法律、法规和合规性

时间：2023年3月14日 星期二

作者：小王

• 一、法律类型（了解即可）
  • 1.刑法
  • 2.民法
  • 3.行政法
• 二、计算机犯罪
  • 1.计算机欺诈和滥用法案（CFAA）
  • 2.CFAA修正案
  • 3.国家信息基础设施保护法案（NIIPA）
  • 4.联邦量刑指南（Federal Sentencing Guidelines）
  • 5.联邦信息安全管理法案（FISMA）
  • 6.联邦信息系统现代化法案（FISMA）
  • 7.网络安全增强法案（Cybersecurity Enhancement Act）
• 三、知识产权
  • 1.版权（Copyright）
  • 2.商标（Trademarks）×
  • 3.专利（Patents）×
  • 4.商业秘密（Trade Secrets）
• 四、许可
  • 1.合同许可协议
  • 2.开封生效许可协议
  • 3.点击生效许可协议
  • 4.云服务许可协议
• 五、进出口
• 六、隐私
  • 1.美国隐私法
  • 2.欧盟隐私法-GDPR
  • 3.加拿大隐私法
  • 4.美国州隐私法
• 七、合规
  • 1.支付卡行业数据安全标准（PCI DSS）
  • 2.萨班斯-奥克斯利法案（SOX）

一、法律类型（了解即可）

1.刑法

打击计算机犯罪保护社会安全，道德的最低底线。

2.民法

维护社会秩序，主要解决个人和组织间的问题。

3.行政法

行政部门拥有执法权，那么执法权是需要进行监管和限制的。

二、计算机犯罪

留印象

1.计算机欺诈和滥用法案（CFAA）

美国第一部针对网络犯罪的主要立法，涵盖了跨州的联邦计算机犯罪。

2.CFAA修正案

扩大了保护范围，但已被抵制。

3.国家信息基础设施保护法案（NIIPA）

CFAA另一套修正案，扩大了保护范围。

4.联邦量刑指南（Federal Sentencing Guidelines）

该指南中正式确定审慎者规则（prudent man rule），要求高级管理人员为应尽关心（due care）而承担个人责任。

5.联邦信息安全管理法案（FISMA）

政府行业要求

该法案对联邦机构和政府承包商提出了安全要求。

6.联邦信息系统现代化法案（FISMA）

与联邦信息安全管理法案缩写一样，该法案将联邦网络安全责任集中到美国国土安全部。

7.网络安全增强法案（Cybersecurity Enhancement Act）

该法案指定美国国家标准与技术研究院（NIST）负责协调全国范围内的网络安全标准。

三、知识产权

1.版权（Copyright）

保护创造者所产生的如文学、音乐、戏剧、舞蹈、图画、电影、源代码等内容，防止作品遭受未经授权的复制。需注意的是，被雇佣时发生的创作归雇主所有。版权的保护时间为创造者离世后的70年。

数字千年版权法（DMCA）用于保护数字版权，其中规定了互联网服务提供商（ISP）违反版权法的豁免条件（说人话就是我能控制就是我的问题，控制不了就不是我的问题）：

• 传输必须由提供商以外的人员发起。

• 传输、路由、提供连接或复制必须通过自动化技术流程进行，不需要服务商提供材料。

• 服务提供商不得确定材料的收件人。

• 除预期接收人外，任何人通常不得访问任何中间副本，且不得保留超过合理需要的时间。

• 传输材料时不得修改其内容。

DMCA还豁免了豁免服务提供商与系统缓存、搜索引擎和个人用户在网络上存储信息相关的活动，因为这些活动不受服务提供商控制，但需在收到侵权通知后立即采取行动，删除受保护内容。

2.商标（Trademarks）×

保护明显代表公司及产品或服务的文字、口号和标志，如“恒源祥”、“恒源祥，羊羊羊”等。保护时间为无限期，但需每10年申请延续。

在美国申请商标需要满足两个要求：

• 该商标不得与另一商标混淆相似

• 商标不应描述将提供的商品和服务

3.专利（Patents）×

保护知识产权，如一种防御某类攻击的安全机制。保护时间为20年。

申请专利的三个要求：

• 这项发明必须是新的

• 这项发明必须有用

• 这项发明不能是显而易见的

与版权相比，专利突出一个新字

4.商业秘密（Trade Secrets）

维持公司核心竞争力的知识产权，可申请版权或专利，但因为需要公开细节且有时限，可能存在滥用的情况。因此可以自行保护，涉及签署保密协议（NDA）。

四、许可

许可协议有四种常见类型

1.合同许可协议

使用软件供应商和客户之间的书面合同概述各自的责任。

2.开封生效许可协议

该合同条款写在软件包的外部，通常软件外包装一经撕开即代表同意协议条款。

3.点击生效许可协议

软件安全过程中提示的用户确认合同条款。

4.云服务许可协议

网站注册时勾选“我同意…”挑√的内容。

五、进出口

美丽国为了实现技术封锁，出口高性能计算机和加密软件（例如国密）非常困难。

六、隐私

重点，要知道哪个行业的法案

1.美国隐私法

• 第四修正案（Fourth Amendment）：隐私权的基础，搜查令的出处。

• 隐私法案（Privacy Act）：限制联邦政府处理公民个人隐私信息。

• 电子通信隐私法案（ECPA）：将侵犯个人的电子隐私定为犯罪，规定监控移动电话通话是非法的。

• 通信执法协助法案（CALEA）：在法庭命令下，运营商需配合政府执法人员进行通信监听。

• 经济间谍隐私法案（EEA）：定义窃取商业秘密为犯罪行为。

• 健康保险携带和责任法案（HIPAA）：要求处理或存储PHI的组织采取严格的安全措施。-包含刑事处罚

• 健康信息技术促进经济和临床健康法案（HITECH）：HIPAA修订版本，新增内容包括签订商业伙伴协议（BAA）的组织也纳入安全监管范围、用户数据遭到泄露必须进行通知。

• 儿童在线隐私保护法（COPPA）：针对面向儿童或收集儿童信息的网站提出监管要求，如必须有隐私通知、家长可以审查和删除儿童数据、收集13岁以下儿童信息必须得到家长授权。

• 金融服务现代化法案（GLBA）：针对金融机构交换客户信息提出监管要求。

• 美国爱国者法案（USA PATRIOT Act）：针对恐怖袭击制定的法律，契机是911事件。

• 家庭教育权利和隐私法案（FERPA）：针对教育机构，授予18岁以上的学生和未成年学生家长某些隐私权。

• 身份盗用与侵占防治法（ITADA）：定义身份信息盗用为犯罪行为。

2.欧盟隐私法-GDPR

特别重要

• 数据保护指令（PDP）（×）：概述了保护信息系统处理的个人数据所必须采取的隐私措施，以及隐私数据所有个人的权利，包括访问数据、了解数据来源、纠正不准确数据、某些情况下拒绝同意处理数据、当权利受到侵犯采取法律行动。

• 通用数据保护条例（GDPR）：取代PDP，法规范围扩大，只要收集了欧盟居民的数据，可以跨境追责。

GDPR的关键条款：

-合法、公平、透明：处理个人信息必须遵循法律，公开和诚实地对待数据处理活动。

-目的限制：文档化和声明收集数据的目的，并将您的活动限制为声明内容。

-数据最小化：仅收集声明内容所涉及的数据。

-准确性：确保数据是正确的。

-存储限制：只保留合法、声明内容所需的数据，并且遵守被遗忘权（right to be forgotten），即允许用户随时要求组织删除其信息。

-可问责性：必须对使用受保护数据所采取的行动负责。

72小时，如果发生信息泄露，要在72小时内上报监管机构

• 隐私盾（Privacy Shield）：曾经，欧盟和美国签订了一项名为“隐私盾”的安全港协议（2020年已废除），组织能够通过独立评估员证明其是否满足隐私实践，如果获得隐私盾，则允许传输信息。针对于跨境信息共享，GDPR要求必须使用标准合同条款或具有约束力的公司规则。

Privacy Shield对处理个人信息的说明包括通知、选择、后续转移的责任、安全性、数据完整性和目的限制、访问、追索权、强制执行和责任。

3.加拿大隐私法

个人信息保护和电子文件法（PIPEDA）是一部国家级法律，限制商业企业收集、使用和披露个人信息的方式。

4.美国州隐私法

加州消费者隐私法（CCPA）：效仿GDPR，为消费者提供隐私保护。

七、合规

除了满足法律法规外，还需要满足行业监管要求。需记忆

1.支付卡行业数据安全标准（PCI DSS）

信用卡数据安全合规，令牌化。

2.萨班斯-奥克斯利法案（SOX）

财务数据安全合规。-包含刑事处罚