Het Amerikaanse ministerie van Justitie (DoJ) heeft een definitieve regel uitgevaardigd ter uitvoering van Executive Order (EO) 14117, die de massale overdracht van persoonlijke gegevens van burgers naar zorgwekkende landen zoals China (inclusief Hong Kong en Macau), Cuba, Iran, Noord-Korea, Rusland en Venezuela.
“Deze laatste regel is een cruciale stap voorwaarts in het aanpakken van de buitengewone dreiging voor de nationale veiligheid die uitgaat van onze tegenstanders die de meest gevoelige persoonlijke gegevens van Amerikanen exploiteren”, aldus assistent-procureur-generaal Matthew G. Olsen van de National Security Division van het ministerie van Justitie.
“Dit krachtige nieuwe nationale veiligheidsprogramma is ontworpen om ervoor te zorgen dat de persoonlijke gegevens van Amerikanen niet langer mogen worden verkocht aan vijandige buitenlandse mogendheden, hetzij door directe aankoop of via andere vormen van commerciële toegang.”
In februari 2024 ondertekende de Amerikaanse president Joe Biden een uitvoerend bevel om het nationale risico aan te pakken dat ontstaat door ongeoorloofde toegang tot gevoelige persoonlijke en overheidsgerelateerde gegevens van Amerikanen voor kwaadwillige activiteiten, zoals spionage, beïnvloeding, kinetische of cyberoperaties.
Bovendien merkte het bevel op dat de landen van zorg hun toegang tot bulkgegevens kunnen gebruiken om kunstmatige intelligentie en andere geavanceerde technologieën te ontwikkelen of te verfijnen, en dergelijke informatie kunnen kopen van commerciële datamakelaars en andere bedrijven.
“Landen van zorg en betrokken personen kunnen deze gegevens ook exploiteren om informatie te verzamelen over activisten, academici, journalisten, dissidenten, politieke tegenstanders of leden van niet-gouvernementele organisaties of gemarginaliseerde gemeenschappen om hen te intimideren; politieke oppositie te beteugelen; de vrijheid van meningsuiting en vreedzame vergadering te beperken of vereniging; of andere vormen van onderdrukking van burgerlijke vrijheden mogelijk maken”, aldus het DoJ.
De regel van het DoJ zal naar verwachting binnen 90 dagen van kracht worden. Het identificeert bepaalde klassen van verboden, beperkte en vrijgestelde transacties; stelt bulkdrempels vast voor het in werking stellen van de verboden en beperkingen van de regel op gedekte datatransacties waarbij gevoelige persoonlijke gegevens in bulk betrokken zijn; en stelt handhavingsmechanismen in, zoals civiele en strafrechtelijke sancties.
Dit omvat gegevens die zes categorieën omvatten: persoonlijke identificatiegegevens (bijvoorbeeld burgerservicenummers, rijbewijs enz.), nauwkeurige geolocatiegegevens, biometrische identificatiegegevens, menselijke omische (genomische, epigenomische, proteomische en transcriptomische) gegevens, persoonlijke gezondheidsgegevens en persoonlijke gegevens. financiële gegevens.
Er moet echter worden opgemerkt dat de regel geen vereisten voor gegevenslokalisatie oplegt, noch Amerikaanse burgers verbiedt medisch, wetenschappelijk of ander onderzoek uit te voeren in landen van zorg.
“De uiteindelijke regel verbiedt Amerikaanse personen ook niet in grote lijnen commerciële transacties aan te gaan, inclusief het uitwisselen van financiële en andere gegevens als onderdeel van de verkoop van commerciële goederen en diensten met landen van zorg of onder de dekking vallende personen, en legt ook geen maatregelen op die gericht zijn op een bredere ontkoppeling van de substantiële consumenten-, economische, wetenschappelijke en handelsrelaties die de Verenigde Staten hebben met andere landen”, aldus het DoJ.