Một luật bảo mật quốc gia mới hứa hẹn với người Mỹ nhiều quyền riêng tư của người tiêu dùng giống như Quy định bảo vệ dữ liệu chung (GDPR) của Liên minh châu Âu đang được Quốc hội Hoa Kỳ thông qua. Tuy nhiên, dự luật được đề xuất không đáp ứng được các biện pháp bảo vệ quyền riêng tư dữ liệu đã được quy định trong luật và quy định hiện hành về quyền riêng tư của tiểu bang.
Mục tiêu của luật liên bang là cung cấp một nền tảng quốc gia duy nhất về quyền riêng tư dữ liệu cho người tiêu dùng đồng thời cung cấp sự giám sát và thực thi của chính phủ bởi cơ quan quản lý. Ủy ban Thương mại liên bang (FTC). Trên thực tế, đề xuất Đạo luật về quyền riêng tư và bảo vệ dữ liệu của Mỹ không đáp ứng các tiêu chuẩn được thiết lập trong Đạo luật bảo mật người tiêu dùng California (CCPA) năm 2018, hoặc thay thế Đạo luật Quyền riêng tư của California (CPRA), có hiệu lực từ ngày 1 tháng 2023 năm XNUMX, các nhà phê bình cho biết.
Luật sẽ thuộc phạm vi điều chỉnh của Ủy ban Thương mại liên bang (FTC), có nghĩa là nó chỉ bao gồm những vấn đề đã được FTC giải quyết. Chúng bao gồm gian lận của người tiêu dùng, đánh cắp danh tính, quyền riêng tư của trẻ em và một số vấn đề an ninh mạng.
Nancy Pelosi, một đại diện của California với tư cách là Chủ tịch Hạ viện có quyền ngăn dự luật không được đưa ra Hạ viện để bỏ phiếu, ban hành một tuyên bố
vào ngày 1 tháng XNUMX lưu ý “Đạo luật bảo vệ và quyền riêng tư dữ liệu của Hoa Kỳ không đảm bảo các biện pháp bảo vệ người tiêu dùng thiết yếu giống như luật quyền riêng tư hiện có của California”. Tuyên bố của cô ấy đang được các chuyên gia giải thích có nghĩa là cô ấy sẽ không ủng hộ dự luật nếu không có ngôn ngữ ưu tiên mới để bảo vệ luật pháp của California và sẽ giết chết nó thay vì đưa nó đi bỏ phiếu.
Trong một mở thư gửi tới các nhà lãnh đạo Quốc hội, 10 tổng chưởng lý đại diện cho các bang hiện có luật về quyền riêng tư đã khuyến khích Quốc hội thông qua đạo luật chỉ đặt ra mức cơ sở cho quyền riêng tư. Họ viết: “Chúng tôi khuyến khích Quốc hội thông qua luật đặt ra mức sàn liên bang chứ không phải mức trần cho các quyền riêng tư quan trọng và tôn trọng công việc quan trọng đã được các bang thực hiện nhằm cung cấp các biện pháp bảo vệ quyền riêng tư mạnh mẽ cho cư dân của chúng tôi”. Họ trích dẫn các đường cơ sở hiện có của liên bang cho các luật khác, bao gồm các biện pháp bảo vệ quyền riêng tư của người tiêu dùng hiện có, quyền riêng tư của trẻ em và quyền riêng tư về sức khỏe cũng như HIPAA. Tổng chưởng lý viết trong thư: “Bất kỳ khuôn khổ quyền riêng tư nào của liên bang đều phải chừa chỗ cho các bang lập pháp để đáp ứng những thay đổi trong thực tiễn thu thập dữ liệu và công nghệ”. “Điều này là do các bang được trang bị tốt hơn để nhanh chóng điều chỉnh trước những thách thức do đổi mới công nghệ đưa ra có thể khiến liên bang trốn tránh sự giám sát.”
Electronic Frontier Foundation cũng gửi thư tới Hạ nghị sĩ Frank Pallone, Chủ tịch Ủy ban Năng lượng và Thương mại Hạ viện, đồng thời là người tài trợ cho dự luật, yêu cầu tăng cường các điều khoản của dự luật liên bang và loại bỏ quyền ưu tiên đối với các dự luật về quyền riêng tư của tiểu bang. Đạo luật bảo mật thông tin Illinois, CCPA và Đạo luật môi giới dữ liệu của Vermont đã bảo vệ người tiêu dùng và các tiểu bang khác đang xem xét các đề xuất tương tự. EFF viết trong thư: “Mặc dù EFF ủng hộ luật pháp liên bang thực sự bảo vệ quyền riêng tư dữ liệu của người tiêu dùng, nhưng từ lâu chúng tôi đã phản đối việc làm như vậy nếu cái giá phải trả là luật pháp bang mạnh mẽ hơn”.
California phản đối các biện pháp bảo vệ suy yếu
Dự luật cũng bị chỉ trích mạnh mẽ từ California, nơi Cơ quan Bảo vệ Quyền riêng tư California ban hành một bản ghi nhớ khuyến nghị phái đoàn quốc hội của California, chiếm 12% Hạ viện, phản đối dự luật.
Các nhà lập pháp California và các quan chức tiểu bang trích dẫn một số lĩnh vực mà họ cho rằng luật liên bang sẽ làm giảm các biện pháp bảo vệ quyền riêng tư hiện được cung cấp bởi các luật hiện hành của tiểu bang. Chúng bao gồm giảm các biện pháp bảo vệ quyền riêng tư cho các cá nhân xem các dịch vụ liên quan đến phá thai và sức khỏe tâm thần của thanh thiếu niên.
Dự luật liên bang, như được viết hiện tại, không cho phép California thu hồi các khoản tiền phạt liên quan đến việc thực thi luật liên bang. Ngược lại, CCPA hiện cho phép khôi phục các hình phạt đáng kể đối với các hành vi vi phạm luật tiểu bang.
Những thay đổi khác mà ADPPA sẽ thực hiện cho California, hiện được CCPA bảo vệ:
- Loại bỏ lựa chọn không tham gia ra quyết định tự động hiện tại
- Thay thế định nghĩa của California về thông tin cá nhân với một định nghĩa về dữ liệu được bảo hiểm không bao gồm một số “dữ liệu phái sinh và số nhận dạng duy nhất” theo luật California
- Loại bỏ một số biện pháp bảo vệ liên quan đến việc không trả đũa việc thực hiện các quyền riêng tư
- Thêm yêu cầu để xác thực các yêu cầu từ chối toàn cầu — Luật California yêu cầu các doanh nghiệp tôn trọng các tín hiệu về quyền riêng tư của trình duyệt dưới dạng từ chối, trong khi ADPPA yêu cầu chọn tham gia rõ ràng đối với các danh mục nhạy cảm
Debbie Reynolds, chuyên gia bảo vệ và quyền riêng tư dữ liệu toàn cầu, đồng thời là Giám đốc điều hành và giám đốc quyền riêng tư của Debbie Reynolds Consulting, cho biết dự luật liên bang chỉ giới hạn quyền riêng tư đối với người tiêu dùng ban đầu của thiết bị. Ví dụ: nếu một trợ lý kỹ thuật số, chẳng hạn như Alexa, đang ở trong văn phòng, thì chỉ công ty đã mua dịch vụ Alexa mới được bảo vệ quyền riêng tư của họ. Bất kỳ nhân viên nào đứng trước thiết bị thảo luận về thông tin cá nhân sẽ không được pháp luật bảo vệ vì họ không phải là người tiêu dùng dịch vụ của thiết bị.
Fiona Campbell-Webster, giám đốc quyền riêng tư tại MediaMath, đồng thời là cựu cố vấn pháp lý và nhân viên bảo vệ dữ liệu toàn cầu của Beeswax dựa trên đám mây, một ứng dụng SaaS được Comcast mua lại, cho biết có những hậu quả thực tế.
Cô nói: “Tôi nghĩ chúng ta cần phải lưu ý, trước khi bất kỳ luật nào trong số này được hoàn thiện, điều đó có ý nghĩa gì đối với trải nghiệm xem nội dung tương tác trên Internet”. “Những lo ngại về… những hậu quả không lường trước được của việc các nền tảng lớn cuối cùng sẽ kiểm soát mọi thứ.”
Cô cảnh báo rằng sự riêng tư có cái giá phải trả. “Tôi nghĩ sẽ thật xấu hổ khi chứng kiến một thế giới nơi chúng ta bị trừng phạt nếu chúng ta không thể trả tiền cho tất cả các dịch vụ khác nhau mà hiện nay chúng ta nhận được miễn phí theo một cách nhất định.” Bà cảnh báo, một số hậu quả không lường trước của dự luật về quyền riêng tư có thể tác động tiêu cực đến các công ty nhỏ, buộc họ phải trả chi phí cao hơn để đáp ứng các quy định mới về quyền riêng tư.
Canada xem xét luật tương tự
Hoa Kỳ không phải là quốc gia Bắc Mỹ duy nhất đang làm việc để tạo ra một dự luật mới về quyền riêng tư quốc gia. Canada đã giới thiệu Đạo luật triển khai điều lệ kỹ thuật số rất được mong đợi, năm 2022 — Bill C-27 — thay thế một dự luật tương tự đã không được Quốc hội Canada thông qua vào tháng 2021 năm XNUMX. Dự luật này sẽ ban hành Đạo luật bảo vệ quyền riêng tư của người tiêu dùng (CPPA), Đạo luật tòa án bảo vệ dữ liệu và thông tin cá nhân cũng như Đạo luật dữ liệu và trí tuệ nhân tạo, cũng như sửa đổi các văn bản hiện hành khác.
David Goodis, một đối tác tại INQ Law ở Toronto, cho biết: “Đây là một đạo luật rất quan trọng đối với Canada. “Nó sẽ áp dụng ở tất cả các tỉnh và vùng lãnh thổ ngoại trừ British Columbia, Alberta và Quebec. Quebec đã thông qua luật cập nhật mới vào đầu năm nay. BC và Alberta đang xem xét cập nhật các luật đã rất cũ của họ. Ngoài Quebec, CPPA sẽ là luật về quyền riêng tư hiện đại và nghiêm ngặt nhất ở Canada, gần ngang bằng với GDPR của Châu Âu và CCPA của California.”
Goodis cho biết có một số khác biệt đáng kể giữa Bill C-11 cũ và Bill C-27 mới. “Có một số nghĩa vụ mới được đặt ra đối với các tổ chức có thể bị phạt tiền nếu không tuân thủ. Ví dụ: các tổ chức sẽ cần triển khai chương trình quản lý quyền riêng tư, đảm bảo nhà cung cấp dịch vụ của họ có biện pháp bảo vệ quyền riêng tư tương đương khi chuyển thông tin cá nhân từ công ty sang nhà cung cấp dịch vụ và đảm bảo nhà cung cấp dịch vụ phát hiện vi phạm bảo mật sẽ thông báo cho tổ chức. Ngoài ra còn có một phần luật hoàn toàn mới nhằm giải quyết các mối quan ngại cụ thể xung quanh việc bảo vệ quyền riêng tư của trẻ em,” ông giải thích.
Ngoài ra, theo phân tích
từ công ty luật kinh doanh toàn cầu DLA Piper, dự luật cũ không thay thế các luật cấp tỉnh “về cơ bản tương tự” với luật liên bang, điều đó có nghĩa là các tỉnh Quebec, Alberta và British Columbia thay vào đó sẽ có thể áp dụng luật của họ của liên bang. Mặc dù dự luật mới cho phép chính phủ liên bang quyết định liệu các luật của tỉnh về cơ bản có giống nhau hay không và do đó có được phép giữ nguyên hay không, nhưng vẫn chưa rõ liệu Alberta và British Columbia có thông qua tập hợp hay không – Quebec, nơi cập nhật luật riêng tư vào năm 2021, dự kiến sẽ được miễn.
