在一個旨在捍衛美國國家安全利益的大膽步驟中,美國司法部(DOJ)將於4月8日實施重要的新法規,,,,防止有關注者或涵蓋的國家訪問我們敏感的個人數據和與政府有關的數據。新規定是迄今為止最艱鉅的聯邦努力,阻止外國對手通過限制訪問美國人的敏感個人和政府相關數據的訪問權限。
與旨在保護消費者免於濫用或未經授權訪問個人數據或調節物理商品和國防技術的出口控制的傳統數據隱私法不同,新的DOJ法規旨在解決對國家安全的特定和日益嚴重的威脅。美國政府得出的結論是,某些國家正在使用市售數據來概況,跟踪,影響或脅迫美國公民和政府人員。該規則創建了一個框架,以通過絕對禁止或限制特定類型的數據交易來防止訪問。
該規則廣泛適用於涉及將敏感數據直接或間接轉移到與六個“關注國家”相關的實體轉移的商業交易:中國,俄羅斯,俄羅斯,伊朗,北朝鮮,古巴和委內瑞拉。他們還涵蓋了決心代表這些政府或在這些政府的指導下行事的個人和組織 - 所謂的“承保人”。
這個監管框架的核心是認識到,對手可以利用大規模數據流,尤其是在數字廣告,生物技術,金融和衛生保健領域的核心。隨著人工智能和大數據分析的興起,中國等國家能夠通過商業經紀人或供應商的關係購買或以其他方式獲取美國數據。這些數據集合併和分析時,可以揭示有關個人行為,軍事行動,情報資產甚至秘密政府設施的敏感且可能損害的信息。
新規則所涵蓋的數據類型不僅包括明顯的敏感信息,例如生物識別標識符和人類基因組材料,而且還包括孤立的數據點。這包括精確的地理位置數據,個人健康信息,財務數據,甚至可以將個人鏈接到更廣泛的行為概況的標識符。
當批量收集此類數據時 - 由司法部使用量閾值低至100或1,000個個人定義 - 它根據類別的不同而成為國家安全資產,其轉移或接觸現在受到嚴格的聯邦控制。
例如,涉及1,000多名美國人的生物識別標識符,來自1,000多個美國設備的精確地理定位數據,或者來自10,000多名美國個人的個人健康或財務數據,現在被視為規則下的“涵蓋數據”。此外,任何可以與現任或前聯邦僱員,承包商或高級官員無關的數據都受到限制。
這些閾值旨在捕獲商業數據集,儘管合法收集,但可以用於監視,勒索或分析等目的。
規則最重要的含義之一是它們對數據經紀行業的影響。司法部廣泛定義“數據經紀”,包括當收件人未直接收集數據時,包括任何銷售,許可或數據轉移到另一個實體。這包括第三方數據聚合器許可通過移動應用程序,可穿戴設備或在線跟踪工具收集的信息的方案。在新框架下,如果有涵蓋的人或關注國家可以進入的風險,則可能會禁止此類交易。
司法部將適用的數據交易分為兩類:禁止和限制。由於其對國家安全的高風險,禁止的交易被完全禁止。其中包括向涉及政府相關的地理位置或批量敏感個人數據的關注國家的實體傳輸數據。
另一方面,限制性交易仍可能發生,但僅在旨在確保對手無法訪問數據的嚴格安全要求下。這些要求可能包括加密,訪問控件,審核日誌和數據本地化。
假定現有合規計劃的公司,例如旨在滿足歐洲一般數據保護法規,《健康保險可移植性和問責制法》,甚至是出口控制規則的公司,將根據新法規涵蓋它們,以免出現粗魯的覺醒。司法部強調,這些規則在結構和意圖上是不同的。它們是基於國家安全法,包括《國際緊急經濟大國法》。不遵守規定的處罰反映了該任務的嚴重性。
實際上,民事處罰每違規行為最高368,136美元,或者是交易價值的兩倍,以較大者為準。刑事處罰可能包括每次違規最高100萬美元的罰款和長達20年的監禁。由於這些罰款適用於每項侵犯,因此從事常規數據經紀或分析活動的公司的潛在財務敞口可能是巨大的。
司法部明確表示,執法將是強大而直接的。鑑於涉及的國家安全風險,司法部預計不會為沒有準備的公司提供長時間的寬限期或寬大處理,這給組織帶來了壓力,尤其是那些處理大量用戶數據或在醫療保健,國防合同,雲服務和金融科技等領域運作的組織,以評估其風險敞口和採用合規性。
司法部暗示,許多公司的第一步將是進行全範圍的審查。這意味著要檢查他們的任何數據活動是否屬於“涵蓋數據交易”的定義,以及是否由外國國民直接或間接地訪問其數據,或者是由外國國民或來自關注國家的組織訪問的。公司可能需要修改合同,重組供應商關係或強加新的安全協議以減輕風險並遵守新規則。
該法規的緊迫性源於越來越多的證據表明,外國對手正在通過法律和非法手段積極收集敏感的美國數據。使用合法獲得的廣告元數據,已經表明,美國軍事人員,情報承包商甚至政治領導人的運動已經被追踪。在一個案例中,使用智能手機收集的36億個地理位置數據點來創建在高安全性政府設施中工作的個人的“運動概況”,包括據信核武器存儲的地點。
一項學術研究解釋說:“ [f] Oreign和惡性演員可以使用位置數據集跟踪或追踪高調軍事或政治目標”,揭示了“敏感的位置,例如訪問禮拜場所,賭博場地,衛生診所或同性戀酒吧,這些地點可以再次用於,可用於,可用於用於分析,塗料,塗鴉,黑人塗鴉或其他目的。”該研究進一步解釋說,位置數據集可以揭示“美國軍事基地和未公開的情報站點”或“用於估計世界上特定地區的軍事人口或部隊建立,甚至可以識別基準群會眾的目標。”
其他報告顯示,中國電信公司的內部人士和科技公司被支付給公民個人數據的訪問權限,包括呼叫日誌,酒店預訂,飛行記錄和銀行信息。更令人不安的是,即使是總統安全團隊使用的健身應用程序也正在洩露美國和外國國家元首的實時位置數據。司法部說,這些例子說明了數據經濟已成為全球情報和脅迫的戰場的程度。
技術進步已經擴大了這些風險。 AI,高性能計算和機器學習使外國政府能夠快速處理大量數據集,自動化目標識別並大規模部署網絡運營。這2024年國家反情報策略明確呼籲外國對生物識別,基因組,健康,財務和行為數據的興趣,並指出可以將此類數據用於監視,影響或勒索武器。像中國這樣的國家在獲取此類數據方面特別積極地支持其AI驅動的野心和州監視設備。
該戰略是由國家情報局主任辦公室發布的,旨在為聯邦政府和反情報(CI)社區提供戰略指導,以抵制外國情報威脅,並將CI優先級與國家安全戰略相結合。
儘管威脅的嚴重程度,但現有的聯邦框架以前沒有提供任何授權,以阻止或條件這種交易。儘管像外國投資委員會這樣的實體審查了涉及外國投資的某些交易,但其管轄權僅限於特定的商業活動,並逐案應用。有關信息和通信技術和服務以及互聯軟件應用程序的先前執行訂單也沒有涵蓋現在涉及的全部商業數據傳輸。
新的DOJ規則旨在通過提供前瞻性,全面的監管制度來填補這一空白。它們為私營部門提供了清晰度和確定性,同時加強了政府為確保數據生態系統的廣泛努力。重要的是,這些規則不是追溯性的,旨在防止將來的轉移和暴露敏感數據,這可能會危害美國國家安全。
司法部發行了提議規則制定的提前通知2024年3月和擬議規則制定的通知2024年10月,從行業,學術界和民間社會的數十個利益相關者那裡收到了評論。司法部還直接與企業,貿易協會,倡導團體和外國合作夥伴互動,以確保對規則的意圖和含義有透徹的了解。
儘管要求延長評論期,但司法部拒絕了,理由是國家安全威脅的緊迫性以及已經提供了足夠的反饋機會。在此過程中,諮詢了800多名利益相關者,最終規則的大多數核心要素與初始提案保持一致。這種一致性強調了司法部的觀點,即延遲只會擴大外國對手對美國數據開發的窗口。
文章主題
|||||||
