Kalifornia kormányzója június végén írta alá a CCPA (California Consumer Privacy Act) néven hivatkozott törvényt, amivel a Szilícium-völgynek is otthont adó államban legelsőként ment át az európai GDPR-re emlékeztető, a felhasználók jogait és a  digitális szolgáltatók felelősségét alapjaiban megváltoztató szabályozás. Bár a közel 40 millió embert érintő törvény csak 2020 januárjában lép hatályba, jelentőségét jól mutatja, hogy a techvállalatok nem csak előzőleg lobbiztak a tervezett szabályozás ellen, hanem a hosszú felkészülési idő ellenére már most a törvényhozókat győzködik a problémásnak ítélt passzusok megváltoztatásáról.

A GDPR-rel való összehasonlításnak nem csak az ad alapot, hogy a CCPA-t részben a május 25. óta érvényes általános európai adatvédelmi rendelet inspirálta. Legfontosabb elemei ugyanis olyan jogokat adnak majd a kaliforniaiaknak, mint a róluk tárolt adatok megtekintése, az adatok törlésének lehetősége, illetve a rendelkezés azzal kapcsolatban, hogy mindezt az információt a szolgáltatók áruba bocsáthatják-e harmadik félnek. A szabályok a legalább 50 ezer magánszemély adataival rendelkező vállalatokra vonatkoznak (vagyis a törvény célja az adatgazdaság nehézsúlyú szereplőinek megregulázása, nem európai mintára az általános csuklóztatás), megsértésük pedig minden egyes esetben 7500 dolláros bírságot vonhat maga után.

Minden csavart meglazítanának a törvényben

A Big Tech, vagyis az információtechnológiai nagyvállalatok lobbija nemrég egy 20 oldalas levélben kereste meg a fontosnak tartott kaliforniai törvényhozókat, amelyet a California Chamber of Commerce (Kaliforniai Kereskedelmi Kamara) és további 37 másik kereskedelmi szervezet jegyez. Ebben elsietettnek nevezik a törvény elfogadását, és olyan kiegészítéseket javasolnak, amelyek rendbe tennék a szövegezés hibáit, ezen felül kezelnék az új törvény mindazon aspektusait, amelyeket vagy kivitelezhetetlennek tartanak, vagy amelyek a törvényalkotó szándéka ellenére is negatív következményekkel járhatnak.

A javaslatok közül néhány azonnal kiverte a biztosítékot a személyiségi jogvédőknél, köztük a mostani kampány eredeti kezdeményezőinél. (Találhatunk köztük a saját vagyonából 2 millió dollárt erre áldozó ingatlanfejlesztőt, volt állami tisztviselőt és CIA elemzőt egyaránt.) A szóban forgó kiegészítések ugyanis, majdhogynem természetes módon, a törvény teljes kiherélését célozzák. Elhagynák például az adatok pontos meghatározásának követelményét, vagy azt a kikötést, hogy azokat az igénylőnek azonnal felhasználható módon kell a rendelkezésére bocsátani.

Szilícium-völgy (Kép: Akcenta CZ)

Ennél is nagyvonalúbb az a megállapítás, hogy a felhasználók egyértelmű azonosítására nem alkalmas adatok nem tartoznak a személyiségi jogi szabályozás illetékességébe. Ez tulajdonképpen a Big Tech vállalatok üzletének alapja: a jogvédők szerint éppen ennek mentén alakulhatott ki a jelenlegi ámokfutás, amikor a szolgáltatók gátlás nélkül gyűjtik és használják a legszemélyesebb felhasználói adatokat, hogy hirdetőiknek olyan pontos eszközöket biztosítson a reklámok targetálására, amiből tényleg csak a fogyasztók pontos neve hiányzik.

A levél egyenesen kivenné a törvény szövegéből azt a részt, ami a felhasználói profilok olyan részeit érinti, mint a fogyasztói preferencia és karakterisztika, a pszichológiai jellemzők, a viselkedés, a hajlamok, az intelligencia vagy a képességek és az alkalmasság vizsgálata. Mindez tulajdonképpen a szóban forgó bizalmas információ legszemélyesebb szegmense. Az a javaslat pedig, hogy a "személyes információ" meghatározása alól ki kell venni az aggregált fogyasztói adatokat, illetve az azonosításra nem alkalmas, álnevesített vagy publikusan is elérhető információt, azt jelentené, hogy a CCPA elfogadása a világon semmiben nem befolyásolná az adatgazdaság jól megszokott üzleti gyakorlatait.

A lehetőség mellé nem adnának eszközöket

A lobbisták azt szeretnék, hogy a törvény tegye világossá: a szolgáltatóknak nem kell egy minden hirdetési megoldásra érvényes opt-out lehetőséget biztosítaniuk a felhasználóknak, akik így nem léphetnek fel megelőző jelleggel adataik védelmében. Ez ugyancsak azt jelentené, hogy a felhasználók kitehetik az ablakba a jogaikat, hiszen személyesen kellene felvenniük a kapcsolatot mindenkivel, aki bármilyen módon az adataikat használja.

Ehhez pedig túl sok segítségre sem számíthatnak: ahogy nemrég mi is beszámoltunk róla, az AP riportja szerint az Android például akkor is naplózza a felhasználók tartózkodási helyét, ha ezt megtiltották neki a "helyelőzmények kezelése és törlése" funkció alatt. A cég ezt a beállítást ugyanis külön termékként definiálja, és a térképszolgáltatáson vagy a keresőn keresztül továbbra is simán követi a felhasználókat.

Azóta a jogi aktivisták is megírták a maguk levelét a törvényhozóknak (a hivatkozás a másik dokumentumhoz hasonlóan a The Register archívumába mutat, de az anyag máshol is elérhető), ebben pedig arra ösztönzik őket, hogy ne nyúljanak a CCPA-hoz, jobban mondva hagyják figyelmen kívül a változtatási javaslatok jelentős részét. Ezek között vannak ugyanis valóban indokolt, technikai jellegű felvetések, amelyeket azonban olyan formába ültettek, hogy azok túlzó és a törvény céljával ellentétes változtatásokat eredményeznének. A levél szerint ami ma állítólagosan "kivitelezhetetlen", az később kivitelezhető lesz, amint a társaságok hajlandóak lesznek alávetni magukat az új szabályozásnak.