几个月后评论美国司法部(DOJ)周一收到的评论已收到3月5日提议的规则制定(ANPRM)(ANPRM)最终建议的规则实施总统乔·拜登(Joe Biden)2月28日的行政命令(EO),通过关注的国家 /。
EO解决了俄罗斯,伊朗,中国和其他关注的国家继续努力的国家安全威胁,以获取和利用某些类型的美国人的敏感个人数据。
美国数据经纪人是司法部提议的规则的主要目标,这将禁止所有第三方数据经纪人和企业出售他们从司法部提议的规则确定的国家 /地区收集的数据收集的数据。
作为生物识别更新报告说,基于美国的数据经纪人对美国以及其他国家 /地区的个人身份信息的销售对国家安全和情报收集活动构成了严重威胁。
关于该规则的评论期限于4月19日结束。提交了68条评论鉴于拟议法规的有争议性质,远远少于观察者的预期。
司法部在三月份发布了提议规则制定的预先通知后,拜登签署了法律HR 815,一项国家安全和外国援助支出法案,并入保护美国人的数据免受2024年的外国对手法(PADFA),该公司于6月生效,将由联邦贸易委员会(FTC)执行。
HR 815还纳入了强迫的立法蒂克托克总部位于中国的母公司Bontedance将在一年内从中国撤离,或面临美国应用商店的禁令。
HR 815使“数据经纪人出售,许可,租金,交易,转让,释放,披露,提供或以其他方式使美国个人对任何外国对手国家或外国对手控制的任何实体的个人身份敏感数据的访问或以其他方式获得。”
然而,正是HR 815将如何影响司法部执行拜登的EO的最终规则制定,这仍然是模糊的,因为生物识别更新 报告在八月。
司法部最终的全面拟议规则将“通过建立某些数据交易的绝对规则来实施EO,这些数据交易构成了不可接受的风险,即使人们有关注的国家或涵盖了政府有关的数据或大量美国敏感个人数据,”司法部周一说。
司法部说:“除其他事项外,拟议的规则确定了禁止和限制交易的类别,确定了关注的国家以及所提议的规则适用的涵盖人员的阶级,确定豁免交易的类别,确定豁免交易的类别[DOJ的方法[DOJ]的方法,以确定某些授权的授权和其他法规评估[DOJ]最初的经济影响,以评估[DOJ]的最初评估,以确立[DOJ]的最初评估,并确定[DOJ]的最初评估,并确定[DOJ]的经济影响,并确定[DOJ的方法]。交易,发表咨询意见和指定涵盖的人,并介绍记录保存,报告和其他应付交易的应有债务义务。”
周一发布的拟议规则有一个30天的评论期。司法部说,该规则“量身定制的是针对关注国家的访问和涵盖美国人的访问所带来的特定国家安全风险,并构成了美国庞大的个人数据和某些敏感的美国政府相关数据。这些措施补充了美国对促进开放,全球,可互操作,可互操作,可靠和可靠的互联网的承诺,以促进人权和越来越多的范围,以促进人权和范围,以促进人权和越来越多的范围;贸易和促进公开投资。”
司法部说:“拟议的规则的禁止和限制与其他情况下对敏感个人数据的其他访问限制是一致的,包括在美国外国投资委员会(CFIUS)和外国参与美国电信服务部门(Team Teamecom)评估的外国投资委员会(CFIUS)审查的交易中。”
此外,司法部解释说:“拟议的规则免除了几类数据交易的禁令和限制范围,包括某些个人通讯,金融服务,公司集团交易,联邦法律授权的交易,联邦法律和国际协议授权的交易,投资协议,受CFIUS行动,CFIUS行动,电信服务,电信服务,生物学产品和医疗设备的授权,临床研究,以及其他。
拟议的规则说,拜登的EO和司法部的拟议规则“填补了“政府当局要解决有关访问与政府有关的数据或美国人批量美国敏感个人数据的关注国家构成的威胁”的重要空白。”
正如ANPRM所解释的那样,“有关注的国家可以利用其访问与政府相关的数据或美国人的庞大个人敏感个人数据,从事恶意支持网络的活动和损害外国影响活动,并跟踪和建立对美国人和其他联邦雇员和承包商的成员,包括诸如勒索和埃咖啡等非法目的的人。”
令人关注的国家还“可以利用其获得与政府相关的数据或美国人的大量敏感个人数据,以收集有关激进主义者,学者,新闻记者,持不同意见,政治人物或非政府组织或边缘化社区的成员的信息,以恐吓它们;限制了表达,和平的组装或交往的限制自由;其他形式的自由;
DOJ在周一发表的拟议规则中指出,2024年的国家反情绪策略指出:“我们的对手对有关美国公民和其他人的个人身份信息感兴趣,例如生物识别和基因组数据,卫生保健数据,地理位置信息,地理位置信息,车辆远程信息链接信息,车辆远程信息链接信息,车辆远程信息,移动设备信息,移动设备信息,交易数据,财务数据以及对个人的政治和利益,以及型号和利益,企业和利益。
这些和其他类型的敏感个人数据“可能特别有价值,不仅为对手提供经济和[研发]的好处,而且提供了有用的[反情报]信息,因为敌对情报服务可以使用从这些数据到目标和勒索个人中收集的漏洞。”
司法部指出,“ MITER Corporation的最新研究总结了开源报告”,该报告强调了“勒索,胁迫,对高风险政府人员的身份和敏感地点的识别,以及改善了进攻性网络运营的针对进攻性网络运营和网络剥削,以及敌对参与者从广告技术中获得的敌对参与者的访问权限。”
司法部补充说:“人工智能,高性能计算,大数据分析以及关注国家的其他先进的技术能力的发展放大了这些国家对政府相关数据或美国人与美国庞大的敏感个人数据的访问所构成的威胁。例如[中国人民共和国]自动化对中国边界以外的个人和团体的识别,以宣传或审查制度。”
该规则将需要供应商协议,雇佣协议和投资协议,这些协议有限为限制交易,以符合国土安全部的网络安全和基础设施机构(CISA)与司法部协调的单独提议的安全要求。
这些提议的安全要求要求我们从事限制交易的美国人员符合组织和系统级别的要求,例如确保建立基本的组织网络安全政策,实践和控制措施,以及数据级别的要求,例如数据最小化和掩盖,加密,加密,以及隐私的启用技术。
CISA同时使这些建议的安全要求可在公众评论www.regulations.gov。
