anonym.legal

By · Last updated 2026-06-05

Powrót do blogaGDPR i zgodność

FTC USA: Egzekucja Prywatności AI na Podstawie Sekcji 5

FTC wydała 19 działań egzekucyjnych dotyczących AI w 2024 roku. Kara dla Amazon Alexa — 875 mln USD. 25 stanowych ustaw o prywatności jest aktywnych. Architektura zero-knowledge bezpośrednio odpowiada na oczekiwania FTC.

June 5, 20269 min czytania
FTC enforcementUS privacy lawAI privacy complianceSection 5state privacy laws

FTC Sekcja 5: Prywatność AI w USA

Aktualizacja: 2026 rok.

Federalna Komisja Handlu (FTC) egzekwuje prawo prywatności w USA na podstawie Sekcji 5 Ustawy o FTC. Sekcja ta zakazuje „nieuczciwych lub wprowadzających w błąd praktyk”. W USA nie istnieje jednolita federalna ustawa o prywatności porównywalna z RODO. Mimo to agencja ustanowiła nowy rekord w 2024 roku.

2024: Rekordowy Rok Egzekucji

Komisja wydała 19 działań egzekucyjnych związanych z AI w 2024 roku. To więcej niż przez trzy poprzednie lata łącznie. Do tego dochodzi 25 aktywnych stanowych ustaw o prywatności. Razem tworzą złożone obciążenie regulacyjne dla każdej firmy działającej w USA.

Kluczowe sprawy z 2024 roku:

Amazon Alexa (25 mln USD, 2023/w toku): Amazon zapłacił 25 mln USD za naruszenie ustawy COPPA. Firma przechowywała nagrania głosowe dzieci po upływie zadeklarowanych terminów. Agencja stwierdziła, że Amazon używał tych nagrań do trenowania AI bez odpowiedniej zgody. Amazon otrzymał nakaz usunięcia zachowanych plików.

Zakaz używania danych nastolatków przez Meta do reklam: Federalni regulatorzy zakazali Meta korzystania z danych użytkowników poniżej 18 roku życia do celów reklamowych. Decyzja ta opierała się na istniejącym nakazie zgody.

Działania wobec brokerów danych AI: Agencja podjęła działania wobec kilku brokerów. Sprzedawali oni profile osobowe tworzone przez AI bez odpowiedniego powiadomienia lub zgody. Sprawy te ustanowiły kluczową zasadę: profilowanie AI na podstawie danych osobowych stanowi przetwarzanie „wrażliwe”. Taka klasyfikacja uruchamia dodatkowe obowiązki informacyjne.

Sprawy dotyczące dokumentacji zdrowotnej: Komisja ma uprawnienia w zakresie dokumentacji zdrowotnej nieobjętej HIPAA. Obejmuje to aplikacje konsumenckie, urządzenia ubieralne i część firm telemedycznych. Kilka spraw z 2024 roku dotyczyło firm, które udostępniały te dane bez odpowiedniej zgody.

25 Stanowych Ustaw: Mozaika Prawa USA

W USA nie istnieje jednolita federalna ustawa obejmująca wszystkich mieszkańców. Zamiast tego 25 stanowych ustaw łącznie obejmuje większość kraju.

Kalifornijska CPRA (od 2023 roku): Najszersza stanowa ustawa o prywatności w USA. Obejmuje 40 milionów mieszkańców stanu. Ma zastosowanie do firm z przychodami powyżej 25 mln USD lub przetwarzających dane 100 000 lub więcej konsumentów stanowych. Powołała Kalifornijską Agencję Ochrony Prywatności (CPPA) jako stały organ regulacyjny.

Wirginia, Kolorado, Connecticut: Trzy kolejne ustawy o podobnym zakresie praw. Łącznie obejmują ponad 20 milionów mieszkańców.

Teksas i Floryda: Dwa duże stany posiadają teraz aktywne przepisy o prywatności.

Waszyngton — My Health MY Data Act: Najsilniejsza ustawa USA dotycząca danych zdrowotnych spoza Kalifornii. Rozszerza prawa poza HIPAA na konsumenckie aplikacje zdrowotne.

Dla firm działających we wszystkich 50 stanach, 25 ustaw dzieli wspólny zestaw obowiązków. Wymagane są: prawa konsumenckie, informacje o prywatności, umowy z dostawcami i ograniczenia przechowywania danych. Szczegółowe zasady różnią się w zależności od stanu.

Zapoznaj się z przewodnikiem po zgodności prawnej, aby zobaczyć, jak te obowiązki się kumulują.

Co Oznaczają Działania z 2024 Roku dla Zespołów Technicznych

Szrawy z 2024 roku dają jasne wskazówki techniczne.

Dane treningowe: Firmy muszą śledzić, jakie dane osobowe były używane do trenowania każdego modelu AI. Muszą wykazać, że zgoda obejmowała ten cel treningowy. Muszą też potwierdzić, jakie terminy przechowywania były stosowane.

Ograniczenia celu: Profile AI nie mogą być używane do celów innych niż te, które zostały zakomunikowane użytkownikom przy rejestracji. Stosowanie analizy zachowań do rekrutacji, gdy ujawniono tylko cele reklamowe, stanowi naruszenie Sekcji 5.

Obowiązki wobec dostawców: Agencja traktuje dostawców SaaS jako ryzyko firmy wdrażającej. Jeżeli narzędzie przetwarza dane użytkowników, musi to znaleźć się w informacji o prywatności. Działania dostawcy muszą odpowiadać zadeklarowanym celom.

Systemy zero-knowledge: Większość spraw dotyczących dostawców AI dotyczy nieujawnionego wykorzystania danych. System zero-knowledge przechowuje wyłącznie zaszyfrowane pliki. Dostawca nie posiada klucza do ich otwarcia. Nie może korzystać z danych w sposób, który nie był ujawniony. Ten fakt techniczny pokrywa się z tym, co agencja kwestionuje.

Dowiedz się, jak anonym.legal stosuje systemy zero-knowledge, odwiedzając stronę /security-compliance.

Proponowana Reguła Nadzoru Komercyjnego

Proponowana przez komisję reguła dotycząca śledzenia komercyjnego pozostaje w fazie oczekiwania na decyzję w 2025 roku. W przypadku uchwalenia stworzyłaby ona wyraźne przepisy federalne:

  • Ograniczenia przechowywania danych do celów AI.
  • Prawo do rezygnacji z automatycznego profilowania.
  • Zakaz wykorzystywania zebranych danych do nowych celów.
  • Zasady bezpieczeństwa dla przechowywanych danych osobowych.

Reguła ta wprowadzi obowiązki podobne do RODO dla każdej firmy obsługującej konsumentów w USA. Podniesie standardy prawa prywatności USA na szeroką skalę.

Przeczytaj o ograniczeniach przechowywania danych na stronie /docs/faq.

Źródła

  • FTC: Federal Trade Commission. ftc.gov.
  • FTC: Działania Egzekucyjne dotyczące AI 2024. ftc.gov/news-events/news/press-releases/.
  • CPPA: California Privacy Protection Agency. cppa.ca.gov.
  • FTC: Proponowane Zasady Nadzoru Komercyjnego. ftc.gov/legal-library/browse/rules/commercial-surveillance-rulemaking.

Pokrewne artykuły

GDPR i zgodność

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR i zgodność

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR i zgodność

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Gotowy, aby chronić swoje dane?

Rozpocznij anonimizację PII z 285+ typami podmiotów w 48 językach.

Rozpocznij bezpłatny okres próbnyZobacz funkcje

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.