網路安全法的合規投入也是一種投資

[如果網路安全法生效後，迅速產生像高通反壟斷處罰那樣的案例，那麼今天那些紮實投入認真貫徹網路安全法合規的企業，其投入就是投資，免受處罰就是它們最好的回報。反之，企業的投入就會成為沉澱成本，合規若沒有價值，眼下網路混亂的局面也很難有改觀]

2016年11月網路安全法公佈以來，筆者多次應邀對企業和網路安全從業人員進行網路安全法培訓，從與企業的接觸中發現，由於長期以來我國網路安全方面欠賬較多，目前國內和國際網路安全形勢比較嚴峻，眼下經濟形勢又不是很好，一些企業對於落實網路安全法所要發生的投入，頗有一些畏難甚至牴觸情緒。鑑於最近幾年企業遭遇重大的法律風險事件層出不窮，比如大眾汽車排放軟體作弊賠償147億美元，中興通訊也付出了約8.9億美元的代價，因此有必要就網路安全法實施的企業合規問題，陳述利害。

研究企業發展史可以看出，全世界哪裡的人性其實都是差不多的。如果法律沒有強有力的執法實踐案例，就不會有企業的自覺遵循。我國從2000年就有了全國人大常委會關於維護網際網路安全的決定，這就是國家正式保護網路安全的法律，2012年年底，全國人大常委會又通過了加強網路資訊保護的決定，也是法律，但我國種種網路安全亂象不但沒有得到扭轉，甚至愈演愈烈，去年還爆發了徐玉玉等因電信詐騙刺激導致死亡這樣的惡性案件。

這次網路安全法吸取了以往的經驗教訓，對於不同型別的企業的網路安全義務做了規定，並借鑑國際立法經驗，對於侵害個人資訊的違法行為設定了較大的法律責任，從今年6月1日法律生效開始，違反法律不再像以往只追究犯罪嫌疑人的刑事責任，也不再限於發生安全事故後對企業不疼不癢的罰款，而是可能課以違法所得1%~10%的罰款，或者違法採購金額1倍到10倍的罰款。

可能非專業人士看不懂這些意味著什麼，如果您記得曾是中華人民共和國曆史上最大的行政處罰罰單——國家發改委給高通罰款60多億元那個案件的話，就可以瞭解，之所以能進行這樣的鉅額處罰，就是因為處罰法律依據是按照違法所得的比例確定，而不再像以前那樣限定處罰金額幅度。過去哪怕是百萬元罰款，在大公司面前也不過是小菜一碟。

其實我國的這些規定與國際同類立法相比，還不算最狠，歐盟通用資料保護條例（GDPR）關於個人資訊違法的責任可達2000萬歐元或上年全球營業收入的4%！對於那些年入數百億美元的全球運營企業來說，一旦確定違法，罰款金額將是驚人的數字。

由此可見各地區監管機構和法院都在運用鉅額罰款或賠償懲治違法，以儆效尤。難怪德國大眾企業排放軟體作弊以147億美元和解案件發生後，有負責招商引資的朋友驚歎，區區幾十、幾百張紙的法律文書就能拿走數百億元人民幣，還沒有資源消耗、環境汙染，看來這法治也是生產力啊！

由於眼下網路安全法還沒生效，尚沒有執法案例，在立法機關留給企業準備的這個寶貴過渡期內，不少企業卻只是在躊躇、猶豫、打探訊息。有的企業對於IT部門提出的需要投入購買軟硬體安全產品、專業服務還持觀望態度，說要等待國家進一步出臺實施細則再說。

要說服企業進行合規投入，首先要回答的第一個問題是：守法合規是成本還是投資？

現在很多企業對內部管理都是劃分利潤中心和成本中心的，銷售這樣直接產生現金流的業務部門當然是強勢的，IT、法律合規屬輔助部門、放在成本中心，在企業內部大都處於弱勢和邊緣地位。

以實踐來看，一些外資企業，若律師出具否定或者保留意見，就有很大可能否決商業決策。但對於國內企業來說，法律人員較難進入核心決策圈。雖然最近幾年國企開始推行總法律顧問制度，上市公司規範化管理也有流程要做合法合規稽核，普遍來說企業合規的確有所進步，但合規和法律稽核能起多大作用，恐怕並不樂觀。如果網路安全法生效後，迅速產生像高通反壟斷處罰那樣的案例，那麼今天那些紮實投入認真貫徹網路安全法合規的企業，其投入就是投資，免受處罰就是它們最好的回報。反之，企業的投入就會成為沉澱成本，合規若沒有價值，眼下網路混亂的局面也很難有改觀。

第二個要回答的問題是，公司網路安全法的實施與合規是誰的責任？是IT安全部、法務部合規還是管理層合規？還是從上到下的全員都要合規？

不管中資還是外資企業，合規做得好的企業都有其共同特點，那就是法律合規不僅是法務和合規部門的事情，而是企業文化從上到下都比較具有守法意識，尊重法律與合規的專業性。網路安全法對安全負責人設定了個人責任和市場禁入制度，在網路安全法的實施合規問題上，安全技術層面的問題當然要IT部門或者專門的安全部門負責，法律和管理也必須有專業力量同步跟上，否則單憑軟硬體無法確保安全。最近京東釋出訊息披露了違法人員通過應聘進入企業的方式非法獲取個人資訊，這種內外勾結的威脅尤其凸顯了確保網路安全必須技術、法律與管理多管齊下，通力合作。

對於公司來說，要形成重視安全的文化，把網路與資訊保安當成一件需要全員通力協作的事，比如對於預防黑客人員混入企業資訊保安部門，就需要企業人力資源部門協助做好安全人員招聘的背景審查。這樣才能避免如今資訊到處氾濫和濫用的嚴重局面。

根據從網路安全行業協會了解的資料，我國網路安全方面的企業採購金額佔企業採購總金額的比例大概只有3%，而美國在20%~25%，歐盟的企業則在15%左右。兩相對比，相差懸殊。退一步說，個人資訊逐漸成為全球網際網路管理的新抓手，就算我國的網路安全執法不動手，在網路無邊界的今天，恐怕我國的一些主要網際網路企業也難逃美歐執法機關的嚴厲審查。

我們做智慧財產權的律師，大家都在爭奪外企客戶，因為外企比較重視智慧財產權和專業勞動，也願意為專業服務付費。而很多中國本土企業，哪怕是頂級大企業，很多法律事務都是企業法務部門自行處理，外包本來就不多，就算有一部分外部業務，也很少按照市場價格採購，而是仗著自己是大企業拼命壓價。一旦出了事情，許多企業第一反應往往不是專業應對，而是怎麼去找關係。守法的確成本很高，但長遠看，能經得起風浪。

所以說，雖然合法合規的確要付出成本，但合規與違規，到底誰是“小聰明”誰是“大智慧”，值得企業在網路安全法合規投入的決策過程中深入思考。

本文轉自d1net（轉載）