欧州連合の一般データ保護規則 (GDPR) と同じ多くの消費者プライバシー権をアメリカ人に約束する新しい国家プライバシー法が、米国議会を通過しています。 ただし、提案された法案は、既存の州のプライバシー法および規制ですでに定められているデータ プライバシー保護には不十分です。
連邦法の目標は、消費者にデータ プライバシーのための単一の全国的な基盤を提供すると同時に、政府による監督と執行を提供することです。 連邦取引委員会 (公取委)。 実際には、提案された アメリカのデータプライバシーおよび保護法 で設定されたベンチマークを満たさない カリフォルニア州消費者プライバシー法 (CCPA) の 2018 年、または代替 カリフォルニア州のプライバシー権法 (CPRA) は 1 年 2023 月 XNUMX 日に発効すると、批評家は言います。
法律は、 連邦取引委員会 (FTC)、つまり、FTC によって既に対処されている問題のみが対象となります。 これらには、消費者詐欺、個人情報の盗難、子供のプライバシー、およびいくつかのサイバーセキュリティの問題が含まれます.
ナンシー・ペロシはカリフォルニア州下院議員であり、下院議長として、法案が下院議場に届かないようにする権限を持っています。 声明を発表
1 月 XNUMX 日に、「アメリカのデータ プライバシーおよび保護法は、カリフォルニア州の既存のプライバシー法と同じ重要な消費者保護を保証するものではありません」と述べています。 彼女の声明は専門家によって、カリフォルニア州の法律を保護するための新しいプリエンプメント文言なしでは法案を支持せず、投票に持ち込むのではなくそれを殺すだろうと解釈されています.
で 公開書簡 議会の指導者に対して、現在プライバシー法を制定している州を代表する 10 人の司法長官が、プライバシーの基準のみを設定する法律を議会に通過させるよう促しました。 「重要なプライバシー権に上限ではなく下限を設定し、住民に強力なプライバシー保護を提供するために州がすでに実施している重要な取り組みを尊重する法律を議会が採択することを奨励します」と彼らは書いています。 彼らは、既存の消費者のプライバシー保護、子供のプライバシーと健康のプライバシー、および HIPAA を含む、他の法律の既存の連邦ベースラインを引用しました。 法務長官は書簡で、「連邦のプライバシーの枠組みは、州が技術やデータ収集の慣行の変化に対応して法制化する余地を残しておく必要があります」と述べています。 「これは、州が連邦政府の監視を逃れる可能性のある技術革新によってもたらされる課題に迅速に適応するための準備が整っているためです。」
電子フロンティア財団も 手紙を送った エネルギーと商業に関する下院委員会の委員長であり、法案のスポンサーであるフランク・パローン議員に、連邦法案の規定を強化し、州のプライバシー法案の優先権を撤廃するよう求めます。 イリノイ州の情報プライバシー法、CCPA、およびバーモント州のデータ ブローカー法は既に消費者を保護しており、他の州でも同様の提案が検討されています。 「EFF は、実際に消費者データのプライバシーを保護する連邦法を支持していますが、その代償がより強力な州法の先取りである場合、私たちは長い間そうすることに反対してきました」と EFF は書簡に書いています。
カリフォルニア州は保護の弱体化に反対
この法案は、カリフォルニア州プライバシー保護局が発行したカリフォルニア州からも強い批判を集めました。 覚書 これは、下院の 12% を占めるカリフォルニア州議会の代表団が法案に反対することを推奨しています。
カリフォルニア州の議員と州の役人は、連邦法が既存の州法によって現在提供されているプライバシー保護を削減すると主張するいくつかの分野を挙げています. これらには、中絶関連のサービスや XNUMX 代のメンタルヘルスを見ている個人のプライバシー保護の削減が含まれます。
現在作成されている連邦法案は、カリフォルニア州が連邦法の執行に関連する罰金を回収することを許可していません。 対照的に、CCPA は現在、州法の違反に対する重大な罰則の回復を認めています。
ADPPA がカリフォルニア州に加えるその他の変更は、現在 CCPA でカバーされています。
- 自動意思決定の現在のオプトアウトを削除する
- カリフォルニア州の定義を置き換える 個人情報 の定義で 対象データ カリフォルニア州法に基づく一部の「派生データと一意の識別子」を含まない
- プライバシー権の行使に対する非報復に関する特定の保護の削除
- グローバルなオプトアウト要求を認証するための要件を追加 — カリフォルニア州の法律では、企業がブラウザーのプライバシー シグナルをオプトアウトとして尊重することを義務付けていますが、ADPPA では機密性の高いカテゴリに対して明示的なオプトインを要求しています。
世界的なデータ プライバシーと保護の専門家であり、Debbie Reynolds Consulting の CEO 兼最高プライバシー責任者である Debbie Reynolds 氏は、連邦法案はデバイスの最初の消費者にのみプライバシー権を制限していると述べています。 たとえば、Alexa などのデジタル アシスタントがオフィスにある場合、Alexa サービスを購入した企業だけがプライバシーを保護できます。 個人情報について議論しているデバイスのそばにいる従業員は、法律によって保護されません。 consumer デバイスのサービスの。
MediaMath の最高プライバシー責任者であり、Comcast が買収したクラウドベースの SaaS アプリケーションである Beeswax の前主席法律顧問兼グローバル データ保護責任者である Fiona Campbell-Webster 氏は、現実には影響があると述べています。
「これらの法律が確定する前に、それがインターネット上でやり取りするコンテンツを消費する経験にとって何を意味するのかを考慮する必要があると思います」と彼女は言います. 「大きなプラットフォームが最終的にすべてを制御することによる意図しない結果についての懸念です。」
彼女は、プライバシーには代償が伴うと警告しています。 「現在、ある方法で無料で利用できるこれらのさまざまなサービスすべてにお金を払うことができなければ、私たちが罰せられる世界を見るのは本当に残念なことだと思います。」 彼女は、プライバシー法案の意図しない結果のいくつかは、小規模企業に悪影響を及ぼし、新しいプライバシー規制を満たすために、より高いコストを支払うことを余儀なくされる可能性があると警告した.
カナダも同様の法律を検討
新しい国家プライバシー法案の作成に取り組んでいる北米の国は、米国だけではありません。 カナダは、待望の 2022 年デジタル憲章実施法を導入しました — ビルC-27 — これは、2021 年 XNUMX 月にカナダ議会を通過できなかった同様の法案に代わるものです。この法案は、消費者プライバシー保護法 (CPPA)、個人情報およびデータ保護裁判所法、人工知能およびデータ法、ならびに他の既存の行為を修正する。
「これはカナダにとって非常に重要な法律です」と、トロントの INQ Law のパートナーである David Goodis は言います。 「ブリティッシュ コロンビア州、アルバータ州、ケベック州を除くすべての州と準州に適用されます。 ケベック州は、今年初めに独自の新しい更新された法律を可決しました。 BC州とアルバータ州は、現在非常に古い法律を更新することを検討しています. ケベック州を除けば、CPPA はカナダで最も近代的で厳格なプライバシー法であり、ヨーロッパの GDPR やカリフォルニア州の CCPA とほぼ同等です。」
古いビル C-11 と新しいビル C-27 の間にはいくつかの重要な違いがある、と Goodis は言います。 「組織に課せられたいくつかの新しい義務があり、従わなければ金銭的な罰則が課せられる可能性があります。 たとえば、組織はプライバシー管理プログラムを実装し、会社からサービス プロバイダーに個人情報を転送する際にサービス プロバイダーが同等のプライバシー保護を確保できるようにし、セキュリティ違反を発見したサービス プロバイダーが組織に通知するようにする必要があります。 また、子供のプライバシー保護に関する特定の懸念に対処する法律のまったく新しい部分もあります」と彼は説明します。
また、 分析
グローバル ビジネス法律事務所 DLA Piper によると、古い法案は、連邦法と「実質的に類似」する州法に取って代わるものではありませんでした。つまり、ケベック州、アルバータ州、およびブリティッシュ コロンビア州は、代わりに連邦法を適用することができたはずです。連邦のものの。 新しい法案は、連邦政府が州法が実質的に類似しており、したがって有効かどうかを決定することを許可していますが、アルバータ州とブリティッシュ コロンビア州が召集を通過するかどうかはまだ明らかではありません。 2021年にプライバシー法を更新、免除される見込みです。
