FTC rättvis informationspraxis

United States Federal Trade Commissions principer för rättvis informationspraxis (FIPPs) är riktlinjer som representerar allmänt accepterade begrepp om rättvis informationspraxis på en elektronisk marknadsplats.

Introduktion

FTC Fair Information Practice Principer är resultatet av kommissionens utredning om hur online-enheter samlar in och använder personlig information och skyddsåtgärder för att säkerställa att praxis är rättvis och ger adekvat informationsintegritetsskydd . FTC har studerat sekretessfrågor online sedan 1995, och i sin rapport från 1998 beskrev kommissionen de allmänt accepterade principerna för Fair Information Practice om meddelande, val, åtkomst och säkerhet . Kommissionen identifierade också Enforcement , användningen av en pålitlig mekanism för att tillhandahålla sanktioner för bristande efterlevnad som en kritisk komponent i alla statliga eller självreglerande program för att skydda integriteten på nätet.

Historia och utveckling

Fair Information Practice föreslogs och namngavs ursprungligen av USA:s sekreterares rådgivande kommitté för automatiserade persondatasystem i en rapport från 1973, Records, Computers and the Rights of Citizens , utgiven som svar på den växande användningen av automatiserade datasystem som innehåller information om individer. Det centrala bidraget från den rådgivande kommittén var utvecklingen av en kod för god informationspraxis för automatiserade personuppgiftssystem. Privacy Protection Study Commission kan också ha bidragit till utvecklingen av FIPs principer i sin rapport från 1977, Personal Privacy in an Information Society .

När integritetslagar spred sig till andra länder i Europa, tog internationella institutioner upp integritet med fokus på de internationella konsekvenserna av integritetsreglering. År 1980 antog Europarådet en konvention om skydd för enskilda med avseende på automatisk behandling av personuppgifter . Samtidigt Organisationen för ekonomiskt samarbete och utveckling (OECD) liknande integritetsriktlinjer i OECD:s riktlinjer om skydd av privatlivet och gränsöverskridande flöden av personuppgifter. OECD:s riktlinjer, Europarådets konvention och Europeiska unionens dataskyddsdirektiv utgick från FIP:er som kärnprinciper. Alla tre organisationerna reviderade och utökade USA:s ursprungliga uttalande av FIP:er, med OECD:s riktlinjer för sekretess som den version som oftast citerades under efterföljande år.

Principer

De grundläggande principerna för integritet som tas upp av dessa principer är:

1. Meddelande/medvetenhet Konsumenter bör informeras om en enhets informationspraxis innan någon personlig information samlas in från dem. Detta kräver att företag uttryckligen meddelar några eller alla av följande:

identifiering av den enhet som samlar in uppgifterna;
identifiering av de användningar för vilka uppgifterna kommer att användas;
identifiering av eventuella potentiella mottagare av uppgifterna;
arten av de insamlade uppgifterna och de sätt på vilka de samlas in;
om tillhandahållandet av de begärda uppgifterna är frivilligt eller obligatoriskt;
de åtgärder som datainsamlaren vidtagit för att säkerställa uppgifternas konfidentialitet, integritet och kvalitet.

2. Val/samtycke Val och samtycke i informationsinsamling online innebär att ge konsumenterna valmöjligheter att kontrollera hur deras data används. Specifikt hänför sig valet till sekundär användning av information utöver informationssamlarens omedelbara behov för att slutföra konsumentens transaktion. De två typiska typerna av valmodeller är "opt-in" eller "opt-out". "Opt-in"-metoden kräver att konsumenter bekräftar att deras information får användas för andra ändamål. Utan att konsumenten vidtar dessa positiva steg i ett "opt-in"-system, antar informationsinsamlaren att den inte kan använda informationen för något annat ändamål. "Opt-out"-metoden kräver att konsumenter jakande avböjer tillstånd för annan användning. Utan att konsumenten vidtar dessa positiva steg i ett ”opt-out”-system, antar informationsinsamlaren att den kan använda konsumentens information för andra ändamål. Vart och ett av dessa system kan utformas för att tillåta en enskild konsument att skräddarsy informationsinsamlarens användning av informationen för att passa deras preferenser genom att kryssa i rutorna för att bevilja eller neka tillstånd för specifika ändamål snarare än att använda en enkel "allt eller ingenting"-metod.

3. Tillgång/deltagande Tillgång enligt definitionen i Fair Information Practice Principles inkluderar inte bara en konsuments möjlighet att se insamlade data, utan också att verifiera och bestrida dess riktighet. Denna tillgång måste vara billig och i rätt tid för att vara användbar för konsumenten.

4. Integritet/Säkerhet Informationsinsamlare bör se till att de uppgifter de samlar in är korrekta och säkra. De kan förbättra dataintegriteten genom att korsreferensera den med endast välrenommerade databaser och genom att ge konsumenten åtkomst att verifiera den. Informationssamlare kan hålla sin data säker genom att skydda mot både interna och externa säkerhetshot. De kan begränsa åtkomsten inom sitt företag till endast nödvändiga anställda för att skydda mot interna hot, och de kan använda kryptering och andra datorbaserade säkerhetssystem för att stoppa hot utifrån.

5. Tillämpning/rättelse För att säkerställa att företag följer Fair Information Practice-principerna måste det finnas verkställighetsåtgärder. FTC identifierade tre typer av tillsynsåtgärder: självreglering av informationsinsamlare eller ett utsett tillsynsorgan; privata rättsmedel som ger civilrättsliga skäl för talan för individer vars information har missbrukats för att stämma överträdare; och statlig verkställighet som kan innefatta civilrättsliga och straffrättsliga påföljder som tas ut av regeringen.

Genomförande av principerna

För närvarande är FTC-versionen av Fair Information Principles endast rekommendationer för att upprätthålla integritetsvänliga, konsumentorienterade datainsamlingsmetoder och är inte verkställbara enligt lag. Upprätthållandet av och efterlevnaden av dessa principer sker huvudsakligen genom självreglering. FTC har dock vidtagit ansträngningar för att utvärdera industrins självregleringsmetoder , ger vägledning för industrin i att utveckla informationspraxis och använder sina befogenheter enligt FTC-lagen för att genomdriva löften från företag i deras sekretesspolicyer.

Eftersom självreglerande initiativ saknar idealisk implementering av principerna (FTC-rapporten från 2000 noterade till exempel att självreglerande initiativ saknade meningsfull övervaknings- och tillämpningspolicy och praxis), rekommenderar kommissionen att USA:s kongress antar lagstiftning som , i samband med fortsatta självreglerande program, kommer att säkerställa adekvat skydd av konsumenternas integritet online. "Den lagstiftning som kommissionen rekommenderar skulle fastställa en grundläggande nivå av integritetsskydd för konsumentinriktade kommersiella webbplatser" och "skulle fastställa grundläggande praxisnormer för insamling av information online... konsumentorienterade kommersiella webbplatser som samlar in personliga identifiera information från eller om konsumenter online... skulle krävas för att följa de fyra allmänt accepterade rättvisa informationspraxis."

Principerna utgör dock grunden för många individuella lagar på både federal och statlig nivå – kallad "sektoriell strategi". Exempel är Fair Credit Reporting Act , Right to Financial Privacy Act , Electronic Communications Privacy Act , Video Privacy Protection Act (VPPA) och Cable Television Protection and Competition Act . Dessutom fortsätter principerna att fungera som en modell för integritetsskydd i områden som nyligen utvecklats, till exempel vid utformning av Smart Grid-program.

Andra förslag om "rättvis information"

Organisationen för ekonomiskt samarbete och utveckling (OECD) och Europeiska unionen, bland andra, har antagit mer omfattande tillvägagångssätt för rättvis informationspraxis. OECD-principerna ger ytterligare skydd via principen om individuellt deltagande där specifika krav ställs för åtkomst och ändring av personligt insamlad information av individen och ansvarsprincipen ( en personuppgiftsansvarig bör vara ansvarig för att följa åtgärder som ger effekt till de principer som anges ovan ).

EU :s dataskyddsdirektiv är en annan modell för omfattande integritetsskydd.

Kritik mot FTC-principerna

FIPPs kritiseras av vissa forskare för att vara mindre omfattande i omfattning än integritetsregimer i andra länder, särskilt i Europeiska unionen och andra OECD-länder. Dessutom har FTC:s formulering av principerna kritiserats i jämförelse med de som utfärdats av andra myndigheter. s 2000 års version av FIP är kortare och mindre komplett än integritetsskyddsprinciperna som utfärdades av Privacy Office vid Department of Homeland Security 2008, vilka inkluderar åtta principer som är nära anpassade till OECD:s principer.

Vissa i sekretessgemenskapen kritiserar FIPP för att vara för svaga, tillåta för många undantag, att inte kräva en integritetsbyrå, att inte ta hänsyn till svagheterna i självreglering och inte hålla jämna steg med informationsteknologin. Många integritetsexperter har efterlyst omnibus integritetsskyddslagstiftning i USA i stället för den nuvarande blandningen av självreglering och selektiv kodifiering inom vissa sektorer.

Kritiker ur ett affärsperspektiv föredrar ofta att begränsa FIP till minskade delar av meddelande, samtycke och ansvarsskyldighet. De klagar på att andra element är ogenomförbara, dyra eller oförenliga med principer om öppenhet eller yttrandefrihet.

Vissa kommentatorer hävdar att konsumenterna inte har ett rättvist att säga till om i samtyckesprocessen. Kunder tillhandahåller till exempel sin hälsoinformation som sitt socialförsäkringsnummer eller sjukkortsnummer när de bokar en tid online för en tandkontroll. Kunder uppmanas vanligtvis att underteckna ett avtal som säger att en "tredje part kan ha tillgång till den information du tillhandahåller under vissa villkor." Vissa villkor anges sällan i någon del av avtalet. Senare kan tredje part dela informationen med sina underordnade institutioner. Tillgången till kundernas personliga information ligger därför utanför deras kontroll.

Se även

externa länkar

Integritet
Principer	Förväntningar på integritet Rätt till privatliv Rätt att bli bortglömd Post mortem integritet
Integritetslagar	Australien Brasilien Kanada Kina Danmark England europeiska unionen Tyskland Ghana Nya Zeeland Ryssland Singapore Schweiz USA Kalifornien , ändrad 2020
Dataskyddsmyndigheter	Australien Danmark europeiska unionen Frankrike Tyskland Indonesien Irland ö av man Norge Filippinerna Polen Sydkorea Spanien Sverige Schweiz Thailand Kalkon Storbritannien
Områden	Konsument Medicinsk Arbetsplats
Informationssekretess	Lag Finansiell Internet Personlig information Personlig identifierare Sociala nätverkstjänster Integritetsförbättrande teknologier Integritetsteknik Sluten omröstning
Påverkansorganisationer	American Civil Liberties Union Centrum för demokrati och teknik Dataproffs för socialt ansvar Datasekretesslab Electronic Frontier Foundation Elektroniskt informationscenter för sekretess Europeiska digitala rättigheter Future of Privacy Forum Globalt nätverksinitiativ International Association of Privacy Professionals NOYB Privacy International
Se även	Anonymitet Kardning Mobiltelefonövervakning Cyberstalking Datasäkerhet Tjuvlyssning Elektroniska trakasserier Global övervakning Identitetsstöld Massövervakning Panoptikon Integritetsteknik Husrannsakningsorder Telefonavlyssning Mänskliga rättigheter Personliga rättigheter
Kategori