企業(yè)信息安全法律治理

張敏 馬民虎

摘要：企業(yè)信息安全法律治理可有效保障國家網(wǎng)絡(luò)與信息安全，捍衛(wèi)個人權(quán)益，促進(jìn)產(chǎn)業(yè)在“安全”中得以“發(fā)展”。我國相關(guān)立法中規(guī)定的企業(yè)安全保護(hù)義務(wù)多為靜態(tài)性、措施性的管理性義務(wù)，不足以防御多變的安全風(fēng)險;企業(yè)安全法規(guī)遵從激勵機(jī)制缺失，合規(guī)動力不足;企業(yè)信息安全文化的普及力度欠缺。解決以上難題，應(yīng)基于“法律治理”思維，將“法人治理”定位為企業(yè)信息安全法律治理的重心。在制度設(shè)計層面，適當(dāng)借鑒美國企業(yè)信息安全法律治理在立法監(jiān)管與企業(yè)自治中的有益經(jīng)驗(yàn)，以信息安全法律治理的基本原則為指引，充分發(fā)揮立法激勵作用，鼓勵所有企業(yè)建立強(qiáng)制與自愿相結(jié)合的信息安全“法人治理”結(jié)構(gòu)，對企業(yè)董事、高官人員的信息安全義務(wù)之履行予以充分重視，增強(qiáng)企業(yè)信息安全文化建設(shè)，凸顯安全文化的價值。

關(guān)鍵詞：法律治理;協(xié)同治理;信息安全義務(wù);信息安全法人治理

中圖分類號：D922.291.91

文獻(xiàn)標(biāo)志碼：A

文章編號：1008-5831（2020）05-0143-13

以云計算、大數(shù)據(jù)等為驅(qū)動的新技術(shù)在引領(lǐng)企業(yè)向智慧企業(yè)轉(zhuǎn)型的同時也打開了安全威脅的潘多拉魔盒：一方面，針對國家關(guān)鍵信息基礎(chǔ)設(shè)施的持續(xù)性大規(guī)模網(wǎng)絡(luò)攻擊、企業(yè)系統(tǒng)漏洞、數(shù)據(jù)泄露等安全威脅呈現(xiàn)升級化態(tài)勢;另一方面，因歐美網(wǎng)絡(luò)與信息安全立法變革浪潮沖擊、跨國IT企業(yè)合規(guī)僵局、貿(mào)易大戰(zhàn)與地緣政治安全的復(fù)雜結(jié)構(gòu)相交織，進(jìn)一步加劇了我國信息安全的嚴(yán)峻態(tài)勢。我國《網(wǎng)絡(luò)安全法》將網(wǎng)絡(luò)運(yùn)營者定位為“協(xié)同治理”的中堅(jiān)力量，并為其量身設(shè)定了安全義務(wù)體系。在此背景下，我國亟需以《網(wǎng)絡(luò)安全法》的安全“保障法”定位為指引，在謹(jǐn)慎權(quán)衡“安全”與“發(fā)展”的基礎(chǔ)上，積極探索中國本土化的企業(yè)信息安全法律治理之道，以提升《網(wǎng)絡(luò)安全法》執(zhí)法和企業(yè)合規(guī)的有效性，最大化企業(yè)在國家信息安全保障中的能量。

一、企業(yè)信息安全法律治理的提出

（一）企業(yè)信息安全法律治理之內(nèi)涵解析：基于“治理”理論視角

“法律治理（Legal Governance）”的理論根基深植于“治理（Governance）”理論?！爸卫怼崩碚撛从谖鞣?，流派眾多且各具差異，但對“治理”的核心要素即主體多元、平等、協(xié)作、共贏等存在共識。全球化趨勢使帶有工具理性特征的治理理論與法律相結(jié)合，在不同國家被重塑與本地化，領(lǐng)域多涉及國家、社會、城市、公司、網(wǎng)絡(luò)等。新中國成立以來，中國法制建設(shè)開啟了從管理邁向“法律治理”的革命性變革，對“法律治理”的倚重亦是國家治理能力現(xiàn)代化的標(biāo)志?！胺芍卫怼笔侵敢罁?jù)國家權(quán)力機(jī)關(guān)依法律程序制定的法律規(guī)則，政府、社會、市場等存在利益分化的多元主體通過合作、協(xié)調(diào)與互動的方式，實(shí)現(xiàn)共同利益與促進(jìn)社會發(fā)展目標(biāo)。我國學(xué)界亦認(rèn)識到，“與高度復(fù)雜性和高度不確定性的時代相適應(yīng)的社會治理模式應(yīng)當(dāng)是一種合作行動模式，只有多元社會治理主體在合作的意愿下共同開展社會治理活動，才能解決已出現(xiàn)的各種各樣的社會問題”。

當(dāng)我國從工業(yè)社會邁入網(wǎng)絡(luò)與數(shù)字化社會，安全與發(fā)展成為基本的時代訴求。得益于治理理論對網(wǎng)絡(luò)與信息安全立法的滋養(yǎng)，“協(xié)同治理”成為有效應(yīng)對網(wǎng)絡(luò)安全威脅的核心理念?！皡f(xié)同治理”是指處于同一治理網(wǎng)絡(luò)中的多元主體間通過協(xié)調(diào)合作，形成彼此嚙合、相互依存、共同行動、共擔(dān)風(fēng)險的局面，產(chǎn)生有序的治理結(jié)構(gòu)，以促進(jìn)公共利益的實(shí)現(xiàn)，其強(qiáng)調(diào)不同主體間合作的匹配性、動態(tài)性、有序性與有效性。我國《網(wǎng)絡(luò)安全法》將“協(xié)同治理”定位為基本原則，其智慧在于：一是強(qiáng)調(diào)了安全治理應(yīng)立足于政府的規(guī)范、引導(dǎo)與監(jiān)督，政府決策應(yīng)建立在統(tǒng)籌考慮、利益平衡的基礎(chǔ)之上;二是強(qiáng)調(diào)應(yīng)發(fā)揮政府、企業(yè)、社會團(tuán)體及公民在內(nèi)的多元主體參與，鼓勵多元主體責(zé)任分擔(dān)、協(xié)同合力，避免傳統(tǒng)“善政”思維對政府責(zé)任的無限放大。

企業(yè)信息安全法律治理的提出是對“協(xié)同治理”理念的踐行，其制度內(nèi)涵包括：一是政府應(yīng)不斷優(yōu)化網(wǎng)絡(luò)與信息安全相關(guān)立法規(guī)范，提升立法技術(shù)，發(fā)揮“硬法”與“軟法”的各自優(yōu)勢，為企業(yè)信息安全治理創(chuàng)造良好的外部法治環(huán)境;二是立法應(yīng)引導(dǎo)和激勵企業(yè)充分發(fā)揮“協(xié)同治理”的作用，將企業(yè)信息安全法人治理作為“重心”。在所有企業(yè)中建立自愿與強(qiáng)制相結(jié)合的信息安全法人治理結(jié)構(gòu)，明確企業(yè)高管之信息安全義務(wù)，促進(jìn)法人治理與安全文化相交融。

立法監(jiān)管與企業(yè)法人治理是企業(yè)信息安全法律治理的有機(jī)組成部分，兩者相輔相依。企業(yè)信息安全法律治理應(yīng)立足于立法的引導(dǎo)、監(jiān)督與鼓勵，可分別通過設(shè)定指引性與禁止性法律規(guī)則為企業(yè)信息安全自治設(shè)定法定“基線”與違法“紅線”，設(shè)定激勵性規(guī)則鼓勵企業(yè)守法與合規(guī)。企業(yè)應(yīng)以法律原則、規(guī)則為治理依據(jù)，根據(jù)風(fēng)險變化靈活優(yōu)化企業(yè)法人治理結(jié)構(gòu)，最終在政府與企業(yè)“二元”治理的有機(jī)互動中保障信息在處理、存儲及流轉(zhuǎn)中的完整性、機(jī)密性與可用性。

（二）企業(yè)信息安全法律治理的制度價值

企業(yè)信息安全法律治理憑借蘊(yùn)含價值理性和道德判斷的法律的介入，用法律權(quán)威將安全義務(wù)歸化到企業(yè)，從而實(shí)現(xiàn)以下制度價值。

1.有效保障國家網(wǎng)絡(luò)與信息安全，維護(hù)公共利益

網(wǎng)絡(luò)安全現(xiàn)已對國家安全產(chǎn)生了全面的顛覆性影響，成為國家安全競爭的最前沿領(lǐng)域和國家安全變革的最難以預(yù)測的因素。威脅國家網(wǎng)絡(luò)安全因素復(fù)雜多樣，黑客攻擊與數(shù)據(jù)泄露最為典型。大規(guī)模、高級可持續(xù)性攻擊的目標(biāo)正在從傳統(tǒng)的IT系統(tǒng)轉(zhuǎn)向石油、天然氣、航空運(yùn)輸?shù)汝P(guān)鍵行業(yè)的工業(yè)控制系統(tǒng)。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者向社會公眾提供的產(chǎn)品及服務(wù)具有公共產(chǎn)品屬性，其安全防范中的弱項(xiàng)可能成為黑客攻擊的“短板”，從法律治理的高度去應(yīng)對企業(yè)安全難題則是較為有效的手段。

2.有效保障個人信息安全，捍衛(wèi)個人權(quán)益

個人信息蘊(yùn)含財產(chǎn)利益與人格尊嚴(yán)，我國立法將其視為基本民事權(quán)利。個人信息泄露常規(guī)路徑有三種：（1）內(nèi)部人員非法盜取、轉(zhuǎn)賣;（2）企業(yè)在非授權(quán)范圍內(nèi)利用與經(jīng)營用戶信息;（3）惡意程序利用網(wǎng)絡(luò)漏洞非法入侵?jǐn)?shù)據(jù)庫進(jìn)而盜取、劫持個人信息。隨著電子商務(wù)與社交平臺邁入鼎盛時期，海量用戶數(shù)據(jù)被企業(yè)抓取、整合、分析、畫像，嚴(yán)重危及個人權(quán)益。很多人將數(shù)據(jù)泄露的“原罪”歸于個人信息立法的不完備，而忽視了立法并未真正映射、內(nèi)生于企業(yè)治理層面是數(shù)據(jù)泄露有增無減的內(nèi)因。

3.促進(jìn)產(chǎn)業(yè)在“安全”中得以“發(fā)展”

在信息化時代，很多企業(yè)（尤其是發(fā)展中國家企業(yè)）的信息安全治理水平令人憂慮。只有在解決安全問題的前提下，企業(yè)發(fā)展才能沒有后顧之憂。從合規(guī)角度，歐美網(wǎng)絡(luò)安全及數(shù)據(jù)保護(hù)立法變革給企業(yè)亦帶來考驗(yàn)，如何進(jìn)行安全合規(guī)、降低戰(zhàn)略運(yùn)營風(fēng)險已成為大型企業(yè)走出國門時應(yīng)考慮的問題。法規(guī)遵從并非結(jié)果，而是一個持續(xù)漸進(jìn)的過程。建立內(nèi)生于企業(yè)、業(yè)務(wù)流程及產(chǎn)品設(shè)計相融的安全治理機(jī)制才能促進(jìn)產(chǎn)業(yè)在“安全”中得以“發(fā)展”。

二、我國企業(yè)信息安全法律治理：問題檢視及治理“重心”的定位

（一）我國企業(yè)信息安全義務(wù)的法律淵源

法的淵源是指由不同國家機(jī)關(guān)制定、認(rèn)可和變動的，具有不同法的效力或地位的各種法的形式。我國企業(yè)信息安全義務(wù)來源于三層面：一是《網(wǎng)絡(luò)安全法》（簡稱“網(wǎng)安法”）及其配套的下位法;二是網(wǎng)絡(luò)安全等級保護(hù)制度;三是相關(guān)國家標(biāo)準(zhǔn)及行業(yè)標(biāo)準(zhǔn)。網(wǎng)安法及相關(guān)配套性制度是我國企業(yè)信息安全義務(wù)的主要法律淵源，相關(guān)國家標(biāo)準(zhǔn)與行業(yè)性標(biāo)準(zhǔn)為網(wǎng)安法確立的安全義務(wù)提供了更為具體的實(shí)施依據(jù)。

（二）我國企業(yè)信息安全法律治理在立法實(shí)踐中存在的問題檢視：基于網(wǎng)安法“保障法”定位展開

網(wǎng)安法是國家網(wǎng)絡(luò)與信息安全治理的基礎(chǔ)性“保障法”。網(wǎng)安法頒布近3年來，國家層面和地方政府機(jī)構(gòu)都開始專項(xiàng)檢查和執(zhí)法行動，從“執(zhí)法第一案”進(jìn)入執(zhí)法常態(tài)化。從網(wǎng)安法的“保障法”定位去檢視立法制度以及執(zhí)法效果，仍存在一些問題。

1.企業(yè)安全義務(wù)多為靜態(tài)性、具體措施性的管理性義務(wù)，而非內(nèi)生于企業(yè)“治理”層面的義務(wù)

網(wǎng)安法明確了網(wǎng)絡(luò)運(yùn)營者的安全義務(wù)體系，其建構(gòu)在實(shí)體性法律規(guī)范的基礎(chǔ)上，并附加一些履行不能的法律責(zé)任，但仍暴露出一些問題：其一，網(wǎng)安法對網(wǎng)絡(luò)運(yùn)營者的諸多義務(wù)性規(guī)定多由政府主導(dǎo)自上而下施加，并通過國家、行業(yè)標(biāo)準(zhǔn)規(guī)定非常具體的措施性要求作為義務(wù)的主要內(nèi)容，然后通過行政處罰等手段強(qiáng)制要求管理對象合規(guī)。而傳統(tǒng)法律理論認(rèn)為，過多禁止性法律規(guī)范會造成“管理型”立法而非“治理型”立法，減損執(zhí)法效果。網(wǎng)安法及其下位法在規(guī)則設(shè)計時偏重于以技術(shù)性措施與管理性手段防控企業(yè)安全風(fēng)險，以行政處罰手段震懾企業(yè)逾越法律“紅線”的規(guī)制思路，易導(dǎo)致企業(yè)負(fù)責(zé)人以“不出事”的“管理”式思維被動合規(guī)，影響執(zhí)法效果。其二，網(wǎng)安法設(shè)定的企業(yè)安全保護(hù)義務(wù)多為靜態(tài)性、具體措施性的義務(wù)，缺乏對內(nèi)生于企業(yè)的治理層面的義務(wù)的宏觀考量，不足以應(yīng)對多變的網(wǎng)絡(luò)安全風(fēng)險。如網(wǎng)安法第10條、第21條、第34條、第42條詳細(xì)規(guī)定了網(wǎng)絡(luò)運(yùn)營者在保障網(wǎng)絡(luò)數(shù)據(jù)三性、等級保護(hù)、個人信息保護(hù)方面的具體性規(guī)定，該規(guī)定多以“技術(shù)措施”“其他必要措施”及“補(bǔ)救性措施”等靜態(tài)性、措施性規(guī)定為主。但網(wǎng)絡(luò)的“靜態(tài)”安全或“形式安全”無法從根本上應(yīng)對網(wǎng)絡(luò)安全風(fēng)險的無界傳播與溢出效應(yīng)。隨著技術(shù)的發(fā)展，移動設(shè)備、路由器、可穿戴設(shè)備、物聯(lián)網(wǎng)等已逐步成為頂級攻擊者的目標(biāo)。美國國家安全局技術(shù)總監(jiān)戴夫·霍格（Dave Hogue）稱，黑客的速度非?？欤灰踩┒垂_發(fā)布，國家資助的攻擊者可在不到一天的時間內(nèi)將其武器化?？焖倩⑿滦突陌踩{使企業(yè)的整體安全水平只取決于企業(yè)最“弱”的一環(huán)，而不是最“強(qiáng)”的地方。靜態(tài)的企業(yè)安全風(fēng)險管理思維已無法防御嚴(yán)峻的安全風(fēng)險。正如有學(xué)者所言，“掛在墻上的資質(zhì)證書完全無法應(yīng)對真刀真槍的戰(zhàn)略威脅”。

2.企業(yè)安全法規(guī)遵從的激勵機(jī)制缺失，難以扭轉(zhuǎn)企業(yè)信息安全治理的“被動”思維

在全球行政改革浪潮中，命令控制式規(guī)制受到廣泛批評，激勵性監(jiān)管得到重視，人們發(fā)現(xiàn)規(guī)則如果能夠與被管理者激勵相容，會極大降低執(zhí)法成本，提高合規(guī)動力。我國網(wǎng)安法建立起企業(yè)安全義務(wù)體系框架，并通過設(shè)置法律責(zé)任予以震懾并督促企業(yè)遵從，故企業(yè)法規(guī)遵從的基本動因仍基于法律的強(qiáng)制力。企業(yè)多具有逐利的理性人特征，多會將“安全”投入視為“成本”負(fù)擔(dān)，加之安全意識普遍淡薄和違法不利后果的威懾力有限，易導(dǎo)致企業(yè)負(fù)責(zé)人以“不出事”的“管理”式思維被動合規(guī)。尤其是中、小型企業(yè)，網(wǎng)絡(luò)安全資源有限，安全意識更為淡薄，對安全威脅的識別、防御能力低，易成為供應(yīng)鏈安全的“短板”而降低整個供應(yīng)鏈的安全性。對安全風(fēng)險的靜態(tài)與被動防御思維根本無法有效應(yīng)對日益嚴(yán)重的安全危機(jī)。Cybereason聯(lián)合創(chuàng)始人兼首席執(zhí)行官所言：“企業(yè)在網(wǎng)絡(luò)安全領(lǐng)域的投入每年都在增加，但新型攻擊的發(fā)生率以及企業(yè)遭遇黑客入侵的情況并沒有發(fā)生實(shí)質(zhì)性的好轉(zhuǎn)?！?/p>

3.企業(yè)信息安全文化的引導(dǎo)與塑造力度欠缺，不利于形成良好的治理生態(tài)

網(wǎng)絡(luò)安全立法屬于政治上層建筑，信息安全文化屬于意識形態(tài)上層建筑，二者具有正相關(guān)的交互作用。盡管網(wǎng)安法已頒布并進(jìn)入實(shí)施正軌，國家和各級政府也積極組織舉辦“網(wǎng)絡(luò)安全宣傳周”等活動，以此形式宣傳安全文化，但安全文化仍然難以在企業(yè)層面深入人心。企業(yè)中的每一個個體都是安全鏈條中的重要環(huán)節(jié)，任何缺乏安全意識的基層員工及管理層的疏漏都會引發(fā)安全風(fēng)險乃至整個安全防御鏈條斷裂，引發(fā)難以預(yù)測的安全危機(jī)。

（三）我國企業(yè)信息安全法律治理的“重心”：法人治理

1.企業(yè)信息安全“法人治理”的內(nèi)涵

法人治理在公司法學(xué)上主要指有關(guān)公司機(jī)關(guān)的權(quán)力分配與行使關(guān)系的制度體系。企業(yè)信息安全法人治理是指企業(yè)將信息安全保護(hù)義務(wù)充分融入企業(yè)機(jī)關(guān)的權(quán)力分配與權(quán)力行使關(guān)系中，以明確董高監(jiān)及中基層員工的安全義務(wù)為核心，是企業(yè)內(nèi)生的且能不斷優(yōu)化的信息安全治理結(jié)構(gòu)。

2.企業(yè)信息安全“法人治理”的比較優(yōu)勢

其一，與技術(shù)治理及管理相比，“法人治理”可以充分發(fā)揮技術(shù)與法律二元共治，有機(jī)互補(bǔ)的優(yōu)勢。技術(shù)治理是一種運(yùn)用確定性和精確性的科學(xué)知識，對網(wǎng)絡(luò)社會中的人們的行為進(jìn)行一定的管制，以期符合治理者自身利益的活動。然而，沒有絕對完美的技術(shù)，安全風(fēng)險總是存在。為了確保安全，技術(shù)人員也可能會過度使用驗(yàn)證、加密等技術(shù)而無形造成企業(yè)發(fā)展的壁壘。技術(shù)主管或安全監(jiān)管部門僅是企業(yè)整體結(jié)構(gòu)的一個很小的部分，僅從網(wǎng)絡(luò)技術(shù)角度采取安全措施或是在發(fā)生安全事故時采取一定的措施，不能從全局的角度出發(fā)解決日益嚴(yán)峻的信息安全問題。故，我們需要蘊(yùn)含價值理性和道德判斷的法律的介入，通過自上而下的權(quán)力運(yùn)作，用法律的規(guī)范作用將技術(shù)與人、部門、組織有機(jī)且動態(tài)相連，將對信息的“安全”“可控”的治理目標(biāo)以“責(zé)任”的形式傳遞、歸化到企業(yè)中的個體。

其二，“法人治理”可充分發(fā)揮企業(yè)自治的優(yōu)勢，以較少成本控制安全風(fēng)險。企業(yè)是網(wǎng)絡(luò)安全事件的受害者，同時也是施害者。在安全風(fēng)險治理中，與政府、個人相比，企業(yè)具有天然的優(yōu)勢。企業(yè)是安全事件的直接參與者或受害者，對風(fēng)險和安全隱患具有更強(qiáng)的感知、分析和應(yīng)對能力。此外，企業(yè)具有保障網(wǎng)絡(luò)安全的軟硬件設(shè)施、專業(yè)的技術(shù)人才與資源優(yōu)勢，更易以較少的成本控制安全風(fēng)險。

其三，企業(yè)信息安全法人治理回應(yīng)了企業(yè)履行保障信息安全“社會責(zé)任”的時代訴求。施托伊雷爾認(rèn)為，現(xiàn)代多中心主義的治理方式與企業(yè)社會責(zé)任是一體兩面。它們以相似的路徑重塑著國家與私人之間的關(guān)系。參與政府治理既是企業(yè)和個人享有的一項(xiàng)權(quán)利，也是其承擔(dān)的一項(xiàng)社會責(zé)任。企業(yè)內(nèi)部安全事件常導(dǎo)致社會及國家層面的較大負(fù)外部效應(yīng)，作為國家網(wǎng)絡(luò)安全保障的核心力量，企業(yè)應(yīng)時刻意識到信息安全治理的社會責(zé)任往往蘊(yùn)含著人權(quán)、社會穩(wěn)定及國家整體安全的內(nèi)容。

三、美國企業(yè)信息安全法律治理：立法監(jiān)管、企業(yè)自治及啟示

（一）立法淵源廣泛，重視保障數(shù)據(jù)的“機(jī)密性”“可用性”與“完整性”

美國企業(yè)的信息安全義務(wù)的立法淵源廣泛，主要包括聯(lián)邦、州層面的法律法規(guī)、普通法、侵權(quán)法、合同承諾、商業(yè)標(biāo)準(zhǔn)、政府規(guī)章、國際法律法規(guī)及執(zhí)法行動等。聯(lián)邦及州層面的成文法律、法規(guī)是最主要的立法淵源，在立法措辭上多使用“安全（security）”與“保障（safeguards）”。企業(yè)的信息安全義務(wù)多以保護(hù)信息安全的三性為目的，在措辭上多使用“認(rèn)證（authenticate）”、保護(hù)數(shù)據(jù)的“完整性（integrity）”“機(jī)密性（confidentiality）”及“數(shù)據(jù)可用性（availability of data）”等予以體現(xiàn)。如，聯(lián)邦層面的立法包括1996年《健康保險攜帶和責(zé)任法案》、1999年《統(tǒng)一電子商務(wù)法案》、1999年《金融服務(wù)現(xiàn)代化法案》、2000年《全球及國內(nèi)商務(wù)電子簽名法案》、2002年《薩班斯-奧克斯利法案》、2003年《保護(hù)網(wǎng)絡(luò)空間的國家戰(zhàn)略》、2015年《網(wǎng)絡(luò)安全法》等。以上立法涉及醫(yī)療健康、電子商務(wù)、金融、企業(yè)內(nèi)控等方面，涵蓋企業(yè)保障信息安全“三性”的一般義務(wù)性規(guī)定。

（二）企業(yè)信息安全義務(wù)主體為所有企業(yè)，義務(wù)客體涵蓋“所有數(shù)據(jù)”

美國企業(yè)信息安全治理義務(wù)主體涵蓋所有行業(yè)部門的所有企業(yè)。盡管早期的個別成文法將企業(yè)的信息安全義務(wù)限定于某一行業(yè)內(nèi)的企業(yè)，但隨著美國網(wǎng)絡(luò)與信息安全立法數(shù)量的增多，實(shí)際上所有企業(yè)承擔(dān)了立法賦予的信息安全義務(wù)。在司法實(shí)踐中，美國企業(yè)信息安全義務(wù)的法律演進(jìn)始于聯(lián)邦貿(mào)易委員會（FTC）反公平貿(mào)易的實(shí)踐，隨后眾多的州立法持續(xù)跟進(jìn)，法院通過一系列司法判例將企業(yè)信息安全義務(wù)擴(kuò)展至所有企業(yè)。2002年起，借助于一系列的執(zhí)法行動及同意令，美國FTC根據(jù)《聯(lián)邦貿(mào)易委員會法》（FTC Act）關(guān)于反公平貿(mào)易的規(guī)定擴(kuò)大了其執(zhí)法行動的范圍，認(rèn)為企業(yè)即使未對信息安全狀況作出虛假陳述，但怠于履行個人信息安全保障義務(wù)本身就是一種不公平的貿(mào)易行為。2004年，加州頒布了一項(xiàng)立法，規(guī)定所有企業(yè)應(yīng)采取合理的安全措施與實(shí)踐，保護(hù)加州居民的個人信息免受未經(jīng)授權(quán)的訪問、破壞、使用、修改或披露。隨后，其他州也紛紛效仿，加入立法行列。此外，通過典型案例的審判，法院也開始意識到所有企業(yè)都有保障個人信息安全的普通法義務(wù)，未能履行該義務(wù)即構(gòu)成侵權(quán)。

值得一提的是，近年來美國政府意識到小企業(yè)在美國制造業(yè)供應(yīng)鏈中占據(jù)重要地位，但在國防工業(yè)基礎(chǔ)方面存在弱點(diǎn)，尤其在網(wǎng)絡(luò)安全威脅和數(shù)據(jù)泄露方面也存在脆弱性及安全漏洞。2018年，美國總統(tǒng)特朗普正式簽署《NIST小企業(yè)網(wǎng)絡(luò)安全法案》（NIST Small Business Cybersecurity Act），將小企業(yè)的網(wǎng)絡(luò)安全風(fēng)險防御與治理納入美國聯(lián)邦法律。此外，美國企業(yè)信息安全義務(wù)的客體為所有的公司數(shù)據(jù)，主要包括個人數(shù)據(jù)、其他公司數(shù)據(jù)、電子記錄。個人數(shù)據(jù)保護(hù)與美國源遠(yuǎn)流長的隱私保護(hù)制度密切相關(guān)，眾多聯(lián)邦立法及州層面的立法都有明確規(guī)定。其他公司數(shù)據(jù)包括公司財務(wù)數(shù)據(jù)、交易記錄、稅收記錄。

（三）更具彈性的“合理安全（reasonable security）”標(biāo)準(zhǔn)是衡量企業(yè)信息安全治理成熟度的法定基線，“合理安全”以“程序?qū)颍╬rocess-oriented）”為評判標(biāo)準(zhǔn)

美國著名密碼學(xué)家Bruce Schneier經(jīng)典名言，“安全是一個過程而并非結(jié)果（Security is a process，not a product）。美國人早已意識到信息技術(shù)快速更迭必然帶來新的安全風(fēng)險，法律的穩(wěn)定性難以應(yīng)對新的安全危機(jī)，企業(yè)的信息安全義務(wù)的衡量標(biāo)準(zhǔn)應(yīng)更具彈性與張力。美國立法并未明文規(guī)定企業(yè)應(yīng)采取什么樣的具體安全措施以確保企業(yè)獲得足夠的安全保障，而是要求企業(yè)滿足更具彈性的“合理安全（reasonable security）”標(biāo)準(zhǔn)，與之類似的還有“適當(dāng)安全（appropriate security）”“合適安全（suitable security）”?！昂侠戆踩睒?biāo)準(zhǔn)并非特指具體的安全措施，而是在實(shí)踐中可發(fā)展、可改進(jìn)且能有效應(yīng)對安全風(fēng)險的動態(tài)標(biāo)準(zhǔn)。企業(yè)是否履行信息安全義務(wù)以“程序?qū)颍╬rocess-oriented）”為主要評價標(biāo)準(zhǔn)。企業(yè)信息安全的法律標(biāo)準(zhǔn)要求公司實(shí)旋綜合性的及書面性的信息安全程序，包括：（1）識別被保護(hù)的信息及其系統(tǒng)資產(chǎn);（2）進(jìn)行周期性的風(fēng)險評估以識別公司所面臨的資產(chǎn)威脅、脆弱性評估及其威脅發(fā)生后造成的損失;（3）選擇并實(shí)施適當(dāng)?shù)陌踩刂拼胧┮钥刂骑L(fēng)險的識別;（4）監(jiān)控與測試項(xiàng)目以確保其有效性;（5）根據(jù)項(xiàng)目的變化進(jìn)行不斷的審查與調(diào)試，包括進(jìn)行常規(guī)性的獨(dú)立審計并在必要時進(jìn)行報告;（6）監(jiān)督第三方服務(wù)提供者的協(xié)議。實(shí)際，以上的過程并非一成不變，還可被不斷地審查、修訂及升級。在美國的司法實(shí)踐中，“程序?qū)蛐汀钡墓拘畔踩蓸?biāo)準(zhǔn)是基于GLBA的規(guī)定，首先應(yīng)用于一些關(guān)于金融行業(yè)的企業(yè)信息安全規(guī)制中。隨后，HIPAA也有類似的規(guī)定。

（3）透明度原則。企業(yè)信息安全法人治理結(jié)構(gòu)應(yīng)當(dāng)是企業(yè)法人治理的一個子集并確保其透明化。企業(yè)對安全事故的披露也應(yīng)當(dāng)透明化。企業(yè)在安全事故發(fā)生后，依法以特定的方式及時將該安全事故信息、潛在的風(fēng)險、采取的措施通知監(jiān)管部門和利益相關(guān)者。盡管信息安全的披露在短期內(nèi)會增加企業(yè)利益減損，但從長遠(yuǎn)看有益于增強(qiáng)相關(guān)行業(yè)和整個產(chǎn)業(yè)抵御安全風(fēng)險的能力。

2.充分發(fā)揮立法的引導(dǎo)與激勵作用，鼓勵企業(yè)從“被動”合規(guī)邁向“主動”治理

法律的激勵功能、懲戒功能同組織管理功能一并作為法律的三大基本功能，激勵功能的社會認(rèn)同感最強(qiáng)。激勵法律的制定是基于人們對不同利益的需求，通過給予利益，激發(fā)人們的積極性，從而實(shí)施法律所希望的行為，不僅給行為人帶來利益，也能達(dá)成立法者預(yù)期的某種效果。與美國相比，我國網(wǎng)絡(luò)安全立法起步較晚，企業(yè)網(wǎng)安法合規(guī)欠賬多，法規(guī)遵從需要企業(yè)投入更多的資金與人力成本，故一些企業(yè)存在畏難、抵觸情緒。我們需要思考如何在發(fā)揮立法懲戒功能的同時發(fā)揮其激勵功能，調(diào)動企業(yè)守法能動性，使企業(yè)從“安全是成本”轉(zhuǎn)變?yōu)椤鞍踩峭顿Y”，進(jìn)而從“被動”合規(guī)邁向“主動”治理。完善網(wǎng)安法的激勵功能，鼓勵行業(yè)自律與企業(yè)自治，根據(jù)企業(yè)信息安全法人治理的成熟度給予物質(zhì)性、精神性及責(zé)任豁免性獎勵，具體激勵方式可包括并不限于財政補(bǔ)貼、稅收激勵、政府項(xiàng)目優(yōu)先（如資源申請優(yōu)先）、精神性表彰或獎勵及責(zé)任豁免。

3.立法引導(dǎo)和激勵企業(yè)建立“強(qiáng)制與自愿相結(jié)合”的信息安全“法人治理”結(jié)構(gòu)，消弭安全“短板”

企業(yè)信息安全法人治理結(jié)構(gòu)的建立和優(yōu)化應(yīng)當(dāng)成為我國企業(yè)信息安全法律治理的重心。立法應(yīng)當(dāng)鼓勵所有企業(yè)根據(jù)其實(shí)際情況構(gòu)建“強(qiáng)制與自愿相結(jié)合”的法人治理結(jié)構(gòu)。建議延續(xù)網(wǎng)安法的制度設(shè)計思路，對國家網(wǎng)絡(luò)安全保障中具有“關(guān)鍵性”及“戰(zhàn)略性”的關(guān)鍵信息基礎(chǔ)設(shè)施（CII）運(yùn)營者進(jìn)行強(qiáng)制性法人信息安全治理，對于非CII運(yùn)營者則以立法激勵與企業(yè)自愿為主。強(qiáng)制性的制度內(nèi)容包括：第一，對于大、中型CII運(yùn)營者構(gòu)建層級清晰、權(quán)責(zé)分明的信息安全法人治理結(jié)構(gòu)，并將其作為法人治理結(jié)構(gòu)的一個子集予以重視。企業(yè)董事會（或董事長）、高層主管應(yīng)從戰(zhàn)略上重視對安全風(fēng)險的“感知一抵御一應(yīng)對”，將防控安全風(fēng)險融入企業(yè)戰(zhàn)略規(guī)劃、資金預(yù)算、業(yè)務(wù)拓展、產(chǎn)品研發(fā)與銷售等關(guān)鍵環(huán)節(jié)，最終將安全融入企業(yè)文化。

企業(yè)信息安全法人治理的關(guān)鍵在于明確企業(yè)的董事會（或董事長）、CEO（或總裁）、高層主管（包括首席安全官、首席信息官、首席風(fēng)險官及部門主管）、中層主管及普通員工的信息安全職責(zé)：（1）企業(yè)董事會（或董事長）應(yīng)當(dāng)從戰(zhàn)略上充分認(rèn)識信息及信息安全的重要價值，確定企業(yè)重要資產(chǎn)，統(tǒng)一部署企業(yè)綜合性、全局性的信息安全計劃（如企業(yè)級漏洞響應(yīng)計劃或綜合性風(fēng)險評估計劃），監(jiān)督企業(yè)高管定期匯報信息安全計劃執(zhí)行的適當(dāng)性和有效性。（2）CEO（或總裁）是企業(yè)信息安全的直接負(fù)責(zé)人。應(yīng)當(dāng)確保知悉企業(yè)的戰(zhàn)略計劃、風(fēng)險偏好及運(yùn)營策略，在此基礎(chǔ)上制定、升級企業(yè)的信息安全政策，監(jiān)督企業(yè)對國家法律法規(guī)的全面遵從;對企業(yè)其他中高層主管、員工分派信息安全責(zé)任、義務(wù)及權(quán)力，明確不同層級人員因法規(guī)遵從或企業(yè)信息安全計劃產(chǎn)生的授權(quán)行為與執(zhí)行責(zé)任，監(jiān)督、協(xié)調(diào)企業(yè)信息安全政策的執(zhí)行;向董事會報告企業(yè)信息安全政策的執(zhí)行，包括關(guān)鍵風(fēng)險識別、風(fēng)險評估結(jié)果、企業(yè)風(fēng)險耐受水平及風(fēng)險防控計劃;選任專業(yè)資質(zhì)的信息安全官執(zhí)行企業(yè)信息安全政策;確保企業(yè)有充足的人力、財力及技術(shù)資源以執(zhí)行安全政策。（3）企業(yè)高層主管應(yīng)確保企業(yè)的安全政策與企業(yè)戰(zhàn)略、業(yè)務(wù)的一致性，與公司內(nèi)外的利益相關(guān)方溝通協(xié)調(diào);檢查企業(yè)信息安全政策的進(jìn)展和執(zhí)行，確保安全法規(guī)的遵從;確保企業(yè)的信息安全保護(hù)措施與企業(yè)可能承受的信息安全風(fēng)險相匹配;與各部門負(fù)責(zé)人協(xié)調(diào)一致，定期向CEO（或總裁）匯報信息安全計劃的執(zhí)行情況;確保企業(yè)員工接受有效的信息安全培訓(xùn)并知悉企業(yè)的安全政策。（4）企業(yè)中層主管在風(fēng)險評估和成本最小化的基礎(chǔ)上執(zhí)行企業(yè)的信息安全計劃;定期測試、評估企業(yè)的信息安全控制技術(shù)、措施，確保其有效運(yùn)行;確保雇員、合同相對人和用戶對企業(yè)信息安全責(zé)任的履行。（5）企業(yè)員工應(yīng)知悉、遵守企業(yè)的信息安全政策，及時報告政策的弱點(diǎn)及突發(fā)性信息安全事件的影響。

第二，對于資金有限、安全保護(hù)措施不夠完善的小型CII運(yùn)營者，可考慮給予一些資源支持與協(xié)調(diào)，確保其構(gòu)建與自身實(shí)際相符的安全治理結(jié)構(gòu)。充分重視企業(yè)總經(jīng)理或中層主管信息安全責(zé)任之履行，包括總經(jīng)理應(yīng)當(dāng)確保公司戰(zhàn)略、運(yùn)營流程與企業(yè)信息安全治理需求相融合;識別企業(yè)重要資產(chǎn)、評估信息系統(tǒng)安全風(fēng)險、制定應(yīng)急計劃等;確保企業(yè)對于安全的資金投入;中層主管應(yīng)當(dāng)負(fù)責(zé)執(zhí)行企業(yè)的信息安全政策，階段性地測試評估信息安全控制項(xiàng)，確保有效實(shí)施;確保對企業(yè)雇員的信息安全培訓(xùn)

4.重視企業(yè)董事、高級管理人員信息安全義務(wù)的履行，將其作為《公司法》董事、高級管理人員“忠實(shí)與勤勉義務(wù)”的適當(dāng)延伸

忠實(shí)與勤勉義務(wù)是現(xiàn)代治理結(jié)構(gòu)下企業(yè)董事會成員對于公司的法定義務(wù)。我國公司法第148條對董事及高級管理人員的忠實(shí)與勤勉義務(wù)作出了明確規(guī)定。實(shí)踐中，董事及高管義務(wù)有擴(kuò)大趨勢，這源于法律從“股東至上”到對企業(yè)社會責(zé)任及利益相關(guān)者權(quán)益保護(hù)之重視。目前，嚴(yán)峻的信息安全風(fēng)險正威脅著我國國家安全、社會穩(wěn)定及個人權(quán)益，企業(yè)應(yīng)勇于承擔(dān)保障信息安全的社會責(zé)任，這也依賴于企業(yè)董事及高管對于信息安全義務(wù)的積極履行。企業(yè)董事及高管的信息安全義務(wù)可作為公司法層面“忠實(shí)與勤勉”義務(wù)的有機(jī)組成部分，包括：（1）基本的信息安全義務(wù)，即確保企業(yè)對國家網(wǎng)絡(luò)與信息安全立法制度（如CII保護(hù)，網(wǎng)絡(luò)安全審查、數(shù)據(jù)出境評估等）的全面遵從，配合、協(xié)助執(zhí)法檢查。（2）履行其在企業(yè)信息安全法人治理中的核心義務(wù)，包括被保護(hù)的信息與資產(chǎn)的識別;制定、升級企業(yè)的信息安全政策;安全風(fēng)險評估;確保企業(yè)員工接受有效的信息安全培訓(xùn);確保企業(yè)有充足的人力、財力及資源實(shí)現(xiàn)公司的安全政策。此外，還可鼓勵公司章程中增加董事、高管對于保障企業(yè)信息安全的注意義務(wù)，接受公司股東與公眾的監(jiān)督。

5.引導(dǎo)和促進(jìn)企業(yè)信息安全文化建設(shè)，深度融入企業(yè)法人治理中，以凸顯安全文化的價值

法律對于安全風(fēng)險的防控需要借助文化的力量，通過主流文化的傳播使法律價值得到普遍認(rèn)同，從而有效提升法律的實(shí)施效果。企業(yè)信息安全文化建設(shè)可助力于修復(fù)不同社會主體的安全認(rèn)知“漏洞”，提升企業(yè)在網(wǎng)絡(luò)安全保障中的效用。企業(yè)信息安全文化建設(shè)不可忽視兩個層面：一是重視企業(yè)信息安全文化在法人治理層面的融合。企業(yè)信息安全文化不只局限于員工安全培訓(xùn)等常規(guī)活動，還應(yīng)當(dāng)在企業(yè)的總體戰(zhàn)略、理念、形象識別、業(yè)務(wù)規(guī)劃、生產(chǎn)過程控制及監(jiān)督反饋等各個方面融合安全文化的內(nèi)容，最終將安全文化融入企業(yè)法人治理結(jié)構(gòu)中;二是重視從企業(yè)高管到基層員工的“個體”信息安全意識的提升，將安全意識與個體責(zé)任掛鉤，使“人”成為企業(yè)安全風(fēng)險防御的最強(qiáng)大資產(chǎn)。安全文化的普及與人的安全意識的提升是對抗攻擊的最有效的武器。

（責(zé)任編輯 胡志平）