《法治周末》记者朱雨晨
6月1日,网络安全法迎来正式实施5周年。作为我国互联网领域的第一部专门法律,网络安全法为构建网络安全法律法规体系提供了基础性依据。
继网络安全法实施后,数据安全法、个人信息保护法、关键信息基础设施保护条例等法律法规陆续颁布实施,形成了对重要网络活动、数据活动的基本规则体系,开启了依法治网新局面。
密集出台的法律法规,一方面指明了网络安全建设的原则和方向;另一方面,业务与网络的融合,对企业网络安全合规也提出了更加专业化、精细化的要求。
业内专家指出,在数字经济背景下,企业合规就如同遵守交通规则,不遵守规则,个人或者组织就会付出代价,因此,企业网络安全合规是企业的“安全带”“护城河”。
然而,在中国网络安全产业5年近3倍的高速增长背后,企业网络安全合规义务的落实情况却不容乐观。
安全合规是底线也是生命线
网络安全合规是指行业、企业为了实现依法、依规经营,防控网络安全风险,所建立的一种网络治理机制。它主要体现在3方面:一是网络安全法律法规、制度标准;二是企业内部的网络安全规章、制度;三是企业应遵守的网络安全道德规范。
企业网络安全合规,“如果用一句话来概括,就如在高速路上行车,驾驶员必须遵守交通规则,规则是底线,也是生命线。”河南金盾信安检测评估中心有限公司董事长、河南省法学会网络与信息法学研究会常务副会长兼学术委员会主任梁宏在接受《法治周末》记者采访时说。
梁宏表示,当今时代,几乎各行各业都处在线上化、信息化、数字化、智能化进程中的不同阶段,都需要依托网络开展业务。随着网络安全法的施行,各“网络运营者”的系统都纳入了网络安全合规的范围,合规建设也不再是独立于业务之外的单纯安全要求。
以网络安全等级保护制度合规建设为例,按照网络安全法及等级保护2.0国家标准的要求,各行各业的网络安全监管者、网络运营者、网络安全服务机构等都要按照国家的法律法规、制度规章、技术标准等有序地开展网络安全等级保护合规建设相关工作。
“企业网络安全合规,是实现网络安全,从而保障国家安全的基础。”北京市京师律师事务所网络安全法律服务中心主任王琮玮在接受《法治周末》记者采访时说,“企业网络安全合规,毫不夸张地说对我们每个人都有影响。”
王琮玮进一步解释,因为不同类型的企业承载着为广大网民、社会提供着产品和服务的功能,而随着政治、军事、商业等社会功能的网络化、数据化,现实社会中各种风险都转移到网络上,这些风险的暴露和发生,都具体到企业自身为人们提供的衣食住行等产品或服务上来,从而对人们的工作和生活造成影响。
“因此,企业落实网络安全合规义务,其实就是在保护我们每个人的安全。”王琮玮说。
没有网络安全,就没有国家安全。网络安全已上升为国家战略和国家安全的高度。在总体国家安全观的顶层设计下,安全和发展是一体之两翼、驱动之双轮,相辅相成,辩证统一。梁宏表示,同样,企业要想持续健康发展,必须建立在合法合规的基础上,把根基打牢。
安全合规落实情况不容乐观
合规建设的基础是“有法可依、有章可循”。梁宏指出,近年来,国家在网络安全与信息化领域的法律法规建设已经体系化,在国家安全法、刑法、民法典等法律修订时也逐渐完善网络安全、信息安全的相应条款,为各行各业的合规建设提供了法律保障。这是最根本的。
王琮玮告诉《法治周末》记者,依据现行有效的相关法律规定要求,在网络安全保障方面有6项法定合规义务需要遵守和落实。包括实施网络安全等级保护的义务、关键信息基础设施保护义务、数据安全保护义务、个人信息保护义务、违法有害信息的治理和禁止从事危害网络安全的义务等。
值得一提的是,网络安全法治化体系化的这5年,也是中国网络安全产业黄金发展的5年。赛迪顾问数据显示,2016年,我国网络安全市场规模为336.2亿元;而2021年,市场规模达到900多亿元。
5年近3倍的高速增长,在为中国数字经济保驾护航的同时,更诞生了奇安信等一批市值数百亿的网络安全上市企业。然而,在高速增长的网络安全产业背后,却是企业网络安全合规义务的“落实难、难落实”。
王琮玮长期关注企业网络安全合规义务的落实情况。她表示,就目前而言,大型企业做得比较好。网络安全建设需要投入人力、物力、财力,而在监管方面,大型企业因为承载的社会功能和社会责任比较大,监管力度也大,因此,大型企业无论是在对网络安全的重视程度上,还是在人财物的投入以及在配合监管方面都值得肯定。
比如,有些大型企业,设置专门的网络安全法律部门、技术部门,聘请专业人才,对自身的管理、业务从网络安全角度进行梳理和规范,同时也对涉及需要配合执法的问题安排人员负责,有的甚至还成立专门研究院,研究、探讨网络安全的现状、趋势、法治建设、网络安全管理等问题,并提出非常好的意见和建议,为国家的网络安全立法和管理提供了很好的支持。
但是,小型企业几乎没有网络安全方面的制度建设,也没有网络安全方面的专兼职岗位。中型企业中有部分企业会有网络安全制度建设,配备网络安全专兼职岗位或人员,但落实情况也不容乐观。“因为这种配备主要是为了申请一些资质,出于业务需要的目的,而不是真正重视网络安全义务的落实。”王琮玮说。
王琮玮曾代理过多起企业网络安全案例,这些企业都是在某些领域业务做得相对较好的中小型企业,在发生网络安全问题后,有的甚至被处罚以后仍然不重视网络安全合规落实,仍觉得问题发生是小概率事件,不愿意在网络安全合规落实上投入。“对于不落实网络安全合规义务,甚至‘带病’工作的企业,应该说就像定时炸弹一样,随时都有可能发生网络安全事件,从而影响个人安全、社会安全甚至国家安全。”
梁宏也指出,由于企业规模、性质、所处行业区域等因素的不同,当前企业网络安全合规落实情况总体来说参差不齐。主要原因有依法合规意识薄弱、合规管理机制不成体系、合规管理机构不健全、合规人才体系没有形成、合规监管处罚力度不强等。
合规落实工作任重道远
王琮玮表示,针对目前的落实情况,执法部门依据相关法律规定,各司其职,通过开展由网信办牵头的APP违法违规收集个人信息,公安机关打击个人信息泄露、电信诈骗为主要内容的净网行动,网信办治理网络乱象的清朗行动等专项整治工作,治理和打击网络安全中的典型问题。
“一方面对于违法犯罪行为人进行惩治,同时对于一些违反网络安全管理规定的企业进行处罚,以起到宣传网络安全的重要性、风险点;另一方面引起社会各界尤其是网络安全义务主体对网络安全的重视,以切实履行网络安全合规义务。”王琮玮说。
梁宏指出,目前就网络安全领域的合规建设和管理来说,基本还是依靠等保2.0标准体系开展定级、备案、检测评估、整改等合规建设工作。在关于合规体系建设方面,还没有一套完整的、系统的合规建设统一标准或指南,整体上还处在建章立制的初级阶段。
“因此,网络安全合规管理机制存在不健全的问题,尤其是一些细分领域,如新技术应用、数据交易等,法律制度、指导标准的缺失或碎片化,在合规程序,合规的策划、执行、检查、改进方式等方面存在界限模糊、无规可循的现状。”梁宏说。
此外,梁宏认为,企业内部的合规管理机制也还不成熟,尤其是中小企业,在认知程度、组织机构、合规人才等方面无法对合规管理形成有效支撑。
针对上述现状,金盾信安在网络安全等级保护检测评估的基础上,在网络安全合规体系领域作了许多探索和梳理工作。
一方面,金盾信安在网络安全合规咨询管理系统、监督检查管理系统、网络安全合规培训系统等方面加大研发投入,致力于建设数字化、一体化服务平台。
另一方面,金盾信安针对网络安全监管端、网络安全行业端、网络安全运营端、网络安全检测评估机构端、网络安全供应链端、网络安全专家团队端6个角色提出细分领域的合规解决方案。
“我们期待通过对现有法律法规、技术标准的统一梳理解析,用技术手段、经验判断和创新管理相融合的一体化模式,促进行业、企业的网络安全合规管理体系建设,切实推进国家、行业、区域合规管理能够落地。”梁宏说。
王琮玮认为,未来推动企业网络安全合规需要做的工作有很多,一是要加大网络安全合规义务落实的宣传,尤其要加强对中小型企业的网络安全合规义务宣传。
二是要严把供应链上下游的网络安全关,对于没有落实网络安全合规义务的企业不采用其产品或服务,对于因网络安全问题而受到行政处罚或刑事处罚的,应列入采购黑名单,通过对供应商的严格筛选,倒逼那些不重视网络安全、不落实网络安全合规义务的主体履行网络安全职责。
三是加大处罚力度,对违反网络安全法律规定的责任主体建立社会黑名单制度,只有对其业务有影响时,才是真正动了义务主体的奶酪,才能让他们在网络安全合规义务落实方面作出人力、财力、物力的投入。而只有责任主体重视和落实了网络安全合规义务,社会的网络安全、国家的网络安全才能真正实现。