Цифровой занавес: США ужесточают правила передачи данных в недружественные страны

США представили новый план по защите данных от иностранной разведки.


367br1g6f35txgxzjp4nhho8c09fedxp.jpg


Министерство юстиции США опубликовало проект новых правил, которые помогут регулировать передачу данных в зарубежные страны. Документ уточняет меры, которые ограничат или запретят сделки с данными, если они могут создать риски для безопасности.

В феврале 2024 года президент Байден подписал указ, который направлен на предотвращение доступа иностранных государств к чувствительным данным. В число стран вошли Китай, Россия, Иран, Северная Корея, Куба и Венесуэла. В новом документе обозначены те же страны.

Предлагаемые правила вводят ограничения на транзакции, которые могут предоставить доступ к таким данным. NPRM выделяет несколько категорий данных, на которые распространяются новые меры: биометрические и геномные данные, геолокация, данные о здоровье, а также финансовая информация. Меры затрагивают ситуации, когда собранные данные могут быть связаны с конкретными американцами или группами лиц.

Регламент предусматривает запрет на передачу данных в случае превышения установленных объёмов. Например, компаниям США запрещено передавать:

  • генетическую информацию более 100 человек в течение года в указанные страны;
  • геоданные и биометрические идентификаторы более 1 000 граждан;
  • финансовую и медицинскую информацию более 10 000 человек;
  • персональные данные свыше 100 000 человек. Персональными данными в данном случае считаются имена, связанные с идентификаторами устройств, а также номера социального страхования (SSN) и водительских удостоверений.

Особые меры применяются к данным, принадлежащим военнослужащим и госслужащим: передача такой информации категорически запрещена. Аналогичный запрет распространяется на сделки с данными, если есть основания полагать, что они окажутся в распоряжении одной из целевых стран. Основное внимание будет уделено брокерам данных, занимающимся продажей собранной информации третьим лицам.

Представители администрации подчеркивают, что продажа данных в зарубежные страны представляет серьёзную угрозу нацбезопасности, поскольку полученные сведения могут использоваться для кибератак, слежки за государственными объектами, создания кампаний по дезинформации и отслеживания лидеров в сфере безопасности. Также данные могут использоваться для слежки за диссидентами и журналистами и анализа повседневной активности граждан США.

Особое внимание уделено контролю за транзакциями, которые могут обойти ограничения. В документе указано, что Министерство юстиции будет иметь право вводить запреты на определённые сделки и требовать от компаний предоставления отчетов о таких транзакциях. Дополнительно NPRM включает механизмы лицензирования и возможности получения разъяснений от ведомства для участников рынка.

Проект правил также вводит несколько исключений. Они касаются:

  • операций правительства США;
  • финансовых и медицинских транзакций;
  • международных соглашений и телекоммуникационных услуг.

В качестве мер соблюдения новых правил ведомство предлагает компаниям внедрить программы соответствия требованиям безопасности, включая контроль доступа и шифрование данных. В случае нарушений могут быть применены гражданские штрафы до $368 136, а за умышленные нарушения предусмотрены уголовные наказания до 20 лет лишения свободы.

Минюст подчёркивает, что правила не затронут платформы социальных сетей и приложения, а также не предполагают новых полномочий по надзору за личными данными американцев.