中國企業如何應對網路安全

祁同偉發表於2017-07-19

針對網路安全風險防範,企業最需要做的遠遠不是找出問題,而是找出問題和規律之後,如何杜絕與防範

不久前,中國全國人大常委會表決通過了《中華人民共和國網路安全法》(以下簡稱《網路安全法》),該法將於2017年6月1日開始實施。這意味著,中國有了專門的規範網路安全的法律,也將給中國企業以及部分有中國業務的跨國企業帶來相當影響。

在企業的經營管理中,合規與風險預防始終是重中之重,來自內外部的威脅,曾使得很多企業代價慘重。垃圾郵件、病毒、間諜軟體以及員工不恰當行為,往往令企業處於商業機密被竊取、舞弊指責、政策監管的風險之中。

如何應對網路安全的威脅,是企業經營管理中的重大課題,同時亦是健康商業環境的應有之義。

新法之下的網路安全應對

在本次《網路安全法》頒佈之前,中國已有多部法律法規涉及網路安全領域的監管,如《人口健康資訊管理辦法》《徵信業管理條例》《中國人民銀行關於銀行業金融機構做好個人金融資訊保護工作的通知》《保守國家祕密法》等。但專門就網路安全問題立法,在中國尚屬首次。

主要因為隨著網際網路時代的發展,網路資訊的監管成為重中之重,而個人和企業的資訊,在網路傳播速度和範圍,超出傳統的監管意義。

在安永舞弊調查及糾紛協調部門合夥人陳熾看來,《網路安全法》的出臺,旨在維護國家網路主權、防範網路攻擊、加強網際網路安全、規範個人資料使用等。其涉及的範圍很廣,包括網際網路網路建設、運營、維護、使用以及安全的監管。

“受影響比較大的首先是國內外的網路運營商,以及網路產品和服務的供應商,如電信、TI等行業。”陳熾在接受《法人》記者採訪時強調,根據《網路安全法》的規定,要加強對個人資料隱私以及商業祕密的保護,要求在中國境內的企業運營中收集和產生的公民個人資訊和重要的業務資料,應在中國境記憶體儲。

此外,受影響較大的行業還集中於金融服務、衛生醫療、能源、運輸及其他一些公共服務行業。

目前,距《網路安全法》的正式實施還有將近半年的緩衝時間,一些行業中的企業已經開始積極調整業務模式,以應對法律的規範。此外,一些企業尤其是在國內運營業務的外資企業,亦對該法中的一些實施細則提出了質疑。如一些美國企業認為,《網路安全法》中要求分享原始碼或者公佈產品一些設計細節的內容,可能會傷害技術革新,洩露企業的商業機密。

陳熾對此認為,《網路安全法》目前尚未實施,各方正處於學習、瞭解該法的過程。但立法的初衷是倡導建立一個統一的安全標準,目的是保護所有網路使用者的安全。其不只是針對國外企業,所有相關的企業都會涉及。而且不僅中國有類似的法律,國外很多地方早已有類似的法律了。

“法律出來以後,大家需要逐步理解它的內涵,摸索在應用層面怎麼操作才能讓公司合法地運營。半年之後再實施,恰恰給了大家一個學習和摸索的時間。這是一個正常而且也很良性的表現,在此過程中,與外部律師和專業服務機構的溝通和了解,是一個必要的環節。”陳熾告訴《法人》記者。

攘外必先安內

企業的安全風險,往往分為內外兩方面。相比外部環境等風險,來自企業內部的風險,往往更直接,危害也更嚴重。

陳熾表示,企業內部風險在相當程度上比外部風險對企業造成的危害更大。內部威脅往往涉及的參與者可能對企業內部的規章制度、內控體系已經比較清楚,更能夠鑽空子。此外,內部威脅更容易涉及諸如商業機密的洩露、使用者個人資訊的洩露以及貪汙受賄等舞弊問題。而且這些問題往往發生於企業的重要部門,如銷售部門、採購部門、質檢部門等。

日前,京東一位員工因涉及職務犯罪的問題而被調查,再次引發業內對於網際網路企業內部舞弊問題的探討。實際上,國內幾大網際網路巨頭如阿里巴巴、騰訊、百度等,均曾多次爆出員工貪腐等舞弊問題。儘管相關企業也一直在做相關的工作,但問題仍不斷出現。

網際網路法律專家趙佔領在接受《法人》記者採訪時表示,網際網路企業內部的反腐主要靠的是企業文化和管理制度。企業文化、價值觀更多屬於從道德層面預防腐敗,管理制度則是從自律機制角度預防和懲治腐敗。除此之外,還有外部的法律機制,三者共同構建了預防與治理網際網路企業內部腐敗的體系。

“現在處在大資料的時代,數字化、社交媒體等新興技術的發展,為不法之徒提供了更多的藉助渠道。傳統的商業手段要不斷適應這些新的威脅形勢,以及相應的監管要求。”陳熾認為,要應對這些威脅,首先需要企業制定和完善相應的規整制度,內部流程的框架要建立起來,並有專業的部門去負責相關的工作。

建立流程和部門只是第一步,接下來企業還應對員工進行系統的培訓,告訴他們哪些能做、哪些不能做、如何按照流程去做。在此基礎上,要嚴格執行操作流程,並利用專業大資料技術對相關資訊進行分析、監控。

“對一些企業內部的財務等問題來說,只看一筆交易往往看不出其中的問題,只有把多筆交易放在一起看,才能分析出規律來,才能知道哪些環節可能存在問題,哪些地方是要特別注意的。”陳熾說。

企業需要完善的還遠不止找出問題,找出問題規律後如何杜絕與防範才是最核心的。陳熾介紹說,通過大資料對於運營層面的分析,找出其中的異常點,確定其是否真的有問題。如果有問題,可進一步分析要不要做一些探索,為什麼會造成這樣的問題,是流程上有缺失、控制上有缺失還是個別人無意為之?

“此類工作的核心是幫助企業及時發現問題、解決問題,提升內控環境,提升流程、完善規章制度,使得相似的問題以後不再發生,或者儘量少發生。”陳熾表示。

中國企業的“後安全時代”

對很多中國企業來說,由於外部法律環境和商業環境的不完善,以及內部治理模式和流程的不完善等因素,商業祕密的保護一直是個比較難的問題,商業祕密的侵權認定也一直是一個難點。

陳熾對此強調,事前防控永遠比事後救急有用。對企業來說,在人員招聘時就應充分考慮到其中的道德隱患。比如,對員工價值觀要有一個基本判斷、員工入職要籤保密協議等。此外,對員工、商業合作伙伴亦應有教育和培訓,使之養成維護企業商業祕密的思維習慣,並知曉一旦洩密可能承擔的道德和法律風險。

與此同時,企業內部也應通過技術手段將重要的資訊進行分級,建立比較完備的檔案管理系統。還可以運用一些加密等技術或者物理隔離等手段防範網路入侵和攻擊。國外一些高科技企業在,還運用監控技術來監控電子郵件、實時的通訊工具等,以防範洩密事件的發生。

不過對企業來說,在防範相關風險的措施中,也要把握一個“度”,即必須在合法合規的前提下進行網路安全風險的防控,否則可能引火燒身,這亦是企業所面臨的一種潛在風險。

最近的媒體報導顯示,谷歌正在美國面臨一場有關其對內執行的一個“監視專案(spying program)”的指控。一名谷歌的產品經理稱,此專案在一定程度上鼓勵谷歌內部員工自願舉報其他可能洩露該公司祕密的員工,谷歌這種鼓勵員工互相舉報的行為違反了相關法律。

陳熾對此認為,企業在制定安全政策的時候,要跟內外部律師進行溝通,要從法律角度確保相關措施是合理合法的。要確保其既可以最大限度地保護企業的利益,又按照法律要求尊重並理解員工的個人隱私和人格。

“這應該是一個雙贏的局面。”陳熾認為。

本文轉自d1net(轉載)


相關文章