《网络安全法》实施后企业面临的合规挑战

网络安全法出台后，众多企业积极主动地采取行动满足合规要求，但工作中也遇到一些实际问题，例如：

如何统筹考虑《网安法》及其后续法律、行政法规、部门规章、技术标准提出多方面要求？
企业实现网络安全合规重点和难点是什么？监管检查关注点是什么？
法律、行政法规、部门规章的要求如何理解，如何执行才能满足要求？
企业当前网络安全现状与合规要求相比有多大差距？具体问题是什么？
企业应该优先解决哪些问题？行动计划是什么？
与同行业企业比，企业目前的网安法合规中处于什么位置？同行业标杆是怎么做的？

在网络公共安全事件面前，监管机构审查的焦点，或许不是企业的网络网络是否绝对安全，而是企业网络安全建设是否满足《网络安全法》规定的强制要求。

1、企业应当制定合规的、完善的内部网络安全制度

是否有合规的、完善的网络安全保护制度，是网络安全合规审查的首要关注点。这不仅是企业开展网络业务的前提条件，也是网络公共安全事件发生后，企业是否应当承担责任以及承担多大责任的首要考量因素。

根据《网络安全法》的规定，网络安全的首要主体责任是企业，而企业落实网络安全主体责任的首要义务就是建立合规的、完善的网络安全制度体系，具体包括但不限于：网络安全及数据分级制度、网络安全定岗定责制度、网络系统及数据操作规程、个人信息保护制度、网络安全预案及应急制度、网络完全教育培训制度等。

2、企业应当落实网络安全岗位及责任人员

《网络安全法》明确规定，企业应当建立网络安全专门岗位及人员，这不仅是企业满足网络安全合规要求的体现，更是网络安全责任事件发生后如何确定相应的责任人员的重要依据，毕竟《网络安全法》规定了大量针对“网络安全直接责任人员”的处罚措施，甚至包括行业禁入。

3、企业应当建立网络平台信息内容审查机制

根据《网络安全法》、《互联网信息服务管理办法》、《互联网安全保护技术措施规定》等规定，企业有义务主动发现、停止传输、报告公共网络数据中的违法信息，应当建立网络信息内容审核与过滤制度，加强对其用户发布的信息的管理与审核工作。企业违反内容过滤与审核有关规定的，根据情节给予警告、罚款、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚。

4、企业应当完善个人信息及隐私保护政策

个人信息及隐私保护，是近几年网络完全立法与执法的重中之重，也是企业网络安全合规风险的高发地。

《网络安全法》明确规定了企业在个人信息收集、存储、使用等方面的合规要求；因我国个人信息与隐私保护方面的法律规定较为零散，小e建议企业应当结合自身业态，全面梳理经营过程中的业务数据、个人信息与隐私保护制度及业务流程，以满足《网络安全法》实施后的合规要求。

5、企业应当建立网络用户实名验证机制度

用户的注册与使用行为是企业获取网络数据的主要来源之一，但依法获取该等信息的前提条件是企业必须建立实名验证机制。

根据《网络安全法》规定，企业为用户提供入网、信息发布等服务时，应当要求用户提供真实身份信息并核验。

6、企业必须依法留存用户网络数据

立法者必须在个人利益保护与维持合理企业成本之间找到一个平衡点，一个典型的例子就是在用户网络数据留存制度设计上。一方面，立法者希望企业尽可能久的留存用户信息，以方便网络安全监管及未来可能的争议解决；另一方面，又担心企业长期留存并滥用用户信息，进而损害个人利益。

一个比较常见的留存期限是不少于60天，根据《网络安全法》规定用户网络数据应当至少留存60天。立法者限定了一些特定领域的网络数据留存最长期限。例如，《快递条例（征求意见稿）》明确规定，企业应当定期销毁快件运单，确保用户信息安全；《征信业管理条例》更是明确规定，征信机构对个人不良信息的保存期限为5年，超过5年的应当予以删除。

7、企业重要网络产品和服务采购应经安全审查

即将实施的《网络安全法》明确规定，关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。

今年5月初，网信办发布了安全审查的配套规定《网络产品和服务安全审查办法（试行）》。《办法》明确规定，将重点审查网络产品和服务的安全性、可控性，具体包括：

（一）产品和服务自身的安全风险，以及被非法控制、干扰和中断运行的风险；

（二）产品及关键部件生产、测试、交付、技术支持过程中的供应链安全风险；

（三）产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、使用用户相关信息的风险；

（四）产品和服务提供者利用用户对产品和服务的依赖，损害网络安全和用户利益的风险；等。

8、企业个人信息和重要数据跨境转移应经安全评估

个人信息和重要数据跨境转移有关的限制，被认为是《网络安全法》的一个重要制度突破，也是对部分跨国公司影响最为重要的一条。

其中，结合在线法务部之前参加的多个企业集团网络数据安全合规审查项目，企业网络数据跨境转移自行安全审查的框架要点包括但不限于：

（一）建立、完善网络数据安全制度、应急方案等，满足网络数据安全一般性要求；

（二）建立、完善网络数据安全责任岗位及人员，并建立相应的安全培训机制；

（三）审查、评估网络数据存储、传输设备、系统的资质条件及合规性；

（四）建立、完善数据收集、使用合规体系，完善用户协议、隐私政策等文件；

（五）建立、完善网络数据安全分级、分层机制，划定可以跨境转移的数据范围；

（六）梳理现有业务逻辑，评估网络数据个人信息清洗的可行性及技术实现方式，以及评估网络数据跨境转移的必要性；

（七）评估网络数据跨境转移技术实现方式、设备的安全性、合规性；

（八）评估网络数据跨境转移接收方的资质、技术条件，审查数据转移有关的基础合同和法律文件的有效性、合规性；

（九）制定网络数据泄露的应急预案及汇报机制。

9、企业并购应当开展网络安全尽职调查

越来越多的并购交易中，投资者开始逐步关注并购项目的网络安全尽职调查。通过网络安全尽职调查，能够有效的识别目标企业的网络安全法律风险，甚至能够有效的评估目标企业的IT资产、业务流程、业务规范性及未来发展可持续性等。

实践中，并购项目中的网络安全尽职调查，通常会审查企业网络安全制度文本的合规性、完备性，审查网络安全岗位及人员的配备，审查个人信息与隐私保护有关的规定及执行情况，审查网络安全产品采购、数据跨境转移等有关的政府性事务合规性等。

具体的尽职调查方法包括书面材料调查，主要人员访谈，网络安全设备检视，网络安全场地参观等。

最后，或许任何人都能理解没有绝对安全的网络，但恐怕没有人能接受企业在网络安全合规建设方面无所作为。这就是本文关注的重点，当监管机构来敲门，我们将交上怎样的答卷？