2020-1-3周五 网安资讯 云防护加速器怎么关闭

2022-04-25 16:10:17

1、什么是等保2.0?谁需要遵守?和关键基础设施的保护是什么关系?

什么是等保2.0?

等保,即信息安全技术网络安全等级保护要求,是我国信息安全保障的一项基本制度,国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护。

等保1.0:2007年和2008年颁布实施的 《信息安全等级保护管理办法》和《信息安全等级保护基本要求》,这是我们通常认为的等保1.0。

等保2.0:《中华人民共和国网络安全法》第二十一条明确规定:“国家实行网络安全等级保护制度。”为了贯彻落实《中华人民共和国网络安全法》,适应云计算、移动互联、物联网、工业控制和大数据等新技术、新应用情况下网络安全等级保护工作,2019年5月正式发布《信息安全技术网络安全等级保护基本要求》,正式开启了等保2.0的时代。一般认为等保2.0是指《信息安全技术网络安全等级保护基本要求》及其配套标准。

等保2.0和等保1.0相比有哪些变化?

《信息安全技术网络安全等级保护基本要求》代替GB/T 22239—2008《信息安全技术信息系统安全等级保护基本要求》,与GB/T 22239—2008相比,主要变化如下:

标准的名称由“信息安全技术 信息系统安全等级保护基本要求”变更为“信息安全技术 网络安全等级保护基本要求”。

调整分类为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。

调整各个级别的安全要求为安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。

取消了原来安全控制点的S、A、G标注,增加一个附录A描述等级保护对象的定级结果和安全要求之间的关系,说明如何根据定级结果选择安全要求。

什么系统需要遵守等保2.0标准?

由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,被称为等级保护的对象,这些系统都要遵守等保2.0的相关标准。

等级保护对象,主要包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网、工业控制系统和采用移动互联技术的系统等。

什么系统不适用等保2.0标准?

等保2.0的标准并不适用如下:

涉密对象的安全建设和监督管理,涉密对象将另行规定和管理;

第五级等级保护对象,等保2.0即《信息安全技术网络安全等级保护基本要求》仅规定了网络安全等级保护的第一级到第四级等级保护对象的安全通用要求和安全扩展要求。

谁需要遵守等保2.0标准?

根据“谁主管、谁运营,谁负责”的原则,网络运营者成为等级保护的责任主体。

企业需要对其建设、掌管、运营的各类系统的等保负责。

Q:我单位有对外门户网站,该门户网站部署于从云服务商处租赁的虚拟云服务器之上,云服务商对其云服务器已经完成等保定级及测评等,那我单位是否还需要进行等保等工作?

A:是需要的,云服务所在的数据中心的业务系统由云服务商运营,云服务商须负责其建设、运营系统的等保工作,而对外门户网站是贵单位建设、运营的,仍需按规定进行等保工作。

云服务商可以配合客户开展等级测评工作,提供云服务商侧的等级保护测评材料。

对于等保2.0中的安全通用要求和安全扩展要求都应适用吗?

安全通用要求针对共性化保护需求提出,等级保护对象无论以何种形式出现,必须根据安全保护等级实现相应级别的安全通用要求;安全扩展要求针对个性化保护需求提出,需要根据安全保护等级和使用的特定技术或特定的应用场景选择性实现安全扩展要求。

标准针对云计算、移动互联、物联网、工业控制系统提出了安全扩展要求,除应符合安全通用要求外,还应符合对应的安全扩展要求。

对于采用其他特殊技术或处于特殊应用场景的等级保护对象,应在安全风险评估的基础上,针对安全风险采取特殊的安全措施作为补充。

如何做等级保护工作?

等保2.0一般有如下5个步骤,定级、备案、建设和整改、等级测评和检查。

定级,为等级保护对象定级,按照信息的重要程度由低到高分为5个等级,1级为最低、5级为最高级别。如果定了1级,不需要做等级测评,自助进行保护即可;网络运营者通过自主+专家评审+主管部门环节定级。

备案,网络运营者需要去运营地区的网安部门办理备案手续。等级测评,主要是有公安部授权委托的全国100多家测评机构,对信息系统进行安全测评,测评通过后初级《等级保护测试报告》。

企业是否可以不做等级保护的相关工作?

除非另有规定,企业应当执行网络安全等级保护的相关工作。根据《中华人民共和国网络安全法》相关规定,如不履行网络安全等级保护的要求,主管机关将给予警告,对单位处以一万以上十万以下罚款,以及直接负责的主管人员五千元以上五万元以下的罚款。

《中华人民共和国网络安全法》

第二十一条国家实行网络安全等级保护制度。

第五十九条网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

大数据的的平台和系统也需要符合等保2.0的标准吗?

标准中将采用了大数据技术的信息系统,称为大数据系统。大数据系统通常由大数据平台、大数据应用以及处理的数据集合构成,大数据系统的特征是数据体量大、种类多、聚合快、价值高,受到破坏、泄露或篡改会对国家安全、社会秩序或公共利益造成影响,大数据安全涉及大数据平台的安全和大数据应用的安全。

大数据平台是为大数据应用提供资源和服务的支撑集成环境,包括基础设施层、数据平台层和计算分析层。大数据应用是基于大数据平台对数据的处理过程,通常包括数据采集、数据存储、数据应用、数据交换和数据销毁等环节,上述各个环节均需要对数据进行保护,大数据系统除按照等保2.0的标准要求进行保护外,还需要考虑其特点,参照标准附录补充和完善安全控制措施。

等保2.0和关键基础设施的保护是什么关系?

关键基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施。

国家在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

即如果您的业务系统属于关键基础设施,除需符合等级保护的要求外,还应按照关键基础设备的具体安全保护办法来保护。

来源:国网大数据中心

2、公安部马力:网络安全等级保护2.0标准体系介绍

2019年12月24日,在2019龙芯新产品发布暨用户大会上,公安部信息安全等级保护评估中心 马力副研究员为现场参会者进行了《网络安全等级保护2.0标准体系介绍》的演讲。

以下为现场演讲原文:

今天,我时间比较短,我简单把2019年大家见到的一些等级保护内容做一些简单介绍。内容分为两个部分:

第一部分,主要带大家回顾一些等级保护的历程。等保并不是现在才出现,过去10年,我们一直在推广等级保护。这一部分讲一些过去的等保与现在的区别。第二部分,给大家介绍一些新的标准的变化。

2007年,公安部会同相关部门发布了一个非常重要的红头文件——《信息安全等级保护管理办法》,俗称“43号文件”。在这个文件中,明确了等级保护要做的事,包括定级备案、建设整改、等级测评。用户必须完成这三件事,并接受安全检查。这就是2007年提出的“规定动作”。为了支持这些规定动作,公安部会同相关部门起草了相关的标准,我们称之为“标准体系”。三个动作中最为重要的动作就是建设整改。保护是核心,定级备案和等级测评只是辅助动作。

那么,二级标准、三级标准保护到什么水平,国家标准说了算。这就是国标——《信息系统安全等级保护基本要求》,英文叫“Base Line”,这是我们的底线,底线做不到,那就不达标,公安会给你开出整改通知书,强行要求整改,因此,基本要求起着非常重要的作用。

2019年5月13日,新的基本要求跟大家见面了。这个基本要求来源于很多重要要求,它包含技术,也包含管理。其中,重要的技术比如1.0时期的“加密技术”,2.0时期的“可信计算”,这些和芯片紧密挂钩。

总结一下,等级保护1.0标准体系构成了基本要求体系。

2007年到2017年,这期间使用等保1.0。为什么从2017年后叫做等保2.0了呢?原因是2017年6月1号,《中华人民共和国网络安全法》出台,它提到,国家实行等级安全保护制度,注意,这时候等级保护已经成为法律制度,不做等保就是违法。同时,第31条说,如果单位系统非常非常重要,称之为“关键信息基础设施”,那么这个系统做等保还不够,还要在等保的基础上做重点保护。

2.0的思想导致我们要调整在1.0的法律法规。这时候,要在《网络安全法》基础上添加《网络安全等级保护条例(起草中)》、《关键信息基础设施保护条例(起草中)》。现在,这两个条例即将和大家见面。标准体系也相应地做了调整,这些标准已经在2019年与大家见面了,并在12月1日正式实施,这也是今年标准为何如此受到重视。

也就是说,未来等级保护用的就是这个新标准。当然,这只是等保标准,在此基础上还有关键基础设施保护标准。如果你们单位系统非常重要,除了等保,还要做相应的关键基础设施保护。这套标准马上也要和大家见面了。

总结一下,等级保护对象分为五级,第一二级国家认为是一般资产,三级以上包含重要资产以及关键资产。这些不同对象对应的监管力度也不一样。这里我不做赘述。

等级保护2.0时期,所有保护对象,不管你叫什么名字,比如云平台、大数据、物联网、工控系统等,都要做等保,落实国家安全等级保护制度。注意,不落实是违法的。

那怎么做呢?完成以下几个动作:定级备案、安全建设、等级测评,如果等级测评出现问题还需要接受安全整改,接受监督检查。这几个动作,不做就违反了法律要求。如果你是关键基础设施,除了等级保护,还需要完成关键信息基础设施保护。只有这样,2.0的目标才真正完成。

接下来,给大家介绍一些第二部分:新标准的变化。

第一,对象范围扩大。新标准将云计算、移动互联、物联网、工业控制系统等列入标准范围,构成了“安全通用要求+新型应用安全扩展要求”的要求内容。

注意:等级保护把所有系统都纳入了,包括云计算、物联网等等。这些系统只需要使用一个标准就可以了,这个标准的要求是通用要求加扩展要求。比如,云计算系统,是云计算扩展;工控系统是工控扩展。概括起来是:一个标准做等保。

第二,分类结构统一。新标准“基本要求、设计要求和测评要求”分类框架统一,形成了“安全通信网络”、“安全区域边界"安全计算环境”和“安全管理中心”支持下的三重防护体系架构。

注意:安全措施的分类,各有各的说法,1.0的分类是层次分类:物理安全、网络安全、主机安全、应用安全、数据安全,我们很容易接受。2.0强调纵深防御。请看,从外到内,通讯网络、区域边界、内部计算环境、通讯边界计算环境保护,形成纵深防御体系。同时这个防御体系上的控制措施要受大脑控制。大脑速成安全管理中心,一个中心,三重防御。

第三:强化可信计算。新标准强化了可信计算技术使用的要求把可信验证列入各个级别并逐级提出各个环节的主要可信验证要求。

注意:新的2.0标准强调可信计算新技术的使用。1.0强调密码技术使用。

另外,简单介绍一下等保2.0的变化。

第一,名字变化,2.0叫网络安全等级保护。

第二,2.0的对象扩展到了所有系统。

第三,2.0的安全要求变化通用要求加扩展要求构成。

第四,章节结构发生了变化。

第五,纵深防御。

最后,关于等级测评结论发生了变化,分为:优、良、中、差几个级别,70分以上才算及格,90分以上算优秀。

3、下一个十年,隐蔽且威胁无边的关键基础设施攻击

回顾2019年,关键基础设施攻击此起彼伏。

3月,铝业巨头Norsk Hydro全球IT网络遭恶意攻击,自动化生产线无奈关闭;

6月,伊朗石油、金融乃至军事导弹发射控制系统,遭不明来源网络攻击,多次陷入瘫痪状态。

7月,委内瑞拉水电站遭网络攻击,首都及10余州水电网崩溃,全境陷入至暗时刻;

10月,印度最大库丹库拉姆核电站计算机网络遭受外来攻击,危及印度南部供电;

12月,美国航空公司RavnAir计算机网络,遭受恶意攻击,航班取消系统被迫停摆。

化工、能源、金融、电网、水厂、核电站、交通乃至军事等各领域关键基础设施,在2019年无不成为网络攻击的靶心,而从结果来看, 针对关键基础设施的攻击,其威胁已成为损害国家安全、政治稳定、经济命脉、公民安全的重要存在。

关键基础设施攻击的危险性不言而喻,威胁也常常是一波未平一波又起。在收集整理大量事件后,零日对关键基础设施攻击发展趋势,作出以下几点总结与推测:

趋势1:攻击越发难洞察

未来针对关键基础设施攻击的增长趋势已经可以想见。在此基础上不难发现,由于事关重大,加之技术手段进步的推动作用,这类攻击将越来越难以洞察。其整体特点呈现出双重隐蔽性——

其一,关键基础设施攻击手段隐蔽难以预见。

早些时候,内容交付网络 (CDN)提供商Akamai就曾推测,未来网络攻击更多的是由专业网络犯罪组织发起的“低可见度慢速”隐形攻击。

顾名思义,“低可见度慢速”隐形攻击不易被察觉,能够躲避安全雷达的追踪,跨越较长时间段、指向多个目标地进行撞库攻击。

(Akamai报告中 “低可见度慢速”攻击事件)

有一个典型案例,2018年某信用机构曾遭遇此类攻击,狡猾的攻击者以一个巨大的僵尸网络吸引该机构注意,与此同时,再用其他僵尸网络缓慢且有计划的攻入系统。

有能力实施如此复杂攻击计划的专业犯罪组织,恰好正是关键基础设施攻击的主要执行者。

因而零日推断,未来关键基础设施攻击手段将更加隐蔽。

其二,关键基础设施幕后攻击者身份难以追踪、确定。

前不久,网络安全公司CyberX发现,有网络间谍组织利用恶意软件攻击多国工业企业,其中一家生产关键基础设施设备的大型韩国企业受到严重攻击。令人棘手的是,这个间谍组织的活动根本无法用常用手段(基于DNS注册)进行识别。

根据猜测,这次事件的攻击者控制(C&C)服务器使用免费的托管服务,增加了追踪难度。攻击者利用各种手段隐匿身份从而增加追踪难度,这种情况以后将不再是个例。

趋势2:国家入局关键基础设施攻击

基础设施攻击威胁背后,是越来越多的国家入局关键基础设施攻击。

这边俄罗斯安全公司卡巴斯基公开指责美国“方程式小组”,利用间谍软件,入侵伊朗、俄罗斯等30多个国家的军事、金融、能源等关键部门上万电脑。

《华尔街日报》就紧随其后披露,俄罗斯黑客组织频繁攻击美国电网承包商们,借此入侵美国电网系统。

大国博弈正热,小国则直接面临关键基础设施的升维打击。早在2004年,美国就曾在对利比亚的网络攻击中,瘫痪利比亚国家顶级域名。

(委内瑞拉断电后医生示威游行)

来到2019年,国家级对抗再度升级。委内瑞拉爆发政治危机时,一场针对水电网等关键基础设施的网络攻击,导致全境“瘫痪”多地暴乱频发,加剧政局动荡,而委内瑞拉即使将断电归咎于“美国精心策划的网络攻击”,依然毫无反击之力。

各国竞相上演关键基础设施攻击,威胁越发叵测。

趋势3:攻击范围扩散多领域

军工、水电民生威胁之外,关键基础设施攻击逐渐蔓延至太空领域。

十年前,震网肆虐伊朗核军工,上演摧毁式攻击;近几年,委内瑞拉等南美国家民生领域,频遭水电网掐断式攻击;而眼下,太空这一关键领域,也难逃网络攻击威胁。

在美国举行的2019全球卫星网络安全峰会上,全球专家围绕太空卫星系统网络攻击,展开深度讨论。有专家直言,网络攻击可劫持、摧毁或瘫痪卫星和其它太空设备。

当一些人以为这是危言耸听时,早在2007年,美国环境监测卫星就曾因网络攻击,出现信号异常情况,自此就开始变本加厉。2018年赛门铁克披露,某黑客组织有计划地对美国军用卫星展开持续性网络攻击。

由此可见, 关键基础设施攻击目标范围,已不在单纯的停留在民生经济领域,而是开始向太空等前沿领域蔓延扩散。

趋势4:5G等新技术扩大攻击面

当前, 5G、物联网、人工智能等技术高速发展,推动工业互联网、车联网、物联网的同时,也让关键基础设施等领域,面临更大的安全威胁。

以5G落地为例,随着5G与关键基础设施的深度融合,数十亿个以前未连接的物联网设备和新的专用网络,将悉数笼罩在更严峻的网络安全威胁之下。

5G网络“大宽带、低时延、大连接”的特性,也赋予了攻击这一属性。可用带宽的阶跃变化将充当现有攻击的加速器并放大新的网络攻击,从而将关键基础设施的弹性扩展到最大程度。

全新技术的出现,让关键基础设施攻击面不断扩大,最终带来的碎片化攻击,更进一步加重安全威胁。

零日反思

一直以来,美国国土安全局都将关键基础设施网络安全威胁视作美国所面临的最重大战略风险之一,而美国国家基础设施咨询委员会(NIAC)多次公开强调:“国家(美国)不足以抵抗敌对组织的针对关键基础设施等敏感网络系统的攻击性策略 。”

面对难以洞察,且趋向国家级的关键基础设施攻击,美国尚且如此,其他国家更难以独善其身。我们,亟需一套全策安全方案,捍卫关键基础设施免受网络安全威胁。

4、立法回顾:美国的网络隐私数据保护

几十年来,美国将数据隐私视为一个老化的房屋,仅在新的暴风雨袭来时才去修补个人的数据安全漏洞和相关法案。比如,医疗数据泄露时,通过了一项保护医疗相关信息的法律,仅此而已。然后,又通过了一项保护视频租赁信息的法律,仅此而已。它以这种状况维持许久,一再通过特定行业的法律,却未能解决过去两年来一直无法忽视的问题。

受法律保护的数据隐私早已受到破坏。

人们没有权利访问自己的数据,修改自己的数据,轻松地将自己的数据从一家公司转移到另一家公司,或以一己之力起诉一家公司侵犯了自己的网络隐私。

面对Equifax漏洞、Facebook泄密等事件,人们想要反击具有入侵性的网络追踪者,难上加难。自2018年6月以来,几位美国参议员试图解决此类安全问题,推出了至少9项法案(仅在2019年就提出了6项法案),来为人们提供全面的数据隐私保护。

这么多的法案,让它们通过的原因是什么?

首先,提供全面的数据隐私保护是一项长期而复杂的工作。欧盟花了五年多的时间起草了自己的数据隐私法《通用数据保护条例》(GDPR),甚至法律通过后又花了两年时间才生效。

其次,尽管每一项法案都可能将数据隐私作为最终目标,但对于如何实现这一目标,各个法案方式不一。

比如,一项数据隐私法案只是旨在消除涵盖法律术语的的终端用户协议。另一项数据隐私法案寻求给予与GDPR相似的保护,例如访问、更正和删除个人数据的权利。其他的法案又试图阻止侵入性的网络跟踪和数据共享的做法。甚至,有法案认为不老实的技术首席执行官应被判入狱。还有更多的法案提供诸如数据所有权、数据评估以及所谓的“互操作性”之类的想法,在理想情况下,这些法案条款可以使个人无需注册Facebook帐户即可在Facebook上与朋友交谈。

通过梳理今年出现的许多联邦和州数据隐私法案,我们发现了一些相似之处。以下是2019年数据隐私的立法趋势。

数据即财产

去年11月,一位民主党总统候选人提出一个自己思索六年的数据隐私想法:为人们的数据付款。

正如候选人所说,如果数据比石油更有价值,那么产生数据的人是否应该为此付出报酬?在当今数据驱动的经济中,人们不应该为其最宝贵的资产获得补偿吗?

这就是“数据即财产”模型,它的支持者认为,如果赋予个人对其数据的所有权,他们可以控制如何收集、共享和出售其数据。一家公司与另一家公司之间的共享数据便不再令人惊讶。不再有GPS定位数据落入所谓的“赏金猎人”的手中。

支持者认为,在“数据即财产”模型下,消费者每天可以按自己的条件出售数据来获得稳定的被动收入。不仅如此,数据还可以重复出售,因为即使出售后它也可能保持其价值。

今年早些时候,美国参议员弗吉尼亚州的Mark Warner和密苏里州的Josh Hawley通过“DASHBOARD”法案(Designing Accounting Safeguards to Help Broaden Oversight And Regulations on Data),暗示了未来数据可售趋势。

“DASHBOARD”法案将要求某些公司评估和披露用户数据的价值,同时还将数据隐私权扩展给消费者,他们可以删除所有数据或基于关键字的收集数据。

但是,隐私权倡导者认为,在数据上贴上价格标签,这是一个不合理的行为,只能使人们认为购买我们的数据隐私的想法是正常的。ACLU高级倡导和政策顾问Chad Marlow表示,一旦将这种类型的关系编入法律,潜在的风险将严重损害贫困的低收入社区。

“如果您的父母正在为生计而奔波,这时提出要他们出售数据,给他们钱,甚至不说多少,他们都会立即同意。” Marlow说, “因为他们无法承担拒绝的后果。”

这就是“为隐私付费”的问题。今年已然见诸报端。

为隐私付费

2018年11月,民主党参议员Ron Wyden提出了《消费者数据保护法》,该草案让美国消费者有权选择不与多个第三方共享数据。然而,这个草案也有其负面作用。

假设用户Alice,不想让公司收集、共享和出售她的个人信息,这些个人信息可以用于定向广告和增加公司收入。首先,Alice将在联邦贸易委员会的“请勿追踪”网站上注册,在该网站上,她将选择退出在线追踪。然后,与Alice进行交互的在线公司将需要检查Alice的“不跟踪”状态。

“如果公司发现Alice选择退出在线跟踪,那么该公司不得与第三方共享她的信息,也不得跟踪她的网站内容来建立和出售其互联网活动的个人资料。基于用户数据运行的公司(包括Facebook,Amazon,Google,Uber,Fitbit,Spotify和Tinder)将需要注意用户的个人决定。但是,这些公司可能会给Alice带来一个艰难的选择:“不跟踪”之后需要付钱才能继续使用服务。

“这代表了隐私的明面价格。”

参议员Wyden提出该提案草案后将近一年,他在美国参议院正式提出了“自主经营法”(同样包括“为隐私付费”)。

付费隐私方案的问题与“数据即财产”问题一样,最有能力主张其数据隐私权的人将是那些真正能为隐私付费的人。如果这种模式向前发展,我们就有可能创造一个“有隐私”和“没有隐私”的世界,这是美国已经可见的社会经济阶层的镜像。

这些担忧不是假想。

2015年,只要用户同意跟踪其网络活动,AT&T就会提供宽带服务套餐,并提供每月30美元的折扣。AT&T说,这种浏览活动包括“您访问的网页,您在每个网页上花费的时间,看到和关注的链接或广告以及您输入的搜索字词。”

隐私是一项人权,网络隐私也不例外。这意味着,不应该有商品定价,不应该将其出售给出价高者。

值得庆幸的是,今年至少有一个州通过了一项法律,明确禁止“为隐私付费”。

今年夏天,缅因州州长签署了一项法案,禁止互联网服务提供商未经其明确批准就共享和出售缅因州居民的数据。

该法律包括另一项保护措施,该规定不允许ISP“不管用户是否同意,向其收取罚款或者给其打折”,以防止第三方出售、共享或访问其数据。

数据隐私安全至上。

互操作性

10月下旬,三名美国参议员提出了一项法案,他们认为增加技术型大公司的竞争力可以用来加强数据隐私保护。

参议员认为,这个想法很简单,让消费者能够离开网络隐私入侵的平台,而又不会失去其朋友、家人和熟人所在的社交网络访问权。

根据该提案,美国人将享受数据可移植性的好处。消费者能够打包数据并将其带到另一个平台,或者说是互操作性,此功能可能允许不同的聊天服务相互交互。就像是Facebook于今年早些时候宣布的其大规模聊天平台整合计划,涉及Messenger,WhatsApp和Instagram,这几乎就涵盖了整个互联网了。

正如我们之前写过的相关法案的《访问法案》(ACCESS Act):

“这些规则可以这样应用。比如,从Facebook下载所有个人数据,并将其移至以隐私为重点的社交网络Ello。或在使用Mastodon直接与Twitter用户交谈,Mastodon公司总部位于旧金山,是Twitter较小的竞争对手。甚至甚至可以登录Vimeo帐户对YouTube视频发表评论。”

人们对该法案的反应好坏参半。

民主与技术中心竞争、数据和权力高级研究员Avery Gardiner对技术型大公司缺乏竞争感到遗憾,美国人的数据隐私应列入数据隐私法案,而不是竞争法案。

麻省理工学院媒体实验室的作家、活动家和研究附属机构Cory Doctorow对这项法案表示期待,因为与国会的其他法案不同,该法案不只是关注针对像Facebook等科技巨头的外部攻击者。

Doctorow说:“该法案旨在重整互联网,从而使Facebook的行为不再是唯一标准。”

展望2020年

2020年1月1日,加利福尼亚州的隐私法,即《加利福尼亚消费者隐私法》生效。该法律于2018年通过,在经历了多次修改后幸存下来,并引发了其他州的类似立法。

该法律的适用范围很广,因此可能会成为其他联邦数据隐私的试行法案。

公司是否会受到重罚?执法是否会松懈?初次的执法行动是什么?处罚哪家公司?如果处罚严厉,公司将在什么时候联合起来阻止类似的法案通过?很显然,他们已经开始尝试。

上一篇: 盘活村组集体闲置资金,东莞准备出这些大招! 东莞撬得安防
下一篇: 王淑文:物信融合助力能源企业数字化成功转型 海康综合安防平台部

最近发表