法律、法规和合规性
时间:2023年3月14日 星期二
作者:小王
一、法律类型(了解即可)
1.刑法
打击计算机犯罪保护社会安全,道德的最低底线。
2.民法
维护社会秩序,主要解决个人和组织间的问题。
3.行政法
行政部门拥有执法权,那么执法权是需要进行监管和限制的。
二、计算机犯罪
留印象
1.计算机欺诈和滥用法案(CFAA)
美国第一部针对网络犯罪的主要立法,涵盖了跨州的联邦计算机犯罪。
2.CFAA修正案
扩大了保护范围,但已被抵制。
3.国家信息基础设施保护法案(NIIPA)
CFAA另一套修正案,扩大了保护范围。
4.联邦量刑指南(Federal Sentencing Guidelines)
该指南中正式确定审慎者规则(prudent man rule),要求高级管理人员为应尽关心(due care)而承担个人责任。
5.联邦信息安全管理法案(FISMA)
政府行业要求
该法案对联邦机构和政府承包商提出了安全要求。
6.联邦信息系统现代化法案(FISMA)
与联邦信息安全管理法案缩写一样,该法案将联邦网络安全责任集中到美国国土安全部。
7.网络安全增强法案(Cybersecurity Enhancement Act)
该法案指定美国国家标准与技术研究院(NIST)负责协调全国范围内的网络安全标准。
三、知识产权
1.版权(Copyright)
保护创造者所产生的如文学、音乐、戏剧、舞蹈、图画、电影、源代码等内容,防止作品遭受未经授权的复制。需注意的是,被雇佣时发生的创作归雇主所有。版权的保护时间为创造者离世后的70年。
数字千年版权法(DMCA)用于保护数字版权,其中规定了互联网服务提供商(ISP)违反版权法的豁免条件(说人话就是我能控制就是我的问题,控制不了就不是我的问题):
• 传输必须由提供商以外的人员发起。
• 传输、路由、提供连接或复制必须通过自动化技术流程进行,不需要服务商提供材料。
• 服务提供商不得确定材料的收件人。
• 除预期接收人外,任何人通常不得访问任何中间副本,且不得保留超过合理需要的时间。
• 传输材料时不得修改其内容。
DMCA还豁免了豁免服务提供商与系统缓存、搜索引擎和个人用户在网络上存储信息相关的活动,因为这些活动不受服务提供商控制,但需在收到侵权通知后立即采取行动,删除受保护内容。
2.商标(Trademarks)×
保护明显代表公司及产品或服务的文字、口号和标志,如“恒源祥”、“恒源祥,羊羊羊”等。保护时间为无限期,但需每10年申请延续。
在美国申请商标需要满足两个要求:
• 该商标不得与另一商标混淆相似
• 商标不应描述将提供的商品和服务
3.专利(Patents)×
保护知识产权,如一种防御某类攻击的安全机制。保护时间为20年。
申请专利的三个要求:
• 这项发明必须是新的
• 这项发明必须有用
• 这项发明不能是显而易见的
与版权相比,专利突出一个新字
4.商业秘密(Trade Secrets)
维持公司核心竞争力的知识产权,可申请版权或专利,但因为需要公开细节且有时限,可能存在滥用的情况。因此可以自行保护,涉及签署保密协议(NDA)。
四、许可
许可协议有四种常见类型
1.合同许可协议
使用软件供应商和客户之间的书面合同概述各自的责任。
2.开封生效许可协议
该合同条款写在软件包的外部,通常软件外包装一经撕开即代表同意协议条款。
3.点击生效许可协议
软件安全过程中提示的用户确认合同条款。
4.云服务许可协议
网站注册时勾选“我同意…”挑√的内容。
五、进出口
美丽国为了实现技术封锁,出口高性能计算机和加密软件(例如国密)非常困难。
六、隐私
重点,要知道哪个行业的法案
1.美国隐私法
• 第四修正案(Fourth Amendment):隐私权的基础,搜查令的出处。
• 隐私法案(Privacy Act):限制联邦政府处理公民个人隐私信息。
• 电子通信隐私法案(ECPA):将侵犯个人的电子隐私定为犯罪,规定监控移动电话通话是非法的。
• 通信执法协助法案(CALEA):在法庭命令下,运营商需配合政府执法人员进行通信监听。
• 经济间谍隐私法案(EEA):定义窃取商业秘密为犯罪行为。
• 健康保险携带和责任法案(HIPAA):要求处理或存储PHI的组织采取严格的安全措施。-包含刑事处罚
• 健康信息技术促进经济和临床健康法案(HITECH):HIPAA修订版本,新增内容包括签订商业伙伴协议(BAA)的组织也纳入安全监管范围、用户数据遭到泄露必须进行通知。
• 儿童在线隐私保护法(COPPA):针对面向儿童或收集儿童信息的网站提出监管要求,如必须有隐私通知、家长可以审查和删除儿童数据、收集13岁以下儿童信息必须得到家长授权。
• 金融服务现代化法案(GLBA):针对金融机构交换客户信息提出监管要求。
• 美国爱国者法案(USA PATRIOT Act):针对恐怖袭击制定的法律,契机是911事件。
• 家庭教育权利和隐私法案(FERPA):针对教育机构,授予18岁以上的学生和未成年学生家长某些隐私权。
• 身份盗用与侵占防治法(ITADA):定义身份信息盗用为犯罪行为。
2.欧盟隐私法-GDPR
特别重要
• 数据保护指令(PDP)(×):概述了保护信息系统处理的个人数据所必须采取的隐私措施,以及隐私数据所有个人的权利,包括访问数据、了解数据来源、纠正不准确数据、某些情况下拒绝同意处理数据、当权利受到侵犯采取法律行动。
• 通用数据保护条例(GDPR):取代PDP,法规范围扩大,只要收集了欧盟居民的数据,可以跨境追责。
GDPR的关键条款:
-合法、公平、透明:处理个人信息必须遵循法律,公开和诚实地对待数据处理活动。
-目的限制:文档化和声明收集数据的目的,并将您的活动限制为声明内容。
-数据最小化:仅收集声明内容所涉及的数据。
-准确性:确保数据是正确的。
-存储限制:只保留合法、声明内容所需的数据,并且遵守被遗忘权(right to be forgotten),即允许用户随时要求组织删除其信息。
-可问责性:必须对使用受保护数据所采取的行动负责。
72小时,如果发生信息泄露,要在72小时内上报监管机构
• 隐私盾(Privacy Shield):曾经,欧盟和美国签订了一项名为“隐私盾”的安全港协议(2020年已废除),组织能够通过独立评估员证明其是否满足隐私实践,如果获得隐私盾,则允许传输信息。针对于跨境信息共享,GDPR要求必须使用标准合同条款或具有约束力的公司规则。
Privacy Shield对处理个人信息的说明包括通知、选择、后续转移的责任、安全性、数据完整性和目的限制、访问、追索权、强制执行和责任。
3.加拿大隐私法
个人信息保护和电子文件法(PIPEDA)是一部国家级法律,限制商业企业收集、使用和披露个人信息的方式。
4.美国州隐私法
加州消费者隐私法(CCPA):效仿GDPR,为消费者提供隐私保护。
七、合规
除了满足法律法规外,还需要满足行业监管要求。需记忆
1.支付卡行业数据安全标准(PCI DSS)
信用卡数据安全合规,令牌化。
2.萨班斯-奥克斯利法案(SOX)
财务数据安全合规。-包含刑事处罚