对于大多数IT组织来说，确保企业数据安全是最首要任务。因此，企业需要提防最新的安全风险，在安全防范方面投入不少IT运营成本，从而让企业置于良好的发展环境中。

　　关于IT安全方面的态度，我们也需要转变。以前如果有人抢劫银行，我们会痛恨那些作恶多端的不法之徒;现在，如果有人成功侵入公司的电脑系统，我们应该质疑系统的安全性，是公司未能提供足够的安全保障。

　　实现这一转变的是一系列相关法律法规的出台。据悉，这些法律旨在保护个人数据的机密性和完整性，以免被人盗取受到侵害。如果有人违反这些法律规定，将可能面临严厉的法律制裁。

　　本文将向你简要介绍这些相关法律内容，并指出作为公司组织应该承担的两项义务：落实增强数据安全保护措施的义务；告知安全漏洞的义务。

　　履行安全保护义务

　　拟定公司的所有信息安全义务，不可能依靠某个单一的法律法规来实现。相反，只有不断完善的的法律法规，才能满足不断变化的数据安全保护需要。

　　相关的法律法规也比较多：隐私权保护法要求公司保障私人的数据安全;电子交易法要求电子记录具有完整性和可利用性;公司法则要求采取适当的措施，保障公众和股东、投资者、商业伙伴的利益;反不正当竞争法则解释了包括缺乏安全可靠性的不公正商业准则。

　　近期的一些诉讼也表明，企业未能对其数据安全提供足够的保护。例如，MBNA的美国银行因一个客户的身份资料遭到盗用而被起诉，就是一个未能提供足够安全的良好例子。

　　除了法律章程和法院裁决需要履行的义务外，公司还需要根据自身所签订的合同承担额外的安全义务。举例来说，任何涉及到商业机密信息的外包或者类似协议，都需要根据合同内容履行相应的数据保护安全义务。同样，企业只有做出一些安全承诺，才能参加某些商业组织活动。比如，商家要接受信用卡，必须事先同意并遵守PCI(Payment Card Industry，支付卡行业)数据安全标准。

　　全身心投入以确保信息安全，是一个组织应该履行的责任和义务。通过在隐私政策、公司网站或者广告资料里面事先申明，可以根据收集到的信息对应不同的安全级别，制定不同的索赔标准。这样，将有助于加强公众对企业义务执行的监督。

　　遵守法律标准

　　法律法规或者合同等其他章程要求履行的安全义务，一般都是最基本、最合理、最恰当的安全要求，而它们针对安全提供的一些保障措施却远远不够。另外，法律上所讲的“合理”、“恰当”到底是怎么样一个概念?

　　然而，如果你留心观察近期的规章条例、判例法和政府的一些政策措施，就会发现这类“法律”标准都出奇地一致——该标准侧重于行为过程，而不是具体的安全防范措施。

　　法律并没有什么情况下采取什么样的措施才能实现合理安全的标准，相反，它只要求公司根据风险情况，采取合理的防范措施，以达到预期的安全标准。这也就意味着，公司必须根据他们所面临的情况进行风险评估，然后采取相应的安全防范措施，并确保这些措施得到具体落实。同时，还要根据变化的情况对措施进行适时调整。

　　因此，根据实际情况采取的必要安全措施，也会受到公司安全策略的影响。比如，法院驳回了就笔记本电脑上的私人加密资料的措施请求，而建议根据风险等级采取更加合理的安全防范措施。也就是说，问题的首要因素在于风险评估，然后才是根据公司面临的风险状况采取的安全措施。

　　比如，在小区周围布满武警人员，并且在入口处安装智能卡门禁系统，这样可能会拥有比较高的安全等级。但是，如果小区面临的威胁是来自互联网上的黑客攻击，那么，可以说这种人身安全措施起不到任何帮助。类似地，防火墙或者检测软件只能对付黑客或者保护敏感数据库，如果公司内部有员工故意(或者不小心)泄露了机密资料，那么即使有再先进的安全技术措施，也不能阻止事情的发生。

　　根据风险评估采取相应的安全措施，在划分安全事故责任方面起着极为重要的作用。例如，在对数据信息的可预见风险下，采取了相应的安全防范措施，即使结果还是遭受了损失，行为主体也可以免责。

　　法律还会对安全防范措施进行审查，以明确是否适当是否有效。因为如果数据仅仅是被加密了，也并不意味着安全措施做到位。为了确保安全措施得到落实并且持续有效，需要不断地对其进行监测、测试和评估。

　　为应对企业所面临风险，当你制定自己的安全策略时，请不要忽略第三方。外包本身并不会免除你保护外包数据安全的义务和责任。考虑到后果，你必须慎重对待与外包供应商签订的合同，并认真考虑与之相关的安全保护措施。

 
　　披露安全风险义务

　　除了采取安全措施保护数据以履行法律义务以外，更多地你还需要披露安全漏洞，尤其是通知被受到影响的相关人员。法律要求，通知不仅要提供个人信息外泄安全警告，更要提供所应采取的补救措施。

　　截至2008年8月，已经有44个国家和地区制定了风险预告法律规范。一些重要的法律条文可能因不同国家内容迥异，下面略举一二：

　　●所涉及的信息包括哪些类型?

　　法律章程一般适用未加密的个人敏感信息——比如，信息中所包括的个人姓名，个人证件、电话号码，或者金融方面的信用卡、银行卡的帐户信息。而有些国家还包含更多方面的信息。

　　●什么原因促使披露成为义务?

　　一般来说，法律会要求披露涉及以下信息的风险给个人：个人未经授权收集到的信息，信息的私密性和完整性，以及任何与个人息息相关的信息。在一些国家，除非有合理的根据，确定将会损害到个人或者组织利益，否则不允许擅自披露涉及私密的安全风险提示。

　　●必须通知给谁?

　　通知的对象，必须是针对未加密的个人资料面临安全风险的居民个人。有些国家还需要通知给总检察长，还有些国家要求通知给有关信贷机构。

　　●通知的形式

　　通知可以以书面形式(如书信或者邮寄形式)提供，也可以通过电子化形式(如电子邮件，但只能在少数情况下使用)，或由媒体形式通知(比如出版社，各省报纸或公司网站)。在一些国家，只要涉及到未经批准的涵盖有私人资料的数据，都可以预先通知。而有些国家，这些未经授权的数据并不能成为通知的充分条件，而是需要可能出现伤害个人利益的额外条件，才能允许执行通知。