Professional Documents
Culture Documents
Full download Cybersecurity Law 2nd Edition Jeff Kosseff file pdf all chapter on 2024
Full download Cybersecurity Law 2nd Edition Jeff Kosseff file pdf all chapter on 2024
Full download Cybersecurity Law 2nd Edition Jeff Kosseff file pdf all chapter on 2024
Kosseff
Visit to download the full and correct content document:
https://ebookmass.com/product/cybersecurity-law-2nd-edition-jeff-kosseff/
More products digital (pdf, epub, mobi) instant
download maybe you interests ...
https://ebookmass.com/product/law-express-international-law-2nd-
revised-edition-edition-stephen-allen/
https://ebookmass.com/product/derivatives-law-and-regulation-2nd-
edition/
https://ebookmass.com/product/law-express-exam-success-2nd-
revised-edition-edition-emily-finch/
https://ebookmass.com/product/how-to-ace-statics-with-jeff-
hanson-jeff-hanson/
Law and Society 2nd Edition, (Ebook PDF)
https://ebookmass.com/product/law-and-society-2nd-edition-ebook-
pdf/
https://ebookmass.com/product/cloud-computing-law-2nd-edition-
christopher-millard/
https://ebookmass.com/product/eu-procedural-law-oxford-european-
union-law-library-2nd-edition-koen-lenaerts/
https://ebookmass.com/product/essentials-of-nursing-law-and-
ethics-2nd-edition/
https://ebookmass.com/product/cloud-computing-law-2nd-edition-
christopher-millard-editor/
Cybersecurity Law
Cybersecurity Law
Second Edition
Jeff Kosseff
This edition first published in 2020
© 2020 John Wiley & Sons, Inc.
Edition History
Wiley (1e, 2017)
All rights reserved. No part of this publication may be reproduced, stored in a retrieval system,
or transmitted, in any form or by any means, electronic, mechanical, photocopying, recording or
otherwise, except as permitted by law. Advice on how to obtain permission to reuse material from this
title is available at http://www.wiley.com/go/permissions.
The right of Jeff Kosseff to be identified as the author of this work has been asserted in accordance with
law.
Registered Office
John Wiley & Sons, Inc., 111 River Street, Hoboken, NJ 07030, USA
Editorial Office
111 River Street, Hoboken, NJ 07030, USA
For details of our global editorial offices, customer services, and more information about Wiley
products visit us at www.wiley.com.
Wiley also publishes its books in a variety of electronic formats and by print‐on‐demand. Some content
that appears in standard print versions of this book may not be available in other formats.
Limit of Liability/Disclaimer of Warranty
While the publisher and authors have used their best efforts in preparing this work, they make no
representations or warranties with respect to the accuracy or completeness of the contents of this work and
specifically disclaim all warranties, including without limitation any implied warranties of merchantability
or fitness for a particular purpose. No warranty may be created or extended by sales representatives, written
sales materials, or promotional statements for this work. The fact that an organization, website, or product
is referred to in this work as a citation and/or potential source of further information does not mean that
the publisher and authors endorse the information or services the organization, website, or product may
provide or recommendations it may make. This work is sold with the understanding that the publisher is not
engaged in rendering professional services. The advice and strategies contained herein may not be suitable
for your situation. You should consult with a specialist where appropriate. Further, readers should be aware
that websites listed in this work may have changed or disappeared between when this work was written and
when it is read. Neither the publisher nor authors shall be liable for any loss of profit or any other commercial
damages, including but not limited to special, incidental, consequential, or other damages.
10 9 8 7 6 5 4 3 2 1
This book is dedicated to my two biggest supporters, my wife, Crystal Zeh, and
my daughter, Julia Kosseff.
vii
Contents
2 Cybersecurity Litigation 57
2.1 Article III Standing 58
2.1.1 Applicable Supreme Court Rulings on Standing 59
2.1.2 Lower Court Rulings on Standing in Data Breach Cases 64
2.1.2.1 Injury-in-Fact 64
2.1.2.1.1 Broad View of Injury-in-Fact 64
2.1.2.1.2 Narrow View of Injury-in-Fact 68
2.1.2.2 Fairly Traceable 72
2.1.2.3 Redressability 72
2.2 Common Causes of Action Arising from Data Breaches 73
2.2.1 Negligence 74
2.2.1.1 Legal Duty and Breach of Duty 75
2.2.1.2 Cognizable Injury 76
2.2.1.3 Causation 79
2.2.2 Negligent Misrepresentation or Omission 80
2.2.3 Breach of Contract 82
2.2.4 Breach of Implied Warranty 88
2.2.5 Invasion of Privacy by Publication of Private Facts 92
2.2.6 Unjust Enrichment 93
2.2.7 State Consumer Protection Laws 95
2.3 Class Action Certification in Data Breach Litigation 97
2.4 Insurance Coverage for Cybersecurity Incidents 104
2.5 Protecting Cybersecurity Work Product and Communications
from Discovery 108
2.5.1 Attorney-Client Privilege 110
2.5.2 Work Product Doctrine 112
2.5.3 Nontestifying Expert Privilege 115
2.5.4 Genesco v. Visa 116
2.5.5 In re Experian Data Breach Litigation 119
2.5.6 In re Premera 120
2.5.7 In re United Shore Financial Services 121
Index 715
xv
First and foremost, I’d like to thank my colleagues at the United States Naval
Academy, and the hundreds of midshipmen whom I have taught in the
Academy’s cyber operations major. My daily discussions and debates with
them have shaped how I think about the emerging field of cybersecurity law,
and working with them every day is an inspiration.
Thanks to Wiley for seeing the need for a book that examines the many areas
of the law that are related to the evolving world of cybersecurity.
I’d also like to thank the many people who have provided feedback, particu-
larly as I have substantially revised the second edition of the book. They include
Marc Blitz, Matt Bodman, Amit Elazari Bar On, Ashden Fein, Eric Goldman,
Ido Kilovaty, Kurt Sanger, and Armin Tadayon. Special thanks to Brooke
Graves for outstanding editing. Thanks to Liz Seif for excellent proofreading.
Any views expressed in this book are only my own, and do not represent the
Naval Academy, Department of Navy, or Department of Defense. In this book,
I present legal conclusions and facts as stated in judicial opinions and other
court documents. By doing so, I am not necessarily endorsing those conclu-
sions or factual claims.
This book is intended as a textbook and casebook for classes at the under-
graduate, graduate, and law school levels, as well as a desk reference. However,
due to the rapidly changing nature of cybersecurity law, this is not a substitute
for legal advice or research on the current state of the law.
xix
In the two years since the publication of the first edition of this book in early
2017, much has changed in the world of cybersecurity law. Legislators at the
state, federal, and international levels enacted sweeping new laws to address
cybersecurity. Courts issued significant new opinions in just about every area
covered by the first edition. The U.S. government reorganized its civilian
cybersecurity efforts amid unprecedented challenges.
I wrote the second edition to incorporate these new developments, and to
make this book even more useful both in the classroom and in the workplace.
Before I provide an overview of the changes to particular content, I’d like to
highlight three significant additions to the book:
First, the book adds Appendix F, which includes 15 edited court opinions
that cover the range of legal issues discussed in the text. I’ve been pleased to
observe the number of professors in undergraduate, graduate, and law school
programs who have assigned the book as a primary text. Some professors—
particularly at the law school level—incorporate the case method into their
teaching, in which their students learn about the legal rules by reading impor-
tant statutes and court opinions and discussing them in class. Although the
appendices to the first edition contained the text of some of the leading cyber-
security‐related statutes, the first edition did not include the text of court opin-
ions. Appendix F provides edited opinions that cover FTC data security
authority, private data breach litigation, shareholder derivative data breach liti-
gation, the Computer Fraud and Abuse Act, and the Fourth Amendment. By
combining these edited cases with the narrative text, I hope that the book will
be useful as both a traditional textbook and a casebook. The edited court opin-
ions also will be useful to those using the book as a treatise, as it provides a
more detailed look at some of the cases discussed in the main text.
Second, the new edition adds Chapter 11, which covers some aspects of the
international law of cyberwarfare. As we have seen in the past few years, many
cybersecurity threats have originated from state actors in other nations. This
requires us to examine, under international law, what options a target country has
to defend itself.
xx ForeFord Fo tro reFord rdd dFo (2019
In recent years, cybersecurity has become not only a rapidly growing industry,
but an increasingly vital consideration for nearly every company and govern-
ment agency in the United States. A data breach can lead to high‐stakes law-
suits, significant business disruptions, intellectual property theft, and national
security vulnerabilities. Just ask any executive from Sony, Target, Home Depot,
or the scores of other companies that experienced costly data breaches or the
top officials at the U.S. Office of Personnel Management, which suffered a
breach that exposed millions of federal workers’ highly confidential security
clearance applications. In short, it is abundantly clear that companies, govern-
ments, and individuals need to do more to improve cybersecurity.
Many articles and books have been written about the technical steps that are
necessary to improve cybersecurity. However, there is much less material avail-
able about the legal rules that require—and, in some cases, restrict—specific
cybersecurity measures. Legal obligations and restrictions should be consid-
ered at the outset of any cybersecurity strategy, just as a company would con-
sider reputational harm and budgetary issues. Failure to comply with the law
could lead to significant financial harms, negative publicity, and, in some cases,
criminal charges.
Unfortunately, the United States does not have a single “cybersecurity law”
that can easily apply to all circumstances. Rather, the United States has a patch-
work of hundreds of state and federal statutes, regulations, binding guidelines,
and court‐created rules regarding data security, privacy, and other issues com-
monly considered to fall under the umbrella of “cybersecurity.” On top of that,
if U.S. companies have customers or employees in other countries, they must
consider the privacy and data security laws and regulations of those nations.
This book aims to synthesize the cybersecurity laws that are most likely to
affect U.S. corporate and government operations. The book is intended for a
wide range of audiences that seek to learn more about cybersecurity law:
undergraduate, graduate, and law school students; technology professionals;
corporate executives; and lawyers. For lawyers who use this book as a reference
treatise, this book contains detailed footnotes to the primary source materials,
xxiv o oFrdde dFo Fodor rdd dFo
such as statutes and case citations. However, this book is not intended only for
those with law degrees; it is written with the intent of being a guide for lawyers
and nonlawyers alike. Similarly, in addition to being a desk reference, this book
can be used as a primary or supplemental text in a cybersecurity law class.
The book focuses on the cybersecurity obligations of U.S. companies, but
because cyberspace involves global private and public infrastructure, the book
does not focus only on U.S. legal obligations of private companies. The book
examines the efforts of the public sector and private sector to work together
on cybersecurity, as well as the limits on government cyber operations under
the U.S. Constitution and various statutes. Moreover, the book discusses some
of the foreign cybersecurity laws that U.S. companies are most likely to
encounter.
At the outset, it is important to define the term “cybersecurity law.” Unlike
more established legal fields, such as copyright, contracts, and torts, cyberse-
curity law is relatively new and not clearly defined. Indeed, some people think
of cybersecurity law as consisting only of data security requirements for com-
panies that are designed to reduce the likelihood of data breaches. Others think
of cybersecurity law as anti‐hacking laws. And to some, cybersecurity law is a
subset of privacy law.
To all of those suggestions, I say “yes.” Cybersecurity encompasses all of
those subjects and more. The U.S. Department of Homeland Security’s
National Initiative for Cybersecurity Careers and Studies defines cybersecurity
as “[t]he activity or process, ability or capability, or state whereby information
and communications systems and the information contained therein are pro-
tected from and/or defended against damage, unauthorized use or modifica-
tion, or exploitation.” This definition is a good—and largely complete—starting
point for the purposes of this book. The DHS definition captures the “CIA
Triad”—confidentiality, integrity, and availability—that typically is associated
with cybersecurity. Under this definition, we should be concerned with data
security laws, data breach litigation, and anti‐hacking laws. However, I have
two additions to the DHS definition. First, it is impossible to fully evaluate
cybersecurity without understanding the limits on the government’s ability to
conduct electronic surveillances. Accordingly, the Fourth Amendment to the
U.S. Constitution and statutes that restrict government surveillance must be
considered as part of an examination of cybersecurity law. Second, cybersecu-
rity law is heavily intertwined with privacy law, which restricts the ability of
companies and governments to collect, use, and disclose individuals’ personal
information.
To simplify, this book categorizes cybersecurity law as consisting of six broad
areas of law:
● Private sector data security laws
● Anti‐hacking laws
Another random document with
no related content on Scribd:
Még egy sokatmondó bizonyság szól a történet mellett és ez az,
hogy Gottfried gyerekkori fényképeivel tudja bizonyítani, hogy arca
egész szabása megváltozott. A legelső fényképen, amelyet úgy öt-
hatéves korában készítettek róla, Gottfried balszeme egy kissé
nagyobb volt, mint a jobb és álla is valamivel erősebb a baloldalon.
Ma mindennek pontosan az ellenkezőjét észlelhetjük rajta.
Gottfried fényképe tizennégy éves korából ellent látszik mondani
ennek a ténynek, viszont azonban ez a fénykép úgynevezett
„enyveshát“ – amelyek nagyon divatosak voltak akkoriban – és az
„enyveshát“-akat tudvalevőleg a fotográfusok néhány pillanat alatt
készítették olyanformán, hogy a lemezt megfordítva helyezték a
másolópapírra és így pontosan fordítva adták vissza mindenki
képmását, egészen úgy, mint ahogy a tükör szokta megfordítani
arcunkat. A harmadik fénykép Gottfriedot huszonegy éves korában
ábrázolja és mindenben megerősíti a két másik fénykép
bizonyságát. A fényképek tanusága szerint tehát nem kétséges,
hogy Gottfried arcának balfele helyet cserélt arcának jobbfelével, de
hogy egy emberi lény hogyan változhatik meg annyira, teljesen
érthetetlen, ha csak nem akarunk csodára gondolni.
Egyféleképpen persze meg lehetne magyarázni mindent,
tudniillik, ha föltételezhetnénk, hogy Plattner azon az alapon, hogy
szíve a jobboldalon dobog, az egész világot az orránál fogva vezeti,
hiszen fotográfiákat is lehet hamisítani és balkezességet is lehet
tettetni. De Gottfried Plattner egész jelleme ellentmond ennek a
feltevésnek. Gottfried nyugodt, csendes, magábavonuló, szerény
ember és még Nordau szempontjainak figyelembevétele mellett is
teljesen józan. Néha-néha szeret egy pohár sört meginni, mérsékelt
dohányos, mindennap nagy gyalogsétákat tesz és egészségesen
túlbecsüli tanári munkásságának jelentőségét. Kedves, iskolázatlan
hangja van és szívesen énekel, jókedvű, népszerű dalokat, nagyon
szeret olvasni – főképpen boldog végű regényeket, – jól alszik és
csak nagyon ritkán álmodik. Szó ami szó, Gottfried Plattner az utolsó
ember, akiről fel lehetne tételezni, hogy ilyen fantasztikus történetet
talált volna ki. Valóban – esete elmondásában Plattner mindig
nagyon tartózkodónak mutatkozott és valósággal szégyenli, hogy
ilyen szokatlan dolognak éppen ővele kellett történnie.
Sajnálatosképpen Plattner elvi ellensége a boncolásnak és így
alkalmasint sohasem szerezhet a világ teljes bizonyosságot afelől,
vajjon valóban minden szerve helyet cserélt-e testében, pedig éppen
ez a tény a döntő az egész történetben. Hiába fognánk egy embert
és hurcolnánk ide-oda a térben – a tér alatt azt értem, amit az
emberek általában annak szoktak nevezni – a test szervei nem
fognak helyet cserélni. Bármit csináljunk is az emberrel, a jobboldala
továbbra is jobboldal marad, a baloldal pedig baloldal.
Persze, egy teljesen lapos dologgal ezt meg lehet tenni. Ha
papirosból kivágunk egy alakot – bármilyen alakot, amelynek bal- és
jobboldala van –, könnyen felcserélhetjük oldalait, mert csak
egyszerűen fogjuk és átfordítjuk a másik oldalára a figurát. De a
testekkel egészen másképpen áll a dolog. A matematikusok azt
mondják, hogy ez is lehetséges és egy szilárd test jobb- és
baloldalát fel lehet cserélni, ha fogjuk a testet és kivisszük a térből –
ami érthető nyelvre lefordítva annyit jelent, hogy kivisszük egyben a
létből is – és a téren kívül fordítjuk meg. Ez kétségkívül egy kissé
zavaros magyarázat, de minden matematikus készségesen
megerősíti, hogy valóban így van.
Hogy a dolgokat kézzelfoghatóbbá tegyük, Plattner jobb- és
baloldalának különös felcserélődése azt bizonyítja, hogy Plattner
kívül járt a téren, az úgynevezett Negyedik Dimenzióban és hogy
onnan ismét visszatért a mi világunkba. Ha csak nem akarjuk
magunkat egy hihetetlenül leleményes félrevezetés áldozatainak
tartani, hitelt kell adnunk a matematikusok e magyarázatának.
Ennyit a tényekről. És most elérkeztünk beszámolónknak ahhoz
a részéhez, amelyben elmondjuk annak a tüneménynek a történetét,
amely Plattner időleges eltünését eredményezte a Földről.
Plattner, úgylátszik, az iskolában nemcsak a modern nyelveket
tanította, hanem kémiát, kereskedelmi földrajzot, könyvelést,
gyorsírást, rajzot és minden egyéb olyan tantárgyat is, amely felé a
fiúk szüleinek érdeklődése időről időre fordulni szokott. Plattner csak
nagyon keveset, sőt mondhatnám semmit sem értett ezekhez a
különböző tantárgyakhoz, de hát a tanárnak nem is kell nagyon
sokat értenie ahhoz, amit előad, hanem inkább csak erkölcsi
határozottságot és úri hangot kell adoptálnia.
Plattner, úgylátszik, az iskolában nemcsak a modern sem tudott –
mint ő maga mondja – a Három Gázon kivül –, akármi legyen is ez a
három gáz. Mindazonáltal, miután tanítványai kezdetben még ennyit
sem tudtak és minden tudásukat az ő előadásaiból merítették, ez
nem okozott neki – vagy akárkinek is – a legkisebb gondot sem
éveken keresztül, mindaddig, míg egy Whibble nevű fiú nem tünt fel
egy szép napon az első sorban, akit úgy látszik, valami rosszakaró
rokona rászoktatott arra, hogy minduntalan a legkülönösebb
kérdéseket tegye fel.
A kisfiú Plattner előadásait mindvégig feszült figyelemmel és
érdeklődéssel kísérte és hogy mások is tudomást szerezzenek
érdeklődéséről, időről időre különös tárgyakat hozott Plattner
előadására, hogy azokat tanárjával analizáltassa. Plattnert először
nagyon meglepte, hogy ilyen érdeklődést tudott kelteni
tanitványaiban előadóképessége. Bízott a fiú teljes tudatlanságában,
így aztán analizálta az átadott dolgokat, sőt bizonytalan és homályos
mondatokban be is számolt azok vegyi összetételéről. Őszintén
szólva, uj tanítványának tudásvágya arra bírta Plattnert, hogy
meghozasson Londonból egy analitikai-kémiai szakkönyvet, amelyet
azután szabad idejében tanulmányozott. Legnagyobb
meglepetésére azt találta, hogy a kémia egészen érdekes
tudományág.
Idáig a történet egészen hétköznapi, de most egyszerre egy zöld
por tünik fel a színen. Sajnos, a zöld por eredetét ma már nem lehet
kétségbevonhatatlan hitelességgel megállapítani és a fiatal Whibble
hosszú és kalandos történetben számol be arról, hogy a zöld port a
tengerparton találta egy viaszosvászon rongyba csavarva. A legjobb
megoldás úgy Plattnerre, mint talán még Whibble szüleire nézve is
az lett volna, ha gyufa ér a zöld porhoz már a megtalálás percében.
A fiatalúr kétségkívül nem az eredeti csomagolásban hozta a port
az iskolába, hanem egy közönséges orvosságos üvegben, amelynek
dugóját ujságpapíros helyettesítette. Whibble a zöld port a délutáni
előadás végén adta át Plattnernek. Négy gyereknek büntetésből
bent kellett még az előadás után is maradnia, hogy elkészítsék
írásbeli feladataikat és Plattner ügyelt fel rájuk abban a kis
tanteremben, ahol a kémiai kísérleteket szokta végezni.