探索隐私安全
2017年第4期 259 < 返回目录
未能保护好你的数据可能会产生连锁效应,或损害公司的声誉以及与供应商、客户间的关系。

  没有完善的数据和信息,现代商业无法运作和蓬勃发展。例如,“大数据”和“数据分析”这样时髦的词语引起了人们对这些必要因素的关注,而它们也应该有此作用。自然而然地,如同数据和信息的管理员们一样,管理会计师们与数据运算也密切相关。他们理所应当对数据的安全性负有责任,但鉴于IMA®(美国管理会计师协会)《职业道德守则公告》中保密条款的重要性以及媒体对于泄露隐私的关注,管理会计师们也必须专注于保卫数据和信息的私密性。


只有信息经济学就足够了吗?

  许多专家表示确保百分之百的隐私安全与达到百分之百的质量即零瑕疵十分相似。的确,一个组织确保数据私密性的战略是其管理层和管理会计师设置的多个目标中的一项。如果没有与隐私相关的目标和目的,那么几乎是不可能确保和实现数据隐私的。

  如今在企业中,一个常见的策略就是使用一种“信息经济学”的手段来管理隐私,这基本上是一种成本—效益方法。不幸的是,由于这本质上是一种“违约”策略,因此它是一种根据结果而做出反应的方法,即直到出了岔子并发生了缺乏隐私的成本后,关于隐私的目的、目标和控制计划才会被实施、设计,甚至才开始被讨论。换言之,管理层和管理会计师们在数据消失(此时这个缺口也许会给企业造成严重的伤害)之前,未针对隐私做任何事情。在任何人控诉我们推卸责任之前,我们并不是说管理会计师们不保护信息。许多年来,IMA 和AICPA(美国注册会计师协会)都强调了信息安全的重要性。如今强调的重点在于隐私,这与信息安全不是一回事。一些确保安全的控制手段同样能保障隐私,但并不全面。安全性指的是保护信息免于破坏和盗窃。隐私指的是数据不被其他人看到。隐私高于安全;安全的数据可能会轻易地被侵犯隐私。

  了解到这一点后,管理会计师们必须用一种前瞻性的方法来比较和权衡保存数据的成本和效益。但这只有在管理会计师们意识到所有的数据必须具有到期日时才有可能 。使用当下的数据应用程序,会计师们不仅能够为数据标注到期日;他们还能够使数据在到期日消失。现有的几个智能手机应用程序,如Snapchat 和Confide,已经能够使用户让文字、数据甚至图片在其选择的日期后消失。当然,管理会计师们必须考虑法律对数据保存时间长度的要求(见“你必须保存你的数据多久?”),但所有数据现在必须附加一个到期自动触发的“删除”功能。


数据什么时候变坏了?

  保存数据的好处对大多数管理会计师们来说谈不上什么惊喜,它们包括方便创建用来分析数据的信息,产生财务报表和其他报告,以及符合法律要求。但保存数据也有其风险。其中一些风险可以解释为失误或错误,但在现代企业里这个风险几乎完全等同于丧失隐私的功能。数据存储自带此风险:某些数据更容易失去隐私,因此也比其他数据的风险更大。这种特性是恒定的且不会消失。然而在某些时候,保存数据的风险比其益处更大。此时,数据从本质上来说已经失效了且应当被删除。

  在现代企业里,创建一个“自动的”到期日(数据在这一天被删除)对保障隐私至关重要。此类型的控制计划在实施之前必须经过仔细的测试,实际情况必须得到严密监控以决定是否应该变更到期日。如果管理会计师们有能力设置一个自动的到期日,但却无法根据客观环境的要求更改和有效地监测它,那这个计划就应该被放弃。

  另外,企业应当计划给所有数据都设置到期日,因为即使是那些看上去不重要的数据也会引起隐私风险。例如,信息系统里也许会有一张会计师和客户在一家上游供应链伙伴那里一同工作的照片。这没什么大不了,对吧?现在的摄像机通常都有GPS功能,这意味着其拍摄的照片自带经度和纬度数据。一旦这张照片泄露,那么它包含的精确地理位置信息也就公之于众了。这也许违背了客户对保护隐私的期望。同样地,甚至不起眼的度假照片也会造成隐私风险。


栏线.jpg


你必须保存你的数据多久?

没有数据保存计划的隐私战略计划是不完整的。贵公司的计划——基于不计其数的法律、规章和指导方针——描述了数据在到期日自动删除前必须被保存的最少时间。表2和表3中所列的保存期限是以适用的美国联邦法规为基础的,并包含由众多律师、注册管理会计师和注册公共会计师提出的更为保守的建议。

请注意这两个表适用于美国公司;跨国企业也需要面对国际上对保存期限的要求。如表中所示,数据保存分为三类:(1)一般商业和法律记录;(2)会计、财务和税务记录;(3)法律规定的记录。

表2和表3是基于一般商业惯例和美国国家税务局(IRS)的要求,可仍然有许多其他组织有权要求或延长指定数据的保存期限。当为信息隐私设计任何计划时,请仔细审阅这些要求。比如,美国证券交易委员会(SEC)连同财务行业法规当局(FINRA)要求电子商业记录保留三至六年。还有,根据SEC Rule 17a-4,信息必须以其原始面貌存储在防破坏的、不可重写的且不可清除的媒介里,还得备份一份存放于不同的地点。SEC还要求将归档的信息盖上时间和日期,编写序列号和索引码,以保证其可搜索。

公司必须拥有一套适当的的审计系统并储存审计记录,他们还必须任命一位独立的第三方下载人员来访问公司的电子记录。其他可以影响数据保留政策的组织和法案包括《越战退伍军人调整援助法案》、《萨班斯法案》、《健康保险隐私及责任法案》(HIPAA)、《公平劳动标准法》、职业安全与健康管理局(OSHA)、《公民权利法案》、《家庭医疗休假法》、《移民改革与控制法》、税务局和财政部的法规、《戴维斯-培根法》、联邦贸易委员会、《沃尔什-希利公共合同法案》、《雇员退休收入保障法案》以及其他数不清的州和地区法律。表3是以其中一些以及其他组织和法案的要求为根据的。


栏线.jpg


以质量为基础的隐私管理战略

  鉴于隐私现在是一种质量问题,隐私泄漏会损害一家公司的收益和声誉,管理会计师们务必把隐私当作质量问题来管理。据报道,最近一家美国公司发生了一起数据泄漏事件,其丢失的每一份文件造成的损失平均超过200 美元。对企业来说,事先制订计划来报告、管理和控制这些成本就很有必要了。

  当管理层制定了质量目标后,隐私成本会以两种类型发生:(1)由于隐私可能泄漏造成的成本,即为了达到管理层的隐私目标而发生的成本;(2)由于隐私已经泄漏而发生的成本,即因为没能达标而发生的成本。这两种成本类型——合规成本和违规成本——分别有两个子类型。合规成本包括预防成本和评估成本;违规成本包括内部失败成本和外部失败成本。当和环境质量成本有关时,外部失败成本可进一步划分为两类:直接由企业承担的成本和由企业外部价值链里第三方承担的成本。(表1 列出了每个类别里典型的产生成本的活动。)


这是图片说明1

  管理会计师们衡量与表1中提到的活动有关的成本,并用它们来管理隐私。在最低限度上,这些活动包括组建一个以一位首席信息安全官(CISO)为领导的信息安全部门,并由遍布集团所有功能区域的数据隐私小组来支持;发展、维护和审阅一个控制敏感信息的综合性政策和流程手册;以创建和维护储存在集团任何地方的所有潜在敏感数据的有效清单为目的的数据评估,包括一份通向那些数据的所有接入点的完整清单;建立数据仓储;以及训练所有员工尊重隐私和认识隐私所受到的威胁,同时不断地让他们意识到保密的重要性。

  预防也包括控制计划,诸如自动到期日和其他清理数据的方式。预防成本包括了这段时间内那些与执行和监控此控制计划相关的成本。确实,一个隐私成本模型的时间跨度不止一年,以致于一些管理会计师引入现金流折现(净现值)的方法作为他们分析的一部分。附加的控制计划,如锁、密码、加密和其他控制权限的方法也会增加成本。

  评估成本,从另一方面说,来自被设计来识别隐私控制是否如预期那样能起到防止敏感信息泄漏的作用的活动。它们包括常规的渗透测试,硬件安全模块验证,自动化合规软件认证和其他入侵检测系统(包括预防数据遗失工具、监测网络活动日志),以及测试各种各样的权限控制和自动到期日控制的有效性。

  再者,对所有边界控制(如防火墙)的有效性必须定期测试。锁和其他实物性的遏制因素,比如传统的由第三方监管的安全警报系统,也应该作为评估流程的一部分被定期检测。例行的政策合规性审计(用来判定员工是否遵循公司关于敏感信息保护的政策)是另一个评估流程的重要方面,因为正是由于粗心的员工的各种行为,像把敏感的文件留在没锁门的办公室桌上或短暂离开电脑使其无人照看,才让数据遗失容易发生。


这是图片说明2


更多的失败= 更多的成本

  当预防活动和评估活动不起作用时,失败成本会叠加。内部失败成本——企业内部的评估流程侦测到的真实的和潜在的违规所造成的成本——对企业来说远不如个人成为隐私泄露的受害者时的外部失败来的花费大。(一些管理会计师把内部失败成本视作一件好事,因为这意味着公司成功地侦测到了这些失误)与内部失败成本有关的活动包括当发现有违规行为时的惩罚性措施,以及对员工进行补救培训;重新制定受损的系统,包括重新编写代码和各种各样处于危险之中的网络应用程序;调查异常的网络拥堵;因为在补救流程中系统瘫痪所带来的收入和/ 或生产力损失。至于自动到期日控制,当由于到期日过于静态且无法随着情况的变化去更改而造成无法取得需要的数据时,内部失败可能会发生。

  外部失败成本——敏感信息被泄露给企业外部人员而造成确实损失的成本——远比内部失败成本棘手,因为它们本质上可能成指数增长并且有着深远的负面影响。一些外部失败成本由企业自己承担,而另一些则最终由第三方承担,它们是企业失败的受害者。这些间接的外部失败成本几乎无法衡量,又称作外部价值链成本。

  外部失败可能源自未检测到的安全威胁,未能遵守数据安全和销毁政策,把数据到期日设置得过晚,未能更新安全软件,未能启用安全设备,等等。作为结果,公司可能要为每件事情的成本买单,这些事情包括调查违规、罚金罚款、雇用公共关系专家来减轻失败的负面影响。这些成本上升得很快。再者,由于它们经常难以量化,因此很容易被严重低估。比如,你如何量化一起隐私泄露而对公司声誉造成破坏的成本呢?你如何估计客户流失对短期和长期收入的影响呢?

  正如我们前面提到的,恼人的企业不是唯一由于外部失败而蒙受财务损失的一方。对企业的外部价值链里受影响的各方,他们发生的成本极少得到完整补偿。比如,当个人员工和客户还在重塑其被窃取的身份时,他们会无法取得贷款。数据受到损坏的供应商或商业客户也会发现他们在产生由公司承担的相同类型的外部失败成本。除了修复自身系统而造成的可见的直接成本外,他们也必须努力地最小化对其品牌形象和声誉的影响。


管理隐私成本需要技巧

  在识别和分配了与隐私数据有关活动的成本后,有两种管理这些成本的方法。它们都简单明了,不过其中一种直觉上没有另一种那么吸引人。第一种方法致力于在合规成本(预防和评估)与违规成本(内部失败、外部失败和外部价值链成本)之间取得最佳平衡。

  使用了过去30 年的质量成本模型的研究表明,数学上来讲,总成本在合规成本等于违规成本时达到最小值(见图1)。如果用这种方法,管理人员在预防和评估上花了足够多的钱使其与总的违规成本相等,由此使得总隐私成本最小化。如果包括合规和违规的所有成本都能事先被识别并准确被量化,那这个方法会很有用。不幸的是,这两个条件都不太可能实现。对第一个假设来说,要识别和准确地量化所有的隐私成本几乎是不可能的。比如,对公司和受影响的第三方来说,尤其难以衡量外部失败成本。怎么可能期望一名管理会计师量化外部失败成本的每个方面,像失去的销售额,公司的和第三方受损的声誉,供应商对公司的信心缺失以及与媒体打交道时十足的窘态。因为外部失败成本和外部价值链成本很有可能比公司自己计算的要高得多,把总的合规性花费设置成与总的被确定的违规成本相等的做法并不会使总的隐私成本最小化。

  第二个假设认为这个模型是静态的,这忽视了实际情况。数据隐私问题产生的环境是动态的。新的科技和知识能力一方面让合规不那么花钱,但同时越发短暂的系统控制的生命周期使泄漏更容易发生,并且其危害更大。比起静态的模型,一个更实际的动态模型中,合规曲线(如图1 中所显示)不断地向下移动而违规曲线不断地向上移动。

  基于这些持续移动的成本曲线,另一个更具战略性的管理隐私成本的方法是尽可能地将注意力集中在预防活动上。在今天的商业环境里,最好的管理隐私的方法是最大化预防性投资。简单来说,管理会计师们必须做“零隐私瑕疵”的计划来保护企业的形象和收入,同时也保护其价值链中的其他参与者。为了支持这项工作,数据隐私成本目标应该作为不可或缺的一部分被包含在一个公司的平衡计分卡里,并得到定期监测。正式的数据隐私成本报告、审阅和分析应该成为公司成本管理活动中不可或缺的一部分。


这是图片说明3


这一切对你和你的公司意味着什么?

  在大数据时代,管理会计师们必须继续成为数据的看管者,如他们之前一直做的那样。这意味着他们必须学习把隐私当作一个质量问题。第一步是发展新的控制计划,包括设置自动到期日。如同把到期日作为一个把容易变质的物品撤离货架的指标一样,一旦保存数据的风险超过了它的益处,一家企业设置的自动到期日必须确实触发,以删除数据。

  当然,这些新的控制计划只是创建带有保卫隐私的目标和目的这一战略计划的第一步。管理会计师们可以尝试将实现隐私目标(合规)的成本与未能达标(违规)的成本相比来计算取得高质量隐私的成本。在计算了这些成本并且意识到外部失败成本——特别是外部价值链成本——高得离谱后,每个人都会明白唯一的方法是集中精力做好预防。

  尽管技术、法律和规章制度的不断变化让事情难以完成,但完全杜绝隐私失败应该成为任何一家高质量的21 世纪企业的重要目标。



                                      

William M. Baker,CMA、博士,美国阿巴拉契亚州立大学会计系教授。联系方式:(828) 262-6200 或bakerwm@appstate.edu。

                                      

Kevin L. Kemerer,CMA,CFM, 博士, 美国佛罗里达州迈阿密市贝瑞大学会计学副教授,《小行业的企业家精神: 资料读物》(Small Business Entrepreneurship: ASourcebook )一书的合著者。联系方式:(305) 899-3507或kkemerer@barry.edu。

                                      

Kay Poston,博士,美国南卡罗来纳州佛罗伦萨市弗朗西斯·马里昂大学会计学教授。联系方式:(843) 661-1476 或kposton@fmarion.edu。


朱文豪 译,陈明佳 校

< 返回目录