部署VoIP的法律问题_国外_voip_企业通信

部署VoIP的法律问题

2007/01/08

　　在部署VoIP项目时，技术并不是唯一要考虑的问题，你还必须考虑到一些法律问题。在本文中，笔者将向大家介绍在企业部署VoIP前需要考虑的法律问题。

　　企业在从公用电话网络迁移到VoIP技术时，或者将VoIP与现有的语音/数据通信策略结合时，所产生的法律问题并不亚于技术问题。

　　在美国，根据企业所处工业领域或行业的不同，VoIP通信在安全性和隐私性方面会受到联邦或州政府法律的严格要求。在欧洲，企业的通信策略也必须服从欧盟的电信规章制度。另外，企业还必须有应对紧急事件的通信服务策略。在本文中，我们将了解一下新部署VoIP时会遇到的常见的法律问题。

常见法规：SOX, GLBA, 和HIPAA

　　影响企业IT部门的美国三大联邦法案是Sarbanes-Oxley 法案(SOX)，Gramm-Leach-Bliley法案(GLBA 或GLB)，以及 Health Insurance Portability and Accountability法案 (HIPAA)。也许你已经对这些法案相当熟悉了，不过我还是要简单介绍一下。

SOX

　　2002年，美国国会为了平息一系列企业帐务丑闻，推出了Sarbanes-Oxley法案（根据该法案在美国参议院和众议院的发起人名字命名）。它的正式名称应该是Public Company Accounting Reform and Investor Protection Act of 2002（2002年公共公司账目改革和投资保护法案）。该法案只针对公开上市公司。

　　该法案中与IT部门关系最大的是第404节。该部分要求企业管理必须确立和维护一个“适当的内部控制架构，并每年提供此控制架构的评估报告，而且必须经由独立的第三方机构进行再次确认。”

GLBA

　　1999年，美国国会通过了Gramm-Leach-Bliley法案（也是以发起人的名字命名的），该法案允许商业银行提供投资和保险服务。该法案也涉及到保护消费者的个人信息不被金融领域的公司收集并利用。

　　该法案的正式名称为Financial Services Modernization Act（金融服务现代化法案）。不过GLBA所定义的“金融领域”相当宽泛，不但包含银行、信用卡公司、信用联盟、租赁公司等，还包含了保险公司、有价证券商、不动产评估商、拥有自己的信用卡的零售商店、税务代理、贷款机构以及任何“明显涉及金融活动”的相关公司。

　　其中与企业IT部门关系最大的是第501节A段。它要求企业必须保证客户记录和信息的安全性和保密性，必须保护这些数据资料不会处于任何安全威胁下，保证这些资料不会被任何未经授权的人访问或利用，给客户带来任何伤害或利益损失。

HIPAA

　　虽然美国国会在1996年就通过了HIPAA法案，但是其中涉及IT安全的“隐私条例”直到2003年才得以实施。该条例所针对的是那些拥有公民医疗记录或其它个人健康信息的公司和机构。其中包括医院，医生的办公室甚至护士的住所，HMO，保险公司，提供医疗和健康服务的社会服务代理机构，以及为员工提供统一体检的公司。所有的个人医疗信息都必须按照 HIPAA的规则保存或转换为电子档案。

　　HIPAA要求企业和机构必须确保这些电子化的个人健康信息的安全性，完整性以及可用性，保护这些信息不受任何安全威胁的影响，不被任何非法用户访问或利用。

这些法案与VoIP有什么关系？

　　你也许已经注意到了，上面提到的这些法案都涉及了一个内容，即针对某种信息数据的完整性和隐私性的保护。比如，作为一个SOX法案的审查人员，必须要检查企业内部的信息安全控制机制，包括密码强度、加密方式、易损性测试等。针对VoIP的检查项目可能包括你的企业是否对VoIP的使用进行日志记录，如何利用这些日志进行费用支付，如何跟踪管理等。那么，你的企业是否拥有了一套认证机制，防止非法用户使用企业的VoIP系统呢？

以下是HIPAA或GLBA所关心的数据隐私问题：

企业是否拥有加密机制防止有人通过VoIP网络窃听私人的财务或医疗信息？

企业是否使用了“软件电话”系统—在普通电脑上运行的电话软件，具有更大的安全风险—或仅在固化操作系统上通过特定的程序使用“硬件电话”以及PBX系统？

如果企业的VoIP网络与数据网络整合，将导致更多的安全风险。企业是否采用独立的VLAN运行VoIP系统。

是否通过无线网络技术传输VoIP？

　　如果采用无线网络，是否采用了足够强壮的无线加密方式？ Wi-Fi Protected Access (WPA)加密方式要好于Wired Equivalent Privacy (WEP)加密方式。

让VoIP符合法规要求

　　记住，你的VoIP网络也是一个基于IP的网络，因此它将与普通IP数据网络面对同样的安全威胁。以下是确保你的VoIP网络能够符合各种安全法规的安全措施：

从逻辑上分开语音网络与数据网络。

强壮的认证和密码策略，密码过期策略，良好的身份管理。

独立的稳定服务器运行VoIP服务，禁止任何不必要的服务。

通过IPSec, Transport Layer Security (TLS), WPA, 以及其它加密方式，加密通话数据和控制数据包。

使用支持VoIP的防火墙

避免使用软件电话

安全呼叫存储在语音信息系统上

什么是E911?

　　Enhanced 911 (E911)是美国的一种安全机制，它可以自动将呼叫着的地址传送到911紧急报警电台，任何拨打911的用户的地址都会即时显示在911话务员的电脑屏幕上。2005年，美国联邦通信委员会通过规定，要求所有VoIP运营商都必须对他们的客户提供E911服务。

　　这个规定对于固定电话来说实施起来很容易，因为所有的固定线路基本上就是在一个地理位置，不会频繁改动。而对于移动电话，则可以通过内置于手机的GPS定位系统或者无线基站的三角测量法进行定位。

　　而对于VoIP来说，实现E911服务要困难很多，因为VoIP的电话号码可能是固定的，而设备的位置却是移动的。用户可以带着设备到一个新地点，而继续使用以前的电话号码，也许这个电话号码的区号是另一个城市的。因此VoIP用户必须要向VoIP运营商提供他们的当前地理位置，因此才可以在拨打911电话时将正确的地理位置传递给911接线员。

　　如果VoIP供应商没有及时更新用户的E911位置信息，那么911接线员会因为收到了错误的地址信息而耽误紧急救援，VoIP供应商也将因此受到相应的指控。

总结

　　当你的企业准备部署VoIP时，除了技术上的问题，不要忘记考虑相关的法律事务。在部署VoIP前，找一个在通信和商业法规方面都富有经验的顾问是一个不错的方法。

http://www.zdnet.com.cn