admin管理员组文章数量:1529448
以下为思维导图的md格式,阅读起来会比较抽象。推荐大家将内容复制后使用xmind等软件,将其转化为思维导图形式阅读。详细操作可以参考https://zhuanlan.zhihu/p/267234783
以下为ppt设计内容的整合版,其中知识点分散在ppt各处。
概念部分:
# 概念
## 保护免受网络攻击
## 信息安全
### 所有形式的信息资产
## 隐私和数据保护
### 对个人信息的控制
## 网络犯罪
## 挑战
### 技术
### 法律
## 驱动力
### 法律
### 监管regulatory
### 商业
## 保护
### confidentiality
- 有权限的人才能访问
### integration
- 信息准确
### availability
- 可用性
‘blackhole event’
## 信息安全主要概念
### vulnerabilities
- 系统中可以被exploited的weakness或者flaw
- 两人分担同一个关键职能
- 检查表
- patch补丁
### threat
- anything that can cause harm to an information system – successful
exploits of vulnerabilities
- 重要文件被删除
- 攻击更复杂
Sony’s servers wiped after internal communications stolen, but held for months
### risk
- a likelihood that a threat will exploit a vulnerability and cause harm,
where the harm is the impact to organization
### safeguard
- safeguard reduces the harm posed by information security vulnerabilities or threats
- administration
- technical
- physical
## 法律包括
### law
### common law
- tort law
- contract law
### statutory law 成文法--由政府通过的书面法律
### rules 政府将制定规则、执行规则和审查规 则的权力下放给各机构
### regulation
### standards
## 网络犯罪
### 使用information and communication technology来perpetrate(实施)
### 更省更容易、更迅速
### 需要资源少
### jurisdiction
1.ILoveYou virus started in the Philippines, caused damage worldwide, prosecution took place in the Philippines, but failed
2.419 scams源自nigeria但是有全球影响
- subject matter jurisdiction(事项管辖权)
- personal jurisdiction(个人管辖权)对被告行使权力
### 没有明显的illegal
### 计算机
- target of offence
- tool
- incidental to crime(附属品)
- 证据方面
### Deterrence(威慑很重要)
### COVID-19
### 不健全imperfect
1.Love Bug virus造成巨大影响,但是无法被punished。
## privacy
### be separate be individual
### a state in which you are not watched or disturbed by others
## ISP
### visibly-invisibly
## privacy risk
### cookies
- facilitate用户
- 允许track用户
- flash cookie(隐藏的cookie)
### traffic data
- identifies the person transmitting the communication, the person to whom it is transmitted and the circumstances under which it is transmitted
- 可以用于构建用户画像
- e-mail、call
### clickstream点击流
- 也存储输入
### online service
### online profiling在线剖析
- 个人定价
- dirct marketing直接营销
- 可能的保护
- anonymisation
- pseudonymisation
### search engine
1.AOL发布数据,有人被retract(追溯)了
- retract
- 全面记录风险更高
中国部分:
# 中国
## 趋势
### 更多法律法规出台
### 重点保护
### 企业应该关注事态发展遵守要求
- 特别是数据本地化
## Cybersecurity Law
### Provides for supervisory jurisdiction over cyberspace, defines security obligations for network operators and enhances the protection over personal information
### critical information infrastructure
- 目前还没有定义critical information infrastructure
- 存在中国
- 受到监管
- security assessment
### data localization
### 网络运营商
1.Alipay and Zhima Credit被CAC约谈,要求整改信息收集行为
2.MIIT(工信部)约谈(inerview)百度等公司,要求其满足用户right to know right to choose
3.huazhu许多顾客的信息被出售,perpetrator(肇事者)被arrested
4.Sina weibo因为data leakage被MIIT约谈。
- 运营商需要采取措施保证信息安全防止信息被泄露、破坏、丢失
- 收集时
- Collection and use of personal information must be legal, proper and necessary.
- Network operators must clearly state the purpose, method, and scope of collection and use
- consent
- 不得收集与服务无关的信息
- 未经同意不能向他人提供信息
- 信息泄露时
- remedial action
- inform user
- report to government agencies
- illegal or unauthorized collection and use of personal information 用户可以要求删除
- infromation is wrong 用户可以correct
### Personal Information Security Specification
- 不是法规,是标准鉴定公司是否遵循法律义务
### 破坏communication freedom和secrecy
### 偷听或偷拍 eavesdropping or secret photographing
### 出售非法传输个人信息
1.杭州因出售个人信息被捕
### 非法获得个人信息
1.Humphrey违法收集个人信息
## The Civil Code
### PI
- can be used to independently identify or be combined with other information to identify specific natural persons
- 与个人信息有关的权利是personality rights(人格权)
### personal sensitive information
- may cause harm to personal or property security, or is very likely to result in damage to an individual’s personal reputation or physical or mental health or give rise to discriminatory treatment, once it is leaked, unlawfully provided or abused
- 一旦泄 露、非法提供或滥用,可能会对个人的人 身或财产安全造成伤害,或极有可能导致 个人的个人声誉或身心健康受损,或引起 歧视性待遇的个人信息
## ISP law
### 对于elecommunications operators and Internet service providers的规定
- 明确部门/role在信息安全的责任,确定不同权限(authority),并对操作进行记录
- 审查信息的输出、复制和销毁
- 采取措施防止leakage经常采取访问检查(access inspection)
- 妥善保管carrier of PI
## Consumer Protection Law
### 与消费者打交道的企业的义务
- 与网络运营商一样
- Not send unsolicited communications to consumers
## E-Commerce Law
### 对mobile apps providers
- real-name identification
- information content review
- 主体有权取消他们的账户
- 删除侵权内容
## Private and Tort Law
### ISP
- A network user or network service provide通过互联网infringe他人civil right或interest应承担tort liability
- 精神痛苦也可以
## 标准
### • National and international bodies • OECD Guidelines • Standards and legal obligations of information security
- Benefits
• Joint mastery of problems
• Technical and other issues • Helps choices
• Reduces uncertainties • No need to test further
• Makes operations smoother
• Conformity to expectations • Advances progress
• Anticipate further developments • Avoids conflicts
- - 国家和国际机构
- 经合组织准则
- 信息安全的标准和法律义务
效益
- 共同掌握问题
- 技术和其他问题 - 有助于选择
- 减少不确定因素 - 不需要进一步测试
- 使操作更顺畅
- 符合预期 - 推进进展
- 预测进一步的发展 - 避免冲突
## Personal Information Security Specification(PIS)
### 确定企业是否遵循中国数据保护规则
### 在中国收集或者处理信息的企业应该依照本规范检查做法(practice),确定(identify)并减少(minimize)风险
## 刑法
### criminal law
- terrorist恐怖分子
- gambling赌博/gambling house赌场
- freedom of person
### criminal procedure law
- govern the investigation, arrest, and trial of the accused
- 在arrest时要出示arrest warrant(逮捕证)
- 逮捕24小时内要将reasons for arrest and the place of custody(关押地)通知family或者unit
### principle
- 与程序有关
- No punishment without the law(无明文不为罪)
- an act must be a crime at the time it is committed
- Person charged with offence, but innocent till found guilty在证明有罪之前是无罪的
- Guilt has to be proved beyond reasonable doubt 必须排除合理怀疑
- 强调证据、调查和研究
- 如有合理的怀疑,被指控的人要被acquitted(开释)
- procuracy检察院
- 与刑法有关
- state - private prosecution
- prosecution task : prove guilt beyond reasonable doubt
- defendant :很少需要证明innocence
- accused(被告)没有权利remain silent,但是不能依靠confession(口供)定罪
- No person should be punished more than once for the same offence
- No person should be placed twice at risk (in jeopardy) of being convicted
- 如果被判无罪则不能被以同一理由再次上诉
- 如果offence是minor(轻微的)则不会被上诉
- 会被administrative panalty(警察给出的行政处罚)
- period for criminal prosecution has expired(诉讼时效期满)无法上诉
- principal 主犯 —— joint principle共犯
- aiding协助
- abetting教唆
- inciting 煽动
- inchoate offence未完成犯罪
- incitement教唆罪
- conspiracy共谋罪
- attempt未遂
- 开始了但是be prevented from completing it for reasons independent of his will.
### 犯罪的元素
- a voluntary act or omission Actus Reus
- course of conduct行为过程
- consequence of conduct后果
- a certain state of mind Mens Rea
- specific intention
- recklessness粗心大意,negligence
- 从行为和周围环境推断
### Strict Liability Offences(严格责任罪行)
- 不能证明意图
- 后果严重
### white-collar corrupt白领腐败
### 知识产权犯罪
### territoriality属地原则
- 领土territory或者中国的船只或者aircraft上都算
- 中国人
### 网络犯罪
1.王某非法获取信息系统书并控制计算机
- 非法访问
- 【非法侵入计算机信息系统罪】违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
- 没有意图要求
- 非法获取obtain
- 非法控制
## Personal Information Protection Law (PIPL)
### 处罚
- Correction, confiscation of “unlawful income”
- individual dirctly responsible
- company
- reputation
- 计入信用档案credit file
- 不能证明没有liability for infringement
- compensate loss
- base on loss/unjust enrichment
- potential prosecution for breach
### oversight body监管机构
- State Cybersecurity & Information Department at top leve
- Guidance on law & compliance
Enforcement
Dealing with complaints from individuals
Creation of clear rules & standards for applying the PIPL
Support for R&D and adoption of privacy protection tech
Support for industry certification schemes
- 关于法律和合规的指导
执法
处理来自个人的投诉
为应用PIPL制定明确的规则和标准
支持研发和采用隐私保护技术
对行业认证计划的支持
### 范围
- PRC border
- 在中国提供商品和服务
- analysis/assessment有关PRC中数据
- living people
- 对deceased死者的数据有特殊安排
- 个人数据
- 通过各种方法记录的
- related to identified or identifiable natural person(独立或联合其他信息)
- De-identification和anonymisation数据不算(一旦怀疑就算)
- 敏感个人数据
- 一旦泄露或者非法使用会很容易产生伤害
- personal dignity(尊严)/privacy
- 对安全和property产生严重影响
- 适用范围
- Public & Private Sector application
- 公共和私营部门的应用
- PI handler
### consent
- 需要收集使用个人信息
- 通知
- voluntary explicit
- 只用于收集信息的特定目的(包括给subcontractor)
- 可以撤回
- 如果拒绝只能在必要收集信息是才能refuse服务
- exception
- compliant遵守
- 设计并记录(录音)
- 清楚明白通知
- 提供关键信息
- collector
- 商业模式和必要性(包括后续销售)
- purpose and duration
- 不超过目的和时间
- exercise of right行使主体权利的信息
- 14岁以下儿童需要家长同意
- 鉴别年龄
- 服务限制
- minimum authorisation
- “tacit(默认) consent” enough for general personal,没有反对的情况下
- 定期确认consent
### necessity(alternative consent)
- legal compliance
- tax、crime investigation
- fufilment of contract
- emergency
- public interest
- news reporting
- public domain中已有的数据
### 责任
- 公司变更
- transferred PI要通知
- 没有进一步同意新holder需要受原来的约束
- transfer to other
- full, informed & voluntary consent
- 披露细节
- automated decision-making
- 拒绝different treatment
- 有方便的方法拒绝targeted advertising和offer
- 有权challenge或者拒绝自动决策
- 建立mechanism和process来处理个人需求
- 如果拒绝请求需要解释
- 个人有权质疑拒绝
- Clear information available on how information is stored, potential risks, and protections
- 技术保护
- 定期培训
- 操作限制
- 事件应对计划
- 专业的保护人员及联系方式(contact detail)
- 国际公司要有repersentative
- 定期审计PI compliant包括security provision(规定)
- 在进行重大影响的决策前需要impact assessment
- data leak
- remedial measure
- 通知
- 通知包含
- 信息种类、cause、影响
- mitigate harm的做法
- contact detail
- 通过措施避免伤害可以不通知个人
- important internet platform services
- 需要外部oversight body
- Public social responsibility reports
- 与其他公司合作
- 其他PI handler
- 确保security
- 区分权利和责任
- 个人可以要求任意一个处理者采取行动
- Subcontractors分包商
- 同意
- 需要一样的限制与流程
- 区分权利和责任
- 通过合同或者binding corporate rule来实现
- PI handler依然有责任oversight
- cross-border operation
- 确实需要
- china recognize law中国承认法律
- security assessment
- 被认证(certification)
- Standard contractual terms
- law或者regulation中提到
- compiant strategy
- trainning
- oversight
- contract
- C&I dept advice
- consent
- 充分通知提供细节
- Critical information infrastructure operators and pi handlers [who
meet set data quotas]” must store information within PRC (A40
- C&I oversight
- 除非有standard arrangement否则必须有安全评估
- 国家安全issue
- 只有permission才能传输
- blacklist provision黑名单
- 现有的协议
- CAC assessment
- Binding Corporate Rules
- China Standard Contractual Clauses
- compliance assistance initiatives合规援助举措
- 为用户提供便利
- 清晰记录
- 披露objcetive、scope、method of collection
- 无正当理由不能修改数据
- 数据本地化data localization
1.许多美国欧盟公司将中国本地数据与其他数据隔离,在中国提供云服务,以满足业务需求。
- 处理中国信息应该存在中国(stored inside china)
- undergo risk assessment by the National Cyberspace Administration or related departments
### 个人权利
- control
- access并获得copy
- 法律规定的exception除外
- timely manner
- information portability
- 必须facilitate transfer
- 数据accurate
- 删除数据
- 数据不再需要
- 服务不再
- 撤回同意
- Legally required retention period ended
- 如果期未满但是撤回同意则只需存储并保证安全
- breach the rule
- clear explanation(解释)
- Posthumous treatment of information 遗体资料的处理
- 被kin(亲属处理)
- 为了合法正当利益
### 影响
- legal necessary honest
- 只收集有用的
- clarity
### 在线披露
- consent in writing
- public interest
- Educational or scientific entity makes disclosure in public interest, academic research, or statistical analysis
- 不能识别个人
- 已经公开的信息
- 合法获得的个人信息
- 可能承担民事责任(civil liability)
## Postal Law邮政法
### Freedom and privacy of correspondence
### exception
- 国家、侦查等等
## Measures for the Administration of Internet E-mail Services
### 邮件保留60天
### anti-spam
- labeling责任
- opt-in来同意接受
- 禁止
- 未经authorisation从别人电脑发送邮件
- emailing harvesting
- 出售分发非法所得邮件
- 匿名错误标记的邮件
- content restriction
## 当局有权公开不法行为
## MII 工信部
## Banking financial institutions’ duties
欧洲部分:
# 欧洲
## privacy——GDPR
### 名词
- controller
- 定义
- Organisations/person that decide to collect and process personal data for their own purposes
- 向欧盟提供产品或者服务
- 数据主体在欧盟中
- 欧盟以外适用成员国法律(member state law)
- 义务
- 没有合法依据不处理收集个人信息
- 遵守处理原则
- 保证保密性和安全性
- 保存处理记录
- 没有adequate保护不能将数据传输给第三国
- co-operation with supervisory authority
- impact assessment
- 遵守industry code of conduct
- service provider or processor
- on behalf of控制者(按照instruction)处理个人数据
- 满足安全要求
- 个人数据
- any information relating to an identified or
identifiable natural person (‘data subject’)
- 考虑使用所有方法来鉴别
- 极限活人
- sensitive个人数据
- 1.种族或⺠族血统 2. 政治观点 3.宗教或哲学信仰 4.工会会员资格 5.遗传数据 6.用于唯一识别自然人的生物识别数据 7.有关健康的数据 8. 有关自然人的性生活或性取向的数据
- – Health and medical data (‘data concerning health’ defined in Article 4)
– Race/ethnicity
– Gender
– Union/trade membership
– Religious or philosophical belief
– Sexual orientation, practices
– Political affiliation
– Criminal history (special category)
– Genetic Data (Defined in Article 4)
– Biometric Data (Defined in Article 4)
- enhanced obligation
- narrower exception
- 可能产生较大风险
- 没有explicit consent(法律不允许同意的除外)禁止处理
- Data subject
- an identified or identifiable nature person
- EU DP law适用的一切PI的subject
- proceesing
- exemption
- 不属于EU law
- 有关crime的处理
- national security
- EU common foreign and security policy
- purely个人或者家庭活动(不包含社交网络)
1.lindqvist case
- dead people
- fully anonymised data
- Statistical / historic /scientific research
- consent
- clear affirmative act
- Unambiguous, freely given and informed
- OPT IN
- 任何时候都能撤销
- necessary
- 正常信息
- comply obligation
- 合同
- law
- 保护数据主体的vital interest
- public interest and official authority
- 控制者或第三方的利益(除非被基本权利取代特别儿童)
- 敏感信息
- legal claim
- 在主体无法在法律或者physically情况下无法给出同意,保护vital interest
- Legitimate activities by non-profit-seeking body(充分保护)(政治、宗教等机构)
- national employment law 给予控制人的权利
### 义务obligation
- Safeguarding obligations
- ‘appropriate and proportionate’ security measure,保证appropriate to risk的level of security考虑技术水平实施成本
- pseudonymisation and encryption of personal data
- 保护confidentiality、integrity、availablity和resilience(弹性)
- 发生事故后要恢复availablity和access to PI in a timely manner
- 定期测试effectiveness保证安全
- Information obligations
- sharing or disclosure of information
- 向supervisory authority报告data breach(72 hour)
- 如果有可能被affected by breach 要报告data subject
- no likelihood of risk不用报告(影响很宽泛)
### 附录(recital)
- 保护个人数据是基本权利
- 不是绝对权力
- 依据proportionality权衡
- 对于natural person的信息保护
- 被收集人处于欧盟境内保护就使用
- EU内跨境(transborder)数据流通的重要性
- EU内更统一一致(coherent、unified)的措施
- harmonisation的重要性
- Regulation applies directly,但是也会依据appropriate incorporate into national law
- 如果欧盟成员国法律适用于EU外,GDPR也将适用
- Needs of commercial actors of varying size
- 技术的影响
- technology neutral
- 儿童需要特别保护
### 执行
- 控制者的义务
- 数据主体权利
- access
- correct
- erase
- restrict process
- notification of change
- data portabilty
- object automated decision
- 限制(国家安全侦查等)
- 欧盟监管下成员国的enforcement
### 反对处理个人数据
- public interest or exercise of lawful authority
- 第三方的legitimate interest
- 控制者只能在能证明有压倒性(overriding)的情况下继续处理(proportionality test)
- 与数据主体沟通时数据主体应该最迟(at least)被告知此权利
### 儿童
- 13-16岁
- parental consent
- 合理步骤来保证
- 对其他(合同法)没有影响
### 删除数据
1.Two businessmen, information on Google re crimes committed many years ago
- 目的不再需要
- 用户不希望数据存在,没有合法处理理由
- 反对处理,没有压倒性的理由
- 被非法处理
- 已经shared,处理者需要要求别人删除
- exception
- 行使expression和information自由的权利
- 遵守控制器的法律义务
- 公共利益、官方权利
- 法律
- 统计、历史、科学
### data portabilty
- 同意
- automated means
- 前者必须删除
- 最好dirctly to新控制者
### 原则
- Omnibus Data Protection综合数据保护,总体性规则
- 原则
- 尊重私人生活
- 信息自由流动(free flow),促进single market economy发展
- Lawfulness, Fairness & Transparency
- transparency
- 提供足够信息让其理解数据过程
- 对第三国充分调查建立充分保障手段
- complain的权利
- identify公司数据保护官(office)
- 披露是法定(legislation)的还是依据合同
- automated desion
- withdraw 和 portability权利
- fairness
- 以情况(circumstance)而定
- lawfully
- legitimate processing
- consent
- 合适的时间
- 处理过程中或者提前
- 数据主体已经有这些信息
- 来自第三方法要在合理期限内
- purpose limitation
- 保护
- Where processing PD for further purpose withoutconsent, Controller must take into account:
– any link between the purposes for which collected and intended further use – the context in which the personal data have been collected
Esp. the relationship between data subjects and the controller
the nature of the personal data
– Sensitive personal data involved?
– Personal data relating to criminal convictions? Possible consequences for data subjects Existence of appropriate safeguards
– E.g. encryption or pseudonymisation
- 未经同意的处理:
保障措施
- 第6条:如果未经同意为进一步的目的处理PD,控制者必须考虑到:
收集的目的与预期的进一步使用之间的任何联系 个人数据的收集背景
- 数据主体和控制者之间的关系
Q 个人数据的性质
是否涉及敏感的个人数据?
与刑事定罪有关的个人数据?
- 对数据主体可能产生的后果
- 是否存在适当的保障措施
例如:加密或假名化
- data minimisation
- accuracy
- storage limitation
- 技术保护数据与风险相当
- 合同规定
- 只处理需要的数据
- 通知未解决(unaddressed)风险和remedy(不得拖延)
- Integrity and Confidentiality
- 其他责任
- 每个国家任命自己的DP机构
- 监测和执行GDPR,向国家立法机构提供议、 教育公众,调查投诉。
### 数据向EU外传输
1.Maximillian Schrems v Data Protection Commissioner美国公司获取欧盟个人信息
2.Digital Rights Ireland and La Quadrature du Net challenged privacy shield
3.Data Protection Commissioner v Facebook Ireland and Maximillian Schrems PS被认为inadequate
- adequate protection
- derogation(减损)
- 明确(explicit)的同意
- 必须被告知缺乏适当的保障措施和风险
- necessity
- 登记册中的内容:例如向公众提供信息
- 之前提到的necessity
- General Adequacy Criteria
- 第三国法律方面审查
- 是否有监管机构保证执行
- 第三国是否承认保护个人数据的国际规则
- 敏感数据要更高标准,小风险数据不用
- 需要commission决定,已有adequate ruling的不需要authorisation
- 上传网站不是这种授权
- 要求
- appropriate safeguard
- enforceable data subject right avaliable
- remedy
- 范围
- 数据
- 用户数据
- staff数据
- 公司
- headquarter跨国公司
- 目的与时间
- 有些转移risk小
- 处理时间在最低期限
- 一旦不需要处理要删除
- 为第三国处理者行为负责
- Appropriate safeguards
- 不需要审批
- Legally binding and enforceable instruments between public bodies / authorities (Treaties)
Binding Corporate Rules (A47)
European Commission’s standard contractual clauses
Standard contractual clauses adopted by national DPA and approved by Commission
Approved Code of Conduct (A40)
Approved certification mechanism (A42)
- 公共机构/当局之间具有法律约束力和可执行的 文书(条约)
- 具有约束力的公司规则(A47)
- 欧盟委员会的标准合同条款
- 由国家DPA采用并由委员会批准的标准合同条款
- 批准的行为准则 (A40)
- 经批准的认证机制 (A42)
- 需要审批approval
- Contractual arrangements合同安排
- Provisions inserted in administrative arrangements
- certification
- encourage EU “data protection mechanisms
- 认证第三国特定数据控者提供欧盟水平保护
- 认证要voluntary和transparent
- 受监管monitored
- Certification bodies and processes必须被批准
- EU US
- safe harbor
- privacy shield
1.Digital Rights Ireland and La Quadrature du Net have challenged PS in court
- 美国企业向US Department of Commerce self-certify
- 承诺7项原则
- 被FTC强制执行
- 专员专门处理LEA投诉
- 每年的review机制
- 原则
- Privacy Shield Principles:
– Notice
– Choice
– Accountability for Onward Transfers
– Security
– Data Integrity and Purpose Limitation
– Access
– Recourse, Enforcement and Liability
- US enforcement: new, two-tier redress mechanism for EU citizens, including:
– Data Protection Review Court – (3 judge panel)
– Appeals to Civil Liberties Protection Officer
– Binding authority
- binding corporate rule有约束力的公司规定
General Electric Company (employee data)
Koninklijke Philips Electronics NV (employee data)
Atmel Corporation (employee data)
Accenture Limited (employee and client)
- 促进TBDF,节省paperwork
- GDPR47规定了要求
- 国家DPA来批准
- 整个公司的执行守则code of conduct
- 企业中每个人都遵守
- 数据主体能对企业执行守则
- supervisory authority需要保证consistent of applying code
- Standard Contractual Clauses标准合同条款
- 企业可以不经批准使用
- 企业写自己的然后寻求批准
- 给subprocessor的规定
- code of conduct
- 行业代表(representative)可以自己编制并寻求批准
- 满足特定行业需求
- 被监督
- 进行监测
## Telecommunications networks/services——ePrivacy Directive
## Critical Infrastructure——-Network and Information Systems Directive (NIS Directive)
### regulates the cybersecurity of critical national infrastructure,解决因投资与信息不足造成的风险。
- Operators of essential services (OES), which are directly responsible for CNI基本服务运营商
- seven critical infrastructure sectors
- 其服务是维持关键社会活动和经济活动所必须的
- Digital service providers (DSPs), which provide services upon which others, including OES, are reliant数字服务提供商
- 远距离、通过电子 手段并根据服务接受者的个人要求而提供的任何服务。在线市场、在线搜索引擎、云计算
### safeguarding/information obligation
- 保证服务的continuity(连续性)
- 有重大impact(significant’ or ‘substantial’)时需要通知
### 需要改进
- 加强安全要求
- 解决供应链安全问题
- streamline(简化)报告义务
- 扩大范围
- more stringent supervisory and stricter enforcement
## contract law
### 控制者与处理者
- 合同必须包括
- 未经控制器事先具体或一般的书面授权,处理者不得 雇用另一个处理者
- 处理者的处理应受合同或其他法律行为的约束
- 规定处理的主题和期限、处理的性质和目的、个人数 据的类型和数据主体的类别以及控制器的义务和权利
## tort law
### 数据控制者可以根据negligence侵权法对其应合理foresee并prevent或mitigate的网络安全 事件所造成的damage负责。
- 流程
- have duty
- fail to fulfil duty
- duty-breach-causation(因果关系)-harm
- 过失来源
- common law
- 合同
- 必须要合理(reasonably)可预见
- 损失由索赔者证明(be proven by claimant)
1.Vidal-Hall v Google 非金钱损失(non-pecuniary loss)也可以被赔偿
2.WM Morrison Supermarkets v Various Claimants 实施适当安全措施不用负责任
3.
LloydvGoogl 需要claimant证明damage。在不对索赔基础审查的前提下法院不会代表潜在大量索赔人提出索赔
## criminal law
### so damaging to society
## cybersecurity law-UK
### 保护计算机免受attack s and theft of
information
### 未经authorisation(授权)访问计算机属于非法
## European Convention on Human Rights (ECHR)
### 尊重私人和家庭生活
### 保护个人数据
## Data Protection directive数据保护指令 eprivacy dirctive
### cookie
- 使用cookie必须遵守DPD
- 只能在用户设备中存储
- 通知用户存储信息及目的后才允许存储信息
- 用户同意可以通过browser或application设置来表达
- 拒绝所有
- affirmatively同意
- 限制同意的范围
### spyware
- 告知tracking device
- 目的合法legitimate
- 提供拒绝性
### traffic data
- 不再需要transmission要删除或者anonymize(不再是个人数据)
### spam
- unsolicited e-mail
- OPT-in发邮件前先争取用户同意
- 发邮件询问不行
- 说明目的
- 提供控制者信息
- 在销售时收集到的用户数据,可以向其推销类似产品
- 用户可以拒绝接受
- 传递数据需要同意
- 沟通无效可以向ICO投诉,但是不提供赔偿(compensation)
### dirct marketing
- 针对特定个人以任何形式传播advertising和marketing material
- 任何时候都可以拒绝
### Automatic collection of PI
- 不合法有权拒绝
- 某系国家有豁免例如监测tax
### search engine
- 若无法绝对肯定无法识别个人,IP算个人信息
### IP address
1.Belgian DPA IFPI ruling 谴责了这个获取ip地址来维护版权的行为
- 在official authority监管下进行ip识别可以
美国部分:
# US
## US Health Insurance Portability and Accountability Act (health information privacy) (HIPAA)
### 个人健康数据很敏感
- • Confidential medical records
• Public embarrassment, discrimination
• Medical identity theft
- PHI:any individually identifiable information about the health of the person, including past, present or future mental or physical health information
- cover entity:处理PHI的公司与商业伙伴
- Privacy and Security rules apply to covered entities and determine how they may create, store, use or disclose protected health information (PHI)
- 适用于其他行业
### CE需要使用安全保障措施来保护PHI的CIA免受合理预期的威胁
### implementation specification实施规范(IS)
- 强制性complusory
- 可以选择全部实施或部分实施(写名原因)
### 保障措施(IS)
- Administrative Safeguards行政保障
- Actions, policies and procedures to prevent, detect, contain and correct information security violations
- management process
- physical safeguard物理保障
- 保护物理资源的措施
- technical SG技术保障
- Controls applied in the hardware and software on an information system
## Children's Online Privacy Protection Rule (COPPA)
### scope
- 越来越多来自Federal Trade Commission (FTC)
- 收集13岁及以下儿童的信息需要家长的consent
1.FTC and the games company Playdom 公司被指控违反COPPA
2.YouTub未经父母同意手机儿童个人信息
## California Consumer Privacy Act (CCPA)
### scope
- Personally identifiable information (PII) includes any information that identifies, relates to, describes, is capable of being associated with, or could reasonably be linked, directly or indirectly, with a particular consumer or household (under the CCPA)可能与消费者及其家庭联系的信息
- 任何处理收集加州居民PII的企业
- 收入、接受数量、来自信息的收入比例
## Massachusetts(马萨诸塞州)为保护个人信息提供了18项具体标准
## Breach Notification Laws
### 47洲通过法律通知信息泄露
### 谁comply法律
### PI的定义
### 什么constitute泄露
### 通知的要求
## Consumer Protection Regulations
### FTC-保护消费者
1.提起50余起信息安全案件
### 禁止unfair and deceptive trade
1.Wyndham Hotels被攻击失去信息,随后因为deceptive造成损失,被ftc sued
2.LifeLock没有保护个人信息并有deceptive advertising
3.Ashley Madison欺骗消费者其保护了信息
4.LabMD court认为FTC没有instruct [respondents] to stop committing a specific act or practice 并且没有prohibition(不具体的标准imprecise standard)
5.AMG Capital Mgmt., LLC v. FTC 目前存在很多问题需要congress(国会)来帮助
- unfair
- 重大伤害
- 无法合理避免
- 没有超过伤害的好处
- deceptive
- milead
- 从消费角度不reasonable
- 影响消费者决定
- 规定了minimum的实施
### 18岁以下儿童
### Algorithmic and Biometric Bias
### Deceptive and Manipulative Conduct on the Internet
## tort law
### negligence
1.Anderson v. Hannaford Brothers Co 违反默认合同的注意标准是过时
2.Patco Construction Co. v. People’s United Bank银行有好技术但是没有好好设置trigger
- 与EU一样
### fiduciary duty(信托责任)
- 没有为另一方的best interest着想
### contract
1.Willingham v. Global Payments payment processor对消费者没有责任
2.Zappos, Inc.法院认为安全声明不是可执行合同,没有保护数据的默认合同。
3.Ruiz v. Gap, Inc.求职者(job applicants)和未来雇主(prospective employer)存在责任
- 数据违约承担strict liability(对产品造成的任何伤害负责)
- 流程
- 合同有binding
- 自己履行了义务
- the breaching party failed to fulfil obligations
- the lack of a legal excuse
- damage
### future harm
### 维持合理的程序以确 保信息安全
## contarct law
### data breach claim(默认合同implied contract)
### 选择和保留有能力维持个人安全的提供商
## The Payment Card Industry Data Security Standards(PIC) 支付卡行业数 据安全标准
### 应对credit card fraud and data security breaches
### 一些state(洲)将其纳入法律
## The Computer Fraud and Abuse Act
### 对受保护计算机造成一定伤害为刑事犯罪
### 要有intent(意图)
## 传输数据
### 贸易价值达到一定数量需要传输个人数据
国际组织:
# 国际组织
## 国际标准化组织(ISO)
### 定义standard
### 好处
- Joint mastery of problems
- Helps choices
- Makes operations smoother
- Advances progress
- avoid conflict
### 措施
- Lists security control objectives
- Recommends a range of specific security controls.
## OECD经合组织
## convention on cybercrime网络犯罪公约
### 意义与地位
- 重要的国际基准benchmark
- 得到国际支持
- 加强国际合作
### Substantive Criminal Law(实质刑法)
- illegal access非法访问
1.Korn/Ferry限制员工披露公司信息(合法除外)
- 定义
- 犯罪的第一步
- 故意无权访问计算机系统
- 一切手段
- 访问的定义是开放式的(对新科技)
- hacking
- 含义
- 动机
- flaunt
- each party(缔约方)需要立法并出台措施(measure)来规定非法访问是犯罪
- illigal interception(拦截)
- 攻击transmitted data不是存储的信息
- 通信基础设施
- 有罪
- data interference数据干扰
- 无权情况下破坏或manipulate(操控)计算机数据(压制数据suppressing也算)
- virus
- 被害人可以保留生成造成严重伤害的权利
- system interference系统干扰
- 阻止计算机顺利运行
- misuse of device
- 实施计算机犯罪提供硬件
- 生产、使用犯罪软件
- 出售密码
## Cross-border Crimes
### 努力
- 国家层面
- 国际层面
### 挑战
- 技术挑战
- 不受领土管制
- 难以识别
- 找不到证据
- 匿名(anonymous)
- 互联网上有黑客工具
- 无法追踪
- encryption
- wireless and satellite communication
- private sector/industry co-operation问题
- 国际合作
- 法律挑战
- 管辖权
1.ILoveYou: Started in the Philippines, caused damage worldwide, prosecution in the Philippines, but failed
- MLATs多边援助条款耗时长
- 需要extradition(引渡)
- 国家没有引渡义务
- 必须要同时违反两个国家的法律才可以引渡
- 调查受国家法律制约
- 没有网络犯罪法
- 法律落后
- 国际没有普遍的法律框架
- operational挑战
- 对技术不了解
- 缺少网络调查员
- 缺乏定期培训
- 缺乏计算机取证能力forensic capabilities
- 缺乏行业协作
- 企业不愿意报告
- 国际组织
- G8
- APEC
- united nations
- council of Europe欧盟委员会
- Oxford Process牛津进程
- paris call
- Europol
- Tech Accord技术协议
- Convention on Cybercrime网络犯罪公约
- minimum list of cybercrime offense
- harmonize要素,减少法律冲突冲突
- 分类
- 破坏CIA的活动
- 与计算机有关的犯罪
- 与内容有关的犯罪
- 与版权有关的犯罪
- 管辖权协商(多个国家商量谁有管辖权)
版权声明:本文标题:北邮果园(国院)电商大三下网络安全法复习思维导图(详尽版) 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dongtai/1726616612a1078261.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论