网络安全与数据隐私专题系列2019展望篇

回顾望不到边

在当前大数据时代下，全球范围的网络与数据环境变得更加复杂，保护网络安全与数据隐私势在必行。本文从跨国公司的角度，阐述了2018年跨国公司在网络安全与数据隐私领域遇到的问题、现阶段的进展情况以及对2019年网络与数据安全领域的展望。这些层面包括管理网络安全跨境事件、监管机构对各行业网络安全问题增强监管力度、网络安全相关诉讼体系不断扩大、复杂化数据隐私制度以及关注数据隐私和网络安全相关的政策等。‍

2018年网络攻击事件变得更加复杂和严重，从数据窃取和勒索计划，到对关键基础设施的攻击，再到对联网产品的威胁，大量的数据泄露，以及商务邮件入侵的攻击事件都在2018年激增，这些事件往往造成巨大的经济损失，这突显了持续实施最佳防御性措施的重要性。随着《一般数据保护法案（the General Data Protection Regulation-GDPR）》在欧盟生效，数据隐私环境也继续变得更复杂，并且影响了全球范围的商业实践。

网络安全以及数据隐私的困难与挑战将于2019年变得更加复杂与频繁。对于颠覆性技术的采用和新的应用案例，如无人驾驶车、人工智能、联网产品等，都会帮助推动网络安全和数据隐私的法律环境的演变，以及新的监管制度的引进。——在跨司法管辖区的情况下，增加来自政策制定者的诉讼风险和监督审查。

网络安全与数据隐私存在高风险。据白宫经济顾问委员会2018年发布的一份报告估计，仅2016年一年，恶意网络活动对美国造成的经济损失就达到570亿美元至1090亿美元。网络事件曾造成过公司最高层管理人员的离职、并购的被迫中断以及巨大的金钱和声誉方面的损失等。数据隐私合规问题将会导致严重的法律处罚以及公司赖以生存的客户信任的丧失。

在此背景下，2019年跨国公司在网络安全和数据隐私方面面临的主要问题将会包括：
  管理跨境网络安全事件
  对网络安全和数据隐私持续的监管压力
  扩大网络安全和数据隐私诉讼体系
  增加对复杂化的数据隐私制度的采用
  关注数据隐私和网络安全政策


管理跨境网络安全事件
近年来，对跨国企业的网络攻击变得更加复杂和严重，越来越多的网络攻击事件在处理时也变得更为棘手，因为它们不再局限于一个单一的司法管辖区，而往往跨越国界。例如，一个客户数据库遭到入侵可能会在多个国家触发警报通知。同样，法庭调查可能要求一家公司进行跨国界行动，例如通过在不同国家与第三方托管公司合作。此外，对任何有多个销售市场的公司来说，涉及联网产品的网络攻击事件可能会同时影响多个司法管辖区。因此我们认为，在2019年，跨境网络安全事件很可能变得更加频繁。 公司在应对上述网络攻击事件时会面临的关键问题有：
  在全球范围内管理法庭调查
  在全球范围内管理法律风险
  战略执法参与
  特权保留
  数据隐私和安全法的域外适用

对网络安全和数据隐私持续的监管压力
2018年对各行业网络安全和数据隐私实践的监管审查较上一年增多。预计监管机构将在2019年通过各种监管工具对网络安全和数据隐私问题继续施压——包括新的或是改进后的指南、调查和执法行动、与行业以及其他利益关系人的接触、监督考试和公共教育等。这一严管趋势将会对其他众多经济部门造成影响。我们将重点关注如下五个领域：金融服务、上市公司披露、医疗器械、联网车辆、消费者数据安全和隐私。

金融服务
金融服务的监管机构长期以来在关于网络安全与数据隐私的问题上发挥着主导作用。2018年也不例外，由于美国大多数州和联邦机构已经深度参与到整个金融服务行业，并十分关注与网络安全相关的主题，因此我们认为，这种趋势将持续到2019年。金融机构以及其他上市公司将受益于追踪被提议的监管变化，即要利用现有机会去介入和影响监管政策，也要使有效的合规方案落地施行。金融服务公司和机构在2019年需要重点关注的监管主题如下：
  NAIC模型数据安全法的实施
  NASAA模型信息安全规则的提案
  纽约网络安全法规的实施
  SEC红旗规则的执行
  NFA入侵通知的要求
  美国财政部重要基础设施的发起

上市公司披露
2018年2月，美国证券交易委员会（“SEC”）通过正式确立指南强调了对公众公司网络安全的担忧。指南重申，公司在准备要求的披露文件时，应考虑网络安全风险以及网络安全事件的重要性。此外，修订后的指南通过鼓励公司“采用有关网络安全的复杂化的政策和流程，并经常对公司的合规性进行评估”来强调有关网络安全政策和流程的重要性。此外，由于网络安全风险与网络安全事件可能成为重大非公开信息，公司应关注SEC对评估和监控交易活动的指南，以规避潜在的内幕交易风险。

医疗器械
美国食品药品监督管理局（“FDA”）继续优先考虑医疗器械的网络安全，并于2018年在网络安全活动上取得了重大进展。2018年10月，FDA针对医疗器械的网络安全管理以及上市前提交的内容方面发布了新的指南草案。新草案侧重于如何让制造商能够解决由连接设备造成的病人信息安全风险。FDA将继续推动这些新方案转化为实际行动。预计2019年医疗器械行业对网络安全的严管趋势将继续保持。

联网车辆
美国交通部（“DOT”）和国家公路交通安全管理局（“NHTSA”）近年来在优先考虑网络安全方面有所作为，包括与行业利益相关者的接触，以及2016年10月现代汽车网络安全最佳实践的发布。在过去的一年中，DOT继续强调网络安全以及数据隐私是公司在建造自动化驾驶系统时需要解决的关键问题。其指导性文件《为未来交通做准备：自动化车辆3.0》（“AV 3.0”）发布于2018年10月，它是基于DOT在2017年发布的《自动化驾驶系统2.0：对安全的愿景》撰写而成。AV3.0重申了对网络安全的关注，并特别支持2017年政策中宣布的“自愿安全自我评估”方法。新指南指出，公私协调以及信息共享对管理网络安全风险十分重要，并且强调了与国土安全部和其他公私信息分享组织的合作价值。因此，2019年汽车行业参与者应该继续关注网络安全与数据隐私问题，因为网络与数据信息在设计、建造以及支持联网车辆的过程中不可或缺。

消费者数据安全和隐私
美国联邦贸易委员会（“FTC”）的强制执行活动在过去十年中一直是以保护消费者数据安全和隐私为主旨——委员会提起的60多次诉讼都在指控公司从事不公平或欺诈行为或是未能充分保护消费者的个人数据。预计FTC将在2019年继续聚焦数据安全与隐私。由于FTC设立了诸多消费者数据安全与隐私保护的政策，因此在2019年法律强制执行可能仍然是FTC的一个关键工具。很多这些强制执行行为可能以同意令结尾，但是诉讼案件也可能会继续检验FTC的权威性以及其在执法行为中追求的理论。2019年FTC提起诉讼的权力和胜诉可能性将会面临更多的挑战。


扩大网络安全和数据隐私诉讼体系
在给公司带来潜在责任的风险范围以及起诉人推动的诉讼和理论的类型范围方面，网络安全和数据隐私的诉讼案件和诉讼类型都将日益增多。基于联邦隐私法规、州生物法、普通法理论等依据，2018年无数推定的数据隐私和网络安全的集体诉讼被提起来主张理赔。诉讼还为联网产品、人工智能以及其他正在发展的技术解决了安全和隐私方面的影响，并持续扩展消费者集体诉讼之外的类型。同时，法院继续努力解决隐私和安全类诉讼的高风险问题，比如最高法院对Spokeo, Inc. v. Robins一案的裁决在这一情景中的适当应用。

随着更多颠覆性的技术在整个经济市场被采用，以及对网络安全和数据隐私的期待的进一步演变，网络安全和数据隐私诉讼体系正准备在2019年再一次扩张。

在《加利福尼亚消费者隐私法案》（CCPA-the California Consumer Privacy Act）下，有限的私人诉讼权利的创建，同样表明了此项诉讼将会随着时间的推移只多不少。因此，2019年及以后，诉讼风险将成为决定公司各自应对网络安全和数据隐私问题的一个关键因素。新增的诉讼类型包括：
  数据泄露的集体诉讼
  物联网诉讼
  股东以及股东代表发起的网络诉讼


增加对复杂化数据隐私制度的采用
在过去的几年里，欧盟GDPR（一般数据保护法案）的实施推动了很多公司大量的合规工作。在2019年很可能会见证对GDPR的持续关注，以及对一系列新的类似于GDPR的法律的相似的关注度，其将会使数据隐私环境进一步复杂化。

很多司法管辖区，包括国家（如巴西），以及州（如加利福尼亚），都已经效仿GDPR并通过或提议了受GDPR启发的立法。管理和应对这些新兴制度将会是2019年私营部门数据隐私工作的一个关键点。新兴的立法制度包括：
  GDPR（欧盟的一般数据保护法案）
  CCPA（加利福尼亚消费者隐私法案）
  Brazilian General Data Protection Law（巴西一般数据保护法）
  其他司法管辖区也制定了类似于GDPR的立法


关注数据隐私和网络安全政策
州和联邦层级的政策制定者将于2019年密切关注数据隐私和网络安全问题。对于数据隐私的辩论很可能会考虑州和联邦政府在监管这一重要问题时各自的角色。与此同时，网络安全政策则将会特别关注解决以及回应国外行动者造成的威胁。这两个领域的政策决策都很可能会对私营部门产生重大影响，因此企业可能会从关注以及参与这些重要政策的辩论中显著获益。

数据隐私
州政府和联邦政府各自在数据隐私政策中的作用在2019年将成为一个关键问题。

如上文所述，CCPA（加利福尼亚消费者隐私法案）为消费者创造了有关个人信息的透明度、收集、使用、共享、删除以及销售的新的权利。其他州的立法者已经在寻求类似的立法，这大大地增加了在美国做生意的公司不久就需要管理一套在各个州的完整的复杂隐私制度的可能性。许多公司和行业协会可能会动员起来，推动一个单一的联邦数据泄露的通知标准作为这类法律的一部分。例如，在2018年底提出的一项法案将对在线服务提供商施加关怀、忠诚、和保密义务，在线服务提供商在网上从事洲际贸易，并收集识别最终用户的身份数据。

美国政府2019年也将可能重点关注数据隐私方面。2018年不少重要听证会涵盖了数据隐私，国会的监督预计在2019年将会显著增加。2018年11月，国家电信和信息管理局在寻求发展该局对消费者隐私问题的方法时，从超过200个组织那里收到了公开评论。此外，美国国家标准与技术机构已经独立起步来发展一个基于其高度成功的网络安全框架的隐私框架。

最后，即使各公司在州和联邦一级仔细追踪美国的数据隐私发展，这一问题也将继续在全球引起关注。在2019年1月的世界经济论坛上，日本首相安倍晋三主张更新世界贸易组织（WTO）的规则来解释和促进全球数据的自由和安全流动。跨国企业将追踪关于这些主题的全球视角的演变，并把握机会参与到正在进行的讨论中去。

网络安全
网络犯罪和网络间谍活动所带来的挑战可能是2019年美国网络安全政策的核心，不论是对国内还是对国外关系而言。私营实体企业将会有机会与联邦政府一起工作来解决这些紧迫问题，并可能从监控这一领域的不断演变发展的过程中获益。以下是网络安全方面的重点问题和重要举措：

  Trade Secret Theft 交易秘密窃取
2015年，中美两国公开承诺不以商业利益为目的从事网络化知识产权盗窃活动。美国政府高级官员最近发表的声明和由美国司法部提起的起诉暗示了一些主要政府官员的观点，认为中国未能遵守这一承诺。这些行动表明，2019年可能会出现中美就网络窃取交易机密的进一步争端。

  DHS Reorganization 美国国土安全部重组
2018年11月16日，美国总统签署了《2018年网络安全和基础设施安全机构法（CISA）》，从而对国土安全部的网络安全能力进行了重大重组。这项立法将网络安全和基础设施安全机构（“CISA”）确立为国土安全部的实体，“负责保护国家的关键基础设施免受物理和网络威胁”。在这一角色中，CISA管理着重要的公私网络安全参与和信息共享，包括通过国家网络安全以及通信集成中心。2019年公司将有机会与DHS国土安全部就网络安全问题进一步建立关系，比如参与其新组织倡导的倡议。

  White House Cyber Strategy白宫网络战略
美国政府于2018年9月发布了其首个扩展化的国家网络战略（National Cyber Strategy）。该战略中确立的很多优先级行动有可能影响私营实体企业，比如，该战略优先考虑“在七个关键领域的风险降低活动：国家安全、能源电力、银行金融、健康和安全、通信、信息技术以及交通”。这些行业的公司可以期待政府对其网络安全监管度的提升。公司和贸易协会将受益于继续关注与国家网络战略相关的政府行为。

  EU Cyber Strategy欧盟网络战略
2018年以欧盟机构就《网络安全法案》达成了一项政治协议落幕。该法案为针对ICT产品（即网络和信息系统的硬件和软件要素）的欧盟网络安全认证计划、服务（即通过网络和信息系统传输、存储、检索、或是处理信息）以及过程（即为设计、发展、交付以及维护ICT产品和服务而进行的一套活动）铺平了道路。另一项将在2019年对许多公司产生影响的欧盟立法是《网络和信息系统的安全指令》（“NIS指令”）。NIS指令对基本服务运营商（如医疗、交通、金融市场基础设施和银行、供水和配送等部门）和数字服务商提出了具体的安全和通知要求。


结语
网络安全和数据隐私可能会是跨国企业在2019年必须解决的最重要问题之一。网络事件持续变得复杂和严重，这要求公司持续改进他们的响应能力，而公司的法律架构、监管预期、诉讼风险以及监督机构的政策制定也在持续演变发展，不断地增加公司的复杂程度。企业将会受益于持续改进他们的网络风险管理与数据隐私合规计划，以应对2019年这些不断演变的挑战。