Закон о защите конфиденциальности водителей (DPPA) - подробный обзор (2026)

Q: В. 16. Распространяется ли DPPA на данные телематики подключённых автомобилей?

Нет. DPPA распространяется только на персональные данные, хранящиеся в записях DMV штата о транспортных средствах, но не на данные, генерируемые бортовыми компьютерами, GPS или системами подключённого автомобиля. Современные автомобили передают огромные объёмы данных (местоположение, скорость, особенности торможения, диагностика) производителям и третьим лицам. Такие данные не являются "записями о транспортном средстве" по смыслу DPPA, поэтому закон их не защищает. Ряд штатов регулирует конфиденциальность телематики через отдельные законы: в Массачусетсе и штате Мэн приняты законы о праве на ремонт и доступе к данным телематики, а правозащитники добиваются принятия федерального закона о конфиденциальности подключённых автомобилей. На данный момент ваши права в отношении данных, генерируемых автомобилем, определяются законодательством штата, политикой конфиденциальности производителя и механизмами отказа, предусмотренными вашим автомобилем, а не DPPA.

Опубликовано: 1 августа 2023 г. • Условия использования и конфиденциальность

Прослушать аудиообзор

Содержание

Введение в DPPA

Закон о защите конфиденциальности водителей (DPPA) - это федеральный закон, принятый в 1994 году для защиты персональных данных, хранящихся в государственных записях о транспортных средствах dmv.ca.gov. До принятия DPPA многие штаты рассматривали записи о транспортных средствах (водительские удостоверения и регистрационные данные) как публичные, то есть персональные сведения были доступны практически любому желающему. DPPA установил национальный базовый уровень защиты конфиденциальности, запретив Департаментам транспортных средств (DMV) штатов раскрывать персональные данные физических лиц за исключением строго определённых, разрешённых законом целей flhsmv.gov. Принятию закона предшествовало нарастание обеспокоенности преступлениями и нарушениями неприкосновенности частной жизни, которым способствовал доступ к информации DMV (например, случаи преследования в 1990-х годах); закон был принят в рамках Закона о контроле над насильственными преступлениями и правоприменении 1994 года.

Если говорить просто, цель DPPA - сохранить конфиденциальность ваших персональных данных (имени, адреса, номера водительского удостоверения) и защитить их от злоупотреблений, при этом позволяя уполномоченным лицам законно использовать эту информацию. Закон обязателен для всех штатов и отменяет действие любых ранее принятых государственных норм, делавших эти записи общедоступными. Верховный суд США признал DPPA законным осуществлением федеральных полномочий, подтвердив, что защита конфиденциальности водителей входит в компетенцию Конгресса по регулированию межштатной торговли govinfo.gov. Сегодня DPPA остаётся краеугольным камнем законодательства о защите персональных данных в США, а понимание его сферы применения и последних событий имеет ключевое значение для понимания того, как обращаются с вашими водительскими данными в 2026 году.

Цели и сфера применения DPPA

Цель: DPPA был разработан для предотвращения ненадлежащего раскрытия персональных данных из файлов DMV. Конгресс намеревался повысить общественную безопасность и защитить конфиденциальность, ограничив доступ к сведениям, которые могут использоваться для нежелательного маркетинга, кражи персональных данных, преследования или иного вреда. Как выражается Департамент безопасности дорожного движения Флориды, DPPA «защищает вашу личную информацию, ограничивая круг лиц, которые могут её получить» flhsmv.gov. Закон фактически балансирует между правом на неприкосновенность частной жизни и законными потребностями в получении информации в сферах правоохранительной деятельности, безопасности транспортных средств и страхования.

Кто обязан соблюдать закон: Закон применяется к каждому DMV штата, а также к его сотрудникам и подрядчикам. Он регулирует деятельность всех, кто получает или использует данные из государственных записей о транспортных средствах - не только самого DMV, но и частных лиц, компаний и государственных органов, запрашивающих или получающих информацию DMV. Иными словами, если лицо или организация получает персональные данные из записей DMV, они обязаны соблюдать установленные DPPA правила обращения с этими данными. (Примечательно, что это также означает следующее: если персональные данные получены иными способами, например если вы лично передали водительское удостоверение или сведения были получены из отчёта о ДТП, DPPA может не применяться, поскольку данные поступили не непосредственно из базы данных DMV штата. DPPA регулирует именно данные из записей DMV.)

Сфера применения - защищаемые данные: DPPA определяет «персональные данные» как любую информацию, идентифицирующую конкретное лицо, которая содержится в записях о транспортных средствах. К ним относятся имя, адрес, номер водительского удостоверения или удостоверения личности, фотография, номер социального страхования (SSN), номер телефона, а также медицинские данные и сведения об инвалидности. Короче говоря, это сведения из вашего водительского удостоверения, регистрационных документов на автомобиль, свидетельства о праве собственности или удостоверения личности штата, которые позволяют вас идентифицировать.

Строго ограниченные персональные данные: В рамках этой категории закон выделяет особую подкатегорию особо чувствительных данных - «строго ограниченные персональные данные». К ним относятся ваши фотография или цифровое изображение, номер социального страхования, а также медицинские данные и сведения об инвалидности. Строго ограниченные данные пользуются повышенной защитой: как правило, они не могут быть раскрыты без явного согласия физического лица, если только не применяется одно из немногочисленных исключений, предусмотренных DPPA (например, для правоохранительных органов). Например, DMV, как правило, не выдаёт вашу фотографию или SSN без судебного постановления или вашего явного разрешения dmv.ny.gov.

Данные, не охватываемые законом: Важно понимать, что DPPA не распространяется на всю информацию, содержащуюся в записях DMV. Закон не защищает сведения о дорожно-транспортных происшествиях, нарушениях правил дорожного движения или статусе водительского удостоверения. Во многих штатах эти сведения считаются общедоступными (как правило, в соответствии с отдельными законами штата). Например, сведения о транспортных правонарушениях, отчёты о столкновениях или информация о приостановлении действия лицензии обычно открыты для публичного ознакомления или доступны заинтересованным лицам. Логика состоит в том, что такая информация касается безопасности дорожного движения и регуляторного статуса, а не персональных данных, позволяющих идентифицировать личность. Многие штаты прямо допускают публичный доступ к сведениям о вынесенных приговорах, нарушениях и статусе лицензии dmv.ca.gov. Защита конфиденциальности по DPPA сосредоточена на персональных идентификационных данных, а не на истории вождения.

Законодательство штата и федеральный закон: DPPA устанавливает минимальный стандарт защиты конфиденциальности на всей территории страны. Штаты вправе (и нередко делают это) вводить дополнительную защиту, выходящую за рамки требований DPPA. Например, некоторые штаты относят к конфиденциальным адреса электронной почты, контакты для экстренной связи и иные сведения, не упоминаемые в DPPA flhsmv.gov. (Так, в Флориде законодательство штата дополнительно защищает контакты для экстренной связи и адреса электронной почты в записях о транспортных средствах.) Штаты также имеют собственные общие законы о конфиденциальности (например, Закон Калифорнии о практике обработки информации), действующие параллельно с DPPA dmv.ca.gov. В следующих разделах рассматривается, как отдельные штаты - в частности, Калифорния и Нью-Йорк - расширяют защиту, предусмотренную DPPA. Однако независимо от места жительства каждый штат обязан соблюдать базовые правила DPPA, обеспечивая конфиденциальность ваших идентификационных водительских данных dmv.ca.gov.

Как работает DPPA: ключевые положения и допустимые цели использования данных

DPPA действует, запрещая раскрытие персональных данных DMV за исключением строго определённых целей, предусмотренных законом. Это создаёт общий режим конфиденциальности с перечисленными исключениями:

Общий запрет на раскрытие информации

Согласно DPPA, DMV штатов не вправе «осознанно раскрывать или иным образом предоставлять» персональные данные из записей о транспортных средствах каким-либо лицам или организациям, кроме случаев, предусмотренных законом. На практике это означает, что DMV вашего штата не может просто выдать ваше имя, адрес или иные защищённые сведения публике или бизнесу без законного основания.

Этот запрет распространяется на всех сотрудников и подрядчиков DMV. Например, клерк DMV не вправе искать чей-либо адрес в базе данных и передавать его другу или продавать маркетологу - это незаконно. DMV также не может публиковать данные водителей в интернете или включать персональные сведения в общедоступные файлы.
Закон косвенно охватывает также тех, кто запрашивает или использует данные DMV. Если кто-то вводит в заблуждение относительно своей личности или цели, чтобы получить записи DMV (или получает данные для разрешённой цели, но затем использует их не по назначению), он нарушает DPPA. Специальная норма закона (18 U.S.C. § 2722) прямо запрещает получение данных под ложным предлогом и устанавливает санкции за злоупотребление. Таким образом, незаконным является как раскрытие, так и получение данных DMV ненадлежащим образом.

Строго ограниченные данные: Как уже отмечалось, закон ещё строже регулирует строго ограниченные персональные данные (фотографии, SSN и т.д.). DMV вовсе не вправе раскрывать эти сведения, если только вы не дали явного согласия или запрос не подпадает под одно из немногочисленных исключений DPPA. Многие DMV идут ещё дальше по своей политике: так, DMV Нью-Йорка не предоставляет фотографии, SSN или медицинские данные даже лицам, имеющим допустимую цель, если только суд специально не предписал это dmv.ny.gov. В таких случаях уполномоченная сторона (например, страховая компания, расследующая претензию) для получения SSN или фотографии водителя должна воспользоваться судебным процессом (например, судебной повесткой), а не стандартным запросом в DMV.

Исключения: допустимые цели использования данных DMV

Если общим правилом является запрет на раскрытие, DPPA предусматривает 14 допустимых целей, при которых персональные данные могут быть переданы без согласия физического лица. Эти исключения охватывают различные законные потребности в получении данных о водителях. Ключевые допустимые цели включают:

Государственные органы и правоохранительные структуры: Доступ для любого государственного органа (федерального, штата или местного), включая суды и правоохранительные органы, осуществляющих свои официальные функции. Это означает, что полиция и иные органы вправе проверять водительские записи при расследованиях, остановках транспортных средств, проверках биографических данных и т.д. (Например, сотрудник полиции вправе в ходе остановки транспортного средства получить сведения о его владельце по номерному знаку - это допустимое использование согласно DPPA.) Суды могут запрашивать информацию для рассмотрения дел, а органы власти - использовать данные в рамках своих полномочий.
Вопросы безопасности транспортных средств, угонов, выбросов и отзывов продукции: Использование организациями в деятельности, связанной с безопасностью транспортных средств. Это касается производителей автомобилей и комплектующих, а также органов, проводящих отзывы продукции, уведомления о безопасности, мониторинг выбросов или расследования угонов dmv.ca.gov. Например, если производитель автомобилей должен уведомить владельцев о проблеме безопасности или несоответствии нормам выбросов, DMV вправе предоставить имена и адреса для этой цели. (Производители автомобилей регулярно используют данные DMV для рассылки уведомлений об отзывах нынешним владельцам транспортных средств flhsmv.gov.)
Законные потребности бизнеса в сделках, инициированных самим физическим лицом: Использование в обычном ходе деловой деятельности для проверки достоверности предоставленных вами персональных данных или их исправления в случае ошибки, но только для определённых целей. Это, как правило, применяется при предотвращении мошенничества или взыскании долгов. Например, если при подаче заявки на кредит вы предъявили водительское удостоверение, банк может сверить ваши данные с DMV. Если сведения расходятся, банк вправе обратиться в DMV за корректными данными, но исключительно для предотвращения мошенничества или взыскания долга. Бизнес должен иметь предварительную сделку с вами (инициированную вами) и использовать данные только для подтверждения сведений или применения правовых мер (например, в случае дефолта и необходимости установить ваше местонахождение). Это положение ограничивает использование данными конкретными добросовестными целями.
Судебные разбирательства: Использование в любом гражданском, уголовном, административном или арбитражном производстве в суде или государственном органе, включая вручение судебных документов, расследование в ожидании судебного разбирательства, а также исполнение судебных решений и постановлений. Адвокаты и следователи вправе запрашивать данные DMV, если это необходимо для дела (например, для розыска свидетеля, вручения судебной повестки или исполнения судебного решения). Важно, что в 2013 году Верховный суд США уточнил: данное исключение не является универсальным - оно не распространяется на поиск потенциальных клиентов или привлечение клиентов адвокатами. В деле Maracich v. Spears Суд постановил, что адвокаты, получившие тысячи имён и адресов из DMV для привлечения клиентов в судебный процесс, не подпадают под исключение «в ожидании судебного разбирательства» govinfo.gov. Исключение для судебных разбирательств должно быть связано с реальным или ожидаемым процессом. (Если адвокату нужно связаться с владельцами транспортных средств в рамках уже возбуждённого или неминуемого дела - это допустимо; но использование данных DMV для формирования списка клиентов было признано выходящим за рамки DPPA.)
Научные исследования и статистика: Использование для исследовательской деятельности и составления статистических отчётов при условии, что персональные данные не публикуются и не используются для контакта с физическими лицами. Это позволяет учёным и аналитикам получать массовые данные для исследований (например, в области безопасности дорожного движения), но только в обезличенной форме. Например, университетское исследование может включать данные о возрасте и истории вождения (без имён) для анализа аварийности, однако оно не может публиковать персональные сведения или связываться с водителями.
Страховые цели: Использование страховщиками или организациями страховой поддержки (либо самострахующимися лицами) в связи с расследованием страховых претензий, противодействием мошенничеству, тарификацией или андеррайтингом. Страховые компании используют записи DMV для проверки данных водителей при оформлении полисов, определении страховых премий (история вождения влияет на тарифы) и расследовании аварий и претензий. DPPA прямо предусматривает такую возможность, чтобы страховщики могли эффективно работать. (Пример: после ДТП ваша страховая компания и страховая компания другого участника, скорее всего, обменяются данными о водителях и могут проверить статус лицензии через DMV - это разрешено DPPA для урегулирования претензий и противодействия мошенничеству.)
Уведомление владельцев эвакуированных или задержанных автомобилей: Использование для уведомления владельцев о том, что их автомобиль был эвакуирован или задержан. Эвакуаторные службы или правоохранительные органы вправе получить данные владельца, чтобы направить уведомление. Это необходимая мера защиты прав потребителей.
Лицензированные частные сыщики и охранные службы: Использование лицензированным частным детективным агентством или охранной службой для любой цели, разрешённой DPPA. Это означает, что частные сыщики вправе получать данные DMV, если они делают это для одной из иных допустимых целей из данного перечня (никаких новых прав им не предоставляется, однако они могут получать данные в интересах клиентов - например, для судебного разбирательства или расследования мошенничества). Их доступ не является неограниченным: они по-прежнему обязаны ссылаться на допустимую цель.
Проверка при найме водителей коммерческого транспорта: Использование работодателем (или его агентом/страховщиком) для проверки данных обладателя коммерческого водительского удостоверения (CDL). Работодатели, нанимающие водителей (грузовиков, автобусов и т.д.), вправе проверить статус CDL соискателя и историю вождения в соответствии с требованиями федерального законодательства (49 U.S.C. Chapter 313). Это позволяет компаниям проверять квалификацию коммерческих водителей.
Эксплуатация частных платных объектов: Использование в связи с эксплуатацией частного платного транспортного объекта. Операторы платных дорог (в том числе частных) вправе получать данные о владельцах транспортных средств для взыскания неоплаченных проездов или управления биллингом.
Запросы с согласия (индивидуальные записи): Раскрытие данных с явного согласия физического лица, которого они касаются, для любой цели. Если вы письменно разрешаете это, DMV вправе передать ваши данные указанному вами лицу. Например, вы можете дать согласие на проверку биографических данных, включающую вашу историю вождения, - ваша подпись позволит DMV предоставить её запрашивающей стороне. Явное согласие должно быть конкретным и задокументированным (электронное согласие с ЭЦП также признаётся действительным согласно DPPA).
Запросы с согласия (массовая рассылка/маркетинг): Закон также разрешает штатам раскрывать информацию для массовой рассылки в целях проведения опросов, маркетинга или привлечения клиентов, но только при наличии явного согласия каждого физического лица, чьи данные включены. На практике это означает систему «opt-in» для маркетинга. Изначально DPPA допускал систему «opt-out», однако поправка 1999 года (вступившая в силу в 2000 году) ужесточила требование до получения активного согласия. В результате сегодня DMV не вправе продавать или передавать ваши данные в маркетинговых целях без вашего осознанного согласия (opt-in). Многие штаты и вовсе не предлагают такой возможности, фактически запрещая продажу данных водителей для маркетинга. (Пример: если исследовательская фирма хочет получить массовый список водителей для рассылки опросов или компания - отправлять рекламные письма, DMV потребует подтверждение того, что каждый водитель ответил «да, вы можете передавать мои данные для этой цели».) На практике данное исключение применяется редко: получить согласие миллионов людей практически нереально. По умолчанию DMV не передаёт персональные данные для массовых рассылок или рекламы.
Использование, прямо разрешённое законодательством штата (в связи с транспортными средствами или общественной безопасностью): Универсальное исключение, допускающее раскрытие данных для «любого иного использования, прямо разрешённого законодательством штата, если такое использование связано с эксплуатацией транспортного средства или общественной безопасностью». Это предоставляет штатам определённую гибкость для включения дополнительных случаев, не перечисленных в федеральном законе, при условии, что они соответствуют духу DPPA. Например, закон штата может разрешить использование данных водителей в контексте расследований мошенничества, связанного с автомобилями, или для исследований в области безопасности дорожного движения. (Штаты по-прежнему обязаны соблюдать DPPA в целом; они не могут разрешить нечто, прямо противоречащее DPPA, однако вправе в ограниченных пределах уточнять или расширять отдельные случаи использования.)

Стоит отметить, что лицо, запрашивающее запись DMV другого человека, как правило, обязано подтвердить допустимую цель (обычно путём заполнения и подписания формы), прежде чем DMV предоставит информацию. Например, DMV Флориды требует, чтобы заявители указывали, под какое исключение подпадает их запрос flhsmv.gov. Это позволяет обеспечить документальный след и привлечь к ответственности тех, кто предоставляет ложные сведения для получения данных.

Вторичное раскрытие информации и гарантии

DPPA также регулирует ситуации, возникающие после получения уполномоченным получателем данных DMV. Согласно 18 U.S.C. § 2721(c), уполномоченный получатель вправе перепродавать или повторно раскрывать персональные данные только для другой допустимой цели (при этом он, как правило, обязан вести записи в течение 5 лет о любом лице, которому повторно раскрыл данные, с указанием цели). Например, страховая компания, получившая пакет водительских записей для целей андеррайтинга, не вправе продать эту информацию маркетинговой фирме - это было бы несанкционированным использованием. Закон запрещает последующее злоупотребление данными, распространяя те же ограничения на последующих получателей информации.

Существует несколько нюансов:

Если информация была получена с явного согласия на конкретную цель (исключение (b)(13)), получатель вправе использовать её свободно в соответствии с этим согласием (в том числе для иных целей, поскольку физическое лицо согласилось на раскрытие). Аналогично при согласии на массовый маркетинг (b)(12) получатель вправе повторно раскрывать данные для маркетинга в пределах, допускаемых таким согласием. Однако за рамками этих сценариев с согласием любое дальнейшее предоставление данных должно само по себе соответствовать допустимой цели DPPA.
DPPA допускает введение штатами процедуры отказа (waiver): если кто-то запрашивает персональные данные, не подпадающие под допустимую цель, DMV вправе по своему усмотрению связаться с физическим лицом и спросить, согласно ли оно на раскрытие. Это опциональная норма для штатов - не все её применяют, однако такой механизм предусмотрен законом.
Запрет на принудительное получение согласия: Закон прямо запрещает штатам обусловливать получение услуги отказом от прав по DPPA. Штат не вправе говорить: «Вы должны согласиться на передачу своих данных, иначе вам не выдадут водительское удостоверение». Такое условие запрещено. Решение дать или не дать согласие должно быть добровольным и не может быть предварительным условием для получения лицензии или регистрации. (Штаты вправе взимать небольшую плату за выдачу копии записи при необходимости верификации согласия, однако не вправе принуждать к согласию.)

Таким образом, основная концепция DPPA - конфиденциальность прежде всего: раскрытие данных не допускается, если только не применяется конкретное законное исключение. Эти исключения охватывают большинство распространённых законных потребностей в данных о водителях - от правоохранительной деятельности и судопроизводства до страхования и научных исследований. За их пределами ваши персональные данные в файлах DMV недоступны без вашего разрешения.

Федеральные события и недавние судебные решения (2024-2026)

С момента принятия DPPA в закон вносилось относительно немного изменений, однако на федеральном уровне имели место важные судебные толкования и отдельные законодательные обсуждения, определяющие практику применения закона. По состоянию на 2026 год текст DPPA, по существу, остаётся таким же, каким он был после поправок 2000 года (введших требование opt-in для маркетинга). Конгресс не принимал существенных поправок, специально касающихся DPPA, в последние два десятилетия. Тем не менее закон фигурировал в более широких дискуссиях о конфиденциальности данных, а суды вынесли ряд значимых решений, уточняющих его сферу применения.

Решения Верховного суда: Reno v. Condon и Maracich v. Spears

Верховный суд США непосредственно рассматривал DPPA в двух делах:

Reno v. Condon (2000): Штаты (в данном случае Южная Каролина) оспорили DPPA, утверждая, что он превышает федеральные полномочия и нарушает Десятую поправку. Верховный суд единогласно подтвердил конституционность DPPA, констатировав, что Конгресс правомерно принял его на основании Торговой оговорки, поскольку данные о водителях являются предметом торговли, а их регулирование затрагивает межштатные интересы govinfo.gov. Суд отметил, что DPPA «регулирует перепродажу и повторное раскрытие персональных данных водителей частными лицами, получившими их от DMV штата» govinfo.gov. Иными словами, закон рассматривается как регулирующий деятельность (покупку и продажу персональных данных), затрагивающую межштатную торговлю, а не принуждающий штаты. Решение по делу Reno v. Condon закрепило обязательность DPPA для всех штатов.
Maracich v. Spears (2013): Это дело уточнило сферу применения одного из исключений DPPA. Группа адвокатов получила персональные данные тысяч водителей из DMV штата с целью предложить им присоединиться к коллективному иску против автодилеров. Адвокаты заявляли, что их действия подпадают под исключение об использовании «в связи» с судебным разбирательством или ожидаемым судебным разбирательством. Верховный суд не согласился с этим, постановив, что привлечение клиентов не является допустимым использованием согласно исключению для судебных разбирательств в DPPA govinfo.gov. Решение, принятое большинством пять против четырёх, констатировало, что массовая рассылка адвокатов недостаточно связана с судебным процессом и представляет собой по существу коммерческое привлечение клиентов. Данное решение предупредило адвокатов и иных лиц: допустимые исключения следует толковать узко - необходимо наличие чёткой разрешённой цели, а не просто косвенного или корыстного обоснования.

Эти решения Верховного суда направляют практику нижестоящих судов и штатов в толковании DPPA. Reno подтвердил законность закона, а Maracich закрыл одну потенциальную лазейку.

Уточнение источника данных: что считается «записью о транспортном средстве»

Несколько федеральных апелляционных судов рассматривали вопрос о том, что означает получение информации «из записи о транспортном средстве», что принципиально важно, поскольку DPPA применяется только в этом контексте govinfo.gov. Следует отметить два значимых уточнения:

Данные с физического водительского удостоверения в сравнении с базой данных DMV: Если кто-то получает ваши персональные данные, просто посмотрев на водительское удостоверение или удостоверение личности, которое вы предъявляете, применяется ли DPPA? Ответ отрицательный. В деле Andrews v. Sirius XM Radio Inc. (2019) Девятый апелляционный округ постановил, что DPPA не применяется, если источником персональных данных является водительское удостоверение, находящееся при физическом лице, а не DMV штата lexology.com. В том деле автодилер сканировал удостоверения клиентов и передавал информацию компании Sirius XM в маркетинговых целях. Суд пришёл к выводу, что, поскольку данные были получены непосредственно с удостоверения (с ведома владельца в момент продажи), а не путём запроса в DMV, они не были «получены из записи о транспортном средстве» по смыслу DPPA. Аналогично другие суды (в том числе Второй округ) указали: если физическое лицо добровольно предоставило свои данные из водительского удостоверения кому-либо (охраннику, организации) и это лицо злоупотребило ими, DPPA не обеспечивает защиты, поскольку данные получены не из DMV govinfo.gov. DPPA - это не общий закон о конфиденциальности всей информации, содержащейся в удостоверениях личности: он направлен именно на данные, полученные из источников DMV. (В подобных ситуациях могут применяться другие законы или условия договора, но не DPPA.)
Полицейские отчёты о ДТП и иные записи, не относящиеся к DMV: Смежный вопрос: если персональные данные содержатся в полицейском протоколе, судебном деле или ином документе, не являющемся документом DMV, препятствует ли DPPA его раскрытию? Суды, как правило, констатировали, что DPPA не распространяется на записи, не находящиеся в ведении DMV, даже если они содержат сведения, первоначально поступившие из DMV. Например, во многих штатах используются стандартизированные бланки отчётов о ДТП (как правило, заполняемые сотрудниками правоохранительных органов на месте аварии), которые содержат имена, адреса и номера лицензий водителей. В одном из федеральных дел 2021 года, касавшемся таких отчётов, суд постановил, что, поскольку отчёты были получены не из DMV (ответчики обращались в полицейские архивы) и сами по себе не являются «записями о транспортных средствах» по определению DPPA, DPPA не применяется govinfo.gov govinfo.gov. По существу, как только сведения зафиксированы в отдельном документе (например, в полицейском отчёте, доступном по законам об открытых записях), защита DPPA автоматически «не следует» за этими данными. Это имеет практическое значение: например, некоторые юридические фирмы или компании собирают отчёты о ДТП (находящиеся в открытом доступе) и используют имена и адреса для маркетинга или привлечения клиентов. Суды указали, что DPPA не позволяет заблокировать такую практику, поскольку данные получены не из DMV. Однако если бы эти фирмы дополнительно обратились в DMV за сведениями (например, для сопоставления номерных знаков с владельцами), это уже подпадало бы под действие DPPA.

Эти толкования подчёркивают, что сфера действия DPPA ограничена DMV как источником. Персональные данные могут храниться во множестве мест (в судах, в интернете и т.д.), и DPPA не является универсальным щитом для всех таких данных - он направлен именно на записи о транспортных средствах.

Последние законодательные предложения и обсуждения

На федеральном уровне до 2024 года включительно новые поправки к DPPA не принимались. Основные положения закона остаются такими, как описано выше. Вместе с тем DPPA нередко упоминается в дискуссиях о комплексном законодательстве о защите данных. Законодатели, разрабатывающие более широкие законопроекты о конфиденциальности, ссылаются на DPPA как на пример существующей защиты конкретных видов данных. Например, предложенный в 2023 году Закон об онлайн-конфиденциальности перечислил DPPA наряду с другими отраслевыми законами о конфиденциальности (в сфере здравоохранения и финансов) в составе федеральной системы защиты данных congress.gov. Это свидетельствует об осознании Конгрессом того, что данные водителей уже защищены специальным законом.

Имели место также узкоспециальные предложения по смежным вопросам, например правила регулирования автомобильных «чёрных ящиков» (регистраторов данных о событиях): так, Закон о конфиденциальности водителей 2015 года стал законом, однако он касался права собственности на данные автомобильных «чёрных ящиков», а не записей DMV, несмотря на схожее название congress.gov. Эти инициативы не меняют DPPA, но свидетельствуют о внимании законодателей к конфиденциальности в сфере транспортных средств.

В дальнейшем никаких значимых федеральных нормативных мер, специально направленных на DPPA, в 2024 году и начале 2026 года принято не было. Министерство юстиции (DOJ) отвечает за правоприменение (оно вправе наказывать несоблюдающие закон DMV штатов и возбуждать уголовные дела против умышленных нарушителей), однако в последние годы широко освещаемых мер DOJ или новых нормативных актов по DPPA не было. Закон относительно прост и самодостаточен с точки зрения правоприменения. Федеральный контроль в основном сводился к обеспечению соблюдения DPPA штатами (чего удалось достичь после решения по делу Reno v. Condon) и к позиции по судебным делам по мере необходимости.

2025-2026: всплеск судебных разбирательств в сфере ALPR и скандал с продажей данных DMV

Наиболее значимым событием, связанным с DPPA, в 2025-2026 годах стал всплеск судебных разбирательств против операторов систем автоматического распознавания номерных знаков (ALPR) и коммерческих пользователей данных DMV. Хотя сам текст DPPA не изменился, адвокаты истцов активно применяют его в новых ситуациях, равно как и параллельные законы штатов о конфиденциальности.

Иски против парковок с ALPR (Калифорния, 2025-2026): В феврале 2026 года Первый апелляционный суд Калифорнии вынес решение по делу Bartholomew v. Parking Concepts Inc., согласно которому парковочные гаражи, фиксирующие номерные знаки без надлежащей политики конфиденциальности, могут быть привлечены к ответственности в размере $2 500 за каждое нарушение. Судья Марк Саймонс указал, что «сбор и хранение информации ALPR физических лиц без разработки и публикации требуемой законом политики причиняет вред этим лицам». Решение восстановило в правах иск, отклонённый судом низшей инстанции, и открывает возможность для масштабных коллективных исков против операторов парковок по всему штату.
Коллективный иск против Digital Recognition Network (DRN): Одно из крупнейших дел, связанных с DPPA, включает коллективный иск 23 миллионов жителей Калифорнии против DRN - техасской аналитической компании в сфере ALPR, ежемесячно сканирующей 220 миллионов номерных знаков. Истцы утверждают, что DRN нарушила калифорнийский закон об ALPR, фиксируя данные о номерных знаках (включая дату, время и GPS-координаты) без надлежащего уведомления. Адвокат истцов назвал это дело «первым процессом, выносящим на суд присяжных вопрос о конфиденциальности геолокационных данных» и потенциальным «переломным моментом».
Расследования EFF в отношении Flock Safety (2025): Электронный фонд рубежей (EFF) провёл новаторские расследования сети ALPR компании Flock Safety, выявив систему, создающую условия для массовой слежки с возможностью серьёзных злоупотреблений, включая внедрение технологии постоянного прослушивания. Исследования EFF инициировали расследования на уровне штатов и на федеральном уровне, а также способствовали возбуждению резонансных судебных дел. На протяжении 2025 года в идеологически различных общинах кампании против слежки с помощью ALPR неоднократно одерживали победу.
Разоблачение практики продажи данных DMV (октябрь 2025 г.): Расследование InvestigateTV выявило, что штаты ежегодно собирают миллионы долларов, продавая данные водителей частным сыщикам, брокерам данных и иным третьим лицам - всё в рамках 14 допустимых исключений DPPA. Расследование показало, что коллекторы, частные сыщики и даже маркетинговые фирмы регулярно приобретают оптовые базы данных водителей, что вызывает серьёзные вопросы о том, не стали ли исключения DPPA настолько широкими, что они фактически отменяют само правило. Такие штаты, как Индиана, отреагировали введением законов о прозрачности, обязывающих DMV публично раскрывать доходы от продажи данных.
Коллективный иск против Park Happy (январь 2025 г.): Предложен коллективный иск с утверждением о том, что компания Park Happy незаконно получает персональные данные водителей из DMV для рассылки парковочных штрафов, - это дело проверяет границы понятия «допустимое использование» по DPPA.
Иск против Carfax по DPPA (февраль 2025 г.): Предложен коллективный иск с утверждением о незаконной продаже Carfax отчётов об авариях третьим лицам. Carfax подала ходатайство об отклонении иска, заявив, что DPPA не ограничивает доступ к отчётам о ДТП и что компания никогда не раскрывала информацию «из записей о транспортных средствах». Это дело проверяет границу между отчётами о ДТП и данными DMV - разграничение, сохраняющее ключевое значение в судебной практике по DPPA.

Телематика транспортных средств: следующий рубеж (2026)

Пока DPPA регулирует традиционные записи DMV, параллельно разворачивается борьба за конфиденциальность телематических данных, генерируемых транспортными средствами, - данных о вождении, местоположении и технической диагностике в режиме реального времени, передаваемых подключёнными автомобилями. DPPA их не охватывает, однако они вызывают те же опасения в сфере конфиденциальности.

Право на ремонт в Массачусетсе (решение ожидается в 2026 г.): Федеральный суд должен окончательно разрешить затяжное дело об оспаривании Альянсом автомобильных инноваций народной инициативы 2020 года, которая обязывает автомобили с телематическими системами обеспечивать «совместимую, стандартизированную и открытую платформу» для доступа владельцев и независимых автомастерских к данным, генерируемым транспортным средством. Альянс противодействует этому закону с 2020 года.
Закон о телематике штата Мэн (2026 г.): Мэн стал вторым штатом, принявшим законодательство о праве на ремонт, обязывающее производителей автомобилей предоставлять владельцам и независимым автосервисам диагностические функции и функции технического обслуживания с телематикой «на справедливых и разумных условиях».
Данные подключённых автомобилей и конфиденциальность: Современные автомобили генерируют огромные объёмы данных: историю местоположения, характер вождения, поведение при торможении, звук в салоне. Поскольку эти данные поступают не из DMV (и DPPA не применяется), тот же порыв к конфиденциальности, который в 1994 году породил DPPA, сегодня движет законодательством штатов в сфере телематики транспортных средств в 2026 году. Правозащитники настаивают на модернизации DPPA для охвата данных, генерируемых транспортными средствами, однако соответствующий федеральный законопроект так и не был внесён.

Таким образом, на федеральном уровне DPPA устойчив и определён по состоянию на 2026 год: его текст не изменялся с 2000 года, конституционность подтверждена, а суды продолжают уточнять его толкование в конкретных ситуациях. Наиболее значимым событием является то, как адвокаты истцов творчески применяют DPPA и параллельные законы штатов об ALPR в отношении новых технологий - прежде всего автоматических считывателей номерных знаков и коммерческих пользователей данных DMV, - порождая волну коллективных исков с потенциальной ответственностью в миллиарды долларов. Основная активность сместилась в сторону реализации и правоприменения на уровне штатов, а также частных судебных разбирательств, о чём речь пойдёт ниже.

Реализация DPPA на уровне штатов и различия в подходах

Все штаты обязаны соблюдать DPPA, однако имеют свободу в том, как реализовывать его требования и даже расширять защиту. Многие штаты включили DPPA в свои законы или административные кодексы, нередко предусматривая более строгие меры обеспечения конфиденциальности. Ниже рассматривается, как Калифорния, Нью-Йорк и другие штаты обеспечивают конфиденциальность данных DMV, с акцентом на различия и дополнительные гарантии.

Калифорния: за пределами DPPA - жёсткие правила конфиденциальности штата

Калифорния известна надёжным законодательством о конфиденциальности, в том числе в отношении данных водителей. Штат соблюдает DPPA и дополнительно вводит собственную защиту через Кодекс транспортных средств Калифорнии и иные законы:

DMV Калифорнии связан Законом о практике обработки информации 1977 года (IPA) - законом штата, широко запрещающим государственным органам раскрывать персональные данные в форме, позволяющей идентифицировать конкретное лицо, с учётом определённых исключений dmv.ca.gov. DMV прямо указывает, что соблюдает как DPPA, так и законы штата в целях защиты ваших данных dmv.ca.gov.
Определение персональных данных: Законодательство Калифорнии в целом совпадает с определением DPPA и даже расширяет его. По закону штата «персональные данные» включают, в частности, физическое описание и домашний телефонный номер, помимо стандартных идентификаторов dmv.ca.gov. Практически это означает, что Калифорния считает конфиденциальными ещё более широкий круг данных.
Публичные сведения о вождении и персональные данные: В соответствии с законом (Calif. Vehicle Code §1808) Калифорния делает открытой определённую информацию из водительских записей - конкретно «сведения об официальных действиях, связанных с правом на вождение», таких как судимости, ДТП, статус лицензии (приостановление, аннулирование) dmv.ca.gov dmv.ca.gov. Любой желающий может получить базовую запись о вождении, включающую эти сведения. Однако персональные данные (имя, адрес и т.д.) в целом не являются публичными и исключаются из таких записей или скрываются при отсутствии оснований для исключения dmv.ca.gov. Например, при запросе записи о вождении в Калифорнии публичным лицом в ней может быть указано, что у человека есть нарушения или его лицензия приостановлена, однако адрес не будет указан, если запрашивающая сторона не соответствует одному из исключений.
Конфиденциальность адреса: Согласно Vehicle Code §1808.21, домашние адреса в записях DMV являются конфиденциальными dmv.ca.gov. DMV не раскрывает ваш адрес, за исключением ряда уполномоченных организаций:
- Суды, правоохранительные органы и иные государственные структуры (для официального использования) dmv.ca.gov.
- Страховые компании, финансовые учреждения и адвокаты в случаях, связанных с использованием транспортного средства (например, после ДТП адвокат или страховая компания могут получить адрес для связи со сторонами) dmv.ca.gov. Это аналогично исключениям DPPA для страхования и судопроизводства, закреплённым в законодательстве штата.
- Производители транспортных средств (для отзывов и т.д.), автодилеры (для оформления регистрации), а также, что примечательно, коммунальные предприятия для определения места регистрации электромобиля (с целью планирования электроснабжения или предоставления льгот) и отдельные ограниченные исследовательские или статистические цели dmv.ca.gov dmv.ca.gov. Эти конкретные исключения соответствуют допускаемым DPPA отзывам в целях безопасности и дополнительно предусматривают обмен данными, связанными с электромобилями.
- Отдельные случаи частного применения правил парковки (уникальная особенность Калифорнии: университеты вправе получать сведения для применения правил парковки на кампусе на основании соглашения) dmv.ca.gov.
Физические и медицинские данные: Калифорния прямо защищает любую информацию о физическом или психическом состоянии здоровья и медицинские данные в записях DMV. Согласно Vehicle Code §1808.5, такая информация «не раскрывается за пределами ведомства, за исключением случаев, разрешённых самим лицом или законом» dmv.ca.gov. В деле DMV v. Superior Court (Carmona) подтверждено, что медицинские данные, находящиеся в распоряжении DMV (например, результаты проверки зрения, статус инвалидности для парковочного разрешения и т.д.), являются конфиденциальными dmv.ca.gov. По существу, если иное не предусмотрено законом или судебным постановлением, даже уполномоченные пользователи не могут получить медицинские данные или сведения об инвалидности из DMV Калифорнии. Это согласуется с категорией строго ограниченных данных по DPPA и занимает осторожную позицию: например, если страховая компания запрашивает запись о вождении, Калифорния исключит медицинские данные (например, наличие парковочного разрешения для инвалидов), поскольку они не имеют отношения к большинству целей и защищены законом.
Фотографии и биометрические данные: Калифорния очень строго подходит к защите фотографий. Согласно Vehicle Code §12800.5, ваш снимок из DMV может быть передан только: правоохранительным органам (включая Генерального прокурора, прокуроров округа) для выполнения их функций; государственным защитникам (для расследований); самому лицу, изображённому на фотографии (вы можете запросить копию своей фотографии из удостоверения); лицу, имеющему письменное разрешение физического лица (согласие); в ответ на судебную повестку, прямо требующую предоставления фотографии; или близкому родственнику в случае смерти лица (и даже в этом случае требуется подтверждение факта смерти) dmv.ca.gov dmv.ca.gov. Это более детальное регулирование, чем предусмотрено самим DPPA, фактически обеспечивающее обращение с фотографиями из водительских удостоверений практически как с конфиденциальными материалами правоохранительных органов. Рядовой уполномоченный пользователь (например, страховая компания или работодатель) не может получить копию вашей фотографии из DMV Калифорнии. Даже если DPPA мог бы допустить раскрытие фотографии в соответствии с каким-либо исключением, Калифорния её не предоставляет, кроме как указанным немногочисленным категориям. Аналогично защищены отпечатки пальцев (снятые при оформлении удостоверения): они собираются в целях безопасности и не передаются за пределы DMV, кроме случаев, предусмотренных законом dmv.ca.gov. Калифорния ссылается на дело Верховного суда штата (Perkey v. DMV), подтверждающее эту позицию dmv.ca.gov.
Контактные данные: DMV Калифорнии собирает ваш телефонный номер и адрес электронной почты при подаче заявления на получение лицензии или регистрации, однако по политике ведомства не предоставляет их третьим лицам, кроме случаев, предусмотренных законом dmv.ca.gov dmv.ca.gov. Никакого общего исключения, позволяющего маркетологам получать ваш телефон или электронную почту из DMV в Калифорнии, не существует. Таким образом, Калифорния относит ваш телефон и электронную почту к конфиденциальным данным DMV - аналогично тому, как DPPA относится к адресам.
Категория лицензии и иммиграционный статус: Калифорния выдаёт специальные водительские удостоверения (по закону AB 60) для лиц, не способных подтвердить законное пребывание в США (как правило, лиц без документов). Штат принял меры для защиты информации об этих водителях от злоупотреблений. В частности, при проверке лицензии правоохранительными органами система не указывает иммиграционный статус лица или документы, использованные для получения лицензии dmv.ca.gov. Это исключает, например, возможность сотрудника полиции узнать по ответу DMV, имеет ли водитель лицензию по AB 60 (что могло бы косвенно раскрыть иммиграционный статус). Это законодательная мера штата, выходящая за рамки DPPA и направленная на стимулирование лиц без документов получать права и страховку без опасений, что их данные будут переданы иммиграционным органам. Закон Калифорнии (и закон SB 34 2020 года) прямо ограничивает передачу данных DMV федеральным иммиграционным органам при отсутствии судебного постановления, что соответствует более широкой политике штата в сфере конфиденциальности и «городов-убежищ».

В целом подход Калифорнии являет собой стратегию «двойной страховки»: DPPA обеспечивает базовый уровень, а законы штата добавляют дополнительные уровни конфиденциальности (особенно в отношении особо чувствительных данных - фотографий, медицинской информации и данных, связанных с иммиграционным статусом). В результате это один из наиболее защитительных режимов обращения с данными водителей в стране.

Нью-Йорк: ограниченное раскрытие и особый режим «строго ограниченных» данных

Нью-Йорк также реализует DPPA через законодательство штата и ведомственную политику, имея ряд характерных особенностей:

DMV Нью-Йорка подтверждает, что DPPA «регулирует и ограничивает доступ к информации в записях DMV» dmv.ny.gov. Нью-Йорк определяет персональные данные аналогично федеральному закону: имя, адрес, идентификационный номер водителя, фотография, SSN, номер телефона, медицинские данные и сведения об инвалидности - всё включено dmv.ny.gov.
Запрет на раскрытие фотографий или SSN: Политика DMV Нью-Йорка состоит в том, что ведомство вовсе не будет раскрывать отдельные особо чувствительные персональные данные - фотографии, номера социального страхования, телефонные номера, медицинские данные и сведения об инвалидности не предоставляются даже лицам, имеющим допустимую цель по DPPA dmv.ny.gov. Единственный способ получить эти данные (для кого-либо, кроме DMV или правоохранительных органов) - судебное постановление («so-ordered» судебная повестка, подписанная судьёй) dmv.ny.gov. Это фактически закрывает доступ к таким данным при стандартных запросах по DPPA. Например, если адвокат, расследующий дело, имеет допустимую цель для запроса записи водителя, предоставленная DMV Нью-Йорка запись будет содержать фотографию, SSN, телефон и т.д. в редактированном виде. Это соответствует духу DPPA (такие данные являются строго ограниченными), однако Нью-Йорк устанавливает высокую планку (судебный контроль) для их раскрытия.
Что Нью-Йорк считает публичным: Как и многие штаты, Нью-Йорк не относит отдельные данные о вождении к конфиденциальным по DPPA. DMV Нью-Йорка подтверждает, что DPPA «НЕ ограничивает доступ к сведениям о ДТП, нарушениях правил дорожного движения и статусе водительского удостоверения» dmv.ny.gov. Эти сведения остаются доступными - как правило, по иным каналам (например, по запросу в DMV об истории ДТП или по FOIL-запросу отчёта об аварии).
Сертификация цели и ведение записей: Когда Нью-Йорк предоставляет записи DMV для допустимой цели, получатель уведомляется: если он в свою очередь передаёт эту информацию другой стороне, также имеющей допустимую цель по DPPA, он обязан хранить записи об этой операции в течение пяти лет: кому была передана информация, запись какого водителя и для какой допустимой цели dmv.ny.gov. Это воспроизводит требование DPPA об отслеживании повторного раскрытия информации. DMV Нью-Йорка даже предоставляет соответствующие формы и рекомендации.
Предыдущие владельцы и поиск по номерному знаку: Нью-Йорк подчёркивает, что DPPA препятствует определённым запросам: как правило, нельзя использовать номерной знак или VIN транспортного средства для получения имени или адреса его владельца из DMV, кроме случаев, предусмотренных законом dmv.ny.gov. Аналогично нельзя просто запросить список всех прежних владельцев автомобиля с их именами и адресами (при отсутствии веских оснований). В Нью-Йорке действует специальная форма (MV-15), в которой перечислены допустимые цели и заявители предупреждаются об этих ограничениях dmv.ny.gov.
Обновления законодательства штата: Нью-Йорк периодически обновляет Закон о транспортных средствах и дорожном движении в соответствии с DPPA и потребностями штата. Например, в 2025 году был внесён законопроект (A061), предусматривающий возможность заключения DMV контрактов с отдельными частными организациями для предоставления ограниченных сведений из водительских записей для конкретных целей, однако только при условии соблюдения этими организациями DPPA nysenate.gov. В законопроекте точно перечислены поля данных, которые могут быть переданы (например, номера лицензий, даты нарушений и т.д., но не личные адреса) nysenate.gov, а также требуется обязывающее соглашение о соблюдении DPPA nysenate.gov. Это показывает, как Нью-Йорк стремится обеспечивать необходимые потоки данных (например, передачу данных исследовательской организации), сохраняя при этом в неприкосновенности гарантии DPPA.

Таким образом, Нью-Йорк применяет DPPA строго, нередко предпочитая вообще не раскрывать наиболее чувствительные данные без судебного контроля. Штат также проявляет инициативу в обеспечении соблюдения DPPA при любой оптовой или договорной передаче данных.

Подходы других штатов и примечательные различия

Флорида: До DPPA Флорида (как и ряд других штатов) по умолчанию считала записи о транспортных средствах публичными. В ответ на DPPA Флорида автоматически «блокирует» персональные данные во всех записях о транспортных средствах и водительских удостоверениях flhsmv.gov. DMV Флориды уверяет жителей штата, что «вам не нужно ничего предпринимать для защиты вашей персональной информации» flhsmv.gov. Защита действует по умолчанию: при получении запроса персональные данные скрываются, если только не применяется исключение. Законодательство Флориды (Fla. Stat. §119.0712(2)) формально закрепляет DPPA и приводит аналогичный перечень исключений flhsmv.gov. Флорида также расширила защиту: например, адреса электронной почты и контакты для экстренной связи в файлах DMV защищены по закону штата в дополнение к DPPA flhsmv.gov.

Флорида предоставляет удобные формы для заявителей, указывающих своё исключение (с чётко перечисленными вариантами допустимых целей) flhsmv.gov. Штат также прямо называет примеры тех, кто может получить данные: производители автомобилей для отзывов, страховые компании, эвакуаторные службы, работодатели коммерческих водителей и, конечно, правоохранительные органы flhsmv.gov. Это соответствует перечню DPPA. Подход Флориды демонстрирует строгое соблюдение федерального закона с акцентом на том, что от водителей никаких действий не требуется: конфиденциальность работает в автоматическом режиме.

Нью-Джерси: Комиссия по транспортным средствам Нью-Джерси заявляет, что она «не раскрывает никакой персональной информации без вашего согласия и надлежащей письменной формы-запроса» nj.gov. Это звучит как универсальное требование согласия, однако на практике Нью-Джерси всё же предоставляет данные в случае исключений DPPA (часть которых по своей природе предполагает согласие - например, судебное постановление или страховая претензия). Данное заявление НДЖ означает принципиально строгий подход к нераскрытию - фактически каждый запрос рассматривается с должной осмотрительностью, и необходимо либо согласие субъекта данных, либо подтверждённое исключение. Нью-Джерси, как и многие штаты, публикует краткое изложение DPPA и предоставляет форму (по типу «OPRA» или аналогичную), в которой заявитель обязан указать основание своего запроса. Также подчёркивается, что полученные персональные данные могут использоваться исключительно в целях, связанных с транспортными средствами или безопасностью водителей nj.gov.

Техас: TxDMV (Департамент транспортных средств Техаса) аналогично заявляет, что федеральное законодательство запрещает раскрытие персональной информации широкой публике и что TxDMV будет предоставлять её только для целей, определённых DPPA dmv.ny.gov. В Техасе действует интересная особенность: несколько лет назад штат ввёл Программу конфиденциальности адресов для отдельных категорий защищённых лиц (в частности, жертв насилия), взаимодействующую с DMV для исключения их реальных адресов из публично доступных записей. Это - не элемент DPPA, а дополнительная мера штата по защите жертв.

Висконсин, Индиана, Миссури (практика продажи данных): Эти штаты привлекли внимание своей практикой обращения с раскрытиями, допустимыми по DPPA. Они строго соблюдают исключения DPPA, однако также взимают плату и получают доход от продажи доступа к этим записям (страховым компаниям, работодателям, агрегаторам данных и т.д.). Например, Департамент транспорта Висконсина, по имеющимся данным, собрал свыше $15 млн в 2022 году от продажи данных из водительских записей в рамках исключений DPPA (например, оптовых данных уполномоченным организациям) wmtv15news.com. Бюро транспортных средств Индианы аналогично ежегодно получает десятки миллионов долларов по контрактам и через электронный доступ для уполномоченных пользователей (компании проверки биографических данных, страховые базы данных, эвакуаторные службы и т.д.). Это законно согласно DPPA при условии, что покупатели используют данные исключительно для разрешённых целей (и, как правило, они обязаны подписывать соответствующие соглашения). Однако такая монетизация вызывает вопросы и привела к законодательным инициативам по её ограничению.

Законодательные меры в ответ на продажу данных: Штаты переосмысливают, насколько легко третьи стороны должны получать данные о водителях даже в рамках «допустимых целей», если при этом речь идёт о значительных суммах. Например, законодатели Индианы вносили в 2023 и 2024 годах законопроекты, допускающие право водителей отказаться от передачи своих данных в отдельных случаях или запрет продажи данных отдельных возрастных групп (несовершеннолетних и пожилых) wrtv.com wrtv.com. Хотя по состоянию на 2024 год такие меры ещё не стали законом, Индиана приняла закон, обязывающий BMV ежегодно отчитываться о доходах от продажи данных и их использовании, что повысило прозрачность wrtv.com. Это произошло после того, как публикации показали: за 10 лет BMV собрал около $263 млн от продажи данных водителей wrtv.com wrtv.com. Проблема в том, что большинство водителей не подозревают о таких санкционированных раскрытиях, поскольку всё происходит за кулисами. DPPA допускает их, однако штаты сейчас вынуждены столкнуться с этическими и репутационными вопросами. Вероятно, в будущем больше штатов примут потребительски ориентированные меры.

Правоприменение в штатах: Ряд штатов активно занимается обеспечением соблюдения DPPA в собственных органах власти и местных структурах. Например, Северная Каролина выпустила разъяснения о том, что отчёты о ДТП, составленные правоохранительными органами, однозначно не подпадают под DPPA (при отсутствии соответствующего судебного решения) ncdoj.gov, однако рекомендовала органам осторожно обращаться с персональными данными в любом случае. Имели место случаи дисциплинарного взыскания или уголовного преследования сотрудников штата по государственным аналогам закона за злоупотребление данными DMV.

Таким образом, несмотря на то что DPPA задаёт единый базовый стандарт, такие штаты, как Калифорния и Нью-Йорк, значительно его превышают в отношении определённых категорий данных, а такие штаты, как Флорида и Техас, демонстрируют прозрачное публичное соответствие базовым требованиям. Нарастающая тенденция - осмысление штатами вопроса о пределах допустимой коммерциализации данных DMV даже в рамках DPPA и рассмотрение законодательных мер по расширению конфиденциальности или прозрачности.

Правоприменение и тенденции (2024-2026)

Закон о защите конфиденциальности водителей предусматривает существенные санкции за нарушения и применяется посредством сочетания федеральных мер и частных исков. Рассмотрим, как применяется закон, значимые дела и тенденции вплоть до 2026 года.

Санкции за нарушения

DPPA предусматривает как уголовные, так и гражданско-правовые санкции:

Уголовный штраф: Умышленное нарушение DPPA является федеральным преступлением. Лицо (сотрудник DMV, частное лицо, бизнес и т.д.), которое умышленно получает, раскрывает или использует персональные данные из записи о транспортном средстве в недопустимых целях, может быть оштрафовано федеральным правительством govinfo.gov govinfo.gov. Закон не устанавливает конкретную сумму для физических лиц (указано «штраф в соответствии с настоящим разделом», то есть в порядке, установленном федеральными нормами о санкциях). Лишение свободы в статье о нарушении DPPA не предусмотрено.
Несоблюдение требований DMV штата: Если DMV штата допускает «политику или практику существенного несоблюдения» DPPA, Генеральный прокурор США вправе наложить гражданский штраф до $5 000 в день за каждый день несоблюдения govinfo.gov. Это было задумано как инструмент принуждения штатов к соблюдению закона в период его вступления в силу. На практике, после того как Верховный суд подтвердил конституционность DPPA, штаты привели свою практику в соответствие, и публичных случаев фактического наложения Министерством юстиции штрафа на DMV штата по данному основанию не было.
Гражданские иски (право на иск в частном порядке): DPPA наделяет физических лиц правом подавать иски в федеральный суд, если их данные были получены или раскрыты незаконно govinfo.gov. Любое лицо, чьи персональные данные были использованы ненадлежащим образом, вправе обратиться с гражданским иском против нарушителя (будь то физическое лицо, компания или государственный орган). Суд вправе присудить:
- Фактические убытки или, если их размер трудно определить, «заранее оценённые» убытки в размере не менее $2 500 за каждое нарушение govinfo.gov. Это означает, что даже при отсутствии доказуемого денежного ущерба закон предполагает минимум $2 500 в вашу пользу, если ваши данные были незаконно получены или раскрыты.
- Штрафные убытки за умышленное или грубое нарушение govinfo.gov. Это позволяет наказать за особо тяжкое противоправное поведение.
- Судебные расходы и издержки при выигрыше дела govinfo.gov. Это важно, поскольку стимулирует адвокатов браться за дела по DPPA: нарушитель может быть обязан оплатить юридические расходы истца.
- Любое иное справедливое средство защиты по усмотрению суда.

Эти меры правовой защиты сделали DPPA основой многочисленных коллективных и индивидуальных исков. Например, если брокер данных незаконно получил тысячи записей DMV для маркетинга, ему может грозить коллективный иск на сумму $2 500 за каждое пострадавшее лицо - в совокупности потенциально миллионы долларов. Действительно, в начале 2000-х годов имели место резонансные урегулирования: в деле Kehoe v. Fidelity Federal банк купил данные DMV Флориды для рассылки предложений по автокредитам и в итоге урегулировал коллективный иск водителей на сумму около $50 млн. Это дело в том числе способствовало принятию поправки 2000 года об opt-in для маркетинга.

Другой пример: рассматривались дела о злоупотреблении базами данных DMV сотрудниками правоохранительных органов для поиска информации о людях (иногда в личных целях). Жертвы таких запросов подавали иски по DPPA и добивались урегулирования. Широко известный случай был связан с женщиной-полицейским в Миннесоте, узнавшей, что десятки коллег по всему штату без оснований получали доступ к её фотографии и данным из DMV. Она подала иски против нескольких ведомств и лиц по DPPA. Дело завершилось значительными урегулированиями и привлекло внимание к проблеме «любопытных» запросов в базах данных. Угроза $2 500 за нарушение, умноженных на многочисленные запросы, создала мощный стимул для ведомств обучать и контролировать свой персонал.

Таким образом, у DPPA есть зубы: нарушители могут столкнуться с федеральными штрафами и значительной гражданской ответственностью. Наиболее активно используемым механизмом правоприменения является право на гражданский иск, нередко реализуемое посредством коллективных исков.

Значимые меры правоприменения и дела

Злоупотребления со стороны сотрудников и должностных лиц: По всей стране зафиксирован ряд случаев, когда сотрудники DMV или полицейские неправомерно получали доступ к данным водителей. Это повлекло обвинения по DPPA или гражданские иски. Например, если клерк DMV был уличён в продаже персональных данных похитителям персональных данных, Министерство юстиции могло возбудить уголовное дело. Что касается гражданской ответственности, сотрудники, получавшие доступ к данным без служебной необходимости, стали серьёзной проблемой. Ведомства выплачивали компенсации и внедряли реформы (журналы аудита, требование указывать основание каждого запроса и т.д.). В одном деле Восьмой апелляционный суд подтвердил, что сотрудники, которые искали информацию о лице без служебной необходимости, могут нести индивидуальную ответственность по DPPA; квалифицированный иммунитет к ним не применялся, поскольку закон был однозначно установлен aele.org. Это недвусмысленно сигнализирует: «любопытные» запросы - нарушение не только внутренней политики, но и федерального закона.
Дела брокеров данных и маркетинговые споры: Одни из первых мер правоприменения по DPPA были связаны с исками против брокеров данных и прямых маркетологов. После 2000 года открытое приобретение данных DMV в основном прекратилось. Тем не менее в ряде дел утверждалось, что отдельные компании получали данные под предлогом разрешённой цели, а затем использовали их для маркетинга. В одном деле (Четвёртый округ, 2023) водители получили рекламные письма от фирмы, получившей их данные из записей DMV через отчёты о ДТП. Водители подали иск по DPPA, однако суд вынес решение в пользу ответчика: в основном ввиду того, что информация поступила из отчётов о ДТП (а не напрямую из DMV) и, возможно, с учётом оснований из Первой поправки privacyworld.blog govinfo.gov. Это подтверждает ранее изложенный тезис о том, что способ получения данных имеет принципиальное значение. Однако при очевидном нарушении - например, если компания прямо покупает данные DMV для привлечения клиентов без их согласия - DPPA обеспечивает надёжную основу для иска.
Отчёты о ДТП и привлечение клиентов: В судебной практике прослеживается тенденция: адвокаты или компании используют сведения из полицейских отчётов об авариях для привлечения клиентов (например, адвокаты по делам о причинении вреда здоровью связываются с пострадавшими в ДТП). Некоторые пытались использовать DPPA для пресечения такой практики, однако, как уже отмечалось, суды, как правило, констатировали неприменимость DPPA, поскольку данные были получены не из DMV. Вместо этого штаты прибегали к иным законам (например, во Флориде существует отдельный закон, ограничивающий использование сведений из отчётов о ДТП в целях привлечения клиентов в определённый период после аварии). Таким образом, хотя сам DPPA в этой части не изменился, дискуссия о соотношении конфиденциальности и доступа к данным о водителях продолжается.
Технологии и DPPA: С развитием технологий возникают вопросы о взаимодействии DPPA с новыми источниками данных.
- Автоматические считыватели номерных знаков (ALPR): Устройства, используемые полицией (а иногда и частными субъектами) для сканирования номерных знаков на дорогах. Сами по себе ALPR не нарушают DPPA, поскольку регистрируют номера в публичном пространстве (не обращаясь к DMV). Однако если совпадение ALPR сопоставляется с базой DMV для установления зарегистрированного владельца, такой запрос подпадает под DPPA. Использование правоохранительными органами допустимо. Частное использование сложнее: частная служба контроля парковки может ссылаться на исключение для «платных объектов» или «частной парковки» либо получать данные о владельцах с разрешения штата по закону, однако в общем случае частный субъект должен иметь разрешённое DPPA основание для получения данных о владельце по номерному знаку.
- Мобильные приложения и сканирование: Некоторые приложения могут считывать штрих-код на водительском удостоверении (в котором закодированы данные с карточки). Когда бары проверяют возраст или магазины сканируют удостоверения для верификации возраста - это считывание с удостоверения (а не запрос в DMV), поэтому DPPA не применяется. Однако в штатах, например в Калифорнии, действуют отдельные законы (например, Civ. Code §1798.90.1), ограничивающие использование предприятиями информации, полученной при считывании водительского удостоверения (например, они могут проверить возраст, но не вправе хранить персональные данные). Таким образом, вне DPPA штаты законодательно регулируют эти практики.
- Утечки данных: Если бы DMV штата был взломан или подрядчик раскрыл записи, DPPA, безусловно, оказался бы применимым. Пострадавшие лица потенциально могли бы подать иск, если бы утечка стала следствием умышленного несанкционированного раскрытия (хотя обычно взлом не является «умышленным» со стороны DMV - это скорее нарушение системы безопасности, регулируемое иными законами, в частности законами штатов об уведомлении об утечке). Прецедентного дела по DPPA в связи со взломом пока не было.

Тенденции в 2024-2026 годах

Рост осведомлённости общества: Всё больше водителей узнают о том, что их данные из DMV в определённых ситуациях могут быть переданы третьим лицам (нередко благодаря журналистским расследованиям о Флориде, Индиане и других штатах). Эта осведомлённость создаёт политическое давление в пользу ужесточения контроля. Хотя сам DPPA на федеральном уровне, возможно, не изменится, штаты вводят законопроекты, предоставляющие людям больше контроля, - в частности, возможность отказа от передачи данных, как это уже обсуждается в Индиане indianahousedemocrats.org indianahousedemocrats.org. Вполне вероятно, что сформируется лоскутное одеяло государственных законов, предоставляющих дополнительные возможности отказа или ограничивающих использование штатами тех или иных исключений DPPA.
Прозрачность и подотчётность: Такие штаты, как Индиана, теперь требуют от DMV публично отчитываться о доходах от раскрытия данных wrtv.com. Другие штаты могут последовать этому примеру. Если цифры окажутся значительными, это может вызвать как оборонительную реакцию («нам нужны эти доходы для поддержания низких сборов»), так и негодование общества («мы коммерциализируем конфиденциальность?»).
Продолжение судебных разбирательств: Адвокаты истцов активно отслеживают и возбуждают дела при подозрении на нарушения DPPA. По мере роста цифровых услуг и более активного электронного обмена данными возникает всё больше точек, где могут происходить ошибки или злоупотребления. Например, если технологическая компания каким-либо образом получила массовый дамп записей DMV в обход разрешённых каналов, ей грозит колоссальная ответственность по DPPA. Пока отрасль проявляет осторожность, и крупного технологического скандала, связанного с DPPA, не было, однако закон остаётся надёжным ограничителем.
Взаимодействие с другими законами о конфиденциальности: DPPA соседствует с новыми законами штатов о конфиденциальности потребителей (такими как Калифорнийский закон о конфиденциальности потребителей, Virginia CDPA и др.). Как правило, эти законы исключают государственные данные и сосредоточены на частных компаниях. Однако можно представить ситуацию, когда частная компания хранит данные DMV (например, подрядчик, управляющий записями): DPPA будет регулировать использование этих данных, а компании также придётся учитывать законы штата о конфиденциальности. Кроме того, если Конгресс когда-либо примет всеобъемлющий закон о конфиденциальности, он, вероятно, прямо сохранит DPPA в силе (аналогично тому, как в сфере здравоохранения и финансов выделяются отдельные законы). Таким образом, DPPA является частью более широкой системы защиты конфиденциальности.
Пока никаких крупных федеральных изменений: По состоянию на начало 2025 года в Конгрессе нет законопроектов, готовых к принятию, которые бы кардинально реформировали или обновляли DPPA. Федеральное внимание сосредоточено на более масштабных вопросах конфиденциальности (интернет-данные, конфиденциальность детей и т.д.), а также на распознавании лиц или телематике транспортных средств. DPPA достаточно хорошо работает в своей области, поэтому не является объектом реформ. Единственным направлением, которое в конечном счёте может привлечь федеральное внимание, является продажа данных: если достаточно штатов пожалуются или произойдёт скандал, Конгресс может провести слушания. Пока конкретных действий нет.
Коллективные иски в сфере ALPR: новый рубеж (2025-2026): Наиболее значимая тенденция правоприменения - волна коллективных исков против операторов ALPR, парковочных компаний и аналитических фирм в сфере данных. При $2 500 за каждое нарушение в качестве заранее оценённых убытков дела, касающиеся миллионов отсканированных номерных знаков, несут потенциальную ответственность в миллиарды долларов. Решение Апелляционного суда Калифорнии от февраля 2026 года по делу Bartholomew v. Parking Concepts придало новый импульс адвокатам истцов. Компаниям, использующим данные DMV или технологии ALPR, следует ожидать повышенного риска судебных разбирательств вплоть до 2026 года и далее. Эта тенденция также наглядно демонстрирует, как 30-летний федеральный закон о конфиденциальности продолжает находить новые применения по мере развития технологий, несмотря на то что текст DPPA не менялся с 2000 года.
Реформы в сфере продажи данных DMV на уровне штатов (2025-2026): После журналистских расследований, выявивших, что штаты ежегодно получают миллионы долларов от продажи данных водителей, несколько штатов внесли законопроекты о прозрачности и праве на отказ. Индиана теперь обязала BMV отчитываться о доходах от продажи данных. Правозащитники утверждают, что 14 допустимых исключений DPPA слишком широки для современной экономики данных, где единственное «допустимое» раскрытие может породить цепочку брокеров данных, охватывающую миллионы последующих пользователей.

В заключение отметим: DPPA активно применяется посредством сочетания федерального надзора, государственного правоприменения и частных судебных разбирательств. Тенденции свидетельствуют о стремлении к ещё более высокой защите конфиденциальности на уровне штатов и бдительности в обеспечении того, чтобы исключения DPPA не использовались в корыстных целях. Сегодня водители пользуются значительно более надёжной защитой своих данных DMV, чем до 1994 года, и продолжающиеся усилия по правоприменению направлены на сохранение этого положения - даже по мере возникновения новых вызовов.

Часто задаваемые вопросы (FAQ) по Закону о защите конфиденциальности водителей (2026)

В. 1: Что такое Закон о защите конфиденциальности водителей (DPPA)?
О: DPPA - это федеральный закон, принятый в 1994 году, который защищает конфиденциальность персональных данных в государственных записях о транспортных средствах. Он запрещает DMV штатов раскрывать ваше имя, адрес и иные идентификационные данные публике, допуская доступ только для строго определённых, разрешённых законом целей. По существу, закон сохраняет конфиденциальность ваших записей DMV: только вы сами и лица с законными правами (например, для ряда государственных, связанных с безопасностью или страховых целей) могут получить эту информацию. Закон был принят в ответ на опасения, что свободный доступ к данным DMV способствовал действиям сталкеров, нежелательному маркетингу и иному вреду. Все 50 штатов обязаны соблюдать правила DPPA.

В. 2: Почему был принят DPPA?
О: DPPA был принят в целях повышения общественной безопасности и защиты конфиденциальности посредством устранения пробела в законодательстве об открытых данных. До его принятия многие штаты рассматривали данные водительских удостоверений и регистрационных документов как общедоступные, то есть любой желающий мог запросить адрес или персональные данные в DMV. Это приводило к злоупотреблениям: в частности, трагический случай, когда сталкер получил адрес актрисы из DMV, стал одним из поводов для действий Конгресса. DPPA обеспечивает, чтобы ваши персональные данные не могли быть свободно получены кем угодно, снижая риск слежки, кражи персональных данных, преследования и нежелательного коммерческого использования. Верховный суд подтвердил, что DPPA является надлежащим осуществлением федеральных полномочий по защите конфиденциальности в записях о транспортных средствах govinfo.gov. Кратко: закон был принят для установления границ конфиденциальности в отношении информации, которую каждый из нас обязан сообщать государству (при получении удостоверения или регистрации автомобиля).

В. 3: Какие персональные данные защищает DPPA?
О: DPPA защищает данные, позволяющие идентифицировать вас в записях DMV. К ним относятся:

Имя
Адрес (почтовый адрес; заметим, что 5-значный индекс ZIP сам по себе не защищён DPPA, однако изолированно он, как правило, не идентифицирует личность)
Фотография (и любое цифровое изображение в файле)
Номер социального страхования (если вы предоставляли его в DMV)
Номер водительского удостоверения или удостоверения личности
Номер телефона
Медицинские данные и сведения об инвалидности (например, наличие парковочного разрешения для инвалидов или ограничений на лицензии по медицинским показаниям)

По существу, если информация содержится в вашем водительском удостоверении, разрешении, регистрационных документах на автомобиль или удостоверении личности штата и позволяет идентифицировать вас лично - она охватывается DPPA. Ряд штатов дополнительно относит к защищённым (в соответствии с собственным законодательством) такие данные, как адреса электронной почты или контакты для экстренной связи, переданные в DMV.

Существует также категория «строго ограниченных персональных данных», включающая фотографию, SSN и медицинские данные/сведения об инвалидности. Они пользуются ещё более высоким уровнем защиты: как правило, не могут быть раскрыты без вашего явного согласия, кроме ограниченного круга освобождённых сторон (например, правоохранительных органов).

В. 4: Какая информация не защищена DPPA?
О: DPPA не распространяется на отдельные неличные или связанные с вождением сведения. В частности, он не защищает:

Сведения о ДТП (отчёты об авариях, история столкновений)
Нарушения правил дорожного движения (протоколы, осуждения за DUI, история штрафных баллов)
Статус водительского удостоверения (действительность, приостановление, аннулирование и т.д.)

Эти сведения нередко считаются общедоступными или доступны лицам с законной необходимостью. Например, если кто-то хочет проверить историю вождения продавца подержанного автомобиля или транспортной компании нужно подтвердить статус CDL водителя - это выходит за рамки защиты конфиденциальности по DPPA. Многие штаты имеют отдельные системы или законы для доступа к историям вождения и отчётам о ДТП. DPPA сосредоточен на персональных идентификационных данных, а не на записях о вождении как таковых. Однако даже при доступе к таким публичным записям о вождении персональные данные (имя, адрес), как правило, обрабатываются с осторожностью.

В. 5: Кто вправе получить мои данные из DMV по DPPA?
О: Только определённые лица или организации с конкретными, законными целями могут получить доступ к вашим персональным данным DMV. DPPA перечисляет ряд допустимых целей. Ключевые примеры включают:

Государственные органы и правоохранительные структуры: полиция, суды и государственные органы могут проверять записи для выполнения своих функций (например, при остановке транспортного средства или в ходе расследования).
Страховые компании: для получения данных при андеррайтинге полисов, урегулировании претензий или расследовании мошенничества. В случае ДТП страховщики получат необходимые данные о водителях.
Бизнес для верификации личности: компания может подтверждать персональные данные, которые вы предоставили в ходе сделки. Например, при подаче заявки на кредит или аренде автомобиля компания может проверить через DMV достоверность указанных данных - и, если они расходятся, получить корректные сведения для предотвращения мошенничества или взыскания долга.
Юридическое использование в судах: адвокаты и суды могут получать данные в связи с делом - например, для вручения судебных документов или в качестве доказательства в судебном процессе. (Недопустимы произвольные запросы; данные должны быть связаны с актуальным или потенциальным делом.)
Отзывы транспортных средств и исследования безопасности: производители автомобилей могут получать данные о владельцах для рассылки уведомлений об отзывах или изучения вопросов безопасности. Исследователи могут использовать данные (без личных идентификаторов) для статистических отчётов.
Эвакуаторные службы / уведомление об изъятии автомобиля: если ваш автомобиль эвакуирован, эвакуаторная служба или полиция может получить ваш адрес для уведомления вас о том, как его забрать.
Частные сыщики и охранные службы: они вправе получать данные исключительно для допустимых по DPPA целей - например, расследования мошенничества или ведения судебного дела от имени клиента.
Работодатели коммерческих водителей: компании могут подтверждать данные CDL и историю вождения нанимаемых водителей грузовиков, автобусов и т.д.
Операторы платных дорог: частные (или государственные) платёжные агентства могут получать данные для выставления счетов водителям за проезд или нарушения.

Во всех случаях лицо, запрашивающее информацию, обязано подтвердить свою цель перед DMV, и она должна соответствовать одной из допустимых. Ввод в заблуждение относительно своей личности или цели для получения данных является незаконным.

В. 6: Можно ли узнать владельца номерного знака (или получить чей-либо адрес по номеру)?
О: Как правило, нет - по крайней мере, из праздного любопытства или в личных целях. DPPA запрещает использование номерного знака или VIN для получения персональных данных о владельце за исключением строго определённых законом целей dmv.ny.gov. Это означает, что частное лицо не может прийти в DMV и спросить: «Кому принадлежит автомобиль с номером ABC123?», не имея допустимого основания (которого у рядового гражданина, как правило, нет).

Допустимые основания для запроса по номерному знаку, в частности:

Вы являетесь оператором эвакуатора и ищете владельца для уведомления об эвакуации (допустимо).
Вы являетесь страховщиком или адвокатом, ведущим дело о наезде с места ДТП, и вам нужно установить владельца (допустимо в рамках претензии или судебного разбирательства).
Правоохранительные органы или государственный орган (всегда вправе проверять номера при исполнении служебных обязанностей).

Однако праздное любопытство или личный интерес не являются допустимыми основаниями. DMV Нью-Йорка прямо указывает, что использование номерного знака для получения имени или адреса ограничено DPPA dmv.ny.gov. Если кто-то совершил наезд на ваш автомобиль и скрылся, вы можете передать номер полиции или страховщику - они вправе проверить его. Однако непосредственно вы как частное лицо не можете получить эти данные.

В. 7: Нужно ли мне давать согласие на передачу моих данных? Могу ли я отказаться?
О: В большинстве случаев вам не нужно ничего предпринимать для защиты своих данных - они автоматически защищены DPPA. DMV вашего штата не будет передавать ваши персональные данные неуполномоченным лицам без вашего согласия. Механизм «opt-out» в целом не требуется, поскольку по умолчанию действует режим «opt-in» для большинства раскрытий.

Тем не менее есть ряд нюансов:

Для маркетинговых или коммерческих целей закон требует вашего явного согласия (opt-in) до того, как DMV сможет передать ваши данные. На практике многие штаты вообще не предлагают opt-in для маркетинга. Так что вы не окажетесь в списке рассылки просто потому, что имеете водительское удостоверение, - по крайней мере, из данных DMV. Если штат допускает это, согласие оформляется через специальный флажок или форму, где вы явно соглашаетесь. Если вы проигнорируете такую форму или откажетесь, ваши данные не передаются.
Для иных допустимых целей (страхование, отзывы, правоохранительная деятельность) ваше согласие подразумевается законом: как правило, вы не можете отказаться от таких целей, поскольку они являются неотъемлемой частью функционирования соответствующих систем. Например, управляя автомобилем на общественных дорогах, вы не можете запретить правоохранительным органам проверять ваш номерной знак при необходимости; имея страховой полис, вы не можете помешать страховщику проверить статус вашей лицензии.
Отдельные штаты предоставляют дополнительные возможности: некоторые штаты рассматривают или уже ввели ограниченный opt-out. Например, как упоминалось, Индиана обсуждала предоставление пожилым водителям и несовершеннолетним права отказаться от продажи их данных третьим лицам wrtv.com. Если вы находитесь в таком штате, вас уведомит DMV. Но в рамках самого DPPA, за исключением маркетинга, нет механизма, позволяющего сказать: «Не передавайте мои данные даже для допустимых целей». Подход закона состоит в том, что все допустимые цели по определению не могут быть заблокированы вами.
Вы можете отказать в согласии в тех случаях, когда оно требуется. Если, например, исследовательская фирма запрашивает в DMV ваши данные для рассылки опроса - DMV потребует ваше согласие; вы можете просто его не дать, и ваши данные не будут переданы. Аналогично, если работодатель или арендодатель просит вас подписать форму для проверки вашей истории вождения и вам некомфортно - вы вправе отказаться, однако имейте в виду, что в таком случае они могут принять решение не нанимать вас или не сдавать вам жильё.

Таким образом: никаких действий с вашей стороны для защиты данных DMV от общего раскрытия не требуется flhsmv.gov. Они уже защищены. Согласие потребуется только в особых случаях (маркетинг или если вы лично уполномочиваете кого-либо запросить вашу запись). Разумеется, всегда читайте уведомления от вашего DMV: при обновлении лицензии отдельные штаты могут включать обновлённые уведомления о конфиденциальности или дополнительные опции.

В. 8: Как получить копию своей водительской записи или записи о другом лице?
О:

Своя запись: Вы имеете право на доступ к собственным данным DMV. В каждом штате DMV имеет свою процедуру: как правило, необходимо заполнить форму и предъявить удостоверение личности для запроса водительской или транспортной записи; может взиматься небольшая плата. Согласно DPPA, поскольку это ваша информация, вы вправе её получить. Например, во Флориде физические лица могут запросить историю своего вождения, заполнив специальную форму flhsmv.gov. Многие штаты предлагают онлайн-порталы для заказа вашей водительской записи. При запросе собственной записи персональные данные не скрываются, поскольку это ваши данные.
Запись другого лица: Для получения водительской записи или персональных данных другого лица из DMV необходимо соответствовать одному из исключений DPPA и обычно нужно удостоверить это в форме запроса flhsmv.gov. Например:
- Если вы адвокат или страховой агент, участвующий в деле или претензии, связанной с данным лицом, вы укажете это в форме (допустимое использование для юридических или страховых целей).
- Если вы рядовой гражданин, получить данные другого лица очень сложно, если только оно не даст письменного согласия или у вас нет судебного постановления. Распространённая ситуация - работодатели, запрашивающие записи о соискателях: они либо получают подписанное согласие работника, либо соответствуют критериям законного бизнеса с допустимым использованием (верификация данных для работы, связанной с вождением).
- Представители СМИ или исследователи могут получить доступ к отдельным данным, однако персональные сведения, скорее всего, будут скрыты при отсутствии согласия или весомого законного основания.

Каждая форма штата, как правило, содержит перечень допустимых целей (как правило, повторяющий перечень DPPA): вы отмечаете применимый вариант и подписываете форму. Если ни один вариант не применим, DMV откажет в запросе. Ложное указание основания для получения данных является незаконным. (В ряде штатов это уголовно наказуемо; плюс федеральный закон предусматривает штрафы.)

Таким образом, собственные записи получить несложно. Но получить записи о других лицах без преодоления серьёзных правовых барьеров не получится. Если вы считаете, что имеете веское основание, проверьте сайт DMV вашего штата - там должна быть форма «Запрос записи» (иногда называемая формой запроса по DPPA или запроса конфиденциальности водителя) с указанием критериев. И помните: лицо, чья запись запрашивается, как правило, не уведомляется (кроме отдельных процедур с отказом), поэтому ответственность за проверку запросов лежит на DMV.

В. 9: Каковы санкции за нарушение DPPA?
О: Они могут быть весьма серьёзными:

Уголовные штрафы: Любое лицо, умышленно получающее или передающее персональные данные DMV без разрешения, может быть оштрафовано федеральным правительством govinfo.gov. Хотя закон не устанавливает конкретную сумму за нарушение для физических лиц, штрафы могут достигать $5 000 за нарушение в серьёзных случаях (и потенциально выше по общим федеральным нормам о санкциях в зависимости от обстоятельств).
Убытки по гражданскому иску: Лицо, чьё право на неприкосновенность частной жизни было нарушено, может подать иск против нарушителя в федеральный суд. Суд обязан присудить не менее $2 500 убытков за каждое нарушение (применительно к каждому лицу, чьи данные были использованы ненадлежащим образом) govinfo.gov. Суд может присудить и большую сумму при наличии реального ущерба, а также штрафные убытки в случае умышленного или грубого противоправного поведения govinfo.gov. Нарушитель также, вероятно, будет обязан оплатить судебные расходы и издержки выигравшей стороны govinfo.gov.
Санкции штата: Некоторые штаты предусматривают собственные санкции. Например, сотрудник, злоупотребивший данными DMV, может быть привлечён к уголовной ответственности штата (за компьютерные преступления или должностные нарушения). Применительно к DPPA - основными сдерживающими факторами являются штрафы и нормы об исках.
Примеры правоприменения: Имели место случаи, когда полицейские выплачивали компенсации из собственных средств за нарушения DPPA, а компании в результате коллективных исков несли многомиллионную ответственность. Закон обладает реальной силой и применяется на практике. Кроме того, Генеральный прокурор США вправе наложить на DMV штата штраф до $5 000 в день, если сам государственный орган систематически нарушает требования govinfo.gov (хотя в настоящее время это не применяется, поскольку штаты соблюдают закон).

Таким образом, нарушение не остаётся без внимания. Если вы подозреваете, что ваши данные были незаконно получены или раскрыты (например, вы обнаружили, что компания получила ваши сведения и направила вам спам без какого-либо согласия или допустимой цели), у вас есть правовые инструменты: вы можете сообщить об этом в органы власти и рассмотреть возможность гражданского иска, зная, что закон обеспечивает существенную компенсацию за нарушение вашей конфиденциальности.

В. 10: Изменился ли DPPA недавно (2024-2026) и ожидаются ли изменения?
О: В последние годы существенных изменений в текст DPPA внесено не было - последняя значимая поправка была принята в 2000 году (введено требование явного согласия для продажи данных в маркетинговых целях). Однако 2025-2026 годы ознаменовались всплеском судебных разбирательств, связанных с DPPA и ALPR, коренным образом меняющим практику применения закона. К ключевым событиям относятся: решение апелляционного суда Калифорнии от февраля 2026 года, допускающее коллективные иски на $2 500 за каждое нарушение против парковочных гаражей, сканирующих номерные знаки без надлежащей политики конфиденциальности; коллективный иск с участием 23 миллионов жителей Калифорнии против аналитической компании DRN в сфере ALPR; журналистские расследования, раскрывающие, что штаты ежегодно собирают миллионы, продавая данные водителей частным сыщикам, коллекторам и брокерам данных в рамках исключений DPPA; а также новые законы штатов о телематических данных транспортных средств (право на ремонт в Массачусетсе, закон Мэна о телематике). Хотя сам текст DPPA не изменился, правоприменительный ландшафт претерпел драматические изменения.

Вместе с тем мир вокруг DPPA меняется:

Усилия по принятию федерального закона о конфиденциальности: Конгресс обсуждает комплексное законодательство о конфиденциальности данных, однако эти дискуссии прямо не затрагивают DPPA. В целом предполагается, что при принятии широкого закона о конфиденциальности он, вероятно, сохранит DPPA в силе (как специальный действующий закон). Любой новый федеральный закон может прямо указать, что он не ослабляет защиту, предусмотренную DPPA.
Расширения на уровне штатов: Вместо изменений самого DPPA прослеживается тенденция: штаты принимают собственные законы, дополняющие DPPA. Например, Калифорния добавила защиту данных водительских удостоверений, связанных с иммиграционным статусом, а Индиана рассматривала законы, позволяющие отказаться от продажи данных. Нью-Йорк внёс законопроект о дополнительном контроле за договорной передачей данных DMV с соблюдением требований DPPA nysenate.gov. Это не изменения DPPA, но они меняют контекст его применения.
Судебные толкования: Ежегодно новые судебные решения уточняют понимание DPPA (например, дела о том, что считается «получением из DMV»). Это не изменения текста, однако они влияют на практику его применения. В частности, уточнение о том, что считывание физического удостоверения не подпадает под DPPA, было получено из решения суда 2019 года lexology.com. В 2024 году суды продолжают рассматривать иски по DPPA, однако эпохального дела Верховного суда в обозримой перспективе не предвидится.
Возможные будущие корректировки: Если какая-либо тенденция и может побудить Конгресс пересмотреть DPPA, это, пожалуй, опасения относительно использования данных способами, изначально не предполагавшимися законом. Пока широкого запроса на реформирование не наблюдается. Закон достаточно строг в своём нынешнем виде и пользуется двухпартийной поддержкой.

Таким образом, по состоянию на 2026 год текст DPPA стабилен и не изменён. Следите за новостями в своём штате: местное законодательство может предоставлять вам дополнительные права. Всегда оставайтесь в курсе через официальные каналы (уведомления DMV, законодательные обновления) о любых изменениях, затрагивающих ваши персональные данные.

В. 11: Как DPPA взаимодействует с законами штата, например с правилами конфиденциальности DMV Калифорнии?
О: DPPA устанавливает минимальный уровень защиты, обязательный для всех штатов, однако штаты вправе устанавливать более строгие правила. Если закон штата предоставляет более высокий уровень конфиденциальности, никакого конфликта нет - штат может применять свои более строгие правила параллельно с DPPA. Например:

Калифорния в соответствии с собственным законодательством не будет раскрывать ваш домашний адрес, кроме весьма ограниченных случаев dmv.ca.gov; DPPA мог бы допускать раскрытие в ряде сценариев (например, адвокат по делу о ДТП мог бы его получить - Калифорния допускает это, однако исключения чётко закреплены в законодательстве штата).
Если закон штата попытался бы разрешить нечто, запрещённое DPPA - например, гипотетический закон штата «DMV может продавать данные водителей любому желающему» - он был бы недействителен в силу Supremacy Clause. Однако ни один штат так не поступал с момента принятия DPPA.
Штаты нередко включают исключения DPPA в свои статуты, чтобы сотрудники руководствовались одним чётким сводом правил, удовлетворяющим как федеральному, так и законодательству штата flhsmv.gov.
Итого: применяется более строгое правило. Если DPPA говорит «вы можете раскрыть для цели X», а закон штата гласит «мы не будем раскрывать для цели X» - данные не раскрываются. DPPA не обязывает штат раскрывать информацию; он лишь разрешает это. И наоборот, если закон штата мягче DPPA, DPPA превалирует и предотвращает такое раскрытие.

Для физических лиц это означает: в таких местах, как Калифорния, Нью-Йорк, Нью-Джерси и т.д., вы можете пользоваться ещё более высоким уровнем конфиденциальности, чем гарантирует один лишь DPPA. Вам не нужно разбираться, какой именно закон «работает» в вашем случае - просто знайте, что ваши данные не выйдут наружу, пока не пройдут проверку по всем применимым законам. Это многоуровневая защита.

В. 12: Распространяется ли DPPA на данные, которые я передаю частным компаниям - прокатным агентствам или автодилерам?
О: Не напрямую. DPPA специально регулирует данные в записях, хранящихся в DMV штатов. Когда вы предъявляете водительское удостоверение частной компании (прокатному агентству, гостинице, магазину для проверки возраста и т.д.), DPPA не применяется. Эти компании не являются DMV. Однако:

Эту информацию могут защищать другие законы. Например, во многих штатах существуют нормы, согласно которым бизнес вправе сканировать ваше водительское удостоверение для определённых целей (верификация возраста или личности), однако не может хранить или использовать персональные данные в иных целях. (В Калифорнии и Техасе действуют такие законы, как и во многих штатах, принявших меры против избыточного сбора данных.)
Если частная компания обращается в DMV для проверки или получения сведений о вас, DPPA применяется к такому обращению. Например, автодилер может провести проверку водительского удостоверения через DMV, чтобы убедиться в действительности вашей лицензии перед тест-драйвом, - такой доступ подпадает под DPPA (допустимое использование в целях верификации данных).
Если компания злоупотребляет данными из вашего удостоверения, которые вы ей предоставили лично (например, сотрудник магазина снимает копию и затем преследует вас), DPPA не является инструментом защиты, однако, вероятно, применяются другие законы о конфиденциальности или уголовно-правовые нормы.

Таким образом, DPPA не следует за вашими данными повсюду: он сосредоточен на данных, хранящихся в DMV. Как только вы добровольно предоставляете свои данные частной стороне, DPPA не охватывает это взаимодействие (хотя эта сторона, в свою очередь, не может затем обращаться в DMV за дополнительными сведениями без разрешённой по DPPA цели).

В. 13: Как DPPA влияет на онлайн-сервисы или приложения, которым нужны данные DMV (например, для верификации личности в каршеринге или прокатных сервисах)?
О: Любой онлайн-сервис, желающий получить данные из DMV, должен иметь допустимую цель или ваше согласие:

Некоторые онлайн-сервисы выступают посредниками: например, сервис проверки биографических данных для компаний гиговой экономики может получить доступ к записям DMV. Они обязаны удостоверить цель - например, «проверка занятости для должности водителя» (допустимо с согласия водителя или в соответствии с исключением для бизнеса в части верификации).
Многие процессы верификации личности фактически требуют от вас загрузки или предъявления водительского удостоверения (извлекая данные с карточки), а не запроса в DMV. Как уже обсуждалось, считывание с карточки не охватывается DPPA. Если вы сканируете удостоверение для приложения, DPPA не применяется, но действует политика конфиденциальности приложения.
Если приложение действительно захочет запросить DMV (например, если существует сервис для проверки истории вождения), оно потребует от вас авторизации и воспользуется механизмом DPPA (в ряде штатов есть онлайн-порталы, где вы, как водитель, можете войти в систему и поделиться своей записью с другими лицами по коду согласия).

В целом: DPPA держит официальные базы данных DMV под плотным контролем в цифровую эпоху. Открытого API для произвольных приложений, позволяющего получать данные о водителях, не существует. Любой легитимный обмен данными регулируется и подлежит аудиту.

В. 14: Что делать, если я подозреваю нарушение моих прав по DPPA?
О: Если вы считаете, что кто-то получил или использовал ваши данные DMV ненадлежащим образом:

Сообщите об этом в DMV вашего штата и/или Генеральному прокурору штата. У них может быть подразделение, занимающееся жалобами на нарушения конфиденциальности или мошенничество. Предоставьте как можно больше деталей (например: «Я получил рекламное письмо со ссылкой на мою покупку автомобиля, хотя я никогда на это не соглашался» или «Я узнал, что местный чиновник проверил мои данные без оснований»).
Вы можете подать жалобу в Министерство юстиции США, поскольку DPPA является федеральным законом. Министерство юстиции может расследовать умышленные нарушения, особенно в крупных масштабах.
Проконсультируйтесь с адвокатом по поводу возможного гражданского иска по DPPA. Поскольку закон предусматривает возмещение судебных расходов, многие адвокаты заинтересуются делом при очевидном нарушении, затрагивающем вас (и, возможно, других лиц - это может вылиться в коллективный иск). Адвокат поможет оценить, соответствует ли ваша ситуация критериям.
Сохраняйте доказательства. Если вы получили подозрительную корреспонденцию (например, маркетинговое письмо, указывающее на источник в DMV), сохраните её. При электронном событии сохраняйте письма или скриншоты.
Имейте в виду: некоторые ситуации, воспринимаемые как нарушения, таковыми могут не являться. Например, использование отчётов о ДТП для установления контакта с вами (что может раздражать, но не является нарушением DPPA, если данные не получены из DMV). Адвокат поможет разобраться.

По DPPA действует срок исковой давности 4 года (период для подачи иска) с момента нарушения или его обнаружения. Поэтому действуйте своевременно.

В. 15. Могут ли парковки подать на вас в суд или вы можете подать на них за сканирование номерных знаков?

Это один из самых актуальных вопросов, связанных с DPPA, в 2026 году. Парковочные гаражи, использующие автоматические считыватели номерных знаков (ALPR) для сканирования ваших номеров, всё чаще привлекаются к ответственности по законам штатов об ALPR (например, SB 34 в Калифорнии) и в ряде случаев по теориям DPPA. В феврале 2026 года апелляционный суд Калифорнии постановил, что операторы парковок, хранящие данные номерных знаков без надлежащей политики конфиденциальности, могут быть обязаны выплатить водителям $2 500 за каждое нарушение. Ключевое разграничение: DPPA применяется, когда оператор затем обращается в DMV для сопоставления номера с именем и адресом владельца. Само сканирование номера на парковке не нарушает DPPA (номер виден публично), однако обращение к базе DMV для идентификации владельца - нарушает. Если парковочная компания направляет вам уведомление о нарушении, используя имя и адрес, полученные из DMV, такой доступ должен соответствовать допустимой цели по DPPA; «частное исполнение правил парковки» признано исключением, хотя его объём активно оспаривается в суде.

В. 16. Распространяется ли DPPA на данные телематики подключённых автомобилей?

Нет. DPPA распространяется только на персональные данные, хранящиеся в записях DMV штата о транспортных средствах, но не на данные, генерируемые бортовыми компьютерами, GPS или системами подключённого автомобиля. Современные автомобили передают огромные объёмы данных (местоположение, скорость, особенности торможения, диагностика) производителям и третьим лицам. Такие данные не являются «записями о транспортном средстве» по смыслу DPPA, поэтому закон их не защищает. Ряд штатов регулирует конфиденциальность телематики транспортных средств через отдельные законы: в Массачусетсе и штате Мэн приняты законы о праве на ремонт и доступе к данным телематики, а правозащитники добиваются принятия федерального закона о конфиденциальности подключённых автомобилей. На данный момент ваши права в отношении данных, генерируемых автомобилем, определяются законодательством штата, политикой конфиденциальности производителя и механизмами отказа, предусмотренными вашим автомобилем, а не DPPA.

Источники: Настоящий обзор основан на положениях DPPA (18 U.S.C. §§ 2721-2725 в редакции, действующей по состоянию на 2026 год) и официальных сведениях государственных DMV и правительственных сайтов. Ключевые источники: текст Кодекса США, руководства DMV штатов (в частности, информационный листок DMV Калифорнии о конфиденциальности dmv.ca.gov, краткое изложение DPPA от Департамента безопасности дорожного движения Флориды flhsmv.gov, сведения о доступе к записям DMV Нью-Йорка dmv.ny.gov), а также значимые судебные решения (в частности, дело Reno v. Condon govinfo.gov и Maracich v. Spears по тексту).