安全顾问及法律专家指出,虽然企业团体游说成功,美国国会未针对网络安全性制定专门的法律,但依照既有的法律和法庭判例,疏于维护自家网络安全的公司,仍可能面临民事和刑事处罚。
"计算机安全性不只是技术上的问题,"计算机安全公司Entrust的副总裁Dan Burton说。
健保法、银行法乃至商业诈欺法都订有安全维护责任规定。此外,现正逐步施行的会计改革法可能产生更大的影响。
RSA Security公司政府事务部经理Shannon Kellogg说,2002年制定的Sarbanes-Oxley法要求企业主管担保公司已做好充分的"内部控管",会计稽察员已开始把计算机安全纳入该项目,倘若未达目标,主管必须承担责任。
华盛顿Cleary Gottlieb律师事务所合伙人、曾任美国证管会法律顾问的David Becker说,违反该条款可能遭司法部提起刑事告诉。他说:"蓄意触犯联邦证券法且恶行重大者,可处刑罚。"
专家说,能够证明自己确已采取一致的步骤改善企业网络安全者,在法庭上胜诉的机会较大。
趋势科技公司估计,Sobig和Slammer等计算机蠕虫和病毒塞爆网络、瘫痪网站,去年约导致企业付出550亿美元的生产力损失。其它网络危险,例如身分盗窃和商业间谍等,更难以金钱衡量。
尽管在商业团体反对下,美国政府搁置强制上市公司揭露网络保全计划的提案,但许多主张政府不干预的专家表示,企业必须提高戒备维护网络安全,以免成为Sarbanes-Oxley和其它法律制裁的对象。
依照1996年颁布实施的健保可移植性与责任法,健保公司必须在2005年4月前确定以机密和安全的方式妥善储存病患的电子病历资料。按1999年制定的Gramm-Leach-Bliley法,银行等金融服务集团也必须善尽类似的义务。
联邦贸易委员会(FTC)会对未履行安全维护承诺的公司采取移动。如制药厂Eli Lilly不经意让服用该公司抗忧郁药"百忧解"(Prozac)的顾客电子邮件住址曝光,遭到主管当局关切后,已同意加强内部安全管理。 (唐慧文)