第4章 法律、法规和合规

4.1 法律的分类

法律分三大类

4.1.1刑法（Criminal law）

保护社会免受违反我们所信仰的基本原则的行为的侵害。

许多刑法通过打击计算机犯罪来保护社会安全。违反刑法的行为将由美国联邦和州政府进行起诉。

4.1.2民法（Civil law）

为人与组织之间的商业交易提供了框架。违反民法的行为将通过法庭，由受影响的当事人进行辩论。

4.1.3行政法（Administrative law）

是政府机构有效地执行日常事务的法律。不要求立法部门的行为在联邦层面进行。

行政法包括政府行政部门颁布的政策、程序和规定。

虽然这些法律不需要通过国会的批准，但这些法律需要经过司法审查，并且必须遵守立法部门制定的刑法和民法。

问题：哪一种类的法律也被叫做侵权行为法？

A．行政法

B．公共法

C．民法

D．刑法

解析：民法中最大两个类别是合同法和侵权法。

正确答案：C

4.2 法律

4.2.1 计算机犯罪

1.《计算机欺诈和滥用法案》(CFAA)

最初在1984年发布，只涉及政府和金融机构使用的系统。

该法案在1986年被扩大到与联邦政府利益相关的信息。

1994年进一步修订了CFAA，将适用于州际贸易中使用的所有系统，包括美国的大部分（但不是全部）计算机系统。

计算机犯罪的特点：

￭调查取证比较困难，计算机证据更容易遭到破坏

￭相关法律不完善

￭跨地域的特征

￭从统计来看内部人员实施犯罪几率比较高

￭受害机构有时不报告，担心影响机构的正常运作和损害用户对机构的信任

计算机犯罪的类型：

￭以计算机为目标的犯罪

针对计算机、网络以及这些系统中所存储的信息的犯罪

￭计算机辅助犯罪

使用计算机作为工具来帮助实施犯罪；

计算机在犯罪中并非必要因素，只是作为工具协助犯罪分子。

￭计算机牵涉型犯罪

计算机不一定是攻击者或者被攻击者，只是在攻击的发生时碰巧涉及其中。

2．修正案

修订后的《计算机欺诈和滥用法案》：

对使用病毒、蠕虫、特洛伊木马和其他恶意代码对计算机系统造成损害的个人给予刑事和民事处罚。

3．联邦量刑指南（1991年）

对联邦法官判决计算机犯罪提供了处罚指南。

三个主要条款：

1.谨慎人规则

2.高级管理人员应尽职审查

3.疏忽的三种举证责任

谨慎的人规则（prudent man rule）：

审慎人规则要求高级管理人员承担个人责任，以确保普通、审慎的个人在相同情况下会表现出应有的谨慎。

该规则最初适用于财务事项，但联邦量刑指南于 1991 年将其应用手信息安全事项。

4.《国家信息基础设施保护法案》（1996年，美国）

《计算机欺诈和滥用法案》的另一项修正案，旨在进一步扩大保护范围。

1.扩大到计算机外的基础设施（铁路、电网...）

2.国际贸易中的计算机。

5.《联邦信息安全管理法案》(FISMA,2002年)

要求：

1.涵盖机构运营信息要求联邦机构实施涵盖机构运营的信息安全程序；

2.要求政府机构将合同商的活动纳入安全管理程序。

6．2014年的联邦网络安全法案

《联邦信息系统现代化法案》（FISMA，2014年）

将联邦网络安全责任集中到美国国土安全部。

《网络安全增强法案》：

该法案要求NIST 负责协调全国范国内的自发网络安全标准工作。

美国国家标准与技术研究院(NIST)：

负责所有不用于处理国家安全敏感信息的联邦政府计算机系统的安全管理。

包含针对联邦机构信息安全的管理条款。

它将管理机密系统的权力移交给国家安全局(NSA)，并授权国家标准与技术研究院(NIST)对所有其他系统进行管理。

美国国家安全局：

（国防部的一部分）负责管理处理机密和／或敏感信息的系统。

问题：一家提供记录管理服务的公司最近与一家医院签订了一份安全存储医疗记录的合同。

该医院是一家总部位于美国且受 HIPAA 保护的实体，这意味着它需要确保与其签约的组织能够满足安全实践要求。两个组织应该签署什么类型的协议来满足这一要求？

A. NDA（Nondisclosure agreement）NDA保密协议

B. MOU（Memorandum of understanding）MOU谅解备忘录

C. BAA (Business associates agreement) 商业伙伴协议

D. SLA (Service-level agreement) SLA 服务水平协议

解析：

HIPAA 涵盖的实体必须与其每个合作伙伴签订商业伙伴协议 (BAA)，以维护 PHI个人健康信息安全性和整体 HIPAA 合规性。

正确答案：C

4.2.2 知识产权

在计算机软件属于文学作品范畴。

从创作时自动拥有版权。最后一位去世作者后70年。受雇创作情况下，发表95年或创建日120年。

1. 版权和数字千年版权法

版权法（Copyright）：

保护创作者的原创作品，如书籍、文章、诗歌和歌曲。

对作品公开发表、复制、展示和修改的法律保护的权力。

并不保护作品的创意，保护创意的表现形式。

示例：文学作品、绘画、歌曲旋律

《数字千年版权法》(DMCA)：

数字千年版权法对“临时性活动”豁免不包括任何对地理位置的要求。

另外两个要求是服务提供商不得决定数据的接收者，并且必须在不更改内容的情况下进行数据传输。

《数字千年版权法》禁止绕过数字媒体中的版权保护机制，并限制互联网服务提供商对用户活动的责任。

DMCA 也让美国的版权法符合世界知识产权组织(WIPO)条约中的两个条款。

1.防止复制数字介质，DMCA 的第一个主要条款是阻止那些试图规避版权所有者对受保护作品采用的保护机制的企图。

这一条款的目的是防止复制数字介质，对惯犯处以最高100 万美元的罚款和10年监禁；

2.罪犯乱用ISP线路的责任，DMCA 还限制了当罪犯利用ISP 线路从事违反版权法的活动时ISP 应该承担的责任。

美国专利法：

规定，从专利申请提交到专利商标局之日起，专利保护期为20年。

2. 商标（Trademark）

是标识公司、产品或服务的名称、标语和标志。公共活动用到就自动获得。未注册用TM标记，已注册的用®标记。

两个重点要求：1.不能与其他商标类似。2.不能是所提供的产品和服务的说明。

保护代表公司形象的单词、名称、符号、形状、声音、颜色。

通常在商标注册机构进行注册。

商标是公司在市场运作过程中建立起来的质量和信誉标志。

3. 专利（Patent）

为新发明的创造者提供保护。20年（从申请开始算）。

三个重点要求：

1.新颖性；

2.实用性；

3.创造性。

对专利注册人或公司专利拥有权的法律认可，禁止他人或公司未经授权使用。

示例：药品的配方、加密算法

4. 商业秘密（Trade Secrets）

保护企业的经营秘密，是保护计算机软件的最佳方法之一。

与公司的竞争或市场能力至关重要；

不是众所周知的，公司付出了相关的资源和努力开发的；

收到公司适当保护以防止泄露或非授权使用。

示例：

-产品配发

-程序源代码

-加密算法

问题：下列哪一个对商业秘密的陈述是错误的？

A．如果一个资源未被很多人所知，而且它要求专门的技术、精巧，并且花费了金钱和精力进行开发，它便可受到法律保护。

B．商业秘密法通常保护资源理念的表述。

C．许多公司为了保护商业秘密，要求他们的员工签署保密协议。

D．一个公司想使某资源具备商业秘密资格，该资源必须给公司提供一些竞价值或优势。

解析：保护资源理念表述的是版权。

正确答案：B

软件分类：

免费软件；

共享软件；

开源软件；

商业软件；

学术软件；

4.2.3 许可

软件许可协议类型：

(1) 开封生效许可协议，

当用户打开软件包时，开封生效许可协议就生效了。

(2) 单击生效许可协议，

要求用户在安装过程中单击按钮以接受许可协议的条款。

(3) 标准许可协议(合同许可协议)，

要求用户在使用软件之前签署书面协议。

(4) 开口头协议，

要求软件用户在一定程度上积极参与。

4.2.4 进口、出口控制 加密技术出口控制

1.计算机出口控制

2.加密技术出口控制

审查（30天内完成）后，可以出口。

4.2.5 隐私

处理目标：

主动寻求保护公民的个人可标识信息（PII）；

在政府和业务的需求与银安全问题而考虑收集和使用PII之间，主动寻求平衡。

类型：

-独处权利；

-免受对个人不合理权利；

-决定何种个人信息可以被传播以及传播给何人的权利。

注意的问题：

-防止不合理侵犯，底线是知情同意，采取适当的保护措施。

-防止缺乏适当的方法，底线是“公平公正”，有纠错机制。

个人信息使用原则

个人数据控制者的义务：

-收集个人数据需要征得数据主体的同意并告知用途；

-只收集与用途有关的数据，只在用途所需期限内使用和保存​；

-数据收集的方法数据的用途迎合法；

-采取合理措施，技术、管理和操作措施，防止个人信息遭到恶意侵犯，保证数据的完整性和保密性，并清除过时数据，防止无用途相关工作需要的人访问。

个人数据主体的义务和权利：

-查看所收集的信息，更正错误信息。

1．美国隐私法

美国宪法第四修正案：

规定了执法人员在搜查和／或扣押私人财产时必须遵守的“可能原因“标准。

它还指出，执法官员在未经允许搜查私人财产前必须获得搜查令。

1974年的《隐私法案》：

限制了政府机构在某些情况下使用私人公民向其披露的信息的方式。

《电子通信隐私法案》(ECPA, 1986年)：

规定侵犯个人的电子隐私时犯罪行为。

1.将侵犯个人电子隐私的行为定义为犯罪；

2.它禁止拦截或泄露电子通信，并定义公开电子通信的合法情况；

3.最著名的规定是将对手机通话的监听定义为非法。

《通信执法协助法案》，《电子通信隐私法案》(CALEA)：

要求所有通信运营商，无论使用何种技术，都要允许持有适当法院判决的执法人员进行窃听。 

1994年颁布的《通信执法协助法案》(CALEA)在1986 年被重命名为《电子通信隐私法案》

《经济间谍法案》（1996年）:

对窃取商业机密的个人进行惩罚。

当窃取者知道外国政府将从这些信息中获益而故意为之时，会受到更严厉的惩罚。

真正保护商业秘密所有者的知识产权。财产包括专有信息，窃听视为间谍行为。

《健康保险流通与责任法案》(HIPAA，1996年)：

规定包括隐私和安全法规，要求医院、臣生、保险公司和其他处理或存储私人医疗信息的组织采取严格的安全措施。

还明确规定了作为医疗记录主体的个人的权利，并要求维护这些记录的组织以书面形式表明这些权利。

《健康信息技术促进经济和临床健康法案》（HITECH，2009年）：

1.法律对待商业伙伴的方式，商业伙伴与受约束实体一样，直接受到HIPAA和HIPAA 执法活动的约束；

2.受HIPAA 约束的实体如果发生数据泄露，必须将信息泄露情况通知到受影响的个人,当信息泄露影响到超过500 人时，必须通知卫生与社会服务部门和媒体。

《儿童在线隐私保护法》(COPPA，1998年)：

对那些未经父母同意就收集儿童信息的公司实施严厉惩罚。

COPPA 表示，在收集信息前，必须从年龄小于13 岁的儿童的父母那里获得同意（为获得该同意所需收集的基本信息除外）。

COPPA要求：

1.网站必须有隐私声明；

2.必须向父母提供机会复查信息，永久删除信息的权力；

3.小于13岁必须征得父母同意

《Gramm-Leach-Bliley 法案》（GLBA，1999年）：

除了其他内容外，《Gramm-Leach-Bliley 法案》还规定了金融机构处理客户私人信息的方式。

对金融机构严格管理，金融机构在提供服务和分享信息方面受到严格限制，金融机构向所有客户提供书面的隐私政策。

美国爱国者法案（2001年）：

是在2001年9月11日恐怖袭击发生后通过的。它扩大了政府监督公民之间通信的权力，实际上削弱了消费者和互联网用户的隐私权。

其他提到的法律都包含旨在加强个人隐私权利的条款。

1.提出了拦截和组织恐怖分子所需的适当法律工具；

2.政府机构获得监听授权的方式，允许官方机构获得针对个人的一系列监听授权，然后可根据这一项授权监听某个人的所有通信线路；

3.政府处理ISP信息的方式，ISP自愿提供大量信息，允许政府通过传票获取用户活动的详细信息（而不是窃听）。

《家庭教育权利和隐私法案》(FERPA，Family Education Rights And Privacy Act)：

具体保护措施包括：

1.对18岁以上学生和未成年学生的父母赋予明确的隐私权

2.父母有权检查学生教育记录

3.父母有权要求学校修改错误的信息。

《身份盗用与侵占防治法》（1998年）：

将身份盗用定义为针对被盗用身份个人的犯罪行为，并规定了对所有违法人员处以严厉处罚（最高可判处15年监禁和／或25刀美元罚款）。

2. 欧盟隐私法

隐私盾（Privacy Shield）：

由美国商务部和美国联邦贸易委员会管理隐私盾框架，允许美国公司证明遵守了欧盟的数据保护法律。

在欧洲开展业务的美国公司，通过隐私盾（Privacy Shield）和美国法律对接进行数据保护。

问题：你是一家金融机构的首席隐私官，正在研究与客户支票账户相关的隐私问题。下列哪一项法律最可能适用于这种情况。

A．GLBA

B．SOX

C．HIPAA

D．FERPA

解析：GLBA包含规范客户财务信息隐私的条款。特别适用于金融机构。

正确答案：A

3．欧盟《通用数据保护条例》(GDPR，General Data Protection Regulation)：重要！

是一部综合性数据隐私法案，用于在全球范围内保护欧盟居民的个人信息。欧盟于2016 年通过并于2018年生效。

适用于所有收集欧盟居民数据或代表某人处理这些信息的组织。

GDPR要求：

-组织必须允许个人选择退出信息共享，

-组织必须使用适当的机制来保护数据免遭未经授权的披露，

-组织必须有针对隐私问题的争议解决流程。

发生个人数据泄露(data breach)的通知：

“72小时”内通知监管机构和数据主体。

如果对自然人的权力和自由造成风险，须通知监管机构。

如果对自然人的权力和自由造成高风险，还需通知数据主体。

通过设计保护隐私 (PbD)：

“基于设计的隐私提出了这样一种观点，即不能仅通过遵守监管框架来确保隐私的未来；

相反，理想情况下，隐私保障必须成为组织的默认操作模式。”-Ann Cavoukian

1. 主动而非被动，预防而非补救

2. 隐私作为默认设置；

3. 隐私嵌入设计；

4. 完整功能 — 正和而非零和；

5. 端到端安全性 — 完整的生命周期保护；

6. 可见性和透明度 — 保持开放；

7. 尊重用户隐私 — 以用户为中心；

跨境数据流动：

1.充分性认定的国家

2.BCR（Bounding Cooperate Rule）

-集团企业内跨国的数据传输

3.欧盟和美国之间的数据传输

-安全港协议（2015被废弃）

-隐私盾协议（2020年已被废弃）

4.3 合规

支付卡行业数据安全标准(PCIDSS，Payment Card Industry Data Security Standard)：

适用于存储、传输和处理信用卡信息的组织。管理信用卡信息的安全性。

《萨班斯-奥克斯利法案》（Sarbanes-Oxley​Act，SOX）：

对在美国上市的公司提供了合规性要求，使上市公司不得不考虑控制IT风险在内的各种风险。

1.IT控制审计；

2.定期报告合规义务和状况。

《上市公司会计改革与投资者保护法案》：

法案的第一句话就是"遵守证券法律以提高公司披露的准确性和可靠性，从而保护投资者及其他目的。

4.4 合同和采购