Новий національний закон про конфіденційність, який обіцяє американцям багато тих самих прав споживачів на конфіденційність, що й Загальний регламент захисту даних Європейського Союзу (GDPR), пробивається через Конгрес США. Проте запропонований законопроект не відповідає вимогам захисту конфіденційності даних, які вже закріплені в існуючих державних законах і нормах про конфіденційність.
Мета федерального законодавства полягає в тому, щоб забезпечити єдину національну основу для захисту конфіденційності даних для споживачів, забезпечуючи при цьому державний нагляд і примусове виконання Федеральна торгова комісія (FTC). В реальності запропоноване Американський закон про конфіденційність і захист даних не відповідає критеріям, встановленим у Каліфорнійський закон про конфіденційність споживачів (CCPA) 2018 р. або на заміну Каліфорнійський закон про конфіденційність (CPRA), який набуває чинності 1 січня 2023 року, кажуть критики.
Закон підпадає під сферу компетенції Федеральна торгова комісія (FTC), що означає, що він охоплює лише ті питання, які вже розглянула FTC. До них належать шахрайство споживачів, крадіжка особистих даних, конфіденційність дітей і деякі проблеми кібербезпеки.
Ненсі Пелосі, представник Каліфорнії, яка як спікер Палати має повноваження не допустити, щоб законопроект потрапив до палати для голосування, видав заяву
1 вересня, зазначивши, що «Американський закон про конфіденційність і захист даних не гарантує такого ж важливого захисту споживачів, як існуючі закони Каліфорнії про конфіденційність». Експерти інтерпретують її заяву як те, що вона не підтримає законопроект без нової формулювання превентивних вимог для захисту законів Каліфорнії, і радше скасує його, ніж винесе на голосування.
У відкритий лист для лідерів Конгресу, 10 генеральних прокурорів, які представляють штати, які наразі мають закони про конфіденційність, заохочували Конгрес прийняти законодавство, яке встановлює лише основу для конфіденційності. «Ми заохочуємо Конгрес прийняти законодавство, яке встановлює федеральний мінімум, а не стелю, для важливих прав на конфіденційність і поважає важливу роботу, яку вже провели штати, щоб забезпечити надійний захист конфіденційності для наших мешканців», — написали вони. Вони посилалися на існуючі федеральні базові положення для інших законів, включаючи існуючий захист конфіденційності споживачів, конфіденційність дітей і здоров’я, а також HIPAA. «Будь-яка федеральна система захисту конфіденційності повинна залишати можливість штатам приймати закони відповідно до змін у технологіях і методах збору даних», — написали генеральні прокурори в листі. «Це тому, що штати краще підготовлені для швидкого пристосування до викликів, пов’язаних з технологічними інноваціями, які можуть вислизати від федерального нагляду».
Electronic Frontier Foundation також направила лист Конгрессу Френку Паллоне, голові Комітету Палати представників з питань енергетики та торгівлі та автору законопроекту, з проханням посилити положення федерального законопроекту та скасувати переважне право на конфіденційність штату. Закон штату Іллінойс про конфіденційність інформації, CCPA та закон штату Вермонт про брокерів даних уже захищають споживачів, а інші штати розглядають подібні пропозиції. «Хоча EFF підтримує федеральне законодавство, яке фактично захищає конфіденційність даних споживачів, ми довго виступали проти цього, якщо ціна є перевагою більш суворих законів штату», — йдеться в листі EFF.
Каліфорнія виступає проти ослабленого захисту
Законопроект також викликав різку критику з боку Каліфорнії, де її видало Каліфорнійське агентство із захисту конфіденційності меморандум який рекомендує делегації Конгресу Каліфорнії, яка становить 12% Палати представників, виступити проти законопроекту.
Законодавці Каліфорнії та офіційні особи штату посилаються на кілька сфер, де, на їхню думку, федеральний закон зменшить захист конфіденційності, який наразі забезпечується чинними законами штату. Серед них – зменшення захисту конфіденційності для осіб, які звертаються до послуг, пов’язаних з абортами, і психічне здоров’я підлітків.
Федеральний законопроект, у тому вигляді, в якому він написаний, не дозволяє Каліфорнії відшкодовувати грошові штрафи, пов’язані з виконанням федерального закону. Навпаки, CCPA наразі дозволяє стягувати значні штрафи за порушення закону штату.
Інші зміни, які ADPPA внесе для Каліфорнії, на яку зараз поширюється CCPA:
- Видалення поточної відмови від автоматичного прийняття рішень
- Заміна каліфорнійського визначення Персональна інформація з визначенням покриті дані що не включає деякі «похідні дані та унікальні ідентифікатори» відповідно до законодавства Каліфорнії
- Скасування певних заходів захисту щодо невиконання помсти за використання прав на конфіденційність
- Додавання вимоги автентифікації глобальних запитів на відмову — законодавство Каліфорнії вимагає від компаній поважати сигнали конфіденційності веб-переглядача як відмову, тоді як ADPPA вимагає чіткої згоди для конфіденційних категорій
Деббі Рейнольдс, глобальний експерт із конфіденційності та захисту даних, а також генеральний директор і головний спеціаліст з питань конфіденційності Debbie Reynolds Consulting, каже, що федеральний законопроект обмежує права на конфіденційність лише для початкового споживача пристрою. Наприклад, якщо цифровий помічник, такий як Alexa, знаходиться в офісі, лише компанія, яка придбала послугу Alexa, буде захищена конфіденційністю. Будь-який працівник, який знаходиться над головою біля пристрою та обговорює особисту інформацію, не буде захищений законом, оскільки він ним не є споживач служби пристрою.
Фіона Кемпбелл-Вебстер, керівник відділу конфіденційності в MediaMath і колишній головний юрисконсульт і спеціаліст із глобального захисту даних хмарної SaaS-додатки Beeswax, придбаної Comcast, каже, що це має реальні наслідки.
«Я вважаю, що ми маємо пам’ятати про те, що це означатиме для досвіду споживання контенту під час взаємодії в Інтернеті, перш ніж будь-який із цих законів буде завершено», — каже вона. «Занепокоєння з приводу… непередбачуваних наслідків того, що великі платформи остаточно контролюють усе».
Вона застерігає, що конфіденційність має свою ціну. «Я вважаю, що було б справді ганьбою бачити світ, у якому ми були б покарані, якби ми не могли платити за всі ці різноманітні послуги, які ми зараз певним чином отримуємо безкоштовно». Деякі небажані наслідки законопроекту про конфіденційність, попередила вона, можуть негативно вплинути на малі компанії, змусивши їх платити більші витрати, щоб відповідати новим правилам конфіденційності.
Канада розглядає подібне законодавство
США не єдина країна Північної Америки, яка працює над створенням нового національного законопроекту про конфіденційність. Канада представила довгоочікуваний Закон про імплементацію цифрової хартії, 2022 рік — Білл C-27 — який замінює подібний законопроект, який не був прийнятий канадським парламентом у серпні 2021 року. Законопроект передбачає введення в дію Закону про захист конфіденційності споживачів (CPPA), Закону про суд із захисту персональних даних і даних і Закону про штучний інтелект і дані, а також внесення змін до інших чинних актів.
«Це дуже важливий закон для Канади», — каже Девід Гудіс, партнер INQ Law у Торонто. «Він буде застосовуватися в усіх провінціях і територіях, крім Британської Колумбії, Альберти та Квебеку. На початку цього року Квебек прийняв власний новий оновлений закон. Британська Колумбія та Альберта розглядають можливість оновлення своїх тепер дуже старих законів. За винятком Квебеку, CPPA буде найсучаснішим і найсуворішим законом про конфіденційність у Канаді, який буде приблизно на одному рівні з європейським GDPR і каліфорнійським CCPA».
За словами Гудіса, між старим законопроектом C-11 і новим законопроектом C-27 є кілька суттєвих відмінностей. «На організації покладено кілька нових обов’язків, за невиконання яких можуть бути накладені грошові штрафи. Наприклад, організації повинні будуть запровадити програму керування конфіденційністю, забезпечити еквівалентний захист конфіденційності своїм постачальникам послуг під час передачі особистої інформації від компанії до постачальника послуг, а також переконатися, що постачальник послуг, який виявить порушення безпеки, повідомить організацію. Також є абсолютно нова частина законодавства, яка вирішує конкретні проблеми щодо захисту приватного життя дітей», – пояснює він.
Крім того, згідно з аналіз
від міжнародної бізнес-юридичної фірми DLA Piper, старий законопроект не замінив закони провінцій, які «суттєво подібні» до федерального закону, що означало, що провінції Квебек, Альберта та Британська Колумбія могли б застосовувати свої закони замість цього федерального. Незважаючи на те, що новий законопроект дозволяє федеральному уряду вирішувати, чи закони провінцій суттєво схожі й, таким чином, залишаються в силі, поки не ясно, чи пройдуть перевірку Альберта та Британська Колумбія — Квебек, який оновив свій закон про конфіденційність у 2021 році, як очікується, буде звільнено.
