网络安全法的合规投入也是一种投资

原文地址

[如果网络安全法生效后,迅速产生像高通反垄断处罚那样的案例,那么今天那些扎实投入认真贯彻网络安全法合规的企业,其投入就是投资,免受处罚就是它们最好的回报。反之,企业的投入就会成为沉淀成本,合规若没有价值,眼下网络混乱的局面也很难有改观]

2016年11月网络安全法公布以来,笔者多次应邀对企业和网络安全从业人员进行网络安全法培训,从与企业的接触中发现,由于长期以来我国网络安全方面欠账较多,目前国内和国际网络安全形势比较严峻,眼下经济形势又不是很好,一些企业对于落实网络安全法所要发生的投入,颇有一些畏难甚至抵触情绪。鉴于最近几年企业遭遇重大的法律风险事件层出不穷,比如大众汽车排放软件作弊赔偿147亿美元,中兴通讯也付出了约8.9亿美元的代价,因此有必要就网络安全法实施的企业合规问题,陈述利害。

研究企业发展史可以看出,全世界哪里的人性其实都是差不多的。如果法律没有强有力的执法实践案例,就不会有企业的自觉遵循。我国从2000年就有了全国人大常委会关于维护互联网安全的决定,这就是国家正式保护网络安全的法律,2012年年底,全国人大常委会又通过了加强网络信息保护的决定,也是法律,但我国种种网络安全乱象不但没有得到扭转,甚至愈演愈烈,去年还爆发了徐玉玉等因电信诈骗刺激导致死亡这样的恶性案件。

这次网络安全法吸取了以往的经验教训,对于不同类型的企业的网络安全义务做了规定,并借鉴国际立法经验,对于侵害个人信息的违法行为设置了较大的法律责任,从今年6月1日法律生效开始,违反法律不再像以往只追究犯罪嫌疑人的刑事责任,也不再限于发生安全事故后对企业不疼不痒的罚款,而是可能课以违法所得1%~10%的罚款,或者违法采购金额1倍到10倍的罚款。

可能非专业人士看不懂这些意味着什么,如果您记得曾是中华人民共和国历史上最大的行政处罚罚单——国家发改委给高通罚款60多亿元那个案件的话,就可以了解,之所以能进行这样的巨额处罚,就是因为处罚法律依据是按照违法所得的比例确定,而不再像以前那样限定处罚金额幅度。过去哪怕是百万元罚款,在大公司面前也不过是小菜一碟。

其实我国的这些规定与国际同类立法相比,还不算最狠,欧盟通用数据保护条例(GDPR)关于个人信息违法的责任可达2000万欧元或上年全球营业收入的4%!对于那些年入数百亿美元的全球运营企业来说,一旦确定违法,罚款金额将是惊人的数字。

由此可见各地区监管机构和法院都在运用巨额罚款或赔偿惩治违法,以儆效尤。难怪德国大众企业排放软件作弊以147亿美元和解案件发生后,有负责招商引资的朋友惊叹,区区几十、几百张纸的法律文书就能拿走数百亿元人民币,还没有资源消耗、环境污染,看来这法治也是生产力啊!

由于眼下网络安全法还没生效,尚没有执法案例,在立法机关留给企业准备的这个宝贵过渡期内,不少企业却只是在踌躇、犹豫、打探消息。有的企业对于IT部门提出的需要投入购买软硬件安全产品、专业服务还持观望态度,说要等待国家进一步出台实施细则再说。

要说服企业进行合规投入,首先要回答的第一个问题是:守法合规是成本还是投资?

现在很多企业对内部管理都是划分利润中心和成本中心的,销售这样直接产生现金流的业务部门当然是强势的,IT、法律合规属辅助部门、放在成本中心,在企业内部大都处于弱势和边缘地位。

以实践来看,一些外资企业,若律师出具否定或者保留意见,就有很大可能否决商业决策。但对于国内企业来说,法律人员较难进入核心决策圈。虽然最近几年国企开始推行总法律顾问制度,上市公司规范化管理也有流程要做合法合规审核,普遍来说企业合规的确有所进步,但合规和法律审核能起多大作用,恐怕并不乐观。如果网络安全法生效后,迅速产生像高通反垄断处罚那样的案例,那么今天那些扎实投入认真贯彻网络安全法合规的企业,其投入就是投资,免受处罚就是它们最好的回报。反之,企业的投入就会成为沉淀成本,合规若没有价值,眼下网络混乱的局面也很难有改观。

第二个要回答的问题是,公司网络安全法的实施与合规是谁的责任?是IT安全部、法务部合规还是管理层合规?还是从上到下的全员都要合规?

不管中资还是外资企业,合规做得好的企业都有其共同特点,那就是法律合规不仅是法务和合规部门的事情,而是企业文化从上到下都比较具有守法意识,尊重法律与合规的专业性。网络安全法对安全负责人设定了个人责任和市场禁入制度,在网络安全法的实施合规问题上,安全技术层面的问题当然要IT部门或者专门的安全部门负责,法律和管理也必须有专业力量同步跟上,否则单凭软硬件无法确保安全。最近京东发布消息披露了违法人员通过应聘进入企业的方式非法获取个人信息,这种内外勾结的威胁尤其凸显了确保网络安全必须技术、法律与管理多管齐下,通力合作。

对于公司来说,要形成重视安全的文化,把网络与信息安全当成一件需要全员通力协作的事,比如对于预防黑客人员混入企业信息安全部门,就需要企业人力资源部门协助做好安全人员招聘的背景审查。这样才能避免如今信息到处泛滥和滥用的严重局面。

根据从网络安全行业协会了解的资料,我国网络安全方面的企业采购金额占企业采购总金额的比例大概只有3%,而美国在20%~25%,欧盟的企业则在15%左右。两相对比,相差悬殊。退一步说,个人信息逐渐成为全球互联网管理的新抓手,就算我国的网络安全执法不动手,在网络无边界的今天,恐怕我国的一些主要互联网企业也难逃美欧执法机关的严厉审查。

我们做知识产权的律师,大家都在争夺外企客户,因为外企比较重视知识产权和专业劳动,也愿意为专业服务付费。而很多中国本土企业,哪怕是顶级大企业,很多法律事务都是企业法务部门自行处理,外包本来就不多,就算有一部分外部业务,也很少按照市场价格采购,而是仗着自己是大企业拼命压价。一旦出了事情,许多企业第一反应往往不是专业应对,而是怎么去找关系。守法的确成本很高,但长远看,能经得起风浪。

所以说,虽然合法合规的确要付出成本,但合规与违规,到底谁是“小聪明”谁是“大智慧”,值得企业在网络安全法合规投入的决策过程中深入思考。

原文地址

时间: 2024-11-09 03:22:11

网络安全法的合规投入也是一种投资的相关文章

【Talend网络研讨会】助力数据隐私合规的实用步骤

企业中,70%的员工可访问本不应对其公开的数据*…这一现象正迅速成为各企业共同面临的合规问题.云技术的兴起和数据隐私相关法律的制定使数据治理成为数据集成架构最重要的功能之一.强有力的数据治理计划可确保您制定有完备的政策.标准和控制措施来对数据进行有效保护,并访问这些数据以便做出决策. *见Harvard Business Review 2017年5-6月合刊文章“What’s Your Data Strategy?”(<你的数据策略是什么?>)中引用的跨行业研究. 现在注册,您可以学习: 全球

信息安全等级合规测评

合规,简而言之就是要符合法律.法规.政策及相关规则.标准的约定.在信息安全领域内,等级保护.分级保护.塞班斯法案.计算机安全产品销售许可.密码管理等,是典型的合规性要求. 信息安全合规测评是国家强制要求的,信息系统运营.使用单位或者其主管部门,必须在系统建设.改造完成后,选择具备资质测评机构,依据信息安全合规性要求,对信息系统是否合规进行检测和评估的活动.信息安全合规测评具有强制性和周期性(定期检测),是国家信息安全部门督促合规性要求落地实施,保障信息安全的重要手段. 一.信息安全合规性要求 1

SharePoint Server 2016更新之(二,三)受云端影响的架构,合规和报告

 SharePoint Server 2016 update by SharePoint Team, on April 16, 2015 Today'spost was written by Seth Patton, senior director of product management for theSharePoint team. 原文地址:https://blogs.office.com/2015/04/16/sharepoint-server-2016-update/ 受云端影响

如何让主机合规分析报告评分达到90分?

"胖猴,某大型企业高级运维,马哥教育原创作者联盟成员,热爱分享Linux应用技术和原创知识,有30万字以上的原创内容." 说明:本次文档是根据某厂的主机合规分析报告内容进行整改的,整改后评分达到90分,本次试验环境为Centos6.7.     一.账号管理     1.1密码锁定策略 pam_tally2和pam_faillock PAM 模块都可以允许系统管理员锁定在指定次数内登录尝试失败的用户账户.并在尝试指定次数是进行锁定,防止暴力破解.检查方法:查看/etc/pam.d/sy

区块链游戏要合规化,这些高压线不能碰!

众所周知,2000年泡沫后风光一时的互联网公司纷纷陷入存亡的困境,但存留并崛起的公司无疑都抓住了一点--网络游戏的发展机遇.这从如今稳坐互联网头把交椅的腾讯可见一斑. 而在区块链逐渐脱虚向实的今天,游戏DAPP的发展仍旧占据着市场的目光. 目前区块链游戏能被诸多资深从业者看好的原因,无外乎:游戏行业是一个持续增长的千亿美金市场. 区块链游戏生长边界,这些高压线不能碰 <中国区块链技术和应用发展白皮书2016>曾表示各级政府应该借鉴国外区块链技术的先进做法,结合我国实情,及时出台相关区块链政策,

行业合规不断推进,P2P发展趋渐平稳

"趋势就像一匹马,如果在马后面追,你永远都追不上,你只有骑在马上面,才能和马一样的快,这就叫马上成功!" 互联网金融P2P网贷在我国之所以获得政府.专家.大众的大面积支持,主要原因来自于对传统金融垄断.利率非市场化的不和谐,以及对自由市场金融.民营金融.互联网科技的向往.政府在规范P2P金融的同时,已经考虑逐步放松金融管制并且出台法律保护投资者的安全,让互联网金融承担更多的金融改革的先锋任务,以引导更多的民营资本加入金融改革的行列. 国家为规范网络借贷信息中介机构业务活动,促进网络借贷

等保2.0时代,数据安全如何合规

摘要:本文简述等保2.0对数据安全的要求,以及当前技术条件下,如何对数据进行安全防护,满足合规性要求. 等保2.0发展历程 等保2.0总体情况 首先,最大的变化,标准名称由原来的<信息安全技术 信息系统安全等级保护基本要求>变更为<信息安全技术 网络安全等级保护基本要求>,与<×××网络安全法>的名称保持一致. 信息系统安全等级保护技术1.0版本主要强调物理主机.应用.数据.传输,等保2.0保护对象由原来的"信息系统"改为"等级保护对象(网

检查crontab合规,除root用户外,禁止普通用户使用crontab

Crontab_check () { if [ -r /etc/cron.allow ] && [ ! -r /etc/cron.deny ]; then echo "waring!~ only cron.allow exist is not 合规" echo "请删除/etc/cron.allow 并创建/etc/cron.deny" elif [ ! -r /etc/cron.allow ] && [ -r /etc/cron.d

Linux机器24项安全合规设置

工作的一些内容,这是中国移动集团当前linux机器安全合规标准,找了点时间将其归类,并查了一些资料,每项配置是什么意思,不仅要知其然,还要知其所以然.好记性不如烂笔头. 1.  检查FTP配置-限制用户FTP登录 控制FTP进程缺省访问权限,当通过FTP服务创建新文件或目录时应屏蔽掉新文件或目录不应有的访问允许权限. 操作: (1)vsftp: # vi /etc/vsftp/vsftpd.conf 手动将userlist_enable改为yes //限制/etc/vsftpd/user_lis