Минюст США запретил массовую продажу персональных данных враждебным странам

Министерство юстиции США выпустило финальную версию правила, реализующего президентский указ Executive Order 14117. Документ запрещает массовую передачу персональных данных американских граждан в страны, отнесённые к «странам, вызывающим озабоченность»: Китай (включая Гонконг и Макао), Кубу, Иран, Северную Корею, Россию и Венесуэлу.

Что стоит за инициативой

Указ подписал президент Джо Байден ещё в феврале 2024 года — тогда речь шла о риске несанкционированного доступа враждебных государств к чувствительным персональным и государственным данным американцев для шпионажа, влияния, силовых или кибератак. В тексте указа отмечалось, что такие данные могут использоваться для развития и обучения систем искусственного интеллекта и других передовых технологий, а также приобретаться у коммерческих брокеров данных и других компаний.

Минюст пошёл дальше и указал на ещё одну угрозу: доступ к массивам данных позволяет странам-противникам и связанным с ними лицам вычислять активистов, учёных, журналистов, диссидентов, политических оппонентов, а также участников неправительственных организаций и маргинализированных сообществ — чтобы запугивать их, подавлять политическую оппозицию и ограничивать свободу слова, собраний и объединений.

Помощник генерального прокурора по вопросам национальной безопасности Мэтью Олсен назвал новое правило «важным шагом в противодействии чрезвычайной угрозе национальной безопасности, которую представляет эксплуатация противниками наиболее чувствительных персональных данных американцев». По его словам, программа призвана гарантировать, что личные данные граждан США больше нельзя будет продавать враждебным иностранным державам — ни через прямую покупку, ни через иные формы коммерческого доступа.

Как будет работать правило

Документ вступит в силу через 90 дней после публикации. Он определяет категории запрещённых, ограниченных и освобождённых от регулирования транзакций, устанавливает пороговые значения объёма данных, при превышении которых начинают действовать запреты и ограничения, а также вводит механизмы принуждения — гражданскую и уголовную ответственность.

Под действие правила подпадают шесть категорий данных:

  • персональные идентификаторы (номера социального страхования, водительские удостоверения и т.п.);
  • точные данные геолокации;
  • биометрические идентификаторы;
  • «омические» биологические данные человека — геномные, эпигеномные, протеомные и транскриптомные;
  • данные о состоянии здоровья;
  • финансовые данные.

Что правило не запрещает

При этом Минюст подчеркнул границы регулирования: правило не вводит требований по локализации данных и не запрещает гражданам США проводить медицинские, научные или иные исследования на территории стран, вызывающих озабоченность.

Также документ не устанавливает широкого запрета на коммерческие операции американских лиц — включая обмен финансовыми и прочими данными в рамках продажи товаров и услуг этим странам — и не направлен на разрыв масштабных потребительских, экономических, научных и торговых связей, которые США поддерживают с другими государствами.

Источник: The Hacker News.