美國司法部(DoJ)近日發布了最終規則(鏈接在文末),落實拜登的第14117號總統行政命令,后者旨在防范中國、俄羅斯等外國對手獲取和利用美國公民的大量敏感個人數據。
該規則禁止數據經紀商向中國、俄羅斯、朝鮮、伊朗、古巴和委內瑞拉等國家,以及特定被列為“受限人員”的個人和實體,提供美國人的批量個人信息。
拜登總統行政命令聲稱,上述國家和受限人員可能利用所獲取的數據,對美國公民(如軍人、情報人員、聯邦雇員和承包商)進行網絡攻擊、影響活動、監控并建立個人檔案,以實施勒索、間諜活動和脅迫等非法行為。此外,這些國家可能利用大量敏感數據,發展和增強人工智能能力及算法,威脅美國國家安全。
美國司法部發布的最終規則對生物特征識別信息、人類基因組數據、地理位置、健康信息、財務數據和個人標識符等設定了具體閾值,并詳細說明了獲取特定數據交易授權的流程。
該規則還描述了認定“受限人員”的程序,并指出司法部根據這些國家長期從事對美不利的網絡活動,將其列為關注對象。
司法部強調,該規則與美國促進開放、全球互聯、可靠和安全的互聯網的承諾一致,旨在保護線上線下的人權,支持通過跨境數據流動促進國際商業和貿易的全球經濟活力。
值得注意的是,該規則并未強制要求數據本地化,也不禁止美國公民在關注國家進行研究或與受限人員合作共享數據,只要這些活動不涉及支付或其他形式的對價。
此外,規則并未廣泛禁止美國人與關注國家或受限人員進行商業交易,包括在商業商品和服務銷售中交換金融和其他數據,也未采取旨在廣泛脫鉤美國與其他國家之間的消費者、經濟、科學和貿易關系的措施。
該規則將在發布90天后生效,而某些盡職調查、審計要求和報告義務將在發布270天后生效。
此外,美國衛生與公眾服務部(HHS)計劃發布擬議規則,要求醫療機構通過加密、合規檢查和更新的網絡標準,更好地保護患者數據,以符合《健康保險攜帶和責任法案》(HIPAA)的要求。