拜登政府提议制定新规则，规范向敌对国家传输数据

拜登政府周一宣布了新的拟议规则，用于规范向中国和俄罗斯等敌对国家传输某些数据，并对敏感个人和联邦信息的共享方式（如果可以共享）制定了具体要求。

该拟议法规是在今年 2 月美国政府发布行政命令后出台的，该命令旨在阻止外国对手利用容易获得的美国金融、生物特征、精确地理定位、健康、基因组和其他数据发动网络攻击或监视美国人。

根据政府发布的详细情况说明书和高级政府官员的评论，根据拟议规则，当数据传输量超过特定的预设阈值时，将被禁止向中国、俄罗斯、伊朗、朝鲜、委内瑞拉和古巴六个国家（中国、俄罗斯、伊朗、朝鲜、委内瑞拉和古巴）的公司和个人传输数据。

具体而言，美国公司将被禁止在 12 个月内向目标国家传输超过 100 名美国人的基因组数据。超过 1,000 名美国人的地理位置数据和生物识别数据、超过 10,000 名美国人的健康和财务数据以及超过 100,000 名美国人的个人识别数据也将被禁止传输。

个人识别信息包括与设备 ID 相关联的姓名、社会安全号码和驾驶执照号码。

即使是一名现役军人或联邦人员的数据也将被禁止转移，数据经纪销售也将被禁止，如果卖家有理由相信他们兜售的信息会流向这六个国家中的任何一个国家。

一位高级政府官员在周一的新闻发布会上表示，美国所有规模和类型的数据经纪商都是该规则的主要目标。第三方数据经纪商和出售其收集的数据的公司都将被完全禁止与这六个指定国家进行数据交易。

这位官员说，数据经纪人向这些国家出售数据对国家安全构成了严重威胁。

“相关国家可以在公开市场上购买这些数据，”该官员表示。“一旦获得……这些数据就会被用于各种邪恶活动。”

这位官员说，这些活动包括发动网络攻击、发起虚假宣传活动、建立用于追踪国家安全领导人的档案、监视和绘制政府设施地图、威胁异见人士和记者以及了解普通美国人的“生活模式”。

限制将适用于与这六个国家的实体和个人的各种其他商业关系，包括对美国公司的投资、雇用分包商以及数据处理或存储。

进行此类交易的公司将被要求遵守网络安全和基础设施安全局 (CISA) 的新监管制度，该制度借鉴了现有的美国国家标准与技术研究院 (NIST) 网络安全和隐私框架。这些框架包括物理访问控制、数据最小化和加密标准。

某些类别的数据将不受限制，包括个人通信、电信服务、旅行信息、金融服务、日常行政运作和美国政府官方活动。某些类型的药品和医疗器械临床试验数据也将被豁免。

该官员表示，中国、俄罗斯和其他目标国家已从数据经纪商和其他机构购买敏感的个人和政府数据。

这位官员说：“这些都是紧迫的风险，随着大数据分析、人工智能和其他技术的不断进步，这些风险变得更加严重，而相关国家可以依靠人工智能和先进技术来提高其理解、操纵和利用敏感个人数据的能力。”

所有从事将美国数据流向目标国家业务的公司都将被要求满足记录保存和报告的合规要求。他们还需要证明他们了解与谁做生意以及他们传输的数据是如何使用的。

该官员表示，违反拟议法规的公司将受到民事处罚和刑事起诉。