当地时间10月23日,美国国土安全部网络安全与基础设施安全局(CISA)发布公告,向公众征求关于限制性交易安全要求的意见。此公告源自美国总统拜登于今年2月28日签署的第14117号行政令(E.O. 14117),该命令旨在防止某些国家和个人获取美国敏感的个人数据及政府相关数据,以保护国家安全和应对潜在的外交风险。
背景
第14117号行政令基于《国际紧急经济权力法》(IEEPA)和《国家紧急状态法》(NEA)等法律,进一步延伸了美国政府自2019年5月15日发布的第13873号行政令,巩固了对信息和通信技术供应链的保护,并在2021年6月的第14034号行政令中再次升级保护措施。E.O. 14117特别针对“关注国家”(例如中国、俄罗斯等)获取美国敏感数据的风险,以应对他们可能利用这些数据对美国造成的所谓的威胁。
此外,该行政令明确授权美国司法部(DOJ)与国土安全部协调,共同起草和发布相关法规,限制美国公民与这些“关注国家”之间的敏感数据交易。特别是,司法部负责制定具体的交易类别,并确定哪些交易构成了对美国国家安全的不可接受风险。
美国司法部在执行令14117中的职责至关重要。根据行政令的指示,司法部负责识别哪些数据交易属于“限制性交易”,并发布相应的法规。美国司法部已发布了《防止关注国家获取美国敏感个人数据和政府相关数据的规定》草案,该草案概述了三类主要交易:供应商协议、雇佣协议和投资协议。
美国司法部通过这些法规规定,明确了哪些交易涉及“不可接受的国家安全风险”,并需要遵守CISA制定的安全要求。此外,美国司法部的法规还包括对违反规定的企业和个人的处罚机制,确保任何从事限制性交易的美国公司和个人都能够严格遵守安全要求,以减少敏感数据落入“关注国家”的风险。
作为美国网络安全领域的关键机构,CISA此次公告的目的在于为限制性交易设定明确的安全要求。这些交易涉及美国敏感的个人数据或政府相关数据,公告指出,若不加以限制,这些数据的流动可能对美国的国家安全构成实质威胁。CISA希望通过广泛征求意见,确保安全要求在保护数据的同时不会对正常商业活动造成过多干扰。
公告特别提到,限制性交易的主要类别包括:供应商协议、雇佣协议和投资协议。在这些交易中,美国公司或个人若与“关注国家”有任何涉及敏感数据的交易,必须遵守公告中的相关规定。
安全要求的核心内容
CISA将安全要求分为两大部分:组织和系统级别的要求以及数据级别的要求,并详细说明了如何实施这些措施。
1.组织和系统级别的要求:
企业需要确保其组织内部的身份管理体系足够健全,能够有效管控谁有权访问哪些数据。同时,公告要求企业保留访问记录,确保可以实时监控并阻止任何未经授权的访问行为。
在系统级别,CISA要求所有敏感数据处理系统都必须经过严格的安全审计,以确保其能够抵御可能的网络攻击或数据泄露。企业必须证明其技术能力和安全治理结构能够应对各种潜在风险。
2.数据级别的要求:
针对具体数据的安全要求因交易类型而异。例如,某些交易可以通过数据最小化策略来降低敏感信息暴露的风险,而其他交易则可能需要采用更为严格的加密技术,以确保数据在传输和存储过程中得到充分保护。
CISA还允许企业根据交易的性质,灵活选择最适合的技术手段来保护数据。但无论采用哪种手段,都必须确保敏感数据不会落入“关注国家”或不应获取这些信息的个人手中。
应对未来技术挑战
公告特别强调,随着大数据、人工智能等先进计算等技术的快速发展,国家或组织获取、分析和利用敏感数据的能力不断增强,这对现有的安全防护措施提出了新挑战。例如,现代技术可以通过大规模数据分析建立个人画像,进而进行相关活动或施加影响。因此,CISA在公告中呼吁公众就未来技术发展可能对这些安全要求产生的影响提供更多反馈意见,以确保安全措施能够在未来保持有效。
公告中明确指出,CISA期待各界积极参与此次公开意见征求,包括行业专家、技术研究人员、企业和公众等。CISA鼓励提交者提供具体的意见、建议或数据,以帮助进一步完善公告中的安全要求。公众可以就以下问题提供意见:
这些安全要求是否足以应对“关注国家”获取敏感数据的威胁?
安全要求是否给予了企业足够的灵活性来平衡数据保护与商业活动?
是否需要在现有的数据级别要求基础上增加额外的安全措施,以确保信息保护的严密性?
与其他联邦机构和国际标准的协调
公告的安全要求参考了美国国家标准与技术研究院(NIST)的《网络安全框架》和《隐私框架》。这种做法旨在减少企业理解和实施这些要求的难度。此外,CISA还呼吁公众提供关于如何与ISO-27001等国际标准进行协调的建议,以便确保这些安全要求能够与全球范围内的标准保持一致。
https://public-inspection.federalregister.gov/2024-24709.pdf
