记得有一次参加行业交流会,一位同行跟我吐槽他们公司刚经历了一次数据泄露,结果公关部门完全不知道这件事,还是记者打电话来采访才反应过来。这个消息让我挺震惊的,但转念一想,这种场景其实太普遍了。很多企业安全团队只盯着技术修复,完全忽略了对外沟通这条线,结果小泄露变成大危机。
泄密事件的对外沟通,分三个层次来谈。第一层是对监管机构的报告,第二层是对受影响客户的通知,第三层是对公众和媒体的回应。每一个层级都有不同的规则和风险。
先说监管报告。根据关键信息基础设施安全保护条例和个人信息保护法的要求,发生数据泄露事件后,需要在规定时间内向有关部门报告。具体时间节点大家要查最新法规,但核心原则是一样的——不能瞒报不能谎报不能迟报。我曾经遇到过一家企业,数据泄露发生了一个月还没向主管部门报告,最后被查到的时候处罚直接翻倍。监管报告的内容一般包括事件描述、涉及的数据类型和数量、已经采取的处置措施、事件可能造成的影响、后续的整改计划。报告要客观真实,不能为了减轻责任而淡化事实,但也不需要过度渲染,实事求是就好。
监管报告还有一个容易被忽略的点——谁来对接监管。这个角色必须指定专人,而且这个人要经过培训,了解监管机构的工作方式和对报告格式的规范要求。贸然派一个不懂行的技术人员去跟监管沟通,很容易出现答非所问的情况,给监管留下不专业的印象。
第二层是对客户的通知。这里面的学问比想象中要大。首先,通知的时机要把握好。太早了情况还没搞清楚就通知,容易引起恐慌和误判;太晚了客户已经从其他渠道知道了,会质疑你的诚信。我的建议是在完成初步评估、确认了泄密范围和影响之后,尽快发出第一轮通知。其次,通知的内容要精准但克制。要告诉客户发生了什么、对他们的数据有什么影响、你正在做什么来解决问题、他们需要采取什么自我保护措施。不要在这个阶段做过度承诺,比如"保证不会再发生",这种话说出去万一再有纰漏就等着被起诉吧。
通知的渠道也有讲究。对个人客户,短信加邮件组合比较好。短信能确保被及时看到,邮件可以承载更完整的内容。对B端客户或者合作伙伴,需要单独安排沟通,通过客户经理一对一联系,同时附上正式函件。还要留下专门的咨询服务热线或邮箱,让客户有问题能找到人问。
第三层是对公众和媒体的回应。这一层是风险较高的,因为话语权不在你手里。媒体有自己的叙事逻辑,企业说的每一句话都可能被放大解读。我的核心建议只有一条——指定核心发言人,统一口径。发言人要经过专门的危机沟通训练,知道怎么在不得罪媒体的前提下又不泄露敏感信息。回答问题的原则是:该说的说清楚,不该说的坚决不说。对于不清楚的问题,诚实地说"这个还需要进一步调查",不要编答案。
媒体沟通中还有几个雷区需要规避。一是不要指责受害者,哪怕泄露原因确实是客户自己密码太简单,也不能在公开场合这么说。二是不要推卸责任给第三方,哪怕确实是供应商的系统出了问题,也要说清楚你正在跟供应商一起处理。三是不要提前做出没有把握的承诺,修复时间、赔偿方案这些都需要经过法务和业务评估后才能对外公布。
还有一个容易忽视的环节——对内沟通。对外沟通开始之前,首先要让内部员工知情。员工如果从新闻上知道公司出了事,士气打击是其次,关键是他们可能无意中对外透露不准确的信息。所以内部通知要走在外部通知前面,告诉员工发生了什么、公司的态度是什么、员工的应对原则是什么,特别要强调不接受媒体采访,统一由发言人对接。
泄密事件是一面照妖镜,你的对外沟通体系平时准备得怎么样,出事那一刻就见真章了。预案做在前头,沟通口径提前备好,发言人提前训练,这样事来了才不至于手忙脚乱。
