Федеральная торговая комиссия (FTC) обеспечивает соблюдение федерального законодательства США о конфиденциальности прежде всего через Раздел 5 Закона FTC — запрещающий «недобросовестные или вводящие в заблуждение практики» — без всеобъемлющего федерального закона о конфиденциальности, эквивалентного GDPR. Несмотря на этот более фрагментированный фреймворк, правоприменение FTC в 2024 году произвело наиболее агрессивный год правоприменения в области конфиденциальности в США за всё время.
Правоприменение FTC 2024: рекордная активность
FTC выдал 19 правоприменительных действий, связанных с ИИ, в 2024 году — больше, чем за предыдущие три года вместе взятые. В сочетании с 25 принятыми или действующими законами штатов США о конфиденциальности, американские организации сталкиваются с лоскутным одеялом соответствия, которое соперничает с GDPR ЕС по сложности для компаний, работающих в масштабе.
Ключевые дела правоприменения 2024 года:
Amazon Alexa ($875 млн, 2023/продолжается): Amazon был обязан выплатить $25 млн в виде гражданских штрафов за нарушения COPPA и удалить незаконно хранящиеся голосовые записи детей Alexa. В более широкой жалобе FTC содержались обвинения в том, что Amazon хранил голосовые записи сверх заявленных сроков хранения и использовал их для обучения ИИ-моделей без адекватного согласия.
Урегулирование поведенческой рекламы Meta: FTC запретил Meta монетизировать данные, собранные от пользователей младше 18 лет, в рамках текущего надзора FTC за приказом о согласии Meta в области конфиденциальности.
Правоприменение в отношении брокеров данных ИИ: FTC выдал правоприменительные действия против нескольких брокеров данных, продающих профили личных данных, проанализированные ИИ, без адекватного раскрытия или согласия — устанавливая, что анализ ИИ персональных данных для создания поведенческих профилей составляет «чувствительную» обработку, требующую повышенного раскрытия.
Правоприменение в отношении данных здравоохранения: Правоприменительные полномочия FTC в отношении данных здравоохранения, не охваченных HIPAA (потребительские приложения, носимые устройства, телемедицинские платформы за пределами сетей провайдеров здравоохранения), произвели несколько правоприменительных действий, нацеленных на несанкционированное распространение данных здравоохранения.
Американское лоскутное одеяло конфиденциальности: 25 законов штатов
Отсутствие федерального закона о конфиденциальности в США создало лоскутное одеяло законов штатов, которые в совокупности охватывают большинство населения США:
California CPRA (вступил в силу в 2023): Наиболее всеобъемлющий закон штата США, охватывающий 40 миллионов калифорнийцев. Применяется к компаниям с годовым доходом >$25 млн или обрабатывающим данные 100 000+ потребителей CA. Создаёт Агентство по защите конфиденциальности Калифорнии (CPPA) как специализированный орган правоприменения.
Virginia VCDPA, Colorado CPA, Connecticut CTDPA: Аналогичные права и требования, охватывающие более 20 миллионов жителей в трёх штатах.
Texas TDPSA, Florida FDBR: Расширяют охват на два крупнейших штата за пределами Калифорнии.
Washington My Health MY Data Act: Расширяет защиту данных здравоохранения за пределы HIPAA на потребительские медицинские приложения — наиболее агрессивный закон о данных здравоохранения в США за пределами Калифорнии.
Для организаций, работающих на национальном уровне, соответствие всем 25 активным законам штатов требует инфраструктуры управления правами, в целом аналогичной GDPR — запросы на права потребителей, минимизация данных, уведомления о конфиденциальности и контракты с обработчиками — но с различными конкретными требованиями.
Что правоприменение ИИ FTC означает технически
Правоприменительные действия FTC в области ИИ в 2024 году устанавливают практическое руководство:
Прозрачность обучающих данных: Организации должны быть в состоянии задокументировать, какие персональные данные использовались для обучения моделей ИИ, было ли согласие адекватным для этого обучающего использования, и какой срок хранения применялся.
Ограничение цели: Профили личных данных, сгенерированные ИИ, не могут использоваться для целей, выходящих за рамки раскрытых субъекту данных. Использование поведенческого анализа ИИ для проверки при найме, когда был раскрыт только маркетинг, составляет нарушение Закона FTC.
Практики данных поставщиков: FTC рассматривает поставщиков SaaS, которые получают доступ к пользовательским данным и сохраняют их, как ответственность организации-развёртывателя. Организация, использующая CRM, аналитическую платформу или ИИ-инструмент, где поставщик обрабатывает пользовательские данные, должна раскрыть это в уведомлениях о конфиденциальности и обеспечить соответствие практик поставщика раскрытым целям.
Архитектура нулевого знания и соответствие FTC: Основная обеспокоенность FTC в делах поставщиков ИИ заключается в том, что поставщики собирают, хранят и используют пользовательские данные сверх того, что было раскрыто. Архитектура нулевого знания — где инфраструктура поставщика хранит только зашифрованные данные без возможности расшифровки — означает, что поставщик не может участвовать в нераскрытом использовании пользовательских данных. Техническое ограничение напрямую согласуется с приоритетами правоприменения FTC.
Предлагаемое нормотворчество FTC по коммерческому наблюдению
Предлагаемое правило FTC о практиках коммерческого наблюдения (ожидает рассмотрения по состоянию на 2025 год) создаст явные требования к:
- Минимизации данных для обработки ИИ
- Правам на отказ от автоматизированного профилирования
- Ограничениям на вторичное использование данных, собранных для одной цели
- Требованиям безопасности для хранения персональных данных
В случае утверждения это правило создаст федеральные обязательства по минимизации данных, аналогичные GDPR, применимые к любой организации, обслуживающей потребителей США — значительно повысив минимальный стандарт соответствия конфиденциальности на рынке США.
Источники: