拥抱还是紧紧拥抱 《网络安全法》对律师的法律服务影响几何？

2017年第06期    作者:文字整理 王希    阅读 12,635 次

主持人： 陈   巍  上海律协互联网业务研究委员会主任、上海市通力律师事务所合伙人

嘉   宾： 吴卫明  上海律协互联网业务研究委员会副主任、上海市锦天城律师事务所合伙人

              卫   新  上海律协对外宣传与联络委员会委员、融资租赁业务研究委员会委员、上海星瀚律师事务所主任

              杨   迅  香港西盟斯律师事务所驻上海代表处顾问律师

             黄春林  上海律协互联网业务研究委员会委员、上海市汇业律师事务所合伙人

文字整理：王   希

 

陈巍：首先非常感谢今天四位来自律师行业的专家和嘉宾，今天我们在上海市律师协会讨论当下法律领域的热点话题：网络安全法及其对法律服务、律师从业的影响。2017年6月1日《网络安全法》正式施行，从去年11月份颁布到今年6月施行,半年时间，市场已经就此进行了热议.今天请到的四位嘉宾背景也是丰富多彩，既有来自中资事务所，也有来自外资事务所，各位在网络安全法律领域也有不同的建树，我们可以从多个角度来一起做个交流，也希望今天的咖吧交流可以给到同仁们一定启发和借鉴。首先第一个问题想要探讨一下，网络安全法作为一部行业内的基本法，各位嘉宾如何看待网络安全法在我们律师执业中的重要性？律师在具体执业中存在哪些机遇和挑战？

吴卫明：谢谢主持人。网络安全法对于律师来说最大价值是拓展了一个全新的法律服务领域，网络世界在虚拟空间打开一个新的领域。长期以来这个新领域我们只看到其中的社会价值、商业价值，但是对于网络空间的法律规则，我们研究或者关注是不够的，在这一领域，我们律师有时候也缺乏必要的法律工具和法律武器为我们的客户提供优质的法律服务。我的理解，《网络安全法》不是一部信息安全的法律，其实是一部网络空间的基本法，包括了对信息安全的保护、数据安全的保护等基本规则，对数据的跨境流通、国家数据战略安全也提出了非常高的要求。在这些领域，我们可以为客户提供更加具体的、更加有操作性的指导和建议。

陈巍：所以律师具体执业中更有法可依了，请卫新律师谈谈看法。

 

卫新：我觉得《网络安全法》的施行对青年律师来说是一个巨大的机遇。以前，我们的立法基础和法律背景都是基于传统的物理空间。换言之，是在传统的社会运行方式下所产生的。但如今，社会结构正在发生调整，我们讲信息化社会已经讲了很多年，这次《网络安全法》其实是一个网络空间的基本法，创造了“新世界”中的规则。接下来，肯定还有大量的配套规则出台，这和社会变迁密不可分。年轻律师对新事物的掌握更多，更了解网络，甚至有些90后的律师长期“生活”于网络世界，《网络安全法》对他执业的空间、范围、技术手段都会产生巨大影响，对青年律师来说可能会形成一定的技术优势，进而或会发生律师界的迭代。

 

杨迅：刚刚两位律师讲到，《网络安全法》的施行为律师执业带来的机遇，我也完全同意。但另一方面，《网络安全法》也给律师执业带来了以下两个方面的挑战：一个是执业内容上的挑战，一个是执业形式上的挑战。从内容上说，律师不仅面对了一个新的法律领域，而且律师在处理传统的法律业务的时候也会涉及到网络安全的问题。比如说并购业务，如果被收购企业有很大一部分信息资产，我们就要考虑到这些信息资产能不能被合法收购；处理一些跨境的技术合作的时候，如果涉及临床试验数据，就需要考虑这些信息能不能用于与境外机构的合作，能不能被传输到境外。对律师的执业形式来说，律师要去做市场推广的时候，传统上我们收集了客户名片，就按名片上的邮箱地址发news letter了。现在我们要考虑收集名片是否代表那些名片持有人是同意我们给他发这些带有广告性质的推广活动。此外，我们从事某些法律服务时，要考虑客户数据传输和存储问题，比如FCPA调查、或者企业内部调查、尽职调查时，要考虑，我们搜集这些被调查公司的信息能否传输到境外服务器上，还是我只能留存在中国境内，哪些人是能告诉、哪些人是不能告诉的，这也就是《网络安全法》实施给我们带来的一些需要思考的问题。

 

陈巍：杨律师重点提到，《网络安全法》施行后，我们在从事跨境或者涉外法律服务时需考虑更为全面的涉网络安全法律问题。黄春林律师对此有何看法？

 

黄春林：大家都在谈“网安法”实施后带给我们的机遇。春江水暖鸭先知，大家看到最近各个大所的公众号，都在发一些““网安法””有关的文章，似乎大家都很看好这块蛋糕。

具体为什么会觉得这会是个机遇，我的体会是最近一系列“网安法”律实施后的三个变化：政策法律化、法律体系化、风险刑事化。这给企业的网络安全合规带来了一个硬需求，原来大家都知道头上悬把剑但是没有掉下来，现在这把剑通过这三个变化落地了，所以对我们的业务来说是一个机遇。

就挑战来说，我理解主要有两个，第一个挑战是多头监管带来的规范碎片化。我们看整个互联网监管这块有多个部门介入，常规的包括网信办、工信部以及公安部。如果说落实到具体的领域去，例如网络游戏还涉及新闻出版广电总局和文化部，互联网金融还涉及人民银行、银监会等，他们都从各自不同的角度出台了一些监管规定。这种规范碎片化给我们带来的挑战是我们法律服务时需要更加谨慎，基础的法律调研工作可能会更加复杂。第二个挑战是互联网立法比较滞后，条文内容比较原则。这就给律师理解和适用法律带来极大的挑战，就像我们等会儿会讲到数据出境规则，往往需要我们综合用到逻辑解释、目的解释、历史解释等多种法律解释方法，才能准确地把握法条背后的价值取向，提高法律理解的准确性。

 

陈巍：黄律师刚提到，明晰的规则催生了我们法律服务的更大空间，也提示我们需要关注法律服务中更多的知识点，同时这些挑战也可能成为我们执业中遇到的风险。网络安全问题和每个人休戚相关，近期发生的全球病毒事件、知名快递企业之间以保护用户信息安全为抓手的交涉⋯⋯法律越来越清晰， 但仍有很多问题需要进一步细化，监管部门、两高也都对此密切关注，我们作为法律从业者如何看待目前“网安法”及其配套规定当中，包括仍在征求意见、或处于送审阶段，有哪些是律师需要特别关注的？请嘉宾们和大家做一个分享。

 

杨迅：首先《网络安全法》本身和我们传统意义上法律相比有它的显著特征。第一它的用词模糊，这一点外企比较关注，我们应该认识到它主要不是旨在规范有当事人行为的立法，更大程度上它是一部授权性立法，它的目的是让政府各部门和各主管机关在各自领域上按照网络法的原则在各自管辖范围内进行网安上的立法和执法活动。所以我们在理解的时候不要拘泥于个别词句，而是要从其立法原则着眼。第二，区别于西方同一主题的立法，网络安全不仅仅涉及个体权利，而是上升到国家安全与主权层面上，所以要从国家和公共利益层面理解法律的管辖和规定。第三，当我们理解法规的时候，黄律师刚刚也提到要从一审稿、二审稿的历史演变来理解，其实我觉得可能还要从上世纪90年代初整个《网络安全法》的进程来理解。上世纪90年代已经有了关于网络结构方面的规定，“信息在中国境内留存”这个规定出现在银监会2009年和卫计委2014年的行政规章里，这些现有的法规给出了数据留存要求的出处，可以帮助客户判断以后的立法走向。

 

黄春林：前面几位律师刚刚从宏观的角度来讲，我从相对微观的角度来说。举例说“网安法”第三十七条的数据出境制度。这个制度其实不是一个新制度，原来的金融信息、网约车、互金、互联网出版等规定中都有涉及，只不过现在把它提高到了“法律”层面。这个制度出来之后受到社会广泛关注，其中还有一些非议，认为这会导致贸易壁垒，限制数据的自由流通。我们说如果大家跳出这个具体规定来看，或许有不一样的评价。

首先，这个制度有个大背景，就是早先国务院出台了一个《促进大数据发展行动纲要》中把数据提升到国家战略资源的高度，这就和石油、粮食一样。企业层面，之前业界广泛关注的顺丰和菜鸟的争议核心也就是数据的控制权，这也符合欧盟等地区的国际通行做法。所以，从战略的角度看，这个限制可以理解。

其次，这个制度也不是一刀切，也是尽可能在产业发展和网络安全之间寻找一个平衡，这个平衡体现在“网安法”第三十七条的“双重限制”制度，即原则上要求我们的数据必须在境内来存储，但同时又通过但书条款给我们安排了一个例外制度。此外，对于这个制度的适用，又通过多个限制条件限制37条的适用，首先是主体必须是CIIO，客体必须是个人信息和重要数据，其他还包括对三个地域三个行为的限定。

当然，网信办新出的评估办法意见稿存在一个越权解释的问题。“网安法”里唯一授权国务院的制度设计就是CII的认定,但是网信办通过这样一个评估办法来绕开这个制度设计，这也是评估办法受到社会广泛非议的地方，它把“网安法”第37条适用的主体限定从CIIP扩大到了ISP。

 

陈巍：确实，“网安法”第37条是现在中国企业，还有一些信息需要出境的外资企业非常关注的一条。请吴卫明律师谈一下个人感受。

 

吴卫明：我最关注的是个人信息安全（个人信息保护）和数据合理应用之间的平衡。很多企业认为数据是自己的战略资源，能带来巨大的经济价值。但企业和企业之间的信息共享，人工智能，智能投顾还是智能医疗这些领域都建立在数据的交换或数据应用的基础之上。数据的交换就可能涉及个人数据许可第三方使用的问题，这与个人信息保护存在比较直接的冲突。如何让大数据在金融、医疗、产品研发等角度真正发挥价值，又能保护公民个人信息不受侵犯，这两者之间的平衡在法律上还有非常长的路要走。无论从国家大数据行动纲要，还是从公民个人信息保护来讲，至少需要国务院法规层级以上的法律文件对什么是数据的合理许可使用有一个清晰的界定，因为个人信息保护是从民法、刑法这些位阶比较高的法律所衍生出来的原则，而数据的合理使用则缺乏高阶位的法律、法规对它进行支撑。

 

陈巍：目前我们面临数据保护有些类似于经济学中“不可能三角”: 三角形的三个点要完全达到平衡非常困难，一个是社会和经济发展中需要有大数据；第二是数据必须要流动才能产生更大价值，第三还要对信息安全进行合理保护，三者之间如何能达成一个有效的平衡状态？从实际执行中也确实存在难点，就像您刚刚说的“合理”如何来定义、“合适”如何来定义？正如吴律师提到的， 由于问题很新， 所以包括年轻律师在内的法律从业者基本在同一起跑线，这也是大家的机遇。听听卫律师的看法。

 

卫新：《网络安全法》的重点正如前面几位提到的是信息保护，具体来说，是个人信息保护和数据应用之间的平衡。我另外还关注到一个点，就是网络运营者对于公民在它的平台上发布信息的管理。最近有个热点事件，在“网安法”实施后，微博和微信封了很多大V、知名公众号，也有一批遭到禁言，这和“网安法”的实施是有关联的。过去，网络运营者为了促进平台的活跃度常常利用“避风港原则”打擦边球，而“网安法”的施行明确了运营者的义务和责任。如果你的平台有用户发布了违规信息，你知道后没有采取措施，甚至没有保存记录并及时向主管部门报告，你要承担行政法律责任。《网络安全法》还把刑法中“拒不履行信息网络安全管理义务罪”落到了实处。在传统社会之外有一个网络社会，也存在各种违法、违规事项，例如：侵犯知识产权、网络暴力等，对这些事项的处置我们原先觉得缺少抓手，更多的是从传统法律角度做延伸。这次“网安法”如此具体的规定，也传递了政府和行政主管部门的明确信号，对于互联网企业来说会面临巨大挑战。他们既要让自己的平台活跃，又要遵守“网络并不是法外之地”的规则，要实现这样的平衡，打擦边球、传播八卦、色情的平台都会无法生存，从而让生产优秀内容的企业不被不良企业驱逐，我认为这也是一大亮点。

 

陈巍：大家的发言已经非常明确， 网络空间作为地、海、空、太之外的第五空间，其安全重要性不言而喻， 律师作为法律专业的从业者，可以给我们委托人很多专业的建议。比如刚刚提到的数据跨境流通问题、“网安法”第31条关键信息基础设施的要求等等，那么实践当中哪些企业会对“网安法”特别重视、我们如何帮助合作伙伴去防范网络安全中的各种风险，各位可以给律师同仁们什么建议？

 

黄春林：这次“网安法”涉及的制度非常多，包括采购及出境安全评估制度、分级制度等等，这些制度实施后对企业的影响很大。关于我们要给客户一个什么样的建议，除开具体的建议不谈，我们说最重要的就是“合规！合规！还是合规！”。

原来在网络环境中商业道德和法律的界限没有那么清晰，但现在通过前面提到的政策法律化、法律体系化、风险刑事化的三个变化，这就要求企业开展互联网业务具有较高的合规意识，重视合规建设。无论是涉及到客户数据的跨境使用，包括境内的企业间数据合理流动。我的建议是：把住闸门，意思是在数据获取的“合法原则”、“明示原则”的基础上，做到数据结构的合理化。通过对数据合理分层，以此降低未来合规的压力。比如说，做跨境安全审查的时候我们去做申报，哪些数据是必须在跨境过程中使用的，哪些数据跟中国的国家安全或者对公民的个人信息安全不会造成实质性威胁，哪些数据可能会比较敏感。如果在第一道环节就把分层做好了，针对不同合规事项就可以做到有的放矢。

 

卫新：第一个建议，这是综合性的法律服务，不局限于某一个层面。首先，从风险控制角度来说，《网络安全法》是提示客户三种风险：第一是刑事风险，自身做得不好可能会入罪、涉刑，甚至下面的员工做得不好，会变成公司犯罪。第二是行政部分，也直接影响公司经营发展。当然，如果这两条都不构成的话，第三是普通公民也可以要求相关的民事赔偿。这就需要我们从这三个层面为客户提供相应的保障，全面预防公司的网络运营风险。第二个建议是，希望客户把网络安全的合规和风险管理嵌入到公司的方方面面。比如，与人事有关的劳动合同、员工手册、保密协议等需要调整，与业务有关的产品上线规则、产品设计规则等也要考虑“网安法”的规定。公司应该有专门的风控部门进行管理，涉及重要内容时可以征求外部律师的建议。

 

杨迅：网络安全法涉及的行业非常的多，受影响最大的应该是金融机构、健康产业（比如病人资料）、电信公司这三个行业。在这些客户中间，律师的角色不同于政府，不会要求企业要怎么做，律师给的建议是风险和收益分析。《网络安全法》给企业规定了很多义务，作为律师要分析的是哪些义务是马上要做的、是成本最小、见效最快、对企业形象影响最大的。很多跨国公司的服务器可能架设在全球各地，一项业务也是全球在做的，一项制度要从中国上升到总部可能是非常花费人力物力，不可能一蹴而就，作为律师就是帮他分析，那么多业务里，结合其商业模式，哪些是应当马上去做的。

 

陈巍：对于大型企业、互联网企业来说风险控制确实是很重要，如果不能给到很好的建议， 合作伙伴会觉得律师的法律服务不够接地气，至少不符合本企业的特定情况。由此我们延伸出一个新的话题，律师的合作伙伴遍布三百六十行，很多行业都与网络有关联，即使是传统企业， 也可能在转型中需要掌握用户数据以便更精准地给客户提供产品、服务。同时， 律师的个人专业领域也各不相同， 律师如何在自身从事的细分法律服务和不同行业企业对于网络安全合规管理的需求之间搭建一个桥梁？我们四位嘉宾，有从事互联网金融法律领域的，有从事TMT法律业务......请大家从各自的专业角度，给律师同仁们一些建议。

 

吴卫明：我做金融领域相对多一些，最近两年的趋势一个是所谓的智能投顾（智能化金融），另一个是金融风控领域采取了大数据模型，包括贷款的审核等。这些领域依赖的都是客户数据，通过一系列的数据对客户进行精准定位、精准画像。但实际上很多项目可能存在一些问题。比如综合型的金融集团，有很多端口能获得用户数据，并且在集团内部实现数据共享，按照《网络安全法》的原则，一个法律主体和其他法律主体获得的个人信息是不能直接互用的。这种情况下我们的建议是：需要客户给予清晰而明确的授权，以此来保障关联方相互之间数据使用的合法性。

 

卫新：如今有不少金融科技类公司，合规是这类公司赖以生存的底线。原来的合规要点在于判断是否构成非法集资、非法经营，现在还有《网络安全法》层面的合规，企业要注意信息的保护和数据的应用。有些企业认为政策还未落地，相关的配套要看同行怎么做，在这个过程中，律师可以就法规的普及和意识的传导发挥作用。此外，金融企业和互联网企业员工在销售产品的过程中很有可能用到个人信息，对企业而言，其既是个人信息的管理者，同时也是个人信息的使用者，其中有不少企业认为，他们如果不购买个人信息名录，就无法在行业里继续生存，这时如何给到企业建议和方案，就是律师的工作。对企业家而言，他们既关心风险，也关心收益，不可能因为“网安法”的出台就完全抛弃原有的成熟业务，律师能否结合法规的推进进程设计一套应急机制？我认为这些都是非常现实的需求。

 

杨迅：除了刚才两位讲到的金融机构之外，我自己的业务做得更多的是生命健康方面。对他们来说病人的个人信息是非常重要的资产，但在收集、处理信息的时候却有一个很大的挑战，对于我们律师来说不仅仅是审核文件，还要了解、分析和风险评估整个产业链。通常一个行业在收集病人信息的时候都会要求个人签署一个知情同意书，但对于药企来说他有困难，从医药合规方面来说医药代表是不能进医院和病人直接接触的，知情同意书没有办法直接送到病人手里。信息的使用方面来说，医药企业收集信息有多方面用途，市场人员要分析哪些人群、哪些医院是需要这个药品的；从研究角度来说，研发人员要掌握大量病人的使用状况信息来研发新药品或者对现有药品进行改进；从医药合规角度来说，不良反应有上报义务，不仅是上报给中国，甚至要到全球，这些信息一旦收集到企业如何去分配到各部门披露范围是多少、是否有这样的专业知识去做这个决定。第三，信息能留存多长时间，留存目的影响到留存时间，有些是长期的，有些是法律规定的，如果把这些期限放入一目了然的考量里面去。第四，医药企业通常并不是经销企业，没有能力做代理和后台服务，如何保障病人个人对他的个人信息有一个直接的接触通道，或者说把自己一部分业务外包给别的企业的时候如何保证分包商的服务标准达到跟企业同样的个人企业标准。第五，对于跨国药企，它的IT结构和研发结构都是全球性的，服务器也许在新加坡，总部也许在美国，对于将来的业务来说，尤其当企业提供远程医疗这个产品，服务器结构应该怎么架设，这些都需要律师给到企业一个积极的建议，律师不仅仅是告诉他法律要求你怎么做，而是要和企业的技术人员、商业人员一起探讨出具一个综合的方案。

 

黄春林：前面几位从具体的产业领域谈，我的客户主要是互联网行业的，像网络游戏、电子商务、传统企业互联网化过程中遇到的一些问题，我们给企业提供的服务主要有：（1）法律审计，新的法规、政策出来之后有哪些法律方面的合规要求，帮整个企业的业务进行一下梳理、诊断，到底有哪些问题、如何去解决。（2）市场准入法律服务，因为“网安法”和“刑法”都有提到“违反国家法律、法规”，准入制度本身就是国家法律、法规的一部分。（3）产品交易结构合规，例如客户有一个积分联盟的项目，航空公司要和国外的航空公司建立积分联盟的产品，这时候就涉及到数据跨境转移问题，是否会触发安全评估的问题，怎么去解决这个问题。（4）知识更新，我们要走在风险前面。例如工信部《关于互联网企业上线新业务的安全评估办法》出来之后，要告诉客户这个规定对客户到底有没有影响，客户正在开展的业务属不属于“新业务”，客户要有个提前准备的时间；另一方面还会做一个普法的更新，我们有一个客户是做商业WI-FI的，那他可能会根据商户要求收集一些数据、信息，我们要给客户的员工做一个普法的更新，让员工不要去触碰制度红线。

 

陈巍：非常感谢各位嘉宾无保留的分享，今天咖吧的讨论接近尾声，最后请嘉宾给希望从事相关业务的同仁们一些切实可行的建议，大家如何系统性培养这方面的执业能力？

 

卫新：这是一个关于全新空间的法律，同行不要觉得我以前不是做互联网相关业务的，这个事情跟我就没有关系。“网安法”出来之后会产生综合性的影响，我建议律师事务所里方方面面的律师都要学习“网安法”，再结合自己的专业发现可能存在的问题、提出配套的解决方案，这些解决方案可以整合成一项产品给到客户，这个产品既是创新，但也不脱离传统业务。也可以此为契机形成律所合力，共同学习，共同拓展。

 

杨迅：对网络安全法律业务来讲有两点可以建议，第一这不仅仅是一个法律问题，很大程度上要从法理学、法哲学的角度来思考，因为这是一部具有前瞻性的法律，需要从历史解释、社会解释各方面角度用法理学的思维看待《网络安全法》；另一方面，《网络安全法》不仅仅是法律问题，同时也是商务问题、技术问题，我们不仅要从律师角度来想，也要综合商务的综合角度给出建议和方案。

 

黄春林：这点作为年轻人，我深有体会。开拓一个新业务领域，从零到一非常难。我的建议是“更新！更新！还是更新！”，不断地更新自己的专业、行业知识储备。互联网行业发展很快，整个产业都是一个与时间赛跑的行业。我一直坚持一个理念，做业务就像学习游泳一样，不会游泳的时候就把头埋在水里，拼命地划水。当有一天抬起头，你会发现自己能浮在水面上了。

 

吴卫明：同行不要把《网络安全法》理解成传统中说的某一个具体的服务领域，而应当作为当前法律服务环境下的基础性的方法。现在几乎找不着一个企业不是网络运营者，连律师事务所自己本身都可以被界定为网络运营者。作为律师,我的建议是：学好《网络安全法》，用好《网络安全法》。

 

陈巍：非常感谢各位嘉宾的建议和分享，今天法律咖吧的讨论非常圆满，作为一个参与者，我也收获颇多。网络安全是具有极强融合性的话题，对律师而言，已经不是需不需要重视的问题，而是应该如何更加重视——拥抱或者是更加紧密地拥抱。后续上海市律师协会互联网业务研究委员会还会邀请更多行业专家、各个领域的律师都参与进来与大家分享。非常感谢上海市律师协会给律师同仁这样一个交流的平台， 也再次感谢各位嘉宾的积极参与。

（本文内容根据录音整理，系嘉宾个人观点）