Den føderale handelskommission (FTC) håndhæver amerikansk føderal privatlivslov primært gennem Afsnit 5 i FTC-loven — som forbyder "uretfærdige eller vildledende praksisser" — uden en omfattende føderal privatlivslov svarende til GDPR. På trods af denne mere fragmenterede ramme producerede FTC-håndhævelsen i 2024 det mest aggressive år for privatlivshåndhævelse i USA nogensinde.
2024 FTC Håndhævelse: Rekordaktivitet
FTC udstedte 19 AI-relaterede håndhævelsesaktioner i 2024 — mere end i de tre foregående år tilsammen. Kombineret med 25 vedtagne eller aktive statslove om privatliv i USA står amerikanske organisationer over for et compliance-patchwork, der kan konkurrere med EU's GDPR i kompleksitet for virksomheder, der opererer i stor skala.
Nøglehåndhævelsesager i 2024:
Amazon Alexa ($875M, 2023/igangværende): Amazon blev pålagt at betale $25M i civile bøder for overtrædelser af COPPA og slette ulovligt opbevarede Alexa stemmeoptagelser af børn. Den bredere FTC-klage omfattede påstande om, at Amazon opbevarede stemmeoptagelser ud over angivne opbevaringsperioder og brugte dem til at træne AI-modeller uden tilstrækkelig samtykke.
Meta adfærdsmæssige reklameforlig: FTC forbød Meta at tjene penge på data indsamlet fra brugere under 18, som en del af den igangværende FTC-overvågning af Metas privatlivssamtykkeordning.
AI-databroker håndhævelse: FTC udstedte håndhævelsesaktioner mod flere databrokere, der solgte AI-analyserede personlige profiler uden tilstrækkelig oplysning eller samtykke — hvilket fastslår, at AI-analyse af persondata til at skabe adfærdsmæssige profiler udgør "følsom" behandling, der kræver øget oplysning.
Sundhedsdata håndhævelse: FTC's håndhævelsesmyndighed over sundhedsdata, der ikke er dækket af HIPAA (forbrugerapps, wearables, telehealth-platforme uden for sundhedsudbydernetværk), resulterede i flere håndhævelsesaktioner, der målrettede uautoriseret deling af sundhedsdata.
Det Amerikanske Privatlivspatchwork: 25 Statlover
Fraværet af en føderal amerikansk privatlivslov har skabt et patchwork af statslove, der samlet dækker størstedelen af den amerikanske befolkning:
California CPRA (gældende fra 2023): Den mest omfattende statslov i USA, der dækker 40 millioner californianere. Gælder for virksomheder med >$25M indtægt eller behandling af 100.000+ CA-forbrugere. Opretter California Privacy Protection Agency (CPPA) som dedikeret håndhævelsesorgan.
Virginia VCDPA, Colorado CPA, Connecticut CTDPA: Lignende rettigheder og krav, der dækker 20+ millioner indbyggere på tværs af tre stater.
Texas TDPSA, Florida FDBR: Udvider dækningen til de to største stater uden for Californien.
Washington My Health MY Data Act: Udvider beskyttelsen af sundhedsdata ud over HIPAA til forbruger sundhedsapps — den mest aggressive sundhedsdata-lov i USA uden for Californien.
For organisationer, der opererer nationalt, kræver overholdelse af alle 25 aktive statslove en rettighedsforvaltningsinfrastruktur, der er bredt lig GDPR — forbrugerrettighedsanmodninger, dataminimering, privatlivsmeddelelser og processor kontrakter — men med varierende specifikke krav.
Hvad FTC's AI Håndhævelse Betyder Teknisk
FTC's AI-håndhævelsesaktioner i 2024 fastlægger praktisk vejledning:
Træningsdata gennemsigtighed: Organisationer skal kunne dokumentere, hvilke persondata der blev brugt til at træne AI-modeller, om samtykke var tilstrækkeligt til den træningsbrug, og hvilken opbevaringsperiode der gjaldt.
Formålsbegrænsning: AI-genererede personprofiler kan ikke bruges til formål ud over hvad der blev oplyst til den registrerede. At bruge adfærdsmæssig AI-analyse til ansættelsesscreening, når kun marketing blev oplyst, udgør en overtrædelse af FTC-loven.
Leverandørers datapraksis: FTC betragter SaaS-leverandører, der får adgang til og opbevarer brugerdata, som en compliance-ansvarlighed for den implementerende organisation. En organisation, der bruger et CRM, en analyseplatform eller et AI-værktøj, hvor leverandøren behandler brugerdata, skal oplyse dette i privatlivsmeddelelser og sikre, at leverandørens praksis matcher de oplyste formål.
Zero-knowledge-arkitektur og FTC-overholdelse: FTC's kernebekymring i AI-leverandørssager er, at leverandører indsamler, opbevarer og bruger brugerdata ud over hvad der blev oplyst. Zero-knowledge-arkitektur — hvor leverandørens infrastruktur kun indeholder krypterede data uden dekrypteringsmulighed — betyder, at leverandøren ikke kan engagere sig i uoplyst brug af brugerdata. Den tekniske begrænsning stemmer direkte overens med FTC's håndhævelsesprioriteter.
Foreslået FTC Kommerciel Overvågningsregulering
FTC's foreslåede regel om kommercielle overvågningspraksisser (under behandling pr. 2025) ville skabe eksplicitte krav til:
- Dataminimering for AI-behandling
- Fravalg rettigheder for automatiseret profilering
- Begrænsninger på sekundær brug af data indsamlet til ét formål
- Sikkerhedskrav til opbevaring af persondata
Hvis den færdiggøres, ville denne regel skabe føderale GDPR-lignende dataminimeringsforpligtelser, der gælder for enhver organisation, der betjener amerikanske forbrugere — hvilket væsentligt hæver niveauet for privatlivsoverholdelse på tværs af det amerikanske marked.
Kilder: