信息來源:企業(yè)網(wǎng)
[如果網(wǎng)絡(luò)安全法生效后��,迅速產(chǎn)生像高通反壟斷處罰那樣的案例�,那么今天那些扎實投入認真貫徹網(wǎng)絡(luò)安全法合規(guī)的企業(yè)���,其投入就是投資�,免受處罰就是它們最好的回報�。反之,企業(yè)的投入就會成為沉淀成本��,合規(guī)若沒有價值���,眼下網(wǎng)絡(luò)混亂的局面也很難有改觀]
2016年11月網(wǎng)絡(luò)安全法公布以來�����,筆者多次應(yīng)邀對企業(yè)和網(wǎng)絡(luò)安全從業(yè)人員進行網(wǎng)絡(luò)安全法培訓(xùn)��,從與企業(yè)的接觸中發(fā)現(xiàn)�����,由于長期以來我國網(wǎng)絡(luò)安全方面欠賬較多����,目前國內(nèi)和國際網(wǎng)絡(luò)安全形勢比較嚴峻�,眼下經(jīng)濟形勢又不是很好,一些企業(yè)對于落實網(wǎng)絡(luò)安全法所要發(fā)生的投入����,頗有一些畏難甚至抵觸情緒。鑒于最近幾年企業(yè)遭遇重大的法律風(fēng)險事件層出不窮��,比如大眾汽車排放軟件作弊賠償147億美元��,中興通訊也付出了約8.9億美元的代價�,因此有必要就網(wǎng)絡(luò)安全法實施的企業(yè)合規(guī)問題,陳述利害��。
研究企業(yè)發(fā)展史可以看出�����,全世界哪里的人性其實都是差不多的。如果法律沒有強有力的執(zhí)法實踐案例��,就不會有企業(yè)的自覺遵循��。我國從2000年就有了全國人大常委會關(guān)于維護互聯(lián)網(wǎng)安全的決定�����,這就是國家正式保護網(wǎng)絡(luò)安全的法律���,2012年年底�,全國人大常委會又通過了加強網(wǎng)絡(luò)信息保護的決定�����,也是法律���,但我國種種網(wǎng)絡(luò)安全亂象不但沒有得到扭轉(zhuǎn)����,甚至愈演愈烈��,去年還爆發(fā)了徐玉玉等因電信詐騙刺激導(dǎo)致死亡這樣的惡性案件。
這次網(wǎng)絡(luò)安全法吸取了以往的經(jīng)驗教訓(xùn)�,對于不同類型的企業(yè)的網(wǎng)絡(luò)安全義務(wù)做了規(guī)定,并借鑒國際立法經(jīng)驗����,對于侵害個人信息的違法行為設(shè)置了較大的法律責(zé)任�����,從今年6月1日法律生效開始����,違反法律不再像以往只追究犯罪嫌疑人的刑事責(zé)任,也不再限于發(fā)生安全事故后對企業(yè)不疼不癢的罰款����,而是可能課以違法所得1%~10%的罰款,或者違法采購金額1倍到10倍的罰款�。
可能非專業(yè)人士看不懂這些意味著什么,如果您記得曾是中華人民共和國歷史上最大的行政處罰罰單——國家發(fā)改委給高通罰款60多億元那個案件的話�����,就可以了解�����,之所以能進行這樣的巨額處罰,就是因為處罰法律依據(jù)是按照違法所得的比例確定�����,而不再像以前那樣限定處罰金額幅度�����。過去哪怕是百萬元罰款�����,在大公司面前也不過是小菜一碟��。
其實我國的這些規(guī)定與國際同類立法相比�,還不算最狠,歐盟通用數(shù)據(jù)保護條例(GDPR)關(guān)于個人信息違法的責(zé)任可達2000萬歐元或上年全球營業(yè)收入的4%�����!對于那些年入數(shù)百億美元的全球運營企業(yè)來說�����,一旦確定違法,罰款金額將是驚人的數(shù)字��。
由此可見各地區(qū)監(jiān)管機構(gòu)和法院都在運用巨額罰款或賠償懲治違法�,以儆效尤。難怪德國大眾企業(yè)排放軟件作弊以147億美元和解案件發(fā)生后�����,有負責(zé)招商引資的朋友驚嘆����,區(qū)區(qū)幾十��、幾百張紙的法律文書就能拿走數(shù)百億元人民幣��,還沒有資源消耗���、環(huán)境污染��,看來這法治也是生產(chǎn)力?����?�!
由于眼下網(wǎng)絡(luò)安全法還沒生效�,尚沒有執(zhí)法案例,在立法機關(guān)留給企業(yè)準備的這個寶貴過渡期內(nèi)����,不少企業(yè)卻只是在躊躇、猶豫��、打探消息����。有的企業(yè)對于IT部門提出的需要投入購買軟硬件安全產(chǎn)品、專業(yè)服務(wù)還持觀望態(tài)度����,說要等待國家進一步出臺實施細則再說。
要說服企業(yè)進行合規(guī)投入�����,首先要回答的第一個問題是:守法合規(guī)是成本還是投資�?
現(xiàn)在很多企業(yè)對內(nèi)部管理都是劃分利潤中心和成本中心的,銷售這樣直接產(chǎn)生現(xiàn)金流的業(yè)務(wù)部門當(dāng)然是強勢的���,IT����、法律合規(guī)屬輔助部門、放在成本中心����,在企業(yè)內(nèi)部大都處于弱勢和邊緣地位。
以實踐來看����,一些外資企業(yè),若律師出具否定或者保留意見��,就有很大可能否決商業(yè)決策���。但對于國內(nèi)企業(yè)來說,法律人員較難進入核心決策圈�����。雖然最近幾年國企開始推行總法律顧問制度�,上市公司規(guī)范化管理也有流程要做合法合規(guī)審核,普遍來說企業(yè)合規(guī)的確有所進步��,但合規(guī)和法律審核能起多大作用�,恐怕并不樂觀���。如果網(wǎng)絡(luò)安全法生效后,迅速產(chǎn)生像高通反壟斷處罰那樣的案例�����,那么今天那些扎實投入認真貫徹網(wǎng)絡(luò)安全法合規(guī)的企業(yè)�,其投入就是投資,免受處罰就是它們最好的回報���。反之�,企業(yè)的投入就會成為沉淀成本��,合規(guī)若沒有價值��,眼下網(wǎng)絡(luò)混亂的局面也很難有改觀�����。
第二個要回答的問題是����,公司網(wǎng)絡(luò)安全法的實施與合規(guī)是誰的責(zé)任?是IT安全部、法務(wù)部合規(guī)還是管理層合規(guī)��?還是從上到下的全員都要合規(guī)����?
不管中資還是外資企業(yè),合規(guī)做得好的企業(yè)都有其共同特點����,那就是法律合規(guī)不僅是法務(wù)和合規(guī)部門的事情,而是企業(yè)文化從上到下都比較具有守法意識�����,尊重法律與合規(guī)的專業(yè)性���。網(wǎng)絡(luò)安全法對安全負責(zé)人設(shè)定了個人責(zé)任和市場禁入制度,在網(wǎng)絡(luò)安全法的實施合規(guī)問題上���,安全技術(shù)層面的問題當(dāng)然要IT部門或者專門的安全部門負責(zé)�����,法律和管理也必須有專業(yè)力量同步跟上����,否則單憑軟硬件無法確保安全。最近京東發(fā)布消息披露了違法人員通過應(yīng)聘進入企業(yè)的方式非法獲取個人信息��,這種內(nèi)外勾結(jié)的威脅尤其凸顯了確保網(wǎng)絡(luò)安全必須技術(shù)����、法律與管理多管齊下,通力合作��。
對于公司來說���,要形成重視安全的文化��,把網(wǎng)絡(luò)與信息安全當(dāng)成一件需要全員通力協(xié)作的事��,比如對于預(yù)防黑客人員混入企業(yè)信息安全部門�����,就需要企業(yè)人力資源部門協(xié)助做好安全人員招聘的背景審查���。這樣才能避免如今信息到處泛濫和濫用的嚴重局面。
根據(jù)從網(wǎng)絡(luò)安全行業(yè)協(xié)會了解的資料��,我國網(wǎng)絡(luò)安全方面的企業(yè)采購金額占企業(yè)采購總金額的比例大概只有3%,而美國在20%~25%����,歐盟的企業(yè)則在15%左右。兩相對比��,相差懸殊�。退一步說,個人信息逐漸成為全球互聯(lián)網(wǎng)管理的新抓手�����,就算我國的網(wǎng)絡(luò)安全執(zhí)法不動手�����,在網(wǎng)絡(luò)無邊界的今天���,恐怕我國的一些主要互聯(lián)網(wǎng)企業(yè)也難逃美歐執(zhí)法機關(guān)的嚴厲審查��。
我們做知識產(chǎn)權(quán)的律師,大家都在爭奪外企客戶���,因為外企比較重視知識產(chǎn)權(quán)和專業(yè)勞動���,也愿意為專業(yè)服務(wù)付費���。而很多中國本土企業(yè),哪怕是頂級大企業(yè)���,很多法律事務(wù)都是企業(yè)法務(wù)部門自行處理��,外包本來就不多���,就算有一部分外部業(yè)務(wù),也很少按照市場價格采購��,而是仗著自己是大企業(yè)拼命壓價�。一旦出了事情,許多企業(yè)第一反應(yīng)往往不是專業(yè)應(yīng)對��,而是怎么去找關(guān)系��。守法的確成本很高�����,但長遠看���,能經(jīng)得起風(fēng)浪����。
所以說,雖然合法合規(guī)的確要付出成本���,但合規(guī)與違規(guī)��,到底誰是“小聰明”誰是“大智慧”����,值得企業(yè)在網(wǎng)絡(luò)安全法合規(guī)投入的決策過程中深入思考�����。
(作者系上海段和段律師事務(wù)所合伙人)
