主持人:陈巍上海律协互联网业务研究委员会主任、上海市通力律师事务所合伙人
嘉宾:吴卫明上海律协互联网业务研究委员会副主任、上海市锦天城律师事务所合伙人
卫新上海律协对外宣传与联络委员会委员、融资租赁业务研究委员会委员、上海星瀚律师事务所主任
杨迅香港西盟斯律师事务所驻上海代表处顾问律师
黄春林上海律协互联网业务研究委员会委员、上海市汇业律师事务所合伙人
文字整理:王希
陈巍:所以律师具体执业中更有法可依了,请卫新律师谈谈看法。
卫新:我觉得《网络安全法》的施行对青年律师来说是一个巨大的机遇。以前,我们的立法基础和法律背景都是基于传统的物理空间。换言之,是在传统的社会运行方式下所产生的。但如今,社会结构正在发生调整,我们讲信息化社会已经讲了很多年,这次《网络安全法》其实是一个网络空间的基本法,创造了“新世界”中的规则。接下来,肯定还有大量的配套规则出台,这和社会变迁密不可分。年轻律师对新事物的掌握更多,更了解网络,甚至有些90后的律师长期“生活”于网络世界,《网络安全法》对他执业的空间、范围、技术手段都会产生巨大影响,对青年律师来说可能会形成一定的技术优势,进而或会发生律师界的迭代。
陈巍:杨律师重点提到,《网络安全法》施行后,我们在从事跨境或者涉外法律服务时需考虑更为全面的涉网络安全法律问题。黄春林律师对此有何看法?
具体为什么会觉得这会是个机遇,我的体会是最近一系列“网安法”律实施后的三个变化:政策法律化、法律体系化、风险刑事化。这给企业的网络安全合规带来了一个硬需求,原来大家都知道头上悬把剑但是没有掉下来,现在这把剑通过这三个变化落地了,所以对我们的业务来说是一个机遇。
就挑战来说,我理解主要有两个,第一个挑战是多头监管带来的规范碎片化。我们看整个互联网监管这块有多个部门介入,常规的包括网信办、工信部以及公安部。如果说落实到具体的领域去,例如网络游戏还涉及新闻出版广电总局和文化部,互联网金融还涉及人民银行、银监会等,他们都从各自不同的角度出台了一些监管规定。这种规范碎片化给我们带来的挑战是我们法律服务时需要更加谨慎,基础的法律调研工作可能会更加复杂。第二个挑战是互联网立法比较滞后,条文内容比较原则。这就给律师理解和适用法律带来极大的挑战,就像我们等会儿会讲到数据出境规则,往往需要我们综合用到逻辑解释、目的解释、历史解释等多种法律解释方法,才能准确地把握法条背后的价值取向,提高法律理解的准确性。
其次,这个制度也不是一刀切,也是尽可能在产业发展和网络安全之间寻找一个平衡,这个平衡体现在“网安法”第三十七条的“双重限制”制度,即原则上要求我们的数据必须在境内来存储,但同时又通过但书条款给我们安排了一个例外制度。此外,对于这个制度的适用,又通过多个限制条件限制37条的适用,首先是主体必须是CIIO,客体必须是个人信息和重要数据,其他还包括对三个地域三个行为的限定。
陈巍:目前我们面临数据保护有些类似于经济学中“不可能三角”:三角形的三个点要完全达到平衡非常困难,一个是社会和经济发展中需要有大数据;第二是数据必须要流动才能产生更大价值,第三还要对信息安全进行合理保护,三者之间如何能达成一个有效的平衡状态?从实际执行中也确实存在难点,就像您刚刚说的“合理”如何来定义、“合适”如何来定义?正如吴律师提到的,由于问题很新,所以包括年轻律师在内的法律从业者基本在同一起跑线,这也是大家的机遇。听听卫律师的看法。
陈巍:大家的发言已经非常明确,网络空间作为地、海、空、太之外的第五空间,其安全重要性不言而喻,律师作为法律专业的从业者,可以给我们委托人很多专业的建议。比如刚刚提到的数据跨境流通问题、“网安法”第31条关键信息基础设施的要求等等,那么实践当中哪些企业会对“网安法”特别重视、我们如何帮助合作伙伴去防范网络安全中的各种风险,各位可以给律师同仁们什么建议?
黄春林:这次“网安法”涉及的制度非常多,包括采购及出境安全评估制度、分级制度等等,这些制度实施后对企业的影响很大。关于我们要给客户一个什么样的建议,除开具体的建议不谈,我们说最重要的就是“合规!合规!还是合规!”。
原来在网络环境中商业道德和法律的界限没有那么清晰,但现在通过前面提到的政策法律化、法律体系化、风险刑事化的三个变化,这就要求企业开展互联网业务具有较高的合规意识,重视合规建设。无论是涉及到客户数据的跨境使用,包括境内的企业间数据合理流动。我的建议是:把住闸门,意思是在数据获取的“合法原则”、“明示原则”的基础上,做到数据结构的合理化。通过对数据合理分层,以此降低未来合规的压力。比如说,做跨境安全审查的时候我们去做申报,哪些数据是必须在跨境过程中使用的,哪些数据跟中国的国家安全或者对公民的个人信息安全不会造成实质性威胁,哪些数据可能会比较敏感。如果在第一道环节就把分层做好了,针对不同合规事项就可以做到有的放矢。
杨迅:网络安全法涉及的行业非常的多,受影响最大的应该是金融机构、健康产业(比如病人资料)、电信公司这三个行业。在这些客户中间,律师的角色不同于政府,不会要求企业要怎么做,律师给的建议是风险和收益分析。《网络安全法》给企业规定了很多义务,作为律师要分析的是哪些义务是马上要做的、是成本最小、见效最快、对企业形象影响最大的。很多跨国公司的服务器可能架设在全球各地,一项业务也是全球在做的,一项制度要从中国上升到总部可能是非常花费人力物力,不可能一蹴而就,作为律师就是帮他分析,那么多业务里,结合其商业模式,哪些是应当马上去做的。
陈巍:对于大型企业、互联网企业来说风险控制确实是很重要,如果不能给到很好的建议,合作伙伴会觉得律师的法律服务不够接地气,至少不符合本企业的特定情况。由此我们延伸出一个新的话题,律师的合作伙伴遍布三百六十行,很多行业都与网络有关联,即使是传统企业,也可能在转型中需要掌握用户数据以便更精准地给客户提供产品、服务。同时,律师的个人专业领域也各不相同,律师如何在自身从事的细分法律服务和不同行业企业对于网络安全合规管理的需求之间搭建一个桥梁?我们四位嘉宾,有从事互联网金融法律领域的,有从事TMT法律业务......请大家从各自的专业角度,给律师同仁们一些建议。
杨迅:对网络安全法律业务来讲有两点可以建议,第一这不仅仅是一个法律问题,很大程度上要从法理学、法哲学的角度来思考,因为这是一部具有前瞻性的法律,需要从历史解释、社会解释各方面角度用法理学的思维看待《网络安全法》;另一方面,《网络安全法》不仅仅是法律问题,同时也是商务问题、技术问题,我们不仅要从律师角度来想,也要综合商务的综合角度给出建议和方案。
吴卫明:同行不要把《网络安全法》理解成传统中说的某一个具体的服务领域,而应当作为当前法律服务环境下的基础性的方法。现在几乎找不着一个企业不是网络运营者,连律师事务所自己本身都可以被界定为网络运营者。作为律师,我的建议是:学好《网络安全法》,用好《网络安全法》。