I årevis har amerikanske forbrugere været vidne til, at deres kreditkortnumre, oplysninger på sociale medier og endda datingprofiler er lækket fra den ene eller den anden store virksomhed. Datalækagen hos Equifax, Cambridge Analytica-skandalen og lækager fra pålidelige mærker som Target har alle været med til at sætte skub i privatlivsforkæmpernes kamp for at give forbrugerne større kontrol over deres data. 2021 bliver sandsynligvis deres år.
I år er det ikke blot et enkelt parti, der kontrollerer Kongressen og Det Hvide Hus, men den kendte fortaler for privatlivsbeskyttelse, Kamala Harris, har også den afgørende stemme. Læg dertil en sjælden bølge af tværpolitisk opbakning generelt, og man kan være sikker på, at der er et stort fremstød på vej i USA for en føderal lov om databeskyttelse – og det kommer ikke et øjeblik for tidligt. Mange af de føderale love, der regulerer databeskyttelse og datasikkerhed, er sørgeligt forældede. Faktisk blev de fleste af de eksisterende føderale love, som tilsynsmyndighederne henviser til for at håndhæve databeskyttelse online, vedtaget før det moderne internets fremkomst.
Vi har taget et kig på det kludetæppe af nationale og internationale love, der i dag regulerer databeskyttelsen, for at se, hvad der måske er i vente. Her er, hvad man kan forvente:
Et nyt føderalt agentur
I øjeblikket hører databeskyttelse under Federal Trade Commission (FTC). FTC blev oprettet for mere end 100 år siden af lovgivere, der ikke kunne have forestillet sig så meget som en simpel lommeregner, endsige den nuværende online dataøkonomi, og har derfor brug for en gennemgribende reform eller i det mindste et helt nyt sæt værktøjer for at kunne varetage databeskyttelsen på internettet.
Der er ændringer på vej på føderalt plan, idet Federal Communications Commission (FCC) har meddelt, at kommissær Jessica Rosenworcel er blevet udpeget af præsident Biden til at fungere som fungerende formand for FCC. Hun har været ansat hos FCC siden 2012.
Tilsvarende har Federal Trade Commission (FTC) meddelt, at kommissær Kelly Slaughter er blevet udnævnt til fungerende formand for FTC. Den fungerende formand Slaughter har været kommissær i FTC siden 2018 og var før sin tiltrædelse i FTC chefjurist for senator Chuck Schumer (D-NY).
Ifølge Yory Wurmser, chefanalytiker hos eMarketer, vil et nyt tilsynsorgan udgøre et centralt element i ethvert forslag fra Demokraterne. »Republikanerne ønsker, at føderale love skal erstatte delstaternes lovgivning om privatlivsbeskyttelse, såsom Californiens CCPA og CPRA. De er imod at give enkeltpersoner ret til at sagsøge i tilfælde af et datalæk eller andre overtrædelser,« siger han. »Demokraterne har den modsatte holdning, og de går endnu længere i deres krav til databeskyttelse. Nogle har endda foreslået et nationalt databeskyttelsesagentur.«
Wurmser fremhæver forslaget fra senator Sherrod Brown fra Ohio som et godt eksempel på demokraternes indledende holdning. Han har fremsat forslag et »Data Accountability and Transparency Act« (DATA), som vil oprette et føderalt agentur, der skal fungere som et samlingspunkt for klager vedrørende databeskyttelse. Myndigheden vil også have beføjelse til at fastsætte standarder for overholdelse af databeskyttelse og certificeringskrav, hvilket vil give virksomhederne et sæt regler, der vil have forrang for de enkelte delstaters krav. Men den vil sandsynligvis også have beføjelse til at pålægge bøder og krav, som marketingfolk næppe vil være begejstrede for.
Datatilladelser til virksomheder og ledere
Dagens dataøkosystem er et frit og ureguleret miljø, der vil fortsætte med at udvikle sig over tid. Virksomheder indsamler langt flere data, end de nogensinde kan bruge, og disse data kontrolleres af ledere uden baggrund inden for datahåndtering. Det kan forventes, at dette vil ændre sig i henhold til de fleste af de nye forslag om databeskyttelse, der er på bordet. Forslag fremsat af ledende politikere som senator Kirsten Gillibrand fra New York vil give et føderalt databeskyttelsesagentur beføjelse til at udstede certificeringer og andre godkendelser til virksomheder, der ønsker at anvende data.
Virksomhederne – og i nogle tilfælde deres ledende medarbejdere – vil skulle påvise, at de fuldt ud overholder lovgivningen og er fuldt ud kompetente til at håndtere store mængder forbrugerdata, før de kan blive certificeret til at drive en datadrevet virksomhed. Selvom ingen foreslår, at virksomhederne eller de ledende medarbejdere skal have en licens til at håndtere forbrugerdata, vil de skulle bevise, at de har en god grund til at gøre det.
Det vil sige, at de skal redegøre præcist for, hvad de har tænkt sig at gøre med kundeoplysningerne, inden de indsamles, og bevise, at de både er villige til og i stand til at yde disse data et rimeligt beskyttelsesniveau for at forhindre lækager og sikkerhedsbrud. Selvom ingen lovgivning er fejlfri, vil dataansvarlige være nødt til at gennemgå mindst lige så meget uddannelse som en gennemsnitlig tatovør eller kosmetolog.
Uddybning af lovens definition af personoplysninger og private oplysninger
Browns forslag indeholder også kimen til det, der sandsynligvis vil blive et andet centralt element i en national lov om databeskyttelse. DATA-loven vil markant udvide definitionen af, hvad der regnes som personlige og private data. I øjeblikket dækker den føderale lovgivning kun den type private oplysninger, som man forventede ville blive indsamlet, da Kongressen sidst forsøgte at vedtage regler om databeskyttelse – i midten af 90’erne. Det omfatter data som adresser, telefonnumre og helbredsoplysninger.
Der er sket meget siden de sidste dage med opkaldsforbindelser. Browns lov vil forbyde brugen af ansigtsgenkendelsesteknologi og klassificerer ansigtsdata samt andre biometriske data, såsom fingeraftryk, som »personlige og private«. Dette vil kræve, at virksomheder, der indsamler disse data, giver forbrugerne de samme rettigheder, som gælder for andre former for private oplysninger, og vil skærpe straffen for manglende sikring og beskyttelse af biometriske data mod hacking og datalækager. I en verden fyldt med deepfakes vil forbrugerne sandsynligvis være glade for at vide, at deres ansigter er mindst lige så sikre som deres telefonnumre.
Forbrugerne kan tilmelde sig, men ikke afmelde sig
Set fra en markedsførers synspunkt er den måske største forandring, der tegner sig i horisonten, overgangen fra en »opt-out«-verden til en »opt-in«-verden. De strengeste privatlivsregler i USA giver forbrugerne mulighed for proaktivt at fravælge, at deres data indsamles, opbevares og bruges til forretningsformål. Forbrugere, der ønsker at benytte sig af disse regler, skal først kende til dem og derefter være i stand til at finde de enkelte fravalgsformularer, der kræves for at få deres data slettet, undertrykt eller ikke længere indsamlet.
En ny national lov om privatlivsbeskyttelse vil sandsynligvis vende op og ned på dette krav, idet det bliver virksomhedernes ansvar at indhente samtykke, før de indsamler data, i stedet for at vente på, at brugerne aktivt fravælger dette. Dette er et centralt princip i EU’s generelle forordning om databeskyttelse (GDPR), som fortalere for privatlivsbeskyttelse håber vil finde vej til USA. I praksis vil det betyde, at virksomhederne bliver nødt til at blive bedre til at forklare, hvorfor folk bør vælge at dele deres data, i stedet for blot at afskrække dem fra at fravælge deling.
Behovet for at påvise værdi
Hvis forbrugerne skal give deres samtykke til at blive sporet, bliver markedsførerne nødt til at finde måder at gøre denne mulighed mere attraktiv på. Ifølge Yory Wurmser: »De bliver nødt til at tilpasse sig, så forbrugerne giver deres samtykke til datasporing… De bliver nødt til klart at begrunde, hvorfor de har brug for forbrugerdata, uanset om det drejer sig om købsdata eller andre signaler om forbrugernes intentioner. De bliver nødt til virkelig at definere for sig selv, hvilke data de har brug for, og hvorfor, og derefter skal de overbevise forbrugerne om at lade dem spore dem.«
Selvom undersøgelser har vist, at forbrugerne sætter pris på visse resultater af datasporing, såsom øget personalisering, er det sandsynligt, at alt for få vil tilmelde sig, hvilket vil føre til, at status quo opretholdes. Markedsførere bliver nødt til at finde andre måder at levere annoncer til de rette modtagere på, uden at indsamle ubegrænsede mængder data om størstedelen af befolkningen.
Wurmser påpeger, at Google og Apple allerede har gjort denne form for reklame – som indtil for nylig var en fast bestanddel af det digitale markedsføringsøkosystem – langt mere vanskelig ved at udfase tredjepartscookies og identifikatoren for annoncører (IDFA). I bund og grund gav de marketingfolk og teknologileverandører et indblik i, hvordan en verden med en samlet føderal tilgang til privatlivsbeskyttelse kunne se ud, idet de tvang dem til at finde nye måder at efterligne målrettet markedsføring på uden brug af forbrugerdata.
