Ocena skutków dla ochrony danych (DPIA)
Proponowane przepisy, które wymagałyby od firm amerykańskich powiadamiania zainteresowanych klientów po tym, jak naruszenia danych byłyby zbyt słabe, ponieważ spowodowałoby to zwolnienie przepisów dotyczących naruszeń przepisów w wielu państwach i nie obejmowałoby kilku klas danych, w tym informacji geolokacyjnych i zdrowotnych, krytyków powiedzieli prawodawcy.
Proponowana ustawa o bezpieczeństwie danych i naruszeniach dotyczy tylko danych związanych z kradzieżą tożsamości lub oszustwami finansowymi, w tym numerami ubezpieczenia społecznego, ale nie wymagałaby od firm i organizacji non-profit powiadamiania użytkowników o kradzieży innych informacji, powiedział krytycy, w tym Demokratyczni członkowie Izby Reprezentantów ds. Handlu i Energetyki Izby Reprezentantów Izby Reprezentantów.
Propozycja zwolnienie 51 istniejących przepisów dotyczących zgłaszania naruszeń prawa i terytorialnych oraz zabranie większej części uprawnień Federalnej Komisji Łączności Stanów Zjednoczonych w zakresie egzekwowania standardów bezpieczeństwa danych dla przewoźników telekomunikacyjnych, dając organowi wykonawczemu zamiast tego federalną komisję ds. handlu.
[Czytaj dalej: usuń złośliwe oprogramowanie ze swojego komputera z systemem Windows]"Lepiej byłoby, aby prywatność [konsumenta] nie przynosiła żadnych rachunków, niż żeby przekazać tę ustawę w obecnym brzmieniu", powiedziała Laura Moy, rada ds. polityki w Open Technology Institute w New America Foundation podczas przesłuchania podkomisji w środę.
Projekt ustawodawstwa, z jego prewencją prawa stanowego, "ścięgno" stanowych prawników ogólnych w ich wysiłkach mających na celu ochronę konsumentów przed kradzieżą danych, dodała Sara Cable, asystent prokuratora generalnego w Massachusetts. Ustawa "odłożyłaby na bok silną ochronę konsumentów, która już istnieje w Massachusetts i wielu innych stanach i zastępuje je słabszymi zabezpieczeniami w momencie, gdy silniejsza ochrona jest niezbędna" - powiedziała.
Ustawa wymagałaby także od firm i organizacji non-profit podjąć "rozsądne" środki bezpieczeństwa danych, ale nie określają one "rozsądny", dodano kabel. "Jedyny sposób, w jaki" rozsądny "może zostać określony na podstawie projektu ustawy, zgodnie z opracowaniem, będzie polegał na fragmentarycznym, przedłużającym się procesie sądowym."
Przez ostatnią dekadę wiele firm, w tym kilku dostawców technologii, wezwało Kongres do uchwalenie krajowej ustawy o notyfikacji naruszenia danych jako sposobu na obniżenie kosztów przestrzegania przepisów związanych z wieloma przepisami państwowymi. Państwa zaczęły przekazywać przepisy dotyczące powiadomień, poczynając od Kalifornii w 2003 r., Po fali gwałtownych naruszeń.
U.S. Ustawodawcy wprowadzili kilka powiadomień o naruszeniach w ciągu ostatniej dekady, ale żaden z nich nie przeszedł. Rachunki ugrzęzły w kilku kwestiach, w tym debata na temat tego, czy firmy powinny powiadamiać konsumentów, jeśli stwierdzą, że istnieje niewielkie ryzyko szkody.
Proponowana ustawa o bezpieczeństwie danych i naruszeniach przepisów koncentruje się w wąskim zakresie na informacjach finansowych konsumenta, próbując uniknąć - powiedział Peter Welch, Democrat z Vermontu i współautor projektu ustawy.
Od 2005 r. skompromitowano 1 miliard dokumentów konsumenckich, powiedział Welch. "Musimy uchwalić prawodawstwo, które poradzi sobie z tym niewiarygodnym problemem" - dodał. "Musimy działać i pozwolić policjantowi na ratunek, aby chronić ludzi."
Nacisk na prawo krajowe zyskał w styczniu, kiedy prezydent Barack Obama wyraził poparcie dla prawodawstwa.
Podczas gdy kilku prawodawców wezwało na Kongresie, by posunąć naprzód za sprawą ustawy, tylko jeden z siedmiu świadków podczas środowego przesłuchania wyraził poparcie dla projektu ustawy w formie pisemnej. Projekt ustawy wykracza poza powiadomienie o naruszeniu poprzez uwzględnienie "istotnych" wymogów bezpieczeństwa danych,
powiedział Jon Leibowitz, współprzewodniczący Koalicji Prywatności w XXI wieku, grupie popierającej duże firmy telekomunikacyjne i kablowe.
Zastępując "Nieustannie zmieniająca się mozaika" przepisów stanowych, ustawa daje konsumentom pewność, że są chronieni przed naruszeniem bezpieczeństwa danych, dodał Leibowitz, były przewodniczący FTC. "Konsumenci w każdej części kraju mają prawo do tych samych solidnych zabezpieczeń, a firmy mają prawo do logicznego i spójnego systemu przestrzegania przepisów" - powiedział.
Leibowitz pochwalił także projekt ustawy o egzekwowaniu prawa w rękach FTC. "Ta ustawa jest lepsza dla konsumentów niż obowiązujące prawo", dodał.
Przedstawiciele National Retail Federation i IT Industry (ITI) wyrazili jednak obawy dotyczące części projektu ustawy. ITI popiera dążenie do powiadomienia o naruszeniu federalnych danych, ale ustawa może doprowadzić do zbyt wielu powiadomień, ponieważ wymaga naruszeń firm, aby wysyłać zawiadomienia o "szkodzie ekonomicznej", która może być szeroko zdefiniowana, powiedział Yael Weinman, wiceprezes ds. Globalnej polityki prywatności w grupie ds. handlu technologicznego.
Ustawa pozwala FTC nakładać grzywny w wysokości do 2,5 mln USD za każde naruszenie zasad bezpieczeństwa danych i 2,5 mln USD za brak powiadomienia konsumentów. "Kwoty te wydają się karalne i nie wydają się odzwierciedlać faktu, że organizacja, która doznała naruszenia danych, w większości przypadków jest ofiarą hakerów przestępczych", powiedział Weinman.
Proponowana ustawa o naruszeniu ochrony danych skrytykowana jako zbyt słaba
Projekt ustawy miałby zastosowanie tylko do danych związanych z kradzieżą tożsamości lub oszustwami finansowymi, a nie do innych klientów informacje
Ustawa informująca o naruszeniu ochrony danych mogłaby osłabić ochronę konsumentów
Komitet domowy zatwierdza prawodawstwo pomimo krytyki ze strony praw cyfrowych i grup konsumentów.
