企业合规工作涉及诸多方面，大致可以分为事前预防，日常监控与改善和事故处理几个环节；具体可包括合规体系建设，合规文化的培养，合规培训，合规调查和应对政府部门质询与司法/行政程序等等。其中，如何处理涉嫌违规事件是一个不可缺少的方面，尤其当某事件经由突发新闻报道曝光引发公众对企业运营的质疑时，企业需要快速有效地对面临的危机进行妥善处理，以防止突发事件给企业的业务和声誉造成毁灭性的冲击。

本文将以近期发生的剑桥分析（Cambridge Analytica）事件为例，简要分析脸书公司（Facebook）的应对策略和应对方法，以供读者参考。

一、事件背景

2018年3月17日，美国《纽约时报》（New York Times）与英国《卫报》（the Guardian）同时报道，一家政治咨询公司剑桥分析（Cambridge Analytica）未经授权收集并滥用脸书（Facebook）用户的个人数据为Trump选举服务，涉及5000万名个人。除了描述其调查到的事实，《卫报》在报道中直接称这一事件为“数据泄露” （data breach）。新闻一见报，Facebook立即遭到各方面的质疑，公众都在问：发生了什么？Facebook对其用户的个人数据是如何管理的？是否充分？是否符合相关法律规定？同时，相关政府部门也开始了调查和质询，而美国联邦贸易委员会（Federal Trade Commission）的调查最为引人关注，因为FTC曾于2011年与Facebook签订用户隐私保护协议（Consent Decree），对Facebook的隐私保护政策有具体要求，若是Facebook被证实对Consent Decree有违反，依据每一违规行为罚款最高可达40，000美元， 而5000万用户数据的泄露将可能导致高达风传某政府部门考虑对其进行处罚，罚金可高达2万亿。

二、Facebook的回应

下图简要示意了Facebook在处理此次危机中的关键行动：

Facebook公司在事件曝光后前几天选择了沉默，似乎未有任何行动，听任负面报道充斥全世界，股票也一跌再跌，其中有的新闻报道提到其CEO及创始人Zuckerberg未出席内部讨论会议之类，以此来暗示Facebook高层对数据事件的不重视。直到3月21日Facebook才打破沉默，Zuckerberg在自家Facebook页面上发表了一个长长的书面声明，并接受了CNN的采访，中心意思是：首先，道歉；然后，重申Facebook保护用户数据的责任，列举了公司在几年前就采取了相应措施，承认了可能有犯错误的情况；最后，详细说明如何在接下来进一步以行动来加强对第三方应用的管理和用户数据的保护。

除了CEO出面道歉并坦承责任（注意，这里的责任是指Facebook应当承担的工作责任，而非违法之后应接受的处罚责任）之外，Facebook的相关高管针对“数据泄露”data breach的说法进行了反击，他们认为在本事件中并未涉及系统被渗透或密码被盗，相反，所涉数据均是公开的，与一般意义上的data breach不能混同。Facebook律师甚至向《卫报》发出了律师函，要求不得使用数据泄露一词。

在接下来的周一，3月25日，Facebook在几个美国个英国的报纸上刊登了整页的Zuckerberg个人信函，再一次表明其对剑桥分析事件的认知，重申自身的责任。当然，舆论批评此举为重复一些事先准备好的公关说辞（PR talking points）。

在应对政府部门的询问和调查方面，Facebook表现也不错，Zuckerberg个人接受FTC邀请同意出席听证会，这与其在声明中提到的承担应尽责任是一致的。

至3月28日，Facebook宣布将终止与几家大型数据公司的合作，这很好地表明其采取行动的决心，也最终暂时结束了其股票不断下跌的状况。

事件发展到本周（4月2日），与最初的沉默与低调有所不同，Facebook 开始有选择地反击业内的一些批评，针对Apple CEO的含蓄批评，Zuckerberg明确地捍卫了自家的商业模式--用户免费+商业广告，他说这种商业模式可以为所有人提供与他人相连接的机会，这有别于费用高昂的苹果模式。

三、对Facebook回应的评述

通过以上简单回顾，我们可以看出，Facebook一开始很谨慎，对外一连多日保持沉默，而将重心放在内部调查和内部讨论，这中间肯定有不少外部专家的参与，不仅仅是法律方面的专家，还需要有技术专家，网络安全专家，政府协调专家，媒体公关专家等等。笔者认为，从合规工作的角度，这种冷处理方式十分值得赞赏，有时候，不行动就是最好的行动。在突发新闻引发信任危机之时，公司说什么都是错，还不如沉默，忍受所有公平的和不公平的评论，不去激化公众与舆论。这样可以逐渐使大众的情绪得到充分释放，也给公司足够的时间来厘清事实，分析问题并设计应对策略和应对方法。

等事件充分发酵之后，我们看到Facebook的CEO及创始人，代表公司发表书面声明首次正面作出回应。此回应的方法也值得我们学习，首先是发表声明的人选，Zuckerberg作为公司CEO和创始人，其个人与公司从某种程度上说是一体的，用户在质疑Facebook的时候也是在质疑Zuckerberg个人，此时由他代表公司采取回应行动是最为合适的，不仅可以体现出公司的立场，也同时展示他个人的担当。其次，是回应的方式，危机事件之下，公司的诚信被质疑，用户的情绪很激动，口头回应出错的可能性很大，我们已经看到很多公司高管口头发言说错话的例子，采用书面声明的方式可以对声明的用词语句方方面面精雕细琢，最大可能地减少错误。我们看到Facebook的声明写得很好，基本上该覆盖的方面都覆盖了：有诚挚的道歉，安抚公众，特别是用户的情绪；有勇敢承担自身的责任，同时又罗列事实，表明自身一直在努力，并非将数据保护停留在口头上；在用词上很谨慎，避免被认为是对违法事实的承认；最后列出下一步的计划，以保证数据保护的加强。对于用户来说，只说自己已经做得如何如何是不够的，反而会让人质疑，只有承认可能的错误，再提出改善措施才可能打动大众。

除了CEO的声明，Facebook派出副总裁，尤其是安全主管有选择地质疑新闻报道的用词不当可谓是聪明之举，数据泄露“data Breach”这个词在技术上和法律上有特定的涵义，Facebook在承认自己有责任保护用户数据有可能犯错的同时如果不加分辩，表明立场，可能会被认为其对相关的新闻报道默认，从而对今后公司要面对的法律程序不利。从另一方面说，“数据泄露”这种说法可能会误导用户以为Facebook未尽到其保护用户数据的义务，让第三方钻了空子，从而导致用户数据被滥用，这一点必须要说清楚，所以Facebook给《卫报》直接发了律师函，要求其停止诽谤。此外，在词语上的小小争论可以帮助转移公众的关注点，缓解公司面对的压力。

在传统媒体上发布整版广告也是不错的点子，首先是对传统媒体的尊重，其次是再一次重申立场，让自己的声音更大范围地覆盖，在事件已经发生一周后，公众有时间思考的时候，用重复的手段表明公司的决心。毕竟，Facebook的用户就是大众，是公司发展的基础，只有让大家舒心了，才会有公司的发展。

接下来，我们应该会看到Facebook更主动的应对了，从反击Apple的含蓄批评开始，它将会宣传自己的价值观，捍卫自己的商业模式，公关危机基本结束了，新闻会变成旧闻。真正性命悠关的是应对政府的质询，这就需要公司将已有事实进行整理，并有效地呈现给相关部门。

四、总结：危机处理要点

为防止面临突发事件时不知所措，企业应考虑设计危机应急机制，以便在第一时间有组织有章法地处理危机。笔者的经验是，成熟企业一般会设立危机应急小组，小组成员由相关部门负责人组成，召集人可以是合规部门人员。日常业务运营中，有关部门（如公关部）会负责舆情监控，突发事件发生时及时通知危机应急小组。

一旦危机发生，工作组需要马上召集会议，需要的话可以聘请外部顾问参与讨论。应急小组应该就以下几个问题进行讨论：

1. 突发事件是什么？如何引发？
2. 突发事件涉及的内部和外部人员有哪些？
3. 对事件基本事实进行调查，并整理支持文件
4. 在厘清基本事实的基础上分析突发事件中公司，各部门及有关人员可能存在的问题或承担的责任
5. 是否需要对外采取应对措施？何时，如何应对？
这其中的关键是应急小组需要清醒地分析面对的突发事件，面对的对象，找到问题所在，全面考虑各方面的因素，之后才着手制定应对策略和应对方案。切忌仓促回应外部询问，或是在未查证事实及充分评估之前武断承认或是否认面临的质疑，正如上文提到的，有时候，不行动就是最好的行动。当然，在合适的时候，主动回应是必须的，过长时间地保持沉默会引来更多的质疑和不信任。
在回应时，值得推荐的方法是通过陈述经确认的事实（尤其是公知的事实）和将采取的行动来表达自己的立场，主观的东西尽量避免，不确定的东西不说，不回应外界情绪化的评论。在受到评论时持开放的心态，不需要承认，一般情况下也不需要否认。公司应明确突发事件的重点是什么？通常落脚点都是合规风险管理，应当把精力集中在这上面，积极自查并配合有关政府部门的询问和调查，切忌掩盖或歪曲事实，对已发生的事件要勇于承认。在实践中，不乏企业试图阻碍政府部门的调查从而被重罚的例子，从合规风险管理的角度来说，保持透明是最佳的应对策略。
如果要采取反击，企业应该先考虑其必要性，是否有负面影响？反击的方式如何？针对的对象范围，反击的基础等等。总之，一定是谋而后动，宁可多花些时间采取保守的方法，审慎行动。当突发事件发生时，企业处于守势，反击不当往往会被认为是“狡辩”，那样还不如不反击。不过，如果能找到很好的切入点，且有必要，反击也是可以的，就如同我们在上文看到的Facebook针对“数据泄露”这一用词进行的质疑，虽然争议仍然存在，但这一行动可以保护自身，而且正反方各有理由，并非一边倒，这就是很好的反击。
五、结语
总之，突发事件应给予充分重视，其发生时企业所面临的不仅仅是负面新闻报道，而可能涉及政府调查，用户诉讼，合作伙伴管理，内部安全措施检查，公关处理等等问题，从而引发信任危机。当然，危机事件的核心是合规风险管理，公司是否真正按照相关法律的要求进行运营是最根本的问题，如果连这一根本义务都未尽到，公司将受到灾难性打击。我们从上文可以看到，Facebook的此次危机应对措施可圈可点，一方面表现出冷静且勇敢承担责任，另一方面也聪明地避免自认有违法行为。从“不当”或“不足够”到“违法”是有距离的，它承认自己有改善的空间并不意味着承认违规； Facebook很小心地挑选用词，breach of trust，不等于breach of agreement/law, 其反复重申的道歉是基于辜负了用户的信任，而非违背了承诺或是违反了法律。Facebook对不同的对象采取了不同的策略：对政府询问的态度是积极配合，对用户的态度是谦卑且勇于承担责任（注意，非自认违规），对媒体的态度是开放不排斥且有选择地质疑，对合作伙伴的态度是强硬（将终止与几家大型数据公司的合作可谓自断其臂表决心），对业界的批评是勇敢反击。这些都值得我们好好学习！