在一个旨在捍卫美国国家安全利益的大胆步骤中,美国司法部(DOJ)将于4月8日实施重要的新法规,,,,防止有关注者或涵盖的国家访问我们敏感的个人数据和与政府有关的数据。新规定是迄今为止最艰巨的联邦努力,阻止外国对手通过限制访问美国人的敏感个人和政府相关数据的访问权限。
与旨在保护消费者免于滥用或未经授权访问个人数据或调节物理商品和国防技术的出口控制的传统数据隐私法不同,新的DOJ法规旨在解决对国家安全的特定和日益严重的威胁。美国政府得出的结论是,某些国家正在使用市售数据来概况,跟踪,影响或胁迫美国公民和政府人员。该规则创建了一个框架,以通过绝对禁止或限制特定类型的数据交易来防止访问。
该规则广泛适用于涉及将敏感数据直接或间接转移到与六个“关注国家”相关的实体转移的商业交易:中国,俄罗斯,俄罗斯,伊朗,北朝鲜,古巴和委内瑞拉。他们还涵盖了决心代表这些政府或在这些政府的指导下行事的个人和组织 - 所谓的“承保人”。
这个监管框架的核心是认识到,对手可以利用大规模数据流,尤其是在数字广告,生物技术,金融和卫生保健领域的核心。随着人工智能和大数据分析的兴起,中国等国家能够通过商业经纪人或供应商的关系购买或以其他方式获取美国数据。这些数据集合并和分析时,可以揭示有关个人行为,军事行动,情报资产甚至秘密政府设施的敏感且可能损害的信息。
新规则所涵盖的数据类型不仅包括明显的敏感信息,例如生物识别标识符和人类基因组材料,而且还包括孤立的数据点。这包括精确的地理位置数据,个人健康信息,财务数据,甚至可以将个人链接到更广泛的行为概况的标识符。
当批量收集此类数据时 - 由司法部使用量阈值低至100或1,000个个人定义 - 它根据类别的不同而成为国家安全资产,其转移或接触现在受到严格的联邦控制。
例如,涉及1,000多名美国人的生物识别标识符,来自1,000多个美国设备的精确地理定位数据,或者来自10,000多名美国个人的个人健康或财务数据,现在被视为规则下的“涵盖数据”。此外,任何可以与现任或前联邦雇员,承包商或高级官员无关的数据都受到限制。
这些阈值旨在捕获商业数据集,尽管合法收集,但可以用于监视,勒索或分析等目的。
规则最重要的含义之一是它们对数据经纪行业的影响。司法部广泛定义“数据经纪”,包括当收件人未直接收集数据时,包括任何销售,许可或数据转移到另一个实体。这包括第三方数据聚合器许可通过移动应用程序,可穿戴设备或在线跟踪工具收集的信息的方案。在新框架下,如果有涵盖的人或关注国家可以进入的风险,则可能会禁止此类交易。
司法部将适用的数据交易分为两类:禁止和限制。由于其对国家安全的高风险,禁止的交易被完全禁止。其中包括向涉及政府相关的地理位置或批量敏感个人数据的关注国家的实体传输数据。
另一方面,限制性交易仍可能发生,但仅在旨在确保对手无法访问数据的严格安全要求下。这些要求可能包括加密,访问控件,审核日志和数据本地化。
假定现有合规计划的公司,例如旨在满足欧洲一般数据保护法规,《健康保险可移植性和问责制法》,甚至是出口控制规则的公司,将根据新法规涵盖它们,以免出现粗鲁的觉醒。司法部强调,这些规则在结构和意图上是不同的。它们是基于国家安全法,包括《国际紧急经济大国法》。不遵守规定的处罚反映了该任务的严重性。
实际上,民事处罚每违规行为最高368,136美元,或者是交易价值的两倍,以较大者为准。刑事处罚可能包括每次违规最高100万美元的罚款和长达20年的监禁。由于这些罚款适用于每项侵犯,因此从事常规数据经纪或分析活动的公司的潜在财务敞口可能是巨大的。
司法部明确表示,执法将是强大而直接的。鉴于涉及的国家安全风险,司法部预计不会为没有准备的公司提供长时间的宽限期或宽大处理,这给组织带来了压力,尤其是那些处理大量用户数据或在医疗保健,国防合同,云服务和金融科技等领域运作的组织,以评估其风险敞口和采用合规性。
司法部暗示,许多公司的第一步将是进行全范围的审查。这意味着要检查他们的任何数据活动是否属于“涵盖数据交易”的定义,以及是否由外国国民直接或间接地访问其数据,或者是由外国国民或来自关注国家的组织访问的。公司可能需要修改合同,重组供应商关系或强加新的安全协议以减轻风险并遵守新规则。
该法规的紧迫性源于越来越多的证据表明,外国对手正在通过法律和非法手段积极收集敏感的美国数据。使用合法获得的广告元数据,已经表明,美国军事人员,情报承包商甚至政治领导人的运动已经被追踪。在一个案例中,使用智能手机收集的36亿个地理位置数据点来创建在高安全性政府设施中工作的个人的“运动概况”,包括据信核武器存储的地点。
一项学术研究解释说:“ [f] Oreign和恶性演员可以使用位置数据集跟踪或追踪高调军事或政治目标”,揭示了“敏感的位置,例如访问礼拜场所,赌博场地,卫生诊所或同性恋酒吧,这些地点可以再次用于,可用于,可用于用于分析,涂料,涂鸦,黑人涂鸦或其他目的。”该研究进一步解释说,位置数据集可以揭示“美国军事基地和未公开的情报站点”或“用于估计世界上特定地区的军事人口或部队建立,甚至可以识别基准群会众的目标。”
其他报告显示,中国电信公司的内部人士和科技公司被支付给公民个人数据的访问权限,包括呼叫日志,酒店预订,飞行记录和银行信息。更令人不安的是,即使是总统安全团队使用的健身应用程序也正在泄露美国和外国国家元首的实时位置数据。司法部说,这些例子说明了数据经济已成为全球情报和胁迫的战场的程度。
技术进步已经扩大了这些风险。 AI,高性能计算和机器学习使外国政府能够快速处理大量数据集,自动化目标识别并大规模部署网络运营。这2024年国家反情报策略明确呼吁外国对生物识别,基因组,健康,财务和行为数据的兴趣,并指出可以将此类数据用于监视,影响或勒索武器。像中国这样的国家在获取此类数据方面特别积极地支持其AI驱动的野心和州监视设备。
该战略是由国家情报局主任办公室发布的,旨在为联邦政府和反情报(CI)社区提供战略指导,以抵制外国情报威胁,并将CI优先级与国家安全战略相结合。
尽管威胁的严重程度,但现有的联邦框架以前没有提供任何授权,以阻止或条件这种交易。尽管像外国投资委员会这样的实体审查了涉及外国投资的某些交易,但其管辖权仅限于特定的商业活动,并逐案应用。有关信息和通信技术和服务以及互联软件应用程序的先前执行订单也没有涵盖现在涉及的全部商业数据传输。
新的DOJ规则旨在通过提供前瞻性,全面的监管制度来填补这一空白。它们为私营部门提供了清晰度和确定性,同时加强了政府为确保数据生态系统的广泛努力。重要的是,这些规则不是追溯性的,旨在防止将来的转移和暴露敏感数据,这可能会危害美国国家安全。
司法部发行了提议规则制定的提前通知2024年3月和拟议规则制定的通知2024年10月,从行业,学术界和民间社会的数十个利益相关者那里收到了评论。司法部还直接与企业,贸易协会,倡导团体和外国合作伙伴互动,以确保对规则的意图和含义有透彻的了解。
尽管要求延长评论期,但司法部拒绝了,理由是国家安全威胁的紧迫性以及已经提供了足够的反馈机会。在此过程中,咨询了800多名利益相关者,最终规则的大多数核心要素与初始提案保持一致。这种一致性强调了司法部的观点,即延迟只会扩大外国对手对美国数据开发的窗口。
文章主题
|||||||
