美国总统拜登签署了一项涉及多个政府机构的全面行政命令,旨在通过禁止数据中间商将敏感信息出售给一系列美国对手来保护美国人的敏感个人数据不被利用。在宣布这项题为防止受关注国家访问美国人的大量敏感个人数据和美国政府相关数据的命令时,白宫表示,“公司收集的美国人数据比以往任何时候都多,而且这些数据往往是通过数据经纪人合法出售和转售的,商业数据经纪人和其他公司可以将这些数据出售给受关注的国家或由这些国家控制的实体,这些数据可能落入外国情报机构、军队或外国政府控制的公司手中。”
该命令呼吁制定法规,防止将美国人最私人和最敏感的信息大规模转移到相关国家,包括基因组数据、生物识别数据、个人健康数据、地理位置数据、财务数据和某些类型的个人身份信息。
司法部将与其他相关联邦机构协商,负责执行命令,并计划发布法规,保护美国人的敏感个人数据不被相关国家访问和利用。美国司法部长梅里克·加兰德表示:“这项行政命令授权司法部阻止对我们的国家安全构成威胁的国家获取美国人最敏感的个人数据——包括人类基因组数据、生物识别和个人身份识别,以及个人健康和金融数据。”
司法部副部长丽莎·摩纳哥说:“今天,我们明确表示,美国公民的敏感和个人数据不会出售给我们的对手。司法部长期以来一直专注于防止威胁参与者通过众所周知的后门窃取数据,这项行政命令通过拒绝有关国家访问美国人最敏感的个人数据来关闭前门。”
基于数据交易类别的司法部规则制定
美国司法部发布的一份情况说明书详细说明了它计划如何执行这项命令,首先,美国司法部不打算通过对数据交易进行逐案审查来实施《行政命令》,取而代之的是,它将通过规则制定程序建立规则,以便与某些受关注的国家或受其管辖的受覆盖人进行特定类别的数据交易。
美国司法部关于拟议规则制定的预先通知将考虑确定六个令人担忧的国家:中国(包括香港和澳门)、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉。ANPRM将处理的事项包括:
承保人:该计划将被明确定义为包括某些类别的实体和个人,这些实体和个人受相关国家的司法管辖权、方向、所有权或控制,如果向这些人提供的数据将使这些数据进入相关国家的范围内,其中界定了四类受保障人士:
- “由有关国家拥有、控制或受其管辖或指示的实体”
- “作为此类实体的雇员或承包商的外国人”
- “有关国家的雇员或承包商的外国人”
- “主要居住在有关国家领土管辖范围内的外国人”
根据行政命令,涵盖的人的类别不包括任何美国公民、国民或合法永久居民、任何以难民身份进入美国或获得庇护的人、任何完全根据美国法律或司法管辖权组织的实体,以及任何位于美国的人。
《条例》还授权司法部补充这些类别的被保险人,指定特定实体或个人为被保险人,如果他们符合某些标准,例如由有关国家拥有或控制或受其管辖或指示,或代表有关国家或另一被保险人行事。
敏感个人数据:《行政条例》将“敏感个人数据”定义为所涵盖的个人识别符、地理位置和相关传感器数据、生物识别识别符、个人健康数据、人类基因组数据、个人金融数据或其任何组合,如果这些数据与任何可识别的美国个人或一组离散且可识别的美国个人相关联或可链接到该等数据,则可被有关国家利用以危害美国国家安全。
美国司法部计划在其规则制定中进一步细化这些敏感个人数据类别的范围,敏感的个人信息将不包括属于公共记录事项的数据,如合法和普遍可供公众或个人通信使用的法院或其他政府记录。
批量阈值和美国政府相关数据:美国司法部的计划通常只在交易超过规定的批量(即美国人或美国设备的阈值数量)的情况下,才会对六类敏感个人数据中的特定类别的数据交易进行监管,然而,这些大宗交易将不适用于涉及某些美国政府相关数据的交易,该计划将监管涉及美国政府人员或地点的敏感个人数据的数据交易,无论此类数据量有多大。
对于与政府相关的人事数据,ANPRM将考虑将重点放在交易方(如数据经纪人)销售的与现任或最近的前雇员或承包商或前联邦政府高级官员(包括情报界和军方)有关联或可链接的敏感个人数据。对于与美国政府有关地点的数据,ANPRM将考虑将重点放在地理位置数据上,这些数据与该部将在公共名单上指定的地理围栏区域内的某些敏感地点相链接或可链接。
涵盖数据交易:即将发布的ANPRM考虑确定美国人与受关注国家或覆盖人之间的两类被禁止的数据交易:
- 数据经纪交易
- 涉及转移大量人类基因组数据或可从中获得此类数据的生物标本的基因组数据交易
ANPRM将进一步考虑确定三类受限数据交易:
- 涉及提供商品和服务的供应商协议(包括云服务协议)
- 就业协议
- 投资协定
国土安全部的网络安全和基础设施局(CISA)将为这些受限制的交易制定安全要求。
豁免数据交易:《行政条例》载有,ANPRM将考虑对数据交易给予几项全面豁免,这些豁免将被排除在监管之外,其程度如下:
- 已受监管的金融交易
- 工资或人力资源等普通辅助业务业务
- 美国政府及其承包商、雇员和受赠人的活动,如联邦资助的保健和研究活动,供资机构将自行管理这些活动
- 联邦法律或国际协定要求或授权的交易,如交换旅客舱单或国际刑警组织的请求
许可和咨询意见:行政命令指示,ANPRM将考虑发放一般和具体的许可证和咨询意见,允许公司和个人申请规则的例外,以从事特定的数据交易,司法部将在国务院、商务部和国土安全部的同意下做出许可决定。
保护个人数据的其他政府机构行动
根据司法部的一个分支机构《行政命令》,美国电信服务部门外国参与评估委员会(又称Team Telecom)将在审查海底电缆牌照时考虑对美国人敏感个人数据的威胁。
环境保护局还指示国防部、卫生与公众服务部、退伍军人事务部和国家科学基金会考虑采取步骤,利用其现有的授权和合同权力,禁止支持或以其他方式减轻向受关注国家和受保人员转移敏感健康数据和人类基因组数据的联邦资金。
行政命令进一步鼓励消费者金融保护局考虑采取措施,解决数据经纪商在助长国家安全风险方面所扮演的角色,包括继续推进2023年9月消费者报告规则制定小企业咨询小组确定的《公平信用报告法》下的规则制定建议。
敏感数据执行命令朝着正确的方向迈出了一步
隐私观察人士似乎对政府的行动表示欢迎,Snell&Wilmer网络安全、数据保护和隐私实践小组的联席主席Aloke Chakravarty告诉记者:“政府正试图领先于一种已经持续了一段时间的做法”。
值得注意的是,拜登的行政命令并没有禁止数据经纪人在国内销售美国人的敏感数据的有争议和侵犯隐私的做法。“我认为这提供了一些有力的证据,如果有事实依据表明国内数据经纪商正在进一步向这些制裁或被禁止的国家出售所持股份,那么我认为它提供了一种强制执行机制,通过司法部武器库中的工具。”
信息技术产业理事会(ITI)负责政策的高级副总裁兼总法律顾问约翰·米勒表示:“我们赞赏拜登政府旨在制定有针对性的规则,以应对特定的国家安全威胁,并以确保必要和强有力的利益相关者参与的机会的方式来构建规则制定过程”,他补充说:“政府还明确表示,今天的行动不能取代联邦隐私法,后者是保护美国人个人数据的最强有力和最全面的方式。”
R Street Institute网络安全和新兴威胁团队的政策主管布兰登·普格(Brandon Pugh)表示,这一行政命令是保护美国人的数据不被相关国家利用的“正确方向上的一步”,但还需要采取额外的行动。关于CISA确立的安全要求、如何解决豁免和例外情况,以及简化许可证和咨询意见的流程,“成功的关键将是正确实施和配套法规,以确保贸易、创新、普通商业惯例和数据流协议等现有法律框架不会受到不当影响。”
