מה יכולה להיות המשמעות של חוק פרטיות פדרלי עבור ארה"ב?

מה יכול להיות משמעות חוק פרטיות פדרלי עבור ארה"ב?

מאת דני ברדבורי • 21 מאי 2024

הממשל הפדרלי בארה"ב ראה את חלקו ההוגן בחוקי הפרטיות הרחבים של הצרכן המוצעים, שנראה שכולם מתפוגגים. האחרון שלה עשוי להיות שונה.

בעוד שרוב ניסיונות החקיקה האחרים היו מפלגתיים, מחברי ה חוק זכויות הפרטיות האמריקאי (APRA), הנציגה קאתי מקמוריס רודג'רס (R-WA) והסנאטורית מריה קנטוול (D-WA), מגיעות משני צידי קומת הסנאט. סנטור קנטוול מִתנַגֵד קודמו של APRA, ה חוק פרטיות והגנת מידע האמריקאי (ADPPA), שלא הצליחה להגיע לשולחנו של הנשיא בשנת 2022. כעת, היא המחברת הדו-מפלגתית של החלפתו. למרות שההצעה הזו היא עדיין רק טיוטת דיון, זה לבדו יכול להפוך אותה לקרוב ביותר שהגענו עד כה להצעת חוק פדרלית אמריקאית דמוית GDPR.

כיסוי רחב

אם יאומץ, ארגונים הנופלים לתחום של APRA יצטרכו לפעול לפי תקני מזעור נתונים, ולאסוף אותם רק למטרות מוגבלות. צרכנים יוכלו לגשת לנתונים שלהם, לדרוש מחיקתם, תיקונו וייצוא, ויוכלו לבטל את הסכמתם להעברות נתונים לא רגישים עבור צדדים שלישיים. הם גם יצטרכו להצטרף להעברת נתונים רגישים.

ארגונים המכוסים בחוק הם אלה שקובעים את מטרת האיסוף או העיבוד של נתונים ואשר נופלים תחת חוק ה-FTC. ישנה תת-קבוצה של מחזיקי נתונים גדולים עם ספי מינימום גדולים יותר (250 מיליון דולר וחמישה מיליון אנשים), שחברים בה עומדים בפני אילוצים הדוקים יותר. עסקים שמרוויחים פחות מ-40 מיליון דולר בשנה ומטפלים בנתונים של לא יותר מ-200,000 אנשים נמצאים מחוץ לתחומה.

המעשה מכסה נתונים הניתנים לקישור סביר למכשיר, אך לא מידע ציבורי או עובד. קיימת גם תת-קבוצה של נתונים רגישים הכוללת נקודות נתונים כגון: בריאות; מידע ביומטרי (לא תמונות, אודיו או וידאו) וגנטי; גזע; מוצא אתני; מקור לאומי; דָת; ומין; יחד עם נתוני חשבון פיננסי ותשלומים. קטגוריה רגישה זו מתרחבת, ומכסה מידע גיאוגרפי מדויק, נתוני כניסה, תקשורת פרטית, יומני טלפון ואפילו נתוני לוח שנה.

יש גם כמה הגדרות מפורשות כולל תמונות והקלטות לשימוש פרטי, תמונות עירום או פרטיות ומידע החושף התנהגות מינית.

בן ספרי, חוקר בכיר למדיניות חדשנות במרכז הבינלאומי למשפט וכלכלה, מודאג לגבי סוג נתונים מסוים בקטגוריית הנתונים הרגישים: פעילויות מקוונות שנאספו לאורך זמן ובאתרי צד שלישי.

"זה בדרך כלל איך עובד פרסום ממוקד", הוא אומר ל-ISMS.online, ומוסיף כי צמצום היכולת למקד מודעות תשפיע על המודלים העסקיים של פלטפורמות מקוונות ועל יוצרי התוכן שמשתמשים בהם.

חובות רחבות

ההתחייבויות למי שמכוסות בהצעת החוק הן רבות. ישנו סעיף האוסר על שיטות מניפולציה שנועדו להסיט את תשומת הלב של הצרכנים מזכויות הפרטיות שלהם (הידועים כ'דפוסים אפלים'), ועוד מחייב נוהלי אבטחה מתאימות. עוד אחד דורש בדיקת נאותות בעת בחירת ספקי שירות של צד שלישי שיטפלו בנתוני משתמשים.

אלגוריתמים כפופים גם לרגולציה במסגרת החוק המוצע, כאשר מחזיקי נתונים גדולים נדרשים לבצע הערכות השפעה על אלו עם "סיכון תוצאתי לנזק". עליהם לדווח על כך ל-FTC. לצרכנים תהיה הזכות לבטל את הסכמתם לאלגוריתמים אלה.

ארגונים מכוסים יצטרכו לפרסם מדיניות פרטיות המסבירה את מטרות עיבוד הנתונים וכמה זמן הוא יישמר. המדיניות תצטרך לרשום צדדים שלישיים שהנתונים מועברים אליהם, כולל במפורש מתווכים נתונים. ה-FTC יצטרך גם להקים רישום ברוקר נתונים עם אפשרות ביטול עבור צרכנים.

ה-FTC ממלא תפקיד מרכזי בחקיקה זו, ומשמש כגוף האכיפה שלו במידה שהוא יפסיק את קביעת כללים בנושא מעקב מסחרי ואבטחת מידע כאשר המעשה נכנס לתוקף.

אשלי ג'ונסון, מנהלת מדיניות בכירה בקבוצת הלובי של תעשיית הטכנולוגיה, קרן טכנולוגיית המידע והחדשנות (ITIF), מזהה את תפקיד ה-FTC כנקודת תקיעה להצעת החוק. הדרישה לרישום FTC מרכזי לביטול הסכמה מערערת את הוראות ביטול ההצטרפות לנתונים מכוסים, היא אומרת ל-ISMS.online, והוסיפה כי זה יפחית את ההכנסות מפרסומות עבור שירותים מקוונים.

החוק של מי נחשב?

סלע מחלוקת נוסף הוא אילו חוקים יקבלו תקדים; APRA או חקיקה ברמת המדינה. כפי שהוא עומד, החוק הפדרלי יקדים את חוקי המדינה - למעט כאשר הוא לא, וזה, כפי שמתברר, לעתים קרובות למדי.

"בעוד ש-APRA שואפת לבסס סטנדרט לאומי, היא גם מבקשת לשלב את ההגנות החזקות של חוקי המדינה כמו אלה בקליפורניה, אילינוי וושינגטון", מזהירה פרלה ח'טאר, מועמדת לדוקטורט במעבדה לאתיקה טכנולוגית של בית הספר למשפטים באוניברסיטת נוטרדאם. . "איזון בין מטרות אלה כדי לטפל בחששות של מדינות עם הגנת פרטיות חזקה מהווה אתגר מורכב."

שאלת הקדימה משחקת לנקודת מתח נוספת: הצעת החוק לתביעות פרטיות לצד עונשים מפרקליטות המדינה וה-FTC. זה משאיר את ITIF לדאוג על עלויות נמלטות.

"על פי חוק פרטיות המידע הביומטרי של אילינוי (BIPA) היו הסדרים אדירים של תיקי משפט בטווחי מיליוני דולרים, רק עבור חוק המדינה האחד הזה", אומר ג'ונסון מ-ITIF. החוק מאפשר ליחידים להגיש תביעות פרטיות.

"הרבה חברות מסתכלות על דוגמאות כאלה וחושבות 'איך זה היה נראה אם זה היה ברמה הפדרלית?'."

החוק יאפשר לאנשים באילינוי לתבוע לפי BIPA וחוק פרטיות המידע הגנטי שלה כשההפרה התרחשה שם. זה גם מאפשר לקליפורניה לתבוע לפי חוק זכויות הפרטיות של קליפורניה. ג'ונסון מכנה זאת "עסקאות בחדר האחורי" שיעניק למדינות יתרון לא הוגן.

מחלוקות כמו אלה קשות לפתרון, לאור מחזיקי העניין והאג'נדות הרבות המעורבים, והזמן אוזל.

"אם הצעת החוק תימשך זמן רב מדי ללא התקדמות, היא מסתכנת באיבוד מומנטום ובתמיכה של בעלי עניין מרכזיים", מזהיר ח'טאר.

"מכיוון ש-2024 היא שנת בחירות, העיתוי הופך להיות קריטי עוד יותר עבור העברת חקיקה כמו ה-APRA. מחוקקים בדרך כלל מגיבים יותר לדעת הקהל בתקופה זו. עם זאת, הם עשויים גם להיות זהירים לגבי תמיכה בצעדים שנויים במחלוקת או מפצלים".

אפילו לחוק המבטיח ביותר אין תועלת אם הוא לא עובר את הגבול. עם זאת, עסקים צריכים להתכונן ל-APRA - או כל ניסיונות חקיקה הבאים - כסיכון עסקי.

"ראשית, העריכו עד כמה הטיפול הנוכחי בנתונים שלכם מתיישב עם חוקי המדינה המחמירים, כמו אלה של קליפורניה או אילינוי", מסכם ח'טאר. "חברות שכבר מצייתות לתקנות חזקות כאלה עשויות למצוא את המעבר לתאימות APRA חלק יותר. עם זאת, אם הפרקטיקות שלך הותאמו לעמוד בסטנדרטים פחות מחמירים, ייתכן שתצטרך התאמות משמעותיות."

היכן שניתן, מעבר לציות להוראות עיקריות כעת עשוי למנוע כאבי ראש בהמשך. זה עשוי גם לעזור לבנות אמון רב ערך של לקוחות.

דני ברדברי

דני ברדבורי הוא עיתונאי דפוס המתמחה בטכנולוגיה מאז 1989 וכותב עצמאי מאז 1994. הוא כתב עבור פרסומים לאומיים משני צדי האוקיינוס האטלנטי וזכה בפרסים על עבודתו העיתונות החוקרת בתחום אבטחת הסייבר.