[如果网络安全法生效后,迅速产生像高通反垄断处罚那样的案例,那么今天那些扎实投入认真贯彻网络安全法合规的企业,其投入就是投资,免受处罚就是它们最好的回报。反之,企业的投入就会成为沉淀成本,合规若没有价值,眼下网络混乱的局面也很难有改观]
2016年11月网络安全法公布以来,笔者多次应邀对企业和网络安全从业人员进行网络安全法培训,从与企业的接触中发现,由于长期以来我国网络安全方面欠账较多,目前国内和国际网络安全形势比较严峻,眼下经济形势又不是很好,一些企业对于落实网络安全法所要发生的投入,颇有一些畏难甚至抵触情绪。鉴于最近几年企业遭遇重大的法律风险事件层出不穷,比如大众汽车排放软件作弊赔偿147亿美元,中兴通讯也付出了约8.9亿美元的代价,因此有必要就网络安全法实施的企业合规问题,陈述利害。
研究企业发展史可以看出,全世界哪里的人性其实都是差不多的。如果法律没有强有力的执法实践案例,就不会有企业的自觉遵循。我国从2000年就有了全国人大常委会关于维护互联网安全的决定,这就是国家正式保护网络安全的法律,2012年年底,全国人大常委会又通过了加强网络信息保护的决定,也是法律,但我国种种网络安全乱象不但没有得到扭转,甚至愈演愈烈,去年还爆发了徐玉玉等因电信诈骗刺激导致死亡这样的恶性案件。
这次网络安全法吸取了以往的经验教训,对于不同类型的企业的网络安全义务做了规定,并借鉴国际立法经验,对于侵害个人信息的违法行为设置了较大的法律责任,从今年6月1日法律生效开始,违反法律不再像以往只追究犯罪嫌疑人的刑事责任,也不再限于发生安全事故后对企业不疼不痒的罚款,而是可能课以违法所得1%~10%的罚款,或者违法采购金额1倍到10倍的罚款。
可能非专业人士看不懂这些意味着什么,如果您记得曾是中华人民共和国历史上最大的行政处罚罚单——国家发改委给高通罚款60多亿元那个案件的话,就可以了解,之所以能进行这样的巨额处罚,就是因为处罚法律依据是按照违法所得的比例确定,而不再像以前那样限定处罚金额幅度。过去哪怕是百万元罚款,在大公司面前也不过是小菜一碟。
其实我国的这些规定与国际同类立法相比,还不算最狠,欧盟通用数据保护条例(GDPR)关于个人信息违法的责任可达2000万欧元或上年全球营业收入的4%!对于那些年入数百亿美元的全球运营企业来说,一旦确定违法,罚款金额将是惊人的数字。
由此可见各地区监管机构和法院都在运用巨额罚款或赔偿惩治违法,以儆效尤。难怪德国大众企业排放软件作弊以147亿美元和解案件发生后,有负责招商引资的朋友惊叹,区区几十、几百张纸的法律文书就能拿走数百亿元人民币,还没有资源消耗、环境污染,看来这法治也是生产力啊!
由于眼下网络安全法还没生效,尚没有执法案例,在立法机关留给企业准备的这个宝贵过渡期内,不少企业却只是在踌躇、犹豫、打探消息。有的企业对于IT部门提出的需要投入购买软硬件安全产品、专业服务还持观望态度,说要等待国家进一步出台实施细则再说。
要说服企业进行合规投入,首先要回答的第一个问题是:守法合规是成本还是投资?
现在很多企业对内部管理都是划分利润中心和成本中心的,销售这样直接产生现金流的业务部门当然是强势的,IT、法律合规属辅助部门、放在成本中心,在企业内部大都处于弱势和边缘地位。
以实践来看,一些外资企业,若律师出具否定或者保留意见,就有很大可能否决商业决策。但对于国内企业来说,法律人员较难进入核心决策圈。虽然最近几年国企开始推行总法律顾问制度,上市公司规范化管理也有流程要做合法合规审核,普遍来说企业合规的确有所进步,但合规和法律审核能起多大作用,恐怕并不乐观。如果网络安全法生效后,迅速产生像高通反垄断处罚那样的案例,那么今天那些扎实投入认真贯彻网络安全法合规的企业,其投入就是投资,免受处罚就是它们最好的回报。反之,企业的投入就会成为沉淀成本,合规若没有价值,眼下网络混乱的局面也很难有改观。
第二个要回答的问题是,公司网络安全法的实施与合规是谁的责任?是IT安全部、法务部合规还是管理层合规?还是从上到下的全员都要合规?
不管中资还是外资企业,合规做得好的企业都有其共同特点,那就是法律合规不仅是法务和合规部门的事情,而是企业文化从上到下都比较具有守法意识,尊重法律与合规的专业性。网络安全法对安全负责人设定了个人责任和市场禁入制度,在网络安全法的实施合规问题上,安全技术层面的问题当然要IT部门或者专门的安全部门负责,法律和管理也必须有专业力量同步跟上,否则单凭软硬件无法确保安全。最近京东发布消息披露了违法人员通过应聘进入企业的方式非法获取个人信息,这种内外勾结的威胁尤其凸显了确保网络安全必须技术、法律与管理多管齐下,通力合作。
对于公司来说,要形成重视安全的文化,把网络与信息安全当成一件需要全员通力协作的事,比如对于预防黑客人员混入企业信息安全部门,就需要企业人力资源部门协助做好安全人员招聘的背景审查。这样才能避免如今信息到处泛滥和滥用的严重局面。
根据从网络安全行业协会了解的资料,我国网络安全方面的企业采购金额占企业采购总金额的比例大概只有3%,而美国在20%~25%,欧盟的企业则在15%左右。两相对比,相差悬殊。退一步说,个人信息逐渐成为全球互联网管理的新抓手,就算我国的网络安全执法不动手,在网络无边界的今天,恐怕我国的一些主要互联网企业也难逃美欧执法机关的严厉审查。
我们做知识产权的律师,大家都在争夺外企客户,因为外企比较重视知识产权和专业劳动,也愿意为专业服务付费。而很多中国本土企业,哪怕是顶级大企业,很多法律事务都是企业法务部门自行处理,外包本来就不多,就算有一部分外部业务,也很少按照市场价格采购,而是仗着自己是大企业拼命压价。一旦出了事情,许多企业第一反应往往不是专业应对,而是怎么去找关系。守法的确成本很高,但长远看,能经得起风浪。
所以说,虽然合法合规的确要付出成本,但合规与违规,到底谁是“小聪明”谁是“大智慧”,值得企业在网络安全法合规投入的决策过程中深入思考。
(作者系上海段和段律师事务所合伙人)