美国发布保护个人数据免遭外国对手攻击的最终规则

美国司法部发布了执行第 14117 号行政命令的最终规定，该命令旨在解决美国人大量敏感个人数据被俄罗斯和其他外国对手访问和利用的风险。

该和行政命令还涵盖某些美国政府相关数据，旨在防止数据经纪人向俄罗斯、朝鲜、伊朗、古巴和委内瑞拉等国以及被归类为“受保人”的某些个人和实体提供大量美国人的个人信息。

根据该行政命令，关注国家和相关人员可以访问、利用和武器化美国人的个人数据和美国政府相关数据，以进行网络攻击和影响活动，并跟踪和创建美国公民（如军事人员、情报界成员、联邦雇员和承包商）的档案，用于各种非法目的。

美国司法部表示：“关注国家和相关人员还可以利用这些数据收集有关活动人士、学者、记者、异见人士、政治对手或非政府组织或边缘化社区成员的信息，以恐吓他们；遏制政治反对派；限制言论、和平集会或结社自由；或实施其他形式的压制公民自由的行为。”

美国认为，相关国家还可能利用大量敏感数据来开发和增强威胁国家安全的人工智能能力和算法，包括针对特定人群进行勒索、间谍和胁迫。

最终规则为生物识别符、人类基因组数据、地理位置、健康信息、财务数据和个人识别符等个人数据设定了具体的阈值，并详细说明了获得授权特定数据交易的许可证的流程。

该文件还描述了指定相关人员的规程，并指出美国司法部根据关注国家长期从事不利于美国的网络活动的模式指定了关注国家，并且该部门有权根据关注国家的行为修改关注国家名单。

美国司法部表示：“最终规则符合美国致力于促进开放、全球、可互操作、可靠和安全的互联网的承诺；保护线上和线下的人权；通过促进国际商业和贸易所需的跨境数据流动来支持充满活力的全球经济；并促进开放投资。”

该规则不强加数据本地化要求，不要求重新安置计算机来处理此类数据，不禁止美国公民在相关国家开展研究或与相关人员合作共享数据，只要“该活动不涉及作为相关数据交易一部分的付款或其他对价的交换”。

美国司法部指出：“最终规则也没有广泛禁止美国个人从事商业交易，包括与关注国家或涵盖人员在销售商业商品和服务的过程中交换财务和其他数据，或采取措施更广泛地切断美国与其他国家之间的重大消费者、经济、科学和贸易关系。”

最终规则将在发布后 90 天生效，而某些积极尽职调查、审计要求和报告将在发布后 270 天生效。

此外，据GovInfo Security报道，美国卫生与公众服务部即将公布一项拟议规则制定通知，要求医疗保健机构通过加密、合规性检查和更新的网络标准更好地保护患者数据，以符合《健康保险流通与责任法案》（HIPAA ）。

— 欢迎关注