ABD Adalet Bakanlığı, Başkan Joe Biden’ın Şubat 2024’te imzaladığı 14117 sayılı Başkanlık Kararı hakkında nihai bir kural yayınladı. Bu karar, ABD vatandaşlarının verilerinin bir dizi “endişe verici ülkeye” taşınmasını önleyerek hedef alınmalarını engellemeyi amaçlıyor. Bu ülkeler arasında Çin (Hong Kong ve Makao dahil), Küba, İran, Kuzey Kore, Rusya ve Venezuela bulunuyor. Bakanlık, bu ülkelerin “ABD’nin ulusal güvenliğine veya ABD vatandaşlarının güvenliğine önemli ölçüde zarar veren uzun vadeli bir model veya ciddi olaylara karıştığını” belirtti ve bu ülkelerin “ABD vatandaşlarının hassas kişisel verilerine ve belirli ABD Hükümeti ile ilgili verilere erişebileceğini ve bu verileri sömürülebileceğini” ifade etti.
Nihai kural 90 gün içinde yürürlüğe girecek ve Adalet Bakanlığı Ulusal Güvenlik Bölümü’nden Yardımcı Adalet Bakanı Matthew G. Olsen, “Bu güçlü yeni ulusal güvenlik programının amacının, Amerikalıların kişisel verilerinin artık düşmanca yabancı güçlere satılmasına izin vermemek olduğunu ve bu verilerin gerçek alımı veya diğer ticari erişim yollarıyla satılmasını engellemeyi amaçladığını” belirtti. Ayrıca, ABD’ye genel olarak düşmanca yaklaşan ülkelerin, ABD vatandaşlarının verilerini siber casusluk ve etki kampanyalarında kullanmalarını durdurmayı amaçlayan Bu karar, profil oluşturmayı, sosyal mühendislik, dolandırıcılık, şantaj ve kimlik hırsızlığı kampanyalarında kullanılmak üzere ABD vatandaşlarının verilerini kullanmalarını amaçlıyor.
Nihai kural, kabul edilemez bir risk seviyesi taşıyan veri işlemleri için eşik belirlerken, yasaklanmış, kısıtlanmış veya muaf olan farklı işlem sınıflarını da belirtmektedir. Karara uymayan şirketler, cezai yaptırımlarla karşı karşıya kalacaklar. Yasağa tabi veri türleri şunlardır:
-Bazı kapsamlı kişisel tanımlayıcılar (örneğin, cihaz tanımlayıcılarına bağlı isimler, sosyal güvenlik numaraları, sürücü belgesi veya diğer devlet kimlik numaraları)
-Özgün coğrafi konum verileri (örneğin, GPS koordinatları)
-Biyometrik tanımlayıcılar (örneğin, yüz görüntüleri, ses izleri ve desenleri ve retina taramaları)
-İnsan genomik verileri ve epigenomik, proteomik veya transkriptomik dahil olmak üzere üç diğer insan ‘omik’ veri türleri
-Kişisel sağlık verileri (boy, kilo, vital işaretler, belirti, test sonuçları, teşhis, dijital diş kayıtları ve psikolojik teşhisler)
-Kişisel finansal veriler (bireyin kredi, banka hesapları, finansal yükümlülükler ve ödeme geçmişi gibi bilgilere ilişkin bilgiler)
Adalet Bakanlığı ayrıca nihai kuralın “tıbbi, sağlık veya bilimsel araştırmaları veya yeni ilaçların geliştirilmesi ve pazarlanması” ile “ABD’nin diğer ülkelerle olan kapsamlı tüketici, ekonomik, bilimsel ve ticari ilişkilerinin geniş bir şekilde koparılmasına yönelik önlemler getirmediğini” belirtti.