FTC มาตรา 5: ความเป็นส่วนตัว AI ในสหรัฐอเมริกา
อัปเดตสำหรับปี 2026
คณะกรรมการการค้าแห่งสหพันธรัฐ (FTC) บังคับใช้กฎหมายความเป็นส่วนตัวของสหรัฐฯ ผ่านมาตรา 5 ของพระราชบัญญัติ FTC มาตรานี้ห้าม "การปฏิบัติที่ไม่เป็นธรรมหรือหลอกลวง" ไม่มีกฎหมายความเป็นส่วนตัวระดับสหพันธรัฐฉบับเดียวเหมือน GDPR ในสหรัฐฯ แต่หน่วยงานนี้สร้างสถิติใหม่ในปี 2024
ปี 2024: ปีบังคับใช้ที่สร้างสถิติ
คณะกรรมาธิการออกคำสั่งที่เกี่ยวข้องกับ AI 19 รายการในปี 2024 สูงกว่าสามปีก่อนหน้ารวมกัน บวกกับกฎหมายความเป็นส่วนตัวของรัฐ 25 ฉบับที่มีผลบังคับใช้ ร่วมกันสร้างภาระที่ซับซ้อนสำหรับทุกบริษัทในสหรัฐฯ
คดีสำคัญในปี 2024:
Amazon Alexa (25 ล้านดอลลาร์ ปี 2023/ต่อเนื่อง): Amazon จ่าย 25 ล้านดอลลาร์สำหรับการละเมิด COPPA บริษัทเก็บไฟล์เสียงของเด็กเกินกำหนดเวลาที่ระบุไว้ หน่วยงานระบุว่า Amazon ใช้ไฟล์เหล่านั้นฝึก AI โดยไม่ได้รับความยินยอมที่เหมาะสม และสั่งให้ Amazon ลบไฟล์ที่เก็บไว้
Meta ห้ามใช้ข้อมูลวัยรุ่นสำหรับโฆษณา: หน่วยงานกำกับดูแลของรัฐบาลกลางห้าม Meta ใช้บันทึกของผู้ใช้ที่อายุต่ำกว่า 18 ปีสำหรับโฆษณา สร้างขึ้นบนคำสั่งความยินยอมที่มีอยู่แล้ว
คดีนายหน้าข้อมูล AI: หน่วยงานดำเนินการกับนายหน้าหลายราย ที่ขายโปรไฟล์ส่วนบุคคลที่สร้างด้วย AI โดยไม่มีการแจ้งหรือความยินยอมที่เหมาะสม คดีเหล่านี้กำหนดกฎสำคัญ: การสร้างโปรไฟล์ด้วย AI ของบันทึกส่วนบุคคลถือเป็นการประมวลผล "ข้อมูลที่ละเอียดอ่อน" ซึ่งกระตุ้นหน้าที่การแจ้งเพิ่มเติม
คดีบันทึกสุขภาพ: คณะกรรมาธิการมีอำนาจเหนือบันทึกสุขภาพที่ไม่อยู่ภายใต้ HIPAA แอปผู้บริโภค อุปกรณ์สวมใส่ได้ และบางบริษัท telehealth อยู่ในกลุ่มนี้ คดีหลายรายการในปี 2024 กระทบบริษัทที่แชร์บันทึกเหล่านั้นโดยไม่ได้รับความยินยอมที่เหมาะสม
กฎหมาย 25 รัฐ: ปะติดปะต่อของสหรัฐฯ
ไม่มีกฎหมายระดับสหพันธรัฐฉบับเดียวที่ครอบคลุมผู้อยู่อาศัยในสหรัฐฯ ทั้งหมด แต่ละ 25 รัฐร่วมกันครอบคลุมพื้นที่ส่วนใหญ่ของประเทศ
California CPRA (ตั้งแต่ปี 2023): กฎหมายของรัฐสหรัฐฯ ที่กว้างที่สุด ครอบคลุมผู้อยู่อาศัย 40 ล้านคน ใช้กับบริษัทที่มีรายได้มากกว่า 25 ล้านดอลลาร์หรือถือบันทึกของผู้บริโภคในรัฐมากกว่า 100,000 ราย และจัดตั้ง California Privacy Protection Agency (CPPA) เป็นหน่วยงานกำกับดูแลแบบเต็มเวลา
Virginia, Colorado, Connecticut: กฎหมายอีกสามฉบับที่มีสิทธิ์คล้ายกัน ครอบคลุมผู้อยู่อาศัยมากกว่า 20 ล้านคนรวมกัน
Texas และ Florida: สองรัฐขนาดใหญ่ที่ปัจจุบันมีกฎหมายความเป็นส่วนตัวที่มีผลบังคับใช้แล้ว
Washington My Health MY Data Act: กฎหมายบันทึกสุขภาพที่เข้มแข็งที่สุดของสหรัฐฯ นอกจาก California ขยายสิทธิ์เกิน HIPAA ไปยังแอปสุขภาพผู้บริโภค
สำหรับบริษัทที่ดำเนินงานใน 50 รัฐ กฎหมาย 25 ฉบับมีชุดหน้าที่หลักร่วมกัน ได้แก่ สิทธิ์ผู้บริโภค ประกาศความเป็นส่วนตัว สัญญาผู้จำหน่าย และข้อจำกัดบันทึก กฎเกณฑ์ที่แน่นอนแตกต่างกันตามรัฐ
ดู คู่มือการปฏิบัติตามกฎหมาย เพื่อดูว่าหน้าที่เหล่านี้ซ้อนทับกันอย่างไร
ความหมายของคำสั่งปี 2024 สำหรับทีมเทคนิค
คดีปี 2024 ให้แนวทางทางเทคนิคที่ชัดเจน
บันทึกการฝึก: บริษัทต้องติดตามว่าบันทึกส่วนบุคคลใดฝึกโมเดล AI แต่ละตัว ต้องแสดงว่าความยินยอมครอบคลุมการใช้งานการฝึกนั้น และยืนยันว่ามีข้อจำกัดเวลาใดบ้าง
ข้อจำกัดวัตถุประสงค์: โปรไฟล์ AI ไม่สามารถใช้เกินสิ่งที่แจ้งผู้ใช้ตอนสมัคร การใช้การวิเคราะห์พฤติกรรมเพื่อการจ้างงานในขณะที่เปิดเผยเฉพาะโฆษณาถือเป็นการละเมิดมาตรา 5
หน้าที่ผู้จำหน่าย: หน่วยงานถือว่าผู้จำหน่าย SaaS เป็นความเสี่ยงของบริษัทที่ปรับใช้ หากเครื่องมือประมวลผลบันทึกผู้ใช้ ต้องระบุในประกาศความเป็นส่วนตัว พฤติกรรมผู้จำหน่ายต้องตรงกับวัตถุประสงค์ที่ระบุ
ระบบ Zero-Knowledge: คดีผู้จำหน่าย AI ส่วนใหญ่มุ่งเป้าที่การใช้บันทึกที่ไม่เปิดเผย ระบบ zero-knowledge เก็บเฉพาะไฟล์เข้ารหัส ผู้จำหน่ายไม่มีกุญแจในการเปิด ไม่สามารถใช้บันทึกในวิธีที่ไม่ได้เปิดเผย ข้อเท็จจริงทางเทคนิคนี้สอดคล้องกับสิ่งที่หน่วยงานมุ่งเป้า
เรียนรู้วิธีที่ anonym.legal ใช้ระบบ zero-knowledge ที่ /security-compliance
กฎการเฝ้าระวังเชิงพาณิชย์ที่เสนอ
กฎที่เสนอของคณะกรรมาธิการเกี่ยวกับการติดตามเชิงพาณิชย์ยังอยู่ระหว่างการพิจารณาในปี 2025 หากผ่าน จะสร้างกฎระดับสหพันธรัฐที่ชัดเจน:
- ข้อจำกัดบันทึกสำหรับการใช้ AI
- สิทธิ์การถอนตัวจากการสร้างโปรไฟล์อัตโนมัติ
- ห้ามใช้บันทึกที่รวบรวมมาเพื่อวัตถุประสงค์ใหม่
- กฎความปลอดภัยสำหรับบันทึกส่วนบุคคลที่เก็บไว้
กฎนี้จะเพิ่มหน้าที่คล้าย GDPR สำหรับบริษัทที่ให้บริการผู้บริโภคในสหรัฐฯ และจะยกระดับมาตรฐานกฎหมายความเป็นส่วนตัวของสหรัฐฯ โดยรวม
อ่านเกี่ยวกับข้อจำกัดบันทึกที่ /docs/faq
แหล่งที่มา
- FTC: Federal Trade Commission. ftc.gov
- FTC: AI Enforcement Actions 2024. ftc.gov/news-events/news/press-releases/
- CPPA: California Privacy Protection Agency. cppa.ca.gov
- FTC: Proposed Commercial Surveillance Rules. ftc.gov/legal-library/browse/rules/commercial-surveillance-rulemaking