En ny nationell integritetslag som lovar amerikaner många av samma konsumentskyddsrättigheter som EU:s allmänna dataskyddsförordning (GDPR) jobbar sig igenom den amerikanska kongressen. Det föreslagna lagförslaget uppfyller dock inte det dataskydd som redan finns inskrivet i befintliga statliga integritetslagar och förordningar.
Den federala lagstiftningens mål är att tillhandahålla en enda nationell grund för datasekretess för konsumenter samtidigt som den tillhandahåller statlig tillsyn och upprätthållande av Federal Trade Commission (FTC). I verkligheten är det föreslagna Amerikansk Data Privacy and Protection Act inte uppfyller riktmärkena i California Consumer Privacy Act (CCPA) från 2018, eller som ersättning California Privacy Rights Act (CPRA), som träder i kraft 1 januari 2023, säger kritiker.
Lagen skulle falla under Federal Trade Commission (FTC), vilket innebär att den endast täcker de frågor som redan behandlats av FTC. Dessa inkluderar konsumentbedrägerier, identitetsstöld, barns integritet och vissa cybersäkerhetsfrågor.
Nancy Pelosi, en representant från Kalifornien som som talman i parlamentet har makten att hindra lagförslaget från att nå parlamentets golv för omröstning, utfärdade ett uttalande
den 1 september och noterade "den amerikanska dataskyddslagen garanterar inte samma grundläggande konsumentskydd som Kaliforniens befintliga integritetslagar." Hennes uttalande tolkas av förståsigpåare som att hon inte kommer att stödja lagförslaget utan ett nytt preemption-språk för att skydda Kaliforniens lagar, och skulle döda det snarare än att föra det till omröstning.
I ett öppet brev till kongressens ledare uppmuntrade 10 generaladvokater som representerade stater som för närvarande har integritetslagar kongressen att anta lagstiftning som bara sätter en baslinje för integritet. "Vi uppmuntrar kongressen att anta lagstiftning som sätter ett federalt golv, inte ett tak, för kritiska integritetsrättigheter och respekterar det viktiga arbete som redan utförts av stater för att tillhandahålla ett starkt integritetsskydd för våra invånare", skrev de. De citerade befintliga federala grundlinjer för andra lagar, inklusive befintligt konsumentskydd, barns integritet och hälsointegritet och HIPAA. "Alla federala integritetsramverk måste lämna utrymme för stater att lagstifta lyhört för förändringar i teknik och datainsamlingspraxis", skrev riksåklagaren i brevet. "Detta beror på att stater är bättre rustade att snabbt anpassa sig till utmaningarna från teknisk innovation som kan undgå federal tillsyn."
Electronic Frontier Foundation också skickade ett brev till rep. Frank Pallone, ordförande för parlamentets kommitté för energi och handel och sponsor av lagförslaget, och bad att bestämmelserna i det federala lagförslaget förstärks och att företräde för statliga sekretessräkningar elimineras. Illinois Information Privacy Act, CCPA och Vermonts Data Broker Act skyddar redan konsumenter, och andra stater tittar på liknande förslag. "Medan EFF stöder federal lagstiftning som faktiskt skyddar konsumenternas dataintegritet, har vi länge motsatt oss att göra det om priset är företräde för starkare statliga lagar", skrev EFF i brevet.
Kalifornien motsätter sig försvagat skydd
Lagförslaget fick också stark kritik från Kalifornien, där California Privacy Protection Agency utfärdade ett memorandum som rekommenderar Kaliforniens kongressdelegation, som utgör 12 % av representanthuset, att motsätta sig lagförslaget.
Kaliforniens lagstiftare och statliga tjänstemän nämner flera områden där de hävdar att den federala lagen skulle minska integritetsskyddet som för närvarande tillhandahålls av befintliga delstatslagar. Dessa inkluderar att minska integritetsskyddet för individer som ser abortrelaterade tjänster och tonåringars psykiska hälsa.
Det federala lagförslaget, som för närvarande skrivits, tillåter inte Kalifornien att återkräva de monetära påföljder som är förknippade med dess upprätthållande av den federala lagen. Däremot tillåter CCPA för närvarande indrivning av betydande straff för brott mot statens lag.
Andra ändringar som ADPPA skulle göra för Kalifornien, som för närvarande omfattas av CCPA:
- Ta bort det nuvarande valet av automatiskt beslutsfattande
- Ersätter Kaliforniens definition av Personlig information med en definition av täckta uppgifter som inte inkluderar vissa "härledda data och unika identifierare" enligt Kaliforniens lag
- Ta bort vissa skydd med avseende på icke-vedergällning för att utöva integritetsrättigheter
- Lägger till ett krav på autentisering av globala opt-out-förfrågningar – Kaliforniens lag kräver att företag respekterar webbläsarintegritetssignaler som ett opt-out, medan ADPPA kräver ett uttryckligt opt-in för känsliga kategorier
Debbie Reynolds, en global expert på dataintegritet och skydd och VD och chief privacy officer för Debbie Reynolds Consulting, säger att det federala lagförslaget begränsar integritetsrättigheterna endast till den ursprungliga konsumenten av en enhet. Till exempel, om en digital assistent, som Alexa, är på ett kontor, är det bara företaget som köpte Alexa-tjänsten som skyddas av sin integritet. Varje anställd som är overhead av enheten diskuterar privat information skulle inte skyddas av lagen eftersom de inte var det Konsumenten av enhetens tjänst.
Fiona Campbell-Webster, chief privacy officer på MediaMath och tidigare chefsjurist och global dataskyddsansvarig för molnbaserade Beeswax, en SaaS-applikation som förvärvats av Comcast, säger att det finns verkliga konsekvenser.
"Jag tror att vi måste vara uppmärksamma på, innan någon av dessa lagar slutförs, vad det kommer att betyda för upplevelsen av att konsumera innehåll från interaktion på Internet", säger hon. "Oron för ... de oavsiktliga konsekvenserna av att stora plattformar i slutändan kontrollerar allt."
Hon varnar för att integritet har ett pris. "Jag tycker att det skulle vara riktigt synd att se en värld där vi blev straffade om vi inte kunde betala för alla dessa olika tjänster som vi nu får gratis på ett visst sätt." Vissa oavsiktliga konsekvenser av integritetsförslaget, varnade hon, skulle kunna påverka små företag negativt och tvinga dem att betala högre kostnader för att möta de nya integritetsreglerna.
Kanada överväger liknande lagstiftning
USA är inte det enda nordamerikanska landet som arbetar för att skapa ett nytt, nationellt sekretesslag. Kanada införde den efterlängtade Digital Charter Implementation Act, 2022 — Bill C-27 — som ersätter ett liknande lagförslag som misslyckades med det kanadensiska parlamentet i augusti 2021. Lagförslaget skulle anta Consumer Privacy Protection Act (CPPA), Personal Information and Data Protection Tribunal Act, och Artificial Intelligence and Data Act, samt ändra andra befintliga akter.
"Detta är en mycket viktig lag för Kanada", säger David Goodis, partner på INQ Law i Toronto. "Det kommer att gälla i alla provinser och territorier förutom British Columbia, Alberta och Quebec. Quebec antog sin egen nya, uppdaterade lag tidigare i år. BC och Alberta överväger att uppdatera sina nu mycket gamla lagar. Förutom Quebec kommer CPPA att vara den mest moderna och strikta integritetslagstiftningen i Kanada, och ungefär i nivå med Europas GDPR och Kaliforniens CCPA.”
Det finns några betydande skillnader mellan den gamla Bill C-11 och den nya Bill C-27, säger Goodis. "Det finns flera nya skyldigheter på organisationer som kan ådra sig monetära påföljder om de inte efterlevs. Till exempel kommer organisationer att behöva implementera ett integritetshanteringsprogram, se till att deras tjänsteleverantörer har likvärdigt integritetsskydd när de överför personlig information från företaget till tjänsteleverantören, och se till att en tjänsteleverantör som upptäcker ett säkerhetsbrott underrättar organisationen. Det finns också en helt ny del av lagstiftningen som tar upp de specifika frågorna kring att skydda barns integritet”, förklarar han.
Dessutom enligt analys
från den globala affärsjuridiska byrån DLA Piper, ersatte det gamla lagförslaget inte provinslagar som "i huvudsak liknar den federala lagen", vilket innebar att provinserna Quebec, Alberta och British Columbia skulle ha kunnat tillämpa sina lagar istället. av den federala. Även om det nya lagförslaget tillåter den federala regeringen att avgöra om provinslagarna är väsentligen lika och därmed får bestå, är det ännu inte klart om Alberta och British Columbia kommer att klara uppsamlingen - Quebec, vilket uppdaterade sin integritetslagstiftning 2021, förväntas vara undantagna.
