美国将立法禁止向敌对国家出口公民个人数据
2021-04-22
来源:关键基础设施安全应急响应中心
《保护美国人的数据免受外国监视法案》将建立一个跨部门小组对数据进行分类,然后制定一份禁止进口可能威胁国家安全的个人数据的国家名单。
本周出台的立法将规定,企业将生活在美国的人产生的数据出口到某些国家是非法行为,因为这些数据可能会对国家安全构成威胁。
联邦机构已经对可以销往国外的技术和工业数据进行了监管,但俄勒冈州民主党参议员Ron Wyden提出的一项新法案将是第一个禁止第三方出售个人数据的法案。
Wyden在介绍这项立法后的一份声明中说:“不正当的数据经纪人,不应该通过向外国出售美国人的私人数据来发财,而这些数据可能会威胁到我们的国家安全。我的法案将就敏感数据在海外如何以及在哪里共享制定常识性规则,以确保外国犯罪分子和间谍不会染指这些数据。”
但为了保护数据,监管者首先必须知道他们到底在监管什么。
《保护美国人的数据免受外国监视法案》将首先对人们每天产生的个人数据类型进行分类,并确定哪些数据类型可能会被利用,从而损害美国的利益。在确定类别时,将指示监管机构审查商业实体收集的数据、已经与外国对手共享的数据以及可识别和匿名的数据。
这项分类工作将在法案颁布一年后完成,涉及多个机构,它们将共同努力。
根据怀登办公室发布的信息,在编制类别清单时,应考虑公开可获得的信息、来自情报界、美国外国投资委员会的机密信息、根据第31 CFR 800.241规定的个人数据类别、商务部成立的咨询委员会的意见、独立隐私专家和第一修正案专家的建议以及公开通知和评议期。
一旦确定了这些类别,商务部将负责制定这些限制类别下的数据 “出口、再出口或国内转移的出口管制条例”。同时制定一份国家名单,对这些国家的出口将被禁止,除非潜在的出口商能够证明出口、再出口或国内转移不会损害美国的国家安全。
相反,该部门还将负责创建一份公司进口美国数据不需要许可证的国家名单,比如不会对国家安全构成风险的盟友,但这份名单不会那么容易上榜。
根据该法案的摘要细目,“只有在通知国会,并给予国会180天的时间通过联合反对决议提出反对后,才能在这份名单中添加或删除国家。”
该法案还概述了商务部在制定这两份清单时应采用的标准:
外国数据保护、监视和出口管制法律的充分性和执行情况,以确定这些法律是否足以保护个人数据免遭意外丢失、盗窃、未经授权或非法处理; 确保个人数据不被外国政府用于情报目的,损害美国的国家安全; 防止将个人数据再出口到需要许可证才能从美国直接出口的第三国。
外国政府可以强迫、强迫或付钱给该国境内的人或该国国民披露个人数据的情况。
外国政府是否对美国进行过敌对的情报行动,包括信息作战。
所有这些都不适用于人们如何管理自己的数据,而个人仍然可以自行导出或保留这些数据。
该法律也不适用于新闻业和其他受第一修正案保护的言论,也不适用于加密数据,只要解密密钥不出口即可。