forventes fritaget.
