被印度低成本、高水平的计算机人才所吸引,财富五百强企业每年都要投入数十亿美元,将IT和业务服务外包到印度。但最近发生的两件事,促使CIO们不得不重新思考一个老问题:交给别人的数据,安全吗?——本报记者 窦彦莉

如果说孟买恐怖袭击,让人担心位于印度的离岸运营的物理安全和人身安全的话,这还不是最让人对数据保护产生强烈反应的事情。近日关于萨蒂扬(Satyam)董事长Ramalinga Raju在财务资料上造假超过10亿美元的新闻,则实实在在地让企业CIO和决策者们感到担忧:“一个连财务都可以造假的上市公司,还有什么是它不敢做的呢?”

Satyam公司是印度软件外包业第四大公司,它的财务造假是印度史上最大企业会计丑闻,被称为印度版的“安然事件”。其董事长可以拍拍屁股挂冠而去,但真正的恐慌则留给了那些把最关键的数据和电脑系统交给它的企业。纵使Satyam公司的领导团队接连声明,确保一如既往地为客户提供服务。但丑闻下的承诺,又有多大可信度呢?这就如同我们家里请的保姆,忽然有一天承认偷偷拿了雇主的大量财物,即使她一再保证能做好家务,照顾好孩子,恐怕雇主也不会放心地再把孩子交给这个保姆了。遇到这样的纠纷,雇主第一反应是要通过法律手段,保证自己的财产安全。

同样的道理,当企业把自己的数据提供给外包服务公司时,一定要问法律能在多大限度范围内保证自己的数据安全?在欧洲,数据保护被当作是一种基本人权。早在1970年,欧盟就通过了《数据保护指令》,旨在保护欧盟成员国的个人数据安全。对公司数据安全保障更有借鉴意义的当属美国的“安全港”制度。从2000年11月1日起,美国公司可以签字加入“安全港”,这个加入过程要经过严格的审查程序:首先要看公司是否有资格加入“安全港”;其次,一旦加入安全港后,公司要确认应当采取什么办法和机制来解决纠纷。

“安全港”肯定不是仙丹,但是,当公司进行数据转移时,它的确是一种有用的工具,为公司提供了必要的法律基础。当印度外包业在重申Satyam丑闻只是孤立事件时,却没有更深层次地意识到,丑闻事件和“安全港”的距离有多远?在人们为印度外包服务业因丑闻遭受重创而扼腕叹息的时候,是否有人思考过,印度外包服务业之所以脆弱的根本原因是什么?

Satyam丑闻之后,其同类公司如Wipro、TCS和Cognizant将难以说服CIO们再投入数百万美元在印度签定任何形式的新外包合同。在金融危机的大环境下,Satyam丑闻给我国软件外包业敲响了警钟:要想促使一个产业健康正常地发展,一定要有相应健全的法律法规加以保护。否则就会和印度服务业一样陷入尴尬境地。