数据泄露的噩梦，律所该怎么破？

让奥睿陷入如此窘境的，是那个萦绕在全球各大律所上空的噩梦——数据泄露。

据彭博社8月14日报道，奥睿的客户在诉状中称，该所今年3月发生数据泄露事件，造成近15.3万人的个人信息被暴露，包括姓名、地址、出生日期和社会安全号码等[1]。原告们对奥睿发起过失责任、法定过失、违反信托责任、违反保密义务、侵犯隐私等多项指控，并且要求奥睿赔偿他们的多项损失。

原告代表丹尼斯·韦利（Dennis Werley）指控道，奥睿律师事务所没有采取合理措施预防和制止此次数据泄露事件，也没有在事件发生后及时通知利益受损的客户。奥睿方面则一直沉默，拒绝回应。

这场逼得百年律所“装死”应对的“泄密风波”，不过是近年来法律行业愈演愈烈的数据泄露事件的缩影。

随着法律行业数字化浪潮汹涌而来，越来越多的律所引入数字化工具，其传输、收集数据与日俱增，面对的数据环境也越来越复杂；再加上新冠疫情暴发，传统工作模式向远程办公转变，由此产生巨大的数据量，律所的数据安全风险因此陡增。

2020年，黑客组织从娱乐领域头部律所美国Grubman Shire Meiselas & Sacks窃取总量达756GB的数据[2]；

2021年，《财富》500强律所美国Campbell Conroy & O'Neil遭勒索软件袭击[3]；

2022年，俄罗斯顶级律师事务所Rustam Kurmaev and Partners遭匿名黑客攻击，被泄露约1TB数据[4]；

今年4月，美国百年律所普士高（Proskauer Rose）被曝数据泄露丑闻，他们把并购业务数据保存在一个不安全的微软Azure云服务器上，致使客户敏感数据持续暴露长达6个月之久[5]。

今年6月，澳大利亚知名律所HWL Ebsworth的大量数据被黑客组织AlphV窃取，致使该律所包括澳大利亚军方、税务局、“四大”银行在内的众多客户的大量敏感信息遭泄露[6]。

根据美国律师协会（American Bar Association，ABA）公布的《2022网络安全》报告，2022年，有27%的受访者表示经历过律所的安全漏洞（包括智能设备丢失或被盗、黑客入侵等）[7]。

此外，ABA《2021网络安全》报告显示，2021年，人数在10人以下的律所中有17%曾遭受数据泄露，人数在10-49人的律所中有35%遭受过数据泄露，人数在50-99人的律所中46%遭受过数据泄露，人数在100名以上的律所中35%遭受过数据泄露[8]。

在2018年Aderant法律业务和技术调查中，有1/3的受访者将网络安全视为他们面临的首要挑战之一；尤其是在美国，网络安全从2017年的第6位直接蹿升至次年的第1位，成为各大律所最密切关注的事项。

相较于国外，国内则鲜有律所数据泄露事件曝出，但这并不意味着国内律所的信息数据就是安全的。

汤森路透称，国内律所数据泄露事件鲜有报道，一方面是国内对律所行业信息安全还没有足够关注；另一方面则是即使数据被窃取，律所也无从得知，甚至由于网络安全意识的淡薄，即便律师在办案过程中发现不妥之处，也根本不会往数据泄露方面去想[9]。

堡垒往往最先从内部攻破。

根据英国信息专员办公室(ICO)的官方数据 ，英国律所超过三分之二 (68%) 的数据泄露事件是由内部人员造成的，相关泄密行为包括电子邮件发错人、点击恶意链接、个人电子设备遗失或被盗等等[10]。

美国ABA则援引IT管理软件供应商Ipswitch的数据称，近3/4的安全漏洞都是由于内部员工有意或无意的行为造成的，这些行为包括使用简单密码、将计算机设备随意放在不安全的地方、没有更新安全补丁等等。

中国律所内部的信息安全问题同样十分严重。据汤森路透报道，很多国内律所的网安意识十分缺乏：律所OA（办公自动化系统）登录地址直接暴露在公网上；手机APP调用第三方的公共服务致使敏感数据在公网多次流转等等。

除了内部数据管理制度不完善、缺乏网络安全意识外，造成律所数据泄露另一大原因，是来自外部的恶意攻击。

律所一直是网络犯罪分子攻击的热门目标。

这一方面是因为律所掌握着大量客户的高敏感、高价值的信息，相当于网络犯罪分子的“一站式商店”，抢一家律所就等于抢了好多家公司；另一方面则是因为攻击律所更容易得手，企业往往具备比律所更强的网络安全意识和更高的网络安全防护级别。

ABA称，超过 90% 的网络攻击都是从网络钓鱼电子邮件开始，并且超过 97% 的用户无法识别复杂的网络钓鱼电子邮件。此外，网络犯罪分子的手段还包括勒索软件、病毒软件、攻击网站bug等等。

数据泄露首先带来的就是巨大的财务损失。

国际商业机器公司（IBM）发布的《2022年数据泄露成本报告》显示，企业遭受数据泄露的平均损失为445万美元[11]，这些损失包括停工停产、数据恢复费用、以及其他相关的技术和法律费用。

对于律所而言，比财务损失更为致命的，是信誉受损，失去客户。

无论是道德还是法律层面，律师都有义务采取有效措施来保护客户信息数据；双方签订合同后，律师对客户私密信息负有契约责任和监管义务。

一旦发生数据泄露，律所面临的后果就是奥睿经历的那样，被蒙受损失的客户起诉，官司缠身，连正常运营都受到影响。

更严重的情况是，律所信誉遭受致命打击，大批原有客户、潜在客户对律所失去信任，转投别家。

而失去客户，往往意味着失去生命。

2016年轰动全球的“巴拿马文件”事件，涉事的莫萨克·冯塞卡国际律师事务所1150万份文件被泄露，该律所帮助全球多国政要名流避税、洗钱的机密信息被曝光。事件发生两年后，这家创办近40年、在全球拥有40多个办事处的律所倒闭关门。

网络安全并不是一个单纯的IT技术问题，而是整个组织的共同责任。对于如何防范网络攻击、预防数据泄露的发生，我们总结了以下四大措施。

首先是建立完善律所的数据合规制度。

律所要建立并不断完善数据合规制度，包括数据合规政策、数据泄露应对计划、供应商数据处理、员工数据处理等。

具体而言，律所要出台全面详实的政策，涵盖远程访问、互联网使用、社交媒体和电子邮件使用等各个方面，对员工使用律所内网、软件、电脑和移动设备等行为也要作出明文规定，明确员工责任及相关处罚措施。

此外，律所还应设立数据合规官岗位（DOP），或者指定专人负责数据安全，并且对律所网络定期审查漏洞、进行安全评估。

其次是加强员工的网络安全意识培训。

律所可以从以下几个方面入手：

第三点是要制定事故应对计划。

虽然最理想的情况是律所永远不会遭遇数据泄露或网络攻击事件，但现实是律所必须要为最坏的情况做好预案，以迅速有效地应对网络安全事件，把对律所和客户的影响降到最低。

一个有效的事故应对计划应该包括以下几个步骤：

律所的事故应对计划也要定期进行评估和更新，以应对日新月异的网络攻击；此外，应对计划还应该纳入员工培训，以确保他们了解自己的角色和责任。

最后一大措施是最大限度地利用网络安全工具。

数字时代，律所的网络安全、数据保护离不开IT技术的支持。律所应最大限度利用网络安全工具来防范数据泄露，这些工具包括防火墙、防病毒软件、多因素身份验证和加密技术等等。

ABA的调查报告显示，目前律所最常用的安全工具是某垃圾邮件过滤器，占84%；软件防火墙位居第二，占79%；排在后面的依次是强制密码（74%）、反间谍软件（73%）和电子邮件病毒扫描工具（72%）。

除了这些防御类的工具外，律所的数据存储工具也应该升级，采用云端存储。

相较于本地存储或者使用托管软件，把律所数据放在云端存储是更安全的做法。云平台服务商的网络安全防护能力远超律所，而且云平台会自动更新安全补丁，服务商也会及时处理已知漏洞。此外，采用云端存储通常会比托管软件或者本地存储更便宜，也更容易维护。

此外，随着AIGC热潮袭来，利用人工智能和机器学习等先进技术为律所数据安全保驾护航，将成为未来趋势。IBM的报告称，相较于那些没有使用安全AI和自动化的企业，使用了这些技术的企业在数据泄露事件中平均少损失176万美元。[12]

近年来，律所面临的网络安全风险挑战愈发严峻，数据泄露事件频频发生；但好消息是律所正积极采取措施改善其网络安全状况，但这还远远不够，他们仍需继续努力。

这是一场旷日持久的战争，律所需要时刻保持警醒，不断审查评估其网络安全系统，并要随着不断变化的网络威胁形势进行更新迭代。抱着“一劳永逸”的心态是注定要失败的，在这场战争中，所有的律师事务所应该谨记：“宜未雨而绸缪，勿临渴而掘井”。