Федералната търговска комисия (FTC) прилага федералния закон за поверителността на САЩ основно чрез раздел 5 от Закона за FTC — забраняващ „нечестни или измамни практики“ — без изчерпателен федерален закон за поверителността, еквивалентен на GDPR. Въпреки тази по-фрагментирана рамка, прилагането на FTC през 2024 г. доведе до най-агресивното прилагане на поверителността в САЩ в историята.
2024 Изпълнение на FTC: Записване на дейност
Федералната търговска комисия (FTC) издаде 19 принудителни действия, свързани с ИИ през 2024 г. — повече, отколкото през предходните три години взети заедно. В комбинация с 25 приети или действащи държавни закони за поверителност на САЩ, организациите в САЩ са изправени пред смесица за съответствие, която съперничи на EU GDPR по сложност за компании, работещи в мащаб.
Ключови изпълнителни дела за 2024 г.:
Amazon Alexa ($875 млн., 2023 г./продължава): Amazon трябваше да плати $25 млн. граждански санкции за нарушения на COPPA и да изтрие незаконно запазени гласови записи на деца в Alexa. По-широката жалба на Федералната търговска комисия включва твърдения, че Amazon съхранява гласови записи след посочените периоди на съхранение и ги използва за обучение на AI модели без подходящо съгласие.
Meta споразумения за поведенческо рекламиране: FTC забрани на Meta да монетизира данни, събрани от потребители под 18 години, част от текущия надзор на FTC върху заповедта за съгласие за поверителност на Meta.
Прилагане на брокер на данни с изкуствен интелект: Федералната търговска комисия издаде принудителни действия срещу множество брокери на данни, продаващи анализирани с изкуствен интелект лични профили без адекватно разкриване или съгласие — установявайки, че анализът с изкуствен интелект на лични данни за създаване на поведенчески профили представлява „чувствителна“ обработка, изискваща повишено разкриване.
**Налагане на здравни данни: ** Органът на FTC за прилагане на здравни данни, които не са обхванати от HIPAA (потребителски приложения, носими устройства, платформи за телездраве извън мрежите на доставчици на здравни услуги), е произвел множество действия за прилагане, насочени към неупълномощено споделяне на здравни данни.
Пачуъркът за поверителност на САЩ: 25 държавни закона
Липсата на федерален закон за неприкосновеността на личния живот на САЩ създаде мозайка от държавни закони, които колективно обхващат по-голямата част от населението на САЩ:
Калифорния CPRA (в сила от 2023 г.): Най-изчерпателният щатски закон на САЩ, обхващащ 40 милиона калифорнийци. Отнася се за компании с приходи от >$25 милиона или обработващи 100 000+ CA потребители. Създава Калифорнийската агенция за защита на поверителността (CPPA) като специален правоприлагащ орган.
Вирджиния VCDPA, Колорадо CPA, Кънектикът CTDPA: Подобни права и изисквания, обхващащи 20+ милиона жители в три щата.
Тексас TDPSA, Флорида FDBR: Разширяване на покритието до двата най-големи щата извън Калифорния.
Washington My Health MY Data Act: Разширява защитата на здравните данни отвъд HIPAA до потребителски здравни приложения — най-агресивният закон на САЩ за здравни данни извън Калифорния.
За организациите, работещи на национално ниво, спазването на всичките 25 действащи държавни закона изисква инфраструктура за управление на права, подобна на GDPR — заявки за потребителски права, минимизиране на данните, бележки за поверителност и договори за процесори — но с различни специфични изисквания.
Какво технически означава прилагането на AI на FTC
Действията на Федералната търговска комисия за прилагане на AI през 2024 г. установяват практически насоки:
**Прозрачност на данните за обучение: ** Организациите трябва да могат да документират какви лични данни са били използвани за обучение на AI модели, дали съгласието е било подходящо за това използване за обучение и какъв период на съхранение е приложен.
Ограничение на целта: Личните профили, генерирани от AI, не могат да се използват за цели извън тези, които са били разкрити на субекта на данните. Използването на поведенчески AI анализ за проверка на заетостта, когато е разкрит само маркетинг, представлява нарушение на Закона за Федералната търговска комисия.
**Практики за данни на доставчици: ** Федералната търговска комисия третира доставчиците на SaaS, които имат достъп и запазват потребителски данни, като отговорност за съответствие на внедряващата организация. Организация, използваща CRM, платформа за анализ или AI инструмент, където продавачът обработва потребителски данни, трябва да разкрие това в известията за поверителност и да гарантира, че практиките на доставчика съответстват на разкритите цели.
Архитектура с нулево знание и съответствие с FTC: Основната загриженост на FTC в случаи на доставчици на AI е, че доставчиците събират, запазват и използват потребителски данни извън това, което е разкрито. Архитектура с нулево знание — където инфраструктурата на доставчика съдържа само криптирани данни без възможност за декриптиране — означава, че доставчикът не може да участва в неразкрито използване на потребителски данни. Техническото ограничение е в съответствие директно с приоритетите на FTC за прилагане.
Предложено FTC създаване на правила за търговско наблюдение
Предложеното от Федералната търговска комисия правило относно практиките за търговско наблюдение (предстоящо към 2025 г.) ще създаде изрични изисквания за:
- Минимизиране на данни за обработка на AI
- Права за отказ от автоматизирано профилиране
- Ограничения за вторично използване на данни, събрани за една цел
- Изисквания за сигурност при съхранение на лични данни
Ако бъде финализирано, това правило ще създаде федерални задължения за минимизиране на данни, подобни на GDPR, приложими за всяка организация, обслужваща потребители в САЩ – което значително повишава прага за спазване на поверителността на пазара в САЩ.
Източници: – [FTC: Защита на личните данни на Федералната търговска комисия] (https://www.ftc.gov/)
- [FTC: Действия за прилагане на AI 2024] (https://www.ftc.gov/news-events/news/press-releases/)
- CPPA: Калифорнийска агенция за защита на личните данни