首頁>>>技術(shù)>>>VoIP

部署VoIP的法律問題

2007/01/08

  在部署VoIP項(xiàng)目時(shí),技術(shù)并不是唯一要考慮的問題,你還必須考慮到一些法律問題。在本文中,筆者將向大家介紹在企業(yè)部署VoIP前需要考慮的法律問題。

  企業(yè)在從公用電話網(wǎng)絡(luò)遷移到VoIP技術(shù)時(shí),或者將VoIP與現(xiàn)有的語音/數(shù)據(jù)通信策略結(jié)合時(shí),所產(chǎn)生的法律問題并不亞于技術(shù)問題。

  在美國,根據(jù)企業(yè)所處工業(yè)領(lǐng)域或行業(yè)的不同,VoIP通信在安全性和隱私性方面會(huì)受到聯(lián)邦或州政府法律的嚴(yán)格要求。在歐洲,企業(yè)的通信策略也必須服從歐盟的電信規(guī)章制度。 另外,企業(yè)還必須有應(yīng)對(duì)緊急事件的通信服務(wù)策略。在本文中,我們將了解一下新部署VoIP時(shí)會(huì)遇到的常見的法律問題。

常見法規(guī):SOX, GLBA, 和HIPAA

  影響企業(yè)IT部門的美國三大聯(lián)邦法案是Sarbanes-Oxley 法案(SOX),Gramm-Leach-Bliley法案(GLBA 或GLB),以及 Health Insurance Portability and Accountability法案 (HIPAA)。也許你已經(jīng)對(duì)這些法案相當(dāng)熟悉了,不過我還是要簡單介紹一下。

SOX

  2002年,美國國會(huì)為了平息一系列企業(yè)帳務(wù)丑聞,推出了Sarbanes-Oxley法案(根據(jù)該法案在美國參議院和眾議院的發(fā)起人名字命名)。它的正式名稱應(yīng)該是Public Company Accounting Reform and Investor Protection Act of 2002(2002年公共公司賬目改革和投資保護(hù)法案)。該法案只針對(duì)公開上市公司。

  該法案中與IT部門關(guān)系最大的是第404節(jié)。該部分要求企業(yè)管理必須確立和維護(hù)一個(gè)“適當(dāng)?shù)膬?nèi)部控制架構(gòu),并每年提供此控制架構(gòu)的評(píng)估報(bào)告,而且必須經(jīng)由獨(dú)立的第三方機(jī)構(gòu)進(jìn) 行再次確認(rèn)。”

GLBA

  1999年,美國國會(huì)通過了Gramm-Leach-Bliley法案(也是以發(fā)起人的名字命名的),該法案允許商業(yè)銀行提供投資和保險(xiǎn)服務(wù)。該法案也涉及到保護(hù)消費(fèi)者的個(gè)人信息不被金融領(lǐng) 域的公司收集并利用。

  該法案的正式名稱為Financial Services Modernization Act(金融服務(wù)現(xiàn)代化法案)。不過GLBA所定義的“金融領(lǐng)域”相當(dāng)寬泛,不但包含銀行、信用卡公司、信用聯(lián)盟、租賃 公司等,還包含了保險(xiǎn)公司、有價(jià)證券商、不動(dòng)產(chǎn)評(píng)估商、擁有自己的信用卡的零售商店、稅務(wù)代理、貸款機(jī)構(gòu)以及任何“明顯涉及金融活動(dòng)”的相關(guān)公司。

  其中與企業(yè)IT部門關(guān)系最大的是第501節(jié)A段。它要求企業(yè)必須保證客戶記錄和信息的安全性和保密性,必須保護(hù)這些數(shù)據(jù)資料不會(huì)處于任何安全威脅下,保證這些資料不會(huì)被任何 未經(jīng)授權(quán)的人訪問或利用,給客戶帶來任何傷害或利益損失。

HIPAA

  雖然美國國會(huì)在1996年就通過了HIPAA法案,但是其中涉及IT安全的“隱私條例”直到2003年才得以實(shí)施。該條例所針對(duì)的是那些擁有公民醫(yī)療記錄或其它個(gè)人健康信息的公司和機(jī) 構(gòu)。其中包括醫(yī)院,醫(yī)生的辦公室甚至護(hù)士的住所,HMO,保險(xiǎn)公司,提供醫(yī)療和健康服務(wù)的社會(huì)服務(wù)代理機(jī)構(gòu),以及為員工提供統(tǒng)一體檢的公司。所有的個(gè)人醫(yī)療信息都必須按照 HIPAA的規(guī)則保存或轉(zhuǎn)換為電子檔案。

  HIPAA要求企業(yè)和機(jī)構(gòu)必須確保這些電子化的個(gè)人健康信息的安全性,完整性以及可用性,保護(hù)這些信息不受任何安全威脅的影響,不被任何非法用戶訪問或利用。

這些法案與VoIP有什么關(guān)系?

  你也許已經(jīng)注意到了,上面提到的這些法案都涉及了一個(gè)內(nèi)容,即針對(duì)某種信息數(shù)據(jù)的完整性和隱私性的保護(hù)。比如,作為一個(gè)SOX法案的審查人員,必須要檢查企業(yè)內(nèi)部的信息安 全控制機(jī)制,包括密碼強(qiáng)度、加密方式、易損性測試等。針對(duì)VoIP的檢查項(xiàng)目可能包括你的企業(yè)是否對(duì)VoIP的使用進(jìn)行日志記錄,如何利用這些日志進(jìn)行費(fèi)用支付,如何跟蹤管理 等。那么,你的企業(yè)是否擁有了一套認(rèn)證機(jī)制,防止非法用戶使用企業(yè)的VoIP系統(tǒng)呢?

以下是HIPAA或GLBA所關(guān)心的數(shù)據(jù)隱私問題: 是否通過無線網(wǎng)絡(luò)技術(shù)傳輸VoIP?

  如果采用無線網(wǎng)絡(luò),是否采用了足夠強(qiáng)壯的無線加密方式? Wi-Fi Protected Access (WPA)加密方式要好于Wired Equivalent Privacy (WEP)加密方式。

讓VoIP符合法規(guī)要求

  記住,你的VoIP網(wǎng)絡(luò)也是一個(gè)基于IP的網(wǎng)絡(luò),因此它將與普通IP數(shù)據(jù)網(wǎng)絡(luò)面對(duì)同樣的安全威脅。以下是確保你的VoIP網(wǎng)絡(luò)能夠符合各種安全法規(guī)的安全措施: 什么是E911?

  Enhanced 911 (E911)是美國的一種安全機(jī)制,它可以自動(dòng)將呼叫著的地址傳送到911緊急報(bào)警電臺(tái),任何撥打911的用戶的地址都會(huì)即時(shí)顯示在911話務(wù)員的電腦屏幕上。2005年, 美國聯(lián)邦通信委員會(huì)通過規(guī)定,要求所有VoIP運(yùn)營商都必須對(duì)他們的客戶提供E911服務(wù)。

  這個(gè)規(guī)定對(duì)于固定電話來說實(shí)施起來很容易,因?yàn)樗械墓潭ň路基本上就是在一個(gè)地理位置,不會(huì)頻繁改動(dòng)。而對(duì)于移動(dòng)電話,則可以通過內(nèi)置于手機(jī)的GPS定位系統(tǒng)或者無線基 站的三角測量法進(jìn)行定位。

  而對(duì)于VoIP來說,實(shí)現(xiàn)E911服務(wù)要困難很多,因?yàn)閂oIP的電話號(hào)碼可能是固定的,而設(shè)備的位置卻是移動(dòng)的。用戶可以帶著設(shè)備到一個(gè)新地點(diǎn),而繼續(xù)使用以前的電話號(hào)碼,也許 這個(gè)電話號(hào)碼的區(qū)號(hào)是另一個(gè)城市的。因此VoIP用戶必須要向VoIP運(yùn)營商提供他們的當(dāng)前地理位置,因此才可以在撥打911電話時(shí)將正確的地理位置傳遞給911接線員。

  如果VoIP供應(yīng)商沒有及時(shí)更新用戶的E911位置信息,那么911接線員會(huì)因?yàn)槭盏搅隋e(cuò)誤的地址信息而耽誤緊急救援,VoIP供應(yīng)商也將因此受到相應(yīng)的指控。

總結(jié)

  當(dāng)你的企業(yè)準(zhǔn)備部署VoIP時(shí),除了技術(shù)上的問題,不要忘記考慮相關(guān)的法律事務(wù)。在部署VoIP前,找一個(gè)在通信和商業(yè)法規(guī)方面都富有經(jīng)驗(yàn)的顧問是一個(gè)不錯(cuò)的方法。

http://www.zdnet.com.cn


相關(guān)鏈接:
無線VoIP的現(xiàn)狀 2007-01-08
SOA +VoIP:一幫一,對(duì)對(duì)紅 2007-01-08
IP通信:通信未來 勢不可擋! 2007-01-04
2006年VoIP市場持續(xù)放量 2006-12-29
演進(jìn)中的VoIP來電ID技術(shù) 2006-12-29

分類信息:     國外專欄