网络安全法的合规投入是一种投资(2)

第二个要回答的问题是，公司网络安全法的实施与合规是谁的责任?是IT安全部、法务部合规还是管理层合规?还是从上到下的全员都要合规?

不管中资还是外资企业，合规做得好的企业都有其共同特点，那就是法律合规不仅是法务和合规部门的事情，而是企业文化从上到下都比较具有守法意识，尊重法律与合规的专业性。网络安全法对安全负责人设定了个人责任和市场禁入制度，在网络安全法的实施合规问题上，安全技术层面的问题当然要IT部门或者专门的安全部门负责，法律和管理也必须有专业力量同步跟上，否则单凭软硬件无法确保安全。最近京东发布消息披露了违法人员通过应聘进入企业的方式非法获取个人信息，这种内外勾结的威胁尤其凸显了确保网络安全必须技术、法律与管理多管齐下，通力合作。

对于公司来说，要形成重视安全的文化，把网络与信息安全当成一件需要全员通力协作的事，比如对于预防黑客人员混入企业信息安全部门，就需要企业人力资源部门协助做好安全人员招聘的背景审查。这样才能避免如今信息到处泛滥和滥用的严重局面。

根据从网络安全行业协会了解的资料，我国网络安全方面的企业采购金额占企业采购总金额的比例大概只有3%，而美国在20%~25%，欧盟的企业则在15%左右。两相对比，相差悬殊。退一步说，个人信息逐渐成为全球互联网管理的新抓手，就算我国的网络安全执法不动手，在网络无边界的今天，恐怕我国的一些主要互联网企业也难逃美欧执法机关的严厉审查。

我们做知识产权的律师，大家都在争夺外企客户，因为外企比较重视知识产权和专业劳动，也愿意为专业服务付费。而很多中国本土企业，哪怕是顶级大企业，很多法律事务都是企业法务部门自行处理，外包本来就不多，就算有一部分外部业务，也很少按照市场价格采购，而是仗着自己是大企业拼命压价。一旦出了事情，许多企业第一反应往往不是专业应对，而是怎么去找关系。守法的确成本很高，但长远看，能经得起风浪。

所以说，虽然合法合规的确要付出成本，但合规与违规，到底谁是“小聪明”谁是“大智慧”，值得企业在网络安全法合规投入的决策过程中深入思考。

(作者系上海段和段律师事务所合伙人)