快播前车之鉴与主动政策风险规避

笔者从事网络安全风险评估与安全评审工作（项目管理过程中的安全审核）多年，经常遇到的一个问题就是：当我发现待上线的产品或业务，可能面临重大的风险的时候，从公司已经签发的安全策略、标准与规范等诸多文件中，找不到对应的条款来强制业务改进，最后给审核意见的时候，就只能说：可能存在XXX风险，建议在产品上做YYY改进（注意关键用词是“建议”，而不是“务必”）。此外，有时这些风险，是来自政策或潜在的法律风险，而法务部一般不会参与项目管理过程中的审核，要么是安全团队传达（一些显而易见的风险），要么是在流程之外请产品团队咨询法务的意见。

虽然给出的意见是“建议”，但基本上产品团队也都根据建议修改了，大家相安无事。

如果有个别产品，不听“建议”，在后面的流程中则处处碰壁（因为后续环节的审核也会参考安全方面给出的意见）。部分在后续环节完成了改进，但总有那么个别产品，坚持不改，或者说改不了，针对这种情况，我们一般会让产品团队到业务线的领导那里去决策，以决策意见为准。

如果业务管理团队决定接受风险了，则项目继续，承担风险的职责就完全由业务决策层承担了。

同样的风险，如果出现的次数多了，我们就会安排修订策略、标准或规范，纳入正式的文件，以后就可以按照文件规定进行处置。

其实，国家立法的进程跟这个例子道理是一样的。

法律不可能覆盖到生产、生活中的方方面面。

在某个特地领域内，如果有法可依，一切好办，依法办事即可。 如果没有法律，同时领域内出现了许多问题或风险，那么监管部门就会出台政策、规定之类的文件，对风险进行控制。

这类政策、规定，甚至是监管层口头传达的，约束力没有法律那么强大，使用的措辞也没有那么严格。

比如，从上个世纪70年代末出台的计划生育政策，在推行过程中逐步加强，甚至采取了各种强制措施，只到2002年9月1日，《中华人民共和国人口与计划生育法》才生效（2016年1月1日修正生效）。

目前的互联网环境，同样面临法律不健全的问题。

但是，旨在控制社会各种风险的相关政策却并不少见，比如“扫黄打非”。

关于“扫黄”的合理性，网络上众说纷纭（有“文化论”、“禁欲与政治道统”论、“知识产权”论、“资产阶段自由化”论、“存天理，灭人欲”论、“维持社会秩序与形象”论等等），我们暂且不管其依据如何，只要知道政策是确实存在的，国家是要监管的。

政策虽不是法律，但也不是可有可无的东西，政策有灰度，监管有灰度。

但有一点是必然的，灰度不持久，不可持续发展。

政策是立法的先兆，政策逐步稳定之后，立法就会提上日程，法律会代替政策发挥作用。

那么，如果产品或业务有政策上的风险，如何最大程度的避免风险呢？

笔者阅历不够，不善于用阴谋论等看不见的角度来分析，诸如后台、站队等等。只是从看得见的一些案例中，总结几点浅见：

扬长避短

如果一个产品对社会既有利，又有弊，那么就要采取一切合理的措施，强化有利的地方，弱化不利影响。

作为一款播放器，如果没有为其进行某种业务场景的定制，怎么会跟其它播放器的使用场景大不一样呢。拿垃圾短信类比，就是忽视了它们之间根本的区别就在于，什么是主流，什么是末流，况且通信公司根本不靠垃圾短信盈利。

作为公司，要采取一切合理的措施来控制不利的影响，强化主流业务场景，而不能把黄色业务场景作为主要的盈利来源之一。

风险可控

把控制风险的能力掌握在自己手里，避免失控局面的发生。

此类产品设计之初，就应意识到政策的风险，在市场上不断试错的同时加强控制风险，在政策的大刀砍下来之前，能够迅速调整航向。

一旦失控，而公司又无力挽回，则公司必然要承担失控的后果。

尽快洗白上岸

从国家的法制化进程来看，政府对一个领域的监管，会经历一个从无到有的过程。政策一旦稳定，就会形成法律条文。

监管会来的迟一些，但它总是要来的。

在灰色的窗口期关闭之前，壮士断腕，洗白上岸。

有人说，很多企业都是有原罪的，他们的第一桶金，来的不是那么光明正大。 但是他们能够在灰色政策的窗口期关闭之前洗白，从此与灰色一刀两断，最终登堂入室，成为高大上的公司。 如果您创业的产品可能会有政策上的风险，比如WiFi密码分享类产品，如果不革新业务模式，则基于上述判断，未来面临很大的政策或法律风险。

当前的这类产品，未经WiFi所有者同意，由他人将WiFi密码上传到服务器并分享给他人使用，同时带来安全隐患（也许WiFi主人的这个口令还用于其它场景，一旦泄密，则WiFi主人的其它资产可能受到损失）。

笔者对这类产品的改进方向建议就是：向所有愿意分享WiFi的用户，首先验证其WiFi所有者的身份，提醒修改口令为单独的口令或指定的随机口令（可以通过服务器找回），成功分享后，向WiFi所有者付费，分享公司收益。