一旦意识到这个问题,许多企业好像经历膝跳反应一样,开始收集所有硬拷贝,并进行简单地处理。但是很多情况下,这并不能解决问题。
首先,法律需要和企业管理需求,企业需要将这些纸质文件保存起来以备不时之需。此外,直接将东西丢弃的习惯也暴露了企业存在因垃圾而败北的风险。就像前文提到的那样,垃圾堆其实可以摇身一变成为很大的信息资源库。
为什么对日常记录不进行适当的销毁是很危险的事情?另一个原因就是,如果你只是将垃圾丢进垃圾桶,并且很不幸落到了竞争对手的手里,他们就可以很轻易地作出联想,最终了解你们的商业活动。
就像SIM卡可以导致攻击行为一样,垃圾桶也是同样的道理。你的日常活动也同样体现在你的垃圾桶中。在日常的活动中,如果电话记录、出行计划、投标需求(RFP)意见书、备忘录以及更多的东西没有得到正确的销毁,很可能会让你的公司暴露无遗。
如果Enron没有适当地将文件销毁,那些有文件销毁计划的企业应当考虑从互联网上下载媒介处理工具包。该工具包包括企业需要了解的数据处理的任何东西。它包括一个统一共同控制的电子表格,处理过程中的工作故障,以及程序和数据删除管理文件和企业管理必须要符合的全世界上千种的法规和标准。
监管问题
各种各样的规定也必须被考虑周全。举例来说,塞班斯法案(Sarbanes - Oxley)要求将企业的记录和文件销毁,并且必须对文件销毁进行认真检测。否则,企业主管就很可能会受到起诉。
塞班斯法案对企业文件销毁有严格的规定,包括许多针对企业欺诈行为和妨碍司法公正的刑事处罚。塞班斯法案第1102章对以下情况进行定罪,处以罚款,并且可能面临20多年的监禁:改变、破坏或者隐瞒记录、文件或者其它东西,有意破坏官方诉讼所需材料的完整性或者阻扰、妨碍官方诉讼的企图等。塞班斯法案第802章规定:“任何人明知改变、破坏、切割、隐瞒、掩盖、伪造、制造虚假记录、文件或者有形资产的材料的相关规定,仍然企图阻碍、妨碍或者影响司法部门对在美国任何部门或机构的管辖范围内的任何问题进行调查或者适当的管理,或与此相关的情况,应根据本条例处以罚款,给予不超过20年的监禁,或同时给予两项处罚。”
另一个关于处置的相关规章是2003年的《公平和准确信用交易法案》 (FACTA)。制定于2005年6月的本规章要求企业和个人采取适当的措施来处理来源于用户报告的敏感信息。任何企业或个人欲将用户报告用于商业目的都应该服从于该法案的要求。该法案也是FACTA的一部分。
该法案适用于使用用户报告的个人以及无论规模大小的企业,包括:用户报告公司、放款人、保险人、雇主、房东、政府机构、抵押贷款经纪人、汽车经销商、律师、私人侦探、收债人、保姆或承包商等等;以及持有用户报告信息来扮演服务提供者角色,将用户报告交给企业组织等实体的个人,都受本法案约束。
有正式的文件销毁过程和使用如媒介处理工具包产品好处就在于一旦你正确地进行文件销毁,你的企业就不必再为每个新条列而担心,因为这种做法很可能已经满足了即将出台的规章。
硬拷贝应当被正式和定期销毁
设想你是一个大型医疗机构的管理者,一名调查记者或小偷在你们机构发现了1万张医疗记录,你们正面临这很快将被起诉的麻烦。当原告辩护律师问你怎样处理硬拷贝时,你回答:“如果Lenny想这样做的话,他的计算机随时都可以。”这样实际上就昭示了你认罪的态度。相反,你回答说:“我们在外部有担保公司,信息销毁国家协会认可了我们这样的不具备“安全容器”设备的公司,我们每周都会对信息进行一次粉碎。”这样的说法将很可能让你摆脱重大的责任。
不一定非要多长时间对数据进行一次销毁,重要的是你们是否根据企业特定的风险因素进行了正式的销毁。作为有效监管的一部分,正式的信息销毁系统必须被制定并且得到执行。如果能够做到这些,并且能够提供出相应的执照,而且确实在预定时间内对信息进行了销毁,原告辩护律师将无从下手,因此陪审团的裁定也会对你有利。
Purdue大学制定的《机密文件处理程序》和Iowa State大学制定的《文件销毁行动计划》就是两个很好的范例。通过google搜索你会发现更多可对你有所帮助的范例。
正式的信息销毁计划的一个很最重要的方面就是要做到一致性。否则表明企业对此缺乏一定的谨慎,或者他们试图想隐藏什么。
作为这个正式过程中的一部分,还需要意识到有许多因素必须被纳入到数据销毁过程。其一是“数据销毁中止”的概念。如果企业收到法律部门的电子发现请求,事先定下来的数据销毁活动必须立刻被停止,直到法律部门确定销毁活动没有危及到重要数据的安全。
说到正式的处理过程,曾有一个公司使用山羊作为文件粉碎机。从粉碎的角度来看这可能是有效的,但却显然不是最好的做法,律师也不可能同意他们用山羊来粉碎。这家公司的错误不在文件处理程序是否正式,但最终也因山羊吞食文件而遭到罚款。
