部署VoIP的法律问题

企业在从公用电话网络迁移到VoIP技术时，或者将VoIP与现有的语音/数据通信策略结合时，所产生的法律问题并不亚于技术问题。

在美国，根据企业所处工业领域或行业的不同，VoIP通信在安全性和隐私性方面会受到联邦或州政府法律的严格要求。在欧洲，企业的通信策略也必须服从欧盟的电信规章制度。 另外，企业还必须有应对紧急事件的通信服务策略。在本文中，我们将了解一下新部署VoIP时会遇到的常见的法律问题。

常见法规：SOX, GLBA, 和HIPAA
影响企业IT部门的美国三大联邦法案是Sarbanes-Oxley 法案(SOX)，Gramm-Leach-Bliley法案(GLBA 或GLB)，以及 Health Insurance Portability and Accountability法案 (HIPAA)。也许你已经对这些法案相当熟悉了，不过我还是要简单介绍一下。

SOX
2002年，美国国会为了平息一系列企业帐务丑闻，推出了Sarbanes-Oxley法案（根据该法案在美国参议院和众议院的发起人名字命名）。它的正式名称应该是Public Company Accounting Reform and Investor Protection Act of 2002（2002年公共公司账目改革和投资保护法案）。该法案只针对公开上市公司。

该法案中与IT部门关系最大的是第404节。该部分要求企业管理必须确立和维护一个“适当的内部控制架构，并每年提供此控制架构的评估报告，而且必须经由独立的第三方机构进 行再次确认。”

GLBA
1999年，美国国会通过了Gramm-Leach-Bliley法案（也是以发起人的名字命名的），该法案允许商业银行提供投资和保险服务。该法案也涉及到保护消费者的个人信息不被金融领 域的公司收集并利用。

该法案的正式名称为Financial Services Modernization Act（金融服务现代化法案）。不过GLBA所定义的“金融领域”相当宽泛，不但包含银行、信用卡公司、信用联盟、租赁 公司等，还包含了保险公司、有价证券商、不动产评估商、拥有自己的信用卡的零售商店、税务代理、贷款机构以及任何“明显涉及金融活动”的相关公司。

其中与企业IT部门关系最大的是第501节A段。它要求企业必须保证客户记录和信息的安全性和保密性，必须保护这些数据资料不会处于任何安全威胁下，保证这些资料不会被任何 未经授权的人访问或利用，给客户带来任何伤害或利益损失。

HIPAA
虽然美国国会在1996年就通过了HIPAA法案，但是其中涉及IT安全的“隐私条例”直到2003年才得以实施。该条例所针对的是那些拥有公民医疗记录或其它个人健康信息的公司和机 构。其中包括医院，医生的办公室甚至护士的住所，HMO，保险公司，提供医疗和健康服务的社会服务代理机构，以及为员工提供统一体检的公司。所有的个人医疗信息都必须按照 HIPAA的规则保存或转换为电子档案。

HIPAA要求企业和机构必须确保这些电子化的个人健康信息的安全性，完整性以及可用性，保护这些信息不受任何安全威胁的影响，不被任何非法用户访问或利用。

这些法案与VoIP有什么关系？
你也许已经注意到了，上面提到的这些法案都涉及了一个内容，即针对某种信息数据的完整性和隐私性的保护。比如，作为一个SOX法案的审查人员，必须要检查企业内部的信息安 全控制机制，包括密码强度、加密方式、易损性测试等。针对VoIP的检查项目可能包括你的企业是否对VoIP的使用进行日志记录，如何利用这些日志进行费用支付，如何跟踪管理 等。那么，你的企业是否拥有了一套认证机制，防止非法用户使用企业的VoIP系统呢？

以下是HIPAA或GLBA所关心的数据隐私问题：