2024年12月27日
司法部发布了执行行政命令(E.O.)14117“防止关注国家访问美国人的大量敏感个人数据和美国政府相关数据的最终规则。”E.O.责成司法部建立和实施一项新的监管计划,以应对关注国家(以及他们可以利用的被保险人)持续努力访问和利用美国人的大量敏感个人数据和某些美国人构成的紧迫和非凡的国家安全威胁。政府相关数据。最终规则将在最终规则发布之日起90天内生效,某些肯定性尽职调查、报告和审计要求在发布后270天生效。
“关注国家”为中国(包括香港和澳门)、古巴、伊朗、朝鲜、俄罗斯和委内瑞拉。
最终规则通过颁布对美国国家安全构成不可接受风险的某些类别数据交易的普遍适用规则来实施E.O.。正如E.O.中所述,关注国和涵盖的国家可以利用他们对这些数据的访问来参与恶意网络活动和恶意外国影响活动,加强其军事能力,并跟踪和建立美国人(包括军人和美国成员)的个人资料。情报界以及其他联邦雇员和承包商)出于勒索、胁迫和间谍等非法目的,并加强他们的军事能力。关注国家和被报道的人也可以利用这些数据来收集有关活动家、学者、记者、持不同政见者、政治反对派或非政府组织或边缘化社区成员的信息,以恐吓他们;遏制政治反对派;限制言论自由、和平集会或结社自由;或允许其他形式压制公民自由。
最终规则反映了E.O.中强调的风险,即美国人的大量敏感数据的脆弱性加剧,因为关注国家越来越多地使用大量敏感个人数据来开发和增强人工智能(AI)能力和算法,这反过来又能够以越来越复杂和有效的方式使用大型数据集,损害美国国家安全。关注的国家可以将人工智能与多个不相关的数据集结合使用,例如,来识别与联邦政府的联系将在单个数据集中被掩盖的美国人,然后他们可能会成为间谍或勒索的目标。
除其他事项外,最终规则确定了适用的关注国家和最终规则的涵盖人员,并指定了禁止、限制和豁免交易的类别。最终规则为某些敏感个人数据建立了批量阈值,包括人类“omic数据、生物识别标识符、精确的地理位置数据、个人健康数据、个人财务数据和某些涵盖的个人标识符。最终规则还规定了获得授权否则禁止或限制交易的许可证的流程;指定涵盖人员的协议;并为涵盖的交易提供咨询意见、记录保存、报告和其他尽职调查义务。
最终规则与美国的承诺一致,即促进开放、全球、可互操作、可靠和安全的互联网;在线和离线保护人权;通过促进实现国际商业和贸易所需的跨境数据流来支持充满活力的全球经济;以及促进开放投资。值得注意的是,最终规则没有对美国人的大量敏感个人数据或美国的物理或电子存储施加普遍数据本地化要求。政府相关数据,也不需要在美国境内定位计算设施来处理此类数据。最终规则不禁止美国人在相关国家进行医学、科学或其他研究,或与被涵盖的人合作或协作共享数据以进行研究,如果该活动不涉及作为涵盖数据交易的一部分交换付款或其他对价。最终规则也没有广泛禁止美国人参与商业交易,包括交换金融和其他数据,作为与关注国家或受保障人员销售商业商品和服务的一部分,或采取措施,旨在更广泛地将美国与其他国家的实质性消费者、经济、科学和贸易关系脱节。
最终规则进一步免除了几类数据交易的禁止和限制范围,包括个人通信和某些金融服务交易、公司集团交易、联邦法律和国际协议授权的交易、受美国外国投资委员会(CFIUS)行动的投资协议、电信服务、生物产品和医疗设备授权、临床调查等。
最终规则的禁止和限制与其他情况下对敏感个人数据的访问限制一致,包括CFIUS和外国参与评估委员会审查的交易。电信服务部门(电信团队)。
最后,根据最终规则,参与供应商协议、雇佣协议和投资协议的各方涉及关注国家或承保人员访问大量美国敏感个人数据或美国。与政府相关的数据将受到限制的交易,这些交易必须符合国土安全部网络安全和基础设施安全局(CISA)与司法部协调制定的单独安全要求。这些安全要求包括组织和系统级要求(例如确保基本的组织网络安全政策、实践和控制措施到位)以及数据级要求(如数据最小化和屏蔽、加密和隐私增强技术)。