Wat Biden se datamakelaar EO vir u besigheid beteken
INHOUDSOPGAWE:
Baie data makelaars verkoop graag alle soorte persoonlike inligting oor Amerikaanse burgers. Voeg hierdie data saam en jy kan skrikwekkend gedetailleerde intelligensie kry oor 'n wye verskeidenheid mense, van fisies kwesbaar tot polities prominentes.
Wetgewers is toenemend senuweeagtig oor die risiko's van 'n buitelandse teëstander wat daardie data koop, wat kan wissel van afpersing tot fisiese skade. Op 28 Februarie het die Withuis nog 'n stap geneem om die bedreiging te versag.
'n Geskiedenis van kommer oor buitelandse datavloei
Die Executive Order oor die voorkoming van toegang tot Amerikaners se grootmaat sensitiewe persoonlike data en Amerikaanse regeringsverwante data deur lande van kommer is die jongste in 'n reeks stappe wat die Withuis geneem het om Amerikaners se persoonlike data te beveilig.
Op 15 Mei 2019 het die Trump-administrasie uitgereik Beveilig die Inligting- en Kommunikasietegnologie- en Dienstevoorsieningsketting. Dié EO het 'n nasionale noodgeval verklaar oor die gebruik van buitelandse IT- en kommunikasietegnologie.
Die Biden Withuis het daardie noodgeval op 9 Junie 2021 in 'n ander EO erken, Beskerming van Amerikaners se sensitiewe data teen buitelandse teëstanders. Dit het gevra vir 'n risiko-ontleding van die gevare van die deel van Amerikaanse burgers se data oorsee, tesame met aanbevelings vir uitvoerende optrede.
Die jongste EO is 'n reaksie op daardie ontleding. Dit verklaar die administrasie se vrese dat kwaadwillige akteurs oorsee KI en ander tegnologieë kan gebruik om nuwe insigte uit data oor Amerikaanse burgers te ontgin. Dit het kommer oor data oor enige burgers, maar sonder individue in die weermag en ander wat vir die regering werk uit, saam met kwesbare groepe insluitend andersdenkendes.
Die dokument vra dat regeringsdepartemente hierdie groepe moet beskerm deur verskeie maatreëls, insluitend die prioritisering van die ondersoek van lisensies vir ondersese data-oordragkabels ('n kwessie wat die eerste keer geopper is in nog 'n Trump-era EO vanaf 4 April 2020. Die Withuis hoop dat hierdie prioritisering sal help om lande van kommer te keer om lisensiehouers te manipuleer om data van die drade af te lig.
Gesondheidsorgnavorsers is nog 'n teiken van die EO. Dit het verskeie uitvoerende takdepartemente beveel om reëls oor die bestuur van grootmaat gesondheidsorginligting uit te reik, insluitend tipes biologiese data soos genomika.
Stel datamakelaars op kennisgewing
Die EO stel ook in op datamakelaars.
"Entiteite in die datamakelaarsbedryf maak toegang tot grootmaat sensitiewe persoonlike data en Amerikaanse regeringsverwante data deur lande van kommer en gedekte persone moontlik," sê dit. “Hierdie entiteite hou 'n besondere risiko in om by te dra tot die nasionale noodgeval wat in hierdie bevel beskryf word omdat hulle gereeld betrokke raak by die versameling, samestelling, evaluering en verspreiding van grootmaat sensitiewe persoonlike data en van die subset van Amerikaanse regering-verwante data rakende die Verenigde State. verbruikers.”
Dit spreek hierdie sektor aan deur diegene in die VSA te verbied om transaksies aan te gaan wat grootmaat sensitiewe persoonlike data behels met buitelandse burgers wat lande van kommer verteenwoordig. Daardie data sluit sekere persoonlike en biometriese identifiseerders in, saam met geoligging en verwante sensordata, biologiese en persoonlike gesondheidsdata en persoonlike finansiële data. Daar is vrystellings op die reël, insluitend die verskaffing van inligting vir finansiële dienste of vir regulatoriese nakoming.
Gereelde maatskappye wie se primêre besigheid nie data verkoop nie, moet egter nie bekommerd wees nie. Die EO verklaar dat die bevel nie ontwerp is om kommersiële transaksies “insluitend die uitruil van finansiële en ander data as deel van die verkoop van kommersiële goedere en dienste” met hierdie lande te verbied nie. Dit poog ook nie om breër handelsverhoudinge te ontwrig nie. Dit gaan alles oor toegang tot sensitiewe grootmaatdata, verduidelik die dokument.
Die Wit Huis sal deels staatmaak op die Buro vir Finansiële Beskerming vir Verbruikers (CFPB) om te help om datamakelaars binne die bestek van die wet te bring. Daar is geen spesifieke federale regulasie vir datamakelaars nie, maar verbruikersverslagdoeningsagentskappe (CRA's) word gereguleer onder die 1970 Fair Credit Reporting Act (FCRA).
In sy voorgestelde reëlvorming, het die CFPB bekommerd dat die wet se definisie van 'n CRA meer as 'n halfeeu ná die bekendstelling daarvan nou te eng is en dat sommige datamakelaars sensitiewe persoonlike inligting hanteer het sonder om aan sy privaatheidsmandaat te voldoen. Voorgestelde maatreëls sluit in die uitbreiding van die omvang om daardie makelaars as verslagdoeningsagentskappe te definieer, wat hulle in die vou inbring.
Die vraag, volgens Claude Mandy, is of datamakelaars verkope aan buitelandse burgers sal kan beperk. Mandy is hoofevangelis vir datasekuriteit by Symmetry Systems, wat maatskappye help om te verstaan waar hul sensitiewe data is, hoe dit gebruik is en deur wie. Om daardie vrae te beantwoord is moeiliker as wat dit lyk, waarsku hy.
"Elke keer as ons by 'n organisasie ingaan, sien ons die uitdagings wat hulle het om die vloei van data te beheer en te verstaan watter data hulle het," vertel hy aan ISMS.online.
Mandy waarsku ook dat data gereeld aan derde partye verkoop word wat dit dan op hulself verkoop, wat 'n voorsieningsketting skep wat op sy beste troebel is.
“Hulle weet nie na wie dit gestuur word nie. Hulle weet nie wie toegang daartoe het nie. En daardie vloei van data vanaf eerste beginsels word nie aangepak nie,” sê hy. “Met dopmaatskappye en buitelandse eienaarskap, hoeveel lae diep kan jy gaan voordat dit onhoudbaar word om daardie finale posisie te vind? En dit is wat ons hulle vra om te doen met hierdie Uitvoerende Bevel.”
Tyd om datapraktyke te heroorweeg
Cobun Zweifel-Keegan, Washington DC besturende direkteur by die International Association of Privacy Professionals (IAPP), sê dat wanneer die regeringsagentskappe uiteindelik spesifieke reëls skep, datamakelaars dalk hul databestuur moet heroorweeg. Dit is dalk nie 'n slegte ding nie, voeg hy by.
"Om die konteks en potensiële skade van sekere datastelle te verstaan is 'n bekende uitdaging wat 'n maatskappy reeds in ag behoort te neem," sê hy aan ISMS.online.
Een wet om hulle almal te bind?
Intussen gaan die federale regering voort om aan te dring op 'n breër federale privaatheidswet. Die jongste voorstel is die konsep Amerikaanse Wet op Privaatheidsregte, wat Amerikaners sal toelaat om te beheer watter data maatskappye oor hulle kan insamel en hou, en om te verhoed dat hul data aan ander oorgedra word.
Terwyl ons wag dat daardie konsepbespreking 'n werklike wetsontwerp word, is daar ander pogings op die Heuwel om datamakelaars in toom te hou. Wetgewers het HR 7521 bekendgestel, die Wet op die Beskerming van Amerikaners teen buitelandse teëstanders beheerde toepassings (gepubliseer as die TikTok-verbod) en HR 7520, die Wet op die Beskerming van Amerikaners se data teen buitelandse teëstanders van 2024. Soos Februrary se EO, fokus laasgenoemde daarop om datamakelaars se verkoop van inligting aan buitelandse entiteite te verstik.
Met beide die Wit Huis en die Huis van Verteenwoordigers wat gretig is om die druk op datamakelaars te verskerp, sal maatskappye wat daarop fokus om individue se data te verkoop wys wees om hul praktyke te ondersoek.
"Datamakelaars is beslis op die hoogte dat beleidmakers bekommerd is oor praktyke wat buitelandse teëstanders betrek en selfs die verkoop van data op onbelemmerde maniere en in ander kontekste," sê Zweifel-Keegan. “Dit is beslis nie ’n tyd om op jou louere te rus nie, want dit is maar een van vele bewegende beleidsteikens wat besig is om datamakelaarpraktyke te nader.”
