中國企業(yè)如何應(yīng)對網(wǎng)絡(luò)安全

文 《法人》記者 呂斌

中國企業(yè)如何應(yīng)對網(wǎng)絡(luò)安全

文 《法人》記者 呂斌

針對網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防范，企業(yè)最需要做的遠(yuǎn)遠(yuǎn)不是找出問題，而是找出問題和規(guī)律之后，如何杜絕與防范

不久前，中國全國人大常委會表決通過了《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》），該法將于2017年6月1日開始實(shí)施。這意味著，中國有了專門的規(guī)范網(wǎng)絡(luò)安全的法律，也將給中國企業(yè)以及部分有中國業(yè)務(wù)的跨國企業(yè)帶來相當(dāng)影響。

在企業(yè)的經(jīng)營管理中，合規(guī)與風(fēng)險(xiǎn)預(yù)防始終是重中之重，來自內(nèi)外部的威脅，曾使得很多企業(yè)代價(jià)慘重。垃圾郵件、病毒、間諜軟件以及員工不恰當(dāng)行為，往往令企業(yè)處于商業(yè)機(jī)密被竊取、舞弊指責(zé)、政策監(jiān)管的風(fēng)險(xiǎn)之中。

如何應(yīng)對網(wǎng)絡(luò)安全的威脅，是企業(yè)經(jīng)營管理中的重大課題，同時(shí)亦是健康商業(yè)環(huán)境的應(yīng)有之義。

新法之下的網(wǎng)絡(luò)安全應(yīng)對

在本次《網(wǎng)絡(luò)安全法》頒布之前，中國已有多部法律法規(guī)涉及網(wǎng)絡(luò)安全領(lǐng)域的監(jiān)管，如《人口健康信息管理辦法》《征信業(yè)管理?xiàng)l例》《中國人民銀行關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知》《保守國家秘密法》等。但專門就網(wǎng)絡(luò)安全問題立法，在中國尚屬首次。

主要因?yàn)殡S著互聯(lián)網(wǎng)時(shí)代的發(fā)展，網(wǎng)絡(luò)信息的監(jiān)管成為重中之重，而個(gè)人和企業(yè)的信息，在網(wǎng)絡(luò)傳播速度和范圍，超出傳統(tǒng)的監(jiān)管意義。

在安永舞弊調(diào)查及糾紛協(xié)調(diào)部門合伙人陳熾看來，《網(wǎng)絡(luò)安全法》的出臺，旨在維護(hù)國家網(wǎng)絡(luò)主權(quán)、防范網(wǎng)絡(luò)攻擊、加強(qiáng)互聯(lián)網(wǎng)安全、規(guī)范個(gè)人數(shù)據(jù)使用等。其涉及的范圍很廣，包括互聯(lián)網(wǎng)網(wǎng)絡(luò)建設(shè)、運(yùn)營、維護(hù)、使用以及安全的監(jiān)管。

“受影響比較大的首先是國內(nèi)外的網(wǎng)絡(luò)運(yùn)營商，以及網(wǎng)絡(luò)產(chǎn)品和服務(wù)的供應(yīng)商，如電信、TI等行業(yè)?！标悷朐诮邮堋斗ㄈ恕酚浾卟稍L時(shí)強(qiáng)調(diào)，根據(jù)《網(wǎng)絡(luò)安全法》的規(guī)定，要加強(qiáng)對個(gè)人數(shù)據(jù)隱私以及商業(yè)秘密的保護(hù)，要求在中國境內(nèi)的企業(yè)運(yùn)營中收集和產(chǎn)生的公民個(gè)人信息和重要的業(yè)務(wù)數(shù)據(jù)，應(yīng)在中國境內(nèi)存儲。

此外，受影響較大的行業(yè)還集中于金融服務(wù)、衛(wèi)生醫(yī)療、能源、運(yùn)輸及其他一些公共服務(wù)行業(yè)。

目前，距《網(wǎng)絡(luò)安全法》的正式實(shí)施還有將近半年的緩沖時(shí)間，一些行業(yè)中的企業(yè)已經(jīng)開始積極調(diào)整業(yè)務(wù)模式，以應(yīng)對法律的規(guī)范。此外，一些企業(yè)尤其是在國內(nèi)運(yùn)營業(yè)務(wù)的外資企業(yè)，亦對該法中的一些實(shí)施細(xì)則提出了質(zhì)疑。如一些美國企業(yè)認(rèn)為，《網(wǎng)絡(luò)安全法》中要求分享原代碼或者公布產(chǎn)品一些設(shè)計(jì)細(xì)節(jié)的內(nèi)容，可能會傷害技術(shù)革新，泄露企業(yè)的商業(yè)機(jī)密。

陳熾對此認(rèn)為，《網(wǎng)絡(luò)安全法》目前尚未實(shí)施，各方正處于學(xué)習(xí)、了解該法的過程。但立法的初衷是倡導(dǎo)建立一個(gè)統(tǒng)一的安全標(biāo)準(zhǔn)，目的是保護(hù)所有網(wǎng)絡(luò)用戶的安全。其不只是針對國外企業(yè)，所有相關(guān)的企業(yè)都會涉及。而且不僅中國有類似的法律，國外很多地方早已有類似的法律了。

“法律出來以后，大家需要逐步理解它的內(nèi)涵，摸索在應(yīng)用層面怎么操作才能讓公司合法地運(yùn)營。半年之后再實(shí)施，恰恰給了大家一個(gè)學(xué)習(xí)和摸索的時(shí)間。這是一個(gè)正常而且也很良性的表現(xiàn)，在此過程中，與外部律師和專業(yè)服務(wù)機(jī)構(gòu)的溝通和了解，是一個(gè)必要的環(huán)節(jié)?！标悷敫嬖V《法人》記者。

攘外必先安內(nèi)

企業(yè)的安全風(fēng)險(xiǎn)，往往分為內(nèi)外兩方面。相比外部環(huán)境等風(fēng)險(xiǎn)，來自企業(yè)內(nèi)部的風(fēng)險(xiǎn)，往往更直接，危害也更嚴(yán)重。

陳熾表示，企業(yè)內(nèi)部風(fēng)險(xiǎn)在相當(dāng)程度上比外部風(fēng)險(xiǎn)對企業(yè)造成的危害更大。內(nèi)部威脅往往涉及的參與者可能對企業(yè)內(nèi)部的規(guī)章制度、內(nèi)控體系已經(jīng)比較清楚，更能夠鉆空子。此外，內(nèi)部威脅更容易涉及諸如商業(yè)機(jī)密的泄露、用戶個(gè)人信息的泄露以及貪污受賄等舞弊問題。而且這些問題往往發(fā)生于企業(yè)的重要部門，如銷售部門、采購部門、質(zhì)檢部門等。

日前，京東一位員工因涉及職務(wù)犯罪的問題而被調(diào)查，再次引發(fā)業(yè)內(nèi)對于互聯(lián)網(wǎng)企業(yè)內(nèi)部舞弊問題的探討。實(shí)際上，國內(nèi)幾大互聯(lián)網(wǎng)巨頭如阿里巴巴、騰訊、百度等，均曾多次爆出員工貪腐等舞弊問題。盡管相關(guān)企業(yè)也一直在做相關(guān)的工作，但問題仍不斷出現(xiàn)。

互聯(lián)網(wǎng)法律專家趙占領(lǐng)在接受《法人》記者采訪時(shí)表示，互聯(lián)網(wǎng)企業(yè)內(nèi)部的反腐主要靠的是企業(yè)文化和管理制度。企業(yè)文化、價(jià)值觀更多屬于從道德層面預(yù)防腐敗，管理制度則是從自律機(jī)制角度預(yù)防和懲治腐敗。除此之外，還有外部的法律機(jī)制，三者共同構(gòu)建了預(yù)防與治理互聯(lián)網(wǎng)企業(yè)內(nèi)部腐敗的體系。

“現(xiàn)在處在大數(shù)據(jù)的時(shí)代，數(shù)字化、社交媒體等新興技術(shù)的發(fā)展，為不法之徒提供了更多的借助渠道。傳統(tǒng)的商業(yè)手段要不斷適應(yīng)這些新的威脅形勢，以及相應(yīng)的監(jiān)管要求?！标悷胝J(rèn)為，要應(yīng)對這些威脅，首先需要企業(yè)制定和完善相應(yīng)的規(guī)整制度，內(nèi)部流程的框架要建立起來，并有專業(yè)的部門去負(fù)責(zé)相關(guān)的工作。

建立流程和部門只是第一步，接下來企業(yè)還應(yīng)對員工進(jìn)行系統(tǒng)的培訓(xùn)，告訴他們哪些能做、哪些不能做、如何按照流程去做。在此基礎(chǔ)上，要嚴(yán)格執(zhí)行操作流程，并利用專業(yè)大數(shù)據(jù)技術(shù)對相關(guān)信息進(jìn)行分析、監(jiān)控。

“對一些企業(yè)內(nèi)部的財(cái)務(wù)等問題來說，只看一筆交易往往看不出其中的問題，只有把多筆交易放在一起看，才能分析出規(guī)律來，才能知道哪些環(huán)節(jié)可能存在問題，哪些地方是要特別注意的?！标悷胝f。

企業(yè)需要完善的還遠(yuǎn)不止找出問題，找出問題規(guī)律后如何杜絕與防范才是最核心的。陳熾介紹說，通過大數(shù)據(jù)對于運(yùn)營層面的分析，找出其中的異常點(diǎn)，確定其是否真的有問題。如果有問題，可進(jìn)一步分析要不要做一些探索，為什么會造成這樣的問題，是流程上有缺失、控制上有缺失還是個(gè)別人無意為之？

“此類工作的核心是幫助企業(yè)及時(shí)發(fā)現(xiàn)問題、解決問題，提升內(nèi)控環(huán)境，提升流程、完善規(guī)章制度，使得相似的問題以后不再發(fā)生，或者盡量少發(fā)生。”陳熾表示。

中國企業(yè)的“后安全時(shí)代”

對很多中國企業(yè)來說，由于外部法律環(huán)境和商業(yè)環(huán)境的不完善，以及內(nèi)部治理模式和流程的不完善等因素，商業(yè)秘密的保護(hù)一直是個(gè)比較難的問題，商業(yè)秘密的侵權(quán)認(rèn)定也一直是一個(gè)難點(diǎn)。

陳熾對此強(qiáng)調(diào)，事前防控永遠(yuǎn)比事后救急有用。對企業(yè)來說，在人員招聘時(shí)就應(yīng)充分考慮到其中的道德隱患。比如，對員工價(jià)值觀要有一個(gè)基本判斷、員工入職要簽保密協(xié)議等。此外，對員工、商業(yè)合作伙伴亦應(yīng)有教育和培訓(xùn)，使之養(yǎng)成維護(hù)企業(yè)商業(yè)秘密的思維習(xí)慣，并知曉一旦泄密可能承擔(dān)的道德和法律風(fēng)險(xiǎn)。

與此同時(shí)，企業(yè)內(nèi)部也應(yīng)通過技術(shù)手段將重要的信息進(jìn)行分級，建立比較完備的文件管理系統(tǒng)。還可以運(yùn)用一些加密等技術(shù)或者物理隔離等手段防范網(wǎng)絡(luò)入侵和攻擊。國外一些高科技企業(yè)在，還運(yùn)用監(jiān)控技術(shù)來監(jiān)控電子郵件、實(shí)時(shí)的通信工具等，以防范泄密事件的發(fā)生。

不過對企業(yè)來說，在防范相關(guān)風(fēng)險(xiǎn)的措施中，也要把握一個(gè)“度”，即必須在合法合規(guī)的前提下進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的防控，否則可能引火燒身，這亦是企業(yè)所面臨的一種潛在風(fēng)險(xiǎn)。

最近的媒體報(bào)道顯示，谷歌正在美國面臨一場有關(guān)其對內(nèi)運(yùn)行的一個(gè)“監(jiān)視項(xiàng)目（spying program）”的指控。一名谷歌的產(chǎn)品經(jīng)理稱，此項(xiàng)目在一定程度上鼓勵谷歌內(nèi)部員工自愿舉報(bào)其他可能泄露該公司秘密的員工，谷歌這種鼓勵員工互相舉報(bào)的行為違反了相關(guān)法律。

陳熾對此認(rèn)為，企業(yè)在制定安全政策的時(shí)候，要跟內(nèi)外部律師進(jìn)行溝通，要從法律角度確保相關(guān)措施是合理合法的。要確保其既可以最大限度地保護(hù)企業(yè)的利益，又按照法律要求尊重并理解員工的個(gè)人隱私和人格。

“這應(yīng)該是一個(gè)雙贏的局面?！标悷胝J(rèn)為。