下院共和党議員は水曜日、少なくとも20の州法を無効化する連邦包括的データプライバシー法を導入しました。プライバシー活動家たちは、この法案の保護が弱すぎると考えているとして、議員に反対票を投じるよう促しています。
SECURE Data Actとして知られるこの法案は、下院エネルギー・商業委員会および金融サービス委員会の主要共和党議員に支持されており、14ヶ月間の共和党のみのプライバシー作業グループによる起案作業の成果です。
議会は包括的なデータプライバシー法制を何年にもわたって成立させようとしてきましたが、成功していません。新しい法案は、前議会で超党派的な支持を得ながらも下院共和党指導部の反対を受けたより厳格な提案を棄却しています。
新法案の共和党支持者たちはプレスリリースで、この法案は消費者に開示された目的のために「適切で、関連性があり、合理的に必要である」ものに個人データの収集を限定するため、堅牢なデータ最小化条項を備えていると述べました。
彼らは、機密データが消費者の同意によってのみ処理されることを要求し、消費者に自身のデータが収集・使用されていることを知る権利、データを削除する権利、および携帯可能なコピーにアクセスする権利を与える法案を高く評価しました。
主要共和党議員たちはまた、消費者がデータブローカーを検索して彼らのプライバシーポリシーを確認できるように検索機能を含むデータブローカーレジストリを設置することを連邦取引委員会(FTC)に要求する法案を称賛しました。
「提案された法制は米国民が自身のデータを管理し、企業がその安全な保管に責任を持つようにする明確で執行可能な保護を確立する」と委員会委員長のBrett Guthrie(R-KY)は声明で述べました。「このような21世紀経済に適したデータプライバシー保護を推進するために、同僚と協力することを楽しみにしています。」
プライバシー活動家の反発
プライバシー活動家たちは、法案の限定的な保護が過度に広い言語、狭く定義されたカテゴリー、およびいくつかの留保条項によって実質的に無効化されていると述べています。
民主主義と技術センターのプライバシーとデータプロジェクトのディレクター、Eric Nullによると、法案の機密データの定義は重要な要素を含みません。
機密として数えられる唯一の健康データは診断に関するものであり、これは期間追跡アプリや他のヘルステックによって収集されたデータが除外されていることを意味します。提案された法制はまた、消費者のコミュニケーション内容や金融以外の機関が保有する金融データも保護していないとNullはインタビューで述べました。
データ最小化条項は弱いとNullは付け加えました。「適切で、関連性があり、合理的に必要である」という言語は広く、したがって企業が回避するのが簡単だからです。
19の州は現在同様の最小化言語を採用しており、「オンライン企業のプライバシー慣行に関してはこれまでのところ何の変化もない」とNullは付け加えました。
法案に私的請求権がないこと(消費者が法案の条項に違反する企業を訴えることを可能にするもの)と、複数の強い州プライバシー法を無効化するという事実は、議員がそれに反対することがさらに重要であると彼は述べました。
Nullはまた、FTCにデータブローカーレジストリの作成を要求する条項に異議を唱え、消費者がデータ収集をしないことやそれを削除することを要求したい場合でも数百のデータブローカーに個別にアプローチする必要があるため、それは価値がないと述べました。
前議会で導入された包括的なデータプライバシー法制、American Privacy Rights Actは、消費者が登録してすべてのデータブローカーがデータを一度に収集および販売することをブロックできるようにFTCに「Do Not Collect」レジストリを作成するためのはるかに強い要件を備えていたとNullは述べました。
重大な除外規定
法案には、適用されないデータのカテゴリーに対する一連の除外規定が含まれています。
これらには、ユーザーがサービスをリクエストしたときに収集されたデータ、契約の一部として収集されたデータ、および企業が製品とサービスを開発および改善しているときに収集されたデータに対する除外規定が含まれます。後者の除外規定はAI訓練のためのデータ収集を可能にする、とNullは述べました。
彼は除外規定を「法律を完全に無意味にするほど十分に大きな抜け穴」と呼びました。
「企業は、本質的に自社のデータ慣行の全てが消費者によってリクエストされた製品とサービスを提供するように設計されている、または契約に基づいて提供されていると十分に主張することができます。プライバシーポリシーは契約と同様にB2B企業契約と見なすことができます。つまり、そのようなデータのすべては理論的には法案の他の弱い保護から除外されることになります」とNullは述べました。
IAPPのマネージングディレクターであるCobun Zweifel-Keegan氏は、LinkedIn投稿で、法案が重く依存しているケンタッキー州の州法に新しい要素を追加していると述べました。
「州の枠組みからいくつかの大きな追加があります。十代のデータを機密として扱うこと(オプトイン同意)、国境を越えたデータ転送に関するセクション、および行動規範セクションが含まれます」とその投稿は述べました。
しかしZweifel-Keegan氏はまた、法案は自動決定技術については言及しておらず、ユニバーサルオプトアウト機構のルールを必須にするのではなく、それらに関するルールを設定するかどうかについての研究のみを推奨していると述べました。
「この法案は名前だけのプライバシー法であり、実害をもたらす可能性がある」とACLUのシニアスタッフ弁護士Cody Venzkeは声明で述べました。「これは一般人が大量のプライバシーポリシーを読み、テック企業にデータの悪用をやめるよう要求する負担を強いるものです。そして、私たちのリクエストに応答しない場合、実際の救済手段がなく、裁判所に行くことさえ阻止されています。」
委員会はまた火曜日に金融データに焦点を当てた2番目の法案を発表しました。その法案であるGUARD Financial Data Actは、SECURE Data Actと同じ多くの保護を含み、それらを金融機関に適用しています。
翻訳元: https://therecord.media/house-republicans-unveil-data-privacy-law-override-state-measures
