主题3:新冠肺炎、隐私权与网络安全风险

问题是什么?

为应对COVID-19大流行，各国政府已采取了可能对隐私权产生重大影响的生物监测、审查和虚假信息等措施。在最近的举措中，各国政府已经通过了与追踪人们的活动、通信和健康数据有关的法律，利用电信、摄像机镜头、交通预订、金融数据、社交媒体、面部识别和温度检查点。

新冠肺炎疫情下的隐私权和网络安全风险

各国政府正在采取措施，通过大规模生物监测活动可能导致对隐私权的压制。
企业正在介入，支持政府和公共卫生当局试图控制病毒影响的努力。
自大流行开始以来，网络攻击的次数呈指数级增长。

在某些情况下，政府已经部署了人工智能来实现大规模监控¹和社会控制²，往往没有适当的监督、监管或制衡。

政府正在建立这些系统，但私营企业正在提供工具。在这种情况下，企业可能会帮助政府采取侵犯公民和政治权利的措施。在没有政府参与的情况下，企业也可能对人民的人权产生不利影响。因此，企业有责任认真考虑其在国际人权法下的义务。

新冠肺炎疫情加剧了隐私权和网络安全相关业务挑战，引发了机构投资者的担忧。本简报提供指导，帮助投资者更好地了解风险范围及其对投资组合公司的潜在影响。下表列举了一些例子。

区域	潜在的风险
隐私权	工作场所监测私隐资料的利用滥用联系人追踪应用程序对感染者的歧视有限的网络和技术执行不必要和不成比例的监管现有法规没有预见到COVID-19危机期间数据收集方面的变化
网络安全	数据泄露业务中断数字基础设施漏洞由于远程工作的增加关于网络安全和隐私的新规定在缺乏适当监督的情况下，政府越来越依赖于公私伙伴关系

关键近期投资者行动

管理

以下是投资者在管理活动中需要考虑的问题，这些问题将有助于为被投资公司设定围绕隐私权和网络治理问题的预期。^3.这份名单并不详尽，应根据业务部门和公司所在地进行调整。

关于隐私权的考虑

公司是否确定了在大流行期间向政府提供服务的明确社会福利?如果公司从大流行病造成的局势中获益，它应确保不把公共当局锁定在排他的长期合同中，而且服务只提供必要的一段时间。
公司是否确定其在保护终端用户隐私权方面的法律责任?
该公司是否对其产品或服务进行了尽职调查，以评估隐私权风险，包括提供第三方访问用户敏感信息?
该公司会在危机后删除通过追踪应用程序收集的数据吗?如何确保这一点?
在大流行结束时，监测措施是否会减少?
该公司是否已经确定是否有一部分人因为技术选择而被排除在外?那些没有智能手机的人会被排除在外吗?
公司可否保证所收集的资料与所需用途有关，而不是超出所需范围?
该公司是否对所收集的数据类型、将与谁共享数据、基于何种基础、出于何种目的透明?
公司是否确保没有其他可用的较少数据利用的解决方案?
公司在发展科技方面的活动是否合法-尊重人权框架及资料私隐原则?

关于网络安全的考虑

支撑网络安全的治理结构是什么?该公司能否证明其有效性?
董事会有网络安全方面的专业知识吗?
该公司如何解决与网络安全相关的技能和经验差距?
公司在网络安全方面的战略和合规优先事项是什么?
公司是否进行了尽职调查，以确定价值链中围绕网络安全的关键问题?
向董事会报告哪些网络安全指标，这些指标如何与整个公司更广泛的激励和基准相关联?
董事会关于网络安全的报告如何增强了网络安全计划和战略?
该公司从网络安全漏洞中学到了什么?该公司如何修改机制以反映这些经验?
公司如何将加强组织能力作为其网络安全战略的一部分?

企业良好实践的例子

公司

RiskRecon |部门:金融|总部:美国

风险管理提供商RiskRecon将与健康信息共享和分析中心(Health Information Sharing and Analysis Centre)合作，向加拿大和美国的小企业和医疗保健提供商免费提供到2020年底的网络安全评级评估。该举措旨在支持面临疫情导致的网络风险增加的企业。这些评估帮助企业识别和解决其系统中的潜在漏洞，为加强网络安全结构提供建议。

来源:https://blog.riskrecon.com/free-cybersecurity-assessments