Mitä Bidenin Data Broker EO tarkoittaa yrityksellesi

Monet tiedonvälittäjät myyvät mielellään kaikenlaisia ​​henkilökohtaisia ​​tietoja Yhdysvaltain kansalaisista. Yhdistä nämä tiedot ja saat pelottavan yksityiskohtaista tietoa monista ihmisistä fyysisesti haavoittuvista poliittisesti merkittäviin.

Lainsäätäjät ovat yhä hermostuneempia riskeistä, joita ulkomainen vastustaja ostaa kyseiset tiedot, mikä voi vaihdella kiristämisestä fyysiseen vahinkoon. Helmikuun 28. päivänä Valkoinen talo otti uuden askeleen uhan lieventämiseksi.

Ulkomaisten tietovirtojen huolen historia

- Executive Order Amerikkalaisten arkaluontoisten henkilötietojen ja Yhdysvaltojen hallitukseen liittyvien tietojen pääsyn estäminen huolenaiheiden maiden mukaan on viimeisin Valkoisen talon toimien sarjassa turvatakseen amerikkalaisten henkilötietoja.

Trumpin hallinto julkaisi 15. toukokuuta 2019 Tieto- ja viestintätekniikan ja -palvelujen toimitusketjun turvaaminen. Tuo EO julisti kansallisen hätätilan ulkomaisen IT- ja viestintätekniikan käyttöön.

Bidenin Valkoinen talo myönsi hätätilanteen 9. kesäkuuta 2021 toisessa EO:ssa, Amerikkalaisten arkaluonteisten tietojen suojaaminen ulkomaisilta vihollisilta. Tämä vaati riskianalyysiä Yhdysvaltojen kansalaisten tietojen jakamisesta ulkomaille aiheutuvista vaaroista sekä suosituksia toimeenpanotoimista.

Viimeisin EO on vastaus tähän analyysiin. Siinä todetaan hallinnon pelot siitä, että ulkomaiset pahantahtoiset toimijat voisivat käyttää tekoälyä ja muita teknologioita saadakseen uusia oivalluksia Yhdysvaltain kansalaisia ​​koskevista tiedoista. Se on huolissaan kaikkia kansalaisia ​​koskevista tiedoista, mutta se erottaa armeijan ja muut hallitukselle työskentelevät henkilöt sekä haavoittuvia ryhmiä, kuten toisinajattelijoita.

Asiakirjassa vaaditaan ministeriöitä suojelemaan näitä ryhmiä useilla toimenpiteillä, mukaan lukien merenalaisten tiedonsiirtokaapeleiden lupien tutkimisen priorisoiminen (kysymys, joka esitettiin ensimmäisen kerran toisessa Trumpin aikaisessa EO:ssa 4 alkaen. Valkoinen talo toivoo, että tämä priorisointi auttaa estämään huolta aiheuttavia maita manipuloimasta lisenssinsaajia nostamaan tietoja johtoista.

Terveydenhuollon tutkijat ovat toinen EO:n kohde. Se määräsi eri toimeenpanoelinten osastoja antamaan sääntöjä terveydenhuollon massatietojen, mukaan lukien biologisten tietojen, kuten genomiikan, hallinnasta.

Tietovälittäjien huomioiminen

EO myös nollautuu tiedonvälittäjiin.

"Tiedonvälitysalan yksiköt mahdollistavat pääsyn arkaluontoisiin henkilötietoihin ja Yhdysvaltojen hallitukseen liittyviin tietoihin huolenaiheiden maiden ja kattamien henkilöiden osalta", siinä sanotaan. "Nämä tahot muodostavat erityisen riskin osallistua tässä määräyksessä kuvattuun kansalliseen hätätilanteeseen, koska ne keräävät, kokoavat, arvioivat ja levittävät rutiininomaisesti suuria arkaluonteisia henkilötietoja ja Yhdysvaltojen hallitukseen liittyvien Yhdysvaltoja koskevien tietojen osajoukkoa. kuluttajat."

Se koskee tätä alaa kieltämällä yhdysvaltalaisia ​​tekemästä liiketoimia, jotka sisältävät suuria arkaluontoisia henkilötietoja huolta aiheuttavia maita edustavien ulkomaalaisten kanssa. Nämä tiedot sisältävät joitain henkilökohtaisia ​​ja biometrisiä tunnisteita sekä maantieteellistä sijaintia ja niihin liittyviä anturitietoja, biologisia ja henkilökohtaisia ​​terveystietoja sekä henkilökohtaisia ​​taloudellisia tietoja. Sääntöön on poikkeuksia, mukaan lukien tietojen toimittaminen rahoituspalveluja tai säännösten noudattamista varten.

Tavallisten yritysten, joiden pääasiallinen liiketoiminta ei ole tietojen myynti, ei kuitenkaan pitäisi olla huolissaan. EO toteaa, että määräyksen tarkoituksena ei ole kieltää kaupallisia tapahtumia "mukaan lukien taloudellisten ja muiden tietojen vaihto osana kaupallisten tavaroiden ja palveluiden myyntiä" näiden maiden kanssa. Se ei myöskään yritä häiritä laajempia kauppasuhteita. Asiakirjassa selitetään, että kyse on pääsystä arkaluonteisiin joukkotietoihin.

Valkoinen talo luottaa osittain Consumer Financial Protection Bureau (CFPB) auttamaan tiedonvälittäjien saamisessa lain soveltamisalaan. Tiedonvälittäjille ei ole erityistä liittovaltion asetusta, mutta kuluttajaraportointivirastoja (CRA) säätelee vuoden 1970 Fair Credit Reporting Act (FCRA).

Sen ehdotettu säännöstö, CFPB pahoitteli, että yli puoli vuosisataa sen käyttöönoton jälkeen lain määritelmä luottoluokituslaitoksesta on nyt liian suppea ja että jotkut tiedonvälittäjät käsittelivät arkaluonteisia henkilötietoja ilman, että heidän oli noudatettava sen tietosuojavaltuutusta. Ehdotettuihin toimenpiteisiin kuuluu soveltamisalan laajentaminen, jotta kyseiset välittäjät voidaan määritellä raportoijiksi, ja niiden saattaminen mukaan.

Claude Mandyn mukaan kysymys on, voivatko tiedonvälittäjät rajoittaa myyntiä ulkomaalaisille. Mandy on Symmetry Systemsin johtava tietoturvaevankelista, joka auttaa yrityksiä ymmärtämään, missä heidän arkaluontoiset tiedot ovat, miten niitä on käytetty ja kuka niitä on käyttänyt. Näihin kysymyksiin vastaaminen on vaikeampaa kuin miltä näyttää, hän varoittaa.

"Joka kerta kun siirrymme organisaatioon, näemme haasteet, joita heillä on hallita tietovirtaa ja ymmärtää, mitä dataa heillä on", hän kertoo ISMS.online-sivustolle.
Mandy varoittaa myös, että tietoja myydään säännöllisesti kolmansille osapuolille, jotka sitten myyvät sen itselleen, luoden toimitusketjun, joka on parhaimmillaan hämärä.

"He eivät tiedä, kenelle se lähetetään. He eivät tiedä, kenellä on pääsy siihen. Eikä siihen tietovirtaan ensimmäisten periaatteiden perusteella puututa”, hän sanoo. ”Kuinka monta kerrosta syvälle voi mennä kuoriyhtiöiden ja ulkomaisen omistuksen kanssa, ennen kuin lopullisen aseman löytäminen on kestämätöntä? Ja sitä me pyydämme heitä tekemään tämän toimeenpanomääräyksen kanssa."

Aika harkita datakäytäntöjä uudelleen

Cobun Zweifel-Keegan, Washington DC:n toimitusjohtaja International Association of Privacy Professionals -järjestöstä (IAPP), sanoo, että kun valtion virastot lopulta luovat erityisiä sääntöjä, tiedonvälittäjien on ehkä harkittava uudelleen tietojenhallintaansa. Se ei ehkä ole huono asia, hän lisää.

"Tiettyjen tietokokonaisuuksien kontekstin ja mahdollisten haittojen ymmärtäminen on tunnettu haaste, joka yrityksen pitäisi jo ottaa huomioon", hän kertoo ISMS.onlinelle.

Yksi laki sitoo heidät kaikki?

Tällä välin liittovaltion hallitus jatkaa laajemman liittovaltion tietosuojalain painostusta. Uusin ehdotus on luonnos American Privacy Rights Act -lakista, jonka mukaan amerikkalaiset voivat valvoa, mitä tietoja yritykset voivat kerätä ja säilyttää heistä, ja estää tietojensa siirtämisen muille.

Kun odotamme, että keskusteluluonnoksesta tulee todellinen lakiesitys, kukkulalla on muitakin yrityksiä tiedonvälittäjien hillitsemiseksi. Lainsäätäjät esittelivät HR 7521:n, lain Protecting Americans from Foreign Adversary Controlled Applications (Julkaistiin TikTok-kiellona) ja HR 7520, vuoden 2024 amerikkalaisten tietojen suojaaminen vierailta vastustajilta. Kuten Februraryn EO, viimeksi mainittu keskittyy tukahduttamaan tiedonvälittäjien tietojen myyntiä ulkomaisille tahoille.

Koska sekä Valkoinen talo että edustajainhuone ovat innokkaita tiukentamaan tiedonvälittäjiin kohdistuvia paineita, yksilöiden tietojen myyntiin keskittyvien yritysten olisi viisasta tutkia käytäntöjään.

"Tiedonvälittäjät ovat varmasti huomanneet, että poliittiset päättäjät ovat huolissaan käytännöistä, joissa on mukana ulkomaisia ​​vastustajia ja jopa tietojen myyntiä esteettömillä tavoilla ja muissa yhteyksissä", Zweifel-Keegan sanoo. "Ei todellakaan ole aika levätä laakereillaan, koska tämä on vain yksi monista liikkuvista politiikan kohteista, jotka ovat lähestymässä tiedonvälittäjien käytäntöjä."