笔者从事网络安全风险评估与安全评审工作(项目管理过程中的安全审核)多年,经常遇到的一个问题就是:当我发现待上线的产品或业务,可能面临重大的风险的时候,从公司已经签发的安全策略、标准与规范等诸多文件中,找不到对应的条款来强制业务改进,最后给审核意见的时候,就只能说:可能存在XXX风险,建议在产品上做YYY改进(注意关键用词是“建议”,而不是“务必”)。此外,有时这些风险,是来自政策或潜在的法律风险,而法务部一般不会参与项目管理过程中的审核,要么是安全团队传达(一些显而易见的风险),要么是在流程之外请产品团队咨询法务的意见。
虽然给出的意见是“建议”,但基本上产品团队也都根据建议修改了,大家相安无事。
如果有个别产品,不听“建议”,在后面的流程中则处处碰壁(因为后续环节的审核也会参考安全方面给出的意见)。部分在后续环节完成了改进,但总有那么个别产品,坚持不改,或者说改不了,针对这种情况,我们一般会让产品团队到业务线的领导那里去决策,以决策意见为准。
如果业务管理团队决定接受风险了,则项目继续,承担风险的职责就完全由业务决策层承担了。
同样的风险,如果出现的次数多了,我们就会安排修订策略、标准或规范,纳入正式的文件,以后就可以按照文件规定进行处置。
其实,国家立法的进程跟这个例子道理是一样的。
法律不可能覆盖到生产、生活中的方方面面。
在某个特地领域内,如果有法可依,一切好办,依法办事即可。 如果没有法律,同时领域内出现了许多问题或风险,那么监管部门就会出台政策、规定之类的文件,对风险进行控制。
这类政策、规定,甚至是监管层口头传达的,约束力没有法律那么强大,使用的措辞也没有那么严格。
比如,从上个世纪70年代末出台的计划生育政策,在推行过程中逐步加强,甚至采取了各种强制措施,只到2002年9月1日,《中华人民共和国人口与计划生育法》才生效(2016年1月1日修正生效)。
目前的互联网环境,同样面临法律不健全的问题。
但是,旨在控制社会各种风险的相关政策却并不少见,比如“扫黄打非”。
关于“扫黄”的合理性,网络上众说纷纭(有“文化论”、“禁欲与政治道统”论、“知识产权”论、“资产阶段自由化”论、“存天理,灭人欲”论、“维持社会秩序与形象”论等等),我们暂且不管其依据如何,只要知道政策是确实存在的,国家是要监管的。
政策虽不是法律,但也不是可有可无的东西,政策有灰度,监管有灰度。
但有一点是必然的,灰度不持久,不可持续发展。
政策是立法的先兆,政策逐步稳定之后,立法就会提上日程,法律会代替政策发挥作用。
那么,如果产品或业务有政策上的风险,如何最大程度的避免风险呢?
笔者阅历不够,不善于用阴谋论等看不见的角度来分析,诸如后台、站队等等。只是从看得见的一些案例中,总结几点浅见:
扬长避短
如果一个产品对社会既有利,又有弊,那么就要采取一切合理的措施,强化有利的地方,弱化不利影响。
作为一款播放器,如果没有为其进行某种业务场景的定制,怎么会跟其它播放器的使用场景大不一样呢。拿垃圾短信类比,就是忽视了它们之间根本的区别就在于,什么是主流,什么是末流,况且通信公司根本不靠垃圾短信盈利。
作为公司,要采取一切合理的措施来控制不利的影响,强化主流业务场景,而不能把黄色业务场景作为主要的盈利来源之一。
风险可控
把控制风险的能力掌握在自己手里,避免失控局面的发生。
此类产品设计之初,就应意识到政策的风险,在市场上不断试错的同时加强控制风险,在政策的大刀砍下来之前,能够迅速调整航向。
一旦失控,而公司又无力挽回,则公司必然要承担失控的后果。
尽快洗白上岸
从国家的法制化进程来看,政府对一个领域的监管,会经历一个从无到有的过程。政策一旦稳定,就会形成法律条文。
监管会来的迟一些,但它总是要来的。
在灰色的窗口期关闭之前,壮士断腕,洗白上岸。
有人说,很多企业都是有原罪的,他们的第一桶金,来的不是那么光明正大。 但是他们能够在灰色政策的窗口期关闭之前洗白,从此与灰色一刀两断,最终登堂入室,成为高大上的公司。 如果您创业的产品可能会有政策上的风险,比如WiFi密码分享类产品,如果不革新业务模式,则基于上述判断,未来面临很大的政策或法律风险。
当前的这类产品,未经WiFi所有者同意,由他人将WiFi密码上传到服务器并分享给他人使用,同时带来安全隐患(也许WiFi主人的这个口令还用于其它场景,一旦泄密,则WiFi主人的其它资产可能受到损失)。
笔者对这类产品的改进方向建议就是:向所有愿意分享WiFi的用户,首先验证其WiFi所有者的身份,提醒修改口令为单独的口令或指定的随机口令(可以通过服务器找回),成功分享后,向WiFi所有者付费,分享公司收益。