За бугром: Что с приватностью данных в США?

Перевод и адаптация материала MIT Technology Review специально для Тпрогер.

США до сих пор живут без единого федерального закона о защите персональных данных. Но в 2024–2025 годах появились первые реальные шаги: регуляторы начали штрафовать брокеров, торгующих локацией пользователей, а штаты принимают собственные законы.

Разбираем, что происходит с приватностью, кто на самом деле зарабатывает на наших данных — и почему новая волна ИИ делает вопрос личной информации критическим.

Начнем с того, что есть сейчас

Каждый день нас отслеживают сотни, а то и тысячи раз — буквально на каждом шагу в цифровом мире.

Куки и трекеры фиксируют каждое нажатие ссылки, каждое перемещение мыши на сайте. В смартфонах — встроенные модули аналитики: они передают разработчикам и рекламным сетям наши координаты, перемещения, время посещения мест. В итоге — данные о нашем поведении и локации объединяются с другими источниками: госреестрами, программами лояльности, утечками из коммунальных сервисов и т.п.

Всё это превращается в детальные досье — персонализированные профили, которые можно покупать и продавать. И чаще всего — без нашего участия и согласия.

Почему это важно

В США растёт консенсус: людям нужны реальные механизмы защиты персональных данных. И единственный способ это обеспечить — принять единый федеральный закон о приватности.

На бумаге такой закон уже существует — American Privacy Rights Act of 2024. Он должен был стать первым крупным прорывом в этой сфере, но… по мере согласований документ настолько упростили, что в итоге он потерял поддержку и республиканцев, и демократов — так и не дойдя до голосования в Конгрессе.

Если бы Россия шла тем же путём, это было бы примерно как принять аналог GDPR, но потом прописать столько исключений, что его можно не соблюдать вовсе. Так и случилось с американским законом: пока обсуждают, кто должен отвечать за защиту данных — компании, пользователи или государство — данные продолжают утекать и продаваться.

Кто торгует нашими данными — и почему это всё ещё законно

За последние месяцы в США появились первые подвижки — пусть и локальные. Государственные регуляторы начали ограничивать возможности дата-брокеров — третьих компаний, которые собирают и перепродают личные данные: от истории покупок до геолокации.

Например, в декабре Федеральная торговая комиссия (FTC) заключила соглашения с двумя такими брокерами — Mobilewalla и Gravy Analytics (включая дочернюю Venntel). Проверка показала, что эти компании продавали информацию о местоположении пользователей, включая координаты больниц, церквей и даже военных баз, — без какого-либо согласия. Теперь им запретили перепродавать подобные данные, за редким исключением.

Это стало продолжением целой серии дел: в 2024 году FTC уже несколько раз штрафовала брокеров за торговлю геоданными, а Минюст предложил запретить продажу «оптом» таких данных иностранным компаниям.

В тот же день, когда FTC объявила о сделках, другое ведомство — Бюро финансовой защиты потребителей (CFPB) — предложило приравнять дата-брокеров к статусу кредитных бюро. Если эта норма вступит в силу, брокеры будут обязаны раскрывать источники и цели сбора данных, а также соблюдать те же стандарты отчётности и защиты, что и банки.

То есть им запретят собирать или передавать чувствительную информацию — например, зарплаты или номера соцстрахования — без законных оснований.

Правда, документу ещё предстоит пройти 90-дневное общественное обсуждение, а судьба его неясна — новая администрация Трампа может заблокировать процесс. Если же норму всё же утвердят, это способно серьёзно ограничить всю индустрию торговли данными.

Сколько вообще таких компаний?

Никто не знает точно. Эксперты оценивают, что в мире работает от 4 до 5 тысяч дата брокеров — причём названия и структуры этих компаний постоянно меняются.

В одной только Калифорнии официальный реестр 2024 года насчитывает 527 зарегистрированных брокеров, из которых около 90 признались, что собирают геолокационные данные.

И все эти данные можно купить.

Рекламодатели — для таргетинга, банки и страховщики — для оценки рисков и поиска мошенников, правоохранительные органы — для отслеживания людей без судебных ордеров.

Даже иностранные структуры спокойно покупают сведения о военных или госслужащих США.

А на сайтах по поиску людей можно заплатить и получить контакты и подробности практически о любом.

Анонимизация, которой никто не верит

Брокеры и их клиенты утверждают, что всё безопасно: мол, данные анонимизируются. Но с геолокацией это почти невозможно — по совокупности точек на карте можно легко понять, где человек живет и где работает. Любая обезличенная информация становится узнаваемой, если её сопоставить с другими базами.

Вспомните продажу баз автономеров или данных из Delivery Club. Формально все обезличены, но на практике всегда можно восстановить личность по нескольким косвенным признакам. Американская проблема — та же, только в масштабе континента.

Как государство пытается изменить индустрию данных

Защитники цифровых прав уже много лет бьют тревогу — индустрия торговли данными остаётся почти неконтролируемой. Особенно остро это бьёт по уязвимым группам: мигрантам, женщинам, людям с ограниченными возможностями. Но недовольство сбором данных объединяет и левых, и правых: теперь тревожатся даже те, кто раньше считал приватность либеральной игрушкой.

Например, конгрессвумен-республиканка Кэти Макморрис Роджерс, глава комитета по энергетике и торговле, возмущалась тем, что Центры по контролю заболеваний (CDC) покупали данные о передвижениях граждан, чтобы анализировать эффективность локдаунов во время пандемии.

Суд, который перевернул разговор о приватности

Но настоящая встряска для Вашингтона произошла после решения Верховного суда по делу Dobbs v. Jackson Women's Health Organization (2022), которое отменило конституционное право на аборт.

Эта история стала точкой перегиба: данные о посещении клиники, о поездках в другой штат или даже просто маршруты по городу — вдруг превратились в улики. Прокуратуры начали использовать такую информацию, чтобы расследовать дела, связанные с абортами, особенно в тех штатах, где они запрещены.

Реакция последовала быстро. Президент Джо Байден подписал исполнительный указ о защите доступа к репродуктивной медицине.

Документ поручил Федеральной торговой комиссии (FTC) разработать меры, которые не позволили бы компаниям передавать данные о посещениях медицинских учреждений и аборт-клиник в руки правоохранительных органов или прокуроров.

Новая администрация и угроза отката регулирования

С января 2025 года в Белом доме снова Дональд Трамп, а обе палаты Конгресса переходят под контроль республиканцев.

Это значит, что судьба всех инициатив по защите данных — под вопросом. В частности, CFPB (Бюро финансовой защиты потребителей), которое предложило приравнять дата брокеров к кредитным бюро, может просто перестать существовать.

Республиканцы давно недолюбливают CFPB

Среди тех, кто призывает удалить бюро, — люди из проекта Project 2025, а также Илон Маск, назначенный Трампом главой нового консультативного органа с ироничным названием — Department of Government Efficiency (Департамент эффективности правительства).

Формально для ликвидации CFPB потребуется закон Конгресса, что вряд ли произойдёт быстро. Но есть и другой путь — Трамп, скорее всего, уволит нынешнего директора и поставит лояльного республиканца, который сможет отменять существующие правила и блокировать новые инициативы.

FTC — беззубый регулятор?

То же самое может коснуться и Федеральной торговой комиссии (FTC). Как объясняет Бен Уинтерс, бывший сотрудник Минюста и директор направления ИИ и приватности в Consumer Federation of America, решения FTC сами по себе не создают прецедента, как судебные.

Чтобы индустрия реально испугалась, нужны постоянные и последовательные проверки — иначе компании быстро поймут, что можно проскочить.

Кроме того, нынешние дела FTC касаются в основном геолокационных данных — а ведь это только малая часть всего, что собирают и перепродают брокеры.

Что будет после ухода Лины Хан

Ключевая фигура последних лет — Лина Хан, нынешняя глава FTC, — уже подтвердила, что покидает пост. Она стала символом нового курса в защите приватности: именно при ней комиссия начала впервые бить по брокерам, а не по мелким сайтам.

Её сменит Эндрю Фергюсон, выбранный Трампом новый председатель FTC.

Фергюсон известен тем, что критиковал дата-брокеров, называя торговлю геолокацией «вторжением в личную жизнь в самой прямой форме». Но у него есть оговорка: Фергюсон против того, чтобы FTC заменяла собой Конгресс. То есть он не хочет, чтобы ведомство издавало квази-законы вместо законодателей.

А значит — если Конгресс не примет федеральный закон о приватности (а пока всё к этому идёт) — реальных изменений может не быть.

Американская регуляторика устроена сложно: без закона от Конгресса даже самые жёсткие действия FTC легко отменяются следующей администрацией. Если регулятор не закреплён на уровне закона, он просто исчезает при смене политического ветра. Сейчас именно это происходит с CFPB и, возможно, с FTC.

Когда федеральный закон не работает — штаты берут всё в свои руки

Пока Конгресс буксует с федеральным законом о приватности, отдельные штаты начали выстраивать собственные правила игры.

И этот процесс уже стал массовым. В 2025 году в силу вступают восемь новых законов о защите данных — и общее их количество по стране достигнет 25.

Ещё несколько штатов, включая Вермонт и Массачусетс, готовят свои варианты на следующий год.

Пока все законы примерно похожи — их можно соблюдать без катастрофических затрат. Но если хотя бы один штат примет достаточно отличающуюся норму, бизнес просто не выдержит — и тогда федеральный закон станет неизбежным способом упростить жизнь компаниям

Вудро Хартцогапрофессор Бостонского университета

Регистрация дата-брокеров и первые реальные проверки

Некоторые штаты уже пошли дальше общих принципов и приняли специальные законы о брокерах данных.

Так, Калифорния, Техас, Вермонт и Орегон требуют, чтобы все компании, торгующие личной информацией, регистрировались в государственном реестре.

Это позволяет хотя бы понять масштаб индустрии и формально ограничить продажу самых чувствительных категорий данных.

Сбор данных под предлогом безопасности

Тема приватности в США давно перестала быть чисто либеральной. Теперь о ней говорят и республиканцы — но с другой стороны: их больше волнует не слежка за гражданами, а утечки данных военнослужащих и чиновников, которые могут использовать иностранные разведки.

Когда государство покупает данные у бизнеса

Многие брокеры, включая Venntel (дочку Gravy Analytics, которую недавно наказала FTC), уже продавали геолокационные данные иммиграционным и пограничным службам — ICE и CBP.

Эти данные использовались для отслеживания и депортации людей, минуя местные законы, запрещающие полиции сотрудничать с федеральными иммиграционными агентствами.

Фактически, власти просто покупают данные, которые им нельзя было бы получить по ордеру, — и таким образом обходят конституционные гарантии.

Закон, который может всё изменить

ACLU и другие правозащитные организации уже несколько лет продвигают законопроект под названием The Fourth Amendment Is Not For Sale Act — в переводе "Четвёртая поправка не продаётся".

Он закрывает движение для дата-брокеров, которое позволяет силовикам покупать личные данные у частных компаний без судебного ордера.

Если закон примут, государство больше не сможет обходить требования Конституции, просто оплачивая доступ к базам.

В апреле 2024 года этот законопроект прошёл Палату представителей — его поддержали 123 республиканца и 93 демократа — но он застрял в Сенате. ACLU надеятся, что новый Конгресс всё же доведёт дело до конца, но многие эксперты настроены пессимистично.

Продавать свои данные ИИ?

Пока юристы спорят о законах и полномочиях, технологии не ждут.

Компании, создающие модели искусственного интеллекта, продолжают собирать тонны данных — в том числе персональных — чтобы обучать нейросети. И вот парадокс: данные заканчиваются.

В идеальном мире пользователи начнут зарабатывать на своих данных — ведь если модели ИИ обучаются на нашем контенте, тексте, поведении, почему бы не получить долю?

Но на практике компании уже начали искать способы обойти законы.

Пример — сделка Reddit и Google: $60 миллионов в год за право использовать пользовательский контент Reddit для обучения моделей ИИ. То есть теперь ваши посты, комментарии и даже мемы — это сырьё для машинного обучения.

Регуляторы пытаются реагировать

В 2024 году FTC выпустила предупреждение для компаний: любые скрытые изменения в политике конфиденциальности, которые позволяют использовать пользовательские данные для обучения ИИ, могут быть признаны «нечестной и обманной практикой».

Но, как отмечают эксперты, всё снова упирается в людей, которые стоят у руля. Если в новом составе FTC не будет кого-то вроде Лины Хан, то даже самые жёсткие заявления останутся просто словами на сайте регулятора.

Что ждёт приватность в 2025 году

Ноябрь 2025-го. У них — новая администрация, новые технологии, но старая проблема: персональные данные американцев (а значит, и всех нас, чьи данные проходят через американские сервисы) по-прежнему легко купить.

Недавние решения FTC против брокеров вроде Mobilewalla и проект постановления CFPB — важные шаги вперёд. Но пока они касаются лишь узкого сегмента — геолокационных данных.

Остальная часть индустрии, от маркетинговых трекеров до ИИ-платформ, продолжает работать по принципу «собирай всё, что можно».

Что могут делать обычные пользователи

В этом смысле 2025 год может стать переломным: либо мы примем, что утечка данных — нормальное состояние мира, либо начнём относиться к личной информации так же серьёзно, как к собственности.

Как минимум —

• проверять настройки приватности в аккаунтах и приложениях,
• выключать историю геолокации,
• использовать шифрованные мессенджеры (Signal, Threema, Session — альтернатива WhatsApp и Telegram для тех, кому важна анонимность),
• и не соглашаться по умолчанию на сбор телеметрии или улучшение качества сервиса.

Это не решит проблему системно, но даёт хоть минимальный контроль над тем, что о нас собирают.