史蒂夫·奥尼尔欧洲,中东和非洲地区战略运营首席财务官, 电磁兼容 大卫·伊斯特伍德,合作伙伴, 毕马威英国 辩称,了解企业技术趋势对数据(包括大数据和云)的影响应该是总法律顾问的优先事项…

语境
毕马威总法律顾问调查 (http://www.kpmg.com/Global/en/IssuesAndInsights/ArticlesPublications/Documents/general-counsel-survey-2012v2.pdf)调查了全球320位总法律顾问(GC)关于风险,法规和争议的观点。当被问及最关心他们的问题是什么时,监管显然是头等大事。相比之下,云和社交媒体的风险最低,将近三分之一的法律顾问认为,这些普遍的技术趋势对他们的组织几乎没有风险。

数据保护确实位居榜首,但这项研究明显表明,GC不太熟悉或担心新技术给业务带来的挑战:例如,云和社交媒体如何造成风险,以及什么是支配和管理此技术的技术。当被问及他们需要与哪些职能部门密切合作以管理未来的风险时,没有一个GC提到IT。

我们感到惊讶和担忧,尤其是考虑到数据丢失事件的趋势,该事件在2011年和2012年急剧上升,在公开披露的案件中跃升了40%以上(http://www.kpmg.com/EE/et/IssuesAndInsights/ArticlesPublications/Documents/Data-Loss-Barometer.pdf)。我们认为,GC在帮助组织管理风险方面可以发挥关键作用,并且这种责任也应包括技术风险。

总顾问关于数据风险的六个讨论点
当然,不应期望他们独自承担这一负担。以下是应由GC监控的一些关键风险领域,并正在积极与CFO或首席风险官以及CIO进行讨论。

1.您的数据是什么?
定义企业数据是前所未有的挑战。它不再由位置定义,因为数据经常出于合法的理由离开公司办公场所,例如到供应链或印刷或营销公司等第三方服务提供商。即使在直接控制下,随着云服务变得越来越普遍,数据很可能会在异地托管。它已经经常在每天结束时离开员工的笔记本电脑和平板电脑,而这些笔记本电脑和平板电脑已不再属于公司。

随着保护所有数据的难度越来越大,从相对不重要的信息到个人数据,价格敏感信息和商业机密,对公司数据进行分类并确定对每种类型适用的保护级别变得至关重要。这是成功使用云服务的前提条件,也是GC可以增加可观价值的领域。

2.您的数据在哪里?
当今企业IT中最普遍的趋势可能是迁移到云系统,这使IT服务在追求极高效率方面具有截然不同的特征。云服务和云基础架构可以是本地的,也可以代表公司从组织的房地产内部提供,也可以在其他位置托管。在这两种情况下,数据都可能位于一个或多个位置,并且可能会移动。

因此位置很重要。 GC必须明确存储数据的法律含义,即使存储数据是短暂的,尤其是在另一个地区和/或法律管辖范围内,并且涉及例如个人数据的跨境移动时,尤其是在公共云。存储数据的地方可能会使一家公司进入另一种监管制度,例如,出于数据隐私或财务监管的考虑,或者违反当地法律。

了解您的公司数据在谁手中也是关键。外包商2e2最近的消亡(http://www.bbc.co.uk/news/uk-england-berkshire-21241708)给他们的一些客户带来了真正的问题,因为他们努力保持对业务关键信息的访问,有序地对其进行恢复并确保已从2e2的基础架构中删除该信息。与技术挑战一样,这是合同和法律风险。

3.关键数据如何以及在何处受到保护?
保护在平板电脑,智能手机和USB记忆棒上以及通过传统计算设备存储或从其中访问的数据是一项日新月异的挑战。这里保护数据涉及两件事。首先,确保它免受恶意攻击和意外损失。第二,在发生事件时提供弹性和恢复能力。在这两种情况下,都存在合同和监管方面的问题。

监管环境取决于您所在的行业。例如,金融服务行业由于其经济重要性和系统风险而面临其他要求。国家关键基础设施的其他部分将有其自身的约束。例如,在NHS信托中,尤其令人担忧的是使用2e2,以防数据丢失或访问限制可能对患者护理产生影响。

合同地位取决于您与客户之间的协议-丢失数据或无法提供数据或服务访问权限的公司可能违反合同。但是,由于地方法院将敏锐地意识到,与法院相比,舆论法院通常是一个更为紧迫的论坛。

评估这些风险并选择正确的缓解路径-冗余,弹性,恢复-需要业务投入,并获得法律见识的支持,以使CIO能够证明对安全性以及备份和恢复技术进行投资的合理性。

4.如何存储数据?
紧凑,高容量的数据存储设备的兴起和云存储服务的增长带来了“游击IT”的风险-员工在技术上规避了提高生产力或故意和恶意获取数据的权限。这通常会导致机密数据移动到公司防火墙之外,从而违反公司治理以及潜在的法规和当地法律。就此可能产生的个人和公司风险向员工进行培训是合规角色,应与法律部门磋商,并与IT部门就预防和发现的技术控制进行磋商。

5.我们拥有什么大数据?
从一个角度来看,大数据是集成多个数据集以创建新的见解。这些数据集可能分别是无害的,并且可以正确创建或获取–但结合起来,它们可能允许开发出意想不到且敏感的“全新”数据。例如,对社交媒体活动的仔细分析可能会提供保险公司可能认为与向客户或一组客户提供人寿保险产品相关的信息。这种活动的法律地位并不总是很明确,GC需要密切注意这一法律领域的发展,因为大数据将在企业未来的增长方式中扮演越来越重要的角色。

6.组织是否有能力满足所有市场中的电子披露要求?
云改变了电子披露的环境,换句话说,就是在争议过程中向对手和法院提供信息。发现和披露法律在不同国家/地区有所不同,并且数据的位置可能会产生重大影响:例如,如果您的电子邮件流量通过美国,则在美国的行动中可能会发现所有电子通信–即使您在美国没有其他联系点。

推荐建议
随着技术的不断发展和破坏传统的经商方式,GC将需要与IT,首席财务官和首席风险官保持并保持更紧密的联系,以确保企业全面了解自己面临的不同风险类别。这可能会影响从IT到整体业务战略和策略的所有方面,控制与特定市场的交互或进入特定市场的机会,并可能影响客户和员工合同。

保持领先地位的关键是,GC需要包括跨部门的协作(特别是与IT部门合作),在必要时寻求外部建议,并根据暴露于各种地区以及法律和法规管辖范围的风险来评估IT风险。反过来,这些信息将为您提供给客户的担保和义务,以及对您自己的供应链的影响。

更好地理解了所发生的技术问题后,总法律顾问将处于有利的地位,可以帮助其组织更有效地管理风险。