信息來(lái)源：企業(yè)網(wǎng)

[如果網(wǎng)絡(luò)安全法生效后，迅速產(chǎn)生像高通反壟斷處罰那樣的案例，那么今天那些扎實(shí)投入認(rèn)真貫徹網(wǎng)絡(luò)安全法合規(guī)的企業(yè)，其投入就是投資，免受處罰就是它們最好的回報(bào)。反之，企業(yè)的投入就會(huì)成為沉淀成本，合規(guī)若沒(méi)有價(jià)值，眼下網(wǎng)絡(luò)混亂的局面也很難有改觀]

2016年11月網(wǎng)絡(luò)安全法公布以來(lái)，筆者多次應(yīng)邀對(duì)企業(yè)和網(wǎng)絡(luò)安全從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全法培訓(xùn)，從與企業(yè)的接觸中發(fā)現(xiàn)，由于長(zhǎng)期以來(lái)我國(guó)網(wǎng)絡(luò)安全方面欠賬較多，目前國(guó)內(nèi)和國(guó)際網(wǎng)絡(luò)安全形勢(shì)比較嚴(yán)峻，眼下經(jīng)濟(jì)形勢(shì)又不是很好，一些企業(yè)對(duì)于落實(shí)網(wǎng)絡(luò)安全法所要發(fā)生的投入，頗有一些畏難甚至抵觸情緒。鑒于最近幾年企業(yè)遭遇重大的法律風(fēng)險(xiǎn)事件層出不窮，比如大眾汽車(chē)排放軟件作弊賠償147億美元，中興通訊也付出了約8.9億美元的代價(jià)，因此有必要就網(wǎng)絡(luò)安全法實(shí)施的企業(yè)合規(guī)問(wèn)題，陳述利害。

研究企業(yè)發(fā)展史可以看出，全世界哪里的人性其實(shí)都是差不多的。如果法律沒(méi)有強(qiáng)有力的執(zhí)法實(shí)踐案例，就不會(huì)有企業(yè)的自覺(jué)遵循。我國(guó)從2000年就有了全國(guó)人大常委會(huì)關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定，這就是國(guó)家正式保護(hù)網(wǎng)絡(luò)安全的法律，2012年年底，全國(guó)人大常委會(huì)又通過(guò)了加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定，也是法律，但我國(guó)種種網(wǎng)絡(luò)安全亂象不但沒(méi)有得到扭轉(zhuǎn)，甚至愈演愈烈，去年還爆發(fā)了徐玉玉等因電信詐騙刺激導(dǎo)致死亡這樣的惡性案件。

這次網(wǎng)絡(luò)安全法吸取了以往的經(jīng)驗(yàn)教訓(xùn)，對(duì)于不同類(lèi)型的企業(yè)的網(wǎng)絡(luò)安全義務(wù)做了規(guī)定，并借鑒國(guó)際立法經(jīng)驗(yàn)，對(duì)于侵害個(gè)人信息的違法行為設(shè)置了較大的法律責(zé)任，從今年6月1日法律生效開(kāi)始，違反法律不再像以往只追究犯罪嫌疑人的刑事責(zé)任，也不再限于發(fā)生安全事故后對(duì)企業(yè)不疼不癢的罰款，而是可能課以違法所得1%~10%的罰款，或者違法采購(gòu)金額1倍到10倍的罰款。

可能非專(zhuān)業(yè)人士看不懂這些意味著什么，如果您記得曾是中華人民共和國(guó)歷史上最大的行政處罰罰單——國(guó)家發(fā)改委給高通罰款60多億元那個(gè)案件的話，就可以了解，之所以能進(jìn)行這樣的巨額處罰，就是因?yàn)樘幜P法律依據(jù)是按照違法所得的比例確定，而不再像以前那樣限定處罰金額幅度。過(guò)去哪怕是百萬(wàn)元罰款，在大公司面前也不過(guò)是小菜一碟。

其實(shí)我國(guó)的這些規(guī)定與國(guó)際同類(lèi)立法相比，還不算最狠，歐盟通用數(shù)據(jù)保護(hù)條例（GDPR）關(guān)于個(gè)人信息違法的責(zé)任可達(dá)2000萬(wàn)歐元或上年全球營(yíng)業(yè)收入的4%！對(duì)于那些年入數(shù)百億美元的全球運(yùn)營(yíng)企業(yè)來(lái)說(shuō)，一旦確定違法，罰款金額將是驚人的數(shù)字。

由此可見(jiàn)各地區(qū)監(jiān)管機(jī)構(gòu)和法院都在運(yùn)用巨額罰款或賠償懲治違法，以儆效尤。難怪德國(guó)大眾企業(yè)排放軟件作弊以147億美元和解案件發(fā)生后，有負(fù)責(zé)招商引資的朋友驚嘆，區(qū)區(qū)幾十、幾百?gòu)埣埖姆晌臅?shū)就能拿走數(shù)百億元人民幣，還沒(méi)有資源消耗、環(huán)境污染，看來(lái)這法治也是生產(chǎn)力?。?/span>

由于眼下網(wǎng)絡(luò)安全法還沒(méi)生效，尚沒(méi)有執(zhí)法案例，在立法機(jī)關(guān)留給企業(yè)準(zhǔn)備的這個(gè)寶貴過(guò)渡期內(nèi)，不少企業(yè)卻只是在躊躇、猶豫、打探消息。有的企業(yè)對(duì)于IT部門(mén)提出的需要投入購(gòu)買(mǎi)軟硬件安全產(chǎn)品、專(zhuān)業(yè)服務(wù)還持觀望態(tài)度，說(shuō)要等待國(guó)家進(jìn)一步出臺(tái)實(shí)施細(xì)則再說(shuō)。

要說(shuō)服企業(yè)進(jìn)行合規(guī)投入，首先要回答的第一個(gè)問(wèn)題是：守法合規(guī)是成本還是投資？

現(xiàn)在很多企業(yè)對(duì)內(nèi)部管理都是劃分利潤(rùn)中心和成本中心的，銷(xiāo)售這樣直接產(chǎn)生現(xiàn)金流的業(yè)務(wù)部門(mén)當(dāng)然是強(qiáng)勢(shì)的，IT、法律合規(guī)屬輔助部門(mén)、放在成本中心，在企業(yè)內(nèi)部大都處于弱勢(shì)和邊緣地位。

以實(shí)踐來(lái)看，一些外資企業(yè)，若律師出具否定或者保留意見(jiàn)，就有很大可能否決商業(yè)決策。但對(duì)于國(guó)內(nèi)企業(yè)來(lái)說(shuō)，法律人員較難進(jìn)入核心決策圈。雖然最近幾年國(guó)企開(kāi)始推行總法律顧問(wèn)制度，上市公司規(guī)范化管理也有流程要做合法合規(guī)審核，普遍來(lái)說(shuō)企業(yè)合規(guī)的確有所進(jìn)步，但合規(guī)和法律審核能起多大作用，恐怕并不樂(lè)觀。如果網(wǎng)絡(luò)安全法生效后，迅速產(chǎn)生像高通反壟斷處罰那樣的案例，那么今天那些扎實(shí)投入認(rèn)真貫徹網(wǎng)絡(luò)安全法合規(guī)的企業(yè)，其投入就是投資，免受處罰就是它們最好的回報(bào)。反之，企業(yè)的投入就會(huì)成為沉淀成本，合規(guī)若沒(méi)有價(jià)值，眼下網(wǎng)絡(luò)混亂的局面也很難有改觀。

第二個(gè)要回答的問(wèn)題是，公司網(wǎng)絡(luò)安全法的實(shí)施與合規(guī)是誰(shuí)的責(zé)任？是IT安全部、法務(wù)部合規(guī)還是管理層合規(guī)？還是從上到下的全員都要合規(guī)？

不管中資還是外資企業(yè)，合規(guī)做得好的企業(yè)都有其共同特點(diǎn)，那就是法律合規(guī)不僅是法務(wù)和合規(guī)部門(mén)的事情，而是企業(yè)文化從上到下都比較具有守法意識(shí)，尊重法律與合規(guī)的專(zhuān)業(yè)性。網(wǎng)絡(luò)安全法對(duì)安全負(fù)責(zé)人設(shè)定了個(gè)人責(zé)任和市場(chǎng)禁入制度，在網(wǎng)絡(luò)安全法的實(shí)施合規(guī)問(wèn)題上，安全技術(shù)層面的問(wèn)題當(dāng)然要IT部門(mén)或者專(zhuān)門(mén)的安全部門(mén)負(fù)責(zé)，法律和管理也必須有專(zhuān)業(yè)力量同步跟上，否則單憑軟硬件無(wú)法確保安全。最近京東發(fā)布消息披露了違法人員通過(guò)應(yīng)聘進(jìn)入企業(yè)的方式非法獲取個(gè)人信息，這種內(nèi)外勾結(jié)的威脅尤其凸顯了確保網(wǎng)絡(luò)安全必須技術(shù)、法律與管理多管齊下，通力合作。

對(duì)于公司來(lái)說(shuō)，要形成重視安全的文化，把網(wǎng)絡(luò)與信息安全當(dāng)成一件需要全員通力協(xié)作的事，比如對(duì)于預(yù)防黑客人員混入企業(yè)信息安全部門(mén)，就需要企業(yè)人力資源部門(mén)協(xié)助做好安全人員招聘的背景審查。這樣才能避免如今信息到處泛濫和濫用的嚴(yán)重局面。

根據(jù)從網(wǎng)絡(luò)安全行業(yè)協(xié)會(huì)了解的資料，我國(guó)網(wǎng)絡(luò)安全方面的企業(yè)采購(gòu)金額占企業(yè)采購(gòu)總金額的比例大概只有3%，而美國(guó)在20%~25%，歐盟的企業(yè)則在15%左右。兩相對(duì)比，相差懸殊。退一步說(shuō)，個(gè)人信息逐漸成為全球互聯(lián)網(wǎng)管理的新抓手，就算我國(guó)的網(wǎng)絡(luò)安全執(zhí)法不動(dòng)手，在網(wǎng)絡(luò)無(wú)邊界的今天，恐怕我國(guó)的一些主要互聯(lián)網(wǎng)企業(yè)也難逃美歐執(zhí)法機(jī)關(guān)的嚴(yán)厲審查。

我們做知識(shí)產(chǎn)權(quán)的律師，大家都在爭(zhēng)奪外企客戶(hù)，因?yàn)橥馄蟊容^重視知識(shí)產(chǎn)權(quán)和專(zhuān)業(yè)勞動(dòng)，也愿意為專(zhuān)業(yè)服務(wù)付費(fèi)。而很多中國(guó)本土企業(yè)，哪怕是頂級(jí)大企業(yè)，很多法律事務(wù)都是企業(yè)法務(wù)部門(mén)自行處理，外包本來(lái)就不多，就算有一部分外部業(yè)務(wù)，也很少按照市場(chǎng)價(jià)格采購(gòu)，而是仗著自己是大企業(yè)拼命壓價(jià)。一旦出了事情，許多企業(yè)第一反應(yīng)往往不是專(zhuān)業(yè)應(yīng)對(duì)，而是怎么去找關(guān)系。守法的確成本很高，但長(zhǎng)遠(yuǎn)看，能經(jīng)得起風(fēng)浪。

所以說(shuō)，雖然合法合規(guī)的確要付出成本，但合規(guī)與違規(guī)，到底誰(shuí)是“小聰明”誰(shuí)是“大智慧”，值得企業(yè)在網(wǎng)絡(luò)安全法合規(guī)投入的決策過(guò)程中深入思考。

（作者系上海段和段律師事務(wù)所合伙人）