FTC rettferdig informasjonspraksis - FTC fair information practice

USAs Federal Trade Commission's prinsipper for rettferdig informasjonspraksis (FIPPs) er retningslinjer som representerer allment aksepterte begreper om rettferdig informasjonspraksis på et elektronisk marked.

Introduksjon

Prinsipper for FTC Fair Information Practice er resultatet av kommisjonens undersøkelse av måten onlineenheter samler inn og bruker personlig informasjon og garantier for å sikre at praksis er rettferdig og gir tilstrekkelig personvern . FTC har studert personvernproblemer på nettet siden 1995, og i sin rapport fra 1998 beskrev Kommisjonen de allment aksepterte prinsippene for rettferdig informasjonspraksis om varsel, valg, tilgang og sikkerhet . Kommisjonen identifiserte også håndhevelse , bruk av en pålitelig mekanisme for å gi sanksjoner for manglende overholdelse, som en kritisk komponent i ethvert regjerings- eller selvreguleringsprogram for å beskytte personvernet på nettet.

Historie og utvikling

Fair Information Practice ble opprinnelig foreslått og utnevnt av den amerikanske sekretærens rådgivende komité for automatiserte personopplysningssystemer i en rapport fra 1973, Records, Computers and the Rights of Citizens , utgitt som svar på den økende bruken av automatiserte datasystemer som inneholder informasjon om enkeltpersoner. Det sentrale bidraget fra den rådgivende komiteen var utviklingen av en kode for rettferdig informasjonspraksis for automatiserte personopplysningssystemer. Undersøkelseskommisjonen for personvern kan også ha bidratt til utviklingen av FIPs-prinsippene i sin 1977-rapport, Personal Privacy in an Information Society .

Etter hvert som personvernlover spredte seg til andre land i Europa, tok internasjonale institusjoner privatliv med fokus på de internasjonale implikasjonene av personvernregulering. I 1980 vedtok Europarådet en konvensjon for beskyttelse av enkeltpersoner med hensyn til automatisk behandling av personopplysninger . Samtidig foreslo Organisasjonen for økonomisk samarbeid og utvikling (OECD) lignende personvernretningslinjer i OECDs retningslinjer for beskyttelse av personvern og grenseoverskridende strømmer av personopplysninger. OECD-retningslinjene, Europarådskonvensjonen og EUs databeskyttelsesdirektiv var avhengig av FIPs som hovedprinsipper. Alle de tre organisasjonene reviderte og utvidet den opprinnelige amerikanske FIP-erklæringen, med OECDs retningslinjer for personvern som den versjonen som oftest ble sitert de påfølgende årene.

Prinsipper

Kjerneprinsippene for personvern adressert av disse prinsippene er:

1. Merknad / bevissthet Forbrukerne bør informeres om et foretaks informasjonspraksis før personlig informasjon blir samlet inn fra dem. Dette krever at selskaper eksplisitt gir beskjed om noen eller alle av følgende:

  • identifikasjon av enheten som samler inn dataene;
  • identifisering av bruken som dataene blir brukt til;
  • identifisering av potensielle mottakere av dataene;
  • arten av de innsamlede dataene og hvordan de samles inn;
  • om levering av de forespurte dataene er frivillig eller påkrevd;
  • trinnene som datainnsamleren har tatt for å sikre konfidensialiteten, integriteten og kvaliteten på dataene.

2. Valg / samtykke Valg og samtykke i en online informasjonsinnhenting betyr å gi forbrukerne muligheter til å kontrollere hvordan dataene deres blir brukt. Spesielt gjelder valget sekundær bruk av informasjon utover de umiddelbare behovene til informasjonsinnsamleren for å fullføre forbrukerens transaksjon. De to typiske typene valgmodeller er 'opt-in' eller 'opt-out.' 'Opt-in' metoden krever at forbrukere bekreftende gir tillatelse til at informasjonen deres kan brukes til andre formål. Uten at forbrukeren tar disse bekreftende trinnene i et 'opt-in' system, antar informasjonssamleren at den ikke kan bruke informasjonen til noe annet formål. 'Opt-out'-metoden krever at forbrukerne avviser bekreftende tillatelse til annen bruk. Uten at forbrukeren tar disse bekreftende trinnene i et "opt-out" -system, antar informasjonssamleren at den kan bruke forbrukerens informasjon til andre formål. Hvert av disse systemene kan utformes for å tillate en individuell forbruker å skreddersy informasjonssamlerens bruk av informasjonen for å passe deres preferanser ved å merke av for å gi eller nekte tillatelse til bestemte formål i stedet for å bruke en enkel "alt eller ingenting" -metode.

3. Tilgang / deltakelse Tilgang som definert i prinsippene for god informasjon, inkluderer ikke bare forbrukerens evne til å se innsamlede data, men også for å verifisere og bestride nøyaktigheten. Denne tilgangen må være billig og rettidig for å være nyttig for forbrukeren.

4. Integritets- / sikkerhetsinformasjonssamlere bør sikre at dataene de samler inn er nøyaktige og sikre. De kan forbedre integriteten til data ved å kryssreferanse til den bare med anerkjente databaser og ved å gi tilgang for forbrukeren til å bekrefte det. Informasjonssamlere kan holde dataene sine sikre ved å beskytte mot både interne og eksterne sikkerhetstrusler. De kan begrense tilgangen i selskapet til bare nødvendige ansatte for å beskytte mot interne trusler, og de kan bruke kryptering og andre databaserte sikkerhetssystemer for å stoppe trusler utenfor.

5. Håndheving / oppreisning For å sikre at selskaper følger prinsippene for rettferdig informasjon må det være håndhevingstiltak. FTC identifiserte tre typer håndhevingstiltak: selvregulering av informasjonsinnsamlerne eller et utnevnt reguleringsorgan; private rettsmidler som gir sivile handlinger for enkeltpersoner hvis informasjon har blitt misbrukt for å saksøke krenkere; og myndighetshåndhevelse som kan omfatte sivile og strafferettslige straffer pålagt av regjeringen.

Håndheve prinsippene

For tiden er FTC-versjonen av Fair Information Principles bare anbefalinger for å opprettholde personvernvennlig, forbrukerorientert datainnsamlingspraksis, og kan ikke håndheves i henhold til lov. Håndhevelsen av og overholdelsen av disse prinsippene utføres hovedsakelig gjennom selvregulering. FTC har imidlertid satt i gang anstrengelser for å evaluere bransjens selvreguleringspraksis, gir veiledning for industrien i å utvikle informasjonspraksis og bruker sin autoritet i henhold til FTC-loven for å håndheve løfter fra selskaper i deres personvernregler.

Siden selvreguleringsinitiativer ikke er ideell implementering av prinsippene (FTC-rapporten fra 2000 bemerket for eksempel at selvreguleringsinitiativer manglet meningsfull politikk og praksis for overvåking og håndhevelse), anbefaler kommisjonen at den amerikanske kongressen vedtar lovgivning som, i forbindelse med fortsatte selvreguleringsprogrammer, vil sikre tilstrekkelig beskyttelse av forbrukernes personvern online. "Lovgivningen som er anbefalt av Kommisjonen vil fastsette et grunnleggende nivå for personvern for forbrukerorienterte kommersielle nettsteder" og "ville etablere grunnleggende standarder for praksis for innsamling av informasjon på nettet ... forbrukerorienterte kommersielle nettsteder som samler personlige å identifisere informasjon fra eller om forbrukere online ... ville være pålagt å overholde de fire allment aksepterte rettferdige informasjonspraksisene. "

Prinsippene danner imidlertid grunnlaget for mange individuelle lover på både føderalt og statlig nivå - kalt "sektoriell tilnærming". Eksempler er Fair Credit Reporting Act , Right to Financial Privacy Act , the Electronic Communications Privacy Act , the Video Privacy Protection Act (VPPA), and Cable Television Protection and Competition Act . I tillegg fortsetter prinsippene å tjene som modell for personvern i nyutviklede områder, for eksempel i utformingen av Smart Grid-programmer.

Andre forslag angående 'rettferdig informasjon'

Den Organisasjonen for økonomisk samarbeid og utvikling (OECD) og EU , blant andre, har tatt i bruk mer omfattende tilnærming til rettferdig informasjonspraksis. OECD-prinsippene gir ekstra beskyttelse via Individual Participation-prinsippet der det stilles spesifikke krav til tilgang og endring av personlig innsamlet informasjon av den enkelte og Accountability-prinsippet (en behandlingsansvarlig bør være ansvarlig for å overholde tiltak som gir effekt til prinsippene som er angitt ovenfor ).

Den europeiske union databeskyttelsesdirektiv er en annen modell for omfattende personvernet.

Kritikk av FTC-prinsippene

FIPP-ene blir kritisert av noen forskere for å ha mindre omfattende omfang enn personvernregimer i andre land, spesielt i EU og andre OECD-land. I tillegg har FTCs formulering av prinsippene blitt kritisert i forhold til de som er utstedt av andre byråer. The FTC 2000-versjonen av FIPS er kortere og mindre fullstendig enn personvern prinsipper utstedt av private kontor Department of Homeland Security i 2008, som inkluderer åtte prinsipper tett på linje med OECDs prinsipper.

Noen i personvernsamfunnet kritiserer FIPP-ene for å være for svake, tillate for mange unntak, unnlater å kreve et personvernbyrå, unnlater å gjøre rede for svakhetene ved selvregulering, og ikke følge med informasjonsteknologien. Mange personverneksperter har etterlyst lovgivning om personvern om personvern i USA i stedet for den nåværende blandingen av selvregulering og selektiv kodifisering i visse sektorer.

Kritikere fra et forretningsperspektiv foretrekker ofte å begrense FIP-er til reduserte elementer av varsel, samtykke og ansvarlighet. De klager over at andre elementer er ubrukelige, dyre eller i strid med åpenhet eller ytringsfrihetsprinsipper.

Noen kommentatorer hevder at forbrukerne ikke har rettferdig å si i samtykkeprosessen. For eksempel gir kundene helseinformasjon, for eksempel personnummer eller helsekortnummer, mens de avtaler online for tannkontroll. Kunder blir ofte bedt om å undertegne en avtale om at en tredjepart kan ha tilgang til informasjonen du gir under visse betingelser. De enkelte vilkårene er sjelden spesifisert i noen del av avtalen. Senere kan tredjeparten dele informasjonen med datterselskapene. Dermed er tilgangen til kundenes personlige informasjon utenfor deres kontroll.

Se også

Referanser

Eksterne linker