第4章 法律、法规和合规

4.1 法律的分类

美国的法律系统中有三种主要的法律类型。

每种法律都被用来应对各种不同情况，在不同类别的法律下，对违法行为的处罚差别也很大。

下面将分析刑法、民法和行政法如何相互作用以形成司法系统的复杂网络。

4.1.1 刑法

刑法是维护和平、保障社会安全的法律体系的基石。

许多引人注目的法庭案件涉及刑法问题，刑法也是警察和其他执法机构关注的法律。

刑法包含针对某些行为（如谋杀、袭击、抢劫和纵火等）的禁令。

对违反刑法行为的处罚是有范围的，包括强制时长的社区服务、货币形式的罚款以及以监禁形式对公民自由的剥夺。

许多刑法通过打击计算机犯罪来保护社会安全。

随后几节将提到一些法律，如《计算机欺诈和滥用法案》《电子通信隐私法案》《身份盗用与侵占防治法》等，以及如何对严重的计算机犯罪案件进行刑事处罚。

经验丰富的检察官与相关执法机构联手，对“地下黑客”行为进行严厉打击。

他们利用法院系统，对那些曾被视为无害的恶仵剧者判处漫长的刑期。

在美国，各级政府守法机构通过选举产生的代表制定刑法。

在联邦政府层面，众议院和参议院通常都必须获得多数赞同票，才可使刑法法案变成法律。

一旦投票通过，这些法案就会成为联邦法律，并适用于联邦政府有权管辖的所有案件（主要包括州间贸易案件、跨越州界的案件或违反联邦政府法律的案件）。

如果联邦司法权不适用，州执政当局则会以相以方式使用由州议员通过的法律来处理案件。

所有联邦和州的法律都必须遵守美国的最高法律《美国宪法》，它规定了美国政府如何进行执政工作。

所有法律都要受到地方法院的司法审查，这些地方法院有权上诉到美国最高法院。

如果地方法院发现某条法律违反了宪法，就有权将其推翻并认定其无效。

记住，刑法非常严肃。

如果发现自己作为证人、被告或受害者卷入刑事案件，特别是计算机犯罪案件，强烈建议向熟悉刑法系统的律师寻求帮助。

在这种复杂的法律系统中，凭借个人能力“单打独斗”的做法是不明智的。

4.1.2 民法

民法是美国法律体系的主体，用于维护社会秩序，管理不属于犯罪行为但需要由公正的仲裁者解决的个人和组织间的问题。

由民法判决的事项类型包括合同纠纷、房地产交易、雇佣问题和财产/遗嘱公证程序。

民法也用于创建政府架构，行政部门使用这个架构来履行自己的职责。

这些法律为政府活动提供预算，并授予行政部门制定行政法的权力。

民法的制定方式与刑法相同。

在成为法律前，它必须通过立法程序，并同样受到宪法条款和司法审查程序的约束。

在联邦层面，刑法和民法都被收录在《美国法典》(USC)中。

民法和刑法的主要区别在于执行方式。

通常，执法当局除了采取必要的行动恢复秩序外，不会介入民法事务。

在刑事诉讼中，政府通过执法调查人员和检察官对被指控犯罪的人员提起诉讼。

在民事问题中，认为自己冤枉的人有责任聘请法律顾问，并向他们认为应对自己的冤屈负责的人提起民事诉讼。

政府（除非是原告或被告）在争端中不偏袒任何一方，也不主张任何一方的立场。

政府在民事案件中的唯一作用是提供审理民事案件的法官、陪审团和法院设施，并在管理司法系统与法律一致方面发挥行政作用。

与面对刑法时一样，如果你认为需要提起民事诉讼，或有人对你提起民事诉讼，那么最好去寻求法律援助。

虽然民法没有监禁处罚，但败诉的一方可能面临严重的经济处罚。

从每日新闻中可看到这样的例子——对烟草公司、大型企业和富人处罚数百片美元的案件。

这样的事情几乎天天都在发生。

4.1.3 行政法

美国政府行政部门要求许多机构承担广泛责任以确保政府的有效运作。

这些机构的责任就是遵守和执行立法部门制定的刑法和民法。

然而，不难发现，刑法和民法不可能制定出在任何情况下都应该遵守的规则和程序。

因此，行政机构在制定管理机构日常运作的政策、程序和规章方面有一定余地。

行政法涉及的既可以是琐碎的事情，如联邦机构购买办公电话的程序，也可以是重大问题，如用于执行由国会通过的法律的移民政策。

行政法被纳入《美国联邦法规》(Code of Federal Regulations, CFR) 中。

虽然行政法不需要通过立法部门的行动来获得法律效力，但它必须符合所有现有的民法和刑法。

政府机构不得执行与现行法律直接抵触的法规。

此外，行政法规（以及政府机构的行动）也必须符合美国宪法的规定并接受司法审查。

要了解合规要求和程序，就必须充分了解法律的复杂性。

从行政法到民法，再到刑法（一些国家甚至有宗教法），顺应监管环境是一项艰巨任务。

CISSP考试重点在于对法律、法规、调查和合规性的概括，因为它们会影响组织的安全工作。

具体来说，你需要：

•从整体概念中理解与信息安全相关的法律和监管问题。

•确定适用于你的组织的合规要求和其他要求。

不过，你有责任向专业人员（如律师）寻求帮助，他们将指导你维护合法的及法律所支持的安全工作。

4.2 法律

下面将研究一些与信息技术相关的法律。

我们将研究一些美国法律，还将简要介绍几个广受关注的非美国法律，例如欧盟的《通用数据保护条例》(GDPR) 。

然而，如果运营环境涉及外国的司法管辖权，则应聘请当地的法律顾问来指导你了解他们的法律系统。

4.2.1 计算机犯罪

立法者判定的第一批计算机安全案件是那些涉及计算机犯罪的事件。

根据传统刑法，早期的许多计算机犯罪起诉案件都被驳回，因为法官认为将传统法律应用到这种现代类型的犯罪的做法太过牵强。

为此，立法者通过了专门法规，在其中定义了计算机犯罪，并对各种犯罪制定了具体的惩罚措施。

1. 《计算机欺诈和滥用法案》(CFAA)

《计算机欺诈和滥用法案》是美国针对网络犯罪的第一项重要立法。

美国国会早在1984年就颁布了这个与计算机犯罪相关的法律，并将其作为《全面控制犯罪法》(CCCA)的一部分。

CFAA措辞谨慎，专门针对跨越州界的计算机犯罪，以免侵犯各州的权利或触犯宪法。

最初的CCCA的主要条款将以下行为判定为犯罪：

•未经授权或超出被赋予的权限访问联邦系统中的机密信息或财务信息。

•未经授权访问联邦政府专用的计算机。

•使用联邦计算机进行欺诈（除非欺诈的唯一目的是使用计算机）。

•对联邦计算机系统造成的恶意损失超过1000美元的行为。

•修改计算机中的医疗记录，从而妨碍或可能妨碍个人的检查、诊断、治疗或医疗护理。

•非法交易计算机密码，前提是非法交易影响了州际贸易或涉及联邦计算机系统。

当国会通过CFAA时，将损失阈值从1000美元提高到5000美元，同时显著改变了监管范围。

该方案不再只针对处理敏感信息的联邦计算机，而改为针对涉及“联邦利益”的所有计算机。

这扩大了法案的适用范围，使其包括以下方面：

•美国政府专用的计算机。

•金融机构专用的计算机。

•政府或金融机构使用的计算机，如果其被破坏，会妨碍政府或金融机构使用系统。

•被组合起来实施犯罪的不在同一个州的所有计算机。

2.CFAA 修正案

1994年，美国国会认识到，从1986年对CFAA进行最后一次修订起，计算机安全领域发生了巨大变化，于是对该法案进行了多次大范围修改。

这些修改统称为《1994年计算机滥用修正案》，其中包括以下条款：

•宣布创建任何可能对计算机系统造成损害的恶意代码的行为是不合法的。

•修改CFAA, 使其适用于州际贸易中使用的所有计算机，而不仅适用于涉及“联邦利益”的计算机系统。

•允许关押违法者，不管他们是否造成实际损害。

•为计算机犯罪的受害者提供了提起民事诉讼的法律授权，使他们可通过民事诉讼获得法令救济和损害赔偿。

在1994 年第一次修正CFAA后，美国国会又分别在1996年、2001年、2002年和2008年通过了附加修正案，并将其作为其他网络犯罪法律的一部分。

本章将讨论这些修正案。

虽然CFAA可能用于起诉各种计算机犯罪，但也被安全和隐私界的许多人评判为过于宽泛的法律。

在某些解释中，CFAA将违反网站服务条款的行为定为刑事犯罪。

这项法律曾被用来裁判Aaron Swartz, 因为他从麻省理工学院网的数据库中下载了大量的学术研究论文。

Aaron在2013年自杀，这个事件触发了CFAA修正案的起草，该修正案从CFAA中删除了违反网站服务条款的行为。

该法案被称为“Aaron法案“，不过国会没有对此进行表决。

正在进行的立法和司法行动可能会影响美国对CFAA的广泛解释。

例如，在2020年的Sandvig起诉Barr案中，联邦法院裁定CFAA不适用于违反网站使用条款的行为，因为这将有效地允许网站运营商界定犯罪活动的界限。

在本书付印时，美国最高法院正在考虑一个类似的案件，即Van Buren起诉美国案，并有可能在该领域开创一个明确的先例。

3. 1996年的美国《国家信息基础设施保护法案》

1996年，美国国会还通过了对《计算机欺诈和滥用法案》的另一项修正案，目的是进一步扩大保护范围。

《国家信息基础设施保护法案》包括以下这些主要的新领域：

•扩大CFAA范围，使其涵盖国际贸易中使用的计算机系统以及州际贸易中使用的系统。

•将类似的保护扩展到计算系统以外的其他国家基础设施，如铁路、天然气管道、电网和电信线路。

•将任何对国家基础设施关键部分造成损害的故意或鲁莽行为视为重罪。

4. 联邦量刑指南

1991年颁发的联邦量刑指南为联邦法官判决计算机犯罪提供了处罚指南。

指南中三个主要条款对信息安全界产生了持久影响。

•指南正式提出谨慎人规则，该规则要求高级管理人员为“应尽关心”而承担个人责任。

这条规则从财务职责领域发展而来，也适用于信息安全方面。

•指南允许组织和高级管理人员通过证明他们在履行信息安全职责时实施了尽职审查，将对违规行为的惩罚降至最低。

•指南概述了关于疏忽的三种举证责任。

首先，彼指控疏忽的人必定负有法律上不可推脱的责任。

其次，被指控人员必定没有遵守公认的标准。

最后，疏忽行为与后续的损害之间必然存在因果关系。

5. 《联邦信息安全管理法案》(FISMA)

2002年通过的《联邦信息安全管理法案》(FISMA)要求联邦机构实施涵盖机构运营的信息安全程序。

FISMA还要求政府机构将合同商的活动纳入安全管理程序。

FISMA废除并取代了之前的两个法案：1987年的《计算机安全法案》和2000年的《政府信息安全改革法案》。

美国国家标准与技术研究院(NIST) 负责制订FISMA实施指南，下而概述有效的信息安全程序的组成要素：

•定期评估风险，包括未经授权访问、使用、泄露、中断、修改或破坏信息和信息系统（用于支持组织运营），以及组织资产可能受到的损害程度。

•基于风险评估的策略和程序，以合理费用将信息安全风险降至可接受的水平，并确保将信息安全贯穿到组织信息系统的生命周期中。

•为网络、设施、信息系统或信息系统群组提供适当的信息安全细分计划。

•开展安全意识培训，告知员工（包括合同商和其他支持组织运营的信息系统用户）与他们的工作相关的信息安全风险，并使其知道他们有责任遵守组织为降低这些风险而设计的策略和程序。

•定期测试和评估信息安全策略、程序、实践和安全控制的有效性，执行频率取决于风险，但不少于每年一次。

•规划、实施、评估和记录补救措施的过程，以解决组织信息安全策略、程序和实践中的任何缺陷。

•检测、报告和响应安全事件的程序。

•制订计划和程序，确保支持组织业务和资产的信息系统的业务连续性。

FISMA对联邦机构和政府承包商造成了很大负担，要求他们必须编写和维护关于FISMA合规活动的大量文档。

6.2014 年的联邦网络安全法案

2014年，美国总统签署了一系列法案，使联邦政府处理网络安全问题的方法与时俱进。

第一个是令人费解的《联邦信息系统现代化法案》（也被缩写为FISMA) 。

2014年的FISMA修改了2002年发布的FISMA的规则，将联邦网络安全责任集中到美国国土安全部。

不过有两个例外情况：与国防相关的网络安全问题仍由美国国防部负责，而美国国家情报机构负责与情报相关的问题。

其次，美国国会通过了《网络安全增强法案》，该法案要求NIST负责协调全国范围内的自发网络安全标准工作。

NIST为联邦政府编制了与计算机安全相关的800 系列特别出版物。

这些出版物对所有安全从业人员都很有用，可在NIST官网上免费获得。

以下是NIST的常用标准。

•NIST SP 800-53：联邦信息系统和组织的安全和隐私控制。该标准适用千联邦计算系统也常被用作行业网络安全基准。

•NIST SP 800-171：保护非联邦信息系统和组织中受控的非分类信息。

遵守该标准的安全控制（与NIST SP 800-53的安全控制非常相似）经常被列入政府机构的合同要求。

联邦承包商通常必须遵守NIST SP 800-171。

•NIST网络安全框架(CSF) 。这套标准旨在充当自发的基于风险的框架，用于保护信息和系统。

与这一波新要求相关的第三部法律是《国家网络安全保护法》。

这部法律要求美国国士安全部建立集中的国家网络安全和通信中心。

该中心充当联邦机构和民间组织之间的接口，共享网络安全风险、事件、分析和警告。

4.2.2 知识产权(IP)

在全球经济中，美国的角色正从商品制造商向服务提供商转变。这种趋势也在世界上许多工业化国家显现了出来。

随着它们向服务提供商的转变，知识产权对很多公司来说越来越重要。

实际上，许多大型跨国公司中最有价值的资产只是我们都已认可的品牌名称。

戴尔(Dell) 、宝洁(Procter & Gamble)和默克(Merck)等公司的名称就是产品信誉的保证。

出版公司、电影制片人和艺术家依靠他们的创作谋生。

许多产品都依赖于秘方或生产工艺，如可口可乐的传奇秘方或肯德基的草药与香料秘密配方。

这些无形资产统称为知识产权(IP) ，并有一整套保护知识产权所有者权益的法律。

要知道，如果一家书店只购买作者的一本书，然后进行复制并向所有顾客出售，这将是不公平的，因为侵占了该作者的劳动成果。

接下来将探讨四种主要的知识产权类型，即版权、商标、专利和商业秘密，还将讨论信息安全专业人员应该如何关注这些概念。

许多国家/地区以不同力式保护（或不予保护）这些权利，但基本概念在全世界都是被认同的。

1. 版权和《数字千年版权法》(DMCA)

版权法保护“原创作品”的创作者，防止创作者的作品遭受未经授权的复制。

有资格受到版权保护的作品有八大类。

•文学作品

•音乐作品

•戏剧作品

•哑剧和舞蹈作品

•绘画、图形和雕刻作品

•电影和其他音像作品

•声音录音

•建筑作品

计算机软件版权是有先例的，它属于文学作品范畴。

然而，重要的是必须注意到版权法只保护计算机软件固有的表现形式，即实际的源代码，而不保护软件背后的思想或过程。

对于是否扩展版权法，使其涵盖软件包UI 的“外观和感觉“，还有一些争论。

对于这类问题，法院给出过两种方向的判定结果。

如果被卷入这类问题，应该请教知识产权方面的资深律师，以确定当前的立法情况和法律案件。

获得版权的过程有正式程序，包括向美国版权局发送受保护作品的副本和适当的注册费。

有关这一过程的更多信息，谓访间美国版权局官方网站。然而，正式注册版权并不是实施版权的先决条件。

事实上，法律规定作品的创作者从作品创作完成的那一刻起就自动拥有版权。

如果能在法庭上证明你是作品的创作者，你就受到版权法的保护。

正式的注册仅是让政府确认在特定日期收到了你的作品。

版权总是默认归作品的创作者所有。这个规定的例外是：因受雇用而创作的作品。

员工在日常工作中创造出来的作品被认为是因受雇用而创作的作品。

例如，某公司公共关系部门的员工写了一篇新闻稿，这份新闻稿就被认为是受雇而创作的作品。

如果书面合同中说明了某作品是因受雇而创作的作品，那它也是因受雇而创作的作品。

现在的版权法提供了一个相当长的保护期。

一个或多个作者的作品：被保护的时间是最晚去世的作者离世后的70年。

因受雇而创作的作品和匿名作品：被保护的时间是第一次发表日期后的95年，或从创建之日起的120年，这两个时间中较短的一个。

1998年，美国国会认识到快速变化的数字领域已延伸到现有版权法的范围。

为应对这一挑战，国会颁布了备受争议的《数字千年版权法》(DMCA)。

DMCA也让美国的版权法符合世界知识产权组织(WIPO)条约中的两个条款。

DMCA的第一个主要条款是阻止那些试图规避版权所有者对受保护作品采用的保护机制的行为。

这一条款的目的是防止数字介质（如CD和DVD) 的复制。

DMCA规定，对惯犯处以最高100万美元的罚款和10年监禁。图书馆和学校等非营利机构不受这一条款的约束。

DMCA还限制了当罪犯利用ISP线路从事违反版权法的活动时ISP(互联网服务提供商)应该承担的责任。

DMCA认识到互联网服务提供商的法律地位与电话公司“公共运营商”的地位类似，不要求他们对用户的“临时性活动”承担责任。

为获取豁免条款的资格，服务提供商的活动必须符合以下要求（直接引用1998年12月美国版权办公室摘要，DMCA1998):

•传输必须由提供商以外的人发起。

•传输、路由、连接的提供或复制必须由自动化技术过程执行，而不需要服务提供商进行选择。

•服务提供商不能确定数据的接收者。

•任何中间副本通常不能被预期收件人以外的任何人访问，而且保留期限不得超过合理需要的时间。

•数据必须在不改变内容的情况下传输。

DMCA还免除了服务提供商与系统缓存、搜索引擎和个人用户在网络上存储的信息相关的活动。

但这些情况下，服务提供商必须在收到侵权通知后立即采取行动，删除受版权保护的内容。

美国国会还在DMCA中规定，允许备份计算机软件和任何维护、测试或复制软件的日常使用活动。

这个规定仅适用于被许可在特定计算机上使用的软件，其使用符合许可协议，而且当这些备份个再被许可的活动需要时应当立刻被删除。

最后，DMCA说明了版权法条款在互联网上音频或视频数据流中的应用。

DMCA声明，这些使用被视为“合格的非预期传输＂。

2. 商标

版权法用于保护创造性作品；对于用来辨识公司及其产品或服务的文字、口号和标志的商标，也存在保护机制。

例如，一家企业可能获得其销售手册的版权，以确保竞争对手不能复制其销售材料。

该企业还可能寻求商标保护，从而保护公司名称以及提供给客户的特定产品与服务的名称。

保护商标的宗旨是在保护个人与组织的知识产权的同时避免市场混乱。

与版权保护一样，商标不需要正式注册就能获得法律保护。

如果在公共活动过程中用到某个商标，你会自动获得相关商标法律的保护，可使用TM符号来表明你想将文字或标语当作商标来保护。

如果想要官方认可你的商标，可向美国专利商标局(USPTO)注册。

这一过程通常需要律师对已存在的商标进行一次全面的尽职审查，以排除注册障碍。

整个注册过程从开始到结束可能需要一年多的时间。

一旦收到来自USPTO的注册证书，即可使用＠符号来表示这是已注册的商标。

商标注册的一个主要好处是，可注册一个打算使用（但未必现在使用）的商标。

这种申请类型被称为意向使用申请，从提供文档的申请之日起保护商标，前提是在特定期限内真正在商业活动中使用该商标。

如果选择不向USPTO注册商标，那么对商标的保护只有在第一次使用时才开始。

在美国，若要使商标申请被接受，需要满足两个重点要求：

•该商标不能与其他商标类似，以免造成混淆。

这需要律师在尽职审查期间予以确定。在该商标开放接受反对意见期间，其他公司可对申请的商标提出质疑。

•该商标不能是所提供的产品与服务的说明。

例如，“Mike's Software Company" 就不是一个好的商标候选名称，因为它描述了公司生产的产品。

如果USPTO认为商标具有描述性，可能拒绝批准申请。

在美国，商标批准后的初始有效期为10年，到期后可按每次10年的有效期延续无数次。

3. 专利

实用专利保护发明者的知识产权。

专利提供了自发明之日起（自首次申请之日起）20年的

保护期限，在此期间发明者具有独家使用该发明的权利（直接使用或通过许可协议便用）。

在专利专有期结束后，该发明在公共领域允许任何人使用。

专利有三个重点要求：

•发明必须具有新颖性。只有创意新颖的发明才能获得专利。

•发明必须具有实用性。发明必须能实际使用并完成某种任务。

•发明必须具有创造性，不能平淡无奇。例如，你不能为用喝水的杯子收集雨水这个想法申请专利，因为这是一个平淡无奇的解决力案。

不过，你可能使用下而这个方案申请到专利：一种特殊设计的水杯，能在收集尽可能多雨水的同时最大限度减少蒸发。

在技术领域，专利一直用于保护硬件设备和制造过程。

在那些领域，有非常多的发明者受到专利保护的先例。

最近还发布了涉及软件程序和类似机制的专利，但科技界对这些专利有争议，认为其中许多专利过于宽泛。

这些宽泛的专利的发布，导致了仅靠持有专利维持生存的公司的业务演变。

这些公司对其认为侵犯了自己专利的公司提起法律诉讼来获取赔偿。这些公司在科技界被称为“专利流氓＂。

4. 商业秘密

许多公司拥有对其业务而言极其重要的知识产权，如果这些知识产权被泄露给竞争对手或公众，将造成重大损失，这些知识产权就是商业秘密。

之前提到流行文化中这类信息的两个例子：可口可乐的秘方和肯德基的草药和香料秘密配方。

其他例子还有很多，制造公司可能想对某个制造过程保密，而只有少数关键员工完全了解该过程；

或者，统计分析公司可能想对为内部使用而开发的先进模型保密。

可用前面讨论的版权和专利这两种知识产权来保护商业秘密信息，但存在如下两个主要缺点：

•申请版权或专利时需要公开透露作品或发明细节。

这将自动消除所有物的“秘密“性质，由于消除了所有物的神秘性或允许不择手段的竞争者通过违反国际知识产权法复制该所有物而对公司造成损害。

•版权和专利提供的保护都有时间期限。一旦合法保护到期，其他公司可随意使用你的工作成果，而且他们拥有你在申请过程中公开的所有细节！

实际上关于商业秘密，有一个官方程序。

根据商业秘密的特性，你不必向任何人登记，而是自己持有它们。

为保护商业秘密，必须在组织中实施充分控制，确保只有经过授权的、需要知道秘密的人员才能访问它们。

还必须确保任何拥有访问权限的人都遵守保密协议(NDA)的规定（不与他人共享信息），并对违反协议的行为给予惩罚。

请咨询律师以确保保密协议在法律允许的最长期限内有效。

此外，必须采取措施证明你重视并保护了知识产权，否则可能导致商业秘密保护的失效。

保护商业秘密是保护计算机软件的最佳方法之一。

如前所述，专利法没有对计算机软件产品提供足够的保护。

版权法只保护源代码的实际文本，并不禁止其他人以不同形式重写代码并实现同一目标。

如果将源代码视为商业秘密，那么首先需要避免竞争对手拿到源代码。

这一技术被微软等大型软件开发公司用来保护核心技术知识产权。

4.2.3 许可

四种常见的许可协议类型：

•合同许可协议

合同许可协议使用书面合同，列出软件供应商和客户之间的责任。

这些协议适用于高价和或特别专业化的软件包。

•开封生效许可协议

开封生效许可协议被写在软件包装的外部。

它们通常包含一个条款，指出只要打开包装上的收缩包装封条，即意味着认可合同条款。

•单击生效许可协议

单击生效许可协议正变得比开封生效许可协议更常见。

在这类协议中，合同条款要么写在软件包装盒上，要么包含在软件文档 。

在安装过程中，用户需要单击一个按钮来表明已阅改并同意逞守这些协议条款。

这增加了对协议流程的积极认可，确保个人在安装前知道许可协议的存在。

•云服务许可协议

云服务许可协议将单击生效许可协议发挥到了极致。

大多数云服务不需要任何形式的书面协议，而只在屏幕上快速显示法律条款以供检阅。

某些情况下，它们可能简单地提供法律条款的链接以及要求用户确认已阅读并同意这些条款的确认框。

大多数用户在急于访问一个新服务时，只会单击“确认”按钮，而不会真正阅读协议条款，因而可能无意中让整个组织承受繁杂的法律责任条款与条件。

4.2.4 进口/出口控制

美国联邦政府认识到，驱动互联网和电子商务发展的计算机与加密技术还可在军事领域成为极强大的工具。

因此，在冷战期间，美国政府制定了一套复杂的法规制度以管制向其他国家出口敏感的硬件和软件产品的行为，包括管理跨国界流动的新技术、知识产权和个人身份信息。

直到最近，除非面向的是少数几个盟国，否则很难从美国对外出口高性能计算机。

美国对加密软件的出口控制更严格，实质上几乎不可能从美国对外出口任何加密技术。

最近联邦政策有些变化，放松了这些限制，提供了更开放的商业环境。

网络安全专业人员需要对两个关于进出口的联邦法规予以特别关注：

•国际武器贸易条例(ITAR)

控制的是被明确指定为军事和国防物品的物资的出口，包括与这些物资相关的技术信息。

ITAR涵盖的项目出现在美国军需品清单(USML)中，该清单保存在22 CFR 121中。

•出口管理条例(EAR)

涵盖了更广泛的物资，这些物资专为商业用途而设计，但可能有军事用途。

EAR涵盖的项目出现在美国商务部维护的商务控制清单(CCL)上。

值得注意的是，EAR包括一个涵盖信息安全产品的完整类别。

1. 计算机出口控制

目前，美国企业可向几乎所有国家出口高性能计算系统，而不必事先得到政府的批准。

2. 加密技术出口控制

美国商务部工业和安全局针对向美国境外出口加密产品的行为做了相关规定。

根据之前的规定，几乎不可能从美国出口任何加密技术，即使是较低级别的加密技术。

这使得美国软件制造商在与没有这些限制的外国公司竞争时处于不利地位。

经过软件企业的长期游说美国总统指示商务部修改了相关规定以促进美国安全软件业的发展。

目前的监管规定指定了零售和大众市场安全软件的类别。

现在这些规定允许公司将这些产品提交给商务部审查，审查时间不超过30天。

审查成功后，公司可自由地出口这些产品。

然而，政府机构往往会超出法定审查期限，公司要么等到审查完成，要么将此事告上法庭，试图迫使政府作出决定。

4.2.5 隐私

多年来隐私权在美国一直是备受争议的话题。

争论的主要原因是宪法的权利法案没有明确规定隐私权。

然而，这一权利已得到许多法院的支持，美国公民自由联盟(ACLU)等组织也在积极追求这项权利。

欧洲也一直关注个人隐私。

事实上，瑞士等国以其保守金融秘密的能力而闻名世界。

稍后将研究欧盟数据隐私方案如可影响公司和互联网用户。

1. 美国隐私法

虽然隐私没有明确的宪法保障，但很多联邦法律（其中许多是近年来颁布的）可用于保护政府维护的隐私信息，

这些隐私信息与公民以及金融、教育和医疗机构等私营部门的关键部分有关。

接下来将研究一些联邦法律。

第四修正案

隐私权的基础是美国宪法的第四修正案。全文如下：

公民的人身、住宅、文件和财产不受无理搜查和扣押的权利，不得受到侵犯。

除依照合理根据，以宣誓或代誓宣言保证，并具体说明搜查地点和扣押的人或物，不得发出搜查和扣押状。

该修正案的直接解释防止政府机构在没有搜查令和合理理由的情况下搜查私人财产。

法院扩大了第四修正案的适用范围，包括针对窃听和其他侵犯隐私行为的保护。

1974 年颁布的《隐私法案》

1974年颁布的《隐私法案》是对美国联邦政府处理公民个人隐私信息的方式进行限制的一部最重要的隐私法。

它严格限制联邦政府机构在没有事先得到当事人书面同意的情况下向其他人或机构透露隐私信息的能力。

它还规定了人口普查、执法、国家档案、健康和安全以及法院命令等方面的例外情况。

《隐私法案》规定政府机构只保留业务运作所需的记录，并在政府的合法职能不再需要这些记录时销毁它们。

这个法案为个人提供了正式程序，可让个人查阅政府留存的与已相关的记录，并要求修改错误记录。

1986 年颁布的《电子通信隐私法案》(ECPA)

《电子通信隐私法案》(ECPA)将侵犯个人电子隐私的行为定义为犯罪。

该法案扩大了以前只针对通过物理线路进行通信的《联邦政府监听法案》的范围，适用于任何非法拦截电子通信或未经授权访问电子存储数据的行为。

它禁止拦截或泄露电子通信，并定义公开电子通信的合法情况。

该法案可防止对电子邮件和语音邮件通信的监控，并防止这些服务的提供者对其内容进行未经授权的披露。

ECPA最著名的规定是，将对手机通话的监听定义为非法。事实上，这种监控可被处以最多500美元的罚款和最长5年的监禁。

1994 年颁布的《通信执法协助法案》(CALEA)

1994年颁布的《通信执法协助法案》(CALEA)修正了1986年颁布的《电子通信隐私法案》。

CALEA要求所有通信运营商，无论使用何种技术，都要允许持有适当法院判决的执法人员进行窃听。

1996 年颁布的《经济间谍法案》

1996年颁布的《经济间谍法案》扩大了财产的定义，使其包括专有经济信息，从而可将窃取这类信息的行为视为针对行业或企业的间谍行为。

这改变了偷窃的法律定义，使其不再受物理约束的限制。

1996 年颁布的《健康保险流通与责任法案》(HIPAA）

1996年，国会通过了《健康保险流通与责任法案》(HIPAA），对医疗保险和健康维护组织(HMO) 的法律进行了大量修改。

HIPAA的规定包括隐私和安全法规，要求医院、医生、保险公司和其他处理或存储私人医疗信息的组织采取严格的安全措施。

HIPAA还明确规定了作为医疗记录主体的个人的权利，并要求维护这些记录的组织以书面形式表明这些权利。

2009 年颁布的《健康信息技术促进经济和临床健康法案》(HITECH)

2009年，美国国会通过了《健康信息技术促进经济和临床健康法案》(HITECH)，对HIPAA进行了修订。

该法案更新了HIPAA的许多隐私和安全要求，并在2013年通过HIPAA Omnibus Rule实施。

新法规强制要求的一个变化涉及法律对待商业伙伴的方式，商业伙伴指处理受保护的健康信息(PHI) 的组织，代表HIPAA约束的实体。

受约束实体与商业伙伴之间的任何关系都必须受商业伙伴协议(BAA)的书面合同约束。

根据新规定，商业伙伴与受约束实体一样，直接受到HIPAA和HIPAA执法活动的约束。

HITECH新增了数据泄露通知要求。

根据HITECH 违约通知规则，受HIPAA约束的实体如果发生数据泄露，则必须将信息泄露情况告知于受影响的个人；当信息泄露影响到超过500人时，必须通知卫生与社会服务部门和媒体。

1998 年颁布的《儿童在线隐私保护法》(COPPA)

2000年4月，《儿童在线隐私保护法》(COPPA)的实施细则正式生效。

COPPA 对关注儿童或有意收集儿童信息的网站提出一系列要求。

•网站必须有隐私声明，明确说明所收集信息的类型和用途，包括是否有任何信息泄露给第三方。

隐私通知还必须包含网站运营商的联系信息。

•必须向父母提供机会，使其能够复查从孩子那里收集的任何信息，并可从网站记录中永久删除这些信息。

•如果儿童的年龄小于13岁，那么在收集任何信息前，必须征得其父母的同意。

法律中有例外情况，允许网站为获得父母的同意而收集最少量的信息。

1999 年颁布的《Gramm-Leach-Billey 法案》(GLBA)

直到《Gramm-Leach-Bliley 法案》(GLBA)于1999年成为法律，美国对金融机构才有了严格的监管规定。

银行、保险公司和信贷提供商在提供服务和分享信息方面受到严格限制。

GLBA在一定程度上放宽了对每个组织提供服务的规定。

美国国会在通过这项法律时意识到这一范围的扩大可能对隐私产生深远影响。

基于这个顾虑，该法案包含对同一公司的子公司之间交换的多类信息的限制，并要求金融机构向所有客户提供书面的隐私政策。

2001 年颁布的《美国爱国者法案》

为了对2001年9月11日在纽约和华盛顿发生的恐怖袭击予以直接回应，美国国会在2001年通过了《美国爱国者法案》，该法案提供了拦截和阻止恐怖主义所需的适当法律工具。

《美国爱国者法案》大大扩展了执法机构和情报机构在多个领域的权力，包括对电子通信的监控。

《美国爱国者法案》带来的一个重大变化涉及政府机构获得监听授权的方式。

此前，警方在证实某通信线路由监控对象使用后每次只能获得对一条线路的监听授权。

《美国爱国者法案》中有条款允许官方机构获得针对个人的一系列监听授权，然后可根据这一项授权监听某个人的所有通信线路。

《美国爱国者法案》带来的另一个主要变化涉及政府处理ISP信息的方式。

根据《美国爱国者法案》的条款，网络服务提供商可自愿向政府提供大量信息。

《美国爱国者法案》还允许政府通过传票获取用户活动的详细信息（而非监听）。

最后，《美国爱国者法案》修正了《计算机欺诈和滥用法案》（另一修正案），对犯罪行为施加更严厉的惩罚。

《美国爱国者法案》规定了最长20年的监禁，再次扩大了CFAA的适用范围。

《美国爱国者江案》具有复杂的立法历史。

《美国爱国者法案》中的许多关键条款在2015年到期，当时美国国会未能通过更新的法案。

不过，美国国会在2015年6月通过了《美国自由法案》，其中保留了《美国爱国者法案》中的关键条款。

这些条款于2020年3月再次过期，截至本书付印时，尚未更新。

《美国爱国者法案》监管效力的未来状态是不确定的。

《家庭教育权利和隐私法案》(FERPA)

《家庭教育权利和隐私法案》(FERPA)是另一种特殊的隐私法案，影响着所有接受联邦政府资助的教育机构（绝大多数学校）。

该法案对18岁以上的学生和未成年学生的父母赋予了明确的隐私权。

FERPA的具体保护措施包括：

•父母/学生有权检查学校对学生的任何教育记录。

•父母/学生有权要求更正他们认为错误的记录，并有权将其对任何未更正记录的声明陈述纳入记录中。

•除特殊情况外，学校不得在未经书面同意的情况下公布学生记录中的个人信息。

《身份盗用与侵占防治法》

1998年，美国总统签署了《身份盗用与侵占防治法》，使其成为法律。

此前，身份盗用的唯一合法受害者是被欺诈的债权人。

该法案将身份盗用定义为针对被盗用身份个人的犯罪行为，并规定对所有违法人员处以严厉处罚（最多可判处15年的监禁或25万美元的罚款）。

2. 欧盟隐私法

欧盟(EU)作为信息隐私领域的主导力量，通过了一系列旨在保护个人隐私权的法规。

这些法律以全面的方式发挥作用，适用于几乎所有可识别个人身份的信息，这与美国隐私法不同，后者通常适用于特定行业或信息类别。

欧盟数据保护指令(DPD)

1995年10月24日，欧盟议会通过了一项全面的数据保护指令，概述了为保护信息系统中处理的个人数据而必须采取的隐私措施。

该指令在3年后的1998年10月生效，是世界上第一部基础广泛的隐私法。

DPD要求所有对个人数据的处理符合以下标准之一：

•同意

•合同

•法律义务

•数据主体的重大利益

•平衡数据所有者和数据主体之间的利益

该法令还概述了持有和处理数据的个人的关键权利：

•访问数据的权利

•有权知道数据的来源

•纠正不准确数据的权利

•某些情况下不同意处理数据的权利

•这些权利被侵犯时可采取法律行动的权利

DPD的颁布迫使世界各地的组织，甚至包括欧盟之外的组织，考虑跨境数据流的规定要求其承担的隐私义务。

当欧盟公民的个人信息离开欧盟时，那些发送数据的人必须确保数据仍受到保护。

欧盟《通用数据保护条例》(GDPR)

2016年，欧盟通过了一项涵盖个人信息保护的综合性新法律。

《通用数据保护条例》(GDPR)于2018年生效，取代了之前的数据保护指令(DPD)。

这项法律的主要目标是针对整个欧盟的数据提供独立的、统一的法律，从而增强最初由DPD提供的个人隐私保护。

GDPR与数据保护指令的一个主要区别在于监管范围的扩大。

新法律适用于所有收集欧盟居民数据或代表收集数据的人员处理这些信息的组织。

重要的是，这项法律甚至适用于收集欧盟居民信息的非欧盟组织。

根据法院对这一条款的解释，因为其广泛的覆盖范围，GDPR具有国际性。

至于欧盟能否在全球范围内执行这项法律，目前还是一个待确定的问题。

GDPR的一些主要规定如下：

•合法、公平和透明 意味着你必须有处理个人信息的法律依据，不得以误导或损害数据主体的方式处理数据，并且你必须对数据处理活动保持公开和诚实的态度。

•目的限制 是指你必须清楚地记录和披露你收集数据的目的，并将你的活动限制为披露的目的。

•数据最小化 意味着你必须确保所处理的数据能满足你的既定目的，并且仅限于你为此目的实际需要的数据。

•准确性 是指你收集、创建或维护的数据是正确的且没有误导性，维护更新的记录，并且更正或删除不准确的数据。

•存储限制 表明，你仅在实现合法、公开目的所需的时间内保留数据，并且遵守“遗忘权”，允许人们要求公司在不再需要时删除他们的信息。

•安全性 表示你必须有适当的完整性和保密性控制来保护数据。

•问责制 表明，你必须对针对受保护数据采取的行动负责，并且必须能够证明你的合规性。

跨境信息共享

在跨境传输信息时，应特别关注GDPR。

需要在其子公司之间进行跨境信息传输的组织有两种方式来遵守欧盟法规。

•组织可以采用一套标准合同条款，这些条款已获准用于将信息传输到欧盟以外的情况。

这些条款可在欧盟网站找到并可集成到合同中。

•组织可以采用具有约束力的公司规则来管理同一公司内部单位之间的数据传输。

这是一个非常耗时的过程这些规则必须得到每个将要使用它们的欧盟成员国的批准，所以通常这个方法只被规模非常大的组织所采用。

过去，欧盟和美国运行着一项名为“隐私盾”的安全港协议。

组织能够通过独立评估员证明其遵守隐私惯例，如果获得了隐私盾，则可传输信息。

然而，欧洲法院2020年在名为Schrems II的案件中作出裁决，宣布欧盟/美国隐私盾无效。

目前，公司不得依赖隐私盾，必须使用标准合同条款或具有约束力的公司规则。

如果隐私盾被修改以满足欧盟要求，这可能会在未来发生变化。

某些情况下，不同国家的法律之间会发生冲突。

例如，美国的电子发现规则可能要求出示受GDPR保护的证据。

在这些情况下，隐私专业人士应咨询律师以确定适当的行动方案。

3.加拿大隐私法(PIPEDA)

加拿大法律影响与加拿大居民有关的个人信息的处理。

其中最主要的是《个人信息保护和电子文件法》(Personal Information Protection and Electronic Documents Act, PIPEDA) ，它是一项限制商业公司如何收集、使用和披露个人信息的国家法律。

总体来说，PIPEDA包含了个人可识别的个人信息。

加拿大政府提供了PIPEDA涵盖的以下信息示例：

•种族、民族或种族本源

•宗教

•年龄

•婚姻状况

•医疗、教育或工作经历、财务信息

•DNA

•身份识别号码

•员工绩效记录

该法律排除了不符合个人信息定义的信息，包含由加拿大信息专员提供的以下示例：

•与个人无关的信息，因为与个人的联系太弱或太疏远。

•关于组织（比如企业）的信息。

•匿名信息，前提是无法将该数据链接到可识别的人员。

•关于公务员的某些信息，例如他们的姓名、职位和头衔。

•组织收集、使用或披露的个人业务联系信息，其唯一目的是与该人员就相关的就业、业务或职业情况进行沟通。

PIPEDA也可能被与之基本相似的特定省份法律所取代。

PIPEDA通常不适用于非营利组织、市政当局、学校和医院。

4. 州隐私法

除了影响信息隐私和安全的联邦和国际法律之外，组织还必须了解州、省和其开展业务的其他司法管辖区发布的法律。与本章前面讨论的数据泄露通知法的情形一样，各州往往首先制定隐私法规，这些法规在全国范围内传播，最终可能成为联邦法律的范本。

《加州消费者隐私法案》(CCPA)就是这个原理的一个很好的范例。

加州于2018年通过了这项全面的隐私法，该法案以欧盟的GDPR为蓝本。

它于2020年生效，为消费者提供下列权利：

•了解企业正在收集哪些信息以及组织如何使用和共享该信息的权利。

•被遗忘的权力允许消费者在某些情况下要求组织删除他们的个人信息。

•选择不出售其个人信息的权利。

•行使其隐私权的权利，而不必担心因使用而受到歧视或报复。

4.3 合规

近十年来，信息安全监管环境日趋复杂。

组织可能发现自己受制于各种法律（其中许多法律在本章前面提到过）和由监管机构或合同义务强制实施的规定。

组织在处理许多相互重叠的（甚至相互矛盾的）合规需求时，需要认真规划。

许多组织聘用全职IT合规人员，让他们负责跟踪监管环境，监视控制以确保持续合规，促进合规审计，并履行组织的合规报告责任。

组织可能要接受合规审计，审计者可能是标准的内部审计人员和外部审计师，也可能是监管机构或其代理机构。

例如，组织的财务审计员可进行IT控制审计，以确保组织财务系统的信息安全控制遵守《萨班斯－奥克斯利法案》(SOX) 。

些法规（如PCI DSS)可能要求组织雇用已获得认可的独立审计师来验证控制并直接向监管机构提供报告。

除了正式审计外，组织通常还必须向内部和外部的一些股东报告法律合规情况。

例如，组织的董事会（或董事会审计委员会）可能需要定期报告合规义务和状况。

同样， PCI DSS非强制性地要求组织进行正式的第三方审计，并提交一份关于合规状况的自我评估报告。

4.4 合同和采购

越来越多的用户使用云服务和其他外部供应商来存储、处理和传输敏感信息，这导致组织开始关注可在合同和采购过程中实施的安全审查和控制。

安全专业人员应当审查供应商实施的安全控制，包括最初的供应商选择和评估流程，以及持续管理审查。

以下是这些供应商管理审查期间要涵盖的一些问题：

•供应商存储、处理或传输哪些类型的敏感信息？

•采取哪些控制措施来保护组织的信息？

•如何区分组织的信息与其他客户的信息？

•如果加密是一种值得信赖的安全控制机制，要使用什么加密算法和密钥长度？如何进行密钥管理？

•供应商执行了什么类型的安全审计，客户对这些审计有什么访问权限？

•供应商是否依赖其他第三方来存储、处理或传输数据？合同中有关安全的条款如何适用于第三方？

•数据存储、处理和传输发生在哪些地方？如果客户或供应商在国外，会产生什么影响？

•供应商的事件响应流程是什么？何时通知客户可能的安全破坏？

•有哪些规定来确保客户数据拥有持续的完整性和可用性？

上面只是简短地列出了需要关注的问题。

应根据组织的具体关注事项、供应商提供的服务类型以及与他们共享的信息，调整安全审查范围。