Amerikalılar var federal bir gizlilik yasası istiyordu Yıllardır ancak teknoloji endüstrisinin yoğun lobi çalışmaları ve federal yasa koyucularımızın genel beceriksizliği bu arzuyu defalarca engelledi. 2024’te nihayet güçlü bir federal gizlilik yasasına sahip olmamız mümkün.
Tekrar söylüyorum: Mümkün. Teknik olarak da mümkün kurbağalar gökten yağabilir Aşağı Manhattan’da New Yorkluları amfibi cesaretinden oluşan bir bahar sağanağıyla kaplıyorlar ama bunun gerçekten olması muhtemel mi?
Amerikan Gizlilik Hakları Yasası Yakın zamanda Cathy McMorris Rodgers (R-WA) ve Maria Cantwell (D-WA) tarafından tanıtılan 2024 Kararı, Amerikalılar için temel dijital gizlilik korumaları oluşturacak. Kanun, yasalaştığı takdirde tüketiciler için şirketler tarafından toplanan bilgilere erişim, bunları kontrol etme ve silme olanağı da dahil olmak üzere çeşitli korumalar ve haklar sağlayacak.
Bu iyi bir şey gibi görünse de, mevzuatın gizlilik savunucularının endişe duyduğu bir yönü var. Önerilen yasa, şu anda mevcut olan potansiyel olarak daha güçlü, eyalet düzeyindeki korumaları ortadan kaldıracak. Gizlilik hakları grupları APRA’nın potansiyeli konusunda temkinli bir iyimserliğe sahipken, aynı zamanda eyalet yasalarının önceden alınması önerisine karşı da ihtiyatlı davranıyorlar. Şu anda önerilen düzenlemeler güçlü görünüyorsa, yasama süreci daha yeni başlıyor demektir ve uzun, mücadeleci bir politika oluşturma süreci olacağı kesin olan bu süreçten sonra federal yasanın nasıl görüneceğine dair hiçbir şey söylenemez.
Mevzuatın şu anda neler vaat ettiğine ve gizlilik savunucularının bu konuda neler söylediğine hızlı bir bakış.
Erişim, kontrol ve silme hakkı
Amerikan Gizlilik Hakları Yasası, Amerikalıların verileri için geniş korumalar oluşturarak tüketicilere mevzuat kapsamındaki verilere erişme, bunları kontrol etme ve silme olanağı verecek. Politika, tüm Amerikalılara, kendileri hakkında veri toplayan kuruluşlardan bilgi talep etme yetkisi verecek. Tasarıda, yasa kapsamına giren işletmelerin tüketicilerin taleplerine “belirli zaman dilimleri” içerisinde uyması gerektiği belirtiliyor. Tasarı, küçük işletmeler (“yıllık geliri 40.000.000 $ veya daha az” elde eden veya “200.000 veya daha az kişinin kapsam dahilindeki verilerini” toplayan, işleyen, saklayan veya aktaran şirketler olarak tanımlanan) dahil olmak üzere bu zorunluluklardan belirli muafiyetlere izin vermektedir: yanı sıra hükümetler ve “hükümetler adına çalışan kuruluşlar”.
Veri minimizasyonu
Tasarı aynı zamanda “veri minimizasyonu” adı verilen bir şeyi de zorunlu kılacak. Buradaki fikir, şirketlerin web kullanıcıları hakkında toplayabileceği genel bilgi miktarını azaltmaktır. Yasa tasarısının destekçileri, yasa kapsamına giren şirketlerin “bir birey tarafından talep edilen bir ürün veya hizmeti sağlamak veya sürdürmek veya bir iletişim sağlamak için gerekli, orantılı veya sınırlı olanın ötesinde veri toplayamayacak, işleyemeyecek, tutamayacak veya aktaramayacaklarını” söylüyor. ilişki bağlamında makul olarak beklenen veya izin verilen bir amaç.” Yine, bu kulağa hoş gelse de, şeytan burada ayrıntıda gizlidir ve bu tür bir veri minimizasyonunun gerçek hayatta nasıl görüneceği henüz tam olarak belli değil.
Kapsanan veriler nedir?
Tasarıda, mevzuatın kapsadığı veriler şu şekilde tanımlanıyor:
…bir kişiyi veya cihazı tanımlayan veya bunlarla bağlantılı veya makul şekilde bağlantılandırılabilen bilgiler. Kimlik bilgileri kaldırılmış verileri, çalışan verilerini, kamuya açık bilgileri, hassas kapsam dahilindeki veri tanımına uymayan ve kapsam dahilindeki verilerle birleştirilmeyen, kamuya açık bilgilerin birden fazla kaynağından yapılan çıkarımları ve bir kütüphane, arşivdeki bilgileri içermez. veya müze koleksiyonu belirli sınırlamalara tabidir.
FTC’yi güçlendirmek
Yasanın uygulanması hem federal hem de eyalet düzeyinde gerçekleşecek. Tasarıda, en önemlisi, Federal Ticaret Komisyonu’nun “bireylerin ayrılma haklarını kullanabilecekleri merkezi bir mekanizma” için düzenlemeler ve teknik spesifikasyonların yanı sıra mevzuatın uygulanmasını çevreleyen diğer teknik konularla görevlendirileceği belirtiliyor. Aynı zamanda tasarı, “Eyalet başsavcılarına, tüketiciyi koruma baş görevlilerine ve Federal bölge mahkemesindeki bir Eyaletin diğer görevlilerine” yasayı ihlal eden şirketlere karşı yaptırım işlemleri başlatma yetkisi veriyor.
Veri komisyoncusu endüstrisini hedef almak
Tasarı aynı zamanda veri komisyoncularını da hedef alıyor. Yeni mevzuata göre FTC’ye, tüketicilerin hangi şirketlerin komisyoncu olduğunu belirlemek ve bu firmalar tarafından veri toplanmasından vazgeçmek için kullanılabilecek bir veri komisyoncusu kaydı oluşturma yetkisi verilecek. 5.000’den fazla kişi hakkında veri toplayan tüm veri komisyoncuları, her yıl federal sicile yeniden kaydolmak zorunda kalacak. Aynı zamanda komisyoncular, kendilerini veri komisyoncusu olarak tanımlayan ve tüketicilerin vazgeçmesi için bir araç içeren kendi web sitelerini de sürdürmek zorunda kalacak.
Özel dava hakkı
Gizlilik savunucularına yönelik uzun süredir devam eden bir arzu, özel dava hakkıBu, bireysel tüketicilerin haklarını ihlal eden şirketlere dava açmasına olanak tanıyan bir mekanizmadır. Bir dizi eyalet gizlilik kanunu bunu dahil edemedi. APRA’nın mevcut versiyonuna göre tüketicilere, dijital gizlilik haklarını açıkça ihlal eden şirketlere karşı dava açmalarına olanak tanıyan özel bir dava hakkı verilecek.
Gizlilik savunucuları ihtiyatlı iyimserliğini koruyor
Federal düzenleyicilerin gizlilik politikası konusunda yıllardır eylemsiz kaldığı göz önüne alındığında, eyalet hükümetleri son on yılda bir dizi güçlü gizlilik yasasını kabul etti. Kaliforniya’nın CCPA’sı gibi bu yasalardan bazıları oldukça güçlüydü. Yeni önerilen federal yasa, “devletin kapsamlı veri gizliliği yasalarının mevcut yama çalışmasını” ortadan kaldıracağını ve onun yerine “ihlalcileri sorumlu tutacak sağlam yaptırım mekanizmaları” kuracağını açıkça kabul ediyor. APRA’nın eyalet yasalarını önleyeceği gerçeği, sulandırılmış bir federal yasa potansiyelinden korkan bazı gizlilik savunucularını endişelendiriyor. APRA’nın şu anda güçlü görünmesi pek bir anlam ifade etmiyor, çünkü yasama sürecinde lobiciler tarafından kolayca kısırlaştırılabilir.
Elektronik Gizlilik Bilgi Merkezi müdür yardımcısı Caitriona Fitzgerald, federal yasanın eyalet düzeyindeki düzenlemeleri engellemesinin ancak güçlü bir yasa haline gelmesi durumunda uygun olduğunu söyledi. Fitzgerald, “Bizim bakış açımıza göre – ideal bir dünyada – eyalet yasalarını engellemez, eyaletlerin daha güçlü yasalar çıkarmasına izin verir” dedi. “Uzlaşmanın gerekli olduğunun ve bunun büyük bir anlaşmazlık noktası olduğunun farkındayız. Eğer eyalet yasalarını aşacaksa, mevcut eyalet yasalarından ve düzenlemelerinden daha güçlü olması gerekiyor. Durumun böyle olup olmadığını belirlemek için hâlâ tasarıyı değerlendiriyoruz.”
Gözetim Teknolojisi Gözetim Projesi (STOP) gibi diğer gizlilik savunucuları da benzer endişeleri dile getirdi. STOP İletişim Direktörü Will Owen, “ADPPA, özellikle veri minimizasyon kuralları olmak üzere güçlü gizlilik korumaları sunuyor” dedi. “Ancak yasa tasarısı, eyaletleri, eğer isterlerse, daha da güçlü eylemlerde bulunmaktan alıkoyduğu için yetersiz kalıyor. Hepsinden kötüsü, ADPPA eyaletlerin koruma uygulamasını engelliyor ve işi yalnızca Amerikalıların mahremiyet haklarını uygulama konusunda kararsız olan ABD yürütme organına bırakıyor.”
ACLU’nun kıdemli politika danışmanı Cody Venzke, örgütünün “bu yasa tasarısının eyalet yasalarını geniş ölçüde ön planda tutmasının, teknolojinin neden olduğu gelişen zorluklara yanıt verme yeteneğimizi donduracağından endişe duyduğunu” söyledi.