anonym.legal

By · Last updated 2026-06-05

Назад к блогуGDPR и соблюдение

FTC США: правоприменение по разделу 5 в сфере ИИ и конфиденциальности

FTC возбудила 19 правоприменительных дел, связанных с ИИ, в 2024 году. Штраф Amazon Alexa составил $875 млн. Действуют 25 законов о конфиденциальности на уровне штатов. Архитектура с нулевым разглашением напрямую решает задачи, которые ставит FTC.

June 5, 20269 мин чтения
FTC enforcementUS privacy lawAI privacy complianceSection 5state privacy laws

FTC, раздел 5: конфиденциальность ИИ в США

Обновлено в 2026 году.

Федеральная торговая комиссия (FTC) обеспечивает соблюдение законодательства США о конфиденциальности на основании раздела 5 Закона о FTC. Этот раздел запрещает «несправедливые или вводящие в заблуждение практики». Единого федерального закона о конфиденциальности, аналогичного GDPR, в США нет. Тем не менее в 2024 году агентство установило новый рекорд.

2024 год: рекордный год правоприменения

Комиссия возбудила 19 дел, связанных с ИИ, в 2024 году. Это больше, чем за предыдущие три года вместе взятые. Вдобавок к этому действуют 25 активных законов о конфиденциальности в штатах США. В совокупности они создают сложное бремя для любой компании, работающей в США.

Ключевые дела 2024 года:

Amazon Alexa ($25 млн, 2023 год / продолжается): Amazon выплатила $25 млн штрафа за нарушения COPPA. Компания хранила голосовые файлы детей дольше установленных сроков. Агентство установило, что Amazon использовала эти файлы для обучения ИИ без надлежащего согласия. Amazon получила предписание удалить сохранённые файлы.

Запрет Meta на использование данных подростков в рекламе: федеральные регуляторы запретили Meta использовать данные пользователей до 18 лет для рекламы. Это решение стало продолжением существующего предписания о согласии.

Дела против брокеров данных в сфере ИИ: агентство предприняло меры против нескольких брокеров, которые продавали персональные профили, созданные с помощью ИИ, без надлежащего уведомления или согласия. Дела закрепили важный принцип: профилирование с помощью ИИ на основе персональных данных является «чувствительной» обработкой, что влечёт дополнительные обязанности по уведомлению.

Дела о медицинских данных: комиссия контролирует медицинские данные, не охваченные HIPAA. Потребительские приложения, носимые устройства и некоторые телемедицинские компании попадают под её надзор. Несколько дел 2024 года затронули компании, передававшие такие данные без надлежащего согласия.

25 законов штатов: лоскутное одеяло США

Единого федерального закона, распространяющегося на всех жителей США, не существует. Вместо него 25 законов штатов совокупно охватывают большую часть страны.

CPRA Калифорнии (с 2023 года): наиболее широкий закон о конфиденциальности в США на уровне штата. Распространяется на 40 миллионов жителей штата. Применяется к компаниям с годовой выручкой свыше $25 млн или обрабатывающим данные более 100 000 потребителей штата. Учредил Калифорнийское агентство по защите конфиденциальности (CPPA) в качестве полноценного регулятора.

Вирджиния, Колорадо, Коннектикут: три дополнительных закона со схожим набором прав. Совокупно охватывают более 20 миллионов жителей.

Техас и Флорида: два крупных штата также приняли активные законы о конфиденциальности.

Закон Вашингтона «Мои данные о здоровье — мои данные»: сильнейший закон о медицинских данных в США за пределами Калифорнии. Расширяет права потребительских медицинских приложений за рамки HIPAA.

Для компаний, работающих во всех 50 штатах, 25 законов разделяют общий набор обязательств: права потребителей, уведомления о конфиденциальности, договоры с поставщиками и ограничения на хранение данных — всё это обязательно. Конкретные правила варьируются по штатам.

См. руководство по юридическому соответствию о том, как эти обязательства сочетаются.

Что означают дела 2024 года для технических команд

Дела 2024 года дают чёткие технические ориентиры.

Данные для обучения: компании должны отслеживать, какие персональные данные обучали каждую модель ИИ. Они должны подтвердить, что согласие распространялось на это использование в целях обучения, и зафиксировать применявшиеся сроки хранения.

Ограничения целей: профили ИИ нельзя использовать иначе, чем было сообщено пользователям при регистрации. Применение поведенческого анализа для найма, когда было заявлено только использование в рекламных целях, — это нарушение раздела 5.

Обязательства в отношении поставщиков: агентство рассматривает действия SaaS-поставщиков как риск развёртывающей компании. Если инструмент обрабатывает данные пользователей, это должно быть отражено в уведомлении о конфиденциальности. Действия поставщика должны соответствовать заявленным целям.

Системы с нулевым разглашением: большинство дел с участием ИИ-поставщиков связаны с нераскрытым использованием данных. Система с нулевым разглашением хранит только зашифрованные файлы. У поставщика нет ключа для их расшифровки. Он не может использовать данные способами, которые не были раскрыты. Этот технический факт соответствует тому, на что направлена деятельность агентства.

Узнайте, как anonym.legal использует системы с нулевым разглашением, на странице /security-compliance.

Предложенное правило о коммерческом слежении

Предложенное комиссией правило о коммерческом отслеживании находилось на рассмотрении по состоянию на 2025 год. В случае принятия оно создаст явные федеральные правила.

  • Ограничения данных для использования в целях ИИ.
  • Право на отказ от автоматизированного профилирования.
  • Запрет на использование собранных данных в новых целях.
  • Требования безопасности для хранения персональных данных.

Это правило создаст обязательства, схожие с GDPR, для любой компании, обслуживающей потребителей в США, и поднимет общий стандарт американского законодательства о конфиденциальности.

Читайте об ограничениях данных на странице /docs/faq.

Источники

  • FTC: Федеральная торговая комиссия. ftc.gov.
  • FTC: Правоприменительные действия в области ИИ, 2024. ftc.gov/news-events/news/press-releases/.
  • CPPA: Калифорнийское агентство по защите конфиденциальности. cppa.ca.gov.
  • FTC: Предложенные правила коммерческого слежения. ftc.gov/legal-library/browse/rules/commercial-surveillance-rulemaking.

Связанные статьи

GDPR и соблюдение

Japan My Number: Verhoeff & APPI

63% of generic tools fail My Number detection in Japanese documents. My Number uses Verhoeff algorithm — the most complex national ID checksum in Asia.

GDPR и соблюдение

HDPA Greece: AFM & AMKA Detection

Greek AFM detected with 52% accuracy by generic tools. HDPA issued 89 decisions in 2024 — up 162% from 2022. Tourism and maritime sectors face distinct.

GDPR и соблюдение

NAIH Hungary: TAJ-Szám and Adóazonosító Jel

Hungarian NER accuracy is 67% vs. EU average 82% — NAIH's 2024 assessment. TAJ-szám weighted checksum and adóazonosító jel detection gaps.

Готовы защитить ваши данные?

Начните анонимизацию PII с 285+ типов сущностей на 48 языках.

Начать бесплатный пробный периодПосмотреть функции

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.