超级会员免费看
网络安全的立法与框架:降低网络风险的多元途径
1. 美国网络安全立法现状
美国在网络安全方面的立法较为零散,各州的数据泄露立法存在差异。不过,许多州效仿加利福尼亚州,当数据泄露造成一定程度的损害(合理可能性或实质性损害)时,必须公开数据泄露通知。此外,美国有三项重要的联邦法案也对网络安全产生影响:
- 联邦贸易委员会(FTC)相关立法 :若公司在数据安全程度方面提供误导性声明,FTC 可采取行动。自 2002 年以来,FTC 已处理约 60 起此类案件。
- 金融服务现代化法案(FSMA) :当客户的金融信息泄露时,应尽快向公众和监管机构发出通知。
- 健康保险流通与责任法案(HIPAA) :基于风险评估,强制要求公开健康保险及相关领域的数据泄露通知。风险评估包括泄露信息的性质和范围、未经授权使用信息的人员、信息是否被获取或查看,以及数据泄露风险是否得到缓解及缓解程度。
这些立法措施可能会激励组织加强流程和控制,以避免法律成本或因公开通知而损害声誉。不同国家和地区对数据泄露风险的应对方式有所不同,例如在欧盟和英国运营的公司受影响较大,澳大利亚次之;在中国,数据泄露风险可能更多基于引发监管机构不满的主权风险,而非公众曝光;而印度、加拿大和新西兰的立法目前尚未为公司应对网络风险提供强有力的激励。此外,一些学者质疑数据保护法在强制提升网络安全方面的有效性,认为法律在促进网络安全方面是一种相对生硬的工具。因此,通过采用认证和/或国家网络安全良好实践框架来实现自我监管成为另一种途径。
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
