国产日韩欧美一区二区三区三州_亚洲少妇熟女av_久久久久亚洲av国产精品_波多野结衣网站一区二区_亚洲欧美色片在线91_国产亚洲精品精品国产优播av_日本一区二区三区波多野结衣 _久久国产av不卡

?

企業(yè)信息安全法律治理

2020-10-13 10:36馬民虎
關(guān)鍵詞:義務(wù)信息安全網(wǎng)絡(luò)安全

張 敏,馬民虎

(西安交通大學(xué) 法學(xué)院,陜西 西安 710049)

以云計算、大數(shù)據(jù)等為驅(qū)動的新技術(shù)在引領(lǐng)企業(yè)向智慧企業(yè)轉(zhuǎn)型的同時也打開了安全威脅的潘多拉魔盒:一方面,針對國家關(guān)鍵信息基礎(chǔ)設(shè)施的持續(xù)性大規(guī)模網(wǎng)絡(luò)攻擊、企業(yè)系統(tǒng)漏洞、數(shù)據(jù)泄露等安全威脅呈現(xiàn)升級化態(tài)勢;另一方面,因歐美網(wǎng)絡(luò)與信息安全立法變革浪潮沖擊、跨國IT企業(yè)合規(guī)僵局、貿(mào)易大戰(zhàn)與地緣政治安全的復(fù)雜結(jié)構(gòu)相交織,進一步加劇了我國信息安全的嚴峻態(tài)勢。我國《網(wǎng)絡(luò)安全法》將網(wǎng)絡(luò)運營者定位為“協(xié)同治理”的中堅力量,并為其量身設(shè)定了安全義務(wù)體系。在此背景下,我國亟需以《網(wǎng)絡(luò)安全法》的安全“保障法”定位為指引,在謹慎權(quán)衡“安全”與“發(fā)展”的基礎(chǔ)上,積極探索中國本土化的企業(yè)信息安全法律治理之道,以提升《網(wǎng)絡(luò)安全法》執(zhí)法和企業(yè)合規(guī)的有效性,最大化企業(yè)在國家信息安全保障中的能量。

一、企業(yè)信息安全法律治理的提出

(一)企業(yè)信息安全法律治理之內(nèi)涵解析:基于“治理”理論視角

“法律治理(Legal Governance)”的理論根基深植于“治理(Governance)”理論。 “治理”理論源于西方,流派眾多且各具差異,但對“治理”的核心要素即主體多元、平等、協(xié)作、共贏等存在共識。全球化趨勢使帶有工具理性特征的治理理論與法律相結(jié)合,在不同國家被重塑與本地化,領(lǐng)域多涉及國家、社會、城市、公司、網(wǎng)絡(luò)等。新中國成立以來,中國法制建設(shè)開啟了從管理邁向“法律治理”的革命性變革,對“法律治理”的倚重亦是國家治理能力現(xiàn)代化的標志?!胺芍卫怼笔侵敢罁?jù)國家權(quán)力機關(guān)依法律程序制定的法律規(guī)則,政府、社會、市場等存在利益分化的多元主體通過合作、協(xié)調(diào)與互動的方式,實現(xiàn)共同利益與促進社會發(fā)展目標。我國學(xué)界亦認識到,“與高度復(fù)雜性和高度不確定性的時代相適應(yīng)的社會治理模式應(yīng)當(dāng)是一種合作行動模式,只有多元社會治理主體在合作的意愿下共同開展社會治理活動,才能解決已出現(xiàn)的各種各樣的社會問題”[1]。

當(dāng)我國從工業(yè)社會邁入網(wǎng)絡(luò)與數(shù)字化社會,安全與發(fā)展成為基本的時代訴求。得益于治理理論對網(wǎng)絡(luò)與信息安全立法的滋養(yǎng),“協(xié)同治理”成為有效應(yīng)對網(wǎng)絡(luò)安全威脅的核心理念?!皡f(xié)同治理”是指處于同一治理網(wǎng)絡(luò)中的多元主體間通過協(xié)調(diào)合作,形成彼此嚙合、相互依存、共同行動、共擔(dān)風(fēng)險的局面,產(chǎn)生有序的治理結(jié)構(gòu),以促進公共利益的實現(xiàn)[2],其強調(diào)不同主體間合作的匹配性、動態(tài)性、有序性與有效性。我國《網(wǎng)絡(luò)安全法》將“協(xié)同治理”定位為基本原則,其智慧在于:一是強調(diào)了安全治理應(yīng)立足于政府的規(guī)范、引導(dǎo)與監(jiān)督,政府決策應(yīng)建立在統(tǒng)籌考慮、利益平衡的基礎(chǔ)之上;二是強調(diào)應(yīng)發(fā)揮政府、企業(yè)、社會團體及公民在內(nèi)的多元主體參與,鼓勵多元主體責(zé)任分擔(dān)、協(xié)同合力,避免傳統(tǒng)“善政”思維對政府責(zé)任的無限放大。

企業(yè)信息安全法律治理的提出是對 “協(xié)同治理”理念的踐行,其制度內(nèi)涵包括:一是政府應(yīng)不斷優(yōu)化網(wǎng)絡(luò)與信息安全相關(guān)立法規(guī)范,提升立法技術(shù),發(fā)揮 “硬法”與“軟法”的各自優(yōu)勢,為企業(yè)信息安全治理創(chuàng)造良好的外部法治環(huán)境;二是立法應(yīng)引導(dǎo)和激勵企業(yè)充分發(fā)揮“協(xié)同治理”的作用,將企業(yè)信息安全法人治理作為“重心”。在所有企業(yè)中建立自愿與強制相結(jié)合的信息安全法人治理結(jié)構(gòu),明確企業(yè)高管之信息安全義務(wù),促進法人治理與安全文化相交融。

立法監(jiān)管與企業(yè)法人治理是企業(yè)信息安全法律治理的有機組成部分,兩者相輔相依。企業(yè)信息安全法律治理應(yīng)立足于立法的引導(dǎo)、監(jiān)督與鼓勵,可分別通過設(shè)定指引性與禁止性法律規(guī)則為企業(yè)信息安全自治設(shè)定法定“基線”與違法“紅線”,設(shè)定激勵性規(guī)則鼓勵企業(yè)守法與合規(guī)。企業(yè)應(yīng)以法律原則、規(guī)則為治理依據(jù),根據(jù)風(fēng)險變化靈活優(yōu)化企業(yè)法人治理結(jié)構(gòu),最終在政府與企業(yè)“二元”治理的有機互動中保障信息在處理、存儲及流轉(zhuǎn)中的完整性、機密性與可用性。

(二)企業(yè)信息安全法律治理的制度價值

企業(yè)信息安全法律治理憑借蘊含價值理性和道德判斷的法律的介入,用法律權(quán)威將安全義務(wù)歸化到企業(yè),從而實現(xiàn)以下制度價值。

1.有效保障國家網(wǎng)絡(luò)與信息安全,維護公共利益

網(wǎng)絡(luò)安全現(xiàn)已對國家安全產(chǎn)生了全面的顛覆性影響,成為國家安全競爭的最前沿領(lǐng)域和國家安全變革的最難以預(yù)測的因素[3]。威脅國家網(wǎng)絡(luò)安全因素復(fù)雜多樣,黑客攻擊與數(shù)據(jù)泄露最為典型。大規(guī)模、高級可持續(xù)性攻擊的目標正在從傳統(tǒng)的IT系統(tǒng)轉(zhuǎn)向石油、天然氣、航空運輸?shù)汝P(guān)鍵行業(yè)的工業(yè)控制系統(tǒng)。關(guān)鍵信息基礎(chǔ)設(shè)施運營者向社會公眾提供的產(chǎn)品及服務(wù)具有公共產(chǎn)品屬性,其安全防范中的弱項可能成為黑客攻擊的“短板”,從法律治理的高度去應(yīng)對企業(yè)安全難題則是較為有效的手段。

2.有效保障個人信息安全,捍衛(wèi)個人權(quán)益

個人信息蘊含財產(chǎn)利益與人格尊嚴,我國立法將其視為基本民事權(quán)利。個人信息泄露常規(guī)路徑有三種:(1)內(nèi)部人員非法盜取、轉(zhuǎn)賣;(2)企業(yè)在非授權(quán)范圍內(nèi)利用與經(jīng)營用戶信息;(3)惡意程序利用網(wǎng)絡(luò)漏洞非法入侵數(shù)據(jù)庫進而盜取、劫持個人信息。隨著電子商務(wù)與社交平臺邁入鼎盛時期,海量用戶數(shù)據(jù)被企業(yè)抓取、整合、分析、畫像,嚴重危及個人權(quán)益。很多人將數(shù)據(jù)泄露的“原罪”歸于個人信息立法的不完備,而忽視了立法并未真正映射、內(nèi)生于企業(yè)治理層面是數(shù)據(jù)泄露有增無減的內(nèi)因。

3.促進產(chǎn)業(yè)在“安全”中得以“發(fā)展”

在信息化時代,很多企業(yè)(尤其是發(fā)展中國家企業(yè))的信息安全治理水平令人憂慮。只有在解決安全問題的前提下,企業(yè)發(fā)展才能沒有后顧之憂。從合規(guī)角度,歐美網(wǎng)絡(luò)安全及數(shù)據(jù)保護立法變革給企業(yè)亦帶來考驗,如何進行安全合規(guī)、降低戰(zhàn)略運營風(fēng)險已成為大型企業(yè)走出國門時應(yīng)考慮的問題。法規(guī)遵從并非結(jié)果,而是一個持續(xù)漸進的過程。建立內(nèi)生于企業(yè)、業(yè)務(wù)流程及產(chǎn)品設(shè)計相融的安全治理機制才能促進產(chǎn)業(yè)在“安全”中得以“發(fā)展”。

二、我國企業(yè)信息安全法律治理:問題檢視及治理“重心”的定位

(一)我國企業(yè)信息安全義務(wù)的法律淵源

法的淵源是指由不同國家機關(guān)制定、認可和變動的,具有不同法的效力或地位的各種法的形式。我國企業(yè)信息安全義務(wù)來源于三層面:一是《網(wǎng)絡(luò)安全法》(簡稱“網(wǎng)安法”)及其配套的下位法(1)如2017年《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例(草案)》、2019《網(wǎng)絡(luò)安全審查辦法(征求意見稿)》等。;二是網(wǎng)絡(luò)安全等級保護制度(2)如1994年《中華人民共和國計算機信息系統(tǒng)安全保護條例》、1999年《計算機信息系統(tǒng)安全保護等級劃分準則》、2007年《信息安全等級保護管理辦法》、2018年《網(wǎng)絡(luò)安全等級保護條例(草案)》的出臺標志著國家網(wǎng)絡(luò)安全等級保護邁入新時期。;三是相關(guān)國家標準及行業(yè)標準(3)“國家標準”包括《信息系統(tǒng)安全等級保護基本要求》(GB/T 22239—2008)、《信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南》(GB/T22240—2008)、《信息安全技術(shù)信息系統(tǒng)安全等級保護實施指南》(GB/T 25058—2010)、《網(wǎng)絡(luò)安全等級保護測評要求》(GB/T 28448—2019)等;“行業(yè)標準”是基于《信息系統(tǒng)安全等級保護基本要求》,電力與銀行、證券、海關(guān)、鐵道、民航等重點行業(yè)根據(jù)各自行業(yè)的特點對上述要求作出的擴展。。網(wǎng)安法及相關(guān)配套性制度是我國企業(yè)信息安全義務(wù)的主要法律淵源,相關(guān)國家標準與行業(yè)性標準為網(wǎng)安法確立的安全義務(wù)提供了更為具體的實施依據(jù)。

(二)我國企業(yè)信息安全法律治理在立法實踐中存在的問題檢視:基于網(wǎng)安法“保障法”定位展開

網(wǎng)安法是國家網(wǎng)絡(luò)與信息安全治理的基礎(chǔ)性“保障法”。網(wǎng)安法頒布近3年來,國家層面和地方政府機構(gòu)都開始專項檢查和執(zhí)法行動,從“執(zhí)法第一案”進入執(zhí)法常態(tài)化。從網(wǎng)安法的“保障法”定位去檢視立法制度以及執(zhí)法效果,仍存在一些問題。

1.企業(yè)安全義務(wù)多為靜態(tài)性、具體措施性的管理性義務(wù),而非內(nèi)生于企業(yè)“治理”層面的義務(wù)

網(wǎng)安法明確了網(wǎng)絡(luò)運營者的安全義務(wù)體系,其建構(gòu)在實體性法律規(guī)范的基礎(chǔ)上,并附加一些履行不能的法律責(zé)任,但仍暴露出一些問題:其一,網(wǎng)安法對網(wǎng)絡(luò)運營者的諸多義務(wù)性規(guī)定多由政府主導(dǎo)自上而下施加,并通過國家、行業(yè)標準規(guī)定非常具體的措施性要求作為義務(wù)的主要內(nèi)容,然后通過行政處罰等手段強制要求管理對象合規(guī)[4]。而傳統(tǒng)法律理論認為,過多禁止性法律規(guī)范會造成“管理型”立法而非“治理型”立法[5],減損執(zhí)法效果。網(wǎng)安法及其下位法在規(guī)則設(shè)計時偏重于以技術(shù)性措施與管理性手段防控企業(yè)安全風(fēng)險,以行政處罰手段震懾企業(yè)逾越法律“紅線”的規(guī)制思路,易導(dǎo)致企業(yè)負責(zé)人以“不出事”的“管理”式思維被動合規(guī),影響執(zhí)法效果。其二,網(wǎng)安法設(shè)定的企業(yè)安全保護義務(wù)多為靜態(tài)性、具體措施性的義務(wù),缺乏對內(nèi)生于企業(yè)的治理層面的義務(wù)的宏觀考量,不足以應(yīng)對多變的網(wǎng)絡(luò)安全風(fēng)險。如網(wǎng)安法第10條、第21條、第34條、第42條詳細規(guī)定了網(wǎng)絡(luò)運營者在保障網(wǎng)絡(luò)數(shù)據(jù)三性、等級保護、個人信息保護方面的具體性規(guī)定,該規(guī)定多以“技術(shù)措施”“其他必要措施”及“補救性措施”等靜態(tài)性、措施性規(guī)定為主。但網(wǎng)絡(luò)的“靜態(tài)”安全或“形式安全”無法從根本上應(yīng)對網(wǎng)絡(luò)安全風(fēng)險的無界傳播與溢出效應(yīng)。隨著技術(shù)的發(fā)展,移動設(shè)備、路由器、可穿戴設(shè)備、物聯(lián)網(wǎng)等已逐步成為頂級攻擊者的目標。美國國家安全局技術(shù)總監(jiān)戴夫·霍格(Dave Hogue)稱,黑客的速度非??欤灰踩┒垂_發(fā)布,國家資助的攻擊者可在不到一天的時間內(nèi)將其武器化[6]??焖倩?、新型化的安全威脅使企業(yè)的整體安全水平只取決于企業(yè)最“弱”的一環(huán),而不是最“強”的地方。靜態(tài)的企業(yè)安全風(fēng)險管理思維已無法防御嚴峻的安全風(fēng)險。正如有學(xué)者所言,“掛在墻上的資質(zhì)證書完全無法應(yīng)對真刀真槍的戰(zhàn)略威脅”[7]。

2.企業(yè)安全法規(guī)遵從的激勵機制缺失,難以扭轉(zhuǎn)企業(yè)信息安全治理的“被動”思維

在全球行政改革浪潮中,命令控制式規(guī)制受到廣泛批評,激勵性監(jiān)管得到重視,人們發(fā)現(xiàn)規(guī)則如果能夠與被管理者激勵相容,會極大降低執(zhí)法成本,提高合規(guī)動力[8]。我國網(wǎng)安法建立起企業(yè)安全義務(wù)體系框架,并通過設(shè)置法律責(zé)任予以震懾并督促企業(yè)遵從,故企業(yè)法規(guī)遵從的基本動因仍基于法律的強制力。企業(yè)多具有逐利的理性人特征,多會將“安全”投入視為“成本”負擔(dān),加之安全意識普遍淡薄和違法不利后果的威懾力有限,易導(dǎo)致企業(yè)負責(zé)人以“不出事”的“管理”式思維被動合規(guī)。尤其是中、小型企業(yè),網(wǎng)絡(luò)安全資源有限,安全意識更為淡薄,對安全威脅的識別、防御能力低,易成為供應(yīng)鏈安全的“短板”而降低整個供應(yīng)鏈的安全性。對安全風(fēng)險的靜態(tài)與被動防御思維根本無法有效應(yīng)對日益嚴重的安全危機。Cybereason聯(lián)合創(chuàng)始人兼首席執(zhí)行官所言:“企業(yè)在網(wǎng)絡(luò)安全領(lǐng)域的投入每年都在增加,但新型攻擊的發(fā)生率以及企業(yè)遭遇黑客入侵的情況并沒有發(fā)生實質(zhì)性的好轉(zhuǎn)。”

3.企業(yè)信息安全文化的引導(dǎo)與塑造力度欠缺,不利于形成良好的治理生態(tài)

網(wǎng)絡(luò)安全立法屬于政治上層建筑,信息安全文化屬于意識形態(tài)上層建筑,二者具有正相關(guān)的交互作用。盡管網(wǎng)安法已頒布并進入實施正軌,國家和各級政府也積極組織舉辦“網(wǎng)絡(luò)安全宣傳周”等活動,以此形式宣傳安全文化,但安全文化仍然難以在企業(yè)層面深入人心。企業(yè)中的每一個個體都是安全鏈條中的重要環(huán)節(jié),任何缺乏安全意識的基層員工及管理層的疏漏都會引發(fā)安全風(fēng)險乃至整個安全防御鏈條斷裂,引發(fā)難以預(yù)測的安全危機。

(三)我國企業(yè)信息安全法律治理的“重心”:法人治理

1.企業(yè)信息安全“法人治理”的內(nèi)涵

法人治理在公司法學(xué)上主要指有關(guān)公司機關(guān)的權(quán)力分配與行使關(guān)系的制度體系[9]。企業(yè)信息安全法人治理是指企業(yè)將信息安全保護義務(wù)充分融入企業(yè)機關(guān)的權(quán)力分配與權(quán)力行使關(guān)系中,以明確董高監(jiān)及中基層員工的安全義務(wù)為核心,是企業(yè)內(nèi)生的且能不斷優(yōu)化的信息安全治理結(jié)構(gòu)。

2. 企業(yè)信息安全“法人治理”的比較優(yōu)勢

其一,與技術(shù)治理及管理相比,“法人治理”可以充分發(fā)揮技術(shù)與法律二元共治,有機互補的優(yōu)勢。技術(shù)治理是一種運用確定性和精確性的科學(xué)知識,對網(wǎng)絡(luò)社會中的人們的行為進行一定的管制,以期符合治理者自身利益的活動[10]。然而,沒有絕對完美的技術(shù),安全風(fēng)險總是存在。為了確保安全,技術(shù)人員也可能會過度使用驗證、加密等技術(shù)而無形造成企業(yè)發(fā)展的壁壘。技術(shù)主管或安全監(jiān)管部門僅是企業(yè)整體結(jié)構(gòu)的一個很小的部分,僅從網(wǎng)絡(luò)技術(shù)角度采取安全措施或是在發(fā)生安全事故時采取一定的措施,不能從全局的角度出發(fā)解決日益嚴峻的信息安全問題[11]。故,我們需要蘊含價值理性和道德判斷的法律的介入,通過自上而下的權(quán)力運作,用法律的規(guī)范作用將技術(shù)與人、部門、組織有機且動態(tài)相連,將對信息的“安全”“可控”的治理目標以“責(zé)任”的形式傳遞、歸化到企業(yè)中的個體。

其二,“法人治理”可充分發(fā)揮企業(yè)自治的優(yōu)勢,以較少成本控制安全風(fēng)險。企業(yè)是網(wǎng)絡(luò)安全事件的受害者,同時也是施害者。在安全風(fēng)險治理中,與政府、個人相比,企業(yè)具有天然的優(yōu)勢。企業(yè)是安全事件的直接參與者或受害者,對風(fēng)險和安全隱患具有更強的感知、分析和應(yīng)對能力。此外,企業(yè)具有保障網(wǎng)絡(luò)安全的軟硬件設(shè)施、專業(yè)的技術(shù)人才與資源優(yōu)勢,更易以較少的成本控制安全風(fēng)險。

其三,企業(yè)信息安全法人治理回應(yīng)了企業(yè)履行保障信息安全 “社會責(zé)任”的時代訴求。施托伊雷爾認為,現(xiàn)代多中心主義的治理方式與企業(yè)社會責(zé)任是一體兩面。它們以相似的路徑重塑著國家與私人之間的關(guān)系。參與政府治理既是企業(yè)和個人享有的一項權(quán)利,也是其承擔(dān)的一項社會責(zé)任[12]。企業(yè)內(nèi)部安全事件常導(dǎo)致社會及國家層面的較大負外部效應(yīng),作為國家網(wǎng)絡(luò)安全保障的核心力量,企業(yè)應(yīng)時刻意識到信息安全治理的社會責(zé)任往往蘊含著人權(quán)、社會穩(wěn)定及國家整體安全的內(nèi)容。

三、美國企業(yè)信息安全法律治理:立法監(jiān)管、企業(yè)自治及啟示

(一)立法淵源廣泛,重視保障數(shù)據(jù)的“機密性”“可用性”與“完整性”

美國企業(yè)的信息安全義務(wù)的立法淵源廣泛,主要包括聯(lián)邦、州層面的法律法規(guī)、普通法、侵權(quán)法、合同承諾、商業(yè)標準、政府規(guī)章、國際法律法規(guī)及執(zhí)法行動等。聯(lián)邦及州層面的成文法律、法規(guī)是最主要的立法淵源,在立法措辭上多使用“安全(security)”與“保障(safeguards)”。企業(yè)的信息安全義務(wù)多以保護信息安全的三性為目的,在措辭上多使用“認證(authenticate)”、保護數(shù)據(jù)的“完整性(integrity)”“機密性(confidentiality)”及“數(shù)據(jù)可用性(availability of data)”等予以體現(xiàn)。如,聯(lián)邦層面的立法包括1996年《健康保險攜帶和責(zé)任法案》(Health Insurance Portability and Accountability Act,HIPAA)、1999年《統(tǒng)一電子商務(wù)法案》(Uniform Electronic Transaction Act,UETA)、1999年《金融服務(wù)現(xiàn)代化法案》(Gramm-Leach-Bliley Act,GLBA)、2000年《全球及國內(nèi)商務(wù)電子簽名法案》(Electronic Signatures in Global and National Commerce Act,E-SIGN)、2002年《薩班斯-奧克斯利法案》(Sarbanes-Oxley Act,SOA)、2003年《保護網(wǎng)絡(luò)空間的國家戰(zhàn)略》(National Strategy to Secure Cyberspace)、2015年《網(wǎng)絡(luò)安全法》(Cyber Security Act)等。以上立法涉及醫(yī)療健康、電子商務(wù)、金融、企業(yè)內(nèi)控等方面,涵蓋企業(yè)保障信息安全“三性”的一般義務(wù)性規(guī)定。

(二)企業(yè)信息安全義務(wù)主體為所有企業(yè),義務(wù)客體涵蓋“所有數(shù)據(jù)”

美國企業(yè)信息安全治理義務(wù)主體涵蓋所有行業(yè)部門的所有企業(yè)。盡管早期的個別成文法將企業(yè)的信息安全義務(wù)限定于某一行業(yè)內(nèi)的企業(yè),但隨著美國網(wǎng)絡(luò)與信息安全立法數(shù)量的增多,實際上所有企業(yè)承擔(dān)了立法賦予的信息安全義務(wù)。在司法實踐中,美國企業(yè)信息安全義務(wù)的法律演進始于聯(lián)邦貿(mào)易委員會(FTC)反公平貿(mào)易的實踐,隨后眾多的州立法持續(xù)跟進,法院通過一系列司法判例將企業(yè)信息安全義務(wù)擴展至所有企業(yè)。2002年起,借助于一系列的執(zhí)法行動及同意令,美國FTC根據(jù)《聯(lián)邦貿(mào)易委員會法》(FTC Act)關(guān)于反公平貿(mào)易的規(guī)定擴大了其執(zhí)法行動的范圍,認為企業(yè)即使未對信息安全狀況作出虛假陳述,但怠于履行個人信息安全保障義務(wù)本身就是一種不公平的貿(mào)易行為。2004年,加州頒布了一項立法,規(guī)定所有企業(yè)應(yīng)采取合理的安全措施與實踐,保護加州居民的個人信息免受未經(jīng)授權(quán)的訪問、破壞、使用、修改或披露。隨后,其他州也紛紛效仿,加入立法行列。此外,通過典型案例的審判,法院也開始意識到所有企業(yè)都有保障個人信息安全的普通法義務(wù),未能履行該義務(wù)即構(gòu)成侵權(quán)[13]。

值得一提的是,近年來美國政府意識到小企業(yè)在美國制造業(yè)供應(yīng)鏈中占據(jù)重要地位,但在國防工業(yè)基礎(chǔ)方面存在弱點,尤其在網(wǎng)絡(luò)安全威脅和數(shù)據(jù)泄露方面也存在脆弱性及安全漏洞。2018年,美國總統(tǒng)特朗普正式簽署《NIST小企業(yè)網(wǎng)絡(luò)安全法案》(NIST Small Business Cybersecurity Act),將小企業(yè)的網(wǎng)絡(luò)安全風(fēng)險防御與治理納入美國聯(lián)邦法律。此外,美國企業(yè)信息安全義務(wù)的客體為所有的公司數(shù)據(jù),主要包括個人數(shù)據(jù)、其他公司數(shù)據(jù)、電子記錄。個人數(shù)據(jù)保護與美國源遠流長的隱私保護制度密切相關(guān),眾多聯(lián)邦立法及州層面的立法都有明確規(guī)定。其他公司數(shù)據(jù)包括公司財務(wù)數(shù)據(jù)、交易記錄、稅收記錄。

(三)更具彈性的“合理安全(reasonable security)”標準是衡量企業(yè)信息安全治理成熟度的法定基線,“合理安全”以“程序?qū)?process-oriented)”為評判標準

美國著名密碼學(xué)家Bruce Schneier經(jīng)典名言,“安全是一個過程而并非結(jié)果(Security is a process,not a product)[14]。美國人早已意識到信息技術(shù)快速更迭必然帶來新的安全風(fēng)險,法律的穩(wěn)定性難以應(yīng)對新的安全危機,企業(yè)的信息安全義務(wù)的衡量標準應(yīng)更具彈性與張力。美國立法并未明文規(guī)定企業(yè)應(yīng)采取什么樣的具體安全措施以確保企業(yè)獲得足夠的安全保障,而是要求企業(yè)滿足更具彈性的“合理安全(reasonable security)”標準,與之類似的還有“適當(dāng)安全(appropriate security)”“合適安全(suitable security)”。 “合理安全”標準并非特指具體的安全措施,而是在實踐中可發(fā)展、可改進且能有效應(yīng)對安全風(fēng)險的動態(tài)標準。企業(yè)是否履行信息安全義務(wù)以“程序?qū)?process-oriented)”為主要評價標準。企業(yè)信息安全的法律標準要求公司實施綜合性的及書面性的信息安全程序,包括:(1)識別被保護的信息及其系統(tǒng)資產(chǎn);(2)進行周期性的風(fēng)險評估以識別公司所面臨的資產(chǎn)威脅、脆弱性評估及其威脅發(fā)生后造成的損失;(3)選擇并實施適當(dāng)?shù)陌踩刂拼胧┮钥刂骑L(fēng)險的識別;(4)監(jiān)控與測試項目以確保其有效性;(5)根據(jù)項目的變化進行不斷的審查與調(diào)試,包括進行常規(guī)性的獨立審計并在必要時進行報告;(6)監(jiān)督第三方服務(wù)提供者的協(xié)議。實際,以上的過程并非一成不變,還可被不斷地審查、修訂及升級[13]。在美國的司法實踐中,“程序?qū)蛐汀钡墓拘畔踩蓸藴适腔贕LBA的規(guī)定,首先應(yīng)用于一些關(guān)于金融行業(yè)的企業(yè)信息安全規(guī)制中。隨后, HIPAA也有類似的規(guī)定。

除上述成文法規(guī)定外,美國FTC認為企業(yè)應(yīng)將“程序?qū)蛐?process-oriented)”標準作為企業(yè)最佳實踐(best practice)應(yīng)用于所有企業(yè),未能履行該標準的企業(yè)將被FTC裁定為未履行“合理的”信息安全義務(wù)。在一些典型案例中,“程序?qū)蛐汀背蔀樗痉▽嵺`中法官認定被告是否違反“合理安全”義務(wù)的主要審查標準。

(四)優(yōu)化的“法人治理結(jié)構(gòu)”是企業(yè)信息安全治理的重心

美國政府認為建立自律且持續(xù)完善的企業(yè)信息安全治理結(jié)構(gòu)是應(yīng)對企業(yè)信息安全難題的有力手段。早在2003年8月,美國商業(yè)軟件聯(lián)盟(BSA)信息安全特別工作組在華盛頓召開的商業(yè)軟件聯(lián)盟年度CEO論壇上提交了名為“信息安全治理:從框架邁向行動”的白皮書[15]。白皮書認為,盡管政府已經(jīng)制定了眾多的法律規(guī)制企業(yè)IT安全,但企業(yè)建立有效的、可持續(xù)的信息安全治理框架仍不可替代。2004年12月,美國國土安全部(DHS)在加州圣克拉拉市主辦的“國家網(wǎng)絡(luò)安全峰會”成立 “法人治理工作組”[16]并發(fā)布了“信息安全治理行動倡議(call for action)”報告[17]。該報告將企業(yè)理想的企業(yè)信息安全治理結(jié)構(gòu)以企業(yè)規(guī)模為分類標準,歸納為大型企業(yè)、中型企業(yè)、小型企業(yè)及公共機構(gòu)幾種類型(見圖1—圖4),為企業(yè)信息安全治理結(jié)構(gòu)的建立與完善提供了指引。

(五)明晰CEO及高級管理人員信息安全責(zé)任是企業(yè)信息安全治理的關(guān)鍵

美國企業(yè)CEO及其高管人員的信息安全趨于明晰,如2004年美國“信息安全治理行動倡議”的報告從職能主體層面明確了大型、中型、小型及公共機構(gòu)在總裁、首席安全官、首席信息官、首席風(fēng)險官、部門負責(zé)人、中層主管,以及雇傭員工層面的信息安全職責(zé),為企業(yè)信息安全治理義務(wù)的明確提供了指引(見表1)。

表1 美國企業(yè)信息安全職責(zé)

(六)啟示

從以上內(nèi)容綜合分析來看,美國企業(yè)信息安全治理具有如下鮮明的特征。第一,美國企業(yè)信息安全法律治理呈現(xiàn)出立法監(jiān)管與企業(yè)自治有機結(jié)合與互補的特色。在國家立法監(jiān)管層面,美國沒有單一立法明確規(guī)定企業(yè)應(yīng)采取什么樣的具體的安全措施以確保信息安全“三性”,而是為企業(yè)設(shè)定了一個更具彈性的“合理安全”的法定基線,企業(yè)是否履行義務(wù)在司法實踐中以“程序?qū)颉睘樵u判標準。由此可見,國家立法監(jiān)管在企業(yè)信息安全治理中僅起到宏觀引導(dǎo)與規(guī)范的作用,而不同類型的企業(yè)在如何合規(guī)中倚重“程序正義”的指引,兩者各有其作用發(fā)揮的空間。第二,企業(yè)信息安全治理的定位明確合理,即企業(yè)信息安全治理是“法人治理”問題而非技術(shù)問題或管理問題。立法鼓勵不同規(guī)模的企業(yè)根據(jù)自身實際量身定做最優(yōu)化的法人治理結(jié)構(gòu),從而將信息安全治理深度融入企業(yè)機關(guān)的權(quán)力分配與行使關(guān)系中,最終將信息安全融入企業(yè)的文化基因。企業(yè)自治在信息安全治理中更為核心,是有效實現(xiàn)信息安全“合理安全”的關(guān)鍵。第三,美國企業(yè)的信息安全治理義務(wù)覆蓋大、中、小型企業(yè)。近年來,美國開始意識到小企業(yè)是供應(yīng)鏈安全中不容忽視的一環(huán),將對小企業(yè)的安全風(fēng)險防控提升到立法層面,這表明美國意識到網(wǎng)絡(luò)安全風(fēng)險嚴峻,網(wǎng)絡(luò)安全的“短板效應(yīng)”需要“整體安全”的防御思維予以消解。第四,企業(yè)信息安全法人治理的關(guān)鍵環(huán)節(jié)在于明晰大、中、小型企業(yè),以及公共機構(gòu)的高、中級管理人員的信息安全責(zé)任,清晰的責(zé)任分配機制有利于企業(yè)內(nèi)部不同部門的協(xié)作與追責(zé),實現(xiàn)企業(yè)信息安全法人治理效用的最大化。

四、企業(yè)信息安全法律治理的中國進路

企業(yè)信息安全法律治理成熟度是衡量國家網(wǎng)絡(luò)安全強弱與否的重要標尺。中國企業(yè)信息安全法律治理應(yīng)在借鑒發(fā)達國家有益經(jīng)驗的基礎(chǔ)上立足于本國國情,妥善處理好安全與發(fā)展、立法監(jiān)管與企業(yè)自治的關(guān)系。在立法層面應(yīng)明確企業(yè)信息安全法律治理的基本原則,充分發(fā)揮立法對于企業(yè)信息安全治理的指引、監(jiān)督與激勵作用,激勵企業(yè)從被動“合規(guī)”邁向主動“治理”,將信息安全文化融入不斷優(yōu)化的企業(yè)治理結(jié)構(gòu)中,以助力網(wǎng)絡(luò)強國建設(shè)。

(一)企業(yè)信息安全法律治理應(yīng)謹慎權(quán)衡“安全”與“發(fā)展”的關(guān)系

盡管網(wǎng)安法標題貫以安全,但安全與發(fā)展天平卻不能失衡。立法對于“安全”的過分倚重將制約發(fā)展,難以確保整體國家安全。發(fā)展是化解安全危機的前提,發(fā)展意味著我們將掌控、利用更為先進的技術(shù)、產(chǎn)業(yè),培養(yǎng)出成千上萬的安全頂級人才去促進安全。發(fā)展思維將使我們扭轉(zhuǎn)任何封閉與停滯的觀念,例如辯證地將漏洞攻擊與信息泄露視為安全防御能力的提升和治理手段的完善會為我們提供豐富的實踐案例和經(jīng)驗教訓(xùn)。反之,網(wǎng)絡(luò)安全立法對“發(fā)展”的過分倚重將導(dǎo)致社會機體對安全風(fēng)險抵抗力的降低或喪失。

我國信息與數(shù)字化的水平與發(fā)達國家相比較低,產(chǎn)業(yè)低端重復(fù)、創(chuàng)新乏力是痼疾。謹慎權(quán)衡安全發(fā)展需要我們不忽視具體國情,充分發(fā)揮“治理”型立法的引導(dǎo)、激勵作用。一方面,企業(yè)信息安全法人治理應(yīng)立足于國家“整體安全”防御思維,即重視關(guān)鍵基礎(chǔ)設(shè)施運營企業(yè),也兼顧小型企業(yè)網(wǎng)絡(luò)安全,以消弭安全“短板”;另一方面,企業(yè)信息安全法人治理結(jié)構(gòu)應(yīng)“量體裁衣”,重視規(guī)范個體責(zé)任和企業(yè)安全文化的普及。

(二)優(yōu)化我國企業(yè)信息安全法律治理的基本路徑

1.立法應(yīng)明確企業(yè)信息安全法律治理的基本原則

(1)依法治理原則。一方面,企業(yè)信息安全治理應(yīng)基于國家引導(dǎo)與立法規(guī)范,以相關(guān)法律原則、規(guī)則為治理依據(jù);另一方面,企業(yè)應(yīng)以法律為遵從基線,依法確立法人治理的組織架構(gòu)、安全管理與技術(shù)標準、產(chǎn)品設(shè)計、研發(fā)流程等。依法治理原則既要求企業(yè)有法可依,亦要求企業(yè)有法必依。企業(yè)有法可依需要網(wǎng)絡(luò)安全法制體系的建立與完善,為企業(yè)遵從營造一個法制化的環(huán)境,而企業(yè)有法必依則考驗企業(yè)高管對于法規(guī)遵從的智慧。

(2)CEO參與原則。企業(yè)信息安全是企業(yè)法人治理層面的問題,應(yīng)該引起CEO的高度重視與參與。一是企業(yè)CEO應(yīng)參與企業(yè)信息安全的戰(zhàn)略規(guī)劃與政策制定;二是CEO應(yīng)參與、監(jiān)督、協(xié)調(diào)企業(yè)信息安全政策的執(zhí)行;三是CEO應(yīng)對企業(yè)信息安全義務(wù)的履行不能,承擔(dān)相應(yīng)的責(zé)任。

(3)透明度原則。企業(yè)信息安全法人治理結(jié)構(gòu)應(yīng)當(dāng)是企業(yè)法人治理的一個子集并確保其透明化。企業(yè)對安全事故的披露也應(yīng)當(dāng)透明化。企業(yè)在安全事故發(fā)生后,依法以特定的方式及時將該安全事故信息、潛在的風(fēng)險、采取的措施通知監(jiān)管部門和利益相關(guān)者。盡管信息安全的披露在短期內(nèi)會增加企業(yè)利益減損,但從長遠看有益于增強相關(guān)行業(yè)和整個產(chǎn)業(yè)抵御安全風(fēng)險的能力。

2.充分發(fā)揮立法的引導(dǎo)與激勵作用,鼓勵企業(yè)從“被動”合規(guī)邁向“主動”治理

法律的激勵功能、懲戒功能同組織管理功能一并作為法律的三大基本功能,激勵功能的社會認同感最強。激勵法律的制定是基于人們對不同利益的需求,通過給予利益,激發(fā)人們的積極性,從而實施法律所希望的行為,不僅給行為人帶來利益,也能達成立法者預(yù)期的某種效果[18]。與美國相比,我國網(wǎng)絡(luò)安全立法起步較晚,企業(yè)網(wǎng)安法合規(guī)欠賬多,法規(guī)遵從需要企業(yè)投入更多的資金與人力成本,故一些企業(yè)存在畏難、抵觸情緒。我們需要思考如何在發(fā)揮立法懲戒功能的同時發(fā)揮其激勵功能,調(diào)動企業(yè)守法能動性,使企業(yè)從“安全是成本”轉(zhuǎn)變?yōu)椤鞍踩峭顿Y”[19],進而從“被動”合規(guī)邁向“主動”治理。完善網(wǎng)安法的激勵功能,鼓勵行業(yè)自律與企業(yè)自治,根據(jù)企業(yè)信息安全法人治理的成熟度給予物質(zhì)性、精神性及責(zé)任豁免性獎勵,具體激勵方式可包括并不限于財政補貼、稅收激勵、政府項目優(yōu)先(如資源申請優(yōu)先)、精神性表彰或獎勵及責(zé)任豁免。

3.立法引導(dǎo)和激勵企業(yè)建立“強制與自愿相結(jié)合”的信息安全“法人治理”結(jié)構(gòu),消弭安全“短板”

企業(yè)信息安全法人治理結(jié)構(gòu)的建立和優(yōu)化應(yīng)當(dāng)成為我國企業(yè)信息安全法律治理的重心。立法應(yīng)當(dāng)鼓勵所有企業(yè)根據(jù)其實際情況構(gòu)建“強制與自愿相結(jié)合”的法人治理結(jié)構(gòu)。建議延續(xù)網(wǎng)安法的制度設(shè)計思路,對國家網(wǎng)絡(luò)安全保障中具有“關(guān)鍵性”及“戰(zhàn)略性”的關(guān)鍵信息基礎(chǔ)設(shè)施(CII)運營者進行強制性法人信息安全治理,對于非CII運營者則以立法激勵與企業(yè)自愿為主。強制性的制度內(nèi)容包括:第一,對于大、中型CII運營者構(gòu)建層級清晰、權(quán)責(zé)分明的信息安全法人治理結(jié)構(gòu),并將其作為法人治理結(jié)構(gòu)的一個子集予以重視。企業(yè)董事會(或董事長)、高層主管應(yīng)從戰(zhàn)略上重視對安全風(fēng)險的“感知—抵御—應(yīng)對”,將防控安全風(fēng)險融入企業(yè)戰(zhàn)略規(guī)劃、資金預(yù)算、業(yè)務(wù)拓展、產(chǎn)品研發(fā)與銷售等關(guān)鍵環(huán)節(jié),最終將安全融入企業(yè)文化。

企業(yè)信息安全法人治理的關(guān)鍵在于明確企業(yè)的董事會(或董事長)、CEO(或總裁)、高層主管(包括首席安全官、首席信息官、首席風(fēng)險官及部門主管)、中層主管及普通員工的信息安全職責(zé):(1)企業(yè)董事會(或董事長)應(yīng)當(dāng)從戰(zhàn)略上充分認識信息及信息安全的重要價值,確定企業(yè)重要資產(chǎn),統(tǒng)一部署企業(yè)綜合性、全局性的信息安全計劃(如企業(yè)級漏洞響應(yīng)計劃或綜合性風(fēng)險評估計劃),監(jiān)督企業(yè)高管定期匯報信息安全計劃執(zhí)行的適當(dāng)性和有效性。(2)CEO(或總裁)是企業(yè)信息安全的直接負責(zé)人。應(yīng)當(dāng)確保知悉企業(yè)的戰(zhàn)略計劃、風(fēng)險偏好及運營策略,在此基礎(chǔ)上制定、升級企業(yè)的信息安全政策,監(jiān)督企業(yè)對國家法律法規(guī)的全面遵從;對企業(yè)其他中高層主管、員工分派信息安全責(zé)任、義務(wù)及權(quán)力,明確不同層級人員因法規(guī)遵從或企業(yè)信息安全計劃產(chǎn)生的授權(quán)行為與執(zhí)行責(zé)任,監(jiān)督、協(xié)調(diào)企業(yè)信息安全政策的執(zhí)行;向董事會報告企業(yè)信息安全政策的執(zhí)行,包括關(guān)鍵風(fēng)險識別、風(fēng)險評估結(jié)果、企業(yè)風(fēng)險耐受水平及風(fēng)險防控計劃;選任專業(yè)資質(zhì)的信息安全官執(zhí)行企業(yè)信息安全政策;確保企業(yè)有充足的人力、財力及技術(shù)資源以執(zhí)行安全政策。(3)企業(yè)高層主管應(yīng)確保企業(yè)的安全政策與企業(yè)戰(zhàn)略、業(yè)務(wù)的一致性,與公司內(nèi)外的利益相關(guān)方溝通協(xié)調(diào);檢查企業(yè)信息安全政策的進展和執(zhí)行,確保安全法規(guī)的遵從;確保企業(yè)的信息安全保護措施與企業(yè)可能承受的信息安全風(fēng)險相匹配;與各部門負責(zé)人協(xié)調(diào)一致,定期向CEO(或總裁)匯報信息安全計劃的執(zhí)行情況;確保企業(yè)員工接受有效的信息安全培訓(xùn)并知悉企業(yè)的安全政策。(4)企業(yè)中層主管在風(fēng)險評估和成本最小化的基礎(chǔ)上執(zhí)行企業(yè)的信息安全計劃;定期測試、評估企業(yè)的信息安全控制技術(shù)、措施,確保其有效運行;確保雇員、合同相對人和用戶對企業(yè)信息安全責(zé)任的履行。(5)企業(yè)員工應(yīng)知悉、遵守企業(yè)的信息安全政策,及時報告政策的弱點及突發(fā)性信息安全事件的影響。

第二,對于資金有限、安全保護措施不夠完善的小型CII運營者,可考慮給予一些資源支持與協(xié)調(diào),確保其構(gòu)建與自身實際相符的安全治理結(jié)構(gòu)。充分重視企業(yè)總經(jīng)理或中層主管信息安全責(zé)任之履行,包括總經(jīng)理應(yīng)當(dāng)確保公司戰(zhàn)略、運營流程與企業(yè)信息安全治理需求相融合;識別企業(yè)重要資產(chǎn)、評估信息系統(tǒng)安全風(fēng)險、制定應(yīng)急計劃等;確保企業(yè)對于安全的資金投入;中層主管應(yīng)當(dāng)負責(zé)執(zhí)行企業(yè)的信息安全政策,階段性地測試評估信息安全控制項,確保有效實施;確保對企業(yè)雇員的信息安全培訓(xùn)

4.重視企業(yè)董事、高級管理人員信息安全義務(wù)的履行,將其作為《公司法》董事、高級管理人員“忠實與勤勉義務(wù)”的適當(dāng)延伸

忠實與勤勉義務(wù)是現(xiàn)代治理結(jié)構(gòu)下企業(yè)董事會成員對于公司的法定義務(wù)。我國公司法第148條對董事及高級管理人員的忠實與勤勉義務(wù)作出了明確規(guī)定。實踐中,董事及高管義務(wù)有擴大趨勢,這源于法律從 “股東至上”到對企業(yè)社會責(zé)任及利益相關(guān)者權(quán)益保護之重視。目前,嚴峻的信息安全風(fēng)險正威脅著我國國家安全、社會穩(wěn)定及個人權(quán)益,企業(yè)應(yīng)勇于承擔(dān)保障信息安全的社會責(zé)任,這也依賴于企業(yè)董事及高管對于信息安全義務(wù)的積極履行。企業(yè)董事及高管的信息安全義務(wù)可作為公司法層面“忠實與勤勉”義務(wù)的有機組成部分,包括:(1)基本的信息安全義務(wù),即確保企業(yè)對國家網(wǎng)絡(luò)與信息安全立法制度(如CII保護,網(wǎng)絡(luò)安全審查、數(shù)據(jù)出境評估等)的全面遵從,配合、協(xié)助執(zhí)法檢查。(2)履行其在企業(yè)信息安全法人治理中的核心義務(wù),包括被保護的信息與資產(chǎn)的識別;制定、升級企業(yè)的信息安全政策;安全風(fēng)險評估;確保企業(yè)員工接受有效的信息安全培訓(xùn);確保企業(yè)有充足的人力、財力及資源實現(xiàn)公司的安全政策。此外,還可鼓勵公司章程中增加董事、高管對于保障企業(yè)信息安全的注意義務(wù),接受公司股東與公眾的監(jiān)督。

5.引導(dǎo)和促進企業(yè)信息安全文化建設(shè),深度融入企業(yè)法人治理中,以凸顯安全文化的價值

法律對于安全風(fēng)險的防控需要借助文化的力量,通過主流文化的傳播使法律價值得到普遍認同,從而有效提升法律的實施效果。企業(yè)信息安全文化建設(shè)可助力于修復(fù)不同社會主體的安全認知“漏洞”,提升企業(yè)在網(wǎng)絡(luò)安全保障中的效用。企業(yè)信息安全文化建設(shè)不可忽視兩個層面:一是重視企業(yè)信息安全文化在法人治理層面的融合。企業(yè)信息安全文化不只局限于員工安全培訓(xùn)等常規(guī)活動,還應(yīng)當(dāng)在企業(yè)的總體戰(zhàn)略、理念、形象識別、業(yè)務(wù)規(guī)劃、生產(chǎn)過程控制及監(jiān)督反饋等各個方面融合安全文化的內(nèi)容,最終將安全文化融入企業(yè)法人治理結(jié)構(gòu)中;二是重視從企業(yè)高管到基層員工的 “個體”信息安全意識的提升,將安全意識與個體責(zé)任掛鉤,使“人”成為企業(yè)安全風(fēng)險防御的最強大資產(chǎn)。安全文化的普及與人的安全意識的提升是對抗攻擊的最有效的武器。

猜你喜歡
義務(wù)信息安全網(wǎng)絡(luò)安全
幸福的人,有一項獨特的義務(wù)
信息安全不止單純的技術(shù)問題
計算機網(wǎng)絡(luò)信息安全技術(shù)研究
新量子通信線路保障網(wǎng)絡(luò)安全
上網(wǎng)時如何注意網(wǎng)絡(luò)安全?
三十載義務(wù)普法情
跟蹤導(dǎo)練(一)(4)
網(wǎng)絡(luò)安全監(jiān)測數(shù)據(jù)分析——2015年11月
“良知”的義務(wù)
我國擬制定網(wǎng)絡(luò)安全法
皮山县| 府谷县| 民乐县| 房产| 林芝县| 凤冈县| 吉安市| 东乌| 维西| 中山市| 抚顺市| 治多县| 全椒县| 三亚市| 文水县| 寿宁县| 潜山县| 衡南县| 靖边县| 阿勒泰市| 灯塔市| 朝阳市| 任丘市| 南通市| 嘉兴市| 宜兴市| 大安市| 中西区| 天峨县| 廉江市| 宝清县| 玉树县| 宁阳县| 金坛市| 金昌市| 贵南县| 射阳县| 古蔺县| 安化县| 泸州市| 萨嘎县|