近日,美国网络安全与基础设施安全局(CISA)宣布了一项史无前例的,极为严苛的数据安全规定,旨在防止“敌对国家”获取美国政府和公民敏感数据。这一提案主要针对从事受限交易的(科技)企业,特别是那些涉及美国政府和个人敏感数据且有可能暴露给“重点关注国家”或“受限人员”的企业。
通过这一提案,CISA希望提升相关行业的数据安全标准,防止“重点关注国家”或个体通过技术手段获取美国的关键数据。
14天内必须修补已知漏洞
CISA新规提出了一系列严苛的安全措施,并给出了组织级别和数据级别的具体要求。以下是部分关键措施和要求:
此外,CISA还提议使用同态加密或差分隐私等技术,以防止敏感数据被反向重构。
新规波及大量科技企业
该提案与2024年早些时候拜登总统签署的第14117号行政命令紧密相关,旨在解决现存的严重数据安全漏洞。受影响的行业范围广泛,波及大量技术企业,例如人工智能开发商、云服务提供商、电信公司、健康生物科技公司、金融机构以及国防承包商等。
显然,CISA新规“重点关注的国家”,正是美国政府眼中的头号竞争对手——中国。这意味着,随着中美之间的技术和贸易冲突升级,许多在美国运营或与美国企业有合作的中国企业,可能不得不应对更复杂的合规和监管压力。尤其是涉及云计算、人工智能、数据处理和电信设备的行业,CISA的新规使这些企业面临的风险和合规成本将显著增加。
对于中国企业而言,除了在技术合规和数据加密层面进行大规模投资,还需要在跨国业务管理、与美国的合同条款中,重新评估数据传输和存储的安全性,以减少因政策变动带来的业务中断和法律风险。
总结
CISA的新规标志着美国在数据安全领域的重大政策升级。这项新规不仅仅是针对美国企业的内部安全管理提升,也将对与美国有业务关联的全球企业带来深远的影响,尤其针对国家安全的考量使得中国企业面临前所未有的挑战。
为了在中美紧张局势中继续保持业务连续性,中国企业必须加快在数据隐私和安全方面的技术投资,确保合规性,同时评估潜在的跨境业务风险。
参考链接:
https://www.cisa.gov/sites/default/files/2024-10/Proposed-Security-Requirements-EO-14117-21Oct24508.pdf