科律律師樓|企業宜勤演練 提升網攻存活率 各國AI法規差異大 擴版圖前要認清
原文刊於信報財經新聞「CEO AI⎹ EJ Tech——高管對談」
企業競相投身人工智能(AI)、挖掘數據價值,全球監管格局也呈現「碎片化」趨勢。本報早前跟科律(Cooley)律師樓3位網絡安全、數據、私隱業務專家深度對談,探討當下企業在這種複雜環境下,如何應對相關法律風險。
科律合夥人范埃克(Patrick Van Eecke)說,「我們看到亞洲公司,尤其專注於科技與跨境解決方案的企業,愈來愈常面臨美國法律挑戰與合規要求。當然歐洲、亞洲也是,這些要求之間差異愈來愈大。在監管面向上,已不能再說世界是平的。」他提到,直到5至10年前,各國可能還會商討制定類近規則,但今天不太可能。
備妥應變機制防「心臟病發」
目前各國有些採取全面規制,有些較為輕量,AI就是很好的例子,他說:「現在大家都在做AI,但我們看到各個經濟體在是否、如何監管AI,都採取不同做法。」例如歐洲最早提出嚴格規範,新加坡比較輕手。對於有意在國際擴張的企業來說,必須了解有關趨勢。
談到網絡安全事故時,另一位科律合夥人勒布朗(Travis LeBlanc)比喻它為心臟病發作,「你沒時間慢慢去找心臟科醫生或外科醫生……當下你只能做一件事:盡力活下來」,所以機構事前要做好準備,備妥內部應變機制,等到狀況發生時,便不用匆忙找人支援。
投保事前審查日趨嚴格
同時,勒布朗建議企業要日常做情景演練,模擬網絡攻擊實戰演習,增加啟動回應的效率。此外,一旦不幸發生事故,企業還要評估通報對象的優次,這一方面屬於合規要求,另方面也因為知會客戶或監管機關,分別有可能觸發訴訟、調查或執法行動。
保險也是企業可用來轉移風險的工具,近年甚至興起了專門的網絡風險保險。范埃克稱:「保險公司起初以為這是一個新的市場機會……但後來它們發現事故頻生、理賠金額高,風險遠超預期,因此在理賠時變得非常謹慎。」
勒布朗補充,就像其他類型保單一樣,業界事前審查日趨嚴格,企業需要真誠申報數據加密、雙重驗證一類保安措施,並在日常運作真正落實和定期審核,否則保險公司有權拒賠。
個人或須承擔法律責任
更重要的是,有關風險有機會延伸導致個人法律責任,歐美地區已有零星個人追責案例,例如幾年前「Sunburst後門」事故後,涉事企業資訊安全總監曾被美國證監會指控欺詐失職。
科律律師于智精也提醒,亞洲地區同樣存在這樣的可能性,像是中國《網絡安全法》、《個人信息保護法》、《數據安全法》下,「直接負責人若違法,可能會被追究法律責任。」
採訪、撰文:郭文德
人工智能必讀好書
書名:The AI Edge: Sales Strategies for Unleashing the Power of AI to Save Time, Sell More, and Crush the Competition
作者:Jeb Blount, Anthony Iannarino
簡介:本書利用人工智能的力量,建立目標潛在客戶名單,打開銷售管道,同時減少陌生電話及拒絕。
支持EJ Tech
如欲投稿、報料,發布新聞稿或採訪通知,按這裏聯絡我們。
