Hvad Bidens Data Broker EO betyder for din virksomhed

Mange datamæglere er glade for at sælge alle former for personlige oplysninger om amerikanske statsborgere. Sæt disse data sammen, og du kan få nogle skræmmende detaljerede efterretninger om en bred vifte af mennesker, fra de fysisk sårbare til de politisk fremtrædende.

Lovgivere er i stigende grad nervøse for risikoen for, at en udenlandsk modstander køber disse data, som kan variere fra afpresning til fysisk skade. Den 28. februar tog Det Hvide Hus endnu et skridt for at afbøde truslen.

En historie med bekymring over udenlandske datastrømme

Bekendtgørelse om at forhindre adgang til amerikanernes massefølsomme personlige data og amerikanske regeringsrelaterede data fra bekymringslande er det seneste i en række skridt, som Det Hvide Hus har taget for at sikre amerikanernes personlige data.

Den 15. maj 2019 udstedte Trump-administrationen Sikring af forsyningskæden for informations- og kommunikationsteknologi og tjenester. Den EO erklærede en national nødsituation vedrørende brugen af ​​udenlandsk it- og kommunikationsteknologi.

Det Hvide Hus i Biden anerkendte denne nødsituation den 9. juni 2021 i en anden EO, Beskyttelse af amerikanernes følsomme data fra udenlandske modstandere. Dette krævede en risikoanalyse af farerne ved deling af amerikanske borgeres data i udlandet, sammen med anbefalinger til eksekutiv handling.

Den seneste EO er et svar på den analyse. Det angiver administrationens frygt for, at ondsindede aktører i udlandet kunne bruge kunstig intelligens og andre teknologier til at hente ny indsigt fra data om amerikanske borgere. Den har bekymringer om data om alle borgere, men udpeger enkeltpersoner i militæret og andre, der arbejder for regeringen, sammen med sårbare grupper, herunder dissidenter.

Dokumentet opfordrer regeringsafdelinger til at beskytte disse grupper via adskillige foranstaltninger, herunder prioritering af undersøgelsen af ​​licenser til undersøiske datatransmissionskabler (et problem først rejst i endnu en Trump-æra EO fra 4. april 2020. Det Hvide Hus håber, at denne prioritering vil hjælpe med at forhindre bekymringslande i at manipulere licenstagere til at løfte data fra ledningerne.

Sundhedsforskere er et andet mål for EO. Det pålagde forskellige forvaltningsafdelinger at udstede regler for håndtering af bulk sundhedsinformation, herunder typer af biologiske data såsom genomik.

Sæt datamæglere på varsel

EO nulstiller også datamæglere.

"Enheder i datamæglerbranchen muliggør adgang til følsomme persondata og amerikanske regeringsrelaterede data for lande af bekymring og omfattede personer," hedder det. "Disse enheder udgør en særlig risiko for at bidrage til den nationale nødsituation, der er beskrevet i denne rækkefølge, fordi de rutinemæssigt engagerer sig i indsamling, samling, evaluering og formidling af følsomme personoplysninger i massevis og af undergruppen af ​​USA's regeringsrelaterede data vedrørende USA forbrugere.”

Den henvender sig til denne sektor ved at forbyde dem i USA at indgå transaktioner, der involverer følsomme personoplysninger i massevis, med udenlandske statsborgere, der repræsenterer lande, der giver anledning til bekymring. Disse data inkluderer nogle personlige og biometriske identifikatorer sammen med geolokalisering og relaterede sensordata, biologiske og personlige helbredsdata og personlige økonomiske data. Der er undtagelser fra reglen, herunder levering af oplysninger til finansielle tjenesteydelser eller for lovoverholdelse.

Men almindelige virksomheder, hvis primære forretning ikke er at sælge data, bør ikke være bekymrede. EO siger, at ordren ikke er designet til at forbyde kommercielle transaktioner "herunder udveksling af finansielle og andre data som en del af salg af kommercielle varer og tjenester" med disse lande. Den forsøger heller ikke at forstyrre bredere handelsforbindelser. Det hele handler om adgang til følsomme massedata, forklarer dokumentet.

Det Hvide Hus vil delvist stole på Consumer Financial Protection Bureau (CFPB) for at hjælpe med at bringe datamæglere inden for lovens anvendelsesområde. Der er ingen specifik føderal regulering for datamæglere, men forbrugerrapporteringsbureauer (CRA'er) er reguleret under 1970 Fair Credit Reporting Act (FCRA).

I sin foreslået regeludformningCFPB bekymrede sig over, at over et halvt århundrede efter dens indførelse er lovens definition af et kreditvurderingsbureau nu for snæver, og at nogle datamæglere handlede med følsomme personlige oplysninger uden at skulle overholde dens privatlivsmandat. Foreslåede foranstaltninger omfatter en udvidelse af anvendelsesområdet for at definere disse mæglere som rapporterende bureauer, hvilket bringer dem ind i folden.

Spørgsmålet er ifølge Claude Mandy, om datamæglere vil være i stand til at begrænse salget til udenlandske statsborgere. Mandy er chef for datasikkerhedsevangelist hos Symmetry Systems, som hjælper virksomheder med at forstå, hvor deres følsomme data er, hvordan de er blevet brugt, og af hvem. At besvare de spørgsmål er sværere, end det ser ud til, advarer han.

"Hver gang vi går ind i en organisation, ser vi de udfordringer, de har med at kontrollere strømmen af ​​data og forstå, hvilke data de har," siger han til ISMS.online.
Mandy advarer også om, at data jævnligt sælges til tredjeparter, som derefter sælger dem på sig selv, hvilket skaber en forsyningskæde, der i bedste fald er uklar.

"De ved ikke, hvem det bliver sendt til. De ved ikke, hvem der har adgang til det. Og den datastrøm fra første principper bliver ikke grebet ind,” siger han. ”Med shell-selskaber og udenlandsk ejerskab, hvor mange lag dybt kan man gå, før det bliver uholdbart at finde den endelige position? Og det er det, vi beder dem om med denne bekendtgørelse.”

Tid til at genoverveje datapraksis

Cobun Zweifel-Keegan, administrerende direktør i Washington DC hos International Association of Privacy Professionals (IAPP), siger, at når de offentlige myndigheder til sidst opretter specifikke regler, kan datamæglere være nødt til at genoverveje deres datahåndtering. Det er måske ikke en dårlig ting, tilføjer han.

"At forstå konteksten og potentielle skader ved visse datasæt er en kendt udfordring, som en virksomhed allerede bør tage højde for," siger han til ISMS.online.

En lov, der binder dem alle?

I mellemtiden fortsætter den føderale regering med at presse på for en bredere føderal privatlivslov. Det seneste forslag er udkastet til American Privacy Rights Act, som vil give amerikanere mulighed for at kontrollere, hvilke data virksomheder kan indsamle og opbevare om dem, og for at forhindre, at deres data overføres til andre.

Mens vi venter på, at udkastet til diskussion bliver et egentligt lovforslag, er der andre bestræbelser på bakken for at tøjle datamæglere. Lovgivere introducerede HR 7521, loven om beskyttelse af amerikanere fra udenlandske modstandere kontrollerede applikationer (offentliggjort som TikTok-forbuddet) og HR 7520, Protecting Americans' Data from Foreign Adversaries Act af 2024. Ligesom februars EO, fokuserer sidstnævnte på at kvæle datamægleres salg af information til udenlandske enheder.

Med både Det Hvide Hus og Repræsentanternes Hus ivrige efter at skærpe presset på datamæglere, vil virksomheder, der fokuserer på at sælge enkeltpersoners data, være klogt i at undersøge deres praksis.

"Datamæglere er bestemt opmærksomme på, at politikere er bekymrede over praksis, der involverer udenlandske modstandere og endda salg af data på uhæmmede måder og i andre sammenhænge," siger Zweifel-Keegan. "Det er bestemt ikke et tidspunkt at hvile på laurbærrene, for dette er blot et af mange bevægende politiske mål, der nærmer sig datamæglerpraksis."