律师使用即时通信会有什么风险?

March.20.2019

English: What’s Wrong with Lawyers Using Instant Messaging?

本文同时刊载于香港律师会会刊20193月)。

在工作场所中使用即时通信的情况日趋普及,而律师事务所也不例外。一项近期的研究估计,有接近70%的雇员会透过智能手机处理公务,而使用在手机上安装的即时通信应用程式来处理公务的则占当中的73%。

以即时通信应用程式作为最常用的工作沟通工具(比使用智能手机发送电邮的雇员(66%)和用其进行语音通话的雇员(58%)为多[1])或许不会令人感到诧异,但较少人知道的是,虽然现时某款主流通信应用程式会提供端对端加密功能,以确保只有发送者和接收者才可阅读到相关信息,但一些其他流行的通信应用程式并没有提供此功能,或须由用户设定后才可获启用。

从法律、专业操守以及安全的层面来说,即时通信应用程式的普及确实为律师和律所带来重大及不容忽视的新挑战。

专业操守

《香港律师专业操守指引》(下称《指引》)第1.07条规定,使用信息通信技术(包括即时通信工具)的律师,须确保有关使用符合《指引》、《实务指示》及所有适用法律的规定。

保密风险

保密无庸置疑是所有律师都必须遵守的重要规定。然而,即时通信却很容易令律师们无意地向第三方披露了机密及/或享有法律特权的资料。例如,在为手机安装即时通信应用程式的过程中,应用程式可能会要求取得储存于手机中的通讯名录,从而将整份名录输入其伺服器中。

因此,使用该等应用程式的律师可能会在不知情的情况下向第三方分享了客户的个人资料,这显然是一个严重的问题。假如该部手机是由律所提供,并载有个别律师的客户名单,这问题所带来的风险将会更大。

法律特权风险

在这节奏急促的数码年代,客户越来越期望能不论何时何地,透过其选择的通信途径来联系律师。例如,内地客户通常会希望透过一款内地最普及的通信应用程式来与律师沟通。然而,律师们应当注意,该款应用程式并不能为通信内容提供端对端加密。更甚者,在该社交媒体平台上进行的所有对话和贴文,都可以被内地法院用作呈堂证据。因此,若客户坚持透过该款应用程式商谈事务(包括潜在或现行诉讼事宜),就可能意味着放弃了该等对话的法律特权权利。

为审慎维持保密原则和法律特权,律所可考虑订立严格的议定,例如禁止律师们与客户透过即时通信程式讨论案件,使律师得以保密的方式与客户联系及制订相关策略的能力不受影响。

记录保存风险

律所应检讨其内部政策,以决定处理律师离职事宜的最佳方法,并尤其顾及行动装置及资料管理等方面的问题。特别要注意的是,当律师离职时,储存在其行动装置中的对话和工作文件可能会被一并带走。

因此,律所须考虑建立备份系统,将储存于个人通信装置中与公务有关的资料存档,否则当律师离职时,这些文件和对话便可能会遗失。假如离职律师转到属业务竞争对手的律所工作,问题就会变得更为严重。

客户的文件披露风险

律师亦应注意,他们有责任告知客户,在诉讼的文件披露过程中客户须提供什么资料。虽然一些较为流行的通信应用程式并没有将用户的讯息储存在其伺服器中(因此服务商极其量只能将元数据移交给法庭或警方),但客户仍可选择将信息备份于云端。然而,要确定该云端伺服器的所在位置以及已备份信息所获得的资料保护程度其实是相当困难或几乎不可能的。实际上,即使该等信息并没有被储存在通信应用程式的伺服器中,客户所备份的信息(如电邮等其他电子纪录)仍有可能须在香港的诉讼中作出披露。

减轻风险

律师和律所须采取积极态度,以减低使用即时通信应用程式所带来的风险。首先,律所应就相关风险进行评估,并将现行的保安政策以及员工所使用的通信设备(例如桌上电脑、平板电脑、手机、闪存记忆盘等)纳入评估范围。此程序涉及检视该所已制订的保安措施、须加强的保安范畴,以及检讨通信应用程式是否适合作为相关业务的通信工具。

对许多(特别是规模较小的)律所来说,要对所有使用第三方通信应用程式的律师进行业务通信的监督及/或监控,可能是个重大的挑战。

即时通信管理技术(例如「行动装置管理」(Mobile Device Management) 及/或「行动应用程式管理」(Mobile Application Management))可让管理层对即时通信的使用实施监控、拦截不符合政策规定的内容、保留与储存信息,以及侦测病毒等功能。

这项技术可让律所在容许法律执业和非法律执业员工以即时通信应用程式与外界沟通的同时,监管其使用情况。律所若仍未采用该项技术,应考虑采纳该技术是否符合成本效益。

其次,律所应检讨其内部信息技术政策。假如现行政策上并未清楚列明使用即时通信所涉及的风险,该所便应更新其相关政策。一些建议措施包括:

  • 限制(或甚至禁止)员工透过即时通信应用程式发送的文件类别;

     

  • 界定在工作场所中及客户沟通过程中使用即时通信的适当方式;

     

  • 在所有技术设备中安装位置追踪装置;

     

  • 在设备上进行特定设置,以便在装置遗失或被盗时遥控清除储存在内的资料;及

     

  • 确认其律所应采取的即时通信应用程式监控范围和类别。

律所亦可视乎自身的规模,考虑设置符合其企业级别的通信应用程式。此举的好处众多,包括该所可设置备有独立钥匙的装置对装置加密,使信息和资料在传送过程中得到保护、设置安全的云端储存,以及赋予该所对所有资料的完全控制和管理权限,从而确保无任何外人可取得该等资料。

最后,律所应教育所有法律执业及非法律执业人员认识在数字世界中的最佳通信操作模式,以确保所有员工在使用、内容和纪录保存方面遵守各项基本规则。倘若员工(尤其是律师)得悉当中涉及的风险便当更明智地运用通信应用程式。

[1] Pathfinder Report: Growing Use of Consumer Messaging Apps Exposes Organizations to Privacy, Compliance and Security Risks,2017年10月。