首頁>>>技術>>>VoIP

部署VoIP的法律問題

2007/01/08

  在部署VoIP項目時,技術并不是唯一要考慮的問題,你還必須考慮到一些法律問題。在本文中,筆者將向大家介紹在企業(yè)部署VoIP前需要考慮的法律問題。

  企業(yè)在從公用電話網(wǎng)絡遷移到VoIP技術時,或者將VoIP與現(xiàn)有的語音/數(shù)據(jù)通信策略結合時,所產(chǎn)生的法律問題并不亞于技術問題。

  在美國,根據(jù)企業(yè)所處工業(yè)領域或行業(yè)的不同,VoIP通信在安全性和隱私性方面會受到聯(lián)邦或州政府法律的嚴格要求。在歐洲,企業(yè)的通信策略也必須服從歐盟的電信規(guī)章制度。 另外,企業(yè)還必須有應對緊急事件的通信服務策略。在本文中,我們將了解一下新部署VoIP時會遇到的常見的法律問題。

常見法規(guī):SOX, GLBA, 和HIPAA

  影響企業(yè)IT部門的美國三大聯(lián)邦法案是Sarbanes-Oxley 法案(SOX),Gramm-Leach-Bliley法案(GLBA 或GLB),以及 Health Insurance Portability and Accountability法案 (HIPAA)。也許你已經(jīng)對這些法案相當熟悉了,不過我還是要簡單介紹一下。

SOX

  2002年,美國國會為了平息一系列企業(yè)帳務丑聞,推出了Sarbanes-Oxley法案(根據(jù)該法案在美國參議院和眾議院的發(fā)起人名字命名)。它的正式名稱應該是Public Company Accounting Reform and Investor Protection Act of 2002(2002年公共公司賬目改革和投資保護法案)。該法案只針對公開上市公司。

  該法案中與IT部門關系最大的是第404節(jié)。該部分要求企業(yè)管理必須確立和維護一個“適當?shù)膬?nèi)部控制架構,并每年提供此控制架構的評估報告,而且必須經(jīng)由獨立的第三方機構進 行再次確認!

GLBA

  1999年,美國國會通過了Gramm-Leach-Bliley法案(也是以發(fā)起人的名字命名的),該法案允許商業(yè)銀行提供投資和保險服務。該法案也涉及到保護消費者的個人信息不被金融領 域的公司收集并利用。

  該法案的正式名稱為Financial Services Modernization Act(金融服務現(xiàn)代化法案)。不過GLBA所定義的“金融領域”相當寬泛,不但包含銀行、信用卡公司、信用聯(lián)盟、租賃 公司等,還包含了保險公司、有價證券商、不動產(chǎn)評估商、擁有自己的信用卡的零售商店、稅務代理、貸款機構以及任何“明顯涉及金融活動”的相關公司。

  其中與企業(yè)IT部門關系最大的是第501節(jié)A段。它要求企業(yè)必須保證客戶記錄和信息的安全性和保密性,必須保護這些數(shù)據(jù)資料不會處于任何安全威脅下,保證這些資料不會被任何 未經(jīng)授權的人訪問或利用,給客戶帶來任何傷害或利益損失。

HIPAA

  雖然美國國會在1996年就通過了HIPAA法案,但是其中涉及IT安全的“隱私條例”直到2003年才得以實施。該條例所針對的是那些擁有公民醫(yī)療記錄或其它個人健康信息的公司和機 構。其中包括醫(yī)院,醫(yī)生的辦公室甚至護士的住所,HMO,保險公司,提供醫(yī)療和健康服務的社會服務代理機構,以及為員工提供統(tǒng)一體檢的公司。所有的個人醫(yī)療信息都必須按照 HIPAA的規(guī)則保存或轉(zhuǎn)換為電子檔案。

  HIPAA要求企業(yè)和機構必須確保這些電子化的個人健康信息的安全性,完整性以及可用性,保護這些信息不受任何安全威脅的影響,不被任何非法用戶訪問或利用。

這些法案與VoIP有什么關系?

  你也許已經(jīng)注意到了,上面提到的這些法案都涉及了一個內(nèi)容,即針對某種信息數(shù)據(jù)的完整性和隱私性的保護。比如,作為一個SOX法案的審查人員,必須要檢查企業(yè)內(nèi)部的信息安 全控制機制,包括密碼強度、加密方式、易損性測試等。針對VoIP的檢查項目可能包括你的企業(yè)是否對VoIP的使用進行日志記錄,如何利用這些日志進行費用支付,如何跟蹤管理 等。那么,你的企業(yè)是否擁有了一套認證機制,防止非法用戶使用企業(yè)的VoIP系統(tǒng)呢?

以下是HIPAA或GLBA所關心的數(shù)據(jù)隱私問題: 是否通過無線網(wǎng)絡技術傳輸VoIP?

  如果采用無線網(wǎng)絡,是否采用了足夠強壯的無線加密方式? Wi-Fi Protected Access (WPA)加密方式要好于Wired Equivalent Privacy (WEP)加密方式。

讓VoIP符合法規(guī)要求

  記住,你的VoIP網(wǎng)絡也是一個基于IP的網(wǎng)絡,因此它將與普通IP數(shù)據(jù)網(wǎng)絡面對同樣的安全威脅。以下是確保你的VoIP網(wǎng)絡能夠符合各種安全法規(guī)的安全措施: 什么是E911?

  Enhanced 911 (E911)是美國的一種安全機制,它可以自動將呼叫著的地址傳送到911緊急報警電臺,任何撥打911的用戶的地址都會即時顯示在911話務員的電腦屏幕上。2005年, 美國聯(lián)邦通信委員會通過規(guī)定,要求所有VoIP運營商都必須對他們的客戶提供E911服務。

  這個規(guī)定對于固定電話來說實施起來很容易,因為所有的固定線路基本上就是在一個地理位置,不會頻繁改動。而對于移動電話,則可以通過內(nèi)置于手機的GPS定位系統(tǒng)或者無線基 站的三角測量法進行定位。

  而對于VoIP來說,實現(xiàn)E911服務要困難很多,因為VoIP的電話號碼可能是固定的,而設備的位置卻是移動的。用戶可以帶著設備到一個新地點,而繼續(xù)使用以前的電話號碼,也許 這個電話號碼的區(qū)號是另一個城市的。因此VoIP用戶必須要向VoIP運營商提供他們的當前地理位置,因此才可以在撥打911電話時將正確的地理位置傳遞給911接線員。

  如果VoIP供應商沒有及時更新用戶的E911位置信息,那么911接線員會因為收到了錯誤的地址信息而耽誤緊急救援,VoIP供應商也將因此受到相應的指控。

總結

  當你的企業(yè)準備部署VoIP時,除了技術上的問題,不要忘記考慮相關的法律事務。在部署VoIP前,找一個在通信和商業(yè)法規(guī)方面都富有經(jīng)驗的顧問是一個不錯的方法。

http://www.zdnet.com.cn



相關鏈接:
無線VoIP的現(xiàn)狀 2007-01-08
SOA +VoIP:一幫一,對對紅 2007-01-08
IP通信:通信未來 勢不可擋! 2007-01-04
2006年VoIP市場持續(xù)放量 2006-12-29
演進中的VoIP來電ID技術 2006-12-29

分類信息:     國外專欄