Internetlagstiftning, som ibland kallas cyberlagstiftning, syftar på de rättsprinciper och förordningar som styr användandet av internet. Internetlagar är inte alltid tydliga och okomplicerade eftersom:
Europeiska unionen har en övergripande dataskyddslag som kallas GDPR – General Data Protection Regulation. USA har däremot ingen central dataskyddslag för internet på federal nivå. Istället finns det flera vertikalt inriktade federala dataskyddslagar och flera konsumentinriktade dataskyddslagar inom de olika delstaterna. Denna översikt tittar på några av de viktigaste lagarna för datasäkerhet på internet som du bör känna till.
Trots att den föregick internet kan USA:s sekretesslag, Privacy Act, från 1974 sägas vara grunden för många lagar som reglerar dataskydd och internetsekretess i USA. Lagen antogs med anledning av den mängd personuppgifter som fanns i databaser hos amerikanska myndigheter. Lagen omfattade:
När internet uppfanns ändrades dock definitionen av integritet och det blev nödvändigt att anta nya datasäkerhetslagar gällande elektronisk kommunikation.
Med Federal Trade Commission Act (lagen om inrättande av en federal konkurrensmyndighet) från 1914 grundades USA:s Federal Trade Commission som tillkom för att förbjuda konkurrenshämmande affärsmetoder och orättvisa handlingar eller metoder som påverkar handeln.
Även om FTC inte uttryckligen reglerar vilken information som ska ingå i sekretesspolicyer för webbplatser, använder den idag sina befogenheter för att utfärda förordningar, upprätthålla sekretesslagar och skydda konsumenter. FTC kan till exempel vidta åtgärder mot organisationer som:
FTC spelar en roll i arbetet med att reglera internet, inte minst för att den undersöker vilseledande framställningar från ledande teknik- och sociala medieföretag om integriteten för de data om konsumenter som de samlar in. Till exempel har FTC tidigare undersökt klagomål mot Facebook gällande dess användning av kunddata.
Children's Online Privacy Protection Act (COPPA), lagen om integritetsskydd för barn på internet, från 1998 är en federal lag i USA. Målet med den är att ge föräldrar kontroll över vilken information som samlas in från deras barn på internet. COPPA gäller för operatörer av kommersiella webbplatser och internettjänster (inklusive mobilappar och Internet of Things-enheter) som riktar sig till barn under 13 år och som samlar in personlig information från barn.
Några av de viktigaste kraven i COPPA är:
Lagen härstammar från början av internet-eran men har blivit särskilt relevant i dessa dagar i och med sociala medier och automatiserad annonsering. En nyckelfråga för COPPA är i vilken utsträckning en webbplats 'riktas' till barn under 13 år. I USA analyserar Federal Trade Commission webbplatser baserat på olika kriterier, till exempel:
Vissa webbplatser och webbtjänster tillämpar åldersgränser för användare, så de behöver inte följa COPPA-reglerna. Många sociala nätverk, vars affärsmodell bygger på att samla in och tjäna pengar på användardata, har till exempel satt 13 som lägsta ålder för registrerade användare.
En annan fråga som aktualiseras av COPPA är vad som utgör ”insamling av personlig information”. Att samla namn, adresser och fotografier faller under denna kategori. Mindre uppenbara exempel är beteendeannonser – det vill säga annonser som spårar användarnas beteende över webbplatser och appar – som också utgör insamling av personlig information enligt COPPA. Även om dessa beteendeannonser tillhandahålls av en tredjepartsleverantör är det webbplatsägaren som är ansvarig för dem, om de visas på en webbplats som riktar sig till barn. Med tanke på att beteendeannonser utgör en så stor del av internets ekosystem har detta betydande konsekvenser för webbplatser riktade till barn.
Kaliforniens Consumer Privacy Act (lagen om dataskydd för konsumenter) eller CCPA antogs 2018. Målsättningen med den var att adressera frågan om integritet för konsumenter i Kalifornien genom att utvidga konsumentdataskyddet till internet. CCPA anses vara den mest omfattande internet-inriktade dataskyddslagstiftningen i USA och den har ingen motsvarighet på federal nivå.
Liksom EU:s dataskyddsförordning GDPR ger den konsumenterna rätt att få tillgång till sina data, samt rätten att när som helst få data raderad och välja bort databehandling. CCPA skiljer sig dock från GDPR genom att GDPR ger konsumenterna rätt att få felaktiga personuppgifter korrigerade, vilket CCPA inte gör. Enligt GDPR krävs också uttryckligt samtycke vid den tidpunkt då konsumenter tillhandahåller sina uppgifter. CCPA däremot säger bara att det på webbplatser ska finnas en sekretessanmärkning som informerar konsumenterna om att de har rätt att välja bort insamling av vissa data. Här är några andra bestämmelser i CCPA:
CCPA har en bred definition av vad som utgör personlig information: 'information som identifierar, är relaterad till, beskriver, kan associeras med, eller rimligen kan kopplas, direkt eller indirekt, till en viss konsument eller ett visst hushåll'. Detta liknar GDPR:s vidsträckta syn på personuppgifter.
EU:s allmänna dataskyddsförordning – GDPR – trädde i kraft 2018. Den är ett juridiskt ramverk som anger riktlinjer för insamling och behandling av personuppgifter från personer som bor inom EU. GDPR gäller oavsett var webbplatser är baserade, vilket innebär att den ska följas av alla webbplatser som drar till sig europeiska besökare. GDPR anses vara en av de strängaste lagarna för datasäkerhet som finns i världen.
GDPR anger att användare på webbplatser måste meddelas om vilka data en webbplats samlar in och användarna ska uttryckligen ge sitt samtycke till denna datainsamling. Detta är anledningen till att många webbplatser har popup-fönster som ber användare att godkänna att cookies – små filer som innehåller personlig information såsom webbplatsinställningar och inställningar – samlas in.
Här är några viktiga punkter i GDPR:
Europeiska kommissionen har en detaljerad förklaring av GDPR på sin officiella webbplats. I några uppmärksammade fall har företag dömts att betala stora bötesbelopp för överträdelser av reglerna i GDPR, till exempel när Google fick böter på 57 miljoner dollar på grund av att viktig information var dold när användare konfigurerade nya Android-telefoner. Detta gjorde att användarna inte visste vilka datainsamlingspolicyer de samtyckte till. I ett annat fall fick British Airways böter på 28 miljoner dollar när 500 000 kundbokningsposter stals i ett dataintrång.
USA:s lag om portabilitet och ansvarsskyldighet för sjukförsäkringar (Health Insurance Portability and Accountability Act, HIPAA) från 1996 är en federal lag med inriktning på reglering av sjukförsäkringar och innehåller avsnitt om datasekretess och -säkerhet. Den hindrar vårdgivare, företag och människor som samarbetar med dem från att avslöja konsumenternas hälsoinformation utan deras tillstånd.
När människor pratar om HIPAA syftar de vanligtvis på dess "Privacy Rule", sekretessregelstadgan som antogs 2003. Denna regel infördes delvis på grund av att den amerikanska kongressen uppmärksammat att internet gjort det mer sannolikt med integritetskränkningar inom sjukvård. HIPAA:s sekretessregel ger konsumenter rätt att styra yppandet av sin hälsoinformation, så att de kan berätta för sin vårdgivare vad de får dela med sig av.
HIPAA skyddar dock endast hälso- och sjukvårdsinformation som finns hos specifika typer av vårdgivare. Hälsoinformation på träningsmätare (t.ex. GPS-klockor) täcks till exempel normalt inte av HIPAA. HIPAA omfattar inte heller genetiska data som du anger på webbplatser som Ancestry.com. Denna information kan skyddas av annan lagstiftning eller av de sekretessavtal som krävs för många appar, men den skyddas inte av HIPAA.
Gramm-Leach-Bliley-lagen (GLBA) – som även kallas lagen om modernisering av finansiella tjänster – från 1999 är en bank- och finanslag med inslag av datasekretess och -säkerhet. Dess skydd av personlig information bygger på tidigare lagar om konsumenters finansiella data, till exempel kreditupplysningslagen Fair Credit Reporting Act (FCRA).
GLBA skyddar i huvudsak icke-offentlig personlig information, som definieras som all "information som samlas in om en individ i samband med tillhandahållande av en finansiell produkt eller tjänst, såvida den informationen inte på annat sätt är offentligt tillgänglig". Hänvisningen till "offentligt tillgänglig" syftar på fastighetsregister eller viss bolåneinformation som kan vara offentlig.
Enligt GLBA:s "Safeguards Rule" (skyddsregel) krävs att datainsamlare skyddar personlig information och skapar ändamålsenligt dimensionerade datasäkerhetssystem. Stora nationella banker behöver med andra ord ha mer sofistikerade skyddsåtgärder än till exempel en lokal kreditkassa.
Regeln kräver att företag kör regelbundna tester. Dessutom måste de implementera säkerhetsåtgärder i sin dagliga verksamhet, till exempel att köra bakgrundskontroller av medarbetare och upprätta handlingsplaner för dataintrång som förberedelse för eventuella attacker.
GLBA gör det olagligt att använda falska förevändningar. Detta syftar på försök att få obehörig åtkomst till icke-offentlig information. Termen förknippas ofta med social manipulation, till exempel om någon utger sig för att vara en chef, eller för att vara från polisen eller åklagarmyndigheten, för att komma över information. Ett annat exempel på användning av falska förevändningar är nätfiskebedrägerier, som ibland innebär att man skapar falska webbplatser som lurar människor att dela med sig av privat information. GLBA kräver att finansinstitut i sina säkerhetsplaner inkluderar åtgärder som förhindrar användning av falska förevändningar.
Olika jurisdiktioner runt om i världen har sin egen lagstiftning för integritet och datasäkerhet på internet. Brasilien har till exempel "Lei Geral de Proteção de Dados" (LGPD) och Kanada har "Consumer Privacy Protection Act" (CPPA) som båda omfattar i stort sett samma saker som EU:s GDPR och Kaliforniens CCPA.
I USA finns det ingen enstaka omfattande federal lag som reglerar dataskydd. Lagstiftningen som reglerar internet är ett komplext lapptäcke av mer eller mindre sektorspecifika lagar, bland annat lagar och förordningar som reglerar telekommunikation, information inom sjukvården, kreditinformation, finansinstitut och marknadsföring.
Ett av de bästa sätten att skydda din integritet och datasäkerhet på internet är att använda en heltäckande antiviruslösning. En produkt som Kaspersky Total Security blockerar vanliga och komplexa hot som virus, skadlig programvara, utpressningsprogram, spionappar och de senaste aktiviteterna från hackare.
Relaterade artiklar: