美国新规，管控向中国、俄罗斯等六个敌对国家传输数据

10月21日（周一），美国政府宣布了新的拟议规则，规范向中国、俄罗斯等敌对国家传输数据的行为，对个人和政府信息的共享方式提出了具体要求。

该命令旨在阻止外国敌对势力利用容易获得的美国数据，例如金融、生物识别、精确地理位置、健康、基因组等数据来实施网络攻击或监视美国。

根据政府相关说明书以及政府高级官员的评论，拟议规则规定超过特定的预设数量阈值时，禁止向六个国家（中国、俄罗斯、伊朗、朝鲜、委内瑞拉和古巴）的公司和个人传输数据。

具体规则：美国公司将被限制在任何12个月内向目标国家传输超过100名美国人的基因组数据。超过1000名美国人的地理位置数据和生物识别标识符，超过 10000名美国人的健康和财务数据，以及超过10万名美国人的个人标识符的数据传输也将被禁止。

个人标识符包括与设备ID、社会安全号码和驾照号码相关的姓名。

另外，任何现役军人或联邦工作人员的数据也将被禁止传输。如果数据经纪人兜售的信息会流向这六个国家中的任何一个，那么销售行为也将被禁止。

一位高级政府官员在周一的新闻电话会议上表示，各种规模和类型的美国数据经纪人是该规则的主要目标。第三方数据经纪人、出售数据的公司都将被完全禁止与这六个国家相关的数据交易。

这位官员表示，向这些国家出售数据经纪人的服务和产品，会对国家安全构成严重威胁。这些数据可用于执行网络攻击、制造虚假信息活动、建立用于追踪国家安全领导人的档案、监视和绘制政府设施、威胁持不同政见者和记者以及了解普通美国人的“生活模式”。

进行此类交易的公司需要遵守新的网络安全和基础设施安全局（CISA）监管制度，该制度借鉴了现有的美国国家标准与技术研究院（NIST）网络安全和隐私框架。这些框架包括物理访问控制、数据最小化和加密标准。

某些类别的数据不受这些限制，包括个人通信、电信服务、旅行信息、金融服务、日常行政操作以及美国政府的官方活动。某些类型的药品和医疗器械临床试验数据也将被豁免。

据这位官员称，中国、俄罗斯和其他目标国家已经从数据经纪人和其他人那里购买了敏感的个人和政府数据。

所有从事涉及将美国数据流到目标国家/地区业务的公司都需要遵守记录保存和报告的合规性要求。需要证明他们了解与谁有业务往来，以及传输的数据如何被使用。

该官员表示，违反拟议法规的公司将受到民事处罚和刑事起诉。