Сотни компаний, собирающих данные, могут нарушать законы штатов, утверждают защитники конфиденциальности.

Фонд электронных рубежей (EFF) и некоммерческая организация, занимающаяся защитой прав на неприкосновенность частной жизни, обратились в ряд штатов с просьбой провести расследование в отношении сотен компаний – агрегаторов данных, которые не зарегистрировались в государственных агентствах по защите прав потребителей в соответствии с местным законодательством. Анализ, проведенный совместно с Privacy Rights Clearinghouse (PRC), показал, что многие агрегаторы данных не зарегистрировались во всех четырех штатах, где это требуется по закону, лишая потребителей возможности узнать, какую информацию о них собирают эти компании и как отказаться от сбора данных. Эти несоответствия могут быть объяснены различиями в определении понятия "агрегатор данных", но также могут указывать на то, что некоторые компании нарушают закон.

Агрегаторы данных – это компании, которые собирают и продают огромные объемы персональной информации о людях, включая имена, адреса, номера телефонов, финансовую информацию и многое другое. Потребители имеют мало контроля над этой информацией, что вызывает серьезные опасения по поводу конфиденциальности, и попытки решить эту проблему на федеральном уровне в основном не увенчались успехом.

В прошлом месяце компания LexisNexis Risk Solutions сообщила об утечке данных, в результате которой могла быть раскрыта информация, включая имена, номера социального страхования, номера водительских прав и контактные данные более чем 364 000 человек.

Четыре штата – Калифорния, Техас, Орегон и Вермонт – пытаются регулировать деятельность этих компаний, требуя от них регистрации в агентствах по защите прав потребителей и предоставления информации о том, какие данные они собирают. Например, потребители в Калифорнии могут использовать онлайн-базу данных для поиска различных зарегистрированных в штате агрегаторов данных, просмотра контактной информации и получения инструкций о том, как отказаться от сбора данных. В Техасе агрегаторы данных обязаны соблюдать определенные меры безопасности, предназначенные для защиты информации потребителей.

В письмах, направленных генеральным прокурорам этих штатов, EFF и PRC заявили, что обнаружили "тревожную закономерность" после анализа реестров агрегаторов данных в Калифорнии, Техасе, Орегоне и Вермонте. Они обнаружили, что многие агрегаторы данных не последовательно регистрируют свой бизнес во всех четырех штатах. Количество агрегаторов данных, которые присутствуют в одном реестре, но отсутствуют в другом, составляет 524 в Техасе, 475 в Орегоне, 309 в Вермонте и 291 в Калифорнии.

Как отметили в EFF, различия в том, как каждый штат определяет понятие "агрегатор данных", могут объяснить некоторые из этих расхождений. Также возможно, что некоторые компании не собирают данные о людях во всех этих штатах, хотя обычно они охватывают широкий спектр источников. В то же время, EFF также отмечает, что этот анализ не включает агрегаторов данных, которые "игнорируют законы штатов, не регистрируясь ни в одном из них".

EFF и PRC предлагают Калифорнии, Техасу, Орегону и Вермонту изучить компании, которые не зарегистрировались в других штатах, указывая на то, что их выводы "могут указывать на системный сбой соблюдения требований" в каждом штате. Они добавляют, что расследование и применение санкций могут "послать мощный сигнал" о приверженности штата защите конфиденциальности.

На данный момент регулирование на уровне штатов является основным источником защиты американцев от агрегаторов данных. В прошлом году Бюро финансовой защиты потребителей (CFPB) намеревалось ужесточить контроль над этой отраслью с помощью правила, которое запретило бы компаниям продавать ваш номер социального страхования, но назначенный Дональдом Трампом министр финансов Скотт Бессент позже отказался от этих планов.