針對網絡安全風險防范，企業最需要做的遠遠不是找出問題，而是找出問題和規律之后，如何杜絕與防范

不久前，中國全國人大常委會表決通過了《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》），該法將于2017年6月1日開始實施。這意味著，中國有了專門的規范網絡安全的法律，也將給中國企業以及部分有中國業務的跨國企業帶來相當影響。

在企業的經營管理中，合規與風險預防始終是重中之重，來自內外部的威脅，曾使得很多企業代價慘重。垃圾郵件、病毒、間諜軟件以及員工不恰當行為，往往令企業處于商業機密被竊取、舞弊指責、政策監管的風險之中。

如何應對網絡安全的威脅，是企業經營管理中的重大課題，同時亦是健康商業環境的應有之義。

新法之下的網絡安全應對

在本次《網絡安全法》頒布之前，中國已有多部法律法規涉及網絡安全領域的監管，如《人口健康信息管理辦法》《征信業管理條例》《中國人民銀行關于銀行業金融機構做好個人金融信息保護工作的通知》《保守國家秘密法》等。但專門就網絡安全問題立法，在中國尚屬首次。

主要因為隨著互聯網時代的發展，網絡信息的監管成為重中之重，而個人和企業的信息，在網絡傳播速度和范圍，超出傳統的監管意義。

在安永舞弊調查及糾紛協調部門合伙人陳熾看來，《網絡安全法》的出臺，旨在維護國家網絡主權、防范網絡攻擊、加強互聯網安全、規范個人數據使用等。其涉及的范圍很廣，包括互聯網網絡建設、運營、維護、使用以及安全的監管。

“受影響比較大的首先是國內外的網絡運營商，以及網絡產品和服務的供應商，如電信、TI等行業。”陳熾在接受《法人》記者采訪時強調，根據《網絡安全法》的規定，要加強對個人數據隱私以及商業秘密的保護，要求在中國境內的企業運營中收集和產生的公民個人信息和重要的業務數據，應在中國境內存儲。

此外，受影響較大的行業還集中于金融服務、衛生醫療、能源、運輸及其他一些公共服務行業。

目前，距《網絡安全法》的正式實施還有將近半年的緩沖時間，一些行業中的企業已經開始積極調整業務模式，以應對法律的規范。此外，一些企業尤其是在國內運營業務的外資企業，亦對該法中的一些實施細則提出了質疑。如一些美國企業認為，《網絡安全法》中要求分享原代碼或者公布產品一些設計細節的內容，可能會傷害技術革新，泄露企業的商業機密。

陳熾對此認為，《網絡安全法》目前尚未實施，各方正處于學習、了解該法的過程。但立法的初衷是倡導建立一個統一的安全標準，目的是保護所有網絡用戶的安全。其不只是針對國外企業，所有相關的企業都會涉及。而且不僅中國有類似的法律，國外很多地方早已有類似的法律了。

“法律出來以后，大家需要逐步理解它的內涵，摸索在應用層面怎么操作才能讓公司合法地運營。半年之后再實施，恰恰給了大家一個學習和摸索的時間。這是一個正常而且也很良性的表現，在此過程中，與外部律師和專業服務機構的溝通和了解，是一個必要的環節。”陳熾告訴《法人》記者。

攘外必先安內

企業的安全風險，往往分為內外兩方面。相比外部環境等風險，來自企業內部的風險，往往更直接，危害也更嚴重。

陳熾表示，企業內部風險在相當程度上比外部風險對企業造成的危害更大。內部威脅往往涉及的參與者可能對企業內部的規章制度、內控體系已經比較清楚，更能夠鉆空子。此外，內部威脅更容易涉及諸如商業機密的泄露、用戶個人信息的泄露以及貪污受賄等舞弊問題。而且這些問題往往發生于企業的重要部門，如銷售部門、采購部門、質檢部門等。

日前，京東一位員工因涉及職務犯罪的問題而被調查，再次引發業內對于互聯網企業內部舞弊問題的探討。實際上，國內幾大互聯網巨頭如阿里巴巴、騰訊、百度等，均曾多次爆出員工貪腐等舞弊問題。盡管相關企業也一直在做相關的工作，但問題仍不斷出現。

互聯網法律專家趙占領在接受《法人》記者采訪時表示，互聯網企業內部的反腐主要靠的是企業文化和管理制度。企業文化、價值觀更多屬于從道德層面預防腐敗，管理制度則是從自律機制角度預防和懲治腐敗。除此之外，還有外部的法律機制，三者共同構建了預防與治理互聯網企業內部腐敗的體系。

“現在處在大數據的時代，數字化、社交媒體等新興技術的發展，為不法之徒提供了更多的借助渠道。傳統的商業手段要不斷適應這些新的威脅形勢，以及相應的監管要求。”陳熾認為，要應對這些威脅，首先需要企業制定和完善相應的規整制度，內部流程的框架要建立起來，并有專業的部門去負責相關的工作。

建立流程和部門只是第一步，接下來企業還應對員工進行系統的培訓，告訴他們哪些能做、哪些不能做、如何按照流程去做。在此基礎上，要嚴格執行操作流程，并利用專業大數據技術對相關信息進行分析、監控。

“對一些企業內部的財務等問題來說，只看一筆交易往往看不出其中的問題，只有把多筆交易放在一起看，才能分析出規律來，才能知道哪些環節可能存在問題，哪些地方是要特別注意的。”陳熾說。

企業需要完善的還遠不止找出問題，找出問題規律后如何杜絕與防范才是最核心的。陳熾介紹說，通過大數據對于運營層面的分析，找出其中的異常點，確定其是否真的有問題。如果有問題，可進一步分析要不要做一些探索，為什么會造成這樣的問題，是流程上有缺失、控制上有缺失還是個別人無意為之？

“此類工作的核心是幫助企業及時發現問題、解決問題，提升內控環境，提升流程、完善規章制度，使得相似的問題以后不再發生，或者盡量少發生。”陳熾表示。

中國企業的“后安全時代”

對很多中國企業來說，由于外部法律環境和商業環境的不完善，以及內部治理模式和流程的不完善等因素，商業秘密的保護一直是個比較難的問題，商業秘密的侵權認定也一直是一個難點。

陳熾對此強調，事前防控永遠比事后救急有用。對企業來說，在人員招聘時就應充分考慮到其中的道德隱患。比如，對員工價值觀要有一個基本判斷、員工入職要簽保密協議等。此外，對員工、商業合作伙伴亦應有教育和培訓，使之養成維護企業商業秘密的思維習慣，并知曉一旦泄密可能承擔的道德和法律風險。

與此同時，企業內部也應通過技術手段將重要的信息進行分級，建立比較完備的文件管理系統。還可以運用一些加密等技術或者物理隔離等手段防范網絡入侵和攻擊。國外一些高科技企業在，還運用監控技術來監控電子郵件、實時的通信工具等，以防范泄密事件的發生。

不過對企業來說，在防范相關風險的措施中，也要把握一個“度”，即必須在合法合規的前提下進行網絡安全風險的防控，否則可能引火燒身，這亦是企業所面臨的一種潛在風險。

最近的媒體報道顯示，谷歌正在美國面臨一場有關其對內運行的一個“監視項目（spying program）”的指控。一名谷歌的產品經理稱，此項目在一定程度上鼓勵谷歌內部員工自愿舉報其他可能泄露該公司秘密的員工，谷歌這種鼓勵員工互相舉報的行為違反了相關法律。

陳熾對此認為，企業在制定安全政策的時候，要跟內外部律師進行溝通，要從法律角度確保相關措施是合理合法的。要確保其既可以最大限度地保護企業的利益，又按照法律要求尊重并理解員工的個人隱私和人格。

“這應該是一個雙贏的局面。”陳熾認為。