Ця думка є частиною партнерства з доступом Ініціатива “цифровий маніфест”що рекомендує рамки для розвитку глобального лідерства США з цифрової політики протягом перших 100 днів адміністрації Трампа.
Зростаюча потреба в єдиній федеральній рамці конфіденційності в Америці
Оскільки ландшафт глобальної технологічної політики продовжує швидко розвиватися в умовах нових нововведень у штучному інтелекті (AI), квантових та хмарних обчислень, робототехніці тощо, відсутність об'єднавчої федеральної рамки конфіденційності даних встановлює США далі та далі за рештою світу. З моменту введення в дію загального регламенту щодо захисту даних ЄС (GDPR) у 2018 році, який встановив всебічний набір прав конфіденційності для споживачів та зобов'язань для підприємств, Конгрес неодноразово намагався приймати федеральне законодавство про конфіденційність – лише для того, щоб зупинити кожну сесію. Весь цей час частка американців, які отримують доступ до Інтернету з 2018 року, зросла з 87% до 97% до 2024 року.
Без чітких правил дорожнього руху, що регулюють, як можна збирати дані споживачів, обробляються та зберігаються онлайн -платформами, двадцять держав прагнули заповнити цю порожнечу, прийнявши власні всебічні закони про конфіденційність. Один з найдавніших державних законів про прийняття рамки конфіденційності в стилі GDPR, Каліфорнійський Закон про конфіденційність споживачів (CCPA), продовжує підтримувати деякі найсуворіші вимоги до конфіденційності в США. Отриманий печворк захисту призвело до дивовижно розрізнених вимог, які не захищають споживачів і є кошмаром відповідності для переважної більшості технологічних підприємств, що надають послуги в більш ніж одній державі.
Загадка щодо федерального законодавства про конфіденційність
Протягом останніх семи років різні запропоновані федеральні закони про конфіденційність були виконані за допомогою кількох наполегливих перешкод. З самого початку одним із таких питань було питання федерального попереднього вигляду законів про конфіденційність державного рівня. Однією з основних законодавців, які прагнуть досягти за рахунок федерального законодавства про конфіденційність, є єдина рамка, що застосовується у всіх 50 штатах. Однак більшість запропонованих законів про конфіденційність опустилися нижче порогів, викладених у CCPA, залишаючи видатних законодавців Каліфорнії неохоче підтримувати будь -яке федеральне законодавство, яке би перекрило його вимоги. Це тертя лише з часом збільшилось, оскільки більше штатів прийняли власні закони про конфіденційність, і все, в той час як Каліфорнія підняла свою планку ще вище після введення в дію Закону про права конфіденційності в Каліфорнії (CPRA) у 2023 році.
Дві значні спроби прийняти федеральне законодавство про конфіденційність – Американський Закон про конфіденційність та захист даних 2022 р. (ADPPA) та Закон про права конфіденційності 2024 р. – були введені з двосторонньою підтримкою, але в кінцевому підсумку не змогли отримати тягу. На додаток до питання федерального передумови, обидва законопроекти зіткнулися з питаннями, такими як включення приватного права дій, авторизації Федеральної комісії з торгівлі створити централізований та широкий механізм відмови від споживачів та вимоги до мінімізації даних, що обмежують більше збору даних, ніж це необхідно для виконання конкретних завдань.
Вилучена дискусія щодо федерального закону про конфіденційність також поступилася місцем ускладнень, що випливають із нових технологічних подій. У випадку APRA законопроект був розпущений після великих груп конфіденційності та пропаганди споживачів, завдаючи підтримки завдяки усуненню положень, спрямованих на захист вразливих груп від алгоритмічної дискримінації, спричиненої ШІ. Захист споживачів від негативних наслідків автоматизованого прийняття рішень у конфіденційності даних не є новим; Наприклад, GDPR надає споживачам право не піддаватись автоматизованому прийняттю рішень без будь-яких дій, вжиті зі свого боку. У міру того, як технології, що інтенсивні до даних, стають складнішими, і необхідні відповіді на політику.
Рекомендації щодо політики для 119то Конгрес
Незабаром після 119то Конгрес прийшов на засідання, голова комітету з питань енергетики та комерції Бретт Гутрі (R-KY-2) зібрав дев'ятичленну республіканську робочу групу для розробки нового проекту федерального законопроекту про конфіденційність та відкрив цей процес для державних зацікавлених сторін за допомогою запиту на інформацію (RFI). З законодавчою трифектою (Палата, Сенат та Білий дім) республіканці матимуть найсильніший шанс прийняти федеральне законодавство про конфіденційність. Зроблено правильно, ця остання ітерація може нарешті встановити необхідний захист даних для всіх американців, не задушуючи інновації:
- Права конфіденційності споживачів: Забезпечення єдиних прав споживачів у США є критичною складовою будь -якого федерального закону про конфіденційність. Як мінімум, законодавство повинно гарантувати споживачам право бути поінформованими, коли і які види даних збирають та обробляють, право на доступу до цих даних про себе, право виправляти та/або видаляти свої дані, а також право відмовитися від збирання або обробки даних. Додаткові права, які вже передбачені іншими законами про конфіденційність-такі як права на переносність даних, обмеження щодо використання та розкриття конфіденційних категорій особистої інформації та захист від автоматизованого прийняття рішень-слід.
- Чіткі визначення для різних категорій даних: Федеральна рамка конфіденційності повинна враховувати широкий спектр суб'єктів, секторів та випадків використання, щоб бути справді ефективним. У той же час, не всі дані слід трактувати однаково. Законодавство повинно чітко розмежовувати сферу вимог до неособистісних, особистих та конфіденційних категорій персональних даних. Зокрема, для категорій чутливих персональних даних, визначена сфера повинна бути максимально конкретною, не порушуючи ефективності закону. Наприклад, “точні дані геолокації” повинні вказувати радіус не більше 1750 футів від суб'єкта даних, що відображає широкий консенсус переважаючих законодавства на державному рівні. Нарешті, обсяг чутливих персональних даних повинно включати конкретні визначення генетичних та біометричних даних для забезпечення належним чином регулювання збору, обробки, зберігання та знищення таких даних.
- Мінімізація даних: Особиста інформація, зібрана та оброблена комерційними організаціями, повинна обмежуватися відповідною, пропорційною та конкретною метою. Особисті дані часто є важливим ресурсом для компаній, щоб не лише пропонувати послуги споживачам, але і вдосконалити та вдосконалювати свої пропозиції. У той же час, огородження необхідні для встановлення обмежень щодо того, як ці дані збираються та використовуються для запобігання зловживань. Вражаюче баланс між цими міркуваннями – це як різьба голка, але необхідно пам’ятати обидві сторони рівняння при розробці політики.
- Положення про автоматизоване прийняття рішень: Прийняття федерального законодавства про конфіденційність – це вирішальний перший крок до розвитку ефективної юридичної бази штучного інтелекту. З цього приводу, Конгрес може і повинен бути перспективним на шляху до створення загальнонаціонального закону про AI, заклавши основу у своєму законопроекті про конфіденційність. Незважаючи на те, що більшість галузей політики, що стосуються AI, повинні регулюватися через окремі законодавчі акти, федеральний закон про конфіденційність повинен надати суб'єктам даних можливість знати, чи будуть використані певні категорії їх особистої інформації для прийняття послідовних автоматизованих рішень щодо них. Він також повинен надати суб'єктам даних право також відмовитися від цього автоматизованого прийняття рішень. Незалежно від того, що Конгрес включає ці права чи будь -яку іншу політику ШІ у своєму федеральному законодавстві про конфіденційність, ці заходи повинні бути написані таким чином, щоб передбачити та бути сумісними з подальшим законодавством, орієнтованим спеціально на управлінні ШІ.
- Порушення даних та сповіщення: Конгрес повинен принципово переосмислити, як в США обробляються порушення даних. Замість того, щоб зосереджуватись виключно на процедурах повідомлень про порушення даних та штрафних санкцій, всебічний федеральний закон про конфіденційність повинен заохочувати прийняття надійних стандартів безпеки та забезпечити змістовне виконання необхідних гарантій за допомогою періодичних аудитів – не лише після того, як вже відбулося порушення. Визначення шкоди споживачам також повинні окреслити негайний та довгостроковий вплив порушення з урахуванням типів даних, які порушуються. Такий підхід сприятиме більшій відповідальності та покращить безпеку для споживачів в цілому.
Формування майбутнього конфіденційності даних
Оскільки США поєднуються зі складністю федерального законодавства про конфіденційність, зрозуміло, що необхідний єдиний підхід для захисту споживачів та забезпечення регуляторної чіткості для бізнесу. Завдяки швидкому прогресу в технологіях, орієнтованих на дані, розробники політики повинні визначити пріоритетні рамки, яка врівноважує інновації з надійним захистом споживачів. Зараз, як ніколи, співпраця між державним та приватним секторами є ключовою для формування ефективних та перспективних правил конфіденційності.
У партнерстві з доступом ми є експертами з політики – чи підтримують уряди та органи державного сектору в розробці законодавства та будівництва регуляторних рамок або допомога підприємствам орієнтуватися на відповідність на різних ринках та юрисдикціях. Щоб дізнатися більше про те, як ми можемо підтримати ваші потреби в політиці, зверніться [email protected].
