◎ 文 費(fèi)南達(dá)·施密德 羅伯特·B·哈貝爾 內(nèi)森·D·泰勒 丹尼爾·A·內(nèi)森 翻譯 王映

美國(guó)企業(yè)法務(wù)如何防范網(wǎng)絡(luò)風(fēng)險(xiǎn)

◎ 文 費(fèi)南達(dá)·施密德 羅伯特·B·哈貝爾 內(nèi)森·D·泰勒 丹尼爾·A·內(nèi)森 翻譯 王映

企業(yè)雖然無(wú)法完全根除網(wǎng)絡(luò)威脅，但是它可以設(shè)法控制這些威脅，并且制訂一個(gè)事故響應(yīng)計(jì)劃。這一過(guò)程要求公司跨部門的團(tuán)隊(duì)合作，其中包括了內(nèi)部律師作為重要角色的積極參與

網(wǎng)絡(luò)威脅永遠(yuǎn)存在。美國(guó)國(guó)家安全局總監(jiān)辦公室認(rèn)定網(wǎng)絡(luò)威脅已經(jīng)超越了恐怖主義，成為了2014年最大的威脅。在過(guò)去的十二年間，新的數(shù)字威脅數(shù)量已經(jīng)增長(zhǎng)了一萬(wàn)倍。但是如果你認(rèn)為網(wǎng)絡(luò)數(shù)據(jù)安全僅僅是個(gè)和世界500強(qiáng)企業(yè)有關(guān)的問題，那你就錯(cuò)了。任何有保密信息以及員工、消費(fèi)者和客戶數(shù)據(jù)的企業(yè)都要考慮網(wǎng)絡(luò)安全。

企業(yè)雖然無(wú)法完全根除網(wǎng)絡(luò)威脅，但是它可以設(shè)法控制這些威脅，并且制訂一個(gè)事故響應(yīng)計(jì)劃。這一過(guò)程要求公司跨部門的團(tuán)隊(duì)合作，這其中包括了內(nèi)部律師作為重要角色的積極參與。近期，行業(yè)團(tuán)體和監(jiān)管部門所制定的指導(dǎo)，已經(jīng)回答了企業(yè)內(nèi)部律師提出的兩個(gè)關(guān)鍵問題：面對(duì)數(shù)據(jù)泄露，我的公司應(yīng)該如何應(yīng)對(duì)？我又能做出怎樣的幫助？

費(fèi)南達(dá)·施密德，科納斯通研究公司總法律顧問。

羅伯特·B·哈貝爾，美富律師事務(wù)所證券訴訟、執(zhí)行和白領(lǐng)辯護(hù)組合伙人。

內(nèi)森·D·泰勒，美富律師事務(wù)所金融服務(wù)組合伙人。

丹尼爾·A·內(nèi)森，美富律師事務(wù)所證券訴訟、執(zhí)行和白領(lǐng)辯護(hù)組合伙人。

現(xiàn)有挑戰(zhàn)：永存的威脅與缺位的監(jiān)管

對(duì)網(wǎng)絡(luò)威脅來(lái)說(shuō)，簡(jiǎn)單、單一的解決方法并不存在。每一個(gè)企業(yè)都必須根據(jù)自身組織結(jié)構(gòu)、系統(tǒng)和數(shù)據(jù)情況，來(lái)決定需要保護(hù)的內(nèi)容和最佳保護(hù)方式。數(shù)據(jù)安全威脅不僅存在于企業(yè)層面，也同樣存在于其他信息入口，比如銷售點(diǎn)登記簿、員工手機(jī)、社交媒體、私人電子郵件賬號(hào)、無(wú)線打印機(jī)以及任何與互聯(lián)網(wǎng)相關(guān)聯(lián)的東西。此外，企業(yè)在識(shí)別漏洞時(shí)，不能僅關(guān)注自身信息系統(tǒng)，更要考慮重要第三方，包括供應(yīng)商的系統(tǒng)。除了黑客之外，威脅還來(lái)自于員工、獨(dú)立承包商和第三方供應(yīng)商。

對(duì)于這些風(fēng)險(xiǎn)的管理涉及公司多個(gè)層面。這要求董事會(huì)層面明確認(rèn)識(shí)到網(wǎng)絡(luò)信息安全問題究竟是什么和公司將如何解決。一些公共企業(yè)已經(jīng)設(shè)立了網(wǎng)絡(luò)風(fēng)險(xiǎn)委員會(huì)。在日常運(yùn)行中，風(fēng)險(xiǎn)管理需要公司多個(gè)管理團(tuán)隊(duì)的共同投入，比如法律、技術(shù)、人力資源、財(cái)務(wù)會(huì)計(jì)、工資和銷售部門。同樣需要樹立企業(yè)文化，讓每一個(gè)員工理解數(shù)據(jù)安全的重要性和每個(gè)人在其中所扮演的重要角色。

為了補(bǔ)充其數(shù)據(jù)安全內(nèi)部的復(fù)雜性，這一問題由當(dāng)?shù)?、州和?lián)邦法規(guī)共同規(guī)制。例如，美國(guó)47個(gè)州、哥倫比亞區(qū)、關(guān)島、

波多黎各和維爾京群島都要求，如果信息安全漏洞涉及個(gè)人信息，企業(yè)應(yīng)當(dāng)通知個(gè)人。此外，一些州還特別加強(qiáng)了企業(yè)保護(hù)消費(fèi)者個(gè)人信息安全的義務(wù)。在很多情況下，這些義務(wù)可能要求的水平較高、較原則性（換言之，保持合理的安全流程來(lái)保護(hù)數(shù)據(jù)），但是有些州強(qiáng)制實(shí)行了細(xì)化的安全標(biāo)準(zhǔn)，包括例如馬薩諸塞州的數(shù)據(jù)安全法規(guī)。

另外，根據(jù)企業(yè)所在的行業(yè)，也可能受到聯(lián)邦法規(guī)的規(guī)制。比如，1999年的金融現(xiàn)代化法案、健康保險(xiǎn)流通與責(zé)任法案、薩班斯——奧克斯利法案、公平信用報(bào)告法、全球和全國(guó)商業(yè)電子簽字法案、聯(lián)邦信息安全管理法案或2002年國(guó)土安全法案。隨著這些法案的頒布，不同的聯(lián)邦機(jī)構(gòu)對(duì)企業(yè)如何掌控?cái)?shù)據(jù)也開始進(jìn)行監(jiān)管和投入，如聯(lián)邦貿(mào)易委員會(huì)，美國(guó)衛(wèi)生公共服務(wù)部和美國(guó)貨幣監(jiān)理署。

遵守所有可適用的法律是個(gè)艱巨而混亂的任務(wù)。但是，忽視數(shù)據(jù)安全所帶來(lái)的深遠(yuǎn)影響，將遠(yuǎn)遠(yuǎn)超過(guò)丟失關(guān)鍵數(shù)據(jù)這一事件本身。它可能引起包括聯(lián)邦和州的處罰、民事訴訟甚至讓企業(yè)聲譽(yù)受損。企業(yè)法務(wù)團(tuán)隊(duì)在安全防范中起著至關(guān)重要的作用。例如，法務(wù)部門可以從法律法規(guī)中提煉出該企業(yè)需要遵守的框架條款。而且，如果企業(yè)沒有單獨(dú)的風(fēng)險(xiǎn)或合規(guī)部門，那么法律部門將承擔(dān)起評(píng)估企業(yè)防范措施的職責(zé)。

企業(yè)網(wǎng)絡(luò)信息安全威脅的考量框架

在評(píng)估企業(yè)面臨網(wǎng)絡(luò)安全威脅的安全等級(jí)時(shí)，第一步是要弄清楚公司需要保護(hù)的究竟是什么。企業(yè)不可能做到保護(hù)所有數(shù)據(jù)和每一個(gè)網(wǎng)絡(luò)連接點(diǎn)，因此，優(yōu)先級(jí)的選擇就成為了關(guān)鍵。哪些數(shù)據(jù)和系統(tǒng)是至關(guān)重要的？企業(yè)使用的是什么服務(wù)器或者其他關(guān)鍵網(wǎng)絡(luò)系統(tǒng)？系統(tǒng)是如何劃分的？如何控制互聯(lián)網(wǎng)訪問企業(yè)系統(tǒng)？哪些數(shù)據(jù)是依照合約或法律規(guī)定需要企業(yè)來(lái)保護(hù)的？企業(yè)還想要保護(hù)其他哪些數(shù)據(jù)？企業(yè)是否擁有員工或消費(fèi)者相關(guān)個(gè)人信息？企業(yè)持有什么樣的健康信息？有沒有戰(zhàn)略或競(jìng)爭(zhēng)信息？有沒有市場(chǎng)敏感信息？擁有怎樣的專利或商業(yè)秘密信息？還有什么樣的客戶信息？

如果要完成以上評(píng)估，則要求企業(yè)中所有相關(guān)數(shù)據(jù)和系統(tǒng)的利益相關(guān)人都參與其中。而具體需要哪些參與人則取決于企業(yè)究竟是做什么的。實(shí)際上，企業(yè)中每一個(gè)部門及業(yè)務(wù)線都可能做出有意義的貢獻(xiàn)。至少，這一評(píng)估將會(huì)涉及ⅠT、設(shè)備、審計(jì)、人力資源以及財(cái)會(huì)部門，還需要銷售部門或者其他直接與客戶、消費(fèi)者接觸的團(tuán)隊(duì)加入評(píng)估。

緊接著，企業(yè)需要找出漏洞的存在，而這是一個(gè)復(fù)雜且多層次的問題。需要提出例如以下問題：誰(shuí)在處理或者有權(quán)訪問需要保護(hù)的數(shù)據(jù)或系統(tǒng)？數(shù)據(jù)是如何進(jìn)入企業(yè)的？數(shù)據(jù)儲(chǔ)存在何處？企業(yè)內(nèi)如何處理數(shù)據(jù)？關(guān)鍵系統(tǒng)保存在哪里？已經(jīng)部署了哪些安全措施來(lái)保護(hù)系統(tǒng)？相關(guān)問題包括了企業(yè)如何處理訪問這些數(shù)據(jù)和系統(tǒng)的入口，除了內(nèi)部訪問之外，還包括如供應(yīng)商之類的第三方所進(jìn)行的外部訪問。另一處理這方面問題的方法是考量可能存在的威脅有哪些。潛在的威脅包括黑客入侵系統(tǒng)、內(nèi)外部各方所造成的數(shù)據(jù)損毀或丟失、如拒絕服務(wù)或者分散的拒絕服務(wù)攻擊之類的外部破壞、或者有意無(wú)意造成的數(shù)據(jù)披露。

企業(yè)同時(shí)還需要考慮誰(shuí)來(lái)監(jiān)督這些數(shù)據(jù)監(jiān)管人。如何運(yùn)行系統(tǒng)、控制和流程，以確保負(fù)責(zé)日常監(jiān)督的各方各司其職？這時(shí)，技術(shù)和企業(yè)流程便扮演了重要角色。另一個(gè)方面是董事會(huì)對(duì)這些系統(tǒng)、控制和流程的認(rèn)知以及投入。隨著網(wǎng)絡(luò)威脅問題越來(lái)越突出，董事會(huì)至少需要知道誰(shuí)是網(wǎng)絡(luò)問題的責(zé)任人、問題將會(huì)是什么以及為了解決問題企業(yè)需要做什么。除此之外，董事會(huì)在網(wǎng)絡(luò)安全中所起到的具體作用取決于公司規(guī)模和需求。一些公共公司設(shè)有網(wǎng)絡(luò)安全委員會(huì)，其他企業(yè)中這項(xiàng)功能可能由審計(jì)委員會(huì)承擔(dān)。而在小型企業(yè)中，整個(gè)董事會(huì)都有可能會(huì)涉及其中。在2014年6月10日舉行的“網(wǎng)絡(luò)風(fēng)險(xiǎn)與董事會(huì)”研討會(huì)中，美國(guó)證券交易委員會(huì)委員路易斯·阿奎拉爾提到了董事會(huì)可以考慮采用的措施，這對(duì)于私人和公共企業(yè)都是有效的指導(dǎo)。這些措施包括了審核年度ⅠT預(yù)算中，有關(guān)網(wǎng)絡(luò)風(fēng)險(xiǎn)和對(duì)董事的網(wǎng)絡(luò)風(fēng)險(xiǎn)教育的部分。

如你所見，這并非是一項(xiàng)個(gè)人可以完成的任務(wù)。評(píng)估和管理這些問題都需要企業(yè)內(nèi)關(guān)鍵利益相關(guān)者之間的準(zhǔn)備和配合。法律部門在這個(gè)過(guò)程中的作用十分重要，擔(dān)負(fù)將法律規(guī)定、限制責(zé)任以及制定解決措施三者關(guān)聯(lián)起來(lái)的使命。

NIST框架：全國(guó)性解決方案的另一種選擇

在如今飛速發(fā)展的環(huán)境中，網(wǎng)絡(luò)威脅正變得越來(lái)越頻繁、復(fù)雜和嚴(yán)重，有效的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理政策和流程也越發(fā)重要。如同其他風(fēng)險(xiǎn)管理政策和流程一樣，這些網(wǎng)絡(luò)安全風(fēng)險(xiǎn)解決方案必須依據(jù)公司業(yè)務(wù)、風(fēng)險(xiǎn)承受能力和資源情況來(lái)量身打造。但同時(shí)，企業(yè)也應(yīng)當(dāng)將自己的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理政策與流程，與已有的概念框架、行業(yè)標(biāo)準(zhǔn)和成功實(shí)踐進(jìn)行對(duì)比。

作為對(duì)奧巴馬總統(tǒng)簽署的行政命令的回應(yīng)，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所(以下簡(jiǎn)稱“NⅠST”)在2014年初制定了一個(gè)概念性的框架條款，而其作為一個(gè)關(guān)注企業(yè)應(yīng)對(duì)網(wǎng)絡(luò)攻擊的標(biāo)準(zhǔn)已經(jīng)受到很大關(guān)注。NⅠST框架包括了可以用來(lái)識(shí)別、評(píng)估和管理風(fēng)險(xiǎn)相互關(guān)聯(lián)的三部分：框架核心、執(zhí)行分級(jí)和框架細(xì)則。

框架核心包括了同時(shí)且持續(xù)存在的五個(gè)功能，它們創(chuàng)造了一種強(qiáng)調(diào)動(dòng)態(tài)性網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的文化：

表一：

■認(rèn)定——理解企業(yè)所處商業(yè)環(huán)境和支持關(guān)鍵功能的資源，以及相關(guān)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，進(jìn)行優(yōu)先考慮并關(guān)注。

■保護(hù)——制定和執(zhí)行用以限制和遏制潛在網(wǎng)絡(luò)事故影響的保障措施。

■檢測(cè)——制定和執(zhí)行用以及時(shí)檢測(cè)網(wǎng)絡(luò)事故的行動(dòng)。

■響應(yīng)——制定和執(zhí)行用以遏制潛在網(wǎng)絡(luò)事故影響的行動(dòng)。

■恢復(fù)——制定和執(zhí)行支持日常運(yùn)行中及時(shí)恢復(fù)的行動(dòng)，以降低網(wǎng)絡(luò)事故影響。

框架中的執(zhí)行等級(jí)分級(jí)，向企業(yè)提供了一個(gè)可以查看其風(fēng)險(xiǎn)管理方法及特點(diǎn)的途徑。執(zhí)行等級(jí)分為從“局部執(zhí)行”（一級(jí)）到“自我調(diào)適”（四級(jí)），分級(jí)按照網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的嚴(yán)謹(jǐn)度和復(fù)雜度等級(jí)逐層遞增。企業(yè)基于當(dāng)前的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理實(shí)踐來(lái)選擇一個(gè)等級(jí)。然而，處于一級(jí)的企業(yè)將會(huì)被激勵(lì)向二級(jí)或者更高級(jí)別進(jìn)步。表一總結(jié)了每個(gè)級(jí)別的風(fēng)險(xiǎn)管理流程、項(xiàng)目和外部參與情況。

NⅠST框架的最后一部分是框架細(xì)則。細(xì)則設(shè)計(jì)是為了滿足企業(yè)獨(dú)特的需求。它應(yīng)當(dāng)與企業(yè)發(fā)展目標(biāo)相一致，反映出風(fēng)險(xiǎn)管理的重點(diǎn)，并且要在參考法律法規(guī)要求和行業(yè)最佳實(shí)踐的情況下制定出來(lái)。一個(gè)已有細(xì)則體現(xiàn)出了企業(yè)在五個(gè)核心功能（認(rèn)定、保護(hù)、檢測(cè)、響應(yīng)和恢復(fù)）中所取得的成就。一個(gè)目標(biāo)細(xì)則要體現(xiàn)出達(dá)成企業(yè)目標(biāo)所需要的成果。而利用已有和目標(biāo)細(xì)則之間的差距來(lái)制訂企業(yè)優(yōu)先行動(dòng)計(jì)劃，可以不斷提高企業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)管理政策和項(xiàng)目水平。

企業(yè)應(yīng)當(dāng)認(rèn)真對(duì)待NⅠST框架中的自我評(píng)估和持續(xù)改進(jìn)的概念。同時(shí)，在進(jìn)行評(píng)估和提出改進(jìn)建議時(shí)，也要考慮維護(hù)律師和客戶間信息保密的特權(quán)。

美國(guó)證券交易委員會(huì)關(guān)于公共企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)披露的指南

對(duì)公共企業(yè)來(lái)說(shuō)，確定哪些有關(guān)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和事故的信息應(yīng)該向投資人披露，是一個(gè)復(fù)雜又具有挑戰(zhàn)的工作。這項(xiàng)工作的重點(diǎn)在于在向投資人提供及時(shí)、復(fù)雜而且準(zhǔn)確信息的同時(shí)，又要確保那些企圖利用企業(yè)漏洞的人不會(huì)從披露的信息中尋找到可乘之機(jī)。而潛在的訴訟或者監(jiān)管行動(dòng)都添加了這項(xiàng)工作的復(fù)雜度。企業(yè)可能會(huì)避免披露那些原本不會(huì)為公眾所知的網(wǎng)絡(luò)安全事故，因?yàn)檫@可能引發(fā)訴訟或者監(jiān)管行動(dòng)（例如，消費(fèi)者集體訴訟）。而與此同時(shí)，企業(yè)也有著披露網(wǎng)絡(luò)安全相關(guān)信息的動(dòng)力，因?yàn)檫@可以幫助它們避開美國(guó)證交會(huì)企業(yè)金融部門、執(zhí)行部門的關(guān)注，還有股東派生訴訟。

在過(guò)去的幾年中，美國(guó)證交會(huì)越來(lái)越多地關(guān)注企業(yè)向投資人披露網(wǎng)絡(luò)安全相關(guān)信息材料的義務(wù)。美國(guó)證交會(huì)的規(guī)章和會(huì)計(jì)標(biāo)準(zhǔn)中所提出的信息披露義務(wù)，雖然不是專門針對(duì)網(wǎng)絡(luò)安全問題，但是對(duì)商業(yè)風(fēng)險(xiǎn)和風(fēng)險(xiǎn)后果的披露都提出了明確要求。美國(guó)證交會(huì)企業(yè)金融部在2011年10月13日所簽發(fā)的《企業(yè)金融部信息披露指南：網(wǎng)絡(luò)安全》（以下簡(jiǎn)稱“指南”）中，對(duì)信息披露義務(wù)提出了自己的觀點(diǎn)。指南強(qiáng)調(diào)了兩個(gè)重要問題：一是，何時(shí)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)或網(wǎng)絡(luò)安全事故上達(dá)到了披露義務(wù)警戒線；二是，哪些與網(wǎng)絡(luò)安全相關(guān)的信息需要進(jìn)行披露。

指南對(duì)何時(shí)、何種網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和事故需要進(jìn)行披露提出了具體要求，包括六個(gè)特定方面：風(fēng)險(xiǎn)因素、管理層陳述與分析、商業(yè)描述、財(cái)務(wù)報(bào)表披露、披露控制與流程以及法律訴訟（參見表二）。在認(rèn)可聯(lián)邦證券法所規(guī)定的“不要求可能增加網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的信息披露”的情況下，企業(yè)金融部表明企業(yè)應(yīng)當(dāng)提供針對(duì)其特定情況的信息，而并非僅僅描述適用于所有公司的風(fēng)險(xiǎn)，或者提供格式化的信息披露。企業(yè)也應(yīng)對(duì)網(wǎng)絡(luò)安全相關(guān)信息披露是否充足進(jìn)行持續(xù)不斷地檢查審視。

重要的時(shí)效性和預(yù)備響應(yīng)方案

“網(wǎng)絡(luò)攻擊與企業(yè)所面臨的其他危機(jī)之間的首要區(qū)別就是速度，這就要求企業(yè)必須快速響應(yīng)以遏制迅速蔓延的破壞。企業(yè)就算不在幾分鐘內(nèi)對(duì)一次網(wǎng)絡(luò)事件做出響應(yīng)，也需要在幾小時(shí)內(nèi)做好應(yīng)對(duì)準(zhǔn)備，包括檢測(cè)、分析網(wǎng)絡(luò)安全事件，防止產(chǎn)生進(jìn)一步的破壞并準(zhǔn)備好事件響應(yīng)方案?！睂?duì)于是否披露事件、企業(yè)如何披露何種破壞和如何解決這一問題，都部分取決于企業(yè)所在行業(yè)、網(wǎng)絡(luò)安全事故如何發(fā)生以及怎樣的數(shù)據(jù)受到了威脅。根據(jù)網(wǎng)絡(luò)攻擊的性質(zhì)，及時(shí)響應(yīng)和響應(yīng)時(shí)間由法規(guī)甚至是合同義務(wù)來(lái)決定。倘若沒有披露數(shù)據(jù)丟失可能讓企業(yè)受到州甚至是聯(lián)邦政府的監(jiān)管調(diào)查。

表二：

能夠及時(shí)做出響應(yīng)的關(guān)鍵，就是要有一套解決問題的事件響應(yīng)、危機(jī)管理、災(zāi)難恢復(fù)或者業(yè)務(wù)連續(xù)性方案。至少，該方案應(yīng)該包括風(fēng)險(xiǎn)識(shí)別和風(fēng)險(xiǎn)分級(jí)。不同的事故情況要求何種內(nèi)部響應(yīng)和升級(jí)機(jī)制？企業(yè)可能會(huì)經(jīng)歷許多不同類型的事故，其中許多類型只需要企業(yè)進(jìn)行技術(shù)響應(yīng)機(jī)制。而一些事故將需要ⅠT部門以外的配合，如法務(wù)部門和高管。一個(gè)良好的響應(yīng)方案會(huì)列出在何時(shí)和何種事故類型的情況下需要啟動(dòng)此類升級(jí)機(jī)制。響應(yīng)方案也應(yīng)該包括對(duì)企業(yè)如何回復(fù)潛在的媒體采訪要求做出指導(dǎo)。例如，當(dāng)媒體需要企業(yè)做出回復(fù)時(shí)，誰(shuí)應(yīng)當(dāng)參與起草回復(fù)及誰(shuí)應(yīng)該做出回復(fù)？最后，你也需要考慮響應(yīng)方案中包含的關(guān)鍵內(nèi)部聯(lián)系信息以及外部聯(lián)系信息，例如企業(yè)需要何人來(lái)進(jìn)行取證分析？企業(yè)的網(wǎng)絡(luò)安全保險(xiǎn)公司是誰(shuí)？處理這些事故的企業(yè)外部法律顧問是誰(shuí)？以及企業(yè)的公關(guān)公司是哪家？在危急關(guān)頭，你不會(huì)想要再去從頭研究這些問題。

（本文英文版權(quán)屬于全球企業(yè)法律顧問協(xié)會(huì)）