来自 安全 2021-06-09 01:11 的文章

海外高防_高防服务器硬件_原理

海外高防_高防服务器硬件_原理

虽然加州消费者隐私法(CCPA)已经写了很多文章,但焦点主要集中在它将赋予加州消费者的大量新权利上,这些消费者将拥有更大的访问和控制其数据使用的能力,并选择不向第三方传输许多不受欢迎或不需要的内容。虽然这是美国数据隐私立法的巨大变化,但有人可能会说,CCPA所涵盖的企业面临的最大风险是,CCPA为数据泄露创造了私人诉讼权,并带来了实质性的法定损害。这一重大变化可能会重新设置加州在数据泄露后的诉讼风险,并可能(作为更广泛情况的一部分)对全国乃至其他地区的数据泄露诉讼产生重大影响。CCPA违约条款概述CCPA将首次在数据泄露诉讼领域做两件大事。首先,当消费者的"未加密或未经编辑的个人信息遭到未经授权的访问、过滤、窃取,或因企业违反执行和维护符合信息性质的合理安全程序和做法的义务而导致的披露。"当法定触发条件已满足且事件是由于企业未能执行和保持"合理的安全程序和实践"。这一合理的安全要求基本上编纂了当今许多违约后诉讼中发现的过失索赔。第二,CCPA是美国第一部规定与数据安全事件有关的法定损害赔偿的法律,包括每次事故100至750美元的罚款、实际损害赔偿和禁令救济。CCPA的这一部分有两个方面给被违约的实体带来了一些希望。用于CCPA隐私诉讼权条款的个人信息的定义是现行加利福尼亚州数据泄露通知法第1798.81.5节中对个人信息的狭义定义,而不是现在CCPA下著名的宽泛的个人信息定义("识别,涉及、描述、能够直接或间接地与特定消费者或家庭相关,集群高防cdn,均衡负载防御ddos,或者可以合理地与之相联系。")法规还要求访问和过滤、盗窃或披露,这是一个比那些只要求未经授权访问个人数据的州违约通知法更严格的标准。损害赔偿:由法院考虑的金额和因素CCPA授权法院在此类诉讼中判给"每个消费者每次事故"100至750美元的法定损害赔偿金,或判给实际损害赔偿金,以较大者为准。(同上§1798.150(a)(1)(a))。《规约》指示法院在评估法定赔偿金数额时要考虑许多因素,ddos可以软件防御吗,"包括但不限于不当行为的性质和严重性、违法行为的数量、不当行为的持续性、不当行为发生的时间长短,被告不当行为的故意,以及被告的资产、负债和净值。"(同上§1798.150(a)(2))[1]。这些法定损害赔偿数额巨大。此外,仅仅是法定损害赔偿的存在,将为数据泄露原告提供一个新的立论依据,否则可能会有问题。首先,该法令旨在允许消费者在没有因违约而遭受任何损失的情况下提起诉讼。这与当今消费者针对数据泄露受害者提出的最常见的数据泄露索赔形成鲜明对比。这些诉讼通常基于过失和/或违反默示合同理论,这两种理论都要求原告证明实际损害是其索赔的一个要素。这种风险在消费者因支付卡数据被盗而提起的诉讼中尤为严重,因为支付卡往往在数据泄露后被注销和重新发行,而金融机构通常被要求向消费者偿付未经授权的费用,因此实际损失往往缺乏,难以量化。试图指控违反《中华人民共和国反腐败法》的原告仍将受到宪法规定的限制——至少在联邦法院是如此——因为宪法规定,为了有起诉的资格,他们实际上要遭受可依法认定的损害。这一要求在数据泄露集体诉讼中很难得到满足。此外,在最高法院没有单独授予最高法院提起诉讼的权利的情况下,它不足以单独授予最高法院提起诉讼的权利。法院最终将需要解决CCPA的私人诉权条款与第三条常设要求之间的交叉点,这将是未来几年公司应密切关注的法律发展领域。其次,CCPA规定的法定损害赔偿额增加了公司在数据泄露诉讼中可能面临的总体风险。每起事故的法定赔偿金从100美元到750美元不等,可以很快累积起来,特别是如果大量记录受到违反行为的影响。第三,如果原告提出违反《中华人民共和国民事诉讼法》的诉讼请求,法定损害赔偿金的判决前景具有重大的类别证明意义。在过去的数据泄露案件中,被告辩称,个别化的损害赔偿问题是整个类别审理原告索赔的一个重大障碍。虽然单独存在的个别损害赔偿问题一般不足以挫败等级认证的动议,但它可以成为一个强有力的论点的一部分,即缺乏主导地位。因此,在CCPA诉讼中,被告可能会更加重视其他类别认证的抗辩,包括案例特定的问题,这些问题在假定类别的共同问题上占主导地位。合理的安全标准当(1)公司发生安全事件或数据泄露;以及(2)公司未能维持合理的安全实践和程序时,CCPA的私人诉讼权允许损害赔偿。这就引出了什么是"合理安全"的问题。虽然对这一主题的详细讨论超出了本文的范围,但根据《规约》的潜在被告应在其CCPA实施方案中解决这一问题。在考虑这个问题时,请注意,加州前司法部长,参议员卡玛拉哈里斯,提供了相当明确的指导,她认为什么是合理的安全。2016年2月,总检察长办公室发布了《加州数据泄露报告》,分析了2012年至2015年的数据泄露情况,并就哪些企业可以考虑合理的安全性提供了指导。该指南的重点是互联网安全中心(CIS)的关键安全控制(以前称为SAN Top 20)中的20个控件。根据司法部长哈里斯的说法,这些控制措施"确定了所有收集或维护个人信息的组织应达到的最低信息安全水平。未能实施适用于组织环境的所有控制措施构成缺乏合理的安全保障。"虽然哈里斯总检察长的指导不具有法律效力,但为了分析CCPA的这些规定,很难忽视这一指导。当然,还有许多类似独联体控制的第三方协议也可能被认为构成了"合理的安全"。这些协议包括美国国家标准与技术研究所网络安全框架(NIST),宝塔一键安装cc防御系统,该框架目前已建立完善,在其最新修订版中有900多项单独的安全措施,ISACA和国际标准化组织(ISO)ISO/IEC 27000:2018标准和许多其他标准制定的信息和相关技术(COBIT)控制目标[2]。联邦贸易委员会还积极建立至少在其看来不构成合理安全的东西。联邦贸易委员会对涉及安全问题的公司采取了一些执法行动,包括:关于增生健康公司,案卷号:C-4432关于Uber Technologies Inc.,案卷号:C-4662关于DSW公司,案卷号:C-4157关于TJX公司,案卷号:C-4227关于Goal Financial LLC,案卷号C-4216;以及关于Twitter公司,案卷号:C-4316。 当然,在这一领域也发生了一些重大诉讼(联邦贸易委员会诉温德姆世界公司案,《联邦地区法院判例汇编》第三编第799卷第236页(第三巡回法庭,2015年)),nginx防御cc策略,并将联邦贸易委员会在这一领域的监督权承包给联邦贸易委员会(LABMD Inc.诉联邦贸易委员会,第三编第894卷第1221页(第11巡回法庭,2018年))。一段时间以来,受现有监管制度约束的公司一直在处理安全标准,例如《健康保险便携性和责任法案》(HIPAA)安全规则(《联邦法规》第45卷第160、164(a)、164(C)条)和《格拉姆-里奇-布莱利(GLB)保障规则》(15 U.S.C.6801(b),6805(b)(2))等,尽管受HIPAA和GLB约束的数据目前不适用于CCPA)。然而,在CCPA之后,那些以前没有明确规定其安全实践的公司现在应该肯定地考虑他们的安全计划是否能够让他们舒服地宣称他们已经履行了CCPA规定的"合理的安全"义务。国家诉讼影响因为它包含了一个明确的私人诉讼权,并授权法院判决法定处罚,CCPA将大大增加受影响公司的诉讼风险和风险敞口