Республиканцы в Палате представителей США представили два крупных законопроекта о конфиденциальности, которые изменят порядок сбора, обработки и хранения потребительских данных американскими компаниями: Закон о защите данных (SECURE Data Act) для общей конфиденциальности потребителей и Закон о защите финансовых данных (GUARD Financial Data Act) для финансовых учреждений.
Эти законопроекты установят национальные стандарты для практик конфиденциальности и безопасности, при этом в значительной степени отменяя многие законы штатов о конфиденциальности, включая более строгие меры защиты, уже действующие в таких штатах, как Калифорния и Мэриленд. Они также исключат возможность частных судебных исков в рамках федеральной системы, оставив правоприменение преимущественно за Федеральной торговой комиссией и генеральными прокурорами штатов.
Такое сочетание федерального вытеснения, ослабленного правоприменения и широких изменений в соблюдении требований сделало эти законопроекты политически токсичными как для демократов, так и для защитников конфиденциальности. Центр информации об электронной конфиденциальности (EPIC) назвал SECURE Data Act «огромным подарком для Биг Теха» и предупредил, что «слабый федеральный стандарт хуже, чем никакого стандарта вообще».
Конгресс более десяти лет не может принять всеобъемлющий федеральный закон о конфиденциальности, часто в условиях менее поляризованной обстановки, чем сегодня. «Поддержки одной партии в одной палате Конгресса будет недостаточно», — заявил Алан Батлер, исполнительный директор и президент EPIC. «Для принятия таких существенных законодательных актов необходим двухпартийный процесс».
Законопроекты важны, поскольку они затрагивают проблемы конфиденциальности, с которыми предприятия уже вынуждены сталкиваться в соответствии с существующими законами штатов и федеральными руководствами, включая минимизацию данных, автоматизированное профилирование, подотчетность брокеров данных и все более сложные правила, касающиеся конфиденциальных данных.
Почему минимизация данных становится бизнес-проблемой
SECURE Data Act включает в себя знакомые права на конфиденциальность: доступ, исправление, удаление, переносимость, отказ от таргетированной рекламы и продажи данных, а также ограничения на определенные формы автоматизированного профилирования. Он также предусматривает федеральный реестр брокеров данных и формальные обязательства контроллера-процессора для компаний и поставщиков.
Однако наиболее важным операционным вопросом для предприятий является минимизация данных — все более признанный принцип, согласно которому компании должны собирать только то, что им необходимо, хранить данные только в течение необходимого времени и иметь возможность обосновать оба этих решения.
Национальный институт стандартов и технологий (NIST) уже рассматривает минимизацию как основной принцип конфиденциальности и безопасности. В своем руководстве «Сбор данных и минимизация данных» агентство заявляет, что организации должны собирать только ту личную информацию, которая необходима для заявленной цели, поскольку избыточное хранение создает избегаемые риски для конфиденциальности и безопасности.
Этот принцип также становится центральным для законов о конфиденциальности на уровне штатов. Калифорния и Мэриленд устанавливают более строгие ограничения на ненужный сбор и хранение, чем многие более ранние структуры штатов.
Для ИТ-директоров (CIO), директоров по информационной безопасности (CISO) и финансовых директоров (CFO) это не просто вопрос уведомления о конфиденциальности. Спящие записи клиентов, избыточная телеметрия, забытые архивы SaaS, слишком большие наборы данных для обучения ИИ и устаревшие маркетинговые базы данных — все это увеличивает риск утечки. Чем больше ненужных данных хранит компания, тем больше становится ее поверхность атаки.
Батлер утверждает, что формулировки о минимизации в самом законопроекте SECURE слабее, чем то, что уже требуют ведущие штаты.
«Ответ в том, что закон на самом деле ничего не делает», — сказал он, поскольку это положение в значительной степени привязывает ограничения на сбор к тому, что компании раскрывают в своей политике конфиденциальности, а не налагает более строгий стандарт необходимости.
Это создает необычную динамику для предприятий: законопроект может ослабить общую защиту конфиденциальности, но при этом укрепить долгосрочное ожидание того, что компании должны уметь обосновать, почему они хранят те или иные данные.
Где закон о конфиденциальности пересекается с управлением ИИ
SECURE Data Act не содержит широких, отдельных правил управления ИИ, но он все же затрагивает ИИ существенным образом.
Законопроект включает возможность отказа от полностью автоматизированного профилирования, используемого для принятия решений с юридическими или аналогично значимыми последствиями. Эта формулировка может явно затрагивать некоторые виды использования ИИ, особенно при приеме на работу, кредитовании, страховании и других решениях с высоким уровнем воздействия.
Батлер отметил, что положение о профилировании стоит отслеживать, поскольку несколько законов штатов уже включают аналогичные требования, и эта концепция расширяется. Это означает, что закон о конфиденциальности может стать первой практической формой регулирования ИИ для многих предприятий.
Наборы данных для обучения, запросы клиентов, сбор телеметрии и сроки хранения — все это становится сложнее обосновать, когда регуляторы спрашивают, действительно ли данные необходимы. Юридические отделы, сотрудники по вопросам конфиденциальности и CISO могут обнаружить, что они формируют стратегию ИИ задолго до того, как Конгресс примет отдельный закон об ИИ.
Положение о данных подростков, которое может все разрушить
Одно из наименее обсуждаемых, но наиболее разрушительных положений SECURE Data Act касается подростков.
В нем говорится, что контроллер, то есть любое лицо, обрабатывающее персональные данные, не может обрабатывать конфиденциальные данные подростка без получения проверяемого согласия родителей. Проблема в том, что законопроект определяет конфиденциальные данные как включающие персональные данные, собранные у подростка, а это означает, что почти любое взаимодействие с известным пользователем в возрасте от 13 до 15 лет может вызвать это требование.
«Если вы управляете веб-сайтом, приложением, сервисом, и у вас есть пользователи, о которых вы знаете, что им от 13 до 15 лет, это сломает все», — сказал Батлер. «Вам придется получать проверяемое согласие родителей каждый раз, когда вы касаетесь данных — собираете, передаете, храните, обрабатываете, что угодно».
Для соблюдения требований компаниям потребуется не только знание возраста, которое многие уже имеют благодаря созданию учетных записей или магазинам приложений, но и система проверки отношений родитель-ребенок. Это, вероятно, потребует сбора дополнительных конфиденциальных документов, удостоверяющих личность, и личных записей — именно той информации, которую большинство организаций должны стараться не хранить.
«Это не работает. Это не имеет смысла», — сказал Батлер. «Если бы я был ИТ-директором или CISO, я был бы очень обеспокоен, потому что это совершенно неработоспособно».
Почему поставщики и брокеры данных имеют большее значение
Законопроект SECURE требует формальных контрактов между контроллером и процессором, охватывающих конфиденциальность, удаление, ограничения на хранение, обязательства субподрядчиков и другие меры защиты. Это переносит соблюдение требований конфиденциальности непосредственно в сферу закупок и управления рисками третьих сторон.
Для компаний с унаследованными поставщиками от слияний и поглощений и неясным владением данными соблюдение требований конфиденциальности превращается в упражнение по выяснению того, у кого какие данные, где они находятся и может ли кто-либо на самом деле заставить их удалить.
Батлер указывает на федеральный реестр брокеров данных как на одно из немногих положений в законопроекте, которое ясно отражает направление движения законодательства о конфиденциальности. Все больше штатов принимают требования о регистрации, и предприятия все чаще должны оценивать, какие данные они покупают, откуда они взялись и подпадают ли они сами под определение брокеров.
Почему финансовым фирмам следует внимательнее следить за GUARD
Хотя SECURE Data Act затрагивает гораздо больше предприятий, сопутствующий GUARD Financial Data Act может иметь большее значение для банков, страховых компаний и финтех-компаний.
Вместо создания совершенно новой структуры GUARD значительно модернизирует Раздел V Закона Грэмма-Лича-Блайли (GLBA). Он сохранит права потребителей на отказ, одновременно расширяя права на доступ, добавляя права на удаление для бывших клиентов, требуя активного согласия на раскрытие конфиденциальной личной информации и налагая более строгие обязательства в отношении агрегаторов финансовых данных и учетных данных доступа.
Он также включает положения об обработке данных, затрагивающих «охваченные страны», что более тесно связывает финансовую конфиденциальность с вопросами национальной безопасности и цепочек поставок.
Для учреждений, которые до сих пор рассматривают уведомления о конфиденциальности GLBA как ежегодное мероприятие по соблюдению требований, GUARD превратит конфиденциальность в ежедневную операционную проблему, затрагивающую открытый банкинг, обработку учетных данных, отношения с поставщиками и практику хранения данных бывших клиентов.
Федеральный закон может быть не лучшим для бизнеса
Бизнес-группы давно хотят единого национального стандарта, который заменит лоскутное одеяло законов о конфиденциальности на уровне штатов. Одну федеральную структуру легче регулировать, чем 20 конкурирующих, и многие компании приветствовали бы предсказуемость.
Брендан Томас, исполнительный директор коалиции Internet for Growth, хвалит SECURE Data Act за предоставление федеральной основы в противовес лоскутному одеялу законов штатов, которое, по мнению коалиции, увеличивает цены для малого бизнеса. «Внесение SECURE Data Act (H.R. 8413) в Палату представителей является важным шагом в продолжающихся усилиях по созданию национальной структуры конфиденциальности», — заявил Томас в своем заявлении.
Но Батлер из EPIC утверждает, что отмена более строгих законов штатов на самом деле может быть не лучшей для бизнеса.
Он говорит, что компании уже вложили значительные средства в программы соблюдения требований на основе этих структур, и замена их более слабыми, расплывчатыми федеральными правилами может создать новую неопределенность, а не уменьшить ее.
«Это подрывает доверие ваших клиентов», — сказал Батлер. «Нехорошо для бизнеса, когда люди не доверяют тому, что происходит с этими приложениями. Внезапно [потребители] чувствуют, что их конфиденциальность больше не защищена».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Cynthia Brumfield
