监管法规应重结果

管理会计

记者：您曾经提到，为了防止受到高级威胁的侵害，我们需要培养一个政府、厂商和用户构成的生态系统，在这个生态系统内，政府应该扮演一种什么样的角色，发挥什么样的作用？

亚瑟：我觉得政府可以发挥范例和领导的作用。举一个例子，美国有一个《联邦信息安全管理法案》，最初这个法案的草案最关注的要点就是法规的遵从，在法案的草案中列出了一系列安全措施对照的清单表，但是当时那个法律的草案不是很成功，因为这样一种做法更多的是重形式，而不是重内容。而现在美国国会收到要求对这份《法案》进行修改的建议，其中提到，如果法律要求对基础设施进行持续监测，政府应该以身作则，接受检测。这样，厂商和用户更容易接受监测。

另外我们还认为，政府、技术厂商和用户之间应该在信息共享方面结成伙伴关系。比如说各方实时分享有关受到攻击的信息和知识，在这方面政府可以发挥领导作用。虽然我本人并不是特别推崇政府在什么领域都要实施管制，但是我确实尊重各国政府有为了本国公民的利益，在适合的领域进行管制的权利。我们对于政府实施监管的建议是：监管措施应该是以希望获得什么样的结果为基础，而不是列出一个应该具体采取什么行动的清单。

原因是具体措施的描述性清单很可能会涉及到特别具体的技术要求，技术其实是在不断发展进步的。但从政府的角度看，它很难随时跟上技术的变化，所以，类似描述性清单的监管手法，可能会产生一些事先没有想到的后果，或者使形势更糟糕。

美国的《信息安全防护被突破的通知法案》就是一个典型的非常关注结果的法案。该法案规定，如果机构或者组织丢失了其所掌握的个人信息，那么该组织和机构就要向这些信息遭受损失的个人披露信息丢失的事实。各个相关机构在这个法律通过之后，迅速采取了行动来改进他们的安全技术架构，保护他们手上所掌握的个人信息。因为如果真的出现了信息丢失事件，他们不得不披露的话，对这些机构和组织来说是很丢面子的事情。

所以，如果政府的监管法案关注的是结果，那么他就会迫使相关企业主动采取措施，以实现监管目的。