企業法律顧問在網絡安全的維護上為何如斯重要

無人能倖免於網絡威脅—即使香港的前保安局局長葉劉淑儀女士,也曾經是駭客入侵的其中一名受害者。去年當她開啟一封電子郵件的附件時,被駭客從她的賬戶中竊取了504,000港元。隨著各種數據來源及網絡威脅的不斷擴散,現時在應付有關問題方面,需要由各個不同的部門來共同協作,而超越了資訊科技部門的藩籬。

網絡威脅給企業以及它們所擁有的其中一項最有價值資產-資訊-帶來了巨大的風險。個人身份資料、非公開資料、以及其他具敏感性的客戶與員工資料的外洩,會帶來各種廣泛而嚴重的後果,當中可能包括由內部及監管機構所進行的調查、股東提起的訴訟、向受影響的消費者及僱員作出的賠償,以及因侵犯私隱的規定而受到懲處等。

傳統上,資訊科技部是負責執行網絡安全措施的主要部門,但由於在容易遭受損害的程度上各有不同,網絡安全因此日益成為一個商業與法律上的問題,而最終的結果是,法律顧問在企業中正扮演著一個更為積極的角色,須不時就企業對網絡安全危機所作的回應提供意見。

香港在網絡安全及資料私隱方面的情況

香港近期在網絡安全及資料私隱等方面的發展,皆為鼓勵法律顧問在企業中作出更大程度的參與。例如,香港金融管理局(下稱「金管局」)在2015年9月15日向認可的金融機構發出網絡安全風險管理指引,指示該等機構的領導層在資料保護方面,採取一個四管齊下的方法:

  • 風險所有權及管理層的問責性:企業應該委派專門人員負責監督風險管理工作,並在資深的領導層之間建立問責制度。
  • 對網絡安全的監控進行定期評估及監測:企業應當對其在網絡安全監控方面的有效性進行定期評估,及對任何存在的差距作出評定,並於必要時加以填補。
  • 行業協作及應變計劃:企業之間應當協力,並與監管部門一起分享及收集與網絡威脅有關的情報,以及測試其對事故所作的回應和業務的連續性規劃。如此,企業將能夠就資料的洩露作出適切回應及進行適切的溝通。
  • 定期進行獨立評定和測試:企業應當聘請員工或僱用服務供應商,就網絡安全是否準備就緒作出客觀評定。

金管局表示,他們期望被涵蓋的企業,會以文件方式,將在網絡安全監控方面的進程記錄下來,而他們亦會要求各企業提供有關證明。雖然該等指引並沒有採取任何特定基準,但它們在防止、偵測及應變監控方面,確實提出了一系列在各企業之間能夠起示範作用的國際標準和事例。

金管局所發出的指引,與規管資料私隱並適用於所有企業的本地規則有關。香港的《個人資料(私隱)條例》(下稱《私隱條例》)保護所有人的個人資料,避免它們「未獲准許或意外地被查閱、處理、刪除、喪失或使用」。任何人違反該法例,可被處以罰款港幣 50,000元和監禁。

法律顧問的責任,是審視及了解該等監管情況的發展,並且在其中擔當主導角色,將有關的指引轉化成為可付諸行動的計劃,以保護其所服務機構的數碼資產。

法律顧問在保護其所服務機構的資料上的10項舉措

法律顧問需要確保其所服務的機構,能夠在適用的法律準則方面作出全面性的考量,並了解當中的風險所帶來的影響。可是,法律顧問現時所應具備的功能,已並非僅止於此。當他們讓企業察悉網絡安全與私隱的有關情況後,大多數會率先制訂應對有關威脅的方案,以作為該企業的風險管理計劃的其中一部分。為了讓企業的資料得以在整個生命週期中受到保護,法律顧問實行了下列的基本網絡安全協定:

1. 培養具安全意識的文化

所有員工都必須明白,網絡安全問題並非單純屬於資訊科技領域的問題﹔企業內每一個與網絡有所接觸的人,都需要給予充分配合。只有當人們懂得善用它,抵禦網絡威脅的措施才能夠充分產生它的效用。駭客往往為了發動其魚叉式網絡釣魚攻擊而發放許多電子郵件,員工倘若容易受到該等電子郵件所哄騙,又或是使用牢靠度不足,容易被破解的密碼,那麼即使是全球所有的安全保障措施,也不能讓資料獲得有效的保護。

法律顧問需要向企業作出建議,就正在出現的威脅、監管規定、公司政策、最佳安全實務等,向員工提供至少每年一次的培訓,並經常與首席資訊安全總監及其他相關人員合力,對培訓及風險防範計劃進行監督。

2. 數碼資產的庫存

法律顧問需要與資訊科技部門合作,查核企業在網絡、硬件、軟件、資料庫及伺服器等方面的庫存。此外,他們也需要與資訊科技部門人員共同就各個業務單位、人力資源、會計及審計部門中的所有數碼資產,制定一幅現行資料繪圖。

3. 保護「最有價值的資產」

法律顧問需要採取步驟了解公司的資料,並根據其優先性及潛在風險來加以分類。在掌握了此等知識後,企業便可據此制訂相應的防禦措施。要為資料中的每一個字節提供保護,又或是要對每一個潛在的網絡接入點作出攔截,儘管是一件不可能的事情,但法律顧問已經制訂政策,確保最敏感的數據資產能夠獲得充分的保護。無論是商業秘密,還是受保護的健康資訊及財務資料,此等具高度敏感性的數據資產均被加以標示,從而讓它們獲得提供最高層次的保護。

4. 持續進行風險評估

倘若發生資料外洩事故,人們可能會對公司所採取的防禦措施是否能夠提供有效的警示提出質疑。因此,法律顧問必須不時關注適用的資料保護與外洩通報法例,而此等法例亦可充當法律顧問定期檢視企業的風險評估協定之指引。由掌握充分資訊的法律顧問所制訂的風險評估協定,需要企業進行經常性的網絡、系統和電腦檢查,以及進行持續性的入侵監測。基於今天的社會對資料私隱的重視程度,該等政策因此也要求企業須就適當的私隱期望之可能監控或設置,向其員工作出通報。

5.使用分析學來將威脅隔離及保護具敏感性的資料

資料分析學在對潛在漏洞及不規則的模式(這亦意味著將可能面臨攻擊)進行識別方面非常有用。持續地進行的檢查和監測技術,可以在結構性的財務資料中,偵測到存在的欺詐及其他風險。然而,隨著許多不同來源的非結構性資料(例如電子郵件、聊天應用程式及社交媒體)的出現,我們現時需要擁有能識別各種威脅的先進工具。企業通過與數據科學家及電子搜證專家的伙伴合作關係,能夠利用先進的分析學來標示具有潛在風險的通訊,並促使人們對其作出監控,從而防患於未然,避免任何安全隱患的出現。

6. 供應鏈方面的風險管理

法律顧問需要加強對企業與從事資料處理工作的第三方所簽訂的一切合約(包括與雲端服務供應商及電子搜證服務提供商所簽訂的合約)的審查,以明瞭當中是否訂在充分的安全監控與違約補救措施。事實上,金管局已規定企業須就第三方供應商是否已建立充分的風險管理架構進行核實,並對其服務提供商的表現作出監控。充分的安全標準證明包括認可的證明書,當中包括ISO 27001認證,並包含一系列的114監控,例如物理安全措施、防火牆、資料加密協定、監測及災害復原計劃等。雖然ISO 27001合規並非經常足以應付各項進階式的持續性威脅 (Advanced Persistent Threat,“APT”),但使用已確立的安全協定(例如在三等級 (Tier-3) 數據中心所使用的該等協定),可有助確保在提供保護方面的最小基線得以維持 (特別是對敏感資料而言)。

7. 資料取閱限制

人們通常會將大部分注意力放在來自外部的威脅之上,但其實內部威脅也可以帶來重大的風險,當中包括員工忽略該等給企業造成破壞的不良意圖,又或是員工自身的惡意不軌行為。擁有豐富知識的企業法律顧問需要在企業內設立跨職能部門,確保使用者只能取得履行其職責方面的所需資料,而敏感資料必須經過多重批准才可提供。

8.具強大安全性能的電子搜證審查工具

法律顧問揀選了在數方面能為資料提供保護的文件檢視平台,以便進行資料的收集和傳輸,並在電子搜證過程中對有關資料進行檢視。它們包括﹕各項讓管理員能夠在應用及使用有關功能方面設置安全保障的性能﹔能夠對符合文件中某些模式的敏感資料作出標示的自動化資料檢測工具(例如﹕員工身份證號碼、電話號碼或賬戶號碼)﹔以及可以防止敏感資料外洩的自動化編寫工具。

9. 事故應變計劃

資料外洩的情況是不可避免的,法律顧問因此需要積極而主動地制訂預計其發生的方案,以便在面對此等情況時能夠充分作出應變。一個以書面制訂的計劃,可以帶來一致與快速的回應,而對有關計劃進行測試,亦可有助找出該等需要尋求第三方協助(例如公共關係或補救專家)的缺口,並且也顯示出其認真遵守相關法律和法規的誠意和決心。企業法律顧問在決定何時將議題逐步擴大、何時披露資料外洩情況、與同行及監管機構分享哪些資訊,以及哪些調查應當獲得律師-當事人之間的保密權所保護等議題上,均起著主導性的作用。

10. 投購網絡保險

投購保險,可有助減輕因資料外洩所帶來的財務後果。許多企業已經投購了為資料外洩所產生的後果提供保障的保單,而當中包含的項目,包括進行調查、給予受影響的受害者通知、公共關係及信用監督等方面所涉及的費用。

企業法律顧問未來將會擔當甚麼角色?

企業法律顧問的職能在不斷地變化。隨著網絡威脅及監管環境的改變,企業法律顧問在監督、資源配置、作為資訊科技與關鍵持份者之間的橋樑等方面,均扮演著一個積極的角色。在整個風險評估與合規進程中,法律顧問積極地處理有關的決策,從而讓企業在面對威脅出現時,能充分察覺有關的風險並作出即時回應。未來的發展,將會取決於麻煩臨到時,本地法律顧問會就早期預警訊號的發出作出如何的反應。


Xerox Legal Business Services並未獲授權從事法律執業工作,也從沒有在任何司法管轄區向客戶提供法律意見或法律服務。Xerox所提供的服務,只限於在文件審查及搜證方面,那是屬於非法律性質的行政事務。該等由Xerox提供的服務,是純粹在客戶的獲授權法律顧問的指示和監督下進行。

Jurisdictions: 

施樂公司法律業務服務區域副總裁

Mr.Hubbard是施樂公司法律業務服務、香港施樂公司法律和合規解決方案部的區域副總裁。由於擔任該等職位,有關內部和監管調查、國際和跨境訴訟、仲裁與合規方面均有豐富經驗。