◎ 文 費南達·施密德 羅伯特·B·哈貝爾 內(nèi)森·D·泰勒 丹尼爾·A·內(nèi)森 翻譯 王映

美國企業(yè)法務如何防范網(wǎng)絡風險

◎ 文 費南達·施密德 羅伯特·B·哈貝爾 內(nèi)森·D·泰勒 丹尼爾·A·內(nèi)森 翻譯 王映

企業(yè)雖然無法完全根除網(wǎng)絡威脅，但是它可以設法控制這些威脅，并且制訂一個事故響應計劃。這一過程要求公司跨部門的團隊合作，其中包括了內(nèi)部律師作為重要角色的積極參與

網(wǎng)絡威脅永遠存在。美國國家安全局總監(jiān)辦公室認定網(wǎng)絡威脅已經(jīng)超越了恐怖主義，成為了2014年最大的威脅。在過去的十二年間，新的數(shù)字威脅數(shù)量已經(jīng)增長了一萬倍。但是如果你認為網(wǎng)絡數(shù)據(jù)安全僅僅是個和世界500強企業(yè)有關(guān)的問題，那你就錯了。任何有保密信息以及員工、消費者和客戶數(shù)據(jù)的企業(yè)都要考慮網(wǎng)絡安全。

企業(yè)雖然無法完全根除網(wǎng)絡威脅，但是它可以設法控制這些威脅，并且制訂一個事故響應計劃。這一過程要求公司跨部門的團隊合作，這其中包括了內(nèi)部律師作為重要角色的積極參與。近期，行業(yè)團體和監(jiān)管部門所制定的指導，已經(jīng)回答了企業(yè)內(nèi)部律師提出的兩個關(guān)鍵問題：面對數(shù)據(jù)泄露，我的公司應該如何應對？我又能做出怎樣的幫助？

費南達·施密德，科納斯通研究公司總法律顧問。

羅伯特·B·哈貝爾，美富律師事務所證券訴訟、執(zhí)行和白領辯護組合伙人。

內(nèi)森·D·泰勒，美富律師事務所金融服務組合伙人。

丹尼爾·A·內(nèi)森，美富律師事務所證券訴訟、執(zhí)行和白領辯護組合伙人。

現(xiàn)有挑戰(zhàn)：永存的威脅與缺位的監(jiān)管

對網(wǎng)絡威脅來說，簡單、單一的解決方法并不存在。每一個企業(yè)都必須根據(jù)自身組織結(jié)構(gòu)、系統(tǒng)和數(shù)據(jù)情況，來決定需要保護的內(nèi)容和最佳保護方式。數(shù)據(jù)安全威脅不僅存在于企業(yè)層面，也同樣存在于其他信息入口，比如銷售點登記簿、員工手機、社交媒體、私人電子郵件賬號、無線打印機以及任何與互聯(lián)網(wǎng)相關(guān)聯(lián)的東西。此外，企業(yè)在識別漏洞時，不能僅關(guān)注自身信息系統(tǒng)，更要考慮重要第三方，包括供應商的系統(tǒng)。除了黑客之外，威脅還來自于員工、獨立承包商和第三方供應商。

對于這些風險的管理涉及公司多個層面。這要求董事會層面明確認識到網(wǎng)絡信息安全問題究竟是什么和公司將如何解決。一些公共企業(yè)已經(jīng)設立了網(wǎng)絡風險委員會。在日常運行中，風險管理需要公司多個管理團隊的共同投入，比如法律、技術(shù)、人力資源、財務會計、工資和銷售部門。同樣需要樹立企業(yè)文化，讓每一個員工理解數(shù)據(jù)安全的重要性和每個人在其中所扮演的重要角色。

為了補充其數(shù)據(jù)安全內(nèi)部的復雜性，這一問題由當?shù)?、州和?lián)邦法規(guī)共同規(guī)制。例如，美國47個州、哥倫比亞區(qū)、關(guān)島、

波多黎各和維爾京群島都要求，如果信息安全漏洞涉及個人信息，企業(yè)應當通知個人。此外，一些州還特別加強了企業(yè)保護消費者個人信息安全的義務。在很多情況下，這些義務可能要求的水平較高、較原則性（換言之，保持合理的安全流程來保護數(shù)據(jù)），但是有些州強制實行了細化的安全標準，包括例如馬薩諸塞州的數(shù)據(jù)安全法規(guī)。

另外，根據(jù)企業(yè)所在的行業(yè)，也可能受到聯(lián)邦法規(guī)的規(guī)制。比如，1999年的金融現(xiàn)代化法案、健康保險流通與責任法案、薩班斯——奧克斯利法案、公平信用報告法、全球和全國商業(yè)電子簽字法案、聯(lián)邦信息安全管理法案或2002年國土安全法案。隨著這些法案的頒布，不同的聯(lián)邦機構(gòu)對企業(yè)如何掌控數(shù)據(jù)也開始進行監(jiān)管和投入，如聯(lián)邦貿(mào)易委員會，美國衛(wèi)生公共服務部和美國貨幣監(jiān)理署。

遵守所有可適用的法律是個艱巨而混亂的任務。但是，忽視數(shù)據(jù)安全所帶來的深遠影響，將遠遠超過丟失關(guān)鍵數(shù)據(jù)這一事件本身。它可能引起包括聯(lián)邦和州的處罰、民事訴訟甚至讓企業(yè)聲譽受損。企業(yè)法務團隊在安全防范中起著至關(guān)重要的作用。例如，法務部門可以從法律法規(guī)中提煉出該企業(yè)需要遵守的框架條款。而且，如果企業(yè)沒有單獨的風險或合規(guī)部門，那么法律部門將承擔起評估企業(yè)防范措施的職責。

企業(yè)網(wǎng)絡信息安全威脅的考量框架

在評估企業(yè)面臨網(wǎng)絡安全威脅的安全等級時，第一步是要弄清楚公司需要保護的究竟是什么。企業(yè)不可能做到保護所有數(shù)據(jù)和每一個網(wǎng)絡連接點，因此，優(yōu)先級的選擇就成為了關(guān)鍵。哪些數(shù)據(jù)和系統(tǒng)是至關(guān)重要的？企業(yè)使用的是什么服務器或者其他關(guān)鍵網(wǎng)絡系統(tǒng)？系統(tǒng)是如何劃分的？如何控制互聯(lián)網(wǎng)訪問企業(yè)系統(tǒng)？哪些數(shù)據(jù)是依照合約或法律規(guī)定需要企業(yè)來保護的？企業(yè)還想要保護其他哪些數(shù)據(jù)？企業(yè)是否擁有員工或消費者相關(guān)個人信息？企業(yè)持有什么樣的健康信息？有沒有戰(zhàn)略或競爭信息？有沒有市場敏感信息？擁有怎樣的專利或商業(yè)秘密信息？還有什么樣的客戶信息？

如果要完成以上評估，則要求企業(yè)中所有相關(guān)數(shù)據(jù)和系統(tǒng)的利益相關(guān)人都參與其中。而具體需要哪些參與人則取決于企業(yè)究竟是做什么的。實際上，企業(yè)中每一個部門及業(yè)務線都可能做出有意義的貢獻。至少，這一評估將會涉及ⅠT、設備、審計、人力資源以及財會部門，還需要銷售部門或者其他直接與客戶、消費者接觸的團隊加入評估。

緊接著，企業(yè)需要找出漏洞的存在，而這是一個復雜且多層次的問題。需要提出例如以下問題：誰在處理或者有權(quán)訪問需要保護的數(shù)據(jù)或系統(tǒng)？數(shù)據(jù)是如何進入企業(yè)的？數(shù)據(jù)儲存在何處？企業(yè)內(nèi)如何處理數(shù)據(jù)？關(guān)鍵系統(tǒng)保存在哪里？已經(jīng)部署了哪些安全措施來保護系統(tǒng)？相關(guān)問題包括了企業(yè)如何處理訪問這些數(shù)據(jù)和系統(tǒng)的入口，除了內(nèi)部訪問之外，還包括如供應商之類的第三方所進行的外部訪問。另一處理這方面問題的方法是考量可能存在的威脅有哪些。潛在的威脅包括黑客入侵系統(tǒng)、內(nèi)外部各方所造成的數(shù)據(jù)損毀或丟失、如拒絕服務或者分散的拒絕服務攻擊之類的外部破壞、或者有意無意造成的數(shù)據(jù)披露。

企業(yè)同時還需要考慮誰來監(jiān)督這些數(shù)據(jù)監(jiān)管人。如何運行系統(tǒng)、控制和流程，以確保負責日常監(jiān)督的各方各司其職？這時，技術(shù)和企業(yè)流程便扮演了重要角色。另一個方面是董事會對這些系統(tǒng)、控制和流程的認知以及投入。隨著網(wǎng)絡威脅問題越來越突出，董事會至少需要知道誰是網(wǎng)絡問題的責任人、問題將會是什么以及為了解決問題企業(yè)需要做什么。除此之外，董事會在網(wǎng)絡安全中所起到的具體作用取決于公司規(guī)模和需求。一些公共公司設有網(wǎng)絡安全委員會，其他企業(yè)中這項功能可能由審計委員會承擔。而在小型企業(yè)中，整個董事會都有可能會涉及其中。在2014年6月10日舉行的“網(wǎng)絡風險與董事會”研討會中，美國證券交易委員會委員路易斯·阿奎拉爾提到了董事會可以考慮采用的措施，這對于私人和公共企業(yè)都是有效的指導。這些措施包括了審核年度ⅠT預算中，有關(guān)網(wǎng)絡風險和對董事的網(wǎng)絡風險教育的部分。

如你所見，這并非是一項個人可以完成的任務。評估和管理這些問題都需要企業(yè)內(nèi)關(guān)鍵利益相關(guān)者之間的準備和配合。法律部門在這個過程中的作用十分重要，擔負將法律規(guī)定、限制責任以及制定解決措施三者關(guān)聯(lián)起來的使命。

NIST框架：全國性解決方案的另一種選擇

在如今飛速發(fā)展的環(huán)境中，網(wǎng)絡威脅正變得越來越頻繁、復雜和嚴重，有效的網(wǎng)絡風險管理政策和流程也越發(fā)重要。如同其他風險管理政策和流程一樣，這些網(wǎng)絡安全風險解決方案必須依據(jù)公司業(yè)務、風險承受能力和資源情況來量身打造。但同時，企業(yè)也應當將自己的網(wǎng)絡風險管理政策與流程，與已有的概念框架、行業(yè)標準和成功實踐進行對比。

作為對奧巴馬總統(tǒng)簽署的行政命令的回應，美國國家標準與技術(shù)研究所(以下簡稱“NⅠST”)在2014年初制定了一個概念性的框架條款，而其作為一個關(guān)注企業(yè)應對網(wǎng)絡攻擊的標準已經(jīng)受到很大關(guān)注。NⅠST框架包括了可以用來識別、評估和管理風險相互關(guān)聯(lián)的三部分：框架核心、執(zhí)行分級和框架細則。

框架核心包括了同時且持續(xù)存在的五個功能，它們創(chuàng)造了一種強調(diào)動態(tài)性網(wǎng)絡安全風險的文化：

表一：

■認定——理解企業(yè)所處商業(yè)環(huán)境和支持關(guān)鍵功能的資源，以及相關(guān)的網(wǎng)絡安全風險，進行優(yōu)先考慮并關(guān)注。

■保護——制定和執(zhí)行用以限制和遏制潛在網(wǎng)絡事故影響的保障措施。

■檢測——制定和執(zhí)行用以及時檢測網(wǎng)絡事故的行動。

■響應——制定和執(zhí)行用以遏制潛在網(wǎng)絡事故影響的行動。

■恢復——制定和執(zhí)行支持日常運行中及時恢復的行動，以降低網(wǎng)絡事故影響。

框架中的執(zhí)行等級分級，向企業(yè)提供了一個可以查看其風險管理方法及特點的途徑。執(zhí)行等級分為從“局部執(zhí)行”（一級）到“自我調(diào)適”（四級），分級按照網(wǎng)絡安全風險管理的嚴謹度和復雜度等級逐層遞增。企業(yè)基于當前的網(wǎng)絡安全風險管理實踐來選擇一個等級。然而，處于一級的企業(yè)將會被激勵向二級或者更高級別進步。表一總結(jié)了每個級別的風險管理流程、項目和外部參與情況。

NⅠST框架的最后一部分是框架細則。細則設計是為了滿足企業(yè)獨特的需求。它應當與企業(yè)發(fā)展目標相一致，反映出風險管理的重點，并且要在參考法律法規(guī)要求和行業(yè)最佳實踐的情況下制定出來。一個已有細則體現(xiàn)出了企業(yè)在五個核心功能（認定、保護、檢測、響應和恢復）中所取得的成就。一個目標細則要體現(xiàn)出達成企業(yè)目標所需要的成果。而利用已有和目標細則之間的差距來制訂企業(yè)優(yōu)先行動計劃，可以不斷提高企業(yè)網(wǎng)絡風險管理政策和項目水平。

企業(yè)應當認真對待NⅠST框架中的自我評估和持續(xù)改進的概念。同時，在進行評估和提出改進建議時，也要考慮維護律師和客戶間信息保密的特權(quán)。

美國證券交易委員會關(guān)于公共企業(yè)網(wǎng)絡安全風險披露的指南

對公共企業(yè)來說，確定哪些有關(guān)網(wǎng)絡安全風險和事故的信息應該向投資人披露，是一個復雜又具有挑戰(zhàn)的工作。這項工作的重點在于在向投資人提供及時、復雜而且準確信息的同時，又要確保那些企圖利用企業(yè)漏洞的人不會從披露的信息中尋找到可乘之機。而潛在的訴訟或者監(jiān)管行動都添加了這項工作的復雜度。企業(yè)可能會避免披露那些原本不會為公眾所知的網(wǎng)絡安全事故，因為這可能引發(fā)訴訟或者監(jiān)管行動（例如，消費者集體訴訟）。而與此同時，企業(yè)也有著披露網(wǎng)絡安全相關(guān)信息的動力，因為這可以幫助它們避開美國證交會企業(yè)金融部門、執(zhí)行部門的關(guān)注，還有股東派生訴訟。

在過去的幾年中，美國證交會越來越多地關(guān)注企業(yè)向投資人披露網(wǎng)絡安全相關(guān)信息材料的義務。美國證交會的規(guī)章和會計標準中所提出的信息披露義務，雖然不是專門針對網(wǎng)絡安全問題，但是對商業(yè)風險和風險后果的披露都提出了明確要求。美國證交會企業(yè)金融部在2011年10月13日所簽發(fā)的《企業(yè)金融部信息披露指南：網(wǎng)絡安全》（以下簡稱“指南”）中，對信息披露義務提出了自己的觀點。指南強調(diào)了兩個重要問題：一是，何時網(wǎng)絡安全風險或網(wǎng)絡安全事故上達到了披露義務警戒線；二是，哪些與網(wǎng)絡安全相關(guān)的信息需要進行披露。

指南對何時、何種網(wǎng)絡安全風險和事故需要進行披露提出了具體要求，包括六個特定方面：風險因素、管理層陳述與分析、商業(yè)描述、財務報表披露、披露控制與流程以及法律訴訟（參見表二）。在認可聯(lián)邦證券法所規(guī)定的“不要求可能增加網(wǎng)絡安全風險的信息披露”的情況下，企業(yè)金融部表明企業(yè)應當提供針對其特定情況的信息，而并非僅僅描述適用于所有公司的風險，或者提供格式化的信息披露。企業(yè)也應對網(wǎng)絡安全相關(guān)信息披露是否充足進行持續(xù)不斷地檢查審視。

重要的時效性和預備響應方案

“網(wǎng)絡攻擊與企業(yè)所面臨的其他危機之間的首要區(qū)別就是速度，這就要求企業(yè)必須快速響應以遏制迅速蔓延的破壞。企業(yè)就算不在幾分鐘內(nèi)對一次網(wǎng)絡事件做出響應，也需要在幾小時內(nèi)做好應對準備，包括檢測、分析網(wǎng)絡安全事件，防止產(chǎn)生進一步的破壞并準備好事件響應方案?！睂τ谑欠衽妒录⑵髽I(yè)如何披露何種破壞和如何解決這一問題，都部分取決于企業(yè)所在行業(yè)、網(wǎng)絡安全事故如何發(fā)生以及怎樣的數(shù)據(jù)受到了威脅。根據(jù)網(wǎng)絡攻擊的性質(zhì)，及時響應和響應時間由法規(guī)甚至是合同義務來決定。倘若沒有披露數(shù)據(jù)丟失可能讓企業(yè)受到州甚至是聯(lián)邦政府的監(jiān)管調(diào)查。

表二：

能夠及時做出響應的關(guān)鍵，就是要有一套解決問題的事件響應、危機管理、災難恢復或者業(yè)務連續(xù)性方案。至少，該方案應該包括風險識別和風險分級。不同的事故情況要求何種內(nèi)部響應和升級機制？企業(yè)可能會經(jīng)歷許多不同類型的事故，其中許多類型只需要企業(yè)進行技術(shù)響應機制。而一些事故將需要ⅠT部門以外的配合，如法務部門和高管。一個良好的響應方案會列出在何時和何種事故類型的情況下需要啟動此類升級機制。響應方案也應該包括對企業(yè)如何回復潛在的媒體采訪要求做出指導。例如，當媒體需要企業(yè)做出回復時，誰應當參與起草回復及誰應該做出回復？最后，你也需要考慮響應方案中包含的關(guān)鍵內(nèi)部聯(lián)系信息以及外部聯(lián)系信息，例如企業(yè)需要何人來進行取證分析？企業(yè)的網(wǎng)絡安全保險公司是誰？處理這些事故的企業(yè)外部法律顧問是誰？以及企業(yè)的公關(guān)公司是哪家？在危急關(guān)頭，你不會想要再去從頭研究這些問題。

（本文英文版權(quán)屬于全球企業(yè)法律顧問協(xié)會）