美國總統(tǒng)拜登簽署了一項(xiàng)涉及多個政府機(jī)構(gòu)的全面行政命令，旨在通過禁止數(shù)據(jù)中間商將敏感信息出售給一系列美國對手來保護(hù)美國人的敏感個人數(shù)據(jù)不被利用。在宣布這項(xiàng)題為防止受關(guān)注國家訪問美國人的大量敏感個人數(shù)據(jù)和美國政府相關(guān)數(shù)據(jù)的命令時，白宮表示，“公司收集的美國人數(shù)據(jù)比以往任何時候都多，而且這些數(shù)據(jù)往往是通過數(shù)據(jù)經(jīng)紀(jì)人合法出售和轉(zhuǎn)售的，商業(yè)數(shù)據(jù)經(jīng)紀(jì)人和其他公司可以將這些數(shù)據(jù)出售給受關(guān)注的國家或由這些國家控制的實(shí)體，這些數(shù)據(jù)可能落入外國情報機(jī)構(gòu)、軍隊(duì)或外國政府控制的公司手中。”

該命令呼吁制定法規(guī)，防止將美國人最私人和最敏感的信息大規(guī)模轉(zhuǎn)移到相關(guān)國家，包括基因組數(shù)據(jù)、生物識別數(shù)據(jù)、個人健康數(shù)據(jù)、地理位置數(shù)據(jù)、財務(wù)數(shù)據(jù)和某些類型的個人身份信息。

司法部將與其他相關(guān)聯(lián)邦機(jī)構(gòu)協(xié)商，負(fù)責(zé)執(zhí)行命令，并計劃發(fā)布法規(guī)，保護(hù)美國人的敏感個人數(shù)據(jù)不被相關(guān)國家訪問和利用。美國司法部長梅里克·加蘭德表示：“這項(xiàng)行政命令授權(quán)司法部阻止對我們的國家安全構(gòu)成威脅的國家獲取美國人最敏感的個人數(shù)據(jù)——包括人類基因組數(shù)據(jù)、生物識別和個人身份識別，以及個人健康和金融數(shù)據(jù)?！?/p>

司法部副部長麗莎·摩納哥說：“今天，我們明確表示，美國公民的敏感和個人數(shù)據(jù)不會出售給我們的對手。司法部長期以來一直專注于防止威脅參與者通過眾所周知的后門竊取數(shù)據(jù)，這項(xiàng)行政命令通過拒絕有關(guān)國家訪問美國人最敏感的個人數(shù)據(jù)來關(guān)閉前門?！?/p>

基于數(shù)據(jù)交易類別的司法部規(guī)則制定

美國司法部發(fā)布的一份情況說明書詳細(xì)說明了它計劃如何執(zhí)行這項(xiàng)命令，首先，美國司法部不打算通過對數(shù)據(jù)交易進(jìn)行逐案審查來實(shí)施《行政命令》，取而代之的是，它將通過規(guī)則制定程序建立規(guī)則，以便與某些受關(guān)注的國家或受其管轄的受覆蓋人進(jìn)行特定類別的數(shù)據(jù)交易。

美國司法部關(guān)于擬議規(guī)則制定的預(yù)先通知將考慮確定六個令人擔(dān)憂的國家：中國(包括香港和澳門)、俄羅斯、伊朗、朝鮮、古巴和委內(nèi)瑞拉。ANPRM將處理的事項(xiàng)包括：

承保人：該計劃將被明確定義為包括某些類別的實(shí)體和個人，這些實(shí)體和個人受相關(guān)國家的司法管轄權(quán)、方向、所有權(quán)或控制，如果向這些人提供的數(shù)據(jù)將使這些數(shù)據(jù)進(jìn)入相關(guān)國家的范圍內(nèi)，其中界定了四類受保障人士：

• “由有關(guān)國家擁有、控制或受其管轄或指示的實(shí)體”
• “作為此類實(shí)體的雇員或承包商的外國人”
• “有關(guān)國家的雇員或承包商的外國人”
• “主要居住在有關(guān)國家領(lǐng)土管轄范圍內(nèi)的外國人”

根據(jù)行政命令，涵蓋的人的類別不包括任何美國公民、國民或合法永久居民、任何以難民身份進(jìn)入美國或獲得庇護(hù)的人、任何完全根據(jù)美國法律或司法管轄權(quán)組織的實(shí)體，以及任何位于美國的人。

《條例》還授權(quán)司法部補(bǔ)充這些類別的被保險人，指定特定實(shí)體或個人為被保險人，如果他們符合某些標(biāo)準(zhǔn)，例如由有關(guān)國家擁有或控制或受其管轄或指示，或代表有關(guān)國家或另一被保險人行事。

敏感個人數(shù)據(jù)：《行政條例》將“敏感個人數(shù)據(jù)”定義為所涵蓋的個人識別符、地理位置和相關(guān)傳感器數(shù)據(jù)、生物識別識別符、個人健康數(shù)據(jù)、人類基因組數(shù)據(jù)、個人金融數(shù)據(jù)或其任何組合，如果這些數(shù)據(jù)與任何可識別的美國個人或一組離散且可識別的美國個人相關(guān)聯(lián)或可鏈接到該等數(shù)據(jù)，則可被有關(guān)國家利用以危害美國國家安全。

美國司法部計劃在其規(guī)則制定中進(jìn)一步細(xì)化這些敏感個人數(shù)據(jù)類別的范圍，敏感的個人信息將不包括屬于公共記錄事項(xiàng)的數(shù)據(jù)，如合法和普遍可供公眾或個人通信使用的法院或其他政府記錄。

批量閾值和美國政府相關(guān)數(shù)據(jù)：美國司法部的計劃通常只在交易超過規(guī)定的批量(即美國人或美國設(shè)備的閾值數(shù)量)的情況下，才會對六類敏感個人數(shù)據(jù)中的特定類別的數(shù)據(jù)交易進(jìn)行監(jiān)管，然而，這些大宗交易將不適用于涉及某些美國政府相關(guān)數(shù)據(jù)的交易，該計劃將監(jiān)管涉及美國政府人員或地點(diǎn)的敏感個人數(shù)據(jù)的數(shù)據(jù)交易，無論此類數(shù)據(jù)量有多大。

對于與政府相關(guān)的人事數(shù)據(jù)，ANPRM將考慮將重點(diǎn)放在交易方(如數(shù)據(jù)經(jīng)紀(jì)人)銷售的與現(xiàn)任或最近的前雇員或承包商或前聯(lián)邦政府高級官員(包括情報界和軍方)有關(guān)聯(lián)或可鏈接的敏感個人數(shù)據(jù)。對于與美國政府有關(guān)地點(diǎn)的數(shù)據(jù)，ANPRM將考慮將重點(diǎn)放在地理位置數(shù)據(jù)上，這些數(shù)據(jù)與該部將在公共名單上指定的地理圍欄區(qū)域內(nèi)的某些敏感地點(diǎn)相鏈接或可鏈接。

涵蓋數(shù)據(jù)交易：即將發(fā)布的ANPRM考慮確定美國人與受關(guān)注國家或覆蓋人之間的兩類被禁止的數(shù)據(jù)交易：

• 數(shù)據(jù)經(jīng)紀(jì)交易
• 涉及轉(zhuǎn)移大量人類基因組數(shù)據(jù)或可從中獲得此類數(shù)據(jù)的生物標(biāo)本的基因組數(shù)據(jù)交易

ANPRM將進(jìn)一步考慮確定三類受限數(shù)據(jù)交易：

• 涉及提供商品和服務(wù)的供應(yīng)商協(xié)議(包括云服務(wù)協(xié)議)
• 就業(yè)協(xié)議
• 投資協(xié)定

國土安全部的網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施局(CISA)將為這些受限制的交易制定安全要求。

豁免數(shù)據(jù)交易：《行政條例》載有，ANPRM將考慮對數(shù)據(jù)交易給予幾項(xiàng)全面豁免，這些豁免將被排除在監(jiān)管之外，其程度如下：

• 已受監(jiān)管的金融交易
• 工資或人力資源等普通輔助業(yè)務(wù)業(yè)務(wù)
• 美國政府及其承包商、雇員和受贈人的活動，如聯(lián)邦資助的保健和研究活動，供資機(jī)構(gòu)將自行管理這些活動
• 聯(lián)邦法律或國際協(xié)定要求或授權(quán)的交易，如交換旅客艙單或國際刑警組織的請求

許可和咨詢意見：行政命令指示，ANPRM將考慮發(fā)放一般和具體的許可證和咨詢意見，允許公司和個人申請規(guī)則的例外，以從事特定的數(shù)據(jù)交易，司法部將在國務(wù)院、商務(wù)部和國土安全部的同意下做出許可決定。

保護(hù)個人數(shù)據(jù)的其他政府機(jī)構(gòu)行動

根據(jù)司法部的一個分支機(jī)構(gòu)《行政命令》，美國電信服務(wù)部門外國參與評估委員會(又稱Team Telecom)將在審查海底電纜牌照時考慮對美國人敏感個人數(shù)據(jù)的威脅。

環(huán)境保護(hù)局還指示國防部、衛(wèi)生與公眾服務(wù)部、退伍軍人事務(wù)部和國家科學(xué)基金會考慮采取步驟，利用其現(xiàn)有的授權(quán)和合同權(quán)力，禁止支持或以其他方式減輕向受關(guān)注國家和受保人員轉(zhuǎn)移敏感健康數(shù)據(jù)和人類基因組數(shù)據(jù)的聯(lián)邦資金。

行政命令進(jìn)一步鼓勵消費(fèi)者金融保護(hù)局考慮采取措施，解決數(shù)據(jù)經(jīng)紀(jì)商在助長國家安全風(fēng)險方面所扮演的角色，包括繼續(xù)推進(jìn)2023年9月消費(fèi)者報告規(guī)則制定小企業(yè)咨詢小組確定的《公平信用報告法》下的規(guī)則制定建議。

敏感數(shù)據(jù)執(zhí)行命令朝著正確的方向邁出了一步

隱私觀察人士似乎對政府的行動表示歡迎，Snell&Wilmer網(wǎng)絡(luò)安全、數(shù)據(jù)保護(hù)和隱私實(shí)踐小組的聯(lián)席主席Aloke Chakravarty告訴記者：“政府正試圖領(lǐng)先于一種已經(jīng)持續(xù)了一段時間的做法”。

值得注意的是，拜登的行政命令并沒有禁止數(shù)據(jù)經(jīng)紀(jì)人在國內(nèi)銷售美國人的敏感數(shù)據(jù)的有爭議和侵犯隱私的做法?！拔艺J(rèn)為這提供了一些有力的證據(jù)，如果有事實(shí)依據(jù)表明國內(nèi)數(shù)據(jù)經(jīng)紀(jì)商正在進(jìn)一步向這些制裁或被禁止的國家出售所持股份，那么我認(rèn)為它提供了一種強(qiáng)制執(zhí)行機(jī)制，通過司法部武器庫中的工具?！?/p>

信息技術(shù)產(chǎn)業(yè)理事會(ITI)負(fù)責(zé)政策的高級副總裁兼總法律顧問約翰·米勒表示：“我們贊賞拜登政府旨在制定有針對性的規(guī)則，以應(yīng)對特定的國家安全威脅，并以確保必要和強(qiáng)有力的利益相關(guān)者參與的機(jī)會的方式來構(gòu)建規(guī)則制定過程”，他補(bǔ)充說：“政府還明確表示，今天的行動不能取代聯(lián)邦隱私法，后者是保護(hù)美國人個人數(shù)據(jù)的最強(qiáng)有力和最全面的方式?！?/p>

R Street Institute網(wǎng)絡(luò)安全和新興威脅團(tuán)隊(duì)的政策主管布蘭登·普格(Brandon Pugh)表示，這一行政命令是保護(hù)美國人的數(shù)據(jù)不被相關(guān)國家利用的“正確方向上的一步”，但還需要采取額外的行動。關(guān)于CISA確立的安全要求、如何解決豁免和例外情況，以及簡化許可證和咨詢意見的流程，“成功的關(guān)鍵將是正確實(shí)施和配套法規(guī)，以確保貿(mào)易、創(chuàng)新、普通商業(yè)慣例和數(shù)據(jù)流協(xié)議等現(xiàn)有法律框架不會受到不當(dāng)影響?！?/p>