2016/01/14

网络安全:新技术下的新风险

作者:Ian Hargreaves(合伙人,伦敦办公室)Urszula McCormack(合伙人,香港办公室)Robert Bolgar-Smith(律师,伦敦办公室)

各国、各行业的企业都对前沿技术进行了高额投资,以助力商业活力开展并不断拓展商机。为追赶技术前沿,可能意味着企业要将销售转到线上、收集客户信息以便更加高效地定位目标市场、企业与企业之间共享信息或将部分业务外包以期提升效率。然而,企业却愈发认识到这些新商机(特别是他们所持的数据)不仅是一项资产,更构成了同等程度的风险。

仅举数例,从 2013 年 12 月 Target 影响约 1.1 亿名客户的数据外泄,到索尼自 2011 年以来经历的影响数百万人、导致索尼累计损失超过 2 亿美元的两次重大黑客攻击,再到不久前对 Ashley Madison、Optimal Payments、TalkTalk 的网络攻击,这些公司所遭遇的攻击引起了广泛关注,不但使媒体对网络安全问题进行了头条报道,还引起了公司董事、客户及至更重要的监管机构的关注。

现状如何?

要建立能够在瞬息万变、持续扩张的网络世界为公民提供保护的法律框架,政府面临难以逾越的挑战。包含公司客户的个人及财务详细信息的数据,往往需要跨多个司法管辖区传输、处理和存储,因而引起了客户及监管机构的担忧(不久前欧洲法院关于“安全港”的裁决便是例证)。

寻求非法访问数据的人可能与目标公司毫无关联,位于完全不同的司法管辖区,往往几乎无法识别。应对这些新威胁不能只靠政府管理;这一任务还需要公司、公司的客户及专业服务提供商积极参与。

政府建议

许多政府(在业界共同参与下)通过提供咨询项目,明确告知企业为消除一般互联网威胁需要采取的步骤,以此帮助其国内产业实现自我保护。

英国政府建立了自愿性的网络要素计划(Cyber Essentials Scheme),企业可通过该计划得到认证,从而向客户、投资者及第三方表明企业已采取了基本的预防措施。有意从英国获得风险更高的供应合同的所有企业均须进行强制认证。该计划的拥护者包括英国宇航系统公司 (BAE Systems)、巴克莱银行 (Barclays)及沃达丰 (Vodafone)。

澳大利亚信号理事会 (Australian Signals Directorate) 同样发布了“减少针对性网络入侵的战略”(Strategies to Mitigate Targeted Cyber Intrusions),其中包含 35 项实用建议,包括可以抵御 85% 的网络入侵的四大关键战略。

企业应该时刻关注最新的专业建议,避免遭受常见的网络威胁,同时确保遵守各项合规。一些行业也有行业特定的行为准则。

遵守法律要求

很多国际组织试图将法律和网络监管框架进行简化和标准化(包括欧盟、中国主导的,以及布达佩斯网络犯罪公约)。但企业往往发现其受到各类要求的约束,这些要求可能因企业经营行业及司法辖区的不同而存在重大差别。对于企业来说,最佳做法是对所有相关要求进行对比,然后全面遵守范围最广、要求最严格的要求,从而确保适当地覆盖所有要求。

多数国家的数据保护机制都是临时为应对具体情况而定制,并且有据可循。但是基本分为以下两类,一是主要用于防护网络攻击的制度,二是对于信息持有者制定操作规程(加强网络防御)。

持有敏感、保密和个人信息的公司对于防护机制的遵守非常重要,不论是《英国数据防护草案》(要求公司运用技术和组织系统保护个人信息),还是《澳大利亚隐私原则》(监管年利润为300万澳币以上公司对个人信息的收集、持有、使用和披露),或者是美国内其他各种国家、联邦和工业法案。

在英国,信息专员办公室(ICO)负责实施《数据保护草案》并于最近以网络防护不周遭受黑客攻击为由,向英国怀孕咨询服务公司(一家英国慈善机构)征收了20万英镑罚款。此举明确的表达了资源或者知识短缺不能成为开脱的理由,接管和储存个人信息的公司一定要承担相应责任。除了直接罚款外,公司高层也有可能承担个人责任。相当数量的政府机构(包括信息专员办公室)主张实施对负有责任的个人实施监禁。

与此同时,中国所展现的进入网络治理第一线的意愿越来越强,但更强调网络主权的重要性。2014年,中国在乌镇举办了世界互联网大会(去年举办了第二届),聚焦全球网络治理和网络安全。中国还签署了(或正在寻求签署)一系列双边及多边网络协议,包括与俄罗斯和(在限制性更多的情况下)美国。中国还在持续寻求大范围扩大其关于公共安全紧急响应及国家/产业特定标准的网络监管框架。

通知义务

除了履行保护信息的职责,一旦网络异常事件突发,企业还需践行通知监管者的义务。

在美国,没有通用的或者联邦统一的规定,即数据泄漏时必须要告知客户,但大多数州还是颁布了各自的规定,当数据泄露事件发生从而涉及泄露客户私人数据隐私时,大体上要求企业践行客户告知义务。

信息专员办公室 (Information Commissioners Office,以下简称“ICO”) 要求严重数据安全漏洞问题要上报,其中“严重性”是以对消费者造成的潜在危害来衡量,但英国公司通常并未遵从此规限。当然,也有一些例外。比如电子通信服务提供商就受制于特定的通知管理体制,受此约束的企业(英国信息披露和透明度规则S.2.2)一旦发现泄露危及到了“内部信息”,就必须履行上报网络安全遭到破坏的告知义务。

上市公司和管制公司

正如一些行业需要遵守额外的监管要求,证券公司和/或受制于金融监管的企业同样也是。在英国,FCA要求企业采取合理措施,建立并维护有效的系统和控制,包括抵御数据被进一步用作金融犯罪的风险。同样,澳大利亚与英国的上市公司也需要建立健全的风险管理系统并定期核查自身的风险抵御能力。

尤其应注意的是,企业公开的信息中未充分透露对网络安全事件的处理、或者未将负面影响或严重性减至最低、或者故意推迟该资料的公开期限,都将可能面临来自投资者的起诉。

外包数据职责(哪怕仅是内部之间外包)的企业为此要承担的风险巨大,2010年金融服务管理局向苏黎世保险公司开出了227万英镑的巨额罚款,只因不充分具备维护客户机密数据安全的系统和控制设备。苏黎世保险公司英国分部将其一部分一般性保险数据外包给了其在南非的分部。在一次常规传递中,承包商丢失了未加密的驱动器,该驱动器包含4万6千名投保人的私人金融数据以及1千8百名涉及第三方的私人数据。苏黎世保险公司向金融服务管理局和信息专员办公室秘密报告了这次网络安全泄露事件。

诉讼风险

存在安全漏洞时,公司还可能会面临客户、股东及第三方提起的诉讼。在美国,明尼苏达州的一名地方法院法官不久前裁定 Target 存在与信用卡数据安全有关的疏忽,因此应当对受不久前网络事件影响的特定银行提起的集体诉讼负责。法官还批准了 Target 提出的以 1,000 万美元就客户提起的集体诉讼和解的提议。尽管在英国等不具有相同集体诉讼制度的司法管辖区不太可能发生这种性质的诉讼,且索赔人证明其损失时往往面临一些重大问题,但未来数年内,技术的不断进步很可能会见证此类案件数量上升。

客户/第三方还可能会以合同违约为由提出索赔。(比如无论是存在关于 IT 功能的明示或默示条款还是安全漏洞引起的业务损害导致公司未能履行与网络安全无关的合同条款),或基于疏忽提出索赔,(其中公司未采用合理技术和措施可能会导致第三方承担责任)。

公司在起草合同时应当将其网络安全风险考虑在内,包括增加措词恰当的不可抗力条款,并且应当努力遵守行业最佳实践(例如英国商务、创新和技能部 (UK Department of Business, Innovation and Skills) 关于网络安全的 2012 年指导原则(更新版)及网络要素计划)。

未来的立法

未来几年内,会有更多的监管法规出台,企业对此要予以重点关注,包括欧盟的数据保护监管以及网络与信息安全指令。

《一般数据保护条例》旨在将欧洲范围内的数据安全要求统一化并辐射更多领域(并可能向为欧洲个人提供商品或服务的非欧盟公司扩展)。

预计其主要条款将对数据管理程序进行文件记录,任命数据保护专员,以及提升存在数据安全漏洞时的报告要求。

违反该条例的罚款仍在商定阶段但会由国家监管机构确定,但预计会达到至少 1 百万欧元或该组织全球年营业额的 2% 中的较大者,相对于英国 ICO 最高罚款额500,000英镑的权限明显提高。但也有些人提出,罚款应达到1亿欧元或该组织全球年营业额的5%中的较大者。

该条例将适用于“对维护重要经济和社会活动至关重要的”基础设施运营商,除互联网交换点(但非电子商务平台)等特定在线服务以外,还包括金融、运输、健康和能源业。该条例与美国的网络安全框架比较类似,除了该条例是强制力规定而美国的网络安全框架仅是自愿执行。该条例对公司设定了一些新义务,包括告知要求、当网络安全和信息系统遭遇风险时可采取的技术措施和组织方法来有效管控该风险、成员国之间共享信息,以及需尽早告知风险警示。最新版本的规定也要求上市公司应在其财务报告中主动公布其网络安全遭泄露的事件。

商誉

公司最忧虑的主要问题之一是(往往广泛传播的)漏洞所带来的商誉/业务损失。尽管公司(及其客户)愈发认识到网络安全漏洞几乎不可避免,但公司是否采取了合理保障措施以及公司应对攻击后果的方式仍然是关键问题。

为了保障声誉并维护客户群,公司应充分认识其面临的风险,并制订如何应对事件后的几小时、几天及几周的经深思熟虑的计划(整合公司的管理、公共关系、法务和 IT 团队)。

在不久前的 TalkTalk 攻击之后,公司面临的风险和困难已凸显无疑。尽管公司反复强调公司是刑事犯罪的受害者而非其疏忽责任,但公司仍然面临反复的索赔要求,并且不得不允许其客户提前终止合同。

网络安全保险

针对网络风险的保险逐渐被视为营业支出。独立产品越来越普遍,而保险公司与网络安全专家协作,以帮助保险公司理解所涉及的风险并在发生索赔时提供协助。
不久前在纽约州最高法院发生的苏黎世美国保险公司诉索尼美国公司等一案,强调了假定其标准商业一般责任保险会覆盖网络攻击相关损失的公司往往会发现其完全暴露到网络风险之中。法院做出了有利于苏黎世的裁决,并且基于所涉及的保单要求保单持有人亲自实施或做出行为而非第三方黑客侵害安全性这一理由,认定所涉及的网络攻击未触发保险公司对索尼提供保障。索尼对该裁决提起上诉,于 2015 年 4 月庭外和解。

未来

未来数年内,网络安全问题只会随着技术的进步而增加,逐渐会成为企业需要应对的首要合规问题。 

金杜“一带一路”国际合作与促进中心

作为一家根植中国的全球性律师事务所,金杜于2019年3月成立了 “一带一路”国际合作与促进中心(KWM Belt & Road Center for International Cooperation and Facilitation,简称BRCICF)中心。

Share on LinkedIn Share on Facebook Share on Twitter Share on Google+

    KWM is expanding its US practice with the addition of international corporate partner Thomas M. Shoesmith. Mr. Shoesmith will play a key role in the ongoing development of the firm’s ability to serve 更多

    17 October 2019

    King & Wood Mallesons’ London-based dispute resolution team is strengthening its dispute resolution practice with the promotion of Natalie Quinlivan to Of Counsel, with effect from 2 September 2019.

    23 September 2019

    金杜律师事务所迎来合伙人John Shum加入,继续扩大在新加坡的实力。

    2019/09/20

    We discuss 5 things you need to know after removal of investment quota under (R)QFII.

    19 September 2019