新形势下网络安全挑战与应对策略_胡立基.pdf

1、47封面报道 COVER STORY随着科技社会的日益发展，信息化建设已备受企业关注，伴随着互联网行业兴起和数字化应用的增长，网络安全的重要性已经逐渐突显。网络安全已经从以往的辅助性议题逐渐独立成为一个热门议题，换言之，网络安全议题的角色已经从辅助走向台前。谈到网络安全，必须要结合近几年来乃至最近几个月的全球数字化发展的情况。伴随各机构的数字化转型，数字化应用在经济生活中的深入，保护网络系统的数据已成为网络安全的首要任务。以大湾区的数字化建设为例，粤港澳大湾区产业数字化结构不断升级，逐渐成为驱动粤港澳大湾区数字经济发展的主要动力。信息消费规模和电子商务交易额更是居全国首位，跨境电子商务交易量占

2、全国近七成，移动支付占全国三成。近年来，粤港澳大湾区电商物流企业开拓了许多跨境电商服务新领域，如跨境支付服务、海外仓服务、跨境电商语言服务、跨境数据服务等。在跨境电商活动全生命周期流程中，海关等政府部门、境内外消费者、跨境电商企业、平台企业、境内服务商等主体在线上及线下场景深度交织，形成诸多主体之间的数据交互关系。通过大数据、云计算等智能基础设施的建设，把握每个物流环节的信息数字化并实现线上连接，推动物流过程透明化，帮助大湾区电商物流企业有效实现提质增效降本，使跨境电商与大数据时代物流共同发展。新形势下网络安全挑战与应对策略伴随着互联网行业兴起和数字化应用的增长，网络安全的重要性已经逐渐突显，

3、网络安全已经从以往的辅助性议题逐渐独立成为一个热门议题文/胡立基48封面报道 COVER STORY企业面临的挑战大湾区一系列的规划与措施无疑对企业在合法合规的情况下打造数字化竞争力有重大利好。然而，企业在享受便利的同时，也将面临更大的挑战。从法律层面来说，粤港澳大湾区实际涉及三个不同的司法管辖区，三地对于网络安全、隐私保护、跨境信息传输，乃至各专业领域如医疗卫生、金融服务等均有不同的法律法规。法律法规的差异与业务在三个司法管辖区的交叉开展，使企业时刻在数据安全合规的压力下开展业务。在网络安全方面，内地已制定 中华人民共和国网络安全法（以下简称“内地的 网络安全法”）中华人民共和国数据安全法与

4、 中华人民共和国网络安全审查办法 以及相关的实施细则，澳门已制定 网络安全法等，香港目前正在为制定网络安全法进行准备工作，计划就立法进行公众咨询。对比其他两地，内地法律对网络运行者、关键信息基础设施运营者及开展数据处理活动等的定义较广，企业需要根据自身业务情况，分析需要满足的具体合规要求。同时，内地“关键信息基础设施运营者”与澳门“关键基础设施营运者”定义有所不同，其分别承担的网络安全责任也有所不同，企业应当注意分辨。在隐私保护方面，三地目前都已制定较全面和完善的保护要求，内地已制定中华人民共和国个人信息保护法（以下简称 个人信息保护法）等一系列的配套法律法规和相关指南，香港已制定个人资料（私

5、隐）条例 及香港个人资料私隐专员公署的相关核准实务守则和指引等，澳门已制定了 个人资料保护法 及澳门个人资料保护办公室所制定法规对数据本地化有具体的要求，而香港的 个人资料（私隐）条例 及澳门的个人资料保护法 和 网络安全法 均没有明文数据本地化要求。第二，对于跨境传输，内地的 网络安全法 和 个人信息保护法 等法律法规对跨境传输的条件进行了规定，包括通过安全评估、个人信息保护认证、按标准合同与境外接收方订立合同等。香港的个人资料（私隐）条例 对跨境转移个人信息有相关规定，但该规定尚未实施。澳门的 个人资料保护法 和 网络安全法 对跨境传输有作出部分规定，且列明了例外的情况。为满足网络安全应在

6、哪些方面投入建设面对网络安全和隐私保护的法律交叉以及冲突复杂的法律环境，企业需要具备充分的网络安全合规能力，否则将难以应对与业务交融的各类网络安全与合规问题。良好的网络安全合规能力包括：（一）自上而下的安全合规文化建立自上而下的安全合规文化，才能确保安全合规制定在企业内部有效执行。这要求包括企业管理层、业务主管在内的上下全员能够准确认识到网络安全和隐私合规的重要性，但许多企业目前难以建立自上而下的安全合规文化，原因包括：第一，部分管理层合规意识不足，未能充分了解数字化转型中网络安全和隐私保护的重要性，仍将网络安全和隐私保护看作是企业普通合规事项、信息技术（IT）内部控制事项。第二，部分企业仍然

7、将安全合规与IT捆绑，然而在数字化变革下，安全合规问题已不是简单的IT问题。企业关键部门和董事会对安全合规信任不足或理解的各项指引。三地法律法规要求既有相似的地方，又有不同地方，其中包括：第一，对于敏感个人信息和自动化决策的定义略有不同，内地和澳门地区对处理敏感个人信息以及自动化决策有较为详细的合规要求，香港个人资料（私隐）条例 中没有明确条文规定，但私隐专员公署有一系列的核准实务守则和相关指引。第二，对境外处理个人信息有着不同的规定，内地的个人信息保护法除适用于在中华人民共和国境内处理自然人个人信息的活动外，更适用特定情况下的境外处理中华人民共和国境内自然人个人信息的活动。香港的 个人资料（

8、私隐）条例适用于任何在香港或从香港负责个人资料收集、持有、处理或使用的资料使用者，个别情况下可以向非港人服务提供者进行执法。澳门的 个人资料保护法 则没有明文境外适用条文，但适用于全部或部分以自动化方法对个人信息的处理、以非自动化方法对存于或将存于人手操作的数据库内的个人信息的处理等情形。第三，对收集、使用、处理个人信息及个人信息权限有着不同的要求，内地的个人信息保护法 进一步规定了各个必须取得个人单独同意的情形。香港的 个人资料（私隐）条例包含了在多个不同的情形下需要不同类型的同意的要求。澳门的 个人资料保护法 明确了处理个人资料、处理敏感资料、披露或传播全部或部分个人资料、转移个人资料至境

9、外等需要获明确同意的情况。而在跨境方面，三地的法律法规的要求也存在不同，其中包括：第一，对于数据本地化，内地的 网络安全法 和 个人信息保护法等法律49封面报道 COVER STORY不足，安全合规沟通存在障碍，难以实现跨业务部门合作，安全合规不可避免地被其他业务职能和业务领域绕过。第三，部分企业缺少全面的安全合规培训，目前对于员工的培训主要还是局限在与工作岗位相关的工作内容和技能的培训，并未涉及安全合规培训，只有较少管理层目前开展过安全合规和建设的培训。（二）完备的组织架构完备的网络安全组织架构是开展安全合规工作的基石。贯穿企业的网络安全组织架构，能够有效打通管理、IT、业务等部门的沟通屏障

10、，最大限度地调动员工从事网络安全和隐私合规工作的能动性和积极性。部分企业目前难以形成完备、有效的组织架构的主要原因包括：第一，部分企业对安全合规的认知仍然处于原始状态，认为涉及法律法规相关的问题就得“一刀切”地交给法务部门。实际上，安全合规同时涉及管理、IT、业务、内控等部门，单靠法务部门难以覆盖安全合规的方方面面，并不能很好地处理所有问题，反而增加了合规隐患。第二，部分企业虽然设立了网络安全组织架构，但是在实际的运作中，未能很好地将合规工作职责在不同部门之间进行区分，导致安全合规的工作无法有效地落地执行（三）完善的合规管理框架和运行机制健全的合规管理框架和运行机制，是企业推动网络安全和隐私合

11、规管理的先决条件，在此基础上才能够确保工作开展有据可依，管理责任落实到人。部分企业难以建立完善的合规管理框架和运行机制，主要原因包括：第一，部分企业管理层及员工安全合规意识不足，组织架构不成熟，缺少相应的人力资源，现实条件难以支持建立完善的合规管理框架和运行机制。第二，在三地数据安全和隐私保护的法律交叉背景下，想要将不同的合规要求融入现有的安全管理框架和运行机制当中，存在一定难度。（四）全面的网络安全和隐私合规能力具备全面的网络安全和隐私合规能力，才能确保安全合规制度的全面执行。部分企业难以建立全面合规能力的主要原因包括：第一，作为安全合规建设中比较重要的环节，隐私保护在企业内部缺少体系支撑，

12、从制度层面难以满足合规要求，无从指导工作的落地执行。第二，部分企业已建立合规体系，但在组织架构、人力资源等方面难以提供支持，导致相关的流程和机制无法有效落地。对于企业来说，由于种种的客观因素限制，当前的合规应对能力难以应对数字化发展带来的新挑战，如何在合理配置资源的前提下，建立有效的数据安全合规体系，将成为企业的痛点。总而言之，在面临网络安全和合规风险的同时，建议企业从以下几个方面提升和加强网络安全和合规能力：第一，应对不同的法律法规，建立一套精准的合规标准方案，能够覆盖隐私保护和跨境的内容，切实执行并应对和遵从监管机构的要求。第二，全面提升合规能力，包括改善组织架构、优化制度流程、明确职责分工、把控出境后风险、提升隐私保护能力等内容。第三，构建完善的网络安全管理能力，防范与应对各类安全威胁。第四，加强网络安全防护能力，建立良好的网络韧性基础。作者 系澳洲会计师公会华南 区委员贯穿企业的网络安全组织架构，能够有效打通管理、IT、业务等部门的沟通屏障，最大限度地调动员工从事网络安全和隐私合规工作的能动性和积极性。