資安法規簡介

目錄

• HIPAA
• FERPA
• GLBA
• GDPR
• 金鑰揭露法案
• CCPA

目前世上有一些資安法規根據國家或者地區管轄權所制定出來的，大部分可以遵守的是美國的法規，但也有一些可以應用到國際法庭上，作為資安專業學習人我們也應該要很注重法規的制定及應用範圍，才不會在這條路上迷失自己

HIPAA

1996年美國聯邦政府制定了健康保險可攜性及審查性法案(Health Insurance Portability and Accountability Act, HIPAA)，主要管轄健康保護保險以及確保病患健康資料的隱私性，這項法案的出現在於創造規範來保護病患資訊，或稱為受保護健康資訊(Protected Health Information, PHI)

此標準規範PHI可以被用在何處以及制定可利用多少資訊的隱私規則，標示有多少資訊是可以不經病患就直接使用，也有一些額外的資訊是需要病患經過同意後才可以拿出去，另一項稱作安全守則(Security Rule)的標準則是用來保護電子PHI(e-PHI)，主要有三個保護分類是這個規則所需設置的：

• 管理員(負責指定的安全管理處)
• 安全性的管理方法(合規的管理流程以及定期性的檢查安全機制等等)
• 物理性(護理師、醫師可存取的權限、設備安全)，以及技術性(存取控管機制、傳送時的安全性以及資料監控能力等等)

另外這些法規也包含違法意願及罰款的制定等等，HIPAA要求相關的單位(醫療照護機構、醫療保險以及商業相關的行為等等)如果違反了PHI的話需要發出警告通知

FERPA

1974年美國聯邦政府制定家庭教育權益與隱私法案(Family Educational Rights and Privacy Act)，主要保護學生的教育紀錄隱私，限制沒有學生家長或學生本人的意願時可存取的紀錄資訊內容，其中有些資訊是學校端必須遵守司法命令時允許可以分享的，例如學生轉學紀錄、健康或安全緊急狀況等等

FERPA同樣也保障超過18歲的家長或學生資料權益，包含資料被檢視的權益、請求修改錯誤資訊或誤解的欄位紀錄等，沒有遵守這項法規的學校，可能會拿不到政府或州政府撥款的資金

GLBA

美國國會在1999年頒布了金融服務法現代化法案(Gramm-Leach-Bliley Act, GLBA)要求金融機構必須保護消費者的金融資訊，此法案規範機構必須說明他們會如何使用或分享消費者的資訊，並且只有某些特定條件下才可以獲得部分的資訊

如同其他種資通安全法規，GLBA要求金融機構也必須確保這些消費資訊的隱私性及完整性，防範未授權的威脅存取行為，同樣地，金融機構也要說明使用哪些安全控管機制步驟來保護這些資料

GDPR

2016年歐盟採用了這個通用資料保護規範(General Data Protection Regulation, GDPR)，其目的在於規範任何資料都該擁有隱私性及安全性，其應用範圍從私人企業到公共機構等蒐集到的個人資料都需實施，GDPR要保證每個人在只要有使用到自己資料的地方都有權益刪除自己的資料，以及搜集單位在資料洩漏時需要進行通知跟資料可攜性等等權益說明

GDPR在處理個人資料時的想法很嚴謹，例如個人的資料只有在當事人同意的情況下，以及為遵守法律義務、為執行特定公共利益或基於其他種合法權益的情況下才可以使用，又或者在商業上處理大型資料的公司必須聘請一位資料檢查員，職責是得確保資料都有正確的處理與利用

同時創立獨立監管授權機構來檢視與強制施行法規，而不遵守的單位就予處罰，違反法規的罰金非常高，如果讀者有看過Google或Apple等公司在歐盟法案裁定的罰款金額，最高可以罰到2000萬歐元或者公司4%的營收(對科技公司來說很高)，外加上一些使用者要求的權益

GDPR其中一個特別的面向在於不論組織建立在歐洲哪個國家，這條法案皆適用於該單位在收集及處理個人資料時的方法，這項法案從採用到現在依舊是目前世界上對於個人資料處理對策上對嚴格的，也因為如此成為其他國家在制定相關法規時的主要參考之一

金鑰揭露法案

金鑰揭露法案(Key Disclosure Laws)成立原因是某些特定條件下必須強迫揭露密碼學金鑰或者密碼資料，通常是警調單位針對嫌疑犯組織時需要找出關鍵性證據來判刑，所以才會向相關單位施行這條法案，一些國家會在不同的條件下使用這條法案(☭？)

舉例來說2000年建立的英國權力調查法案第三章(Part III of the United Kingdom’s Regulation of Investigatory Powers Act, RIPA)就授予調查單位有權取得解密金鑰或解密過的資料來釐清懷疑

但這也是一把雙刃劍，使用不當違反規範者最高判處兩年有期徒刑，如果解開之後涉及國家安全或兒童猥褻證據等，最高判刑五年有期徒刑

CCPA

2018年加州政府通過了加州消費者隱私法案(California Consumer Privacy Act, CCPA)針對企業在使用個人資料做盈利行為時應該要保障其資料隱私的權益，其法案要求企業需要讓顧客有知道的權益，代表企業得先讓消費者同意他們的個人資料會被收集、被用來分析，以及會賣給哪些公司和販售理由

同時還得提供選擇不參與的權益，讓消費者可以選擇自己的資料不要被販售，除非是非常特殊的例外情況，否則都應該遵守該限制，另外就是刪除資料的權益，允許消費者可以請求企業刪除掉他們收集到的個人資料，不過如果是一些特殊的例外企業可以拒絕消費者的請求