該命令呼吁制定法規(guī),防止將美國人最私人和最敏感的信息大規(guī)模轉(zhuǎn)移到相關國家,包括基因組數(shù)據(jù)、生物識別數(shù)據(jù)、個人健康數(shù)據(jù)、地理位置數(shù)據(jù)、財務數(shù)據(jù)和某些類型的個人身份信息。
司法部將與其他相關聯(lián)邦機構(gòu)協(xié)商,負責執(zhí)行命令,并計劃發(fā)布法規(guī),保護美國人的敏感個人數(shù)據(jù)不被相關國家訪問和利用。美國司法部長梅里克·加蘭德表示:“這項行政命令授權(quán)司法部阻止對我們的國家安全構(gòu)成威脅的國家獲取美國人最敏感的個人數(shù)據(jù)——包括人類基因組數(shù)據(jù)、生物識別和個人身份識別,以及個人健康和金融數(shù)據(jù)。”
司法部副部長麗莎·摩納哥說:“今天,我們明確表示,美國公民的敏感和個人數(shù)據(jù)不會出售給我們的對手。司法部長期以來一直專注于防止威脅參與者通過眾所周知的后門竊取數(shù)據(jù),這項行政命令通過拒絕有關國家訪問美國人最敏感的個人數(shù)據(jù)來關閉前門。”
基于數(shù)據(jù)交易類別的司法部規(guī)則制定
美國司法部發(fā)布的一份情況說明書詳細說明了它計劃如何執(zhí)行這項命令,首先,美國司法部不打算通過對數(shù)據(jù)交易進行逐案審查來實施《行政命令》,取而代之的是,它將通過規(guī)則制定程序建立規(guī)則,以便與某些受關注的國家或受其管轄的受覆蓋人進行特定類別的數(shù)據(jù)交易。
美國司法部關于擬議規(guī)則制定的預先通知將考慮確定六個令人擔憂的國家:中國(包括香港和澳門)、俄羅斯、伊朗、朝鮮、古巴和委內(nèi)瑞拉。ANPRM將處理的事項包括:
承保人:該計劃將被明確定義為包括某些類別的實體和個人,這些實體和個人受相關國家的司法管轄權(quán)、方向、所有權(quán)或控制,如果向這些人提供的數(shù)據(jù)將使這些數(shù)據(jù)進入相關國家的范圍內(nèi),其中界定了四類受保障人士:
·“由有關國家擁有、控制或受其管轄或指示的實體”
·“作為此類實體的雇員或承包商的外國人”
·“有關國家的雇員或承包商的外國人”
·“主要居住在有關國家領土管轄范圍內(nèi)的外國人”
根據(jù)行政命令,涵蓋的人的類別不包括任何美國公民、國民或合法永久居民、任何以難民身份進入美國或獲得庇護的人、任何完全根據(jù)美國法律或司法管轄權(quán)組織的實體,以及任何位于美國的人。
《條例》還授權(quán)司法部補充這些類別的被保險人,指定特定實體或個人為被保險人,如果他們符合某些標準,例如由有關國家擁有或控制或受其管轄或指示,或代表有關國家或另一被保險人行事。
敏感個人數(shù)據(jù):《行政條例》將“敏感個人數(shù)據(jù)”定義為所涵蓋的個人識別符、地理位置和相關傳感器數(shù)據(jù)、生物識別識別符、個人健康數(shù)據(jù)、人類基因組數(shù)據(jù)、個人金融數(shù)據(jù)或其任何組合,如果這些數(shù)據(jù)與任何可識別的美國個人或一組離散且可識別的美國個人相關聯(lián)或可鏈接到該等數(shù)據(jù),則可被有關國家利用以危害美國國家安全。
美國司法部計劃在其規(guī)則制定中進一步細化這些敏感個人數(shù)據(jù)類別的范圍,敏感的個人信息將不包括屬于公共記錄事項的數(shù)據(jù),如合法和普遍可供公眾或個人通信使用的法院或其他政府記錄。
批量閾值和美國政府相關數(shù)據(jù):美國司法部的計劃通常只在交易超過規(guī)定的批量(即美國人或美國設備的閾值數(shù)量)的情況下,才會對六類敏感個人數(shù)據(jù)中的特定類別的數(shù)據(jù)交易進行監(jiān)管,然而,這些大宗交易將不適用于涉及某些美國政府相關數(shù)據(jù)的交易,該計劃將監(jiān)管涉及美國政府人員或地點的敏感個人數(shù)據(jù)的數(shù)據(jù)交易,無論此類數(shù)據(jù)量有多大。
對于與政府相關的人事數(shù)據(jù),ANPRM將考慮將重點放在交易方(如數(shù)據(jù)經(jīng)紀人)銷售的與現(xiàn)任或最近的前雇員或承包商或前聯(lián)邦政府高級官員(包括情報界和軍方)有關聯(lián)或可鏈接的敏感個人數(shù)據(jù)。對于與美國政府有關地點的數(shù)據(jù),ANPRM將考慮將重點放在地理位置數(shù)據(jù)上,這些數(shù)據(jù)與該部將在公共名單上指定的地理圍欄區(qū)域內(nèi)的某些敏感地點相鏈接或可鏈接。
涵蓋數(shù)據(jù)交易:即將發(fā)布的ANPRM考慮確定美國人與受關注國家或覆蓋人之間的兩類被禁止的數(shù)據(jù)交易:
·數(shù)據(jù)經(jīng)紀交易
·涉及轉(zhuǎn)移大量人類基因組數(shù)據(jù)或可從中獲得此類數(shù)據(jù)的生物標本的基因組數(shù)據(jù)交易
ANPRM將進一步考慮確定三類受限數(shù)據(jù)交易:
·涉及提供商品和服務的供應商協(xié)議(包括云服務協(xié)議)
·就業(yè)協(xié)議
·投資協(xié)定
國土安全部的網(wǎng)絡安全和基礎設施局(CISA)將為這些受限制的交易制定安全要求。
豁免數(shù)據(jù)交易:《行政條例》載有,ANPRM將考慮對數(shù)據(jù)交易給予幾項全面豁免,這些豁免將被排除在監(jiān)管之外,其程度如下:
·已受監(jiān)管的金融交易
·工資或人力資源等普通輔助業(yè)務業(yè)務
·美國政府及其承包商、雇員和受贈人的活動,如聯(lián)邦資助的保健和研究活動,供資機構(gòu)將自行管理這些活動
·聯(lián)邦法律或國際協(xié)定要求或授權(quán)的交易,如交換旅客艙單或國際刑警組織的請求
許可和咨詢意見:行政命令指示,ANPRM將考慮發(fā)放一般和具體的許可證和咨詢意見,允許公司和個人申請規(guī)則的例外,以從事特定的數(shù)據(jù)交易,司法部將在國務院、商務部和國土安全部的同意下做出許可決定。
保護個人數(shù)據(jù)的其他政府機構(gòu)行動
根據(jù)司法部的一個分支機構(gòu)《行政命令》,美國電信服務部門外國參與評估委員會(又稱Team Telecom)將在審查海底電纜牌照時考慮對美國人敏感個人數(shù)據(jù)的威脅。
環(huán)境保護局還指示國防部、衛(wèi)生與公眾服務部、退伍軍人事務部和國家科學基金會考慮采取步驟,利用其現(xiàn)有的授權(quán)和合同權(quán)力,禁止支持或以其他方式減輕向受關注國家和受保人員轉(zhuǎn)移敏感健康數(shù)據(jù)和人類基因組數(shù)據(jù)的聯(lián)邦資金。
行政命令進一步鼓勵消費者金融保護局考慮采取措施,解決數(shù)據(jù)經(jīng)紀商在助長國家安全風險方面所扮演的角色,包括繼續(xù)推進2023年9月消費者報告規(guī)則制定小企業(yè)咨詢小組確定的《公平信用報告法》下的規(guī)則制定建議。
敏感數(shù)據(jù)執(zhí)行命令朝著正確的方向邁出了一步
隱私觀察人士似乎對政府的行動表示歡迎,Snell&Wilmer網(wǎng)絡安全、數(shù)據(jù)保護和隱私實踐小組的聯(lián)席主席Aloke Chakravarty告訴記者:“政府正試圖領先于一種已經(jīng)持續(xù)了一段時間的做法”。
值得注意的是,拜登的行政命令并沒有禁止數(shù)據(jù)經(jīng)紀人在國內(nèi)銷售美國人的敏感數(shù)據(jù)的有爭議和侵犯隱私的做法。“我認為這提供了一些有力的證據(jù),如果有事實依據(jù)表明國內(nèi)數(shù)據(jù)經(jīng)紀商正在進一步向這些制裁或被禁止的國家出售所持股份,那么我認為它提供了一種強制執(zhí)行機制,通過司法部武器庫中的工具。”
信息技術產(chǎn)業(yè)理事會(ITI)負責政策的高級副總裁兼總法律顧問約翰·米勒表示:“我們贊賞拜登政府旨在制定有針對性的規(guī)則,以應對特定的國家安全威脅,并以確保必要和強有力的利益相關者參與的機會的方式來構(gòu)建規(guī)則制定過程”,他補充說:“政府還明確表示,今天的行動不能取代聯(lián)邦隱私法,后者是保護美國人個人數(shù)據(jù)的最強有力和最全面的方式。”
R Street Institute網(wǎng)絡安全和新興威脅團隊的政策主管布蘭登·普格(Brandon Pugh)表示,這一行政命令是保護美國人的數(shù)據(jù)不被相關國家利用的“正確方向上的一步”,但還需要采取額外的行動。關于CISA確立的安全要求、如何解決豁免和例外情況,以及簡化許可證和咨詢意見的流程,“成功的關鍵將是正確實施和配套法規(guī),以確保貿(mào)易、創(chuàng)新、普通商業(yè)慣例和數(shù)據(jù)流協(xié)議等現(xiàn)有法律框架不會受到不當影響。”
企業(yè)網(wǎng)D1net(hfnxjk.com):
國內(nèi)主流的to B IT門戶,同時在運營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運營19個IT行業(yè)公眾號(微信搜索D1net即可關注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權(quán)利。
京公網(wǎng)安備 11010502049343號