本文目录一览:
何谓Craig线?
如果企业认为自己的数据存储已经非常安全了,那就大错特错了。目前,企业数据泄露的问题非常突出,这里我们介绍五种常见的数据安全风险,并给出规避风险的建议。
让我们一起来思考一个问题: 企业数据所面临的更大安全威胁是什么?如果你的回答是黑客攻击或者说是IT人员的违规行为的话,那并不完全正确。的确,黑客的恶意攻击总能引起人们的高度重视,IT人员的恶意违规行为更是不能容忍,但事实上,最有可能泄露企业数据的却往往是那些没有丝毫恶意的员工,换句话说,内部员工使用 *** 文件共享或者乱用笔记本电脑造成数据泄露的可能性更大。
据Ponemon Institute最新的调查报告显示,内部员工的粗心大意是到目前为止企业数据安全的更大威胁,由此造成的数据安全事故高达78%。在这份报告中还指出,在企业不断尝试和应用最新企业内部数据保护技术的同时,却没有充分意识到企业内部员工的笔记本电脑以及其他移动存储设备所存在的安全隐患。
存储 *** 工业协会(SNIA)曾发布过企业存储安全性自我评估 *** ,用来测试企业对数据的保护程度。结果显示,目前大多数企业受到数据泄露问题的困扰。ITRC(Identity Theft Resource Center)的资料也显示,在美国,2008年出现的数据泄露事件比上一年增长了47%。“况且这些还只是有记载的数字,我的电子邮箱里就经常收到一些促销信息,显然我的个人信息通过某种渠道被泄露了。” ITRC的创始人、身份认证管理专家Craig Muller说。
事实上,现在人们应该充分意识到问题的严重性了。Ponemon Institute在2008年进行的另一项调查显示,在1795名受访者中有超过一半以上的人表示其在过去24个月中被告知数据泄露的次数大于两次,而8%的人则表示收到过四次以上这样的通知。但是,到目前为止,企业还不知道该如何保护自己。在Ponemon Institute的这份调查中显示,在577名安全专家中仅有16%的人认为当前的安全措施足以保护企业的数据安全了。
目前,解决问题惟一的 *** 就是借鉴其他企业的前车之鉴,以避免自己出现类似的问题。下面介绍五种常见的数据泄露问题,每种情况我们都给出了规避安全风险的建议。
内部窃取
2007年11月,Certegy Check Services(Fidelity National Information Services的一家子公司)的高级数据库管理员利用特许的数据存取权限偷走了超过850万客户的数据资料。随后,他将数据卖给了一家中间商,价格是50万美元,之后这家中间商又将数据卖给了其他商家。事情败露后,这名员工被判入狱四年并负责赔偿320万美元的经济损失。Certegy Check Services官方宣称事情很快就得到了解决,客户的个人信息并没有被泄露,不过,其客户还是收到了其他厂商发来的促销信息,而这些厂商恰恰购买了被窃数据。
还有一个案例,一位在DuPont工作的技术专家在离开公司之前拷贝了价值4亿美元的商业机密,然后跳槽到了一家与DuPont竞争的亚洲公司。根据法院的记录,他利用特许存取权限下载了大约2.2万份摘要以及1.67万份PDF文件,这些文件记录了DuPont的主要产品线,其中还包括一些开发中的新技术。他在下载数据之前与DuPont的竞争对手讨价还价了两个月之久,并最终达成了“协议”。依据这些犯罪记录,法院宣判其服刑18个月。
代价:在DuPont的案例中,虽然最终美国 *** 为其损失补偿了18万美元,但其被泄露的商业机密估计价值超过4亿美元。而且,没有任何证据可以证明,DuPont泄露的数据已经被竞争对手,也就是上述那位技术专家的“同谋”得到,这就使得DuPont无法通过更有效的法律途径解决问题。
据Semple的研究显示,客户信息失窃比知识产权失窃带来的损失更大。在2008年,Certegy Check Services公司为客户信息丢失所付出的代价是每人每次2万美元。
分析:ITRC的报告中显示,在2008年发生且被记录下来的泄露事件中有16%是由内部窃取所造成的,是2007年的两倍。原因是,现在很多企业在“猎头”的同时,还伴随着商业犯罪—根据卡内基梅隆大学计算机应急响应小组(CERT)的研究,1996年到2007年企业内部犯罪有一半是窃取商业机密。
CERT指出,内部人员窃取商业机密有两大诱因:一是能够获得金钱;二是能够获得商业优势。虽然后者多是从员工准备跳槽开始的,但这类情况大都是在员工离开以后才被发现,因为其留下了秘密访问数据的记录。可见,内部威胁是数据安全管理的难题之一,尤其是对那些有特许权限的员工的管理更是如此。
建议:首先,建议企业做好对数据库非正常访问的监督,为不同用户的当前可用访问权设定限制,这样系统就可以很容易地检测出负责特定工作的员工是否访问了超出工作范围的数据。比如,Dupont公司就是因为检测到该技术专家异常访问了电子数据图书馆才发现了其非法行为的。此外,一旦检测到了数据泄露,最重要的就是快速行动以减小信息扩散的可能性,并提交法律机关迅速展开取证调查。
其次,企业应当使用个人访问控制工具,保证系统记录下每一个曾经访问过重要信息的人。此外,保存客户和员工信息的数据库更应当对访问加以严格限制。事实上,就日常工作而言,能有多少人在没有许可的情况下有查阅身份证件号码和社会保险号码的需要呢!因此,个人信息应该与商业机密有着相同的保密级别。
再次,建议使用防数据丢失工具以防止个人数据在通过电子邮件、打印或者复制到笔记本电脑及其他外部存储设备时发生泄露。这类工具会在有人尝试拷贝个人身份数据时向管理员发出警告,并做记录。但是目前,很多企业都没有应用类似的审查记录工具。
此外,加强内部控制和审计也非常重要。举个例子,企业可以通过设立 *** 审查或记录数据库活动等方式来进行监督。保存详细记录可能并不够,企业还需要通过审计方式来检查是否有人更改或者非法访问了记录。当然,单独依靠技术手段是不行的,企业还需要确保你所信任的数据使用者是真正值得信任的。
设备失窃
2006年5月,由于美国退伍军人事务部的一名工作人员丢失了自己的笔记本电脑,致使2650万退伍军人的个人资料丢失。万幸的是,最后小偷被捕,并没有酿成更严重的后果。虽然事后FBI(美国联邦调查局)宣称数据没有被泄露,但这个事件的发生还是给退伍军人事务部带来了巨大的影响。无独有偶,2007年1月,退伍军人事务部在阿拉巴马医务中心同样发生了笔记本电脑被盗事件,致使53.5万退伍军人和超过130万内科医生的个人数据被泄露。
代价:在事件发生后的一个多月的时间里,退伍军人事务部为了支撑回答人们关于数据被窃问题的 *** 应答中心,每天就要花费20万美元,此外,他们还要支付100万美元用来打印和邮寄通知信。
退伍军人事务部因此还遭到了联名起诉,起诉中包括要求其对每个人造成的损失赔偿1000美元。在2007年第二次数据泄露事件之后,退伍军人事务部为现役和已经退伍的军人总共赔偿了2000多万美元,才结束了这场联名诉讼。为此,美国 *** 还为其拨款2500万美元用来补偿损失。
分析:设备失窃成为了数据泄露的最主要原因—在2008年,大约占到了20%。据芝加哥法律事务所Seyfarth Shaw的合伙人Bart Lazar介绍,在他所处理的数据泄露案件中,由于笔记本电脑丢失而造成的数据泄露占绝大部分。
建议:首先要对存储在笔记本电脑上的个人身份信息加以限定。比如说,不要将客户和员工的名字与其身份证件号码、社会保险号码、信用卡号码等身份信息放在一起保存。可以将这些数字“截断”存储,或者考虑建立个人特殊信息,比如说将每个人的姓氏与社会保险号码的后四位连在一起保存。
其次,对笔记本电脑上存储的个人信息进行加密,尽管这会产生一些潜在成本(大约每台笔记本电脑50到100美元),同时还会损失一些性能,但这是必须的。美国存储 *** 工业协会负责存储安全的副主席Blair Semple曾表示,对数据进行加密,需要企业和员工都形成这种强烈的意识才行,在很多情况下,对数据进行加密并不困难,但人们却没有这么做,不难看出,管理层面上的问题才是更大的。
最后,建议在数据载体上设置保护性更强的口令密码。
外部入侵
2007年1月,零售商TJX Companies 发现其客户交易系统被黑客入侵,令人不解的是,此入侵从2003年就已经开始了,一直延续到2006年12月,黑客从中获取了9400万客户的账户信息,而数据被盗事件在4年后才因一次伪造信用卡事件被发现。2008年夏天,11人因与此事相关而被起诉,这是美国法律部门有史以来受理的更大规模的黑客盗窃案件。
代价:据估计,TJX在此次数据泄露事件中的损失大约在2.56亿美元,包括恢复计算机系统、法律诉讼费、调查研究以及其他支持费用,损失中还包括对VISA和MasterCard的赔偿。此外,美国联邦商务委员会还要求TJX必须每隔一年委托独立的第三方机构进行安全检查,并持续20年。
甚至有人预测,TJX因此受到的损失会达到10亿美元以上,因为还要将法律和解费用以及因此失去很多客户的代价计算在内。据Ponemon在2008年4月进行的一项研究表明,通常发生数据泄露事故的企业将会失去31%的客户基础和收入来源。在Ponemon最近发布的年度数据泄露损失统计报告中显示,每泄露一份客户信息,公司就将损失202美元,而在1997年,这个数字是197美元,其中因数据泄露失去的商业机会所带来的损失是损失增长中最重要的部分。
分析:据Ponemon的研究,黑客入侵造成的数据泄露在安全威胁中名列第五。据ITRC的调查,在2008年有记载的数据泄露事件中有14%是由黑客攻击所造成的。但这并不意味着企业对此就应该束手无策,甚至放任不管。
在TJX的案例中,黑客是利用War-Driving渗透到系统内并入侵企业 *** 的。而这主要是因为TJX使用的 *** 编码低于标准规格,且在 *** 上的计算机并没有安装防火墙,传输数据也没有进行加密,这才使得黑客可以在 *** 上安装软件并访问系统上的客户信息,甚至还可以拦截在价格检查设备、收银机和商场计算机之间传输的数据流。
建议:如果对数据库的访问非常容易的话,那么建议企业使用高级别的数据安全措施和数据编码。
员工大意
Pfizer公司的一名员工一直是通过 *** 和笔记本电脑进行远程办公的,没想到,他的妻子在其工作用的笔记本电脑上安装了未经授权的文件共享软件,致使外部人员通过这个软件获得了1.7万名Pfizer公司现任员工和前任员工的个人信息,其中包括姓名、社保账号、地址和奖金信息等。统计显示,大约有1.57万人通过P2P软件下载了这些数据,另外有1250人转发了这些数据。
代价:为了将数据泄露事件的危害降至更低,并避免类似事件的发生,Pfizer与一家信用报告 *** 商签署了一项“支持与保护”合同,合同包括对与泄露数据相关的信息进行为期一年的信用监控服务,以及一份因数据泄露对个人损失进行赔偿的保险单。
分析:据Ponemon的最新研究表明,粗心的员工(虽然不是故意的)是数据安全的更大威胁。有数据显示,88%的数据泄露与员工的大意有关。如果企业的员工能够具有更高的安全意识,数据泄露的数量将会大幅下降。在Pfizer的案例中,就是因为员工的妻子在其笔记本电脑上安装了文件共享软件,这才使得其他人能够通过P2P软件获得笔记本电脑上的数据,包括Pfizer公司的内部数据信息。
大意的员工再加上文件共享软件,这绝对是个危险的组合。Dartmouth College在2007年的研究表明,虽然大部分企业不允许在企业 *** 上安装P2P软件,但是很多员工却在远程计算机和家用PC上安装了这种软件。研究发现,有三十家美国银行的员工在使用P2P软件分享音乐和其他文件,并在不经意间向潜在的 *** 犯罪分子泄露了银行账户数据。一旦业务数据发生泄露,将会通过P2P软件扩散到全世界的很多计算机上。
建议:企业的IT部门应该全面禁止员工使用P2P软件,或者制定规章限制P2P的使用,并安装工具来强化这一规章。并且,应该对员工的计算机系统进行审核,阻止员工进行软件下载。比如,可以将员工的管理员资格取消,这样他们就不能安装任何程序了。同时,最重要的就是教育和培训,因为这样能够让员工了解P2P的危险性。
合作伙伴泄露
2008年11月,亚利桑那州经济安全部给大约4万名儿童的家长发出了通知——这些孩子的个人信息可能已经因为 *** 商将几个磁盘丢失而被泄露。磁盘虽然有密码保护,但却没有进行加密。
代价:统计数据显示,对企业来说,合作伙伴将数据泄露的损失往往比企业内部泄露的损失更大。据Ponemon的调查统计,合作伙伴泄露一份数据记录企业要损失231美元,而企业内部泄露一份数据记录造成的损失约为171美元。
分析:Ponemon的年度损失报告表明,外包、转包、咨询和商业合作伙伴造成的数据泄露在不断增长,去年大约占到所有数据泄露事件的44%,比2007年增长了40%。ITRC的研究也指出,2008年10%的数据泄露与 *** 商有关。
建议:企业需要签订更高服务级别的详细合同,确保 *** 商遵守协议,一旦其违反了合同就能够对其进行处罚。此外,在使用备份磁带或者磁盘时,一定要进行加密和密码保护。
2003年 *** 黑客是谁破的呢
大学生黑客网上改分牟利数千 扰乱学校数据被抓 本报记者 金镒 2006年10月08日10:18 【字号 大中小】【留言】【论坛】【打印】【关闭】 改分数开始只为了自己能顺利毕业,到后来利用改分谋利,扰乱学校正常秩序――― 网上篡改分数,电脑天才大学生作茧自缚 6月,是应届大学毕业生正忙着找工作、举行毕业告别仪式的大忙季节,而李大鹏却站在哈尔滨市香坊区法院的被告席上。当听到法官以破坏计算机系统罪判处他有期徒刑两年缓刑三年时,他泪水长流,这泪里既有悔恨又有感激,而在一旁听审的学校老师和家长也纷纷为这个人性化的判决和一个电脑天才的堕落感慨不已…… 大学生电脑天才“挂科”,情急之下想歪道 李大鹏(化名)1983年生于黑龙江省鸡西市。2002年的8月,他考上了黑龙江省一所著名大学的电子信息工程专业。寒窗苦读终于有了结果,李大鹏觉得自己幸福极了。 可是,这种日子没过多久,李大鹏就发现同宿舍的同学们都有了女朋友,而自己却孤单一人,更让他感到难堪的是,周围的同学花钱都跟流水一样,而自己却只能天天算计着钱过日子。贫富差距一下子让他有种不平衡的感觉。2003年12月,李大鹏的学校组织了全国英语四级考试,没有准备好的李大鹏最终只考了59分,差一分没有过。看到自己的成绩,李大鹏非常上火,他疯了一样找到老师,得知还可以等补考,才慢慢平静下来。两个月后,李大鹏再次补考,仍然遭遇了滑铁卢,这让李大鹏一下子失去了信心,感觉生活处处在跟自己做对。 为了能再次争取到考试的机会,李大鹏不得已拿了两瓶酒去班任老师那里,希望能通融一下,结果被老师严厉批评了。郁闷中的李大鹏这回彻底傻了,他不知道自己该怎么办。无聊的时候,他只能用上网聊天来打发时间。在网上李大鹏无意中认识了一个叫“超级黑客”的人,两个人因为年纪相仿,聊得非常投机。“超级黑客”告诉李大鹏,自己是计算机的专家,而李大鹏也不服气的回了一句,自己在计算机方面也很精通,两个年轻人谁都不服谁,经常在网上比试。 后来,李大鹏被任命为学校计算机协会的副会长。李大鹏马上把这个消息告诉给了“超级黑客”,看到李大鹏得意洋洋的表情,“超级黑客”不禁笑了,他问李大鹏:“这你就满足了,你能在绝密系统中来去自如吗?”听到“超级黑客”如此说,李大鹏傻了,他当然知道,自己这方面是不行的。看到李大鹏不说话了,“超级黑客”才洋洋得意地跟李大鹏说起自己的光辉历史,哪年哪月自己在哪个银行系统中来去自由地改账户,说得李大鹏目瞪口呆。 突然,李大鹏想起自己的分数,于是向“超级黑客”请教,能不能进入到学校的网站里改分数,“超级黑客”回复到,这就是小菜。听到“超级黑客”如此说,李大鹏大喜,忙拜他为师傅,称如果改动了分数,让自己英语分数及格,以后“超级黑客”就是自己大哥。 看到李大鹏如此着急,“超级黑客”于是指点了他一条路,让他去找一个叫“桂林老兵木马”的程序,并告诉他,只有这种程序,能进入到学校的系统里,可以改到分数。李大鹏大喜,他当即在网上搜寻,终于找到了这个程序,并把它下载了下来。 回到学校后,李大鹏好不容易等到学校微机室里没有人,才把这个程序安了上去。当他把程序弄好后,轻轻一点鼠标,奇迹出现了,他进入到了学校教务处的网站。李大鹏心惊胆战地输入自己的学号,然后将英语成绩59分改成74分,之后匆匆下网。 几天以后,李大鹏再次查看自己的成绩,发现还是74分,他不禁心里暗暗欢喜,在网上,他隆重的感谢了“超级黑客”,并告诉他,自己通过他的指导,已经把毕业的路铺平了。 帮助“患难”兄弟,改分赚钱落网 成绩改过来了,按理说也应该“收手了”,但李大鹏却越来越迷恋这种程序带给他的成功感,他开始紧跟着“超级黑客”,当他是偶像,跟着他进入到一些绝密系统里遨游。 2005年12月的一天,李大鹏在宿舍里听到两个哥们叹着气抱怨着:“这回补考又没过,看样子连毕业都成问题了。”听到兄弟的叹息,李大鹏心里一动,他问明白情况,当下拍着胸脯保证:“我让你们在网上的分数过了,但你们可不能说出去。” 看到李大鹏信誓旦旦的,他的室友并没有相信,见两个人不相信,李大鹏神秘地说:“你们不知道吧,其实教务处的一个老师跟我关系非常好,我保证你们能过去,怎么样。”本着死马当活马医的原则,室友同意他试试,并许诺,如果事成,将给他酬谢。 李大鹏当即启动“桂林老兵木马”程序,将两个室友的不及格的高数和英语改成了及格,并要两个室友到网上查,半信半疑的室友上网一查,果然自己的分数被改了过来,都及格了,两个人惊喜之时对李大鹏所说的学校教务处有人也深信不疑。并当即给了他二百块钱。 几天以后,李大鹏的手机响了,一个陌生的声音焦急地问他:“听说你教务处有人,能不能帮我改分?”原来,李大鹏的室友出于感激,把他的仗义之举告诉给了自己的朋友,而恰恰这个朋友也正在为挂科发愁,当即要了李大鹏的手机号。听到又有同学“落难”,李大鹏一口答应了下来,并在心里盘算:“这么多人需要我, *** 嘛不帮帮人家,顺便也给自己挣点零花钱。” 说干就干。2006年2月,李大鹏放假没有回家,而是躲在学校里,重新申请了个 *** 号,并在校园网站上发了一个贴子,不一会儿,几个半信半疑的同学和他在网上聊了起来,为了赢得同学们的信任,李大鹏承诺,自己先改分后收钱。 果然,他的爽快赢得了更多人的好感,一传十,十传百,李大鹏的 *** 上很快就加满了人。而李大鹏也非常讲究信用,他统统给这些焦急的同学们先改了分数,待查到准确无误后,再收取50到100元不等的费用。 而对于给他拉“客户”的同学,他也很爽快地算给人家一定的提成。就这样,在短短两个月的时间里,李大鹏用改分赚来的钱买了一台手提电脑,他的神气让同学们都觉得羡慕。 2006年3月的一天,学校的一位老师发现自己班上的学生李丹在 *** 上的数学成绩为87分,而他清楚的记得,这个学生的数学是不及格。他马上来到教务处核对,发现李丹 *** 上的分数和原始试卷的分数的确不一样。与此同时,校内关于有人自称教务处“有人”,可以改分的传闻也传得沸沸扬扬,为此,学校成立了一个专门的调查小组。 听说学校正在调查“改分”事件,刚刚买了手提电脑在宿舍上网的李大鹏有些蒙了,他绞尽脑汁地想怎么应对,突然,他的目光落到了一大堆学分数据上,对啊,把这些分数弄乱,学校不就不会注意到自己了吗?没准还以为是教务处的 *** 系统出现了问题。 说干就干,李大鹏马上启动了程序,进入到学校教务处的网站,将里面的5000多条数据进行了修改,其中一些科目在90分以上的成绩被他下调到10分或20分左右,如此一来,学校教务处的网站系统一下子乱了套,许多快毕业的同学都惊恐地发现,自己的分数不对劲了,他们纷纷涌到了教务处核实。 感觉到事态严重,2006年3月29日,学校向哈尔滨市公安局网监支队报了案,经过周密调查,网监支队将目标锁定在李大鹏身上,2006年4月6日,通过 *** 的方式,警方将李大鹏抓捕归案。 作茧自缚悔恨终生 当公安民警出现在李大鹏面前时,李大鹏才真正意识到,自己犯下了很严重的罪,他哭着求警察不要把自己的所作所为告诉家里,也不要告诉自己已经找好的单位。 原来,改分后的李大鹏凭借着自己娴熟的计算机技术,已经找好了一份不错的工作,他的老板对他也非常满意,等他毕业后,生活将对他展开一双飞扬的翅膀,可是,一念之差,这些光明的未来又堕入了黑暗。 无论是学校的老师、同学,还是抓捕他的警官,及要起诉他的检察官,无不感叹:“这孩子可惜了。”如果凭着他的聪明和才智,是完全可以在以后激烈的人才竞争中找到一个适合自己的位置,可是,在英语考试没有及格的情况下,他却自作聪明地选择了一条捷径,最终,被自己的聪明误了终身。 批捕李大鹏的一位检察官说:“李大鹏的本质并不坏,最开始的犯罪动机也是从好奇上来的,是因为就业的压力,在毕业即失业的恐惧中,再加上一些虚荣的心理作祟,让他最终铤而走险,给学校,给一些即将毕业的同学们,造成了严重的后果。” 被判了缓刑的李大鹏,得知他深深伤害的学校为了挽救他而向法院为他求情,才使他得以轻判后,痛哭流涕。他深深地向旁听席上的老师三鞠躬,谢谢他们给了自己一次重生的机会,并表示,以后,一定要诚实做人、脚踏实地做好每一件事。 (来源:哈尔滨日报)
顶级的黑客能入侵银行系统吗
要看银行系统是不是连接着 *** 。 如果是内部 *** 而且与外部 *** 隔绝,只能从内部攻击。
如果已经做了物理隔绝。那就没办法了 。 就跟不是同一个世界的人,根本就是无法见面的。
没法见面的人,怎么可能互相攻击。
当然,如果有媒介 还是可以的 。
还有,有首歌送给你,
银行不是你想黑,想黑就能黑~~~、最后还得蹲监狱~把银镯带上~
被他人 *** 侵权该怎么办
第三章 *** 空间侵权法
*** 空间发生最多的违法行为是侵权。
之一节 侵害 *** 通讯自由之行为
在 *** 个人通信自由问题上,一向以崇尚自由闻名的美国人又一次否定了联邦法令。作为美国《通信法(1996)》(Telecommunications Act of 1996)一部分的美国《通信规则行为法令》(CDA)在前面已经提到过。这部法令在第223条中禁止人们通过互联 *** 发布猥亵资料或“明显的冒犯”资料给未成年人;违反这项法令者将被罚款和2年监禁。在大多数人看来,国会通过的这项法令的目标是正当和重要的。但在该法生效后仅几分钟,美国公民自由联盟就向费城联邦法院递交了起诉状,控告CDA违反了美国宪法之一修正案。原告对该条(a)(1)B 、(2)和(d)(1)、(2) 条款提出质疑。1996年7月,由费城联邦法院三名法官组成的法庭推翻了被质疑的CDA条款,认为该法违宪。被告不服,向美国更高法院提出上诉。1997年6月26日,更高法院做出了引人注目的历史性判决,推翻了限制猥亵图画和文字上网的通信行为规则法令。认为网际 *** 应有言论自由的权利,更高法院以7票对2票做出的此判决,判定CDA的所有主要条款侵犯了公民的言论自由权 。这等于认定 *** 对网际 *** 内容进行审查是非法的,它标志着根据美国宪法之一修正案,让成千上万的互联网使用者受到了言论自由条款的全面保护。
在个人通信秘密和隐私的保护问题方面,虽然从理论上讲电子邮件(E-mail)不是一种非常安全的通信方式,邮件在传输过程中有被篡改的可能,但人们对以个人密码加密保护的邮件还是倾向于信任的。在这里发生的侵权最多的是所谓“黑客”的闯入,他们将邮件的内容改过之后再发给收信人,这样收信人看到的就不是真正的发信人发过来的内容。一般情况下,被侵权者很难发现和追踪“黑客”,更别说抓住了。另一种情况是ISP把其客户的邮件非法转移或关闭,造成客户的邮件丢失和个人隐私或商业秘密的泄露,这与私自开拆他人的信件、侵犯他人通信秘密实际上没有区别。只是现在各国的刑法还没有一个正式承认电子邮件的合法地位。但从长远来看,电子邮件取代大部分传真、普通纸质载体的信函已是必然。在法律上确认电子邮件的地位将使法律更加完善。在中国的法院,近两年审理了几起关于 *** 侵权的案件。其中一起是发生在北京大学两个共同使用一个电子信箱的学生之间。他们以该电子信箱向美国大学申请奖学金,其中一个以另一个人的名义向美国某大学发送了一封拒绝接受该校奖学金的电子邮件,从而直接导致被冒名的原告方留学计划未能实现。在法院审理过程中,被告始终不承认有冒名行为,法院、原告也无充分证据,但在庭下,被告承认了过错。这起侵权案因为是中国首例通过诉讼解决的,在当时引起了全国的关注,中国新华社、美国自由之声电台(VOA)都进行了较为详细的报道,但它对司法实践却没有成功的经验可以借鉴。
还有一种较为普遍的现象是垃圾邮件(Junk email),即邮箱中充斥着大量与本人无关的内容。垃圾邮件的一个严重后果是引爆邮箱,使其无法正常使用。因为,邮箱是事先设好的一部分磁盘空间(一般为一兆或两兆),一旦邮件的总量超过这一容量,邮箱就会难以工作。而在网上以发送大量垃圾信件的方式破坏一个人的邮箱易如反掌,如采用某软件或 *** 即可按设定的时间和内容不断地向目标发起攻击。一旦目标因过载而瘫痪,真正有价值的内容也随之丢失。采取过滤的办法是比较稳妥的,即设定接受哪一类人或哪一类内容的邮件,但其它有价值的内容也会因此而被扼杀在信箱之外。另外,大量垃圾邮件,浪费了以自负费用为特点的 *** 用户的金钱和时间,造成了 *** 系统的紧张。治标又治本的办法是采取措施对付滥发邮件的人。在邮寄广告中,个人用户可以以广告发布者侵犯隐私权为由诉其停止侵害,在传真广告中,有的国家有专门的法令管制滥用他人传真纸的传真发送。在 *** 广告中,理论上这种救济 *** 虽也可行,但网海茫茫,要找到真正的广告发布者,实在非容易之事。所以,尽管 *** 用户一再抱怨,但很难采取切实可行的措施。
令人感到振奋的是,美国法院最近对有“垃圾邮件大王”之称的华来士(Wallace)及其公司进行了制裁, 它为电子邮件的管理拉开了序幕。华来士是一家促销公司的所有人,他主持开发了电子邮件快速发送软件,并向很多ISP的用户散发过商业广告性质的电子邮件,而且有时盗用ISP的名义(通过改变回邮地址即可),造成用户抱怨不已。大脚公司(Bigfoot Partners Ltd.)和大地连线公司(EarthLink NetworkInc.)分别在纽约联邦法院和加州落杉矶县高等法院对其提起诉讼。五个月后,纽约联邦法院做出裁决,要求华来士将大脚公司及其客户的电子邮件从他的 *** 内清除,如果华来士或其 *** 人再向大脚公司的用户散发垃圾邮件或盗用该公司的名义发出这类邮件,华来士或他的 *** 人每天将要缴纳一万美圆罚金;落杉矶县高等法院根据有关禁止非法穿越私人领地的法律做出裁决,禁止华来士向大地连线公司的用户发出任何垃圾邮件,华来士向受害用户书面道歉,保证如再有类似行为,将会被判罚一百万美圆。法院认为, *** 公司的 *** 可被视为该公司的领地,因此,华来士向公司的用户散发垃圾邮件,等于非法侵入该公司的领地。但在整个加州,针对是否应管理电子邮件仍存很多争议。反对立法的一方从保护公民言论自由的立场出发,认为发出电子邮件与公民言论自由属同一范畴,有些人愿意接收这类广告,消费者有选择的自由,但大多数人赞成限制滥发行为。
此前的1997年7月,美国内华达州之一个对电子邮件进行了立法,对滥法发电子邮件进行监管; 1997年春,康涅迪格州通过了消费者隐私权法案,其中对采用电子邮件形式散发的广告进行了限制, 但声势不大。此番法院以判例的形式确认了垃圾邮件的性质,相信对垃圾邮件进行立法管理的州还会增加。华盛顿州便是其中之一。华盛顿州的这项将在90天后生效的法案规定:不准发出大量电子邮件者隐藏发函的地址,不许掩饰传输的路径,也不许在电子邮件的主题项提供误导的讯息,如鼓吹暴富计划、疗治偏方或露骨的色情资料。新法案禁止从华盛顿州的电脑发出欺骗性“眉头词(Header)”的电子邮件,也不准发出这类电子邮件到发送者已知或有理由相信收信人是该州居民发送者必须确定收信人是否住在华盛顿州。对于惩罚措施,该法案规定:收到这类电子邮件的个人,可针对每件违反该法案的邮件索赔高达500美元的赔偿金,而 *** 服务商每件则可索赔高达1000美元。 这项法令最致命的弱点是没有说明由谁来、如何执行它。
在Usenet(新闻组)的讨论中,违反 *** 通信秩序的是大量重复张贴某一信息(re-posted message, SPAM)、张贴类似于抽奖链的信件(Postal Lottery Chain Letters, MAKE MONEY FAST)、发送大量带有二进制密码的讨论组(Large Binary Encoded message in discussion groups)及其它违反正常新闻组章程的行为。这些行为,都给 *** 使用者造成了不必要的负担和麻烦。毕竟, 新闻组需要所有使用者的合作,这种接受信息者自担费用(通信费、存储费等)的通信交流工具如果让那些违反正常通信秩序的人经常介入,无疑会失去其应有的作用。目前,对付这些行为所采取的 *** 几乎还处在道德领域,通常的做法是先劝说行为人收敛,当一切说服教育都无效时,宣布新闻组“死刑”(UDP,Usenet Death Penalty)。
第二节 网上诽谤和隐私权
互联 *** 这种媒体其覆盖的广泛性和传播的及时性是其它任何媒介都无法比拟的,也正是这一点被一部分人用到了不正当之处。在 *** 上发布诋毁、诽谤他人的言论易如反掌,而且“效果”惊人。1997年夏天,在网上发生了一起“中国毒岛事件”。事情的起因是国内杀毒软件专家王江民在其开发的软件K300中添加了被称为“逻辑炸弹(Logic Bomb)”的反盗版程序,凡是使用该盗版软件者,其计算机程序将被锁定不能正常使用,必须找江民来承认错误并保证以后不使用盗版软件方能解开逻辑锁。国内某些软件商于是在 *** 公告牌(BBS)上以匿名形式大肆攻击王江民的做法,并免费散发破解逻辑锁的程序。 姑不论江民公司私自添加这种计算机程序的行为是否违法(虽然公安部门对江民公司进行了处罚,但这并不说明江民违法,事实上包括笔者在内的很多人认为这是正当的自卫行为),单说诽谤手法就足以说明 *** 上BBS的厉害。此后不久,公安部发布了关于管理 *** 上BBS的法规。要求 *** 服务商对其公告板的管理负责。
澳大利亚的判例法也有类似的案例。在1994年西澳大利亚大学Rindos博士诉某 *** 用户案中,该用户在 *** 新闻组(Newsgroup)上发表了贬低其学术能力的言论,原告Rindos以被告对其进行诽谤为由起诉到法院,法院判决Rindos 胜诉。该案表明,网上发布的任何信息,即使是仅在少数几个人中传播的,都有被无数人看到的可能性。一旦带有对被议论对象不利的性质,就有被控诽谤的可能,发布者就可能要承担一定的责任。
网上聊天(Netchat)室与新闻组的传播手段大同小异,在这样一个开放的空间随意发表言论,如果涉及他人隐私、阴私,无异于在公共场所揭人疮疤;在聊天室大放厥词,违反网上礼貌是必然的,还往往涉及诽谤。
在网上诽谤中,由于原告很难直接找到诽谤者,故直接起诉 *** 服务商者居多。1995年5月美国纽约高等法院的判例就是典型。在该案中,提供 *** 联机服务的美国第三大ISP--Prodigy Service公司因其在系统公告牌上登载了一条指责某证券公司 (Oakmont)具有欺诈的信息而被控犯有诽谤渎职行为。理由是该 *** 商对其公告牌上的信息进行了编辑控制。法院以Prodigy Service公司未能适当履行服务商其本身的监督职责而判决对由其用户发出的信息承担责任。
第三节 ISP责任与广告法
合理规范ISP的责任,不但有助于ISP自身的发展,繁荣信息产业,而且,对于ISP的用户的违法行为,也有预先防范的作用。
ISP潜在的责任多因诽谤和侵犯版权引起。看一家ISP是否负诽谤责任主要看它是否控制或监督了公告板上的内容。如果它试图监督或控制公告板上的内容或试图控制所上载的信息,那么它就可能因它是上载信息的出版者而承担诽谤的责任;如果不是这样,它只作为发行者而不负诽谤的责任。
在Cubby, Inc V.CompuServe Inc.,案中,CompuServe被裁决不承担因其独立的用户在网上张贴诽谤性言论的责任。法院认为:CompuServe 实质上是一家通过向它的用户收费的形式营利的电子图书馆,它拥有大量的收藏和出版物,它与公共图书馆一样并不能编辑、控制出版物的内容,要求它对每一可能带有诋毁的内容进行审查就象要求经销商一样是不切实际的。
但在另一判例中,Stratton Oakmont, Inc. v. Prodigy Service Co., 也就是上节提到的案例。 法院认为,Prodigy公司在广告中称它是以家庭为导向的 *** 公司,它有很好的防护系统和软件,能够授权信息的张贴者利用或移走公告板上的内容,因为它试图控制公告板上的内容,这样它就与出版者一样,应承担因贴诽谤性言论的责任。
ISP的另一潜在责任是侵犯版权。在Playboy Enterprise, Inc.v. Frena,案中,Playboy 起诉一家 *** 服务提供者,因为这家公司的一个用户未经允许,将一带有Playboy 版权的照片上载到了 *** 上。虽然它并不知道该照片是他人有版权的,法院还是判决 *** 服务提供者对此负传播和未经授权复制的直接责任。
由此看来,美国对 *** 服务提供者所要求的责任是很重的。在中国,虽然没有现实的判例反映ISP的责任,但有关法规对ISP的责任与此相同。中国邮电电信总局(中国电信)在国家公用电信网基础上建立并垄断经营的提供多媒体通信和信息服务的 *** --中国公众多媒体通信网(169,与CHINANET不同)是中国规模更大、国内更具竞争力的服务商。中国原邮电部 (现为信息产业部)1997年9月10日颁布、12月1日起施行的《中国公众多媒体通信管理办法》首次以法律形式明确了接入服务经营者(ISP)和信息源提供者的概念。该法规定:信息源提供者应对其向中国公众多媒体通信网所提供的信息的合法性和真实性承担主要责任;同时 *** 经营者和接入服务者也要承担相应的责任。
在 *** 诽谤和侵犯他人隐私权方面,涉及最多的也是ISP的责任问题。德国的多媒体法根据德国可适用的一般法律,首先规定ISP应对其 *** 的内容负责;其次,如果ISP知道他人 *** 的信息内容,能够采取技术手段避免其使用,而且可以合理预见见到应避免其使用,则ISP应对他 *** 的而由其提供给用户的信息负责,也就是说,ISP应与信息 *** 者共同承担责任。在“合理性”问题上,德国采用的是与英美法相近的衡平法来判别合理性。另外,该法还规定ISP仅对接受其服务的第三方信息不承担责任,在这种情况下,责任的承担者是该信息的 *** 者和将该信息发送到相关 *** 的一方。该法在保护个人隐私方面,制定了不同于以往的保护法令。因为现代 *** 先进的通信和信息技术,已经使人们很轻易地获取它所关注的信息。收集、整理、分析个人的资料,对于寿险公司、银行、零售商等很多机构是必不可少工作。多媒体法尽管没有发布特别的保护个人资料的条款,但在使用数据保护的一般规定中有所涉及。如ISP应通过对系统的适当的技术和结构设计避免他人收集个人数据。只有在用户同意或法律许可的情况下,才可使用用户的个人资料。最典型的是网上结算。包括网上存款、付款(Online Payment)在内的多种 *** 服务都应允许用户使用匿名或假名。
与其他国家相比,中国国务院1996年2月1日颁发、1997年5月20日修正的的《计算机信息 *** 国际联网管理暂行规定》及其《实施办法》(1998年3月16日颁布实施)对接入单位(即ISP)及其下级单位(在ISP进行虚拟主机、托管服务器的机构或个人)、用户(具有ISP联网帐号的个人)的要求类似于若干年前中国的保甲制度。按照该规定实施办法第十七条第三款“接入单位应当服从互联单位(指中国公用计算机互联网、中国金桥信息网、中国教育和科研计算机网、中国科学技术网等四个 *** —笔者注)和上级接入单位的管理;与下级接入单位签定协议,与用户签定用户守则”,这样分级管理,层层把关,以保证 *** 的最终使用者即用户遵守《办法》第十八条“不得擅自进入未经许可得计算机系统。篡改他人信息;不得在 *** 上散发恶意信息,冒用他人名义发出信息;侵犯他人隐私;不得制造、传播计算机病毒及从事其它侵犯 *** 和他人合法权益的活动”、第廿条“不得利用国际互联网从事危害国家安全、泄露国家机密等违法犯罪活动,不得 *** 、查阅、复制和传播妨碍社会治安和淫秽色情等有害信息;发现有害信息应及时向有关主管部门报告,并及时采取措施,不得使其扩散。”
鉴于ISP的责任,ISP在与其用户、客户交往时,就要注意防范这些风险。更好的办法是与用户或客户签定书面的协议,声明:用户应知晓ISP不控制、管理他们的内容;用户应知道他们的内容在进入公共领域;用户应保证他们对其所上载的内容拥有完全的权利;ISP 不承担任何决定所上载的内容是否为受保护的或是为其他用户使用的责任。此外,ISP还应与用户签定赔偿条款,用以补偿因诉讼所带来的第三方责任(包括不当使用、出版、分销、演示受保护的内容等)的损失。这虽然不是十分保险,但可以更大限度地降低自己的责任。
各国对于 *** 广告的管理,几乎都是空白。网上信息传播的特点,使得人们难以识别到底是广告还是一般信息。但不容人们忽视的是,网上真正意义上的广告已经越来越热,网上广告收入每年增长率都在100%以上。著名的搜索站点Yahoo 1997财年仅广告收入就达5,400多万美元 。国内一家 *** 服务商瀛海威通信的广告收入也占它业务收入很大部分。但瀛海威并不是在中国工商行政管理部门核准注册的广告服务商,那么它的广告收入是否因超越经营范围而成为非法所得?一方面中国的《广告法》中没有具体规定 *** 也是广告的载体,只是规定“及其它一切媒介”,(这种纯粹立法技术上的问题对于执法意义不大);另一方面,如果承认 *** 上广告的合法性,那么, *** 服务商就要受广告法的约束,而广告法也具有地域性的局限,如何规范 *** 上广告的秩序仍是问题。美国一家保险公司在 *** 上推销其寿险,险些遭到英国客户的起诉,因为这种推销行为在英国是违法的,这家保险公司为避免在英国的业务因漫长并且纠缠不清的诉讼而受损,明智地关掉了在英国的网站代之以只对北美的用户开放。
*** 上另一种广告经营手段是通过向广告发布者提供专用的软件或为其通过该软件快速、大量发送电子邮件达到促销的商业目的。这种软件一次可以发出成千上万个电子邮件,通过在 *** 上搜寻电子邮件地址和从 *** 服务提供商(ISP)处得到ISP用户的资料,软件自动将商业广告性质的信息送到 *** 用户。这种广告经营行为也是传统广告法所没有涉及到的。但因为它是让接收者付费的信息,所以遭到了大多数 *** 用户的反对,在本章开首已经介绍了美国一些州对这类广告进行立法限制或禁止的法律和判例。现在台湾开始有人汉化这类软件。将垃圾邮件的做法移植到华人世界,大概也难以长久。
美国国际集团AIG是干什么的?
AIG发家史
不可思议的成功
这是一组令人称奇的数字:年利润93亿美元,股东权益828亿美元,年收入813亿美元,总资产6783亿美元。这就是美国国际集团(AIG),1919年创立于上海,目前总部位于纽约,涉足领域包括保险、退休金管理服务、金融服务的美国更大的工商保险机构。它的第二任CEO,在美国保险界不可一世的汉克·格林伯格(Hank Greenberg)是个独具魅力的人,坚毅、急躁、意志力强硬、不知疲倦等性格在他身上一览无遗。
他担任AIG的CEO长达37年,在AIG公司工作长达45年。在职期间,他让AIG的市值飙升更高至1730亿美元,每股收益率平均每年上涨17%。我们总是能从美国友邦保险公司的宣传画上看到格林伯格仿佛战无不胜的和蔼笑容。
格林伯格出身低微,他的父亲在纽约东边开了一家糖果店,却在汉克5岁的时候去世了。他母亲改嫁给一个纽约州北部的农场主,他的童年记忆中于是充斥着天不亮就起来挤牛奶以及诱捕麝鼠和貂的经历。1942年格林伯格用了一张假造的出生证明应征入伍,那时他17岁。他参加了第二次世界大战并在欧洲和韩国战区服役,并多次差点丧命。而他也从未放弃对知识的追求。得到了高中学历之后,他进入了迈阿密大学,最后毕业于纽约法学院。
1953年一个很偶然的机会,他在曼哈顿欧洲伤亡理赔办事处与一个员工主管吵架时奠定了他未来要走的路。格林伯格认为那个人过于粗鲁,自己也在副总裁的办公室狂暴地咆哮,骂那个欧洲籍的员工主管是“疯子”。颇为意外的是为此他得到了周薪为75美元的保险业新员工的工作。10年后,他成为公司主管意外与健康险的助理副总裁。
1960年,格林伯格被保险行业内另一家公司Cornelius Vander Starr挖走,这家公司正是AIG的前身。27岁的加州人斯达尔于1919年在中国上海设立的小型的保险办事处,也是当年之一个向中国人提供保险业务的外资保险公司。他在中国取得了巨大成功,业务也很快推广至亚洲、拉丁美洲、欧洲及中东地区。但是在美国,斯达尔的业务却迟迟推展不开来。他收购了销售量大的公司,并向市民与小公司推销保险,但仍未见起色。于是他便将希望寄托在格林伯格身上。
格林伯格抛弃了传统的模式,选择了类似经纪公司布网的销售模式,接受企业成为会员。1968年斯达尔的心脏开始衰竭,去世时,他将格林伯格定为其继承人。格林伯格接手一年后,AIG上市,当时市值为3亿美元。
他视自己为保险这个沉闷行业中的游戏叛逆者。1960年代,在人们普遍认为保险行业不要指望有什么创新时,格林伯格却认为“创新是可以做到的”。AIG开始以为非传统风险提供有条件保障,注重免赔额等手段吸引了市场的注意。之后AIG的新险种业务不断得到挖掘——其中颇具新意的就有因特网身份被窃险、劫机险、海上油田保险,还领先同行于2003年推出黑客保险业务。
那时互联网公司大都认为自己公司的防护措施已经足够好了,不用再花额外的钱投保。AIG黑客保险业务刚刚推出的时候也颇受冷遇。但当2003年底一系列著名网站雅虎、亚马逊和eBay等相继被黑客侵袭之后,互联网保险业务马上热门起来,AIG当月的保险业务就增加了四到五倍。
AIG的产品创新能力为格林伯格赢得巨大声望,并成为推动AIG迅速扩张的重要因素。AIG的高层管理者皮特·伊斯特伍德(Peter Eastwood)曾这样评价自身的创新能力,“我们在经纪商和客户身上花费了大量时间,直接询问他们关心的事情、面对的事务以及现有保险市场的不足……凭此我们在很多领域中确立了统治地位。”
为将AIG的这些险种推广到世界各个角落,格林伯格将运营 *** 遍布世界。AIG属下的成员公司,通过多种销售渠道,触角遍及全球130多个国家及地区。格林伯格花费了很多时间环游世界,签订了很多重要的协议。AIG的一个前任高管人员说,“我在过去的10年到过中国48次,有多少个公司的高管人员能超过我的这个次数?”
在AIG的网站上曾经挂出“We know money(我们懂得金钱)”的标语。也许,金钱对于AIG 来说,只是一个他们玩弄于股掌的数字游戏而已。看一下AIG的版图,就不得不为格林伯格的巨大野心叹服。
AIG集团旗下有四大业务,通用保险和人寿保险是更大也是时间最久的两块业务,财务服务、退休金服务和资产管理两大业务也在稳定增长中。
在每一个主要市场中,AIG都有代表性的公司。主要的通用保险附属公司有美国家居保险公司、新罕布什尔保险公司、宾夕法尼亚州匹兹堡国家联合火险公司,及其一系列附属公司。在人寿保险领域,友邦、美国国际再保险、美国国际担保公司(百慕大)、中国台湾南山人寿保险、 AIG Star 人寿保险、 AIG 养老保险公司、AIG美国通用寿险公司和SunAmerica 人寿公司等都被AIG收入囊中,在全球拥有数百万客户。国际金融租赁公司、AIG 金融产品公司及其附属公司、美国通用金融及其附属公司都是AIG的金融服务公司。主要提供航空保险、资本市场、客户财务以及保费财务。退休金储蓄和资产管理业务是由Variable Annuity 人寿保险公司、AIG SunAmerica 资产管理公司、AIG SunAmerica 人寿保险公司、AIG 全球资产管理集团以及附属公司或相关公司进行,为客户提供专业的股票、定息证券、地产及其它投资管理服务。
在2003年报告中,格林伯格指出,AIG的领导地位,来自于其承保能力、保险产品创新能力、金融能力、出色的服务和处理能力。通过遍布在130多个国家的分支机构,AIG实现了它在全球的领导地位。
格林伯格具有极强的操控能力和生意嗅觉,玩弄金钱和法律规则的技巧已经炉火纯青。多年来,他与竞争对手和监管部门争斗不休,得到了好战的名声。他熟悉华尔街的规矩,曾经有人评价,“为了股票价格,他可以做任何事情”。
一个长期与格林伯格打交道的华尔街人士对他的评价是:“公司里就连一块石头落地的声音也逃不过他的耳朵。”他对公司的内部审计已经达到狂热的境界,专门雇佣了100个人寻找AIG的错误做法。他们的意见直接抵达公司高层,并且需要得到众人的立即回应。另外,格林伯格每年秋季需要花50个小时 *** 25个不同机构召开预算会议,每一个机构都需要带来他们的商业计划。而首席财政官,CFO霍华德·史密斯( Howard Smith),必须按照他的规定准确无误地读完这些商业资料。
格林伯格一个大学同学评价他:“他每天几乎24小时都在工作,也许更多,36小时。但是他就喜欢这样。”
纵观AIG的历史,正是格林伯格痴迷的工作态度以及“在最广泛的领域满足所有人的任何要求”的野心,推动AIG成为美国更大的商业保险公司,世界上市场价值更大的金融集团之一。他设置复杂的股权结构和公司治理机制,开创了许多令人眼花缭乱的新型保险产品,现在看来,这些为人津津乐道和令人羡慕的财技同时也成为他控制公司、掠夺财富和逃避监管的工具。