Цифровой занавес: США ужесточают правила передачи данных в недружественные страны

Министерство юстиции США опубликовало проект новых правил, которые помогут регулировать передачу данных в зарубежные страны. Документ уточняет меры, которые ограничат или запретят сделки с данными, если они могут создать риски для безопасности.

В феврале 2024 года президент Байден подписал указ, который направлен на предотвращение доступа иностранных государств к чувствительным данным. В число стран вошли Китай, Россия, Иран, Северная Корея, Куба и Венесуэла. В новом документе обозначены те же страны.

Предлагаемые правила вводят ограничения на транзакции, которые могут предоставить доступ к таким данным. NPRM выделяет несколько категорий данных, на которые распространяются новые меры: биометрические и геномные данные, геолокация, данные о здоровье, а также финансовая информация. Меры затрагивают ситуации, когда собранные данные могут быть связаны с конкретными американцами или группами лиц.

Регламент предусматривает запрет на передачу данных в случае превышения установленных объёмов. Например, компаниям США запрещено передавать:

• генетическую информацию более 100 человек в течение года в указанные страны;
• геоданные и биометрические идентификаторы более 1 000 граждан;
• финансовую и медицинскую информацию более 10 000 человек;
• персональные данные свыше 100 000 человек. Персональными данными в данном случае считаются имена, связанные с идентификаторами устройств, а также номера социального страхования (SSN) и водительских удостоверений.

Особые меры применяются к данным, принадлежащим военнослужащим и госслужащим: передача такой информации категорически запрещена. Аналогичный запрет распространяется на сделки с данными, если есть основания полагать, что они окажутся в распоряжении одной из целевых стран. Основное внимание будет уделено брокерам данных, занимающимся продажей собранной информации третьим лицам.

Представители администрации подчеркивают, что продажа данных в зарубежные страны представляет серьёзную угрозу нацбезопасности, поскольку полученные сведения могут использоваться для кибератак, слежки за государственными объектами, создания кампаний по дезинформации и отслеживания лидеров в сфере безопасности. Также данные могут использоваться для слежки за диссидентами и журналистами и анализа повседневной активности граждан США.

Особое внимание уделено контролю за транзакциями, которые могут обойти ограничения. В документе указано, что Министерство юстиции будет иметь право вводить запреты на определённые сделки и требовать от компаний предоставления отчетов о таких транзакциях. Дополнительно NPRM включает механизмы лицензирования и возможности получения разъяснений от ведомства для участников рынка.

Проект правил также вводит несколько исключений. Они касаются:

• операций правительства США;
• финансовых и медицинских транзакций;
• международных соглашений и телекоммуникационных услуг.

В качестве мер соблюдения новых правил ведомство предлагает компаниям внедрить программы соответствия требованиям безопасности, включая контроль доступа и шифрование данных. В случае нарушений могут быть применены гражданские штрафы до $368 136, а за умышленные нарушения предусмотрены уголовные наказания до 20 лет лишения свободы.

Минюст подчёркивает, что правила не затронут платформы социальных сетей и приложения, а также не предполагают новых полномочий по надзору за личными данными американцев.