【IT168专稿】Randolph Kahn是卡恩咨询公司的创办人兼负责人，这家咨询公司专门研究公司信息和IT的法律、合规及政策问题。

    他说：“许多公司面临价值越来越大、数量越来越多的数据，其中大部分是以电子方式创建而成，并从来不放到传统纸张上；放在众多地方，而且日益存放在越来越小的计算设备上，如笔记本电脑和个人数字助理（PDA），这大大提高了管理难度，同时大大增加了出现问题的可能性。”

    Kahn提到的所有因素共同作用起来，可能会给使用移动设备、却没有落实牢靠控制措施的任何一家公司带来恶梦――遗憾的是，除了少数几家公司，绝大部分都没有严加控制。

    据BPM论坛在今年秋天开展的一项调查显示，接受调查的公司当中近一半在移动设备方面缺乏正规的安全和合规政策与系统。尽管一半公司认为自己拥有相当多数量的移动设备；四分之一声称，移动设备在传送专有的公司数据。尽管如此，近40%的公司声称，只有真正发生了安全事件，自己才会落实控制移动设备的措施。

    移动设备未加保护带来的风险“似乎因某种原因而没有引起人们的注意，”BPM论坛负责战略和计划的副总裁Adriano Gonzalez说，这个论坛由私营行业的公司会员组成。“移动设备的数量正在迅速激增。许多公司关注的是其他要紧的监管法规。”

    也许问题的一方面可能在于，像《萨班斯－奥克斯利法案》（SOX）、《健康保险可携性及责任性法案》（HIPAA）和《金融服务现代化法案》（GLB）这些监管法规并没有明确提到移动设备的控制；它们侧重的是个人、财务和公司数据（不管数据放在何处）的控制这个一般性问题。这意味着，网络边界和管理人员在公司数据方面的责任都有所扩大，包括了所用移动设备含有受监管公司信息的任何员工。

    举例说，《萨班斯－奥克斯利法案》尽管没有明确提到便携设备，但它要求公司对所使用的任何设备进行有效控制。这包括制订政策规定哪些员工可以使用哪些设备、这些设备可以含有哪些信息，还包括管理设备使用的强制规则。

    随着设备变得尺寸更小巧、功能更强大，“移动”一词如今不但包括智能电话和PDA，还包括小型的便携式海量存储设备，比如拇指大小的可移动存储驱动器或者iPod。这些设备如今至少可以存储64G的信息量，足以容纳大量的客户、病人或者财务数据，这会让公司主管们晚上睡不着觉。

    以无线方式通信的移动设备属于其他法规的监管对象，尤其是隐私方面的法规。法规重叠加上缺乏单一执法部门，这就造成了混淆。移动设备问题“有可能涉及好几项法规，归谁管辖并不清楚，”据Larry Ponemon律师声称，他是研究隐私和数据保护问题的波耐蒙研究所（Ponemon Institute）的负责人。“无线领域归联邦通信委员会所管，但就一般性的隐私法规而言，无线领域又归联邦贸易委员会所管。你会觉得这两个部门可能会齐心协力，解决其中一些问题，但实际情况并非如此。”

    Ponemon认为，无线设备方面的一些问题好比控制整个互联网内容方面的问题，比如确定一种可以接受的方法来获取用户信息；确定什么时候以何种方式合理共享这些信息。他说，这些问题通常与所用设备、甚至技术无关。

    不过为监管法规和移动设备的讨论引入无线部分增添了很大的复杂性。Ponemon指出，谁拥有嵌入在电话中的某一个软件可能并不清楚。“这是个电话？还是已成为功能齐全的电脑？Trio手机上的Excel文件与笔记本电脑或者台式电脑上的Excel文件有什么区别？谁负责确保信息安全、消费者隐私权得到保护，这开始变得非常模糊不清。”

    要是手机等无线设备作为电子信用卡使用，情况就更为复杂了。这种使用可能会让这些设备受到其他法规的监管，包括来自美国货币监理署（OCC）的银行法规，或者支付卡行业数据安全标准（PCI DSS）法规。Ponemon说：“你会认为会有一个超级监管部门，因为无线设备可能存在安全和隐私这两方面的问题，”但实际情况根本不是这样，至少目前还没有这样的部门。