美国司法部(DoJ)近日发布了最终规则(链接在文末),落实拜登的第14117号总统行政命令,后者旨在防范中国、俄罗斯等外国对手获取和利用美国公民的大量敏感个人数据。
该规则禁止数据经纪商向中国、俄罗斯、朝鲜、伊朗、古巴和委内瑞拉等国家,以及特定被列为“受限人员”的个人和实体,提供美国人的批量个人信息。
拜登总统行政命令声称,上述国家和受限人员可能利用所获取的数据,对美国公民(如军人、情报人员、联邦雇员和承包商)进行网络攻击、影响活动、监控并建立个人档案,以实施勒索、间谍活动和胁迫等非法行为。此外,这些国家可能利用大量敏感数据,发展和增强人工智能能力及算法,威胁美国国家安全。
美国司法部发布的最终规则对生物特征识别信息、人类基因组数据、地理位置、健康信息、财务数据和个人标识符等设定了具体阈值,并详细说明了获取特定数据交易授权的流程。
该规则还描述了认定“受限人员”的程序,并指出司法部根据这些国家长期从事对美不利的网络活动,将其列为关注对象。
司法部强调,该规则与美国促进开放、全球互联、可靠和安全的互联网的承诺一致,旨在保护线上线下的人权,支持通过跨境数据流动促进国际商业和贸易的全球经济活力。
值得注意的是,该规则并未强制要求数据本地化,也不禁止美国公民在关注国家进行研究或与受限人员合作共享数据,只要这些活动不涉及支付或其他形式的对价。
此外,规则并未广泛禁止美国人与关注国家或受限人员进行商业交易,包括在商业商品和服务销售中交换金融和其他数据,也未采取旨在广泛脱钩美国与其他国家之间的消费者、经济、科学和贸易关系的措施。
该规则将在发布90天后生效,而某些尽职调查、审计要求和报告义务将在发布270天后生效。
此外,美国卫生与公众服务部(HHS)计划发布拟议规则,要求医疗机构通过加密、合规检查和更新的网络标准,更好地保护患者数据,以符合《健康保险携带和责任法案》(HIPAA)的要求。
