En ny nasjonal personvernlov som lover amerikanere mange av de samme forbrukernes personvernrettigheter som EUs generelle databeskyttelsesforordning (GDPR) jobber seg gjennom den amerikanske kongressen. Imidlertid faller det foreslåtte lovforslaget til kort personvernet som allerede er nedfelt i eksisterende statlige personvernlover og -forskrifter.
Den føderale lovgivningens mål er å gi et enkelt nasjonalt grunnlag for personvern for forbrukere, samtidig som det gis statlig tilsyn og håndhevelse av Federal Trade Commission (FTC). I realiteten er det foreslåtte American Data Privacy and Protection Act ikke oppfyller standardene satt i California Consumer Privacy Act (CCPA) fra 2018, eller som erstatning California Privacy Rights Act (CPRA), som trer i kraft 1. januar 2023, sier kritikere.
Loven vil falle inn under Federal Trade Commission (FTC), som betyr at den bare dekker de problemene som allerede er behandlet av FTC. Disse inkluderer forbrukersvindel, identitetstyveri, barns personvern og noen problemer med nettsikkerhet.
Nancy Pelosi, en California-representant som som talsmann for huset har makten til å forhindre at regningen når husets etasje for en avstemning, utstedt en erklæring
1. september og la merke til "den amerikanske databeskyttelsesloven garanterer ikke den samme grunnleggende forbrukerbeskyttelsen som Californias eksisterende personvernlovgivning." Uttalelsen hennes blir tolket av forståsegpåere til å bety at hun ikke vil støtte lovforslaget uten nytt forkjøpsspråk for å beskytte Californias lover, og vil drepe det i stedet for å bringe det til avstemning.
I et åpent brev til kongressledere, 10 generaladvokater som representerer stater som for tiden har personvernlover oppfordret Kongressen til å vedta lovgivning som bare setter en grunnlinje for personvern. "Vi oppfordrer Kongressen til å vedta lovgivning som setter et føderalt gulv, ikke et tak, for kritiske personvernrettigheter og respekterer det viktige arbeidet som allerede er utført av stater for å gi sterk personvern for våre innbyggere," skrev de. De siterte eksisterende føderale grunnlinjer for andre lover, inkludert eksisterende forbrukerbeskyttelse, barns personvern og helsepersonvern og HIPAA. "Ethvert føderalt personvernrammeverk må gi rom for statene til å lovfeste i samsvar med endringer i teknologi og datainnsamlingspraksis," skrev riksadvokaten i brevet. "Dette er fordi stater er bedre rustet til å raskt tilpasse seg utfordringene som presenteres av teknologisk innovasjon som kan unnslippe føderalt tilsyn."
Electronic Frontier Foundation også sendte et brev til rep. Frank Pallone, leder av House Committee on Energy and Commerce og sponsor av lovforslaget, og ber om at bestemmelsene i det føderale lovforslaget blir styrket og at forrangen til statlige personvernlover elimineres. Illinois Information Privacy Act, CCPA og Vermonts Data Broker Act beskytter allerede forbrukere, og andre stater ser på lignende forslag. "Selv om EFF støtter føderal lovgivning som faktisk beskytter personvernet til forbrukerdata, har vi lenge motsatt oss å gjøre det hvis prisen er forebygging av sterkere statlige lover," skrev EFF i brevet.
California motsetter seg svekket beskyttelse
Lovforslaget trakk også sterk kritikk fra California, der California Privacy Protection Agency utstedte et notat som anbefaler Californias kongressdelegasjon, som utgjør 12 % av Representantenes hus, motsette seg lovforslaget.
Lovgivere i California og statlige tjenestemenn siterer flere områder der de hevder at den føderale loven vil redusere personvernbeskyttelsen som for tiden er gitt av eksisterende statlige lover. Disse inkluderer å redusere personvernet for enkeltpersoner som ser abortrelaterte tjenester og tenåringer mental helse.
Det føderale lovforslaget, som for øyeblikket er skrevet, tillater ikke California å inndrive pengestraffene knyttet til håndhevelsen av den føderale loven. I motsetning tillater CCPA for tiden inndrivelse av betydelige straffer for brudd på statsloven.
Andre endringer ADPPA vil gjøre for California, som for tiden dekkes av CCPA:
- Fjerner gjeldende bortvalg av automatiserte beslutninger
- Erstatter Californias definisjon av Personlig informasjon med en definisjon av dekket data som ikke inkluderer noen "avledede data og unike identifikatorer" i henhold til California-loven
- Fjerning av visse beskyttelser med hensyn til ikke-gjengjeldelse for å utøve personvernrettigheter
- Legger til et krav om å autentisere globale oppt-out-forespørsler – California lov krever at bedrifter respekterer nettlesers personvernsignaler som et fravalg, mens ADPPA krever en eksplisitt opt-in for sensitive kategorier
Debbie Reynolds, en global datapersonvern- og beskyttelsesekspert og administrerende direktør og sjef for personvern i Debbie Reynolds Consulting, sier at det føderale lovforslaget begrenser personvernrettigheter bare til den opprinnelige forbrukeren av en enhet. For eksempel, hvis en digital assistent, for eksempel Alexa, er på et kontor, vil bare selskapet som kjøpte Alexa-tjenesten ha personvernet sitt beskyttet. Enhver ansatt som er overhead ved at enheten diskuterer privat informasjon ville ikke være beskyttet av loven siden de ikke var det forbruker av enhetens tjeneste.
Fiona Campbell-Webster, sjef for personvern hos MediaMath og den tidligere juridiske rådgiveren og global databeskyttelsesansvarlig for skybaserte Beeswax, en SaaS-applikasjon kjøpt opp av Comcast, sier at det har konsekvenser i det virkelige liv.
"Jeg tror vi må være oppmerksomme på, før noen av disse lovene er ferdigstilt, hva det kommer til å bety for opplevelsen av å konsumere innhold fra interaksjon på Internett," sier hun. "Bekymringene om ... de utilsiktede konsekvensene av at store plattformer til slutt kontrollerer alt."
Hun advarer om at personvern har en pris. "Jeg synes det ville være virkelig synd å se en verden hvor vi ble straffet hvis vi ikke kunne betale for alle disse forskjellige tjenestene som vi nå får gratis på en bestemt måte." Noen utilsiktede konsekvenser av personvernregningen, advarte hun, kan påvirke små selskaper negativt, og tvinge dem til å betale høyere kostnader for å oppfylle de nye personvernforskriftene.
Canada vurderer lignende lovgivning
USA er ikke det eneste nordamerikanske landet som jobber med å lage en ny, nasjonal personvernlov. Canada introduserte den mye etterlengtede Digital Charter Implementation Act, 2022 — Bill C-27 — som erstatter et lignende lovforslag som ikke klarte å vedta det kanadiske parlamentet i august 2021. Lovforslaget ville vedta Consumer Privacy Protection Act (CPPA), Personal Information and Data Protection Tribunal Act, og Artificial Intelligence and Data Act, samt endre andre eksisterende rettsakter.
"Dette er en veldig viktig lov for Canada," sier David Goodis, en partner ved INQ Law i Toronto. "Det vil gjelde i alle provinser og territorier bortsett fra British Columbia, Alberta og Quebec. Quebec vedtok sin egen nye, oppdaterte lov tidligere i år. BC og Alberta vurderer å oppdatere sine nå svært gamle lover. Bortsett fra Quebec, vil CPPA være den mest moderne og strenge personvernloven i Canada, og omtrent på nivå med Europas GDPR og Californias CCPA.»
Det er noen få betydelige forskjeller mellom den gamle Bill C-11 og den nye Bill C-27, sier Goodis. "Det er flere nye plikter pålagt organisasjoner som kan pådra seg pengestraff hvis de ikke overholdes. Organisasjoner må for eksempel implementere et program for personvernstyring, sikre at tjenesteleverandørene deres har tilsvarende personvern når de overfører personopplysninger fra selskapet til tjenesteleverandøren, og sørge for at en tjenesteleverandør som oppdager et sikkerhetsbrudd varsle organisasjonen. Det er også en helt ny del av lovverket som tar for seg de spesifikke bekymringene rundt beskyttelse av barns personvern, forklarer han.
I tillegg, ifølge analyse
fra det globale forretningsadvokatfirmaet DLA Piper, erstattet ikke det gamle lovforslaget provinsielle lover som er "vesentlig lik" den føderale loven, noe som betydde at provinsene Quebec, Alberta og British Columbia ville ha vært i stand til å bruke lovene deres i stedet av den føderale. Selv om det nye lovforslaget lar den føderale regjeringen avgjøre om provinslover er vesentlig like og dermed får lov til å bli stående, er det ennå ikke klart om Alberta og British Columbia vil bestå mønstringen - Quebec, som oppdaterte personvernloven i 2021, forventes å være unntatt.
