文 | 黃春林 匯業律師事務所 合夥人
2018年,隨著《網絡安全法》及其配套制度、標準逐步落地,越來越多的企業意識到網絡安全合規的重要性,開始逐步推進網絡安全法律合規建設,具體包括制定企業網安制度、設立網安崗位及人員、檢視產品/服務的網安合規性、修訂個人信息規範/隱私政策、完善網絡登記/備案程序、評估數據流動法律風險、調整網絡接入甚至經營結構等等。
但是,很多企業開展網絡安全合規建設時,往往容易忽略掉一個重要的法律合規義務,即開展網絡安全培訓,包括員工培訓和用戶培訓。本文中,匯業律師事務所黃春林律師結合實務經驗,將立法與執法層面,詳細分析企業為什麼必須開展網絡安全培訓,以及如何開展網絡安全培訓。
一、是企業網安合規的一項重要法定要求
1.《網絡安全法》的合規要求
首先,《網絡安全法》第21條規定了網絡運營者的一般義務,包括但不限於等保及定崗定責制度,以及第五款的指引性規定,邏輯上包括了後面其他法律、法規中規定的網絡安全培訓合規要求。
其次,《網絡安全法》第34條直接規定了CIIO的法定義務,即“定期對從業人員進行網絡安全教育、技術培訓和技能考核”。
2.工信部24號令的合規要求
工信部《電信和互聯網用戶個人信息保護規定》(24號令)第15條明確規定,“電信業務經營者、互聯網信息服務提供者應當對其工作人員進行用戶個人信息保護相關知識、技能和安全責任培訓。”
3.公安部33號令的合規要求
公安部《計算機信息網絡國際聯網安全保護管理辦法》(33號令)第10條規定,“互聯單位、接入單位及使用計算機信息網絡國際聯網的法人和其他組織應當履行下列安全保護職責:……(三)負責對本網絡用戶的安全教育和培訓……”。
此外,公安部安全等級保護管理有關規定也重申了網絡安全培訓的法定要求。
4.《個人信息安全規範》的合規要求
2018年年初剛剛發佈的《個人信息安全規範》(GB/T 35273—2017)雖然為推薦性標準,但是監管機構執法的重要參考依據,對企業網安合規建設具有重要指引作用。
《個人信息安全規範》明確規定,企業(個人信息控制者)“應定期(至少每年一次)或在隱私政策發生重大變化時,對個人信息處理崗位上的相關人員開展個人信息安全專業化培訓和考核,確保相關人員熟練掌握隱 私政策和相關規程。”此外,還應當“應定期(至少每年一次)組織內部相關人員進行應急響應培訓和應急演練,使其掌握崗位職責和應急處置策略和規程。”
除此之外,國家信安委發佈的其他網絡安全有關的規範、標準,也對網絡安全培訓提出了明確的要求。
二、是企業網安責任的一項主要免責事由
匯業黃春林律師注意到,網絡安全培訓不僅是企業的一項重要的合規義務,而且還是相關網絡安全責任事件發生時,企業是否要為員工/用戶行為承擔行政/刑事責任的一項重要的免責抗辯事由。
1.雀巢員工等侵犯公民個人信息犯罪案的合規啟示
在雀巢員工等侵犯公民個人信息犯罪一案【(2017)甘01刑終89號】中,雀巢幾名員工為了銷售雀巢公司產品,從醫院護士手上非法購買部分公民個人信息上萬條,最終案發。該案中,雀巢幾名員工的辯護人均認為應當定單位犯罪,成為本案的主要爭議焦點。但一審、二審法院均未認定單位犯罪,即雀巢公司不承擔刑事責任,理由主要為:
(1) 雀巢公司政策、員工行為規範等禁止員工以非法方式收集消費者個人信息;
(2) 對於第(1)款規定要求,雀巢公司要求所有營養專員接受培訓並簽署承諾函。
本案對於企業開展網絡安全合規建設具有重要的借鑑意義,凸顯了企業開展網絡安全培訓的重要價值。
2.近期監管執法案件的合規啟示
匯業黃春林律師注意到,近期社會廣泛關注的支付寶年度賬單事件、萬豪事件中,兩家企業在被當地網信辦約談後的整改聲明中,無一例外的強調了內部網絡安全培訓的重要性,並承諾持續開展內部員工的網絡安全培訓。
在萬豪2018年1月17日的集團公開聲明中,提出了八項整改措施,其中兩項涉及網絡安全培訓,例如“我們還將定期向中國員工進行網絡安全及網絡信息方面的法律培訓”。
此外,全國人大關於一法一決定的執法檢查報告中,也重點指出了企業開展網絡安全培訓的必要性和存在的問題。
三、哪些企業必須開展網絡安全培訓
是否是所有的企業都應當按照《網絡安全法》及其配套制度的規定開展網絡安全合規,這個問題是困擾很多企業開展網絡安全合規建設的一個重要問題。
法律層面,不同的法律規定的企業主體不同。《網絡安全法》規定的是“網絡運營者”,工信部24號令規定的是“電信業務經營者、互聯網信息服務提供者”,公安部33號令使用的是“互聯單位、接入單位及使用計算機信息網絡國際聯網的法人和其他組織”,《個人信息安全規範》使用的是“個人信息控制者”……。
匯業黃春林律師注意到,法律層面關於哪些企業會被落入到《網絡安全法》及其配套制度的合規主體,單一的規定並不明確或者存在一定的爭議,但在實踐中,具體執法部門的認定標準還是相當廣泛的。
四、企業如何開展網絡安全培訓工作
每個企業所處的行業及規模不同,網絡架構及對網絡的依賴程度不同,以及使用用戶信息的場景不同,面向的客戶人群不同,其應當開展的網絡安全合規及網絡安全培訓也存在一定的差距。大體來看,應當包括但不限於:
1.製作培訓教材
應當根據具體的商業模式及網絡架構,面向內部員工及用戶(客戶)製作不同的培訓教材,具體內容應當涵蓋網絡安全法律法規、內部管理規範及指引、個人信息保護、應急預案,等等。
培訓教材可以採取文字形式,也可以採取更加靈活、生動的多媒體方式。
2.培訓實施
培訓可以通過現場會議的方式,也可以通過網絡視音頻的方式,還可以通過文件下發學習的方式。
可以內部組織培訓,也可以聘請外部律師、專業人士開展。
3.培訓記錄及留檔
企業應當強化培訓記錄,並做好培訓留檔工作,以用於未來可能的執法檢查或網絡安全責任事件的抗辯。
閱讀更多 匯業法律觀察 的文章
