کارگزاران داده و امنیت ملی

در دنیای حفاظت از داده ها و حفظ حریم خصوصی ، غالباً از بین بردن مسائل مربوط به امنیت ملی و مواردی که می توان با وجود تعامل واضح بین این دو قلمرو ، موضوعات امنیتی غیر ملی خوانده شد. طی یک دهه گذشته ، مخالفان ایالات متحده اطلاعات شخصی بسیاری از آمریکایی ها را با یک ملت احتمالاً در معرض دید خود قرار داده اند: جمهوری خلق چین (PRC). PRC به دفتر مدیریت پرسنل و هک های Equifax متصل بود ، که هر دو مورد داده های گسترده ای از داده ها را ارائه می دادند که گفته می شود PRC برای خنثی کردن تلاش های جاسوسی و جمع آوری اطلاعات ایالات متحده در خارج از کشور استفاده کرده است. علاوه بر این ، جمع آوری داده های شخصی با این هک ها متوقف نشده است. در سپتامبر سال 2020 ، یک شرکت امنیتی استرالیا شواهدی مبنی بر اطلاعات عظیمی از داده های شخصی در مورد شهروندان آمریکایی ، انگلیس و استرالیا که توسط یک شرکت PRC ، داده های ژنهوا جمع آوری و نگهداری می شود ، با پیوندها به خدمات نظامی و امنیتی این کشور ارائه داد. به نظر می رسد که این داده ها از وب سایت های عمومی منتشر شده است. اما مسئله با تکنیک هایی از این دست متوقف نمی شود.

سیاستگذاران تمایل دارند بر دسترسی به داده های شخصی به طور غیرقانونی یا در خدمت جاسوسی تمرکز کنند. این امر منطقی است ، زیرا هیچ چیز به اندازه یک ماموت ، نقض عمومی ، ذهن محافظت از داده ها را متمرکز نمی کند. و هیچ کمبود چنین استثماری وجود ندارد ، که مایکروسافت Exchange ، Ecellion و SolarWinds جدیدترین نمونه ها است. با این حال ، سیاست گذاران به اندازه کافی به وسیله حقوقی احتمالی که داده های شخصی آمریکایی ها و دیگران به دست می آید ، فکر نمی کنند. مطمئناً ، دلیل منطقی دولت ترامپ برای انجام اقدامات برای ممنوعیت تحمل و WECHAT در ایالات متحده تا حدودی بود كه داده های كاربران در نهایت آن را برای پردازش به روش هایی كه امنیت ملی را تهدید می كرد ، به PRC می رساند. اما همانطور که منتقدین در آن زمان خاطرنشان کردند ، اگر صنایع عظیم مربوط به جمع آوری ، پردازش و فروش یا به اشتراک گذاری داده های شخصی در خارج از کشور نگرانی داشته باشند ، تهدیدهایی به اندازه بزرگ ، اگر نه بزرگتر ، نزدیک به خانه وجود دارد. درست در این هفته ، وال استریت ژورنال توضیح داد که چگونه یک پیمانکار دفاعی که اکنون ناچیز است سهواً کشف کرده است که می تواند سربازان آمریکایی را که در سوریه برای عملیات در سال 2016 تشکیل می دهند ، ردیابی کند.

سیاست گذاران غربی ممکن است با تمرکز فقط روی هک ها ، اکتشافات ، برنامه ها و نرم افزار به عنوان تهدید برای امنیت ملی ، جنگل را برای درختان از دست ندهند. در واقع ، جهانی از داده های شخصی وجود دارد که کشورهایی مانند PRC ممکن است به آن دسترسی پیدا کنند که عموماً جزئی از این مکالمه نیستند: مجموعه داده های به دست آمده از طریق کارگزاران داده.

تا آنجا که کارگزاران داده در واشنگتن مورد بحث قرار می گیرند ، غالباً در زمینه حمایت از داده ها و قانون حفظ حریم خصوصی داده ها بر روی مضرات احتمالی متمرکز است که استفاده و به اشتراک گذاری بدون استفاده از داده های شخصی ممکن است زمینه های تجاری و حریم خصوصی را ایجاد کند. اما توجه کمی به سمت امنیت ملی تجارت داده های شخصی شلوغ پرداخت می شود. تعداد کمی از سیاستگذاران به سمت امنیت ملی این موضوع متمرکز شده اند ، اما ممکن است این تغییر کند. این امکان وجود دارد ، و در واقع کاملاً محتمل است که خدمات امنیتی و اطلاعاتی بسیاری از کشورها از داده های شخصی استفاده کرده اند که به طور معمول محدود به دنیای تجاری است. این پست به بررسی پیامدهای امنیت ملی کارگزاران داده می پردازد و در مورد اصلاحات احتمالی ، مانند مواردی که اخیراً توسط سناتور ران وایدن ارائه شده است ، برای محافظت بهتر از داده های آمریکایی بحث می کند.

کالیفرنیا و ورمونت قوانینی را تصویب کرده اند که مستلزم ثبت کارگزاران داده که در آن ایالت ها فعالیت می کنند ، و قانون در کنگره پیشنهاد شده است تا همین کار را انجام دهد. برای عادلانه بودن ، قانون ورمونت برخی از فعالیت های کارگزاری داده را منع می کند ، اما برخی از این فعالیت ها ممکن است قبلاً طبق اساسنامه کلاهبرداری غیرقانونی بوده است. با این وجود ، به نظر می رسد چنین ثبت نام کمی برای جلوگیری از جریان داده های شخصی به کارگزاران داده و مشتریان آنها انجام می شود.

اول ، حتی مشخص نیست که کدام نهادها کارگزاران داده در نظر گرفته می شوند ، زیرا اختلاف نظر در مورد چگونگی تعریف بهترین اصطلاح وجود دارد. در گزارشی در سال 2016 ، Uptu و بنیاد جامعه باز "در اینجا هیچ تعریف معتبری از" کارگزار داده "در هر دو طرف اقیانوس اطلس پیدا نشده است."با این وجود ، آنها این تعریف کار را پیشنهاد کردند:

[A] شرکت یا واحد تجاری که با تهیه داده یا استنتاج در مورد افرادی که عمدتاً از منابع دیگری غیر از خود داده ها جمع می شوند ، درآمد اصلی خود را به دست می آورند.

این تعریف بهتر از تعریف کمیسیون تجارت فدرال (FTC) 2014 است ، عمدتا به این دلیل که شرکت هایی وجود دارد که تنها تجارت آنها کارگزاری داده نیست (به عنوان مثال ، Lexisnexis یا Thomson Reuters) که بازیگران اصلی این فضا هستند. با این وجود ، اینگونه است که FTC این گروه از نهادها را تعریف کرد:

شرکت هایی که تجارت اصلی آنها جمع آوری اطلاعات شخصی در مورد مصرف کنندگان از منابع مختلف و جمع آوری ، تجزیه و تحلیل و به اشتراک گذاری آن اطلاعات یا اطلاعات حاصل از آن ، برای اهداف مانند محصولات بازاریابی ، تأیید هویت فرد یا تشخیص کلاهبرداری است.

در اوایل ماه جاری ، جاستین شرمن در مورد مشکلات تعریف و شکاف با اساسنامه کالیفرنیا و ورمونت در مورد Lawfare بحث کرد و اظهار داشت که گرفتن این امور در قوانین فدرال بسیار مهم است.

شاید با تمرکز کمتر بر شناسایی شرکت هایی که واجد شرایط کارگزاران داده و بیشتر بر فعالیت های کارگزاری داده ها هستند ، بحث های مربوط به سیاست در مورد شیوه های سرگرم کننده ، تجزیه و تحلیل و فروش داده های شخصی بهبود یابد. این ممکن است بهترین رویکرد باشد ، همانطور که در یک قطعه نشانه گذاری اخیر در مورد پولی که ذینفعان در زمینه کارگزاری داده ها صرف تلاش های لابی در واشنگتن کرده اند ، شرح داده شده است. این مقاله شامل هزینه های لابی توسط شرکت های بزرگ درگیر در صنعت کارگزار داده ها ، از جمله Oracle ، Deloitte ، PWC و دیگران است.

کارگزاری داده ها به داده های عمومی و غیر عمومی متکی است. کلاس سابق اطلاعات به طور قانونی از دولت ها بدست می آید و اغلب به صورت سوابق در دسترس عموم و از هرگونه اطلاعاتی که مردم به صورت آنلاین در دسترس قرار می دهند ، اغلب از طریق حساب های رسانه های اجتماعی خود ، به عنوان مثال انجام می شود. داده های غیر عمومی از تورنت اطلاعاتی ناشی می شود که لپ تاپ ها ، تلفن های هوشمند ، دستیاران صوتی مجازی ، تلویزیون های هوشمند ، اتومبیل و سایر دستگاه ها به طور مداوم در مورد کاربران خود منتقل می شوند. همچنین ، موسسه مالی ، خرده فروش و کارفرما ممکن است داده ها را به صنعت کارگزاری ارسال کند. همانطور که بدیهی است ، این صنعت کمی درک شده در حال جمع آوری و تجزیه و تحلیل مقادیر عظیمی از اطلاعات شخصی است.

گرچه دسترسی گسترده ، کارگزاران داده یا کارگزاری داده ها زمینه ای را نشان می دهند که برای اکثر افراد تا حد زیادی نامرئی است. همانطور که بنیاد Uptu و جامعه باز توضیح داد:

صنعت کارگزاری داده ها گسترده ، متنوع و پیچیده است. کارگزاران داده در بین تبلیغ کنندگان ، بازرگانان ، کارفرمایان ، بانکداران ، بیمه گذاران ، ادارات پلیس ، مدارس ، بیمارستان ها و دیگران حساب می شوند. آنها به دنبال تأمین نیازهای متنوع مشتریان خود با جمع آوری داده ها از منابع مختلف و فروش انواع مختلف محصولات ، از لیست های ساده گرفته تا نمرات تولید شده توسط مدل های اختصاصی Actuarial هستند.

و بخش اعظم این بازار برای سیاست گذاران ، واشنگتن و جاهای دیگر مات است. این سازمان ها در ادامه دریافتند که کارگزاران داده ها مایل به کمک به درخشش در مدل ها و شیوه های تجاری خود نیستند ، و اغلب به بندهای محرمانه بودن در قراردادهای خود با مشتریان یا سازمان های دیگر متکی هستند.

در مرکز ارتباطات استراتژیک استراتژیک که اخیراً منتشر شده است ، Henrik Twetman و Gundars Bergmanis-Korats "نگاهی دقیق تر به کارگزاران داده و صنعت داده ها برای بررسی چگونگی سوء استفاده از داده ها می توان از آنها استفاده کرد و منجر به مسائل امنیتی برای سازمان های نظامی شد. مانند ناتو و متحدین آن. "این مطالعه به طور قابل توجهی به پیامدهای امنیتی کارگزار داده ها می پردازد - با توجه به اینکه بیشتر تمرکز بر روی کارگزاران داده تا به امروز بر کاربردهای تجاری داده های موجود ، به طور معمول با توجه به بازاریابی یا تبلیغات هدفمند ، به جای آن بوده است. در دسترس بودن و استفاده بالقوه توسط خدمات امنیتی یا اطلاعاتی ، به ویژه مخالفان ایالات متحده یا گروه های بدخیم.

نویسندگان این مقاله آزمایشی را انجام دادند تا ببینند آیا می توانند داده هایی را از کارگزاران بدست آورند که از لحاظ نظری به آنها امکان استفاده از داده ها را برای هر منظور می دهد. به طور خلاصه ، نویسندگان "می خواستند بفهمند چه داده هایی را می توان در یک کشور کوچکتر اروپایی خریداری کرد (در این مورد لتونی) ، خرید چقدر آسان است ، هزینه آن چه خواهد بود و چگونه داده ها به ما تحویل داده می شود."آنها دریافتند:

اول ، اگرچه در مقایسه با سایر کشورها محدود است ، اما داده های موجود برای لتونی هنوز مفید هستند. مجموعه داده های جالب را می توان با قیمت مناسب و از فروشنده سمت راست خریداری کرد. دوم ، اگرچه به دست آوردن داده های خام ممکن است دشوار باشد ، اما برای خریداران مداوم در دسترس است و حتی از داده های پردازش شده نیز می توان برای بهره برداری استفاده کرد.

علاوه بر این ، همانطور که نویسندگان به طور خلاصه در یک نوار کناری مشاهده می کنند:

پتانسیل بهره برداری از داده های شخصی بسیار زیاد است ، و کارگزاران داده ای که به طور معمول جمع آوری ، جمع آوری و ذخیره این نوع داده ها به طور طبیعی اهداف اصلی بازیگران مخرب هستند که می توانند داده ها را به صورت قانونی خریداری کنند یا به طور غیرقانونی آن را بدست آورند و سپس از آن برای دستیابی به آن استفاده کنند. اهداف آنها

نویسندگان همچنین می نویسند که "کارگزاران با آنها در تعامل بودند و در غربالگری خریداران بالقوه کوشا بودند و در مورد نحوه استفاده ، ذخیره و پردازش داده ها سؤال کردند."این یافته مطابق با تنظیمات فعلی است - محدودیت های موجود در چه کسی و تحت چه شرایطی وجود دارد که یک نهاد ممکن است از خدمات و محصولات کارگزاری داده استفاده کند. طبق قانون ایالات متحده ، برخی از کارگزاران داده ، به ویژه آژانس های گزارش دهنده مصرف کننده ، ممکن است اطلاعات مصرف کننده را تحت شرایط محدود فاش کنند. اما محدودیت ها جامع نیست: همه کارگزاران داده یا کسانی که در تجارت کارگزاری داده ها آژانس های گزارش دهی مصرف کننده هستند ، به این معنی که این نوار برای آنها اعمال نمی شود زیرا قانون ایالات متحده در حال حاضر نوشته شده است.

و در حالی که اطمینان بخش است که می شنویم که Twetman و Bergmanis-Korats دریافتند که کارگزاران داده ای که با آنها رفتار می کنند در بررسی فروش احتمالی کوشا هستند ، چقدر دشوار خواهد بود که بازیگران مبهم راه اندازی یک عملیات جلو یا شرکت پوسته پس از خرید داده ها پس از آنبا ارسال تمام سیگنال های مناسب در مورد اینکه چرا داده ها تحت تعقیب قرار گرفته اند؟علاوه بر این ، ممکن است شرکت هایی در دنیای کارگزاری داده ها وجود داشته باشند که به دلیل احتمالی اهداف مشتری بالقوه علاقه زیادی ندارند و به کسانی که می توانند خریداری کنند ، می فروشند.

در نهایت ، Twetman و Bergmanis-Korats دریافتند که کشورهایی مانند لتونی به دلیل کمبود جمع آوری داده های شخصی (که باعث گرانتر شدن داده ها می شود) در معرض خطر محدودی قرار گرفته اند و محدودیت در جمع آوری و استفاده از داده ها را محدود می کنند ، تا حدودی به دلیل عضویت در اتحادیه اروپا ودستیابی به آیین نامه عمومی حفاظت از داده ها. با این حال ، نویسندگان هشدار دادند كه در كشورها "جایی كه داده ها فراوان و نسبتاً در دسترس هستند" ، خطر قابل ملاحظه ای بیشتر است - در مورد یافتن كشورهایی مانند ایالات متحده ، جایی كه اطلاعات شخصی بسیار بیشتری جمع آوری می شود.

تا این لحظه ، در دسامبر سال 2019 ، نیویورک تایمز مجموعه ای از مجموعه داده هایی را با مشکل نسبتاً کمی بدست آورد که در آن زمان برای ردیابی یک عامل سرویس مخفی که برای محافظت از ترامپ رئیس جمهور وقت اختصاص داده شده بود ، استفاده شد:

پروژه حریم خصوصی تایمز مجموعه ای با بیش از 50 میلیارد قطعه موقعیت مکانی از تلفن های بیش از 12 میلیون نفر در این کشور به دست آورد. این یک نمونه تصادفی از سال 2016 و 2017 بود ، اما فقط چند دقیقه طول کشید - با کمک اطلاعات در دسترس عموم - برای ما برای تغییر نام داده های مکان و پیگیری محل زندگی رئیس جمهور ترامپ.

اگر تایمز فهمیده است که چگونه از این داده ها استفاده می کند ، احتمالاً منطقی است که دشمنان ، مخالفان و حتی ملل دوستانه و حتی ملل دوستانه را برای دستیابی به اطلاعات استفاده کنند. چرا اینطور نیستند؟این Raison d’Etre از آژانس های اطلاعاتی و خدمات امنیتی برای به دست آوردن اطلاعات از کلیه منابع ممکن برای تجزیه و تحلیل است.

جامعه اطلاعاتی ایالات متحده اعتراف کرده است که حداقل یک کشور مخالف در حال دستیابی به داده های شخصی از طریق راه های قانونی است. در فوریه 2021 ، مرکز ملی ضد انحصاری و امنیت (NCSC) ادعا کرد:

سالهاست که جمهوری خلق چین (PRC) مجموعه داده های مراقبت های بهداشتی بزرگ را از ایالات متحده و ملل در سراسر جهان از طریق هر دو روش قانونی و غیرقانونی جمع آوری کرده است ، برای اهداف فقط می تواند کنترل کند.[تأکید اضافه شده است.]

برای عادلانه بودن ، وسایل حقوقی شامل مشارکت با شرکتهای آمریکایی و تأمین بودجه تحقیقات ایالات متحده است ، بنابراین ، کاملاً مشخص نیست که NCSC به کارگزاری داده ها مراجعه می کند. اما با توجه به آنچه ما در مورد این زمینه می دانیم ، ممکن است به خوبی بوده است. NCSC در ادامه اظهار داشت كه با توجه به مراقبت های بهداشتی و داده های پزشکی آمریکایی ها - برخی از حساس ترین اطلاعات در مورد شخص - "حراست های ایالات متحده در درجه اول روی حریم خصوصی تمرکز می كنند ، نه امنیت ملی ، كه باعث ایجاد آسیب پذیری برای بازیگران خارجی می شود تا به آنها دسترسی پیدا كننداطلاعات مربوط به افراد ایالات متحده. "

اما شاید مهمترین دلیل خدمات اطلاعاتی خارجی و دیگران از کارگزاران داده استفاده کنند زیرا آژانس های ایالات متحده نیز این کار را انجام می دهند. شواهد قابل توجه نشان می دهد که آژانس های ایالات متحده داده های موقعیت مکانی آمریکایی ها را از نهادهای تجاری برای اهداف اجرای قانون و مهاجرت به دست آورده اند: طبق گزارش های وال استریت ژورنال و گزارش ، مهاجرت و اجرای گمرک (ICE) ، خدمات درآمد داخلی (IRS) ، گمرکو حفاظت از مرز (CBP) همه داده های مکان را از شرکتی به نام ونتل خریداری کرده اند. و این فقط سازمان های اجرای قانون با استفاده از این خدمات نیستند. در اوایل سال جاری ، آژانس اطلاعات دفاعی اعتراف کرد که داده های موقعیت مکانی تجاری را خریداری کرده است و سال گذشته گزارش شده است که فرماندهی عملیات ویژه ایالات متحده در حال خرید و استفاده از داده های مکان برای کمک به عملیات نیروهای ویژه در خارج از ایالات متحده است. رهگیری گزارش داد که ICE با LexisNexis قرارداد امضا کرده است تا این شرکت طیف گسترده ای از داده های شخصی را به آژانس ارائه دهد. پیش بینی آژانس های خارجی که از این و بسیاری از داده های دیگر استفاده می کنند ، کشش نیست.

و دنیای کارگزاری داده ها تنها قلمرو نیست که ایالات متحده برای محافظت از امنیت ملی خود نیاز به گرفتن بهتر دارد. صنعت تبلیغات آنلاین ممکن است منبع دیگری برای خدمات اطلاعاتی خارجی باشد. همانطور که اخیراً شش سناتور در نامه هایی به برخی از بزرگترین سیستم عامل های تبلیغاتی استدلال می کردند ، "اطلاعات وی یک مین طلای برای خدمات اطلاعاتی خارجی است که می تواند از آن برای اطلاع رسانی و فوق العاده هک ، باج گیری و تأثیرگذاری بر کمپین ها بهره برداری کند."سناتورها به طور خاص نگرانی در مورد سیستم مناقصه در زمان واقعی (RTB) را مطرح کردند ، برنامه ای که توسط آن تبلیغ کنندگان می توانند تبلیغات خود را در وب سایت ها قرار دهند. RTB اغلب بدون در نظر گرفتن اینکه پیشنهاد آنها حاکم است ، اطلاعات حساس در مورد افرادی که در وب سایت مشاهده می کنند یا مکرر می کنند ، در دسترس همه داوطلبان قرار می دهد. ادعاهایی وجود دارد مبنی بر اینکه تعدادی از شرکت ها از سیستم RTB برای جمع آوری داده هایی که آنها سپس به سازمان های دولتی می فروشند ، از جمله سازمان های اجرای قانون و امنیت ایالات متحده ، استفاده می کنند.

همچنین ذکر می شود که بسیاری از چند ملیتی ایالات متحده داده های شخصی منتخب را با نهادها تحت صلاحیت کشورهایی مانند روسیه و PRC به اشتراک می گذارند ، در برخی موارد به دلیل الزامات قانونی. به عنوان مثال ، در 1 آوریل توافق نامه پی پال با عنوان "لیست اشخاص ثالث (غیر از مشتریان پی پال) که ممکن است اطلاعات شخصی با آنها به اشتراک گذاشته شود" ، پی پال تعدادی از اشخاص روسی و چینی را که با آنها اطلاعات شخصی کاربران به اشتراک گذاشته می شود ، نامگذاری می کند. در حالت ایده آل ، داده ها ، مثلاً بانک VTB روسیه تنها در صورتی که معامله ای با یک نهاد روسی انجام شود ، به اشتراک گذاشته می شود ، اما افشای اطلاعات این اطلاعات را ارائه نمی دهد. با کنار گذاشتن این مسئله ، این احتمال وجود دارد که وقتی پی پال داده های شخصی من را با VTB به اشتراک می گذارد وقتی من در حال خرید تخم مرغ Faberge هستم ، دولت روسیه به داده های من دسترسی پیدا می کند.

با مراجعه به چشم انداز نظارتی در ایالات متحده ، کارگزاران داده به روش های مختلفی تنظیم می شوند. FTC کارگزاران داده و تعدادی از اشخاص دیگر را تحت اختیارات خود تنظیم می کند که توسط بخش 5 قانون FTC اعطا شده است ، که شامل شیوه های فریبنده و ناعادلانه است. FTC و دفتر حفاظت مالی مصرف کننده (CFPB) سازمان اجرای سهم برای قانون گزارشگری اعتبار منصفانه (FCRA) ، اما همانطور که در ابتدا گفته شد ، این اساسنامه تنظیم فقط یک کلاس از کارگزاران داده (یعنی آژانس های گزارش دهی مصرف کننده) را فراهم می کند. بشرFTC در گزارش 2014 در مورد کارگزاران داده ، خاطرنشان کرد: "به طور کلی بر شیوه های اشخاصی که اطلاعات مصرف کننده را برای استفاده توسط طلبکاران ، کارفرمایان ، شرکت های بیمه ، صاحبخانه و سایر افراد مشغول انجام برخی از تعیین های واجد شرایط بر مصرف کنندگان می دانند ، حاکم می کند."در همان سند ، FTC "سه دسته مختلف از کارگزاران داده را شرح داد: (1) نهادها مشمول FCRA.(2) اشخاصی که داده ها را برای اهداف بازاریابی حفظ می کنند. و (3) اشخاص تحت پوشش غیر FCRA که داده ها را برای اهداف غیر بازاریابی در خارج از FCRA حفظ می کنند ، مانند تشخیص کلاهبرداری یا یافتن افراد. "دو کلاس اخیر کارگزاری داده ها در خارج از FCRA قرار می گیرند ، و به حدی که آنها را اداره می کنند ، تحت اختیارات بخش 5 FTC یا احتمالاً اختیارات CFPB در مورد شیوه های ناعادلانه ، فریبنده و توهین آمیز برای آن کارگزاران داده های قاچاق در خدمات مالی قرار می گیرند. داده ها.

سطح فعلی مقررات فدرال در مورد کارگزاران داده به وضوح کافی نیست ، و برخی از قانونگذاران از مهمتر در مورد تقویت رژیم فعلی فکر می کنند. در صورت تنظیم کارگزاران داده ، ممکن است معقول باشد که محدودیت هایی را در چارچوب قوانین حفظ حریم خصوصی فدرال تحمیل کنید که محدودیت هایی را در نوع داده هایی که می توانند جمع آوری ، پردازش ، استفاده ، مشترک یا فروخته شده قرار دهند. این محدودیت ها می تواند تقریباً مواردی را که در آیین نامه حمایت از داده های عمومی اتحادیه اروپا وجود دارد ، تقریب دهد ، که بر تناسب و ضرورت تأکید می کند و همچنین خواستار تخریب داده ها دیگر نیست.

به عنوان مثال ، مفهوم لازم و متناسب در قوانین حفظ حریم خصوصی فدرال مانند قانون حقوق حریم خصوصی مصرف کننده آنلاین (COPRA) (S. 2968) فیلتر شده است. تعدادی از صورتحساب دارای زبانی هستند که می توانند ثبت های کارگزار داده را در FTC ایجاد کنند و بسته به رژیم رضایت نامه پیش بینی شده ، ممکن است محدودیت هایی در داده های شخصی در دسترس برای کارگزاران داده وجود داشته باشد. به عنوان مثال ، COPRA با اشخاصی که در کارگزاری داده ها به عنوان "نهادهای تحت پوشش" مشغول به کار هستند ، رفتار می کند. این تعیین تعهداتی دارد ، مانند نیاز به کارگزاران داده برای توجه به حقوق جدیدی که مردم تحت این قانون دارند. تحت COPRA ، کارگزاران داده نیز باید سیاست های حفظ حریم خصوصی را منتشر کنند که توضیح می دهد که آیا آنها "داده های تحت پوشش" را منتقل می کنند ، دسته اشخاص ثالث و ارائه دهندگان خدمات که ممکن است چنین داده هایی به آنها منتقل شوند ، و اشخاص سوم که داده ها به آنها منتقل می شوند به جز ""نهادهای دولتی. "این دوره آخر در این لایحه تعریف نشده است و ممکن است به طور معتبر خوانده شود به معنای هر نهاد دولتی در سراسر جهان است. به احتمال زیاد پیش نویس ها نهادهای دولتی آمریكا را در نظر داشتند ، اما این یک حفره احتمالی است که باید در این لایحه بسته شود و دیگران آن را دوست دارند. علاوه بر این ، Copra به نهاد تحت پوشش نیاز دارد تا اشخاص ثالثی را که داده های تحت پوشش را به آنها منتقل می کند ، فاش کند - هرچند که احتمالاً این به معنای زیاد برای یک فرد متوسط نیست. به عنوان مثال ، افرادی که به سایت های اتحادیه اروپا دسترسی پیدا می کنند ، اغلب با لیستی طولانی از اشخاصی که ممکن است داده های شخصی آنها به اشتراک گذاشته شود ، با یک لیست کم ذهن روبرو می شوند.

بیشتر مربوط به نگرانی های امنیت ملی، بر اساس COPRA (و چندین لایحه حفظ حریم خصوصی دیگر که اخیراً معرفی شده اند، مانند قانون داده های ایمن [S. 4626] یا قانون شفافیت اطلاعات و کنترل داده های شخصی [H. R. 1816])، افراد ممکن است از انتقال داده انصراف دهند. از نوعی که به کارگزاری داده اجازه رونق می دهد. علاوه بر این، فرد باید در جمع آوری، پردازش و انتقال داده های شخصی حساس شرکت کند. FTC یک قانون اعلان و اظهار نظر برای ایجاد این سیستم انجام خواهد داد. با این حال، رژیم های اعلان و رضایت احتمالاً برای جلوگیری از جریان داده های شخصی که از ایالات متحده سرازیر می شوند کار زیادی انجام نمی دهند، به این دلیل ساده که چنین مسائلی در ذهن اکثر مردم نیست. اگر قرار بود COPRA یا لایحه ای مشابه تصویب شود، ممکن است انتظار داشته باشید که اقلیتی از مردم با انصراف (و عدم شرکت در آن) در صورت لزوم به این اقدامات اعتراض کنند. من جرأت می کنم حدس بزنم که بیشتر مردم به مسائل مربوط به حریم خصوصی بی توجه هستند و به جمع آوری، پردازش و انتقال اطلاعاتشان ادامه می دهند. اگر چنین باشد، پیامدهای امنیت ملی واسطه گری داده تا حد زیادی رسیدگی نشده باقی می ماند.

همچنین باید محدودیت های منابع آژانس را در نظر گرفت که احتمالاً مطابقت نهادهای تحت پوشش را کنترل می کند. محدودیت های منابع و کارکنان FTC حتی در صورت دریافت 10 میلیون دلار افزایش برای سال مالی 2021 مورد توجه قرار گرفته است. با تنظیم شیوه های حفظ حریم خصوصی و داده های بسیاری از نهادها. و در حالی که دادستان های کل ایالت می توانند تحت بسیاری از لوایح جدید حفظ حریم خصوصی تنظیم کنند، آنها با بسیاری از محدودیت های منابع مشابهی روبرو هستند که FTC انجام می دهد. در غیاب زبان محدودتر و تخصیص بیشتر برای FTC، چارچوب اعلامیه و رضایت فعلی موجود در اکثر لوایح حفظ حریم خصوصی ممکن است به اندازه کافی با مشکلی که واسطه گری داده برای امنیت ملی ایالات متحده ایجاد می کند، مقابله نکند.

سیاست گذاران همچنین ممکن است رویکردی را که دولت ترامپ در روزهای در حال کاهش خود در مورد سکوهای ابری در نظر گرفته است ، در نظر بگیرند. دولت در حال خروج در حكم اجرایی ژانویه 2021 13984 ، "اقدامات اضافی برای رسیدگی به اضطراری ملی با توجه به فعالیتهای قابل توجه در سایبری مخرب" ، اداره خروجی را به وزارت بازرگانی می داد كه دارای قانون "است كه به زیرساخت های ایالات متحده نیاز دارد. ارائه دهندگان محصولات خدمات برای تأیید هویت یک شخص خارجی که یک حساب کاربری به دست می آورد. "یک رژیم مشابه برای کارگزاری داده ها باعث می شود تا این صنعت نور بسیار مورد نیاز را به وجود آورد و دیدگاه دقیق تری را در اختیار دولت ایالات متحده قرار می دهد که چه اشخاصی در حال فروش اطلاعاتی به چه کسی هستند.

کاهش یک لایحه در لایحه حفظ حریم خصوصی ، سیستمی مشابه دستور اجرایی 13984 برای همه کسانی که درگیر کارگزاری داده های آمریکایی هستند ممکن است امکان پذیر باشد. سپس ، این سؤال مطرح خواهد شد که کدام آژانس دارای مجموعه و اجرای این الزامات است. ممکن است با توجه به کار خود در مورد "مشتری خود را بشناسید" برای ارائه دهندگان خدمات ابری ، این موضوع را به وزارت بازرگانی تحویل دهیم. FTC ممکن است کاندیدای دیگری باشد ، اما همانطور که در بالا ذکر شد ، ممکن است کارکنان مسئله ای باشند. البته ، می توان موضوعات فرازمینی برای مقابله با آن وجود داشت ، زیرا جهان کارگزاری یک تلاش جهانی است و کنگره باید در روشن شدن این موضوع که قصد دارد هرگونه اساسنامه ای را در خارج از ایالات متحده در هر سابقه دادگاه عالی اعمال کند ، صریح باشد. اما محدودیت هایی وجود خواهد داشت ، زیرا ممکن است دولت ایالات متحده غیر منطقی باشد که بتواند صلاحیت صلاحیت را برای جمع آوری کلیه اطلاعات در مورد مشتریان در پایین دست در زنجیره فروش کارگزاری داده ها داشته باشد. در هر صورت ، این ممکن است به سیاست گذاران ایالات متحده کمک کند تا کارگزاری داده ها را بهتر درک کنند ، اما هنوز وسیله ای برای متوقف کردن جریان داده های شخصی به مخالفان مورد نیاز است.

در نهایت ، شاید کنترل های صادراتی مورد نیاز باشد زیرا داده های شخصی تقریباً به عنوان یک فناوری استفاده دوگانه واجد شرایط هستند. در حالی که داده ها ممکن است به خودی خود یک فناوری نباشد ، اما این از نظر سن اطلاعات است. برخی از اطلاعات مربوط به اهمیت نفت در قرن بیستم در امور ایالت ها و امنیت ملی را تشبیه می کنند. در این صورت ، ایالات متحده به رویکردی تهاجمی تر از آنچه در حال حاضر برای تنظیم اشخاصی که در داده های شخصی سروکار دارند ، نیاز دارد. کنگره می تواند کنترل صادرات را مجدداً مورد بررسی قرار دهد ، و دولت بایدن ممکن است در حال حاضر برخی از اقتدار مورد نیاز خود را داشته باشد.

در اساسنامه کنترل صادرات ایالات متحده ، فناوری به عنوان "اطلاعات ، به صورت ملموس یا نامشهود ، برای توسعه ، تولید یا استفاده از یک مورد ضروری است."در نتیجه ، ممکن است امتحان کردن داده های شخصی شاخدار کفش در این تعریف کششی باشد ، اما ممکن است هنوز یک استدلال رنگ آمیزی وجود داشته باشد. در صورتی که داده های شخصی در نظر گرفته نشود و نمی توان در کنترل صادرات فعلی بر روی فناوری قرار گرفت ، رئیس جمهور ، که از طریق وزیر بازرگانی عمل می کند ، طبق اساسنامه اختیار دارد که مواردی را به مقررات مدیریت صادرات و لیست کنترل تجارت اضافه کندبشردولت بایدن می تواند از این قدرت استفاده کند و کنترل صادرات را بر روی داده های شخصی به منظور پرداختن به کارگزاری داده هایی که امنیت ملی ایالات متحده را در معرض خطر قرار می دهد ، قرار دهد.

علاوه بر این ، ممکن است در کنگره اشتهایی برای هدایت رئیس جمهور برای اجرای چنین کنترل هایی در صنعت کارگزاری داده ها وجود داشته باشد. سناتور دموکرات ، ران وایدن از اورگان اخیراً پیش نویس بحثی درباره داده های محافظت از آمریکایی ها از قانون نظارت بر خارجی را منتشر کرد ، لایحه ای که وی ادعا می کند "در صورت انجام این کار می تواند به امنیت ملی ایالات متحده آسیب برساند ، در برابر صادر کردن اطلاعات شخصی حساس به کشورهای خارجی ایجاد می کند."این لایحه بخش جدیدی را به اساسنامه کنترل صادرات موجود در رابطه با صادرات داده های شخصی خاص اضافه می کند. این لایحه انگیزه و چارچوبی را برای دولت بایدن فراهم می کند تا بتواند به جریان بی نظیر داده های شخصی ایالات متحده بپردازد. احتمالاً این لایحه کارگزاری داده ها را برای مشتری در کشورهایی مانند PRC ، روسیه ، ایران ، کره شمالی و دیگران در ارتباط دارد.

براساس پیشنهاد وایدن ، وزارت بازرگانی باید یک فرآیند بین سازمانی ایجاد کند تا (الف) کدام دسته از داده های شخصی را تحت پوشش سیستم کنترل صادرات قرار دهد ، (ب) آستانه بالاتر از آن که صادرات دسته های مشخص از داده های شخصی خواهد بودکنترل شود ، (ج) کشورهایی که برای آنها به مجوز سایر مجوزها برای انتقال ، صادرات ، بازپرداخت یا انجام نقل و انتقالات درون کشورها از داده های تحت پوشش نیاز دارند ، و (د) لیستی از کشورهایی که برای آنها نیازی به آن ندارندچنین مجوز مجوز.

این لایحه در ادامه تصریح می کند که این فرایند بین سازمانی بر دسته های داده های شخصی که می توانند به ضرر امنیت ملی مورد سوء استفاده قرار بگیرند ، تمرکز دارد و باید طی یک سال از تصویب این دسته ها را نامگذاری کند. همچنین در طی یک سال ، این آژانس ها باید آستانه ای بین 10،000 تا 1،000،000 ساکن ایالات متحده را تنظیم کنند که در بالای آن یک نهاد پیشنهادی از دسته های تحت پوشش داده های شخصی ممکن است مستلزم دریافت مجوز یا مجوز باشد. همانطور که در بالا ذکر شد ، آژانس ها لیستی از کشورهایی را ایجاد می کنند که صادرات داده های شخصی تحت پوشش آنها احتمالاً به امنیت ملی آسیب می رساند. و هرگونه نقل و انتقالات پیشنهادی به این ملل ، طرف صادرات را ملزم می کند که این پرونده را به این دلیل آسیب برساند (فرآیند بین سازمانی باید کلیه این برنامه ها را بررسی کند).

برخی از نقل و انتقالات در لایحه Wyden معاف می شوند. به عنوان مثال ، شخصی که داده های شخصی خود را ارسال می کند ، نیازی به مجوز صادرات ندارد. به همین ترتیب ، اگر شخصی در حال انجام خدمات برای دیگری باشد و انتقال داده های شخصی کاملاً لازم لازم باشد ، هیچ مجوز لازم نیست.(این زبان کاملاً نوشته شده است تا از نتیجه ای که این استثناء قاعده ای را که شخص با تصویب آن به ضرورت نیاز دارد ، به مجوز صادرات نیاز داشته باشد.) علاوه بر این ، این لایحه مقرر می کند که اگر داده های شخصی با استانداردهای خاص رمزگذاری شود ، مجوز صادرات ممکن استلازم باشدو برای محافظت از داده ها در برابر مخالفان خارجی ، فرایند بین سازمانی همچنین نیاز به تعیین مدت زمانی دارد که هر دسته از داده های شخصی تحت پوشش باید رمزگذاری شود.

تخلفات تحت رژیم فعلی کنترل صادرات مجازات می شود و برخی از افرادی که داده های شخصی آنها با نقض این قانون منتقل می شود ، قادر به شکایت هستند. نکته قابل توجه ، فقط کسانی که از نظر جسمی آسیب دیده ، بازداشت شده یا زندانی در زندان خارجی به دلیل این تخلف می توانند یک حق عمل خصوصی داشته باشند. و پنج سال پس از تصویب این لایحه ، نقل و انتقالات غیر عمدی به کشورهایی که به عنوان خطرات امنیت ملی شناخته می شوند مجازات می شوند مگر اینکه داده ها رمزگذاری شوند یا توسط شخص ثالثی تحویل داده شود که گفته می شود داده ها حمل نمی شوند یا به یک ملت ممنوع می رسند.

اتفاقاً ، وایدن و همدستان نیز معرفی کردند که اصلاحیه چهارم قانون فروش در این ماه نیست ، لایحه ای که تا حد زیادی کارگزاران داده را از فروش یا به اشتراک گذاری داده های مکان و سایر داده های شخصی به سازمان های اجرای قانون و اطلاعاتی ایالات متحده باز می دارد مگر اینکه توسط دادگاه تأیید شود. بشر

وسیله دیگر برای کنترل جریان داده های شخصی آمریکایی ها گسترش استفاده از کمیته سرمایه گذاری خارجی در فرایند ایالات متحده (CFIUS) است. این بدون سابقه نیست. در سال 2020 ، CFIUS به دلیل نگرانی مبنی بر اینكه اطلاعات شخصی ساكنان آمریكا به چین منتقل می شود ، در آنجا كه داده ها توسط خدمات امنیتی PRC استفاده می شود ، به شركت بازی های چینی كونلون تکنكن دستور داد كه Grindr ، برنامه دوست یابی را بفروشد. دولت ایالات متحده ممکن است بتواند به یک منبع نشت داده ها که NCSC به آن اشاره شده است ، پرداخته باشد: کسب حقوقی داده های شخصی. در تعمیرات اخیر CFIUS ، کنگره ابراز نگرانی کرد:

میزان معامله تحت پوشش ، چه به طور مستقیم یا غیرمستقیم ، اطلاعات شخصی ، اطلاعات ژنتیکی یا سایر داده های حساس شهروندان ایالات متحده برای دسترسی توسط یک دولت خارجی یا شخص خارجی که ممکن است از آن اطلاعات به شکلی سوءاستفاده کند ، در معرض دید قرار می دهد. امنیت ملی را تهدید می کند.

در نتیجه ، فرایند CFIUS برای شامل مجموعه جدیدی از "معاملات تحت پوشش" گسترده شد ، تا شامل "[[یک سرمایه گذاری دیگر] توسط یک شخص خارجی در هر تجارت غیرقانونی ایالات متحده باشد که ... داده های شخصی حساس شهروندان ایالات متحده را حفظ یا جمع آوری می کنداین ممکن است به شکلی که امنیت ملی را تهدید می کند مورد سوء استفاده قرار گیرد. "اما این مرجع فقط مواردی را که یک نهاد خارجی در حال خرید یا سرمایه گذاری در یک نهاد آمریکایی است که داده های شخصی را در اختیار دارد یا کنترل می کند ، می پردازد. این امر به بسیاری از شیوه های جمع آوری داده های Sundry ، پردازش و به اشتراک گذاری متداول در دنیای کارگزاری داده ها نمی پردازد. با گفتن این موضوع ، یک فرایند جدی تر CFIUS برای اطمینان از اینکه مخالفان خارجی در حال خرید راه خود در عملیات کارگزاری داده های ایالات متحده نیستند ، استقبال می شود و به رفع نگرانی های امنیتی کمک می کند. شاید ایجاد یک نیاز "مشتری خود را بشناسید" برای کارگزاری داده ها امکان اجرای آسان تر CFIUS را فراهم می کند.

ممکن است تغییرات قانونی و سیاسی دیگری نیز وجود داشته باشد که نگرانی های امنیت ملی را که توسط کارگزاری داده های بدون تنظیم و عمدتاً تنظیم نشده است ، برطرف کند. با توجه به طیف وسیعی از شرکتهای مشغول به کار کارگزاری داده ها و جمع آوری داده های گسترده تر ، پردازش و به اشتراک گذاری اکوسیستم ، تهیه یک راه حل قانونی ، مراقبت و ورود به ذینفعان خواهد بود. با این حال ، این موضوع از اهمیت اساسی برخوردار است که دولت بایدن و ملل همفکر باید به آن بپردازند.