律文本中，嘗試明確該等系統延遲或奔潰事件的責任安排。

2．在遠程辦公環境下，以疫情為主題的釣魚攻擊頻發，企業如何降低外部網絡攻擊風險？

事件回顧：

疫情期間，某網絡安全公司發現部分境外的黑客組織使用冠狀病毒為主題的電子郵件進行惡意軟件發送，網絡釣魚和欺詐活動。比如，黑客組織偽裝身份（如國家衛健委），以“疫情防控”相關信息為誘餌，發起釣魚攻擊。這些釣魚郵件攻擊冒充可信來源，郵件內容與廣大人民群眾關注的熱點事件密切相關，極具欺騙性。一旦用戶點擊，可能導致主機被控，重要信息、系統被竊取和破壞［7］。

風險評估：

依據《網安法》第21、25條的規定，網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改：（1）制定內部安全管理制度和操作規程，確定網絡安全負責人，落實網絡安全保護責任；（2）采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施；（3）采取監測、記錄網絡運行狀態、網絡安全事件的技術措施，并按照規定留存相關的網絡日志不少于六個月；（4）采取數據分類、重要數據備份和加密等措施；（5）法律、行政法規規定的其他義務。同時，網絡運營者還應當制定網絡安全事件應急預案，及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險；在發生危害網絡安全的事件時，立即啟動應急預案，采取相應的補救措施，并按照規定向有關主管部門報告。

遠程辦公的實現，意味著企業內網需要響應員工移動終端的外網接入請求。員工所處的網絡安全環境不一，無論是接入網絡還是移動終端本身，都更容易成為網絡攻擊的對象。一方面，公用WiFi、網絡熱點等不可信的網絡都可能作為員工的網絡接入點，這些網絡可能毫無安全防護，存在很多常見的容易被攻擊的網絡漏洞，容易成為網絡犯罪組織侵入企業內網的中轉站；另一方面，部分員工的移動終端設備可能會安裝設置惡意程序的APP或網絡插件，員工在疏忽的情況下也可能點擊偽裝的釣魚攻擊郵件或勒索郵件，嚴重威脅企業內部網絡的安全。

在計算機病毒或外部網絡攻擊等網絡安全事件下，被攻擊的企業盡管也是受害者，但如果企業沒有按照《網安法》及相關法律規定的要求提前采取必要的技術防范措施和應急響應預案，導致網絡數據泄露或者被竊取、篡改，給企業的用戶造成損失的，很可能依舊需要承擔相應的法律責任。

應對建議：

對于企業而言，為遵守《網安法》及相關法律規定的網絡安全義務，我們建議，企業可以從網絡安全事件管理機制、移動終端設備安全、數據傳輸安全等層面審查和提升辦公網絡的安全：

（1）企業應當根據其運營網絡或平臺的實際情況、員工整體的網絡安全意識，制定相適應的網絡安全事件管理機制，包括但不限于：

制定包括數據泄露在內的網絡安全事件的應急預案；

建立應對網絡安全事件的組織機構和技術措施；

實時監測最新的釣魚網站、勒索郵件事件；

建立有效的與全體員工的通知機制，包括但不限于郵件、企業買粉絲等通告方式；

制定與員工情況相適應的信息安全培訓計劃；

設置適當的獎懲措施，要求員工嚴格遵守公司的信息安全策略。

（2）企業應當根據現有的信息資產情況，采取以下措施，進一步保障移動終端設備安全：

根據員工的權限等級，制定不同的移動終端設備安全管理方案，例如，高級管理人員或具有較高數據庫權限的人員僅能使用公司配置的辦公專用移動終端設備；

制定針對移動終端設備辦公的管理制度，對員工使用自帶設備進行辦公提出明確的管理要求；

定期對辦公專用的移動終端設備的系統進行更新、漏洞掃描；

在終端設備上，對終端進行身份準入認證和安全防護；

重點監測遠程接入入口，采用更積極的安全分析策略，發現疑似的網絡安全攻擊或病毒時，應當及時采取防范措施，并及時聯系企業的信息安全團隊；

就移動辦公的信息安全風險，對員工進行專項培訓。

（3）保障數據傳輸安全，企業可以采取的安全措施包括但不限于：

使用HTTPS等加密傳輸方式，保障數據傳輸安全。無論是移動終端與內網之間的數據交互，還是移動終端之間的數據交互，都宜對數據通信鏈路采取HTTPS等加密方式，防止數據在傳輸中出現泄漏。

部署虛擬專用網絡（買粉絲），員工通過買粉絲實現內網連接。值得注意的是，在中國，買粉絲服務（尤其是跨境的買粉絲）是受到電信監管的，僅有具有買粉絲服務資質的企業才可以提供買粉絲服務。外貿企業、跨國企業因辦公自用等原因，需要通過專線等方式跨境聯網時，應當向持有相應電信業務許可證的基礎運營商租用。

3．內部員工通過買粉絲進入公司內網，破壞數據庫。企業應當如何預防“內鬼”，保障數據安全？

事件回顧：

2月23日晚間，買粉絲頭部服務提供商微盟集團旗下SaaS業務服務突發故障，系統崩潰，生產環境和數據遭受嚴重破壞，導致上百萬的商戶的業務無法順利開展，遭受重大損失。根據微盟25日中午發出的聲明，此次事故系人為造成，微盟研發中心運維部核心運維人員賀某，于2月23日晚18點56分通過個人買粉絲登入公司內網跳板機，因個人精神、生活等原因對微盟線上生產環境進行惡意破壞。目前，賀某被上海市寶山區公安局刑事拘留，并承認了犯罪事實［8］。由于數據庫遭到嚴重破壞，微盟長時間無法向合作商家提供電商支持服務，此處事故必然給合作商戶帶來直接的經濟損失。作為港股上市的企業，微盟的股價也在事故發生之后大幅下跌。

從微盟的公告可以看出，微盟員工刪庫事件的一個促成條件是“該員工作為運維部核心運維人員，通過個人買粉絲登錄到了公司內網跳板機，并具有刪庫的權限”。該事件無論是對SaaS服務商而言，還是對普通的企業用戶而言，都值得反思和自省。

風險評估：

依據《網安法》第21、25條的規定，網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改：（1）制定內部安全管理制度和操作規程，確定網絡安全負責人，落實網絡安全保護責任；（2）采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施；（3）采取監測、記錄網絡運行狀態、網絡安全事件的技術措施，并按照規定留存相關的網絡日志不少于六個月；（4）采取數據分類、重要數據備份和加密等措施；（5）法律、行政法規規定的其他義務。同時，網絡運營者還應當制定網絡安全事件應急預案，及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險；在發生危害網絡安全的事件時，立即啟動應急預案，采取相應的補救措施，并按照規定向有關主管部門報告。

內部員工泄密一直是企業數據泄露事故的主要原因之一，也是當前“侵犯公民個人信息犯罪”的典型行為模式。遠程辦公環境下，企業需要為大部分的員工提供連接內網及相關數據庫的訪問權限，進一步增大數據泄露甚至被破壞的風險。

與用戶流量激增導致的系統“短時間崩潰”不同，“微盟刪庫”事件的發生可能與企業內部信息安全管理有直接的關系。如果平臺內合作商戶產生直接經濟損失，不排除平臺運營者可能需要承擔網絡安全相關的法律責任。

應對建議：

為有效預防員工惡意破壞、泄露公司數據，保障企業的數據安全，我們建議企業可以采取以下預防措施：

制定遠程辦公或移動辦公的管理制度，區分辦公專用移動設備和員工自有移動設備，進行分類管理，包括但不限于嚴格管理辦公專用移動設備的讀寫權限、員工自有移動設備的系統權限，尤其是企業數據庫的管理權限；

建立數據分級管理制度，例如，應當根據數據敏感程度，制定相適應的訪問、改寫權限，對于核心數據庫的數據，應當禁止員工通過遠程登錄方式進行操作或處理；

根據員工工作需求，依據必要性原則，評估、審核與限制員工的數據訪問和處理權限，例如，禁止員工下載數據到任何用戶自有的移動終端設備；

建立數據泄露的應急管理方案，包括安全事件的監測和上報機制，安全事件的響應預案；

制定遠程辦公的操作規范，使用文件和材料的管理規范、應用軟件安裝的審批流程等；

組建具備遠程安全服務能力的團隊，負責實時監控員工對核心數據庫或敏感數據的操作行為、數據庫的安全情況；

加強對員工遠程辦公安全意識教育。

4．疫情期間，為了公共利益，企業通過系統在線收集員工疫情相關的信息，是否需要取得員工授權？疫情結束之后，應當如何處理收集的員工健康信息？

場景示例：

在遠程辦公期間，為加強用工管理，確保企業辦公場所的健康安全和制定相關疫情防控措施，企業會持續地向員工收集各類疫情相關的信息，包括個人及家庭成員的健康狀況、近期所在地區、當前住址、所乘航班或火車班次等信息。收集方式包括郵件、OA系統上報、問卷調查等方式。企業會對收集的信息進行統計和監測，在必要時，向監管部門報告企業員工的整體情況。如發現疑似病例，企業也會及時向相關的疾病預防控制機構或者醫療機構報告。

風險評估：

2020年1月20日，新型冠狀病毒感染肺炎被國家衛健委納入《中華人民共和國傳染病防治法》規定的乙類傳染病，并采取甲類傳染病的預防、控制措施。《中華人民共和國傳染病防治法》第三十一條規定，任何單位和個人發現傳染病病人或者疑似傳染病病人時，應當及時向附近的疾病預防控制機構或者醫療機構報告。

2月9日，中央網信辦發布了《關于做好個人信息保護利用大數據支撐聯防聯控工作的通知》（以下簡稱《通知》），各地方各部門要高度重視個人信息保護工作，除國務院衛生健康部門依據《中華人民共和國網絡安全法》、《中華人民共和國傳染病防治法》、《突發公共衛生事件應急條例》授權的機構外，其他任何單位和個人不得以疫情防控、疾病防治為由，未經被收集者同意收集使用個人信息。法律、行政法規另有規定的，按其規定執行。

各地也陸續出臺了針對防疫的規范性文件，以北京為例，根據《北京市人民代表大會常務委員會關于依法防控新型冠狀病毒感染肺炎疫情堅決打贏疫情防控阻擊戰的決定》，本市行政區域內的機關、企業事業單位、社會團體和其他組織應當依法做好本單位的疫情防控工作，建立健全防控工作責任制和管理制度，配備必要的防護物品、設施，加強對本單位人員的健康監測，督促從疫情嚴重地區回京人員按照政府有關規定進行醫學觀察或者居家觀察，發現異常情況按照要求及時報告并采取相應的防控措施。按照屬地人民政府的要求，積極組織人員參加疫情防控工作。

依據《通知》及上述法律法規和規范性文件的規定，我們理解，在疫情期間，如果企業依據《中華人民共和國傳染病防治法》、《突發公共衛生事件應急條例》獲得了國務院衛生健康部門的授權，企業在授權范圍內，應當可以收集本單位人員疫情相關的健康信息，而無需取得員工的授權同意。如果不能滿足上述例外情形，企業還是應當依照《網安法》的規定，在收集前獲得用戶的授權同意。

《通知》明確規定，為疫情防控、疾病防治收集的個人信息，不得用于其他用途。任何單位和個人未經被收集者同意，不得公開姓名、年齡、身份證號碼、電話號碼、家庭住址等個人信息，但因聯防聯控工作需要，且經過脫敏處理的除外。收集或掌握個人信息的機構要對個人信息的安全保護負責，采取嚴格的管理和技術防護措施，防止被竊取、被泄露。具體可參考我們近期