我接触过的一个案例非常具有警示意义,而且发生在一家已经通过多项安全认证的企业身上。这家企业去年做了一次内部合规审计,审计报告详细列出了公司在数据安全和个人信息保护方面存在的若干问题,包括整改时间表、责任人和具体措施。这份报告按照公司规定,仅在高层管理者和相关部门的负责人之间传阅,文件本身也加了水印和阅后即焚的机制。问题出在一个中层管理者身上。他收到这份报告后,觉得其中提到的一些问题特别讽刺,比如公司一边在强调数据安全,一边自己的数据库里还有大量长时间没清理的冗余数据。他在下班后的私人时间里,用自己的手机对着电脑屏幕翻拍了几页报告内容,用模糊处理工具简单处理了一下文件名称和日期,然后发到了自己的朋友圈,配了一句调侃公司管理制度的文字。他以为模糊处理了文件名称就可以万事大吉了,但没想到报告中的一些核心判断段落、专业术语和内部编号信息并没有被完全遮盖。朋友圈发出后,不到两个小时就被公司内部同事截图,然后这张截图在各个内部群里传了一圈,最终被一个关注数据合规的记者看到,顺手写了一篇报道。报道里虽然没有直接点名公司的名字,但报道中引用的细节和信息让行业内的明眼人一看就知道是哪家企业。随后引发了监管部门的关注,对公司进行了一次非常严格的全面检查。
这件事的风险其实并不在于那个员工发的朋友圈本身,而在于企业在敏感信息管理上存在结构性漏洞。第一个问题是敏感信息的查看和分享没有建立行为约束机制。即使一份报告只能被少数人看到,但这些人看完之后怎么处理、能不能拍照、能不能引用,需要在制度层面和技术层面同时做限制。比如在敏感文件阅读系统中加入屏幕水印,水印里包含查看人的姓名和工号,这样即使有人拍照截屏,后续追查也更加直接。第二个问题也是很多企业容易踩的坑:对内部评级为中高风险的文档,没有禁止拍照的规定和检测手段。手机镜头在会议室和办公区是正常存在的,但要在制度上明确标注为机密或内部敏感的文件,不得以任何形式的屏幕翻拍或截屏传播。技术层面上,可以在敏感文档查看页面检测是否有截屏行为并发出提醒。第三个问题是员工安全意识的分层培训没有覆盖到位。这个中层管理者在公司里也算老员工了,平时表现也很好,但他完全没意识到自己随手拍下的审计报告会引发什么样的连锁反应。这就说明即使是管理层级别的人员,对数据安全的边界理解仍然有很大的盲区。
事后处理的结果是,这位员工被内部处分,公司花了大价钱做了一次全面的合规整改,并且被监管机构列入了重点关注名单。我想跟管理者们说,企业应该把全员安全意识培训做到实处,而不是每年一次走过场。培训的重点不应该只是讲法律法规,更要讲清楚日常工作中哪些看似无害的小动作,实际上可能引发巨大的连锁反应。同时,在技术和管理措施上做好配合,让员工即使一时疏忽,系统本身也能起到兜底的作用。
