Bagaimana undang-undang privasi kami yang sudah ketinggalan zaman menghancurkan aplikasi pelacakan kontak

Pandemi telah mengajari kita banyak hal: Betapa rentannya kita terhadap penyakit yang tidak terkendali. Betapa terpecahnya kita secara politik, bahkan dalam hal melindungi kesehatan kita. Betapa kita telah meremehkan pemberantasan penyakit-penyakit sebelumnya, seperti polio dan cacar. Betapa kami menikmati kebebasan sederhana untuk makan di restoran atau melihat-lihat di toko. Betapa kita mengandalkan interaksi dengan teman dan keluarga untuk kebahagiaan kita sehari-hari.





Saya seorang pengacara privasi, jadi salah satu pelajaran yang saya pelajari dari pandemi ini adalah privasi dan kegagalan aplikasi pelacakan kontak. Musim semi lalu, ketika penyakit ini pertama kali menyebar dengan cepat, aplikasi ini digembar-gemborkan sebagai cara yang menjanjikan untuk mengendalikannya dengan melacak diagnosis dan paparan melalui pelaporan diri dan pelacakan lokasi. Saat itu, Apple dan Google mengumumkan usaha bersama untuk mengembangkan teknologi yang dapat digunakan departemen kesehatan pemerintah untuk membuat aplikasi bagi komunitas mereka, dengan privasi pengguna dan keamanan sebagai pusat desain. Sementara aplikasi ini memiliki sukses campur di seluruh dunia, mereka telah menjadi kegagalan besar di Amerika Serikat. Memang, terlepas dari harapan awal dan berbagai upaya untuk mengimplementasikan aplikasi ini di berbagai negara bagian dan lokal, sebagian besar orang Amerika telah menolaknya, dan mereka telah memainkan peran peran minimal dalam mengendalikan penyakitnya.



Alasan utama kegagalan ini adalah bahwa orang tidak mempercayai perusahaan teknologi atau pemerintah untuk mengumpulkan, menggunakan, dan menyimpan data pribadi mereka, terutama jika data tersebut melibatkan mereka. kesehatan dan keberadaan yang tepat . Meskipun Apple dan Google berjanji untuk membangun langkah-langkah privasi ke dalam desain aplikasi—termasuk pilihan keikutsertaan, anonimitas, batasan penggunaan, dan penyimpanan data hanya di perangkat pengguna—orang Amerika tidak dibujuk. Misalnya, Washington Post/University of Maryland survei dilakukan segera setelah pengumuman aplikasi menemukan bahwa 50% pengguna ponsel cerdas tidak akan menggunakan aplikasi pelacakan kontak meskipun berjanji untuk mengandalkan pelacakan dan pelaporan anonim; 56% tidak akan mempercayai perusahaan teknologi besar untuk merahasiakan datanya; dan 43% bahkan tidak akan mempercayai lembaga kesehatan masyarakat dan universitas untuk melakukannya. Pada bulan Juni, ketidakpercayaan orang Amerika telah meningkat, dengan survei baru menunjukkan bahwa 71% responden tidak akan menggunakan aplikasi pelacakan kontak, dengan privasi disebut sebagai alasan utama.



Masalah privasi bukan satu-satunya alasan aplikasi ini gagal. Seperti yang telah diprediksi para ahli, mereka juga gagal karena alasan lain, termasuk kurangnya pengujian, tidak dapat diandalkannya pelaporan sendiri, dan penyebaran penyakit yang luas dan cepat. Namun, tanggapan orang Amerika terhadap aplikasi ini menunjukkan bahwa privasi sekarang memainkan peran penting dalam pengambilan keputusan mereka. Bertentangan dengan argumen lama bahwa orang mengatakan mereka peduli dengan privasi tapi bertindak seperti mereka tidak (kadang-kadang disebut paradoks privasi ), Amerika menolak untuk menggunakan aplikasi ini sebagian besar karena masalah privasi. Privasi sangat penting.



Orang Amerika punya alasan bagus untuk waspada terhadap pengumpulan data oleh aplikasi ini. Dalam beberapa tahun terakhir, mereka telah menjadi korban lagi dan lagi oleh pelanggaran data dan lainnya pelanggaran privasi (termasuk oleh teknologi besar perusahaan ) terlalu banyak untuk disebutkan. Dalam banyak kasus, undang-undang privasi di negara ini telah gagal untuk melindungi mereka dari pelanggaran ini, baik karena pelanggaran tersebut berada di luar cakupan terbatas undang-undang ini, atau karena undang-undang tersebut memberlakukan hukuman yang tidak memadai atau pemulihan lainnya. Bahaya yang sama muncul sehubungan dengan aplikasi pelacakan kontak. Memang, seperti yang mungkin diketahui oleh pembaca blog ini, AS tidak memiliki undang-undang perlindungan data dasar yang akan melindungi data sensitif yang diperoleh melalui aplikasi ini.



apa zona waktu gmt?

Sementara AS memiliki undang-undang yang melindungi yakin data masuk yakin sektor pasar, undang-undang tersebut memiliki aplikasi terbatas di sini. Faktanya, tidak ada undang-undang AS yang saya ketahui dengan jelas mengharuskan semua data yang dikumpulkan melalui aplikasi pelacakan COVID harus disimpan dan dikirim dengan aman, hanya digunakan untuk tujuan pelacakan COVID, dan dibuang dengan aman saat tidak lagi diperlukan untuk tujuan ini. Tanpa perlindungan seperti itu, tidak ada jaminan bahwa data sensitif ini tidak akan sampai ke tangan perusahaan asuransi, pemberi kerja, kreditur, pencuri identitas, atau penguntit, untuk digunakan dengan cara yang dapat merugikan atau mendiskriminasi individu.



Misalnya, Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA) memberikan perlindungan tertentu untuk informasi medis kami, tetapi hanya jika data dikumpulkan dan digunakan oleh entitas tertutup —yaitu, penyedia medis seperti dokter atau rumah sakit atau rekan bisnis yang membantu melakukan kegiatan medis. Itu tidak terjadi di sini, karena departemen kesehatan negara bagian dan lokal adalah yang mengumpulkan dan menggunakan data. Bagaimanapun, pada bulan April, HHS telah mengumumkan bahwa itu menangguhkan Penegakan dan hukuman HIPAA untuk banyak entitas tercakup yang terlibat dalam langkah-langkah itikad baik untuk memerangi COVID, membuat sebagian besar pertanyaan diperdebatkan dan menunjukkan bahwa HHS memandang aturan privasi kesehatannya sendiri sebagai tidak siap untuk menangani keadaan darurat kesehatan masyarakat.

Undang-undang AS lainnya tidak jauh lebih baik. Itu UU FTC memungkinkan FTC untuk menantang, biasanya setelah fakta, tindakan atau praktik yang tidak adil atau menipu dalam perdagangan—termasuk kesalahan penyajian materi tentang privasi atau keamanan data, atau praktik data yang menyebabkan kerugian konsumen yang signifikan tanpa mengimbangi manfaat. Meskipun undang-undang ini bisa dibilang memiliki penerapan terluas dari undang-undang AS mana pun yang berlaku untuk privasi, undang-undang ini tidak mendekati memberikan perlindungan khusus yang diperlukan di sini—batas yang jelas tentang bagaimana (dan berapa lama) data yang dikumpulkan melalui aplikasi pelacakan COVID dapat digunakan, disimpan, dan dibagikan. Sebaliknya, dalam banyak kasus, ini memungkinkan perusahaan untuk memutuskan sendiri perlindungan privasi apa yang akan diberikan (atau tidak), selama mereka menghindari penipuan dan bentuk kerugian yang nyata. Menambah masalah, Undang-Undang FTC tidak mengizinkan hukuman perdata (diperlukan untuk mencegah kesalahan) kecuali dalam kasus-kasus terbatas.



Jika aplikasi digunakan oleh warga negara bagian atau lokalitas tertentu, maka undang-undang negara bagian atau lokal mungkin berlaku. Namun, melihat sekilas undang-undang negara bagian terkemuka (Undang-Undang Privasi Konsumen California atau CPPA) tidak menjanjikan, karena tidak berlaku untuk agensi pemerintahan yang membangun dan menggunakan aplikasi ini. Bahkan jika CCPA benar-benar berlaku, undang-undang yang melindungi warga negara hanya di satu negara bagian hampir tidak memberikan jaminan privasi yang diperlukan untuk penggunaan aplikasi pelacakan kontak secara nasional secara luas.



Berbulan-bulan setelah pandemi, Kongres berusaha mengisi kekosongan hukum ini dengan memberlakukan undang-undang khusus situasi yang sempit. Pada bulan Mei dan Juni, setelah aplikasi pelacak kontak telah dikembangkan dan digunakan di daerah tertentu, sejumlah senator bergegas untuk mengedarkan. rancangan tagihan untuk mengatur aplikasi dan data sensitif yang mereka kumpulkan. Beberapa dari tagihan ini serius kekurangan dan celah , dan tidak satupun dari mereka membuat kemajuan di Kongres.

Jadi pelajaran apa yang bisa kita ambil dari pengalaman ini? Pertama adalah pelajaran yang jelas, yang disorot di atas, bahwa kekhawatiran tentang privasi memicu ketidakpercayaan publik terhadap aplikasi ini dan membantu memastikan kegagalannya. Selama bertahun-tahun, para pendukung undang-undang privasi yang kuat telah berargumen—seringkali kepada audiens industri yang skeptis—bahwa perlindungan yang kuat diperlukan untuk mempertahankan kepercayaan konsumen di pasar. Pelacakan kontak adalah contoh nyata.



Apa yang terjadi di sini juga mengingatkan kita bahwa standar yang jelas yang mengatur penggunaan data tidak boleh hanya dilihat sebagai pengekangan , tetapi juga sebagai cara untuk memungkinkan penggunaan data yang bertanggung jawab, termasuk penggunaan data untuk keadaan darurat. Dibuat dengan benar, undang-undang privasi harus mengatur dan memandu praktik data kita sehari-hari, serta cara kita menggunakan informasi pribadi untuk memerangi pandemi.



Selain itu, pengalaman kami di sini dengan tepat menggambarkan kekacauan dan kebingungan yang kami hadapi secara rutin saat kami mencoba mengelola privasi di AS—tambal sulam undang-undang yang membuat sebagian besar data kami tidak terlindungi, ketidakpastian tentang undang-undang yang berlaku, upaya tergesa-gesa untuk mengisi kesenjangan dalam panasnya momen, dan mengikis kepercayaan publik.

Secara keseluruhan, semua pelajaran ini membawa kita kembali ke kesimpulan yang sama dengan topik posting blog saya sebelumnya —bahwa kita memerlukan undang-undang privasi federal dasar untuk menetapkan aturan privasi yang jelas dan dapat ditegakkan di seluruh pasar, yang melindungi informasi pribadi kita. di saat senang dan di saat krisis.