Undang-undang privasi nasional baru yang menjanjikan warga Amerika hak privasi konsumen yang sama seperti Peraturan Perlindungan Data Umum (GDPR) Uni Eropa sedang diupayakan melalui Kongres AS. Namun, rancangan undang-undang tersebut tidak memenuhi perlindungan privasi data yang telah diabadikan dalam undang-undang dan peraturan privasi negara bagian yang ada.
Tujuan undang-undang federal ini adalah untuk memberikan landasan nasional tunggal bagi privasi data bagi konsumen sekaligus memberikan pengawasan dan penegakan hukum oleh pemerintah. Komisi Perdagangan Federal (FTC). Kenyataannya, yang diusulkan Undang-Undang Privasi dan Perlindungan Data Amerika gagal memenuhi tolok ukur yang ditetapkan dalam Undang-undang Privasi Konsumen California (CCPA) tahun 2018, atau penggantinya Undang-Undang Hak Privasi California (CPRA), yang mulai berlaku 1 Januari 2023, kata para kritikus.
Hukum akan berada di bawah lingkup Komisi Perdagangan Federal (FTC), artinya hanya mencakup isu-isu yang telah ditangani oleh FTC. Ini termasuk penipuan konsumen, pencurian identitas, privasi anak-anak, dan beberapa masalah keamanan siber.
Nancy Pelosi, perwakilan California yang sebagai Ketua DPR memiliki kekuasaan untuk mencegah RUU tersebut sampai ke DPR untuk pemungutan suara, mengeluarkan sebuah pernyataan
pada tanggal 1 September dengan menyatakan โUndang-Undang Privasi dan Perlindungan Data Amerika tidak menjamin perlindungan konsumen yang sama pentingnya dengan undang-undang privasi California yang ada.โ Pernyataannya ditafsirkan oleh para pakar dengan arti bahwa dia tidak akan mendukung RUU tersebut tanpa bahasa pencegahan baru untuk melindungi undang-undang California, dan akan membatalkan RUU tersebut daripada membawanya ke pemungutan suara.
Dalam Surat terbuka Kepada para pemimpin Kongres, 10 jaksa agung yang mewakili negara-negara bagian yang saat ini memiliki undang-undang privasi mendorong Kongres untuk mengesahkan undang-undang yang hanya menetapkan dasar untuk privasi. โKami mendorong Kongres untuk mengadopsi undang-undang yang menetapkan batas bawah federal, bukan batas atas, untuk hak privasi penting dan menghormati pekerjaan penting yang telah dilakukan oleh negara bagian untuk memberikan perlindungan privasi yang kuat bagi penduduk kami,โ tulis mereka. Mereka mengutip dasar federal yang ada untuk undang-undang lain, termasuk perlindungan privasi konsumen yang ada, privasi anak-anak dan privasi kesehatan, dan HIPAA. โKerangka privasi federal apa pun harus memberikan ruang bagi negara bagian untuk membuat undang-undang secara responsif terhadap perubahan dalam teknologi dan praktik pengumpulan data,โ tulis jaksa agung dalam surat tersebut. โHal ini terjadi karena negara bagian lebih siap untuk dengan cepat menyesuaikan diri terhadap tantangan yang ditimbulkan oleh inovasi teknologi yang mungkin luput dari pengawasan pemerintah federal.โ
Electronic Frontier Foundation juga mengirim surat kepada Rep. Frank Pallone, ketua Komite Energi dan Perdagangan DPR dan sponsor RUU tersebut, meminta agar ketentuan-ketentuan dalam RUU federal diperkuat dan preemption terhadap RUU privasi negara bagian dihapuskan. Undang-Undang Privasi Informasi Illinois, CCPA, dan Undang-Undang Pialang Data Vermont telah melindungi konsumen, dan negara bagian lain juga sedang mempertimbangkan proposal serupa. โMeskipun EFF mendukung undang-undang federal yang benar-benar melindungi privasi data konsumen, kami telah lama menentang hal tersebut jika konsekuensinya adalah mendahului undang-undang negara bagian yang lebih kuat,โ tulis EFF dalam suratnya.
California Menentang Perlindungan yang Lemah
RUU tersebut juga menuai kritik keras dari California, tempat Badan Perlindungan Privasi California mengeluarkannya sebuah memorandum yang merekomendasikan delegasi kongres California, yang merupakan 12% dari Dewan Perwakilan Rakyat, menentang RUU tersebut.
Legislator California dan pejabat negara bagian menyebutkan beberapa hal yang menurut mereka undang-undang federal akan mengurangi perlindungan privasi yang saat ini diberikan oleh undang-undang negara bagian yang ada. Hal ini termasuk mengurangi perlindungan privasi bagi individu yang menggunakan layanan terkait aborsi dan kesehatan mental remaja.
RUU federal, seperti yang ditulis saat ini, tidak mengizinkan California memulihkan denda moneter yang terkait dengan penegakan hukum federal. Sebaliknya, CCPA saat ini mengizinkan pemulihan hukuman yang signifikan atas pelanggaran hukum negara bagian.
Perubahan lain yang akan dilakukan ADPPA untuk California, yang saat ini dicakup oleh CCPA:
- Menghapus penolakan pengambilan keputusan otomatis saat ini
- Menggantikan definisi California tentang Informasi Pribadi dengan definisi data yang tercakup itu tidak mencakup beberapa โdata turunan dan pengidentifikasi unikโ berdasarkan hukum California
- Menghapus perlindungan tertentu sehubungan dengan non-pembalasan karena melaksanakan hak privasi
- Menambahkan persyaratan untuk mengautentikasi permintaan penolakan global โ Undang-undang California mewajibkan bisnis untuk menghormati sinyal privasi browser sebagai penolakan, sedangkan ADPPA mewajibkan persetujuan eksplisit untuk kategori sensitif
Debbie Reynolds, pakar privasi dan perlindungan data global serta CEO dan kepala petugas privasi Debbie Reynolds Consulting, mengatakan undang-undang federal membatasi hak privasi hanya untuk konsumen asli suatu perangkat. Misalnya, jika asisten digital, seperti Alexa, berada di kantor, hanya perusahaan yang membeli layanan Alexa yang privasinya akan dilindungi. Karyawan mana pun yang berada di atas perangkat yang mendiskusikan informasi pribadi tidak akan dilindungi oleh hukum karena mereka bukan orang tersebut konsumen layanan perangkat.
Fiona Campbell-Webster, kepala petugas privasi di MediaMath dan mantan kepala penasihat hukum dan petugas perlindungan data global di Beeswax berbasis cloud, sebuah aplikasi SaaS yang diakuisisi oleh Comcast, mengatakan ada konsekuensi dalam kehidupan nyata.
โSaya pikir kita perlu memikirkan, sebelum undang-undang ini diselesaikan, apa dampaknya terhadap pengalaman mengonsumsi konten saat berinteraksi di Internet,โ katanya. โKekhawatiran tentangโฆ konsekuensi yang tidak diinginkan dari platform besar yang pada akhirnya mengendalikan segalanya.โ
Dia memperingatkan bahwa privasi ada harganya. โSaya pikir akan sangat disayangkan melihat dunia di mana kita dihukum jika kita tidak mampu membayar semua layanan berbeda yang sekarang kita dapatkan secara gratis dengan cara tertentu.โ Beberapa konsekuensi yang tidak diinginkan dari undang-undang privasi, dia memperingatkan, dapat berdampak negatif pada perusahaan kecil, memaksa mereka membayar biaya yang lebih tinggi untuk memenuhi peraturan privasi yang baru.
Kanada Mempertimbangkan Perundang-undangan Serupa
AS bukan satu-satunya negara di Amerika Utara yang berupaya membuat undang-undang privasi nasional yang baru. Kanada memperkenalkan Undang-Undang Implementasi Piagam Digital yang sangat dinantikan pada tahun 2022 โ Bill C-27 โ yang menggantikan RUU serupa yang gagal disahkan Parlemen Kanada pada Agustus 2021. RUU tersebut akan mengesahkan Undang-Undang Perlindungan Privasi Konsumen (CPPA), Undang-Undang Pengadilan Perlindungan Informasi dan Data Pribadi, dan Undang-Undang Kecerdasan Buatan dan Data, serta mengubah tindakan lain yang sudah ada.
โIni adalah undang-undang yang sangat penting bagi Kanada,โ kata David Goodis, partner di INQ Law di Toronto. โIni akan berlaku di semua provinsi dan wilayah kecuali British Columbia, Alberta, dan Quebec. Quebec mengeluarkan undang-undang baru yang diperbarui awal tahun ini. BC dan Alberta sedang mempertimbangkan untuk memperbarui undang-undang mereka yang sudah sangat lama. Selain Quebec, CPPA akan menjadi undang-undang privasi paling modern dan ketat di Kanada, dan kira-kira setara dengan GDPR Eropa dan CCPA California.โ
Ada beberapa perbedaan signifikan antara RUU C-11 lama dan RUU C-27 baru, kata Goodis. โAda beberapa tugas baru yang dikenakan pada organisasi yang mungkin dikenakan sanksi moneter jika tidak dipatuhi. Misalnya, organisasi perlu menerapkan program manajemen privasi, memastikan penyedia layanan mereka memiliki perlindungan privasi yang setara ketika mentransfer informasi pribadi dari perusahaan ke penyedia layanan, dan memastikan penyedia layanan yang menemukan pelanggaran keamanan memberi tahu organisasi. Ada juga bagian baru dari undang-undang ini yang membahas permasalahan khusus seputar perlindungan privasi anak-anak,โ jelasnya.
Selain itu, menurut analisis
dari firma hukum bisnis global DLA Piper, RUU yang lama tidak menggantikan undang-undang provinsi yang โsecara substansial miripโ dengan undang-undang federal, yang berarti bahwa provinsi Quebec, Alberta, dan British Columbia akan dapat menerapkan undang-undang mereka sebagai gantinya. dari yang federal. Meskipun undang-undang baru ini memungkinkan pemerintah federal untuk memutuskan apakah undang-undang provinsi secara substansial serupa dan dengan demikian diperbolehkan untuk berlaku, masih belum jelas apakah Alberta dan British Columbia akan diterima โ Quebec, yang memperbarui undang-undang privasinya pada tahun 2021, diharapkan dikecualikan.
