Kredit:CC0 Public Domain
Datasekretess i USA är på många sätt ett juridiskt tomrum. Även om det finns begränsat skydd för hälso- och finansdata, saknar vaggan för världens största teknikföretag, som Apple, Amazon, Google och Meta (Facebook), någon heltäckande federal dataskyddslagstiftning. Detta lämnar amerikanska medborgare med minimalt dataskydd jämfört med medborgare i andra nationer. Men det kan vara på väg att ändras.
Med sällsynt bipartistöd flyttade den amerikanska lagen om data- och integritetsskydd ut ur det amerikanska representanthusets kommitté för energi och handel med en röst med 53–2 den 20 juli 2022. Lagförslaget måste fortfarande godkännas i hela kammaren och senaten och förhandlingar pågår. Med tanke på Biden-administrationens strategi för ansvarsfull datapraxis är stöd från Vita huset troligt om en version av lagförslaget går igenom.
Som en juridisk forskare och advokat som studerar och utövar teknik och dataskyddslagstiftning har jag följt lagen noga, känd som ADPPA. Om det godkänns kommer det att i grunden ändra USA:s dataskyddslagstiftning.
ADPPA fyller tomrummet för datasekretess, bygger in federalt företräde framför vissa statliga datasekretesslagar, tillåter individer att ansöka om överträdelser och ändrar avsevärt lagen om datasekretess. Som alla stora förändringar får ADPPA blandade recensioner från media, forskare och företag. Men många ser lagförslaget som en triumf för amerikansk datasekretess som tillhandahåller en nödvändig nationell standard för datapraxis.
Vem och vad kommer ADPPA att reglera?
ADPPA skulle gälla för "täckta" enheter, vilket innebär alla enheter som samlar in, bearbetar eller överför omfattade data, inklusive ideella organisationer och ensamföretagare. Det reglerar också mobiltelefon- och internetleverantörer och andra vanliga operatörer, med potentiella ändringar i federal kommunikationsreglering. Det gäller inte statliga enheter.
ADPPA definierar "täckt" data som all information eller enhet som identifierar eller rimligen kan kopplas till en person. Den skyddar också biometrisk data, genetisk data och geolokaliseringsinformation.
Lagförslaget utesluter tre big data-kategorier:avidentifierad data, personaldata och offentligt tillgänglig information. Den sista kategorin inkluderar konton för sociala medier med sekretessinställningar som är öppna för allmänheten. Medan forskning upprepade gånger har visat att avidentifierade data lätt kan återidentifieras, försöker ADPPA att ta itu med detta genom att kräva att omfattade enheter vidtar "rimliga tekniska, administrativa och fysiska åtgärder för att säkerställa att informationen inte vid något tillfälle kan användas för att återidentifiera någon individ eller enhet."
Hur ADPPA skyddar dina data
Lagen skulle kräva att datainsamlingen är så minimal som möjligt. Lagförslaget tillåter omfattade enheter att samla in, använda eller dela en individs data endast när det är rimligt nödvändigt och proportionellt till en produkt eller tjänst som personen efterfrågar eller för att svara på en kommunikation som personen initierar. Det möjliggör insamling för autentisering, säkerhetsincidenter, förhindrande av olaglig verksamhet eller allvarlig skada på personer och efterlevnad av juridiska skyldigheter.
Människor skulle få rättigheter att få tillgång till och ha viss kontroll över sina data. ADPPA ger användare rätten att korrigera felaktigheter och eventuellt radera deras data som innehas av täckta enheter.
Lagförslaget tillåter datainsamling som en del av forskning för allmännytta. Det möjliggör datainsamling för referentgranskad forskning eller forskning som görs i allmänhetens intresse – till exempel för att testa om en webbplats är olagligt diskriminerande. Detta är viktigt för forskare som annars kan råka ut för webbplatsvillkor eller hackinglagar.
ADPPA har också en bestämmelse som tar itu med problemet med servicevillkorat på samtycke – de där irriterande "jag håller med"-rutorna som tvingar människor att acceptera ett virrvarr av juridiska termer. När du klickar på en av dessa rutor avsäger du dig kontraktsmässigt dina integritetsrättigheter som ett villkor för att helt enkelt använda en tjänst, besöka en webbplats eller köpa en produkt. Lagförslaget kommer att förhindra omfattade enheter från att använda avtalslagstiftningen för att komma runt lagförslagets skydd.
Söker efter federal elektronisk övervakningslagstiftning för vägledning
USA:s elektroniska kommunikationsskyddslag kan ge federala lagstiftare vägledning för att slutföra ADPPA. Liksom ADPPA, innebar 1986 års ECPA-lagstiftning en massiv översyn av USA:s elektroniska integritetslagstiftning för att ta itu med negativa effekter på individuell integritet och medborgerliga friheter som förorsakades av avancerad övervaknings- och kommunikationsteknik. Återigen, framsteg inom övervakning och datateknik, såsom artificiell intelligens, påverkar avsevärt medborgarnas rättigheter.
ECPA, som fortfarande gäller idag, tillhandahåller en grundläggande nationell standard för elektronisk övervakningsskydd. ECPA skyddar kommunikation från avlyssning om inte en part i kommunikationen samtycker. Men ECPA hindrar inte stater från att anta mer skyddande lagar, så stater kan välja att ge större integritetsrättigheter. Slutresultatet:Ungefär en fjärdedel av USA:s stater kräver samtycke från alla parter för att avlyssna en kommunikation, vilket ger sina medborgare ökade integritetsrättigheter.
ECPA:s federala/statliga balans har fungerat i årtionden nu, och ECPA har inte överväldigat domstolarna eller förstört handeln.
Nationellt förköp
Såsom det är formulerat föregriper ADPPA viss statlig lagstiftning om datasekretess. Detta påverkar Kaliforniens Consumer Privacy Act, även om det inte föregriper Illinois Biometric Information Privacy Act eller statliga lagar som specifikt reglerar teknik för ansiktsigenkänning. Förköpsbestämmelserna är dock i förändring eftersom ledamöter av kammaren fortsätter att förhandla om lagförslaget.
ADPPA:s nationella standarder tillhandahåller enhetliga efterlevnadskrav, vilket tjänar ekonomisk effektivitet; men dess företräde för de flesta delstatslagar har vissa forskare berörda, och Kalifornien motsätter sig dess passage.
Om företrädesrätt förblir kommer varje slutlig version av ADPPA att vara landets lag, vilket begränsar stater från att mer bestämt skydda sina medborgares dataintegritet.
Privat rätt till talan och verkställighet
ADDPA tillhandahåller en privat rätt att vidta åtgärder, vilket tillåter människor att stämma täckta enheter som kränker deras rättigheter enligt ADPPA. Det ger lagförslagets verkställighetsmekanismer ett stort uppsving, även om det har betydande begränsningar.
U.S.S. handelskammaren och den tekniska industrin motsätter sig en privat rätt att tala och föredrar att ADPPA-tillämpningen begränsas till Federal Trade Commission. Men FTC har mycket mindre personal och mycket färre resurser än amerikanska rättegångsadvokater.
ECPA, som jämförelse, har en privat rätt att tala. Det har inte överväldigat domstolar eller företag, och enheter följer sannolikt ECPA för att undvika civilrättsliga tvister. Dessutom har domstolar finslipat ECPA:s villkor och tillhandahållit tydliga prejudikat och förståeliga riktlinjer för efterlevnad.
Hur stora är ändringarna?
Förändringarna i USA:s dataskyddslagstiftning är stora, men ADPPA erbjuder välbehövlig säkerhet och dataskydd för amerikanska medborgare, och jag tror att det är genomförbart med tweaks.
Med tanke på hur internet fungerar flyter data rutinmässigt över internationella gränser, så många amerikanska företag har redan byggt in efterlevnad av andra nationers lagar i sina system. Detta inkluderar EU:s allmänna dataskyddsförordning – en lag som liknar ADPPA. Facebook tillhandahåller till exempel E.U. medborgare med GDPR:s skydd, men det ger inte amerikanska medborgare det skyddet, eftersom det inte är skyldigt att göra det.
Kongressen har gjort lite med datasekretess, men ADPPA är redo att ändra på det. + Utforska vidare
Den här artikeln är återpublicerad från The Conversation under en Creative Commons-licens. Läs originalartikeln.