США представили новый план по защите данных от иностранной разведки.
Министерство юстиции США опубликовало проект новых правил, которые помогут регулировать передачу данных в зарубежные страны. Документ уточняет меры, которые ограничат или запретят сделки с данными, если они могут создать риски для безопасности.
В феврале 2024 года президент Байден подписал указ, который направлен на предотвращение доступа иностранных государств к чувствительным данным. В число стран вошли Китай, Россия, Иран, Северная Корея, Куба и Венесуэла. В новом документе обозначены те же страны.
Предлагаемые правила вводят ограничения на транзакции, которые могут предоставить доступ к таким данным. NPRM выделяет несколько категорий данных, на которые распространяются новые меры: биометрические и геномные данные, геолокация, данные о здоровье, а также финансовая информация. Меры затрагивают ситуации, когда собранные данные могут быть связаны с конкретными американцами или группами лиц.
Регламент предусматривает запрет на передачу данных в случае превышения установленных объёмов. Например, компаниям США запрещено передавать:
Особые меры применяются к данным, принадлежащим военнослужащим и госслужащим: передача такой информации категорически запрещена. Аналогичный запрет распространяется на сделки с данными, если есть основания полагать, что они окажутся в распоряжении одной из целевых стран. Основное внимание будет уделено брокерам данных, занимающимся продажей собранной информации третьим лицам.
Представители администрации подчеркивают, что продажа данных в зарубежные страны представляет серьёзную угрозу нацбезопасности, поскольку полученные сведения могут использоваться для кибератак, слежки за государственными объектами, создания кампаний по дезинформации и отслеживания лидеров в сфере безопасности. Также данные могут использоваться для слежки за диссидентами и журналистами и анализа повседневной активности граждан США.
Особое внимание уделено контролю за транзакциями, которые могут обойти ограничения. В документе указано, что Министерство юстиции будет иметь право вводить запреты на определённые сделки и требовать от компаний предоставления отчетов о таких транзакциях. Дополнительно NPRM включает механизмы лицензирования и возможности получения разъяснений от ведомства для участников рынка.
Проект правил также вводит несколько исключений. Они касаются:
В качестве мер соблюдения новых правил ведомство предлагает компаниям внедрить программы соответствия требованиям безопасности, включая контроль доступа и шифрование данных. В случае нарушений могут быть применены гражданские штрафы до $368 136, а за умышленные нарушения предусмотрены уголовные наказания до 20 лет лишения свободы.
Минюст подчёркивает, что правила не затронут платформы социальных сетей и приложения, а также не предполагают новых полномочий по надзору за личными данными американцев.
Лечим цифровую неграмотность без побочных эффектов