Texas uzákonil nejrobustnější zákon o registru zprostředkovatelů dat v USA
Bylo a spousta poskytnout – a oprávněně tak-o Texas stát se 10. stát (a 5. v roce 2023) schválit komplexní zákon o ochraně osobních údajů, když guvernér Abbott podepsal HB 4 aka Texas Data Privacy and Security Act (Tdpsa). Co nezískalo žádný významný tisk, je to, že guvernér Abbott také podepsal další zákon o ochraně soukromí v Texasu — SB 2105 – to dělá Texas třetím státem (po Vermont a Kalifornie) požadovat, aby se zprostředkovatelé dat zaregistrovali u státu a měli nějakou další úroveň regulace. Ve skutečnosti má Texas nyní nejrobustnější zákon o registru zprostředkovatelů dat v USA, tj. více než ostatní dva státy (i když pokud California Delete Act, známo Cal SB 362 projde, odfoukne zákony Texasu a Vermontu o zprostředkovatelích dat, vzhledem k tomu, že vytvoří portál umožňující globální mazání od datových makléřů). V tomto příspěvku na blogu vysvětlím, jak Texas SB 2103 překračuje zákony Vermontu a Kalifornie.
[And full disclosure, I am a volunteer policy advisor to the great folks at Texas Appleseed (the civil society group behind the bill that partnered with State Senator Johnson on this bill) and worked closely with the team to shape this bill throughout the process (e.g., I added some of the registration requirements such as requiring data brokers to disclose if they collect kids’ data or if they have breached). I am also the person who proposed the California Delete Act to my local State Senator (Josh Becker) and co-authored the bill and am very active in working with the Senator’s team on amendments etc.]
MOTIVACE ZA SB 2105
Tým v Texasu Appleseed a já jsme se rozhodli lépe regulovat datové makléře v Texasu. Naše zdůvodnění bylo následující (na nepublikované Texas Appleseed FAQ na SB 2105):
“Soukromí, bezpečnost dat, diskriminace a obavy o transparentnost jsou jedny z nejvíce dominujících důvodů, proč se podniky zprostředkovávající data dostaly pod kontrolu. Odvětví datových makléřů je do značné míry neregulované, s velmi malým počtem zákonů upravujících velmi úzkou kategorii datových makléřů. Neexistuje téměř žádná odpovědnost ohledně toho, jaký typ dat lze shromažďovat, kdo má k datům přístup nebo jak jsou chráněna. Například mnoho zprostředkovatelů dat shromažďuje citlivá zdravotní data, která jsou agregována prostřednictvím návštěv webových stránek a historie nákupů, ale zprostředkovatelé dat nejsou regulováni zákonem o přenositelnosti a odpovědnosti zdravotního pojištění (HIPAA). Regulace zprostředkovatelů dat pomůže zajistit, aby tyto podniky nakládaly s údaji spotřebitelů odpovědným a etickým způsobem. Většina spotřebitelů si neuvědomuje, že existují zprostředkovatelé dat, natož jaké zprostředkovatelé osobních údajů shromáždili, přesnost informací a jak jsou tyto informace používány. Regulace zprostředkovatelů dat pomůže lidem poskytnout větší kontrolu nad jejich osobními údaji, zajistit, aby osobní údaje byly uchovávány v bezpečí a chráněny před narušením údajů, a zabránit diskriminaci v zaměstnání, bydlení nebo úvěrových rozhodnutích.”
Texas Appleseed měl zvláštní zájem o to, že nedostatečná regulace zprostředkovatelů dat byla ” obzvláště problematická pro zranitelné populace, jako jsou oběti domácího násilí, oběti obchodování s lidmi, mládež, a starší dospělí.”Kromě toho” současný stav zákona umožňuje a usnadňuje škodlivé akce násilníků, podvodníků a podvodníků, kteří mohou snadno shromažďovat informace z Internetu a používat je k udržení zneužívání a podvodů.”(Citováno z tohoto dokument.)
Tyto obavy zapadají do toho, co jsem napsal o datových makléřích ve své knize Obsahující Big Tech kde jsem si všiml, že kdokoli s kreditní kartou může snadno koupit neuvěřitelně citlivé osobní informace o nás, včetně sledování naší přesné geolokace.
RÁMEC ZA SB 2105
Uvědomili jsme si, že Texas je konzervativní “červený” stát a že by jej mohli texaští politici negativně vnímat, kdybychom modelovali zákon o zprostředkovatelích dat podle “modrého” státního zákona, jako je Kalifornie nebo Vermont. Americký zákon o ochraně osobních údajů (ADPPA). Tento účet obdržel všechny Republikánské hlasy ve sněmovním Výboru pro energetiku a obchod v roce 2022, včetně řady Texaských kongresmanů, jako je konzervativní Dan Crenshaw. (Všimněte si, že ADPPA se nedostala do hlasování Sněmovny kvůli obavám tehdejšího mluvčího Pelosiho ohledně otázka preempce).
Kromě registru jsme původně měli jazyk, který umožňuje globální odstranění (ala Smazat zákon navrhované senátory Ossoffem a Cassidym, co je v aktuálně navrhovaném kalifornském zákoně o mazání a co bylo také požadováno v ADPPA), ale to bylo příliš mnoho dotazů v tomto politickém prostředí, takže jsme se místo toho zaměřili na poskytování robustního zákona o registru, který vyžadoval značné požadavky na transparentnost a bezpečnost zprostředkovatelů dat. Senátor Johnson dělá pěknou práci, když vysvětluje, co je v tomto zákoně video.
JAK JE SB 2105 ROBUSTNĚJŠÍ NEŽ JINÉ STÁTNÍ ZÁKONY
SB 2105 leapfrogs Kalifornie a Vermont data broker registry zákony v mnoha ohledech.
Za prvé, definice datového makléře texaským zákonem je širší. Kalifornie zákon o zprostředkovatelích dat definuje zprostředkovatele dat jako firmu, která “vědomě shromažďuje a prodává třetím stranám osobní údaje spotřebitele, s nímž podnik nemá přímý vztah.”Zprostředkovatel dat je tedy částečně definován jako subjekty, které musí “prodávat” osobní údaje. Ale to, co jsme zjistili, je, že data makléři budou “sdílet” data a tvrdí, že nejsou technicky prodávat, takže můžete vidět, že data makléři budou lasička svou cestu ven z registrace. Texas se tomu vyhýbá tím, že definuje zprostředkovatele dat jako subjekty, které získávají své příjmy ze “shromažďování, zpracování nebo přenosu” osobních údajů, které neshromažďoval přímo od spotřebitele. Takže použití “zpracování nebo převodu” vs. “prodej” znamená, že pro zprostředkovatele dat bude těžší tvrdit, že se nemusí registrovat, takže věřím, že to bude mít za následek vyšší registrační číslo v Texasu.
Za druhé, definice “osobních údajů” SB 2015 zahrnuje pseudonymní údaje (stejně jako HB 4). Pseudonymní údaje jsou informace, které ” používá správce nebo zpracovatel ve spojení s dalšími informacemi, které přiměřeně spojují informace s identifikovanou nebo identifikovatelnou osobou.”Ale datoví makléři jsou velmi dobří v kombinaci více datových sad, které spojují kousky dat s jednotlivcem. Jiné státy to ve své definici osobních údajů nemají. Texaský registr datových makléřů tedy vrhá širší síť, pokud jde o získávání datových makléřů k registraci vzhledem k jeho širší definici osobních údajů, protože historicky datoví makléři mohou tvrdit, že nemají osobní údaje, které ve skutečnosti mohou nakonec identifikovat lidi, a proto se nemusí registrovat. Takže znovu, Texas může snad vrhnout širší registrační síť vzhledem k těmto různým definicím.
Zatřetí, SB 2015 vyžaduje, aby zprostředkovatelé údajů specifikovali, zda shromažďují údaje o dětech a zda byly porušeny. Vermont se ptá na shromažďování údajů o dětech, ale Kalifornie ne, a ani jeden z dalších dvou zákonů o registru státních zprostředkovatelů dat se neptá na porušení. Snažil jsem se přidat druhý jako požadavek na registraci do mé Kalifornie SB 1059 bill ale průmysl zařval a SB 1059 byl zabit. Tak, poprvé, budeme moci vidět z registru Texaských datových makléřů, jaké datové makléři “fessed up”, které mají být porušeny. Tyto registrační požadavky byly ty, které jsem konkrétně přidal k návrhu zákona během jeho přípravy.
Čtvrtý a poslední, Texaský zákon skutečně vyžaduje, aby zprostředkovatelé dat skutečně zintenzivnili svou programovou hru pro bezpečnost informací. Existuje téměř pět stránek požadavků na zprostředkovatele dat, více než to, co vidíte v jakýchkoli zákonech o ochraně osobních údajů státu, a nic v zákonech o zprostředkovatelích dat v ostatních dvou státech. Ve světle, že mnoho z největší zprostředkovatelé dat byli hacknuti, to zvýší ante pro získání datových makléřů, aby lépe chránili naše osobní údaje.
OČI ZPĚT DO KALIFORNIE
Vím, že mnoho lidí může říci “ale je to jen registr.”Ale přinejmenším získáváme větší transparentnost, pokud jde o zprostředkovatele dat, protože historicky působili ve tmě. Ale ano, souhlasím, registr a větší transparentnost jsou docela dobré věci, ale to, co opravdu musíme udělat, je posílit spotřebitele a být schopni snadno odstranit jejich data a říct zprostředkovatelům dat, aby je již nesledovali.
O tom je Kalifornský Delete Act aka SB 362. Takže pokud Texas přeskočil Kalifornii a Vermont ve svých zákonech o registru zprostředkovatelů dat, SB 362 přeskočil všechny tyto zákony 5x. SB 362 navazuje na stávající registr zprostředkovatelů dat, který máme zde v Kalifornii, a na náš stávající zákon o ochraně osobních údajů. Návrh zákona by vytvořil webovou stránku (spravovanou Kalifornskou Agenturou pro ochranu soukromí), která by spotřebitelům umožnila požádat o vymazání jejich osobních údajů z databází každého registrovaného zprostředkovatele dat. Návrh zákona také vyžaduje, aby zprostředkovatelé údajů hlásili, jaké informace shromažďují o spotřebitelích, včetně údajů o reprodukční zdravotní péči, a ukládá občanskoprávní sankce a pokuty zprostředkovatelům údajů, kteří nedodrží požadavky na vymazání. Od 22. června 2023 má prošel státním Senátem a nyní je na shromáždění. Držím palce, ať to přejde!