Республиканцы в Палате представителей представили SECURE Data Act 21 апреля 2026 года — масштабный федеральный законопроект о конфиденциальности, который отменит все законы о защите данных потребителей на уровне штатов посредством широкого федерального приоритета. В случае принятия, этот закон мгновенно аннулирует CCPA/CPRA Калифорнии, CDPA Вирджинии, CPA Колорадо и системы конфиденциальности примерно 20 других штатов, заменив их единым федеральным стандартом, который будет контролироваться исключительно FTC и генеральными прокурорами штатов — без права граждан на подачу частных исков.
Что такое SECURE Data Act
«Закон об обеспечении и установлении единых прав потребителей и контроля над данными» (SECURE Data Act) был представлен конгрессменом Джойсом из Пенсильвании от имени республиканцев в Палате представителей. На бумаге законопроект предоставляет потребителям пять основных прав: доступ к их личным данным, исправление неточных записей, удаление данных, переносимость данных в удобном формате и возможность отказаться от целевой рекламы и продажи данных. Он также вводит требования по минимизации данных и обязывает получать согласие на обработку чувствительных категорий личной информации. Включен новый реестр брокеров данных под управлением FTC.
Законопроект применяется к организациям, которые обрабатывают данные 200 000 и более потребителей в год и имеют доход от 25 миллионов долларов, или к более мелким организациям, где не менее 25% дохода поступает от продажи персональных данных. Этот порог в 25 миллионов долларов заметно ниже порога в 40 миллионов долларов, предложенного в APRA, что означает, что SECURE Data Act технически охватит больше малых предприятий — хотя на практике критики утверждают, что его более слабые меры защиты сводят на нет этот широкий охват.
Проблема преобладания права: 20 штатов теряют свои законы
Самым важным и спорным элементом SECURE Data Act является пункт о преобладании федерального права. Законопроект аннулирует любой закон или положение штата, которое «относится к» его предмету. Это намеренно широкая формулировка — достаточно широкая, чтобы отменить не только специализированные законы о конфиденциальности потребителей, такие как CCPA, но и потенциально реестры брокеров данных штатов, законы о биометрической конфиденциальности и некоторые отраслевые нормы.
CCPA Калифорнии и его более сильный преемник CPRA представляют собой золотой стандарт законов США о конфиденциальности потребителей. Они дают жителям Калифорнии право знать, какие данные собирают компании, право удалять их, право отказываться от их продажи и, что особенно важно, право на частный иск за определенные сбои в безопасности данных. SECURE Data Act лишит их всего этого, заменив калифорнийскую защиту более слабым федеральным минимумом и лишив граждан возможности независимо защищать свои права через суд.
Для защитников конфиденциальности федеральный приоритет в такой форме представляет собой шаг назад, а не вперед. Аргумент в пользу федерального стандарта заключается в согласованности для компаний, работающих в разных штатах, — но эта логика применима только в том случае, если федеральный стандарт защищает как минимум не хуже самых строгих законов штатов. SECURE Data Act этого не делает. Он разработан для снижения бремени соответствия требованиям для крупных технологических компаний и брокеров данных, а не для усиления прав личности на конфиденциальность.
Отсутствие права на частный иск: Пробел в правоприменении
В соответствии с SECURE Data Act полномочия по обеспечению соблюдения закона полностью возлагаются на FTC и генеральных прокуроров штатов. Право на частный иск отсутствует — это означает, что гражданин США, чьи права на данные были нарушены, не может подать в суд на ответственную компанию. Это сознательный выбор республиканских авторов, который отражает подход, принятый в предыдущих федеральных предложениях о конфиденциальности, таких как APRA.
Практический эффект от отмены частных судебных исков как механизма контроля значителен. FTC хронически недофинансируется по сравнению с масштабами экономики данных, которую ей поручено контролировать. Генеральные прокуроры штатов располагают ограниченными ресурсами и должны отдавать приоритет только самым вопиющим делам. Без угрозы коллективных исков, подаваемых напрямую гражданами, компании сталкиваются с гораздо меньшими финансовыми рисками за нарушения конфиденциальности, и стимул к соблюдению правил соответственно снижается.
Что это значит для вашей цифровой приватности
Если SECURE Data Act будет принят в его нынешнем виде, американцы в штатах, которые в настоящее время имеют надежную защиту конфиденциальности, обнаружат у себя меньше прав, подлежащих защите, и меньше законных средств правовой защиты в случае их нарушения. Модель отказа от целевой рекламы в законопроекте — когда ваши данные собираются по умолчанию, и вы должны активно запрашивать исключение — слабее, чем режимы согласия по умолчанию (opt-in), которые начали изучать некоторые штаты.
С практической точки зрения конфиденциальности это законодательное давление подчеркивает реальность, которую пользователи VPN уже понимают: правовые рамки — это лишь один уровень защиты конфиденциальности, но не единственный, и они не вечны. VPN шифрует ваш интернет-трафик и скрывает вашу активность в сети от провайдера, предотвращая сбор данных на сетевом уровне, который законы о конфиденциальности пытаются регулировать постфактум. Поскольку федеральное законодательство о конфиденциальности под давлением индустрии склоняется к более слабым стандартам, инструменты сетевой конфиденциальности становятся все более важными в качестве базовой защиты.
Законопроект еще должен пройти через комитет и обе палаты Конгресса. Он сталкивается с оппозицией со стороны организаций по защите цифровых прав и штатов, которые вложили значительные средства в свои собственные правовые базы. Калифорния, в частности, вряд ли смирится с федеральной отменой CCPA без серьезной политической борьбы.
