美國司法部 (DOJ) 將於 4 月 8 日實施一項重要的新規定,這是旨在捍衛美國國家安全利益的大膽舉措,防止相關國家或相關人員訪問美國敏感個人數據和政府相關數據。新法規是迄今為止最全面的聯邦努力,通過限制對美國出售的大量個人數據的訪問,阻止外國對手獲取美國人的敏感個人和政府相關數據。。
與旨在保護消費者免遭濫用或未經授權訪問個人數據或監管實物商品和國防技術的出口管制的傳統數據隱私法不同,新的司法部法規旨在解決對國家安全的特定且日益增長的威脅。美國政府得出的結論是,某些國家正在利用商業數據來分析、跟踪、影響或脅迫美國公民和政府人員。這些規則創建了一個框架,通過明確禁止或限制特定類型的數據交易來防止此類訪問。
這些規則廣泛適用於涉及直接或間接向與六個“關注國家”(中國、俄羅斯、伊朗、朝鮮、古巴和委內瑞拉)相關實體傳輸敏感數據的商業交易。它們還涵蓋決心代表這些政府或在其指導下行事的個人和組織,即所謂的“相關人員”。
這一監管框架的核心是認識到大規模數據流——特別是在數字廣告、生物技術、金融和醫療保健領域——可能被對手利用。隨著人工智能和大數據分析的興起,像中國這樣的國家已經能夠通過商業經紀人或供應商關係購買或以其他方式獲取大量美國數據。這些數據集經過組合和分析後,可以揭示有關個人行為、軍事行動、情報資產甚至秘密政府設施的敏感且可能有害的信息。
新規則涵蓋的數據類型不僅包括生物識別標識符和人類基因組材料等明顯敏感的信息,還包括孤立來看可能看似良性的數據點。這包括精確的地理位置數據、個人健康信息、財務數據,甚至可以將個人與更廣泛的行為檔案聯繫起來的某些類型的標識符。
當此類數據被批量收集時(司法部根據類別使用低至 100 或 1,000 人的數量閾值定義),它就成為國家安全資產,其轉移或暴露現在受到嚴格的聯邦控制。
例如,根據該規則,涉及超過 1,000 名美國人的生物識別標識符、來自超過 1,000 台美國設備的精確地理位置數據或來自超過 10,000 名美國人的個人健康或財務數據,現在被視為“涵蓋數據”。此外,任何可以與現任或前任聯邦僱員、承包商或高級官員相關的數據,無論數量多少,也都受到限制。
這些閾值旨在捕獲商業數據集,這些數據集雖然是合法收集的,但可用於監視、勒索或分析等目的。
這些規則最重要的影響之一是它們對數據經紀行業的影響。美國司法部對“數據經紀”的定義很廣泛,包括在接收者不直接收集數據的情況下,將數據從一個實體向另一個實體進行的任何銷售、許可或商業轉讓。這包括第三方數據聚合商許可訪問通過移動應用程序、可穿戴設備或在線跟踪工具收集的信息的場景。根據新框架,如果所涉及的個人或國家有可能獲得進入的風險,則可能會禁止此類交易。
司法部將適用的數據交易分為兩類:禁止的和限制的。由於對國家安全構成高風險,被禁止的交易被徹底禁止。其中包括向受關注國家的實體傳輸數據,涉及政府相關的地理位置或大量敏感個人數據。
另一方面,受限交易仍然可能發生,但前提是嚴格的安全要求,旨在確保對手無法訪問數據。這些要求可能包括加密、訪問控制、審核日誌和數據本地化。
如果公司認為現有合規計劃(例如旨在滿足歐洲通用數據保護條例、健康保險流通和責任法案,甚至出口管制規則的合規計劃)將涵蓋在新法規下,那麼這些公司可能會猛然醒悟。司法部強調這些規則在結構和意圖上有所不同。它們以國家安全法為基礎,包括《國際緊急經濟權力法》。對違規行為的處罰反映了該任務的嚴肅性。
事實上,每次違規的民事處罰最高可達 368,136 美元或交易價值的兩倍,以較高者為準。刑事處罰包括每次違規最高 100 萬美元的罰款和最高 20 年的監禁。由於這些處罰是針對每次違規行為進行的,因此從事常規數據經紀或分析活動的公司可能面臨巨大的潛在財務風險。
司法部已明確表示,執法將是強有力且立即的。考慮到涉及的國家安全風險,預計司法部不會為未做好準備的公司提供較長的寬限期或寬大處理,從而給組織帶來壓力,尤其是那些處理大量用戶數據或在醫療保健、國防承包、雲服務和金融科技等領域運營的組織,以評估其風險敞口並迅速採取合規措施。
美國司法部暗示,對許多公司來說,良好的第一步是進行全面審查。這意味著要檢查他們的任何數據活動是否屬於“涵蓋數據交易”的定義範圍,以及他們的數據是否被來自相關國家的外國人或組織直接或間接訪問。公司可能需要修改合同、重組供應商關係或實施新的安全協議,以降低風險並遵守新規則。
該法規背後的緊迫性源於越來越多的證據表明外國對手正在通過合法和非法手段積極收集美國的敏感數據。使用合法獲得的廣告元數據已經表明,美國軍事人員、情報承包商甚至政治領導人的行動都可以被追踪。在一個案例中,從智能手機收集的 36 億個地理定位數據點被用來創建在高度安全的政府設施中工作的個人的“行動檔案”,其中包括據信儲存核武器的地點。
一項學術研究解釋說,“外國和惡意行為者可以使用位置數據集來跟踪或跟踪備受矚目的軍事或政治目標”,從而揭示“敏感地點,例如參觀禮拜場所、賭博場所、診所或同性戀酒吧,這些地點又可以用於分析、脅迫、勒索或其他目的。”該研究進一步解釋說,位置數據集可以揭示“美國軍事基地和未公開的情報站點”或“用於估計世界各地特定地區的軍事人口或部隊集結,甚至確定基地外集會的目標區域。”
其他報告顯示,中國電信和科技公司的內部人員被收錢出售公民個人數據,包括通話記錄、酒店預訂、飛行記錄和銀行信息。更令人不安的是,我們發現甚至總統安全團隊使用的健身應用程序也在洩露美國和外國國家元首的實時位置數據。司法部表示,這些例子說明了數據經濟已在多大程度上成為全球情報和脅迫的戰場。
技術進步放大了這些風險。人工智能、高性能計算和機器學習使外國政府能夠快速處理大量數據集、自動識別目標並大規模部署網絡行動。這2024 年國家反情報戰略明確指出外國對生物識別、基因組、健康、金融和行為數據的興趣,並指出這些數據可能被武器化用於監視、影響或勒索。中國等國家特別積極地獲取此類數據,以支持其人工智能驅動的野心和國家監控機構。
該戰略由國家情報總監辦公室發布,旨在為聯邦政府和反情報界提供戰略方向,以應對外國情報威脅並使反情報優先事項與國家安全戰略保持一致。
儘管威脅很嚴重,但之前沒有任何現有的聯邦框架有權明確阻止或限制此類交易。雖然美國外國投資委員會等實體審查某些涉及外國投資的交易,但其管轄權僅限於特定商業活動,並根據具體情況適用。此前關於信息和通信技術及服務以及互聯軟件應用程序的行政命令也沒有涵蓋現在涉及的全部商業數據傳輸。
美國司法部的新規則旨在通過提供前瞻性、全面的監管制度來填補這一空白。它們為私營部門提供了清晰度和確定性,同時加強了政府保護數據生態系統的更廣泛努力。重要的是,這些規則不具有追溯力,旨在防止未來可能危及美國國家安全的敏感數據的傳輸和暴露。
美國司法部發布了擬議規則制定的預先通知2024 年 3 月擬議規則制定通知2024 年 10 月,收到了來自行業、學術界和民間社會的數十個利益相關者的評論。司法部還直接與企業、貿易協會、倡導團體和外國合作夥伴接觸,以確保徹底了解該規則的意圖和影響。
儘管要求延長評論期,但司法部拒絕了,理由是國家安全威脅的緊迫性以及已經提供了充足的反饋機會。在此過程中諮詢了800多名利益相關者,最終規則的大部分核心要素與最初的提案保持一致。這種一致性強調了司法部的觀點,即拖延只會擴大外國對手利用美國數據的窗口。
文章主題
|||||||
