“谨慎是必要的。做好准备是必要的。恐慌则不然。(摘自美国卫生总监杰罗姆·亚当斯博士对新冠疫情的评论)
冠状病毒(亦称COVID-19)目前已在超过100个国家和地区出现确诊病例。 全球确诊病例已突破12万例,死亡人数超过4000人,其中中国境外病例仅在过去一周就增长了三倍。美国至少45个州报告确诊病例超1000例,死亡人数达38人。 该病毒已对国内外旅行造成影响:美国疾病控制与预防中心已对中国、伊朗、韩国和意大利发布三级旅行警告(避免非必要旅行),并对日本发布二级旅行警报(加强预防措施)。 意大利政府颁布法令,对包括米兰、威尼斯和帕尔马在内的北部地区1700万人实施隔离,仅允许"经证实的工作需求"例外,部分商业活动得以继续。此外,众多企业已对员工国内外差旅实施限制。 推特、亚马逊、Salesforce和耐克等企业,以及众多制造商和专业服务公司,均因新冠病毒疫情禁止员工特定出行。全球多所高校(包括美国高校)已暂停面授课程及部分活动至四月中旬,敦促在校人员保持适当"社交距离"以遏制病毒传播。
金融影响的核心在于全球供应链和众多行业的运营正遭受日益严重的冲击,包括制造业、科技业、太阳能产业、酒店旅游业、医疗保健业、食品业、时尚服装业等。中国作为世界第二大经济体,新冠病毒的影响正如病毒本身——远超国界。 事实上,据Fortune.com报道,截至2月底,94%的《财富》1000强制造企业已因新冠疫情遭受运营中断。1远程办公模式的普及成为潜在的干扰因素——全球企业正努力采取措施保障员工及社区健康安全,同时需兼顾技术与安全风险的管控。
缓解远程办公人员的技术与安全风险
随着新冠病毒疫情持续发展,除本警报中讨论的其他问题外,企业必须考虑是否允许部分或全部员工(以及关键供应商的员工)远程办公。开放远程办公权限将引发诸多潜在问题:远程工作者是否会造成信息安全风险、损害敏感商业信息的保密性、引发合规合规问题等?
尽管许多IT部门已习惯处理远程访问问题和安全事务,但多数部门至少在初期阶段仍将难以充分应对远程访问量的激增——无论是内部员工还是第三方供应商的远程访问需求。 应对措施绝非简单分发几台笔记本电脑。现实情况可能迫使众多企业从零开始配置大批远程用户,且必须在极短时间内完全通过远程方式完成。这绝非普通IT部门所能应对的局面。
远程办公员工
企业可采取以下措施,更有效地应对大量员工居家远程办公带来的问题:
- 技术解决方案固然重要,但"人"的因素同样关键企业不应仅追求最便捷的技术方案,而忽视员工对方案的理解、对方案必要性的认知以及使用方案的能力。若数据安全方案过于繁琐,不满的员工将自行寻找"影子IT"解决方案。这些自助方案虽可能更便捷,却往往伴随着更高的安全风险。 因此,务必确保远程办公方案充分吸纳员工意见。同时可考虑建立"自助服务门户"——该平台可由贵公司IT团队创建(或已创建),亦可由第三方解决方案供应商提供。
- 在技术层面,应重点关注外围防御、软件及其他技术补丁更新,以及数据加密措施。住宅、车辆和企业门上装锁自有其道理。同样地,当今世界的企业在外围安全方面绝不能走捷径——既要让善意者进入,又要阻挡恶意者入侵。这需要配备正确的远程访问技术(如虚拟专用网络——VPN)、外围防护技术,同时确保运行和管理这些技术的软件始终保持修补和更新。 最后,企业应考虑对特别敏感的数据进行加密,例如员工或客户的个人信息,以及公司业务数据(如保密定价和财务信息)。
- 信任但需验证。这意味着必须建立完善的监控体系。监控不仅要涵盖网络访问者的身份,更要追踪其在网络中的具体行为,以及他们通过外部设备远程访问网络的操作。正如组织需及时修补防火墙等外围安全防护一样,所有接入网络的设备都必须安装最新版的防病毒软件及其他数据安全技术。
- BYOD. 若企业已为员工制定了"自带设备"计划,响应方案应与该计划相衔接。
- 员工指南员工应了解并接受有关远程访问信息安全措施的培训(例如:避免在咖啡馆等第三方可能窥视机密信息的公共场所访问公司系统;不使用安全防护不足的公共Wi-Fi;确保用于远程访问的设备始终处于个人管控或妥善保护状态等)。
- 制定计划。最后,计划制定完成后,企业应将其形成书面文件,纳入《远程办公政策》(或修订现有政策以反映计划调整)。如同任何关键业务政策,必须配套实施有效的培训教育,确保员工理解并遵守政策要求。
供应商人员远程办公
允许关键供应商让其员工远程办公存在类似的风险与顾虑。但在供应商层面,企业应采取更进一步的措施,要求供应商在其现有合同中签署远程访问补充协议,涵盖以下关键事项:
- 仅可使用供应商自有设备。
- 使用经批准的VPN访问客户系统。
- 移动设备的安全配置(生物识别访问、使用磁盘加密、安装最新防病毒软件等)。
- 对所有相关人员进行远程访问最佳安全实践的培训。
- 准确记录并及时更新所有获准远程办公人员的档案,包括其活动日志文件。
- 确保客户有权自行决定随时撤销或暂停对其系统的远程访问。
远程工作者的资源配置考量
随着新冠病毒疫情的发展,企业必须妥善管理远程办公人员。越来越多的员工向主管和同事表达了谨慎起见希望居家办公的意愿。同样,许多雇主也鼓励出现流感或感冒症状但仍能工作的员工居家办公。为应对未来数周或数月可能增加的远程办公人员数量,雇主可采取以下措施:
- 保护您的商业秘密。实际操作中,员工居家办公时会出现哪些情况?他们可能使用个人电子设备或打印纸质业务文件进行查阅。 因此在任何远程工作场景中,雇主都应重点考虑商业秘密保护问题。除上述数据安全措施及其他注意事项外,雇主还应在财务和技术可行的情况下,要求员工仅通过受保护的远程访问方式连接公司网络,并仅使用公司配发的设备——这些设备需在远程工作结束后归还(或离职时返还)。 若无法实现上述要求,雇主应以书面形式明确所有关于电子存储信息或纸质文件的期望。这可能包括要求员工书面确认已归还或删除其个人电子设备上存储的所有此类信息,或已销毁在家打印的纸质文件。
- 确保工作时间的准确记录美国劳工部明确指出,所有在家完成的工作均应视为工资与工时要求(如加班费、最低工资等)所规定的"工作时间"。因此,雇主必须确保非豁免类(即有权获得加班费)远程员工准确申报其工作时间。 首先,雇主应以书面形式重申:员工必须在实际开始和结束工作时进行打卡记录。其次,雇主需定期核查并确认员工是否遵守此规定。 例如,若提交的记录显示每周工时恰好40小时,且上下班时间均精确为上午9:00和下午5:00,则可能表明工时申报存在不实。第三,在州法律有要求的情况下(如加利福尼亚州),雇主应确保所有用餐及休息时间均被合理安排并准确记录。
- 报销合理业务费用远程办公中常被忽视的问题之一是合理报销业务开支。即雇主是否必须报销员工为履行雇主业务职责而产生的网络、电话等相关费用?答案通常由各州法律规定。以加利福尼亚州和 伊利诺伊州为例,雇主普遍有义务赔偿或报销员工因履行雇主工作职责而产生的"直接后果"费用或"直接相关"费用。因此,雇主应首先核实适用州法律要求,必要时列出员工居家办公期间可能产生的必要开支清单,并据此评估合理适当的报销标准。
- 制定管理工伤赔偿问题的指导方针. 现实情况是,工伤事故可能随时随地发生。但当员工在工作时间内于家中受伤时,该如何处理?各州法律对此类情况可能有特殊规定。 总体而言,雇主应制定明确标准与指引,确保仅真正发生于"工作场所"的伤害才适用工伤赔偿。这可能包括设定并执行具体工作时间,明确员工在家需完成的工作职责范围及绩效预期。此举还将带来额外效益——帮助直属主管管理绩效问题并进行规范记录。
综上所述,企业当前需在远程办公方面采取额外措施,以降低因新冠病毒遭受负面影响的风险。如需了解建议措施的更多详情,请联系您的福里律师事务所客户关系合伙人。若需获取更多网络资源以协助您监测新冠病毒的全球传播情况,建议访问美国疾病控制与预防中心(CDC) 及世界卫生组织(WHO)官网。
福里律师事务所将继续向您通报相关进展。点击此处访问福里新冠病毒资源中心,获取洞见与资源,助力您的企业在这一艰难时期稳步前行。
—————————————
1 https://www.foley.com/en/insights/news/2020/02/uetz-quoted-fortune-impact-coronavirus-auto
