信息來源:企業(yè)網
[如果網絡安全法生效后����,迅速產生像高通反壟斷處罰那樣的案例�,那么今天那些扎實投入認真貫徹網絡安全法合規(guī)的企業(yè)����,其投入就是投資,免受處罰就是它們最好的回報�。反之,企業(yè)的投入就會成為沉淀成本���,合規(guī)若沒有價值�,眼下網絡混亂的局面也很難有改觀]
2016年11月網絡安全法公布以來�����,筆者多次應邀對企業(yè)和網絡安全從業(yè)人員進行網絡安全法培訓�,從與企業(yè)的接觸中發(fā)現(xiàn),由于長期以來我國網絡安全方面欠賬較多���,目前國內和國際網絡安全形勢比較嚴峻�,眼下經濟形勢又不是很好,一些企業(yè)對于落實網絡安全法所要發(fā)生的投入��,頗有一些畏難甚至抵觸情緒���。鑒于最近幾年企業(yè)遭遇重大的法律風險事件層出不窮�,比如大眾汽車排放軟件作弊賠償147億美元�,中興通訊也付出了約8.9億美元的代價�,因此有必要就網絡安全法實施的企業(yè)合規(guī)問題,陳述利害�����。
研究企業(yè)發(fā)展史可以看出��,全世界哪里的人性其實都是差不多的�����。如果法律沒有強有力的執(zhí)法實踐案例����,就不會有企業(yè)的自覺遵循。我國從2000年就有了全國人大常委會關于維護互聯(lián)網安全的決定���,這就是國家正式保護網絡安全的法律����,2012年年底,全國人大常委會又通過了加強網絡信息保護的決定�����,也是法律�,但我國種種網絡安全亂象不但沒有得到扭轉,甚至愈演愈烈����,去年還爆發(fā)了徐玉玉等因電信詐騙刺激導致死亡這樣的惡性案件。
這次網絡安全法吸取了以往的經驗教訓�,對于不同類型的企業(yè)的網絡安全義務做了規(guī)定,并借鑒國際立法經驗�����,對于侵害個人信息的違法行為設置了較大的法律責任��,從今年6月1日法律生效開始����,違反法律不再像以往只追究犯罪嫌疑人的刑事責任���,也不再限于發(fā)生安全事故后對企業(yè)不疼不癢的罰款,而是可能課以違法所得1%~10%的罰款����,或者違法采購金額1倍到10倍的罰款。
可能非專業(yè)人士看不懂這些意味著什么���,如果您記得曾是中華人民共和國歷史上最大的行政處罰罰單——國家發(fā)改委給高通罰款60多億元那個案件的話��,就可以了解���,之所以能進行這樣的巨額處罰�����,就是因為處罰法律依據(jù)是按照違法所得的比例確定����,而不再像以前那樣限定處罰金額幅度。過去哪怕是百萬元罰款�����,在大公司面前也不過是小菜一碟。
其實我國的這些規(guī)定與國際同類立法相比�,還不算最狠,歐盟通用數(shù)據(jù)保護條例(GDPR)關于個人信息違法的責任可達2000萬歐元或上年全球營業(yè)收入的4%�!對于那些年入數(shù)百億美元的全球運營企業(yè)來說,一旦確定違法����,罰款金額將是驚人的數(shù)字。
由此可見各地區(qū)監(jiān)管機構和法院都在運用巨額罰款或賠償懲治違法�����,以儆效尤���。難怪德國大眾企業(yè)排放軟件作弊以147億美元和解案件發(fā)生后�,有負責招商引資的朋友驚嘆����,區(qū)區(qū)幾十、幾百張紙的法律文書就能拿走數(shù)百億元人民幣�����,還沒有資源消耗、環(huán)境污染����,看來這法治也是生產力啊�!
由于眼下網絡安全法還沒生效,尚沒有執(zhí)法案例��,在立法機關留給企業(yè)準備的這個寶貴過渡期內���,不少企業(yè)卻只是在躊躇����、猶豫�、打探消息。有的企業(yè)對于IT部門提出的需要投入購買軟硬件安全產品����、專業(yè)服務還持觀望態(tài)度�,說要等待國家進一步出臺實施細則再說。
要說服企業(yè)進行合規(guī)投入����,首先要回答的第一個問題是:守法合規(guī)是成本還是投資��?
現(xiàn)在很多企業(yè)對內部管理都是劃分利潤中心和成本中心的����,銷售這樣直接產生現(xiàn)金流的業(yè)務部門當然是強勢的��,IT�、法律合規(guī)屬輔助部門、放在成本中心�,在企業(yè)內部大都處于弱勢和邊緣地位。
以實踐來看�,一些外資企業(yè),若律師出具否定或者保留意見���,就有很大可能否決商業(yè)決策�。但對于國內企業(yè)來說���,法律人員較難進入核心決策圈���。雖然最近幾年國企開始推行總法律顧問制度,上市公司規(guī)范化管理也有流程要做合法合規(guī)審核��,普遍來說企業(yè)合規(guī)的確有所進步���,但合規(guī)和法律審核能起多大作用���,恐怕并不樂觀�。如果網絡安全法生效后�����,迅速產生像高通反壟斷處罰那樣的案例�,那么今天那些扎實投入認真貫徹網絡安全法合規(guī)的企業(yè),其投入就是投資����,免受處罰就是它們最好的回報。反之�����,企業(yè)的投入就會成為沉淀成本��,合規(guī)若沒有價值�,眼下網絡混亂的局面也很難有改觀��。
第二個要回答的問題是����,公司網絡安全法的實施與合規(guī)是誰的責任�����?是IT安全部��、法務部合規(guī)還是管理層合規(guī)��?還是從上到下的全員都要合規(guī)�?
不管中資還是外資企業(yè)�����,合規(guī)做得好的企業(yè)都有其共同特點�����,那就是法律合規(guī)不僅是法務和合規(guī)部門的事情�����,而是企業(yè)文化從上到下都比較具有守法意識�,尊重法律與合規(guī)的專業(yè)性。網絡安全法對安全負責人設定了個人責任和市場禁入制度��,在網絡安全法的實施合規(guī)問題上,安全技術層面的問題當然要IT部門或者專門的安全部門負責�����,法律和管理也必須有專業(yè)力量同步跟上�,否則單憑軟硬件無法確保安全。最近京東發(fā)布消息披露了違法人員通過應聘進入企業(yè)的方式非法獲取個人信息�����,這種內外勾結的威脅尤其凸顯了確保網絡安全必須技術����、法律與管理多管齊下,通力合作����。
對于公司來說,要形成重視安全的文化�����,把網絡與信息安全當成一件需要全員通力協(xié)作的事�,比如對于預防黑客人員混入企業(yè)信息安全部門,就需要企業(yè)人力資源部門協(xié)助做好安全人員招聘的背景審查。這樣才能避免如今信息到處泛濫和濫用的嚴重局面���。
根據(jù)從網絡安全行業(yè)協(xié)會了解的資料,我國網絡安全方面的企業(yè)采購金額占企業(yè)采購總金額的比例大概只有3%����,而美國在20%~25%,歐盟的企業(yè)則在15%左右�。兩相對比,相差懸殊�����。退一步說�,個人信息逐漸成為全球互聯(lián)網管理的新抓手,就算我國的網絡安全執(zhí)法不動手����,在網絡無邊界的今天,恐怕我國的一些主要互聯(lián)網企業(yè)也難逃美歐執(zhí)法機關的嚴厲審查���。
我們做知識產權的律師�,大家都在爭奪外企客戶��,因為外企比較重視知識產權和專業(yè)勞動,也愿意為專業(yè)服務付費����。而很多中國本土企業(yè),哪怕是頂級大企業(yè)�����,很多法律事務都是企業(yè)法務部門自行處理�����,外包本來就不多�����,就算有一部分外部業(yè)務�,也很少按照市場價格采購,而是仗著自己是大企業(yè)拼命壓價��。一旦出了事情�����,許多企業(yè)第一反應往往不是專業(yè)應對��,而是怎么去找關系。守法的確成本很高��,但長遠看���,能經得起風浪���。
所以說�,雖然合法合規(guī)的確要付出成本,但合規(guī)與違規(guī)�,到底誰是“小聰明”誰是“大智慧”,值得企業(yè)在網絡安全法合規(guī)投入的決策過程中深入思考����。
(作者系上海段和段律師事務所合伙人)
