AD
互联网时代的信息安全风险集中体现了技术的日新月异性与法律相对滞后性之间的矛盾,它对公司法务提出的挑战是前所未有的,单个企业的法务人员难以解决相关的问题,建设性方案的提出需要行业层面的交流和研讨
法治周末记者 马丽
“在座的各位,你们的单位也是黑客非常垂涎的攻击目标。”在7月18日举行的“走近安全,走进360”公司法务沙龙上,年轻的林伟对台下来自30多家知名企业的总法律顾问说。林伟是奇虎360网络攻防实验室副主任,在开场白中,他自称是一名真正的黑客。
这是一场主题为“企业信息安全风险控制与法务管理”的沙龙。主办方为法制日报社于今年5月成立的中国公司法务研究院。法制日报社社长、总编辑雷晓路,奇虎360总裁齐向东、中国移动通信集团公司总法律顾问陈丽洁、中国人民保险集团股份有限公司法律总监李祝用、中国航空油料集团公司总法律顾问徐永建、360公司总法律顾问傅彤等30多位来自国内外知名企业法律事务部门的负责人参与了沙龙研讨。
“没有百分百安全,只有百分百被入侵的电脑”
如果你较早接触电脑,对“熊猫烧香”这样动辄可以感染成千上万台电脑的病毒不会陌生。但是当下,这种黑客攻击方式已经很少见,这得益于360免费杀毒软件的出现。
过去由于瑞星、卡巴斯基、金山等杀毒软件都是收费软件,且价格不菲,很多中国网民就选择使用盗版杀毒软件,杀毒软件公司不会为盗版软件提供“打补丁”功能,这为黑客攻击大批电脑提供了可乘之机。在曾经的网络安全时代,黑客攻击电脑往往没有明确的目标,造成的实际经济损失并不多,360网络攻防实验室副主任林伟将其称为“薄利多销”的网络攻防模式。
免费杀毒软件的出现大大压缩了“薄利多销”式黑客的生存市场。一些技术能力更强的黑客选择有针对性地精准地攻击目标。美国网络安全公司FireEye今年年初发布的“2013年度APT攻击报告(Advanced Threat Report)”显示,除政府和服务类机构外,与企业密切相关的高科技行业、金融行业、通信产业都是黑客青睐的攻击目标。
从攻击数量来看,排名第一的政府受攻击次数84,高科技行业、金融行业受攻击次数分别是80和79。虽然攻击次数并不多,但其危害后果非常严重。林伟用“三年不开张,开张吃三年”来形容这种攻防模式的牟利方式。
7月13日,外媒曝出,美国联邦检察官起诉了一名中国商人,他被指控通过黑客手段入侵了洛克希德 马丁和波音公司的网络,窃取了包括F-22、F-35战斗机和C-17运输机图纸在内的容量达65G的资料。假设案情属实,中国商人此举或可获利百亿美元。
中国企业被攻击的情况也不少见。今年6月初,漏洞报告平台乌云网披露小米公司用户社区的一则安全漏洞,乌云官方指出,该漏洞使得约有800万小米用户信息遭泄露,泄露的信息中包括用户的用户名、密码、注册IP、邮箱等多种信息。漏洞报告称,被泄露的这些小米用户信息正在网盘中流传,并且已经有人下载完毕。此前的3月份,乌云网还公布了携程安全支付日志的一条网络安全漏洞信息,该漏洞导致大量用户银行卡信息泄露(包含持卡人姓名身份证、银行卡号、卡CVV码、6位卡Bin)。
在“走近安全,走进360”公司法务沙龙上,林伟反复强调“没有百分百的安全,只有百分百被入侵的电脑”,这是给人类带来巨大便利的互联网的副产品。如360总裁齐向东所言,互联网时代意味着我们的生活和工作都将全面互联网化,它在给我们带来了联通便利的同时,也给我们带来了很多以前从来没有想过、也没有遇到的危险,这些危险靠个人是解决不了的。
互联网信息安全刑事第一案的纠结
中国中材集团有限公司(下称“中材集团”)副总裁、总风险管理师金乐永介绍,中材集团的信息管理放在信息部门。这也是大多数企业的做法,一般人认为信息保护更多地依赖技术,所以更多企业选择将信息保护工作交给技术部门。
法律事务部门往往是从诉讼业务上介入信息安全风险防控工作。360总法律顾问傅彤介绍,360所涉诉讼案件相当一部分是由于技术攻防引起的不正当竞争类案件。“我们是安全公司,我们的出现断了一些互联网同行的财路。比如用户打开电脑会有软件弹窗,360提供一个软件,让用户选择是否接受弹窗。弹窗所属公司认为我们这种行为对他们构成了不正当竞争,阻碍了其弹窗广告收益。诉讼就此产生了。”傅彤说。
目前,与互联网信息安全相关的诉讼以民事案件为主。2011年年底由北京东城法院开庭审理的中国航空信息网络股份有限公司(下称“中航信”)内部员工泄密案被视为互联网信息安全领域的刑事第一案。中航信内部六名员工在短短五年时间,借助一款名为“迅保系统”的软件,共从相关民航计算机系统上采集了1996万余条用户信息。
李劲松时任中航信总法律顾问,他在沙龙研讨中透露,当时他们非常希望此案被定性为非法获取计算机信息系统数据罪,但最终东城法院以非法侵入计算机信息系统罪定罪量刑。李劲松解释,之所以希望定罪前者,一是因为前者从量刑上重于后者,二是定罪前者可以为后续的民事索赔提供证据支持。而检方起诉时之所以选择后者,是因为非法侵入计算机信息系统罪是行为犯,不需要有实际损害后果,而非法获取计算机信息系统数据罪是结果犯,对损害结果有数额要求,而数据泄密造成的损失如何计算是个难题。
此后,中航信试图在东城法院提起民事诉讼,但是东城法院也是以信息保护案件难度大为由未予立案。“即使立了案,刑事案件中如何认定损失的难题在民事案件中也依然存在。”李劲松无奈地表示。
公司法务在信息防护中的作用待增
对于IT、互联网以及金融等行业来说,由于不从事具体的生产制造,其最有价值的资产就是信息,而且随着科技水平的进步,这些企业的信息都已经数字化和电子化。中国人民保险集团股份有限公司(下称“中国人保”)法律总监李祝用在沙龙中介绍,中国人保已经没有纸质保单,大部分信息是通过技术来存储,通过网络来输送。对于这类企业来说,信息安全的重要性可见一斑。
企业防控信息安全风险主要有两个途径:一是技术手段;二是内控和合规。“我个人感觉,技术手段一般企业都比较重视,做得也比较多,但是合规、内控方面企业做得还不够。”李祝用表示。
中航信原总法律顾问李劲松也有同感,他说:“信息安全与法律工作有类似之处,不能光在技术层面努力,需要换一个更新的视野和思维想这个问题。”
黑客攻击、员工泄密是主要的泄密源头。由于企业信息防护的技术手段不断提高,如有些企业电脑不能连接外网且没有U盘插口,员工正取代电脑和程序成为黑客重点攻击对象,前述中航信内部员工泄密案就是典型例证。360互联网攻防实验室副主任林伟说,只要有人参与的环节就一定会有漏洞,而且人的漏洞是很难被修复的。
人的漏洞凸显了单纯技术保护的短板,却给法务发挥作用预留了空间。中材集团副总裁、总风险管理师金乐永表示:“唯有技术和制度的结合,才能为企业提供最好的保护。”金乐永认为,这方面公司法务可以从制度建设、风险防控和争端解决三个层面发挥更大的作用。
但是当前互联网信息安全领域存在的一些问题,靠制度和技术也无法解决。林伟表示,我国当前针对黑客攻击的一些立法还不是特别明确,虽然刑法上已有非法获取计算机信息系统数据罪,但是定起罪来很难。“关键在于证据,黑客高手可以用技术手段消除作案的蛛丝马迹。”
互联网时代的信息安全风险集中体现了技术的日新月异性与法律相对滞后性之间的矛盾,它对公司法务提出的挑战是前所未有的,单个企业的法务人员难以解决相关的问题,建设性方案的提出需要行业层面的交流和研讨。
法制日报社于2014年5月成立的中国公司法务研究院即是一个为法务同行提供交流和研讨的平台。法制日报社社长、总编辑雷晓路在沙龙致辞中介绍,研究院下设互联网、金融法务、知识产权、法务管理、企业风险舆情与危机处理案例等研究中心,将汇聚业界、学界力量,促进公司法务理论研究水平提升,以更好地推动公司法务实务的发展。
