企业为什么必须开展网络安全法律培训
发布时间:2018-07-10
文 | 黄春林 汇业律师事务所 合伙人
2018年,随着《网络安全法》及其配套制度、标准逐步落地,越来越多的企业意识到网络安全合规的重要性,开始逐步推进网络安全法律合规建设,具体包括制定企业网安制度、设立网安岗位及人员、检视产品/服务的网安合规性、修订个人信息规范/隐私政策、完善网络登记/备案程序、评估数据流动法律风险、调整网络接入甚至经营结构等等。
但是,很多企业开展网络安全合规建设时,往往容易忽略掉一个重要的法律合规义务,即开展网络安全培训,包括员工培训和用户培训。本文中,汇业律师事务所黄春林律师结合实务经验,将立法与执法层面,详细分析企业为什么必须开展网络安全培训,以及如何开展网络安全培训。
一、是企业网安合规的一项重要法定要求
1.《网络安全法》的合规要求
首先,《网络安全法》第21条规定了网络运营者的一般义务,包括但不限于等保及定岗定责制度,以及第五款的指引性规定,逻辑上包括了后面其他法律、法规中规定的网络安全培训合规要求。
其次,《网络安全法》第34条直接规定了CIIO的法定义务,即“定期对从业人员进行网络安全教育、技术培训和技能考核”。
2.工信部24号令的合规要求
工信部《电信和互联网用户个人信息保护规定》(24号令)第15条明确规定,“电信业务经营者、互联网信息服务提供者应当对其工作人员进行用户个人信息保护相关知识、技能和安全责任培训。”
3.公安部33号令的合规要求
公安部《计算机信息网络国际联网安全保护管理办法》(33号令)第10条规定,“互联单位、接入单位及使用计算机信息网络国际联网的法人和其他组织应当履行下列安全保护职责:……(三)负责对本网络用户的安全教育和培训……”。
此外,公安部安全等级保护管理有关规定也重申了网络安全培训的法定要求。
4.《个人信息安全规范》的合规要求
2018年年初刚刚发布的《个人信息安全规范》(GB/T 35273—2017)虽然为推荐性标准,但是监管机构执法的重要参考依据,对企业网安合规建设具有重要指引作用。
《个人信息安全规范》明确规定,企业(个人信息控制者)“应定期(至少每年一次)或在隐私政策发生重大变化时,对个人信息处理岗位上的相关人员开展个人信息安全专业化培训和考核,确保相关人员熟练掌握隐 私政策和相关规程。”此外,还应当“应定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练,使其掌握岗位职责和应急处置策略和规程。”
除此之外,国家信安委发布的其他网络安全有关的规范、标准,也对网络安全培训提出了明确的要求。
二、是企业网安责任的一项主要免责事由
汇业黄春林律师注意到,网络安全培训不仅是企业的一项重要的合规义务,而且还是相关网络安全责任事件发生时,企业是否要为员工/用户行为承担行政/刑事责任的一项重要的免责抗辩事由。
1.雀巢员工等侵犯公民个人信息犯罪案的合规启示
在雀巢员工等侵犯公民个人信息犯罪一案【(2017)甘01刑终89号】中,雀巢几名员工为了销售雀巢公司产品,从医院护士手上非法购买部分公民个人信息上万条,最终案发。该案中,雀巢几名员工的辩护人均认为应当定单位犯罪,成为本案的主要争议焦点。但一审、二审法院均未认定单位犯罪,即雀巢公司不承担刑事责任,理由主要为:
(1) 雀巢公司政策、员工行为规范等禁止员工以非法方式收集消费者个人信息;
(2) 对于第(1)款规定要求,雀巢公司要求所有营养专员接受培训并签署承诺函。
本案对于企业开展网络安全合规建设具有重要的借鉴意义,凸显了企业开展网络安全培训的重要价值。
2.近期监管执法案件的合规启示
汇业黄春林律师注意到,近期社会广泛关注的支付宝年度账单事件、万豪事件中,两家企业在被当地网信办约谈后的整改声明中,无一例外的强调了内部网络安全培训的重要性,并承诺持续开展内部员工的网络安全培训。
在万豪2018年1月17日的集团公开声明中,提出了八项整改措施,其中两项涉及网络安全培训,例如“我们还将定期向中国员工进行网络安全及网络信息方面的法律培训”。
此外,全国人大关于一法一决定的执法检查报告中,也重点指出了企业开展网络安全培训的必要性和存在的问题。
三、哪些企业必须开展网络安全培训
是否是所有的企业都应当按照《网络安全法》及其配套制度的规定开展网络安全合规,这个问题是困扰很多企业开展网络安全合规建设的一个重要问题。
法律层面,不同的法律规定的企业主体不同。《网络安全法》规定的是“网络运营者”,工信部24号令规定的是“电信业务经营者、互联网信息服务提供者”,公安部33号令使用的是“互联单位、接入单位及使用计算机信息网络国际联网的法人和其他组织”,《个人信息安全规范》使用的是“个人信息控制者”……。
汇业黄春林律师注意到,法律层面关于哪些企业会被落入到《网络安全法》及其配套制度的合规主体,单一的规定并不明确或者存在一定的争议,但在实践中,具体执法部门的认定标准还是相当广泛的。
四、企业如何开展网络安全培训工作
每个企业所处的行业及规模不同,网络架构及对网络的依赖程度不同,以及使用用户信息的场景不同,面向的客户人群不同,其应当开展的网络安全合规及网络安全培训也存在一定的差距。大体来看,应当包括但不限于:
1.制作培训教材
应当根据具体的商业模式及网络架构,面向内部员工及用户(客户)制作不同的培训教材,具体内容应当涵盖网络安全法律法规、内部管理规范及指引、个人信息保护、应急预案,等等。
培训教材可以采取文字形式,也可以采取更加灵活、生动的多媒体方式。
2.培训实施
培训可以通过现场会议的方式,也可以通过网络视音频的方式,还可以通过文件下发学习的方式。
可以内部组织培训,也可以聘请外部律师、专业人士开展。
3.培训记录及留档
企业应当强化培训记录,并做好培训留档工作,以用于未来可能的执法检查或网络安全责任事件的抗辩。
