文 《法人》記者 呂斌

中國(guó)企業(yè)如何應(yīng)對(duì)網(wǎng)絡(luò)安全

文 《法人》記者 呂斌

針對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防范，企業(yè)最需要做的遠(yuǎn)遠(yuǎn)不是找出問(wèn)題，而是找出問(wèn)題和規(guī)律之后，如何杜絕與防范

不久前，中國(guó)全國(guó)人大常委會(huì)表決通過(guò)了《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱(chēng)《網(wǎng)絡(luò)安全法》），該法將于2017年6月1日開(kāi)始實(shí)施。這意味著，中國(guó)有了專(zhuān)門(mén)的規(guī)范網(wǎng)絡(luò)安全的法律，也將給中國(guó)企業(yè)以及部分有中國(guó)業(yè)務(wù)的跨國(guó)企業(yè)帶來(lái)相當(dāng)影響。

在企業(yè)的經(jīng)營(yíng)管理中，合規(guī)與風(fēng)險(xiǎn)預(yù)防始終是重中之重，來(lái)自?xún)?nèi)外部的威脅，曾使得很多企業(yè)代價(jià)慘重。垃圾郵件、病毒、間諜軟件以及員工不恰當(dāng)行為，往往令企業(yè)處于商業(yè)機(jī)密被竊取、舞弊指責(zé)、政策監(jiān)管的風(fēng)險(xiǎn)之中。

如何應(yīng)對(duì)網(wǎng)絡(luò)安全的威脅，是企業(yè)經(jīng)營(yíng)管理中的重大課題，同時(shí)亦是健康商業(yè)環(huán)境的應(yīng)有之義。

新法之下的網(wǎng)絡(luò)安全應(yīng)對(duì)

在本次《網(wǎng)絡(luò)安全法》頒布之前，中國(guó)已有多部法律法規(guī)涉及網(wǎng)絡(luò)安全領(lǐng)域的監(jiān)管，如《人口健康信息管理辦法》《征信業(yè)管理?xiàng)l例》《中國(guó)人民銀行關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知》《保守國(guó)家秘密法》等。但專(zhuān)門(mén)就網(wǎng)絡(luò)安全問(wèn)題立法，在中國(guó)尚屬首次。

主要因?yàn)殡S著互聯(lián)網(wǎng)時(shí)代的發(fā)展，網(wǎng)絡(luò)信息的監(jiān)管成為重中之重，而個(gè)人和企業(yè)的信息，在網(wǎng)絡(luò)傳播速度和范圍，超出傳統(tǒng)的監(jiān)管意義。

在安永舞弊調(diào)查及糾紛協(xié)調(diào)部門(mén)合伙人陳熾看來(lái)，《網(wǎng)絡(luò)安全法》的出臺(tái)，旨在維護(hù)國(guó)家網(wǎng)絡(luò)主權(quán)、防范網(wǎng)絡(luò)攻擊、加強(qiáng)互聯(lián)網(wǎng)安全、規(guī)范個(gè)人數(shù)據(jù)使用等。其涉及的范圍很廣，包括互聯(lián)網(wǎng)網(wǎng)絡(luò)建設(shè)、運(yùn)營(yíng)、維護(hù)、使用以及安全的監(jiān)管。

“受影響比較大的首先是國(guó)內(nèi)外的網(wǎng)絡(luò)運(yùn)營(yíng)商，以及網(wǎng)絡(luò)產(chǎn)品和服務(wù)的供應(yīng)商，如電信、TI等行業(yè)?！标悷朐诮邮堋斗ㄈ恕酚浾卟稍L(fǎng)時(shí)強(qiáng)調(diào)，根據(jù)《網(wǎng)絡(luò)安全法》的規(guī)定，要加強(qiáng)對(duì)個(gè)人數(shù)據(jù)隱私以及商業(yè)秘密的保護(hù)，要求在中國(guó)境內(nèi)的企業(yè)運(yùn)營(yíng)中收集和產(chǎn)生的公民個(gè)人信息和重要的業(yè)務(wù)數(shù)據(jù)，應(yīng)在中國(guó)境內(nèi)存儲(chǔ)。

此外，受影響較大的行業(yè)還集中于金融服務(wù)、衛(wèi)生醫(yī)療、能源、運(yùn)輸及其他一些公共服務(wù)行業(yè)。

目前，距《網(wǎng)絡(luò)安全法》的正式實(shí)施還有將近半年的緩沖時(shí)間，一些行業(yè)中的企業(yè)已經(jīng)開(kāi)始積極調(diào)整業(yè)務(wù)模式，以應(yīng)對(duì)法律的規(guī)范。此外，一些企業(yè)尤其是在國(guó)內(nèi)運(yùn)營(yíng)業(yè)務(wù)的外資企業(yè)，亦對(duì)該法中的一些實(shí)施細(xì)則提出了質(zhì)疑。如一些美國(guó)企業(yè)認(rèn)為，《網(wǎng)絡(luò)安全法》中要求分享原代碼或者公布產(chǎn)品一些設(shè)計(jì)細(xì)節(jié)的內(nèi)容，可能會(huì)傷害技術(shù)革新，泄露企業(yè)的商業(yè)機(jī)密。

陳熾對(duì)此認(rèn)為，《網(wǎng)絡(luò)安全法》目前尚未實(shí)施，各方正處于學(xué)習(xí)、了解該法的過(guò)程。但立法的初衷是倡導(dǎo)建立一個(gè)統(tǒng)一的安全標(biāo)準(zhǔn)，目的是保護(hù)所有網(wǎng)絡(luò)用戶(hù)的安全。其不只是針對(duì)國(guó)外企業(yè)，所有相關(guān)的企業(yè)都會(huì)涉及。而且不僅中國(guó)有類(lèi)似的法律，國(guó)外很多地方早已有類(lèi)似的法律了。

“法律出來(lái)以后，大家需要逐步理解它的內(nèi)涵，摸索在應(yīng)用層面怎么操作才能讓公司合法地運(yùn)營(yíng)。半年之后再實(shí)施，恰恰給了大家一個(gè)學(xué)習(xí)和摸索的時(shí)間。這是一個(gè)正常而且也很良性的表現(xiàn)，在此過(guò)程中，與外部律師和專(zhuān)業(yè)服務(wù)機(jī)構(gòu)的溝通和了解，是一個(gè)必要的環(huán)節(jié)?！标悷敫嬖V《法人》記者。

攘外必先安內(nèi)

企業(yè)的安全風(fēng)險(xiǎn)，往往分為內(nèi)外兩方面。相比外部環(huán)境等風(fēng)險(xiǎn)，來(lái)自企業(yè)內(nèi)部的風(fēng)險(xiǎn)，往往更直接，危害也更嚴(yán)重。

陳熾表示，企業(yè)內(nèi)部風(fēng)險(xiǎn)在相當(dāng)程度上比外部風(fēng)險(xiǎn)對(duì)企業(yè)造成的危害更大。內(nèi)部威脅往往涉及的參與者可能對(duì)企業(yè)內(nèi)部的規(guī)章制度、內(nèi)控體系已經(jīng)比較清楚，更能夠鉆空子。此外，內(nèi)部威脅更容易涉及諸如商業(yè)機(jī)密的泄露、用戶(hù)個(gè)人信息的泄露以及貪污受賄等舞弊問(wèn)題。而且這些問(wèn)題往往發(fā)生于企業(yè)的重要部門(mén)，如銷(xiāo)售部門(mén)、采購(gòu)部門(mén)、質(zhì)檢部門(mén)等。

日前，京東一位員工因涉及職務(wù)犯罪的問(wèn)題而被調(diào)查，再次引發(fā)業(yè)內(nèi)對(duì)于互聯(lián)網(wǎng)企業(yè)內(nèi)部舞弊問(wèn)題的探討。實(shí)際上，國(guó)內(nèi)幾大互聯(lián)網(wǎng)巨頭如阿里巴巴、騰訊、百度等，均曾多次爆出員工貪腐等舞弊問(wèn)題。盡管相關(guān)企業(yè)也一直在做相關(guān)的工作，但問(wèn)題仍不斷出現(xiàn)。

互聯(lián)網(wǎng)法律專(zhuān)家趙占領(lǐng)在接受《法人》記者采訪(fǎng)時(shí)表示，互聯(lián)網(wǎng)企業(yè)內(nèi)部的反腐主要靠的是企業(yè)文化和管理制度。企業(yè)文化、價(jià)值觀更多屬于從道德層面預(yù)防腐敗，管理制度則是從自律機(jī)制角度預(yù)防和懲治腐敗。除此之外，還有外部的法律機(jī)制，三者共同構(gòu)建了預(yù)防與治理互聯(lián)網(wǎng)企業(yè)內(nèi)部腐敗的體系。

“現(xiàn)在處在大數(shù)據(jù)的時(shí)代，數(shù)字化、社交媒體等新興技術(shù)的發(fā)展，為不法之徒提供了更多的借助渠道。傳統(tǒng)的商業(yè)手段要不斷適應(yīng)這些新的威脅形勢(shì)，以及相應(yīng)的監(jiān)管要求?！标悷胝J(rèn)為，要應(yīng)對(duì)這些威脅，首先需要企業(yè)制定和完善相應(yīng)的規(guī)整制度，內(nèi)部流程的框架要建立起來(lái)，并有專(zhuān)業(yè)的部門(mén)去負(fù)責(zé)相關(guān)的工作。

建立流程和部門(mén)只是第一步，接下來(lái)企業(yè)還應(yīng)對(duì)員工進(jìn)行系統(tǒng)的培訓(xùn)，告訴他們哪些能做、哪些不能做、如何按照流程去做。在此基礎(chǔ)上，要嚴(yán)格執(zhí)行操作流程，并利用專(zhuān)業(yè)大數(shù)據(jù)技術(shù)對(duì)相關(guān)信息進(jìn)行分析、監(jiān)控。

“對(duì)一些企業(yè)內(nèi)部的財(cái)務(wù)等問(wèn)題來(lái)說(shuō)，只看一筆交易往往看不出其中的問(wèn)題，只有把多筆交易放在一起看，才能分析出規(guī)律來(lái)，才能知道哪些環(huán)節(jié)可能存在問(wèn)題，哪些地方是要特別注意的。”陳熾說(shuō)。

企業(yè)需要完善的還遠(yuǎn)不止找出問(wèn)題，找出問(wèn)題規(guī)律后如何杜絕與防范才是最核心的。陳熾介紹說(shuō)，通過(guò)大數(shù)據(jù)對(duì)于運(yùn)營(yíng)層面的分析，找出其中的異常點(diǎn)，確定其是否真的有問(wèn)題。如果有問(wèn)題，可進(jìn)一步分析要不要做一些探索，為什么會(huì)造成這樣的問(wèn)題，是流程上有缺失、控制上有缺失還是個(gè)別人無(wú)意為之？

“此類(lèi)工作的核心是幫助企業(yè)及時(shí)發(fā)現(xiàn)問(wèn)題、解決問(wèn)題，提升內(nèi)控環(huán)境，提升流程、完善規(guī)章制度，使得相似的問(wèn)題以后不再發(fā)生，或者盡量少發(fā)生。”陳熾表示。

中國(guó)企業(yè)的“后安全時(shí)代”

對(duì)很多中國(guó)企業(yè)來(lái)說(shuō)，由于外部法律環(huán)境和商業(yè)環(huán)境的不完善，以及內(nèi)部治理模式和流程的不完善等因素，商業(yè)秘密的保護(hù)一直是個(gè)比較難的問(wèn)題，商業(yè)秘密的侵權(quán)認(rèn)定也一直是一個(gè)難點(diǎn)。

陳熾對(duì)此強(qiáng)調(diào)，事前防控永遠(yuǎn)比事后救急有用。對(duì)企業(yè)來(lái)說(shuō)，在人員招聘時(shí)就應(yīng)充分考慮到其中的道德隱患。比如，對(duì)員工價(jià)值觀要有一個(gè)基本判斷、員工入職要簽保密協(xié)議等。此外，對(duì)員工、商業(yè)合作伙伴亦應(yīng)有教育和培訓(xùn)，使之養(yǎng)成維護(hù)企業(yè)商業(yè)秘密的思維習(xí)慣，并知曉一旦泄密可能承擔(dān)的道德和法律風(fēng)險(xiǎn)。

與此同時(shí)，企業(yè)內(nèi)部也應(yīng)通過(guò)技術(shù)手段將重要的信息進(jìn)行分級(jí)，建立比較完備的文件管理系統(tǒng)。還可以運(yùn)用一些加密等技術(shù)或者物理隔離等手段防范網(wǎng)絡(luò)入侵和攻擊。國(guó)外一些高科技企業(yè)在，還運(yùn)用監(jiān)控技術(shù)來(lái)監(jiān)控電子郵件、實(shí)時(shí)的通信工具等，以防范泄密事件的發(fā)生。

不過(guò)對(duì)企業(yè)來(lái)說(shuō)，在防范相關(guān)風(fēng)險(xiǎn)的措施中，也要把握一個(gè)“度”，即必須在合法合規(guī)的前提下進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的防控，否則可能引火燒身，這亦是企業(yè)所面臨的一種潛在風(fēng)險(xiǎn)。

最近的媒體報(bào)道顯示，谷歌正在美國(guó)面臨一場(chǎng)有關(guān)其對(duì)內(nèi)運(yùn)行的一個(gè)“監(jiān)視項(xiàng)目（spying program）”的指控。一名谷歌的產(chǎn)品經(jīng)理稱(chēng)，此項(xiàng)目在一定程度上鼓勵(lì)谷歌內(nèi)部員工自愿舉報(bào)其他可能泄露該公司秘密的員工，谷歌這種鼓勵(lì)員工互相舉報(bào)的行為違反了相關(guān)法律。

陳熾對(duì)此認(rèn)為，企業(yè)在制定安全政策的時(shí)候，要跟內(nèi)外部律師進(jìn)行溝通，要從法律角度確保相關(guān)措施是合理合法的。要確保其既可以最大限度地保護(hù)企業(yè)的利益，又按照法律要求尊重并理解員工的個(gè)人隱私和人格。

“這應(yīng)該是一個(gè)雙贏的局面?！标悷胝J(rèn)為。