数据与网络安全是一门怎样的法律业务?

《网络安全法》即将于2017年6月1日正式施行,对于法律服务行业来说,这意味着数据与网络安全将作为一项独立的业务即将登上舞台。但《网络安全法》显然没有获得法律服务行业应由的关注,除了长期关注网络法的人群外,法律人对于《网络安全法》或许还缺乏足够的认识,没有意识到《网络安全法》即将带来的新的机遇。

几乎所有的主体都涉及网络安全责任。在《网络安全法》中,最重要的概念就是“网络”了,而“网络”并不仅指互联网,甚至包括了局域网和工业控制网络(参考《中华人民共和国网络安全法解读》,中国法制出版社)。换言之,哪怕是在家中设立的局域网,也需要承担网络运营者的责任,《网络安全法》实际将所有的网络都纳入了管理范围。一旦企业设有内网与外网,那么还需要承担多重的网络运营者责任。

一、数据与网络安全为什么重要

这几年,没有什么比“大数据”更热门的概念了,大数据被认为是21世纪的“石油”,是当前最重要的一项资源。在这样的背景下,法律服务行业没有理由不重视“数据”会带来的业务。比如在律师的尽职调查工作中,查清企业所拥有的不动产、动产与知识产权的产权情况是一项重要内容。而当企业开始将“数据”视为自己最核心的资产时,律师的尽职调查工作没有理由去回避数据的归属、来源合法、是否存在权利瑕疵或者风险这样的问题。这些问题没有一个是容易回答的,而且“数据”资产的法律隐患已经开始影响企业的商业行为。

雅虎在近年发生的多起大规模信息泄漏事件涉及15亿人次,直接影响到了Verizon对雅虎价值48.3亿美元的收购,Verizon甚至考虑放弃对雅虎的收购。这让雅虎不得不披露“Verizon可能会因为与该安全事故有关的事实对股票购买协议提出或威胁提出新的主张、权利或索赔,也有可能寻求终止股票购买协议或在此基础上就出售交易的具体条款重新进行谈判。”收购的金额也缩水了3.5亿美元,该数据泄露事件甚至引来了美国证券交易委员会(SEC)的调查。

我国的各种数据泄漏事件更是屡见不鲜,比如京东在2016年就被爆有12G的用户数据泄漏,国家电网的App也被曝光泄漏了上千万用户的数据。而对待这样的泄漏事件,目前我们企业通行的处理方法是:(1)宣布数据泄漏发生在数年以前,漏洞已经修补;(2)公司已经报案,请媒体不要传谣;(3)建议用户定期更改密码……至于说数据的非法收集,在我国现在还处于没人理睬的状态。这些数据泄漏事件在未来或许会成为影响公司股价或估值的事件。

在《刑法修正案(九)》中,专门新增了“拒不履行信息网络安全管理义务罪”,网络服务提供者如果不履行法律、行政法规规定的信息网络安全管理义务,并且经监管部门通知采取改正措施而拒绝执行,因拒绝改正造成了严重的后果,会构成犯罪。如果能够出现几个典型案例,该条款对于企业与企业管理人员无疑将成为一项强有力的威慑。配合《网络安全法》中网络运营者的义务,企业没有理由不重视数据与网络安全。

二、已经开始的业务布局

随着《网络安全法》即将于6月1日正式施行,随便翻了一下各律所官网(难免有遗漏),已经有越来越多的律师事务所瞄准了数据业务。所谓“红圈所”当然是一马当先,君合律师设立了“隐私保护、网络安全与信息法”的业务领域,金杜也在知识产权业务下设立了“数据与隐私权保护”的业务。

其他一些顶尖所也希望借助数据业务形成自己的特色,元达早在2014年就设立了“数据中心”部门,提供电子证据、数据隐私与安全等领域的法律服务。汉坤则撰写了“汉坤网络安全和数据合规系列”,一旦有涉及数据与网络安全方面的新规,立刻进行评论分析,不放过任何一个向(潜在)客户展示自己专业化水准的机会。通力也在自己的合规业务中将“数据安全和隐私法律制度培训”纳入其中。大成也有自己的“隐私与网络安全”组,处理有关业务。而一些外资所,也将数据视为一项重要的业务了,比如昆鹰就专门设有“网络安保与数据保护”的领域。

不止是律师事务所,“四大”对数据与网络安全领域的合规也是虎视眈眈,德勤专门提供“信息科技风险”的相关服务,还出版过一本关于个人信息保护的小册子,深入程度可见一斑。毕马威也将“网络安全”视为企业面临的巨大挑战,提供相关的风险管理服务。而PWC甚至建立了自己的网络安全实验室,测试最新的网络安全检测工具和进行受客户委托的模拟网络攻击。

三、数据/网络安全涉及哪些内容

个人信息是数据中最为特殊的一类,也是大数据中最有价值的一类。在《网络安全法》中,对个人信息的收集、利用、出售均需要以获得被收集者的同意为前提。因此,获取“同意”成为了利用个人信息的基础,而如何确保“同意”的效力,确保“同意”是个人信息被收集者真实的意思表示,成为了法律服务行业必须要解决的问题。

用户协议/服务条款,也将受到越来越多的重视。Google在今年年初的时候正式向Google Play平台的开发者发送邮件,要求开发者提交产品的隐私权政策。请求调动用户敏感数据的开发者,需要在Google Play上架的自家应用程序内,添加一个有效的隐私政策,并将这一链接提交给谷歌。在去年新浪微博诉脉脉非法收集信息的案件中,新浪微博与脉脉之间的条款成为了案件的“胜负手”,直接决定了新浪微博的胜诉。

在并购、IPO等环节的尽职调查中,调查企业数据资产也将成为律师尽调服务中不可缺少的环节,数据的来源是否合法,涉及的个人信息是否获得了被收集者的同意,数据的保密性、完整性与可用能否确保,企业是否有完善的网络安全规章与应急预案都是需要调查的内容,企业数据的跨境传输是否符合法律要求……都是尽职调查的科目。另外,像数据授权使用、交易的协议起草,也都是客户可能需要的法律服务。

不负责任地预测一下,在未来数据有成为像知识产权那样业务的潜质,而网络安全也可能会成为与税务一样令企业头疼重要的议题。

四、数据/网络安全时代的律师

因为所有的企业都面临会计问题,所以会有大量的律师后会去尝试考CPA,或是学习基础的会计知识,以期增加对公司的财务、会计制度的了解。而在《网络安全法》实施以后,数据与网络安全对于企业来说有机会将变成和税务同等重要的事项,所有的企业也都会面临数据或网络安全的合规问题,没有例外。在处理数据与网络安全的法律问题,会涉及大量网络技术细节,国家或行业的强制标准,具备网络安全背景的律师无疑会更受青睐,在未来能见到获得思科或华为网络安全工程师认证的律师也不是一件奇怪的事情。

我以前认为,法律人应该懂一些编程知识,因为编程是学习计算机网络的最佳途径,就像我们在中学时学习物理、化学、生物总是要动手做实验一样。我现在认为,仅是学习编程或许还是不够的,甚至还需要学习一些设计的知识。近年来关于隐私保护比较流行的一个原则就是“嵌入隐私保护的设计”(privacy by design),对于隐私的保护是需要从产品/服务设计伊始就进行,在前端产品研发和后台数据管理全过程都将隐私保护作为重要的考虑因素。一个最简单的例子:一份在法律上站得住脚的用户协议是需要律师、设计师共同完成的,确保在没有复杂流程“吓跑”用户的情况下确保用户协议的效力实际上是一个非常复杂的问题。如果法律人不懂设计师的语言,那沟通就无从谈起。

数据与网络安全是新的法律与新的技术结合带来的新的业务,所有人的起跑线都差不多,发令枪也即将在6月1日鸣响,如果想要站上赛道的话,现在就是最好的时机。

发表评论

电子邮件地址不会被公开。 必填项已用*标注