◎ 文 費南達(dá)·施密德 羅伯特·B·哈貝爾 內(nèi)森·D·泰勒 丹尼爾·A·內(nèi)森 翻譯 王映

美國企業(yè)法務(wù)如何防范網(wǎng)絡(luò)風(fēng)險

◎ 文 費南達(dá)·施密德 羅伯特·B·哈貝爾 內(nèi)森·D·泰勒 丹尼爾·A·內(nèi)森 翻譯 王映

企業(yè)雖然無法完全根除網(wǎng)絡(luò)威脅，但是它可以設(shè)法控制這些威脅，并且制訂一個事故響應(yīng)計劃。這一過程要求公司跨部門的團(tuán)隊合作，其中包括了內(nèi)部律師作為重要角色的積極參與

網(wǎng)絡(luò)威脅永遠(yuǎn)存在。美國國家安全局總監(jiān)辦公室認(rèn)定網(wǎng)絡(luò)威脅已經(jīng)超越了恐怖主義，成為了2014年最大的威脅。在過去的十二年間，新的數(shù)字威脅數(shù)量已經(jīng)增長了一萬倍。但是如果你認(rèn)為網(wǎng)絡(luò)數(shù)據(jù)安全僅僅是個和世界500強企業(yè)有關(guān)的問題，那你就錯了。任何有保密信息以及員工、消費者和客戶數(shù)據(jù)的企業(yè)都要考慮網(wǎng)絡(luò)安全。

企業(yè)雖然無法完全根除網(wǎng)絡(luò)威脅，但是它可以設(shè)法控制這些威脅，并且制訂一個事故響應(yīng)計劃。這一過程要求公司跨部門的團(tuán)隊合作，這其中包括了內(nèi)部律師作為重要角色的積極參與。近期，行業(yè)團(tuán)體和監(jiān)管部門所制定的指導(dǎo)，已經(jīng)回答了企業(yè)內(nèi)部律師提出的兩個關(guān)鍵問題：面對數(shù)據(jù)泄露，我的公司應(yīng)該如何應(yīng)對？我又能做出怎樣的幫助？

費南達(dá)·施密德，科納斯通研究公司總法律顧問。

羅伯特·B·哈貝爾，美富律師事務(wù)所證券訴訟、執(zhí)行和白領(lǐng)辯護(hù)組合伙人。

內(nèi)森·D·泰勒，美富律師事務(wù)所金融服務(wù)組合伙人。

丹尼爾·A·內(nèi)森，美富律師事務(wù)所證券訴訟、執(zhí)行和白領(lǐng)辯護(hù)組合伙人。

現(xiàn)有挑戰(zhàn)：永存的威脅與缺位的監(jiān)管

對網(wǎng)絡(luò)威脅來說，簡單、單一的解決方法并不存在。每一個企業(yè)都必須根據(jù)自身組織結(jié)構(gòu)、系統(tǒng)和數(shù)據(jù)情況，來決定需要保護(hù)的內(nèi)容和最佳保護(hù)方式。數(shù)據(jù)安全威脅不僅存在于企業(yè)層面，也同樣存在于其他信息入口，比如銷售點登記簿、員工手機、社交媒體、私人電子郵件賬號、無線打印機以及任何與互聯(lián)網(wǎng)相關(guān)聯(lián)的東西。此外，企業(yè)在識別漏洞時，不能僅關(guān)注自身信息系統(tǒng)，更要考慮重要第三方，包括供應(yīng)商的系統(tǒng)。除了黑客之外，威脅還來自于員工、獨立承包商和第三方供應(yīng)商。

對于這些風(fēng)險的管理涉及公司多個層面。這要求董事會層面明確認(rèn)識到網(wǎng)絡(luò)信息安全問題究竟是什么和公司將如何解決。一些公共企業(yè)已經(jīng)設(shè)立了網(wǎng)絡(luò)風(fēng)險委員會。在日常運行中，風(fēng)險管理需要公司多個管理團(tuán)隊的共同投入，比如法律、技術(shù)、人力資源、財務(wù)會計、工資和銷售部門。同樣需要樹立企業(yè)文化，讓每一個員工理解數(shù)據(jù)安全的重要性和每個人在其中所扮演的重要角色。

為了補充其數(shù)據(jù)安全內(nèi)部的復(fù)雜性，這一問題由當(dāng)?shù)亍⒅莺吐?lián)邦法規(guī)共同規(guī)制。例如，美國47個州、哥倫比亞區(qū)、關(guān)島、

波多黎各和維爾京群島都要求，如果信息安全漏洞涉及個人信息，企業(yè)應(yīng)當(dāng)通知個人。此外，一些州還特別加強了企業(yè)保護(hù)消費者個人信息安全的義務(wù)。在很多情況下，這些義務(wù)可能要求的水平較高、較原則性（換言之，保持合理的安全流程來保護(hù)數(shù)據(jù)），但是有些州強制實行了細(xì)化的安全標(biāo)準(zhǔn)，包括例如馬薩諸塞州的數(shù)據(jù)安全法規(guī)。

另外，根據(jù)企業(yè)所在的行業(yè)，也可能受到聯(lián)邦法規(guī)的規(guī)制。比如，1999年的金融現(xiàn)代化法案、健康保險流通與責(zé)任法案、薩班斯——奧克斯利法案、公平信用報告法、全球和全國商業(yè)電子簽字法案、聯(lián)邦信息安全管理法案或2002年國土安全法案。隨著這些法案的頒布，不同的聯(lián)邦機構(gòu)對企業(yè)如何掌控數(shù)據(jù)也開始進(jìn)行監(jiān)管和投入，如聯(lián)邦貿(mào)易委員會，美國衛(wèi)生公共服務(wù)部和美國貨幣監(jiān)理署。

遵守所有可適用的法律是個艱巨而混亂的任務(wù)。但是，忽視數(shù)據(jù)安全所帶來的深遠(yuǎn)影響，將遠(yuǎn)遠(yuǎn)超過丟失關(guān)鍵數(shù)據(jù)這一事件本身。它可能引起包括聯(lián)邦和州的處罰、民事訴訟甚至讓企業(yè)聲譽受損。企業(yè)法務(wù)團(tuán)隊在安全防范中起著至關(guān)重要的作用。例如，法務(wù)部門可以從法律法規(guī)中提煉出該企業(yè)需要遵守的框架條款。而且，如果企業(yè)沒有單獨的風(fēng)險或合規(guī)部門，那么法律部門將承擔(dān)起評估企業(yè)防范措施的職責(zé)。

企業(yè)網(wǎng)絡(luò)信息安全威脅的考量框架

在評估企業(yè)面臨網(wǎng)絡(luò)安全威脅的安全等級時，第一步是要弄清楚公司需要保護(hù)的究竟是什么。企業(yè)不可能做到保護(hù)所有數(shù)據(jù)和每一個網(wǎng)絡(luò)連接點，因此，優(yōu)先級的選擇就成為了關(guān)鍵。哪些數(shù)據(jù)和系統(tǒng)是至關(guān)重要的？企業(yè)使用的是什么服務(wù)器或者其他關(guān)鍵網(wǎng)絡(luò)系統(tǒng)？系統(tǒng)是如何劃分的？如何控制互聯(lián)網(wǎng)訪問企業(yè)系統(tǒng)？哪些數(shù)據(jù)是依照合約或法律規(guī)定需要企業(yè)來保護(hù)的？企業(yè)還想要保護(hù)其他哪些數(shù)據(jù)？企業(yè)是否擁有員工或消費者相關(guān)個人信息？企業(yè)持有什么樣的健康信息？有沒有戰(zhàn)略或競爭信息？有沒有市場敏感信息？擁有怎樣的專利或商業(yè)秘密信息？還有什么樣的客戶信息？

如果要完成以上評估，則要求企業(yè)中所有相關(guān)數(shù)據(jù)和系統(tǒng)的利益相關(guān)人都參與其中。而具體需要哪些參與人則取決于企業(yè)究竟是做什么的。實際上，企業(yè)中每一個部門及業(yè)務(wù)線都可能做出有意義的貢獻(xiàn)。至少，這一評估將會涉及ⅠT、設(shè)備、審計、人力資源以及財會部門，還需要銷售部門或者其他直接與客戶、消費者接觸的團(tuán)隊加入評估。

緊接著，企業(yè)需要找出漏洞的存在，而這是一個復(fù)雜且多層次的問題。需要提出例如以下問題：誰在處理或者有權(quán)訪問需要保護(hù)的數(shù)據(jù)或系統(tǒng)？數(shù)據(jù)是如何進(jìn)入企業(yè)的？數(shù)據(jù)儲存在何處？企業(yè)內(nèi)如何處理數(shù)據(jù)？關(guān)鍵系統(tǒng)保存在哪里？已經(jīng)部署了哪些安全措施來保護(hù)系統(tǒng)？相關(guān)問題包括了企業(yè)如何處理訪問這些數(shù)據(jù)和系統(tǒng)的入口，除了內(nèi)部訪問之外，還包括如供應(yīng)商之類的第三方所進(jìn)行的外部訪問。另一處理這方面問題的方法是考量可能存在的威脅有哪些。潛在的威脅包括黑客入侵系統(tǒng)、內(nèi)外部各方所造成的數(shù)據(jù)損毀或丟失、如拒絕服務(wù)或者分散的拒絕服務(wù)攻擊之類的外部破壞、或者有意無意造成的數(shù)據(jù)披露。

企業(yè)同時還需要考慮誰來監(jiān)督這些數(shù)據(jù)監(jiān)管人。如何運行系統(tǒng)、控制和流程，以確保負(fù)責(zé)日常監(jiān)督的各方各司其職？這時，技術(shù)和企業(yè)流程便扮演了重要角色。另一個方面是董事會對這些系統(tǒng)、控制和流程的認(rèn)知以及投入。隨著網(wǎng)絡(luò)威脅問題越來越突出，董事會至少需要知道誰是網(wǎng)絡(luò)問題的責(zé)任人、問題將會是什么以及為了解決問題企業(yè)需要做什么。除此之外，董事會在網(wǎng)絡(luò)安全中所起到的具體作用取決于公司規(guī)模和需求。一些公共公司設(shè)有網(wǎng)絡(luò)安全委員會，其他企業(yè)中這項功能可能由審計委員會承擔(dān)。而在小型企業(yè)中，整個董事會都有可能會涉及其中。在2014年6月10日舉行的“網(wǎng)絡(luò)風(fēng)險與董事會”研討會中，美國證券交易委員會委員路易斯·阿奎拉爾提到了董事會可以考慮采用的措施，這對于私人和公共企業(yè)都是有效的指導(dǎo)。這些措施包括了審核年度ⅠT預(yù)算中，有關(guān)網(wǎng)絡(luò)風(fēng)險和對董事的網(wǎng)絡(luò)風(fēng)險教育的部分。

如你所見，這并非是一項個人可以完成的任務(wù)。評估和管理這些問題都需要企業(yè)內(nèi)關(guān)鍵利益相關(guān)者之間的準(zhǔn)備和配合。法律部門在這個過程中的作用十分重要，擔(dān)負(fù)將法律規(guī)定、限制責(zé)任以及制定解決措施三者關(guān)聯(lián)起來的使命。

NIST框架：全國性解決方案的另一種選擇

在如今飛速發(fā)展的環(huán)境中，網(wǎng)絡(luò)威脅正變得越來越頻繁、復(fù)雜和嚴(yán)重，有效的網(wǎng)絡(luò)風(fēng)險管理政策和流程也越發(fā)重要。如同其他風(fēng)險管理政策和流程一樣，這些網(wǎng)絡(luò)安全風(fēng)險解決方案必須依據(jù)公司業(yè)務(wù)、風(fēng)險承受能力和資源情況來量身打造。但同時，企業(yè)也應(yīng)當(dāng)將自己的網(wǎng)絡(luò)風(fēng)險管理政策與流程，與已有的概念框架、行業(yè)標(biāo)準(zhǔn)和成功實踐進(jìn)行對比。

作為對奧巴馬總統(tǒng)簽署的行政命令的回應(yīng)，美國國家標(biāo)準(zhǔn)與技術(shù)研究所(以下簡稱“NⅠST”)在2014年初制定了一個概念性的框架條款，而其作為一個關(guān)注企業(yè)應(yīng)對網(wǎng)絡(luò)攻擊的標(biāo)準(zhǔn)已經(jīng)受到很大關(guān)注。NⅠST框架包括了可以用來識別、評估和管理風(fēng)險相互關(guān)聯(lián)的三部分：框架核心、執(zhí)行分級和框架細(xì)則。

框架核心包括了同時且持續(xù)存在的五個功能，它們創(chuàng)造了一種強調(diào)動態(tài)性網(wǎng)絡(luò)安全風(fēng)險的文化：

表一：

■認(rèn)定——理解企業(yè)所處商業(yè)環(huán)境和支持關(guān)鍵功能的資源，以及相關(guān)的網(wǎng)絡(luò)安全風(fēng)險，進(jìn)行優(yōu)先考慮并關(guān)注。

■保護(hù)——制定和執(zhí)行用以限制和遏制潛在網(wǎng)絡(luò)事故影響的保障措施。

■檢測——制定和執(zhí)行用以及時檢測網(wǎng)絡(luò)事故的行動。

■響應(yīng)——制定和執(zhí)行用以遏制潛在網(wǎng)絡(luò)事故影響的行動。

■恢復(fù)——制定和執(zhí)行支持日常運行中及時恢復(fù)的行動，以降低網(wǎng)絡(luò)事故影響。

框架中的執(zhí)行等級分級，向企業(yè)提供了一個可以查看其風(fēng)險管理方法及特點的途徑。執(zhí)行等級分為從“局部執(zhí)行”（一級）到“自我調(diào)適”（四級），分級按照網(wǎng)絡(luò)安全風(fēng)險管理的嚴(yán)謹(jǐn)度和復(fù)雜度等級逐層遞增。企業(yè)基于當(dāng)前的網(wǎng)絡(luò)安全風(fēng)險管理實踐來選擇一個等級。然而，處于一級的企業(yè)將會被激勵向二級或者更高級別進(jìn)步。表一總結(jié)了每個級別的風(fēng)險管理流程、項目和外部參與情況。

NⅠST框架的最后一部分是框架細(xì)則。細(xì)則設(shè)計是為了滿足企業(yè)獨特的需求。它應(yīng)當(dāng)與企業(yè)發(fā)展目標(biāo)相一致，反映出風(fēng)險管理的重點，并且要在參考法律法規(guī)要求和行業(yè)最佳實踐的情況下制定出來。一個已有細(xì)則體現(xiàn)出了企業(yè)在五個核心功能（認(rèn)定、保護(hù)、檢測、響應(yīng)和恢復(fù)）中所取得的成就。一個目標(biāo)細(xì)則要體現(xiàn)出達(dá)成企業(yè)目標(biāo)所需要的成果。而利用已有和目標(biāo)細(xì)則之間的差距來制訂企業(yè)優(yōu)先行動計劃，可以不斷提高企業(yè)網(wǎng)絡(luò)風(fēng)險管理政策和項目水平。

企業(yè)應(yīng)當(dāng)認(rèn)真對待NⅠST框架中的自我評估和持續(xù)改進(jìn)的概念。同時，在進(jìn)行評估和提出改進(jìn)建議時，也要考慮維護(hù)律師和客戶間信息保密的特權(quán)。

美國證券交易委員會關(guān)于公共企業(yè)網(wǎng)絡(luò)安全風(fēng)險披露的指南

對公共企業(yè)來說，確定哪些有關(guān)網(wǎng)絡(luò)安全風(fēng)險和事故的信息應(yīng)該向投資人披露，是一個復(fù)雜又具有挑戰(zhàn)的工作。這項工作的重點在于在向投資人提供及時、復(fù)雜而且準(zhǔn)確信息的同時，又要確保那些企圖利用企業(yè)漏洞的人不會從披露的信息中尋找到可乘之機。而潛在的訴訟或者監(jiān)管行動都添加了這項工作的復(fù)雜度。企業(yè)可能會避免披露那些原本不會為公眾所知的網(wǎng)絡(luò)安全事故，因為這可能引發(fā)訴訟或者監(jiān)管行動（例如，消費者集體訴訟）。而與此同時，企業(yè)也有著披露網(wǎng)絡(luò)安全相關(guān)信息的動力，因為這可以幫助它們避開美國證交會企業(yè)金融部門、執(zhí)行部門的關(guān)注，還有股東派生訴訟。

在過去的幾年中，美國證交會越來越多地關(guān)注企業(yè)向投資人披露網(wǎng)絡(luò)安全相關(guān)信息材料的義務(wù)。美國證交會的規(guī)章和會計標(biāo)準(zhǔn)中所提出的信息披露義務(wù)，雖然不是專門針對網(wǎng)絡(luò)安全問題，但是對商業(yè)風(fēng)險和風(fēng)險后果的披露都提出了明確要求。美國證交會企業(yè)金融部在2011年10月13日所簽發(fā)的《企業(yè)金融部信息披露指南：網(wǎng)絡(luò)安全》（以下簡稱“指南”）中，對信息披露義務(wù)提出了自己的觀點。指南強調(diào)了兩個重要問題：一是，何時網(wǎng)絡(luò)安全風(fēng)險或網(wǎng)絡(luò)安全事故上達(dá)到了披露義務(wù)警戒線；二是，哪些與網(wǎng)絡(luò)安全相關(guān)的信息需要進(jìn)行披露。

指南對何時、何種網(wǎng)絡(luò)安全風(fēng)險和事故需要進(jìn)行披露提出了具體要求，包括六個特定方面：風(fēng)險因素、管理層陳述與分析、商業(yè)描述、財務(wù)報表披露、披露控制與流程以及法律訴訟（參見表二）。在認(rèn)可聯(lián)邦證券法所規(guī)定的“不要求可能增加網(wǎng)絡(luò)安全風(fēng)險的信息披露”的情況下，企業(yè)金融部表明企業(yè)應(yīng)當(dāng)提供針對其特定情況的信息，而并非僅僅描述適用于所有公司的風(fēng)險，或者提供格式化的信息披露。企業(yè)也應(yīng)對網(wǎng)絡(luò)安全相關(guān)信息披露是否充足進(jìn)行持續(xù)不斷地檢查審視。

重要的時效性和預(yù)備響應(yīng)方案

“網(wǎng)絡(luò)攻擊與企業(yè)所面臨的其他危機之間的首要區(qū)別就是速度，這就要求企業(yè)必須快速響應(yīng)以遏制迅速蔓延的破壞。企業(yè)就算不在幾分鐘內(nèi)對一次網(wǎng)絡(luò)事件做出響應(yīng)，也需要在幾小時內(nèi)做好應(yīng)對準(zhǔn)備，包括檢測、分析網(wǎng)絡(luò)安全事件，防止產(chǎn)生進(jìn)一步的破壞并準(zhǔn)備好事件響應(yīng)方案。”對于是否披露事件、企業(yè)如何披露何種破壞和如何解決這一問題，都部分取決于企業(yè)所在行業(yè)、網(wǎng)絡(luò)安全事故如何發(fā)生以及怎樣的數(shù)據(jù)受到了威脅。根據(jù)網(wǎng)絡(luò)攻擊的性質(zhì)，及時響應(yīng)和響應(yīng)時間由法規(guī)甚至是合同義務(wù)來決定。倘若沒有披露數(shù)據(jù)丟失可能讓企業(yè)受到州甚至是聯(lián)邦政府的監(jiān)管調(diào)查。

表二：

能夠及時做出響應(yīng)的關(guān)鍵，就是要有一套解決問題的事件響應(yīng)、危機管理、災(zāi)難恢復(fù)或者業(yè)務(wù)連續(xù)性方案。至少，該方案應(yīng)該包括風(fēng)險識別和風(fēng)險分級。不同的事故情況要求何種內(nèi)部響應(yīng)和升級機制？企業(yè)可能會經(jīng)歷許多不同類型的事故，其中許多類型只需要企業(yè)進(jìn)行技術(shù)響應(yīng)機制。而一些事故將需要ⅠT部門以外的配合，如法務(wù)部門和高管。一個良好的響應(yīng)方案會列出在何時和何種事故類型的情況下需要啟動此類升級機制。響應(yīng)方案也應(yīng)該包括對企業(yè)如何回復(fù)潛在的媒體采訪要求做出指導(dǎo)。例如，當(dāng)媒體需要企業(yè)做出回復(fù)時，誰應(yīng)當(dāng)參與起草回復(fù)及誰應(yīng)該做出回復(fù)？最后，你也需要考慮響應(yīng)方案中包含的關(guān)鍵內(nèi)部聯(lián)系信息以及外部聯(lián)系信息，例如企業(yè)需要何人來進(jìn)行取證分析？企業(yè)的網(wǎng)絡(luò)安全保險公司是誰？處理這些事故的企業(yè)外部法律顧問是誰？以及企業(yè)的公關(guān)公司是哪家？在危急關(guān)頭，你不會想要再去從頭研究這些問題。

（本文英文版權(quán)屬于全球企業(yè)法律顧問協(xié)會）