企業信息安全法律治理

摘要：企業信息安全法律治理可有效保障國家網絡與信息安全，捍衛個人權益，促進產業在“安全”中得以“發展”。我國相關立法中規定的企業安全保護義務多為靜態性、措施性的管理性義務，不足以防御多變的安全風險;企業安全法規遵從激勵機制缺失，合規動力不足;企業信息安全文化的普及力度欠缺。解決以上難題，應基于“法律治理”思維，將“法人治理”定位為企業信息安全法律治理的重心。在制度設計層面，適當借鑒美國企業信息安全法律治理在立法監管與企業自治中的有益經驗，以信息安全法律治理的基本原則為指引，充分發揮立法激勵作用，鼓勵所有企業建立強制與自愿相結合的信息安全“法人治理”結構，對企業董事、高官人員的信息安全義務之履行予以充分重視，增強企業信息安全文化建設，凸顯安全文化的價值。

關鍵詞：法律治理;協同治理;信息安全義務;信息安全法人治理

中圖分類號：D922.291.91

文獻標志碼：A

文章編號：1008-5831（2020）05-0143-13

以云計算、大數據等為驅動的新技術在引領企業向智慧企業轉型的同時也打開了安全威脅的潘多拉魔盒：一方面，針對國家關鍵信息基礎設施的持續性大規模網絡攻擊、企業系統漏洞、數據泄露等安全威脅呈現升級化態勢;另一方面，因歐美網絡與信息安全立法變革浪潮沖擊、跨國IT企業合規僵局、貿易大戰與地緣政治安全的復雜結構相交織，進一步加劇了我國信息安全的嚴峻態勢。我國《網絡安全法》將網絡運營者定位為“協同治理”的中堅力量，并為其量身設定了安全義務體系。在此背景下，我國亟需以《網絡安全法》的安全“保障法”定位為指引，在謹慎權衡“安全”與“發展”的基礎上，積極探索中國本土化的企業信息安全法律治理之道，以提升《網絡安全法》執法和企業合規的有效性，最大化企業在國家信息安全保障中的能量。

一、企業信息安全法律治理的提出

（一）企業信息安全法律治理之內涵解析：基于“治理”理論視角

“法律治理（Legal Governance）”的理論根基深植于“治理（Governance）”理論。“治理”理論源于西方，流派眾多且各具差異，但對“治理”的核心要素即主體多元、平等、協作、共贏等存在共識。全球化趨勢使帶有工具理性特征的治理理論與法律相結合，在不同國家被重塑與本地化，領域多涉及國家、社會、城市、公司、網絡等。新中國成立以來，中國法制建設開啟了從管理邁向“法律治理”的革命性變革，對“法律治理”的倚重亦是國家治理能力現代化的標志。“法律治理”是指依據國家權力機關依法律程序制定的法律規則，政府、社會、市場等存在利益分化的多元主體通過合作、協調與互動的方式，實現共同利益與促進社會發展目標。我國學界亦認識到，“與高度復雜性和高度不確定性的時代相適應的社會治理模式應當是一種合作行動模式，只有多元社會治理主體在合作的意愿下共同開展社會治理活動，才能解決已出現的各種各樣的社會問題”。

當我國從工業社會邁入網絡與數字化社會，安全與發展成為基本的時代訴求。得益于治理理論對網絡與信息安全立法的滋養，“協同治理”成為有效應對網絡安全威脅的核心理念。“協同治理”是指處于同一治理網絡中的多元主體間通過協調合作，形成彼此嚙合、相互依存、共同行動、共擔風險的局面，產生有序的治理結構，以促進公共利益的實現，其強調不同主體間合作的匹配性、動態性、有序性與有效性。我國《網絡安全法》將“協同治理”定位為基本原則，其智慧在于：一是強調了安全治理應立足于政府的規范、引導與監督，政府決策應建立在統籌考慮、利益平衡的基礎之上;二是強調應發揮政府、企業、社會團體及公民在內的多元主體參與，鼓勵多元主體責任分擔、協同合力，避免傳統“善政”思維對政府責任的無限放大。

企業信息安全法律治理的提出是對“協同治理”理念的踐行，其制度內涵包括：一是政府應不斷優化網絡與信息安全相關立法規范，提升立法技術，發揮“硬法”與“軟法”的各自優勢，為企業信息安全治理創造良好的外部法治環境;二是立法應引導和激勵企業充分發揮“協同治理”的作用，將企業信息安全法人治理作為“重心”。在所有企業中建立自愿與強制相結合的信息安全法人治理結構，明確企業高管之信息安全義務，促進法人治理與安全文化相交融。

立法監管與企業法人治理是企業信息安全法律治理的有機組成部分，兩者相輔相依。企業信息安全法律治理應立足于立法的引導、監督與鼓勵，可分別通過設定指引性與禁止性法律規則為企業信息安全自治設定法定“基線”與違法“紅線”，設定激勵性規則鼓勵企業守法與合規。企業應以法律原則、規則為治理依據，根據風險變化靈活優化企業法人治理結構，最終在政府與企業“二元”治理的有機互動中保障信息在處理、存儲及流轉中的完整性、機密性與可用性。

（二）企業信息安全法律治理的制度價值

企業信息安全法律治理憑借蘊含價值理性和道德判斷的法律的介入，用法律權威將安全義務歸化到企業，從而實現以下制度價值。

1.有效保障國家網絡與信息安全，維護公共利益

網絡安全現已對國家安全產生了全面的顛覆性影響，成為國家安全競爭的最前沿領域和國家安全變革的最難以預測的因素。威脅國家網絡安全因素復雜多樣，黑客攻擊與數據泄露最為典型。大規模、高級可持續性攻擊的目標正在從傳統的IT系統轉向石油、天然氣、航空運輸等關鍵行業的工業控制系統。關鍵信息基礎設施運營者向社會公眾提供的產品及服務具有公共產品屬性，其安全防范中的弱項可能成為黑客攻擊的“短板”，從法律治理的高度去應對企業安全難題則是較為有效的手段。

2.有效保障個人信息安全，捍衛個人權益

個人信息蘊含財產利益與人格尊嚴，我國立法將其視為基本民事權利。個人信息泄露常規路徑有三種：（1）內部人員非法盜取、轉賣;（2）企業在非授權范圍內利用與經營用戶信息;（3）惡意程序利用網絡漏洞非法入侵數據庫進而盜取、劫持個人信息。隨著電子商務與社交平臺邁入鼎盛時期，海量用戶數據被企業抓取、整合、分析、畫像，嚴重危及個人權益。很多人將數據泄露的“原罪”歸于個人信息立法的不完備，而忽視了立法并未真正映射、內生于企業治理層面是數據泄露有增無減的內因。

3.促進產業在“安全”中得以“發展”

在信息化時代，很多企業（尤其是發展中國家企業）的信息安全治理水平令人憂慮。只有在解決安全問題的前提下，企業發展才能沒有后顧之憂。從合規角度，歐美網絡安全及數據保護立法變革給企業亦帶來考驗，如何進行安全合規、降低戰略運營風險已成為大型企業走出國門時應考慮的問題。法規遵從并非結果，而是一個持續漸進的過程。建立內生于企業、業務流程及產品設計相融的安全治理機制才能促進產業在“安全”中得以“發展”。

二、我國企業信息安全法律治理：問題檢視及治理“重心”的定位

（一）我國企業信息安全義務的法律淵源

法的淵源是指由不同國家機關制定、認可和變動的，具有不同法的效力或地位的各種法的形式。我國企業信息安全義務來源于三層面：一是《網絡安全法》（簡稱“網安法”）及其配套的下位法;二是網絡安全等級保護制度;三是相關國家標準及行業標準。網安法及相關配套性制度是我國企業信息安全義務的主要法律淵源，相關國家標準與行業性標準為網安法確立的安全義務提供了更為具體的實施依據。

（二）我國企業信息安全法律治理在立法實踐中存在的問題檢視：基于網安法“保障法”定位展開

網安法是國家網絡與信息安全治理的基礎性“保障法”。網安法頒布近3年來，國家層面和地方政府機構都開始專項檢查和執法行動，從“執法第一案”進入執法常態化。從網安法的“保障法”定位去檢視立法制度以及執法效果，仍存在一些問題。

1.企業安全義務多為靜態性、具體措施性的管理性義務，而非內生于企業“治理”層面的義務

網安法明確了網絡運營者的安全義務體系，其建構在實體性法律規范的基礎上，并附加一些履行不能的法律責任，但仍暴露出一些問題：其一，網安法對網絡運營者的諸多義務性規定多由政府主導自上而下施加，并通過國家、行業標準規定非常具體的措施性要求作為義務的主要內容，然后通過行政處罰等手段強制要求管理對象合規。而傳統法律理論認為，過多禁止性法律規范會造成“管理型”立法而非“治理型”立法，減損執法效果。網安法及其下位法在規則設計時偏重于以技術性措施與管理性手段防控企業安全風險，以行政處罰手段震懾企業逾越法律“紅線”的規制思路，易導致企業負責人以“不出事”的“管理”式思維被動合規，影響執法效果。其二，網安法設定的企業安全保護義務多為靜態性、具體措施性的義務，缺乏對內生于企業的治理層面的義務的宏觀考量，不足以應對多變的網絡安全風險。如網安法第10條、第21條、第34條、第42條詳細規定了網絡運營者在保障網絡數據三性、等級保護、個人信息保護方面的具體性規定，該規定多以“技術措施”“其他必要措施”及“補救性措施”等靜態性、措施性規定為主。但網絡的“靜態”安全或“形式安全”無法從根本上應對網絡安全風險的無界傳播與溢出效應。隨著技術的發展，移動設備、路由器、可穿戴設備、物聯網等已逐步成為頂級攻擊者的目標。美國國家安全局技術總監戴夫·霍格（Dave Hogue）稱，黑客的速度非常快，只要安全漏洞公開發布，國家資助的攻擊者可在不到一天的時間內將其武器化。快速化、新型化的安全威脅使企業的整體安全水平只取決于企業最“弱”的一環，而不是最“強”的地方。靜態的企業安全風險管理思維已無法防御嚴峻的安全風險。正如有學者所言，“掛在墻上的資質證書完全無法應對真刀真槍的戰略威脅”。

2.企業安全法規遵從的激勵機制缺失，難以扭轉企業信息安全治理的“被動”思維

在全球行政改革浪潮中，命令控制式規制受到廣泛批評，激勵性監管得到重視，人們發現規則如果能夠與被管理者激勵相容，會極大降低執法成本，提高合規動力。我國網安法建立起企業安全義務體系框架，并通過設置法律責任予以震懾并督促企業遵從，故企業法規遵從的基本動因仍基于法律的強制力。企業多具有逐利的理性人特征，多會將“安全”投入視為“成本”負擔，加之安全意識普遍淡薄和違法不利后果的威懾力有限，易導致企業負責人以“不出事”的“管理”式思維被動合規。尤其是中、小型企業，網絡安全資源有限，安全意識更為淡薄，對安全威脅的識別、防御能力低，易成為供應鏈安全的“短板”而降低整個供應鏈的安全性。對安全風險的靜態與被動防御思維根本無法有效應對日益嚴重的安全危機。Cybereason聯合創始人兼首席執行官所言：“企業在網絡安全領域的投入每年都在增加，但新型攻擊的發生率以及企業遭遇黑客入侵的情況并沒有發生實質性的好轉。”

3.企業信息安全文化的引導與塑造力度欠缺，不利于形成良好的治理生態

網絡安全立法屬于政治上層建筑，信息安全文化屬于意識形態上層建筑，二者具有正相關的交互作用。盡管網安法已頒布并進入實施正軌，國家和各級政府也積極組織舉辦“網絡安全宣傳周”等活動，以此形式宣傳安全文化，但安全文化仍然難以在企業層面深入人心。企業中的每一個個體都是安全鏈條中的重要環節，任何缺乏安全意識的基層員工及管理層的疏漏都會引發安全風險乃至整個安全防御鏈條斷裂，引發難以預測的安全危機。

（三）我國企業信息安全法律治理的“重心”：法人治理

1.企業信息安全“法人治理”的內涵

法人治理在公司法學上主要指有關公司機關的權力分配與行使關系的制度體系。企業信息安全法人治理是指企業將信息安全保護義務充分融入企業機關的權力分配與權力行使關系中，以明確董高監及中基層員工的安全義務為核心，是企業內生的且能不斷優化的信息安全治理結構。

2.企業信息安全“法人治理”的比較優勢

其一，與技術治理及管理相比，“法人治理”可以充分發揮技術與法律二元共治，有機互補的優勢。技術治理是一種運用確定性和精確性的科學知識，對網絡社會中的人們的行為進行一定的管制，以期符合治理者自身利益的活動。然而，沒有絕對完美的技術，安全風險總是存在。為了確保安全，技術人員也可能會過度使用驗證、加密等技術而無形造成企業發展的壁壘。技術主管或安全監管部門僅是企業整體結構的一個很小的部分，僅從網絡技術角度采取安全措施或是在發生安全事故時采取一定的措施，不能從全局的角度出發解決日益嚴峻的信息安全問題。故，我們需要蘊含價值理性和道德判斷的法律的介入，通過自上而下的權力運作，用法律的規范作用將技術與人、部門、組織有機且動態相連，將對信息的“安全”“可控”的治理目標以“責任”的形式傳遞、歸化到企業中的個體。

其二，“法人治理”可充分發揮企業自治的優勢，以較少成本控制安全風險。企業是網絡安全事件的受害者，同時也是施害者。在安全風險治理中，與政府、個人相比，企業具有天然的優勢。企業是安全事件的直接參與者或受害者，對風險和安全隱患具有更強的感知、分析和應對能力。此外，企業具有保障網絡安全的軟硬件設施、專業的技術人才與資源優勢，更易以較少的成本控制安全風險。

其三，企業信息安全法人治理回應了企業履行保障信息安全“社會責任”的時代訴求。施托伊雷爾認為，現代多中心主義的治理方式與企業社會責任是一體兩面。它們以相似的路徑重塑著國家與私人之間的關系。參與政府治理既是企業和個人享有的一項權利，也是其承擔的一項社會責任。企業內部安全事件常導致社會及國家層面的較大負外部效應，作為國家網絡安全保障的核心力量，企業應時刻意識到信息安全治理的社會責任往往蘊含著人權、社會穩定及國家整體安全的內容。

三、美國企業信息安全法律治理：立法監管、企業自治及啟示

（一）立法淵源廣泛，重視保障數據的“機密性”“可用性”與“完整性”

美國企業的信息安全義務的立法淵源廣泛，主要包括聯邦、州層面的法律法規、普通法、侵權法、合同承諾、商業標準、政府規章、國際法律法規及執法行動等。聯邦及州層面的成文法律、法規是最主要的立法淵源，在立法措辭上多使用“安全（security）”與“保障（safeguards）”。企業的信息安全義務多以保護信息安全的三性為目的，在措辭上多使用“認證（authenticate）”、保護數據的“完整性（integrity）”“機密性（confidentiality）”及“數據可用性（availability of data）”等予以體現。如，聯邦層面的立法包括1996年《健康保險攜帶和責任法案》、1999年《統一電子商務法案》、1999年《金融服務現代化法案》、2000年《全球及國內商務電子簽名法案》、2002年《薩班斯-奧克斯利法案》、2003年《保護網絡空間的國家戰略》、2015年《網絡安全法》等。以上立法涉及醫療健康、電子商務、金融、企業內控等方面，涵蓋企業保障信息安全“三性”的一般義務性規定。

（二）企業信息安全義務主體為所有企業，義務客體涵蓋“所有數據”

美國企業信息安全治理義務主體涵蓋所有行業部門的所有企業。盡管早期的個別成文法將企業的信息安全義務限定于某一行業內的企業，但隨著美國網絡與信息安全立法數量的增多，實際上所有企業承擔了立法賦予的信息安全義務。在司法實踐中，美國企業信息安全義務的法律演進始于聯邦貿易委員會（FTC）反公平貿易的實踐，隨后眾多的州立法持續跟進，法院通過一系列司法判例將企業信息安全義務擴展至所有企業。2002年起，借助于一系列的執法行動及同意令，美國FTC根據《聯邦貿易委員會法》（FTC Act）關于反公平貿易的規定擴大了其執法行動的范圍，認為企業即使未對信息安全狀況作出虛假陳述，但怠于履行個人信息安全保障義務本身就是一種不公平的貿易行為。2004年，加州頒布了一項立法，規定所有企業應采取合理的安全措施與實踐，保護加州居民的個人信息免受未經授權的訪問、破壞、使用、修改或披露。隨后，其他州也紛紛效仿，加入立法行列。此外，通過典型案例的審判，法院也開始意識到所有企業都有保障個人信息安全的普通法義務，未能履行該義務即構成侵權。

值得一提的是，近年來美國政府意識到小企業在美國制造業供應鏈中占據重要地位，但在國防工業基礎方面存在弱點，尤其在網絡安全威脅和數據泄露方面也存在脆弱性及安全漏洞。2018年，美國總統特朗普正式簽署《NIST小企業網絡安全法案》（NIST Small Business Cybersecurity Act），將小企業的網絡安全風險防御與治理納入美國聯邦法律。此外，美國企業信息安全義務的客體為所有的公司數據，主要包括個人數據、其他公司數據、電子記錄。個人數據保護與美國源遠流長的隱私保護制度密切相關，眾多聯邦立法及州層面的立法都有明確規定。其他公司數據包括公司財務數據、交易記錄、稅收記錄。

（三）更具彈性的“合理安全（reasonable security）”標準是衡量企業信息安全治理成熟度的法定基線，“合理安全”以“程序導向（process-oriented）”為評判標準

美國著名密碼學家Bruce Schneier經典名言，“安全是一個過程而并非結果（Security is a process，not a product）。美國人早已意識到信息技術快速更迭必然帶來新的安全風險，法律的穩定性難以應對新的安全危機，企業的信息安全義務的衡量標準應更具彈性與張力。美國立法并未明文規定企業應采取什么樣的具體安全措施以確保企業獲得足夠的安全保障，而是要求企業滿足更具彈性的“合理安全（reasonable security）”標準，與之類似的還有“適當安全（appropriate security）”“合適安全（suitable security）”。“合理安全”標準并非特指具體的安全措施，而是在實踐中可發展、可改進且能有效應對安全風險的動態標準。企業是否履行信息安全義務以“程序導向（process-oriented）”為主要評價標準。企業信息安全的法律標準要求公司實旋綜合性的及書面性的信息安全程序，包括：（1）識別被保護的信息及其系統資產;（2）進行周期性的風險評估以識別公司所面臨的資產威脅、脆弱性評估及其威脅發生后造成的損失;（3）選擇并實施適當的安全控制措施以控制風險的識別;（4）監控與測試項目以確保其有效性;（5）根據項目的變化進行不斷的審查與調試，包括進行常規性的獨立審計并在必要時進行報告;（6）監督第三方服務提供者的協議。實際，以上的過程并非一成不變，還可被不斷地審查、修訂及升級。在美國的司法實踐中，“程序導向型”的公司信息安全法律標準是基于GLBA的規定，首先應用于一些關于金融行業的企業信息安全規制中。隨后，HIPAA也有類似的規定。

除上述成文法規定外，美國FTC認為企業應將“程序導向型（process-oriented）”標準作為企業最佳實踐（best practice）應用于所有企業，未能履行該標準的企業將被FTC裁定為未履行“合理的”信息安全義務。在一些典型案例中，“程序導向型”成為司法實踐中法官認定被告是否違反“合理安全”義務的主要審查標準。

（四）優化的“法人治理結構”是企業信息安全治理的重心

美國政府認為建立自律且持續完善的企業信息安全治理結構是應對企業信息安全難題的有力手段。早在2003年8月，美國商業軟件聯盟（BSA）信息安全特別工作組在華盛頓召開的商業軟件聯盟年度CEO論壇上提交了名為“信息安全治理：從框架邁向行動”的白皮書。白皮書認為，盡管政府已經制定了眾多的法律規制企業IT安全，但企業建立有效的、可持續的信息安全治理框架仍不可替代。2004年12月，美國國土安全部（DHS）在加州圣克拉拉市主辦的“國家網絡安全峰會”成立“法人治理工作組”并發布了“信息安全治理行動倡議（call for action）”報告。該報告將企業理想的企業信息安全治理結構以企業規模為分類標準，歸納為大型企業、中型企業、小型企業及公共機構幾種類型（見圖1-圖4），為企業信息安全治理結構的建立與完善提供了指引。

（五）明晰CEO及高級管理人員信息安全責任是企業信息安全治理的關鍵

美國企業CEO及其高管人員的信息安全趨于明晰，如2004年美國“信息安全治理行動倡議”的報告從職能主體層面明確了大型、中型、小型及公共機構在總裁、首席安全官、首席信息官、首席風險官、部門負責人、中層主管，以及雇傭員工層面的信息安全職責，為企業信息安全治理義務的明確提供了指引（見表1）。

（六）啟示

從以上內容綜合分析來看，美國企業信息安全治理具有如下鮮明的特征。第一，美國企業信息安全法律治理呈現出立法監管與企業自治有機結合與互補的特色。在國家立法監管層面，美國沒有單一立法明確規定企業應采取什么樣的具體的安全措施以確保信息安全“三性”，而是為企業設定了一個更具彈性的“合理安全”的法定基線，企業是否履行義務在司法實踐中以“程序導向”為評判標準。由此可見，國家立法監管在企業信息安全治理中僅起到宏觀引導與規范的作用，而不同類型的企業在如何合規中倚重“程序正義”的指引，兩者各有其作用發揮的空間。第二，企業信息安全治理的定位明確合理，即企業信息安全治理是“法人治理”問題而非技術問題或管理問題。立法鼓勵不同規模的企業根據自身實際量身定做最優化的法人治理結構，從而將信息安全治理深度融入企業機關的權力分配與行使關系中，最終將信息安全融入企業的文化基因。企業自治在信息安全治理中更為核心，是有效實現信息安全“合理安全”的關鍵。第三，美國企業的信息安全治理義務覆蓋大、中、小型企業。近年來，美國開始意識到小企業是供應鏈安全中不容忽視的一環，將對小企業的安全風險防控提升到立法層面，這表明美國意識到網絡安全風險嚴峻，網絡安全的“短板效應”需要“整體安全”的防御思維予以消解。第四，企業信息安全法人治理的關鍵環節在于明晰大、中、小型企業，以及公共機構的高、中級管理人員的信息安全責任，清晰的責任分配機制有利于企業內部不同部門的協作與追責，實現企業信息安全法人治理效用的最大化。

四、企業信息安全法律治理的中國進路

企業信息安全法律治理成熟度是衡量國家網絡安全強弱與否的重要標尺。中國企業信息安全法律治理應在借鑒發達國家有益經驗的基礎上立足于本國國情，妥善處理好安全與發展、立法監管與企業自治的關系。在立法層面應明確企業信息安全法律治理的基本原則，充分發揮立法對于企業信息安全治理的指引、監督與激勵作用，激勵企業從被動“合規”邁向主動“治理”，將信息安全文化融入不斷優化的企業治理結構中，以助力網絡強國建設。

（一）企業信息安全法律治理應謹慎權衡“安全”與“發展”的關系

盡管網安法標題貫以安全，但安全與發展天平卻不能失衡。立法對于“安全”的過分倚重將制約發展，難以確保整體國家安全。發展是化解安全危機的前提，發展意味著我們將掌控、利用更為先進的技術、產業，培養出成千上萬的安全頂級人才去促進安全。發展思維將使我們扭轉任何封閉與停滯的觀念，例如辯證地將漏洞攻擊與信息泄露視為安全防御能力的提升和治理手段的完善會為我們提供豐富的實踐案例和經驗教訓。反之，網絡安全立法對“發展”的過分倚重將導致社會機體對安全風險抵抗力的降低或喪失。

我國信息與數字化的水平與發達國家相比較低，產業低端重復、創新乏力是痼疾。謹慎權衡安全發展需要我們不忽視具體國情，充分發揮“治理”型立法的引導、激勵作用。一方面，企業信息安全法人治理應立足于國家“整體安全”防御思維，即重視關鍵基礎設施運營企業，也兼顧小型企業網絡安全，以消弭安全“短板”;另一方面，企業信息安全法人治理結構應“量體裁衣”，重視規范個體責任和企業安全文化的普及。

（二）優化我國企業信息安全法律治理的基本路徑

1.立法應明確企業信息安全法律治理的基本原則

（1）依法治理原則。一方面，企業信息安全治理應基于國家引導與立法規范，以相關法律原則、規則為治理依據;另一方面，企業應以法律為遵從基線，依法確立法人治理的組織架構、安全管理與技術標準、產品設計、研發流程等。依法治理原則既要求企業有法可依，亦要求企業有法必依。企業有法可依需要網絡安全法制體系的建立與完善，為企業遵從營造一個法制化的環境，而企業有法必依則考驗企業高管對于法規遵從的智慧。

（2）CEO參與原則。企業信息安全是企業法人治理層面的問題，應該引起CEO的高度重視與參與。一是企業CEO應參與企業信息安全的戰略規劃與政策制定;二是CEO應參與、監督、協調企業信息安全政策的執行;三是CEO應對企業信息安全義務的履行不能，承擔相應的責任。

（3）透明度原則。企業信息安全法人治理結構應當是企業法人治理的一個子集并確保其透明化。企業對安全事故的披露也應當透明化。企業在安全事故發生后，依法以特定的方式及時將該安全事故信息、潛在的風險、采取的措施通知監管部門和利益相關者。盡管信息安全的披露在短期內會增加企業利益減損，但從長遠看有益于增強相關行業和整個產業抵御安全風險的能力。

2.充分發揮立法的引導與激勵作用，鼓勵企業從“被動”合規邁向“主動”治理

法律的激勵功能、懲戒功能同組織管理功能一并作為法律的三大基本功能，激勵功能的社會認同感最強。激勵法律的制定是基于人們對不同利益的需求，通過給予利益，激發人們的積極性，從而實施法律所希望的行為，不僅給行為人帶來利益，也能達成立法者預期的某種效果。與美國相比，我國網絡安全立法起步較晚，企業網安法合規欠賬多，法規遵從需要企業投入更多的資金與人力成本，故一些企業存在畏難、抵觸情緒。我們需要思考如何在發揮立法懲戒功能的同時發揮其激勵功能，調動企業守法能動性，使企業從“安全是成本”轉變為“安全是投資”，進而從“被動”合規邁向“主動”治理。完善網安法的激勵功能，鼓勵行業自律與企業自治，根據企業信息安全法人治理的成熟度給予物質性、精神性及責任豁免性獎勵，具體激勵方式可包括并不限于財政補貼、稅收激勵、政府項目優先（如資源申請優先）、精神性表彰或獎勵及責任豁免。

3.立法引導和激勵企業建立“強制與自愿相結合”的信息安全“法人治理”結構，消弭安全“短板”

企業信息安全法人治理結構的建立和優化應當成為我國企業信息安全法律治理的重心。立法應當鼓勵所有企業根據其實際情況構建“強制與自愿相結合”的法人治理結構。建議延續網安法的制度設計思路，對國家網絡安全保障中具有“關鍵性”及“戰略性”的關鍵信息基礎設施（CII）運營者進行強制性法人信息安全治理，對于非CII運營者則以立法激勵與企業自愿為主。強制性的制度內容包括：第一，對于大、中型CII運營者構建層級清晰、權責分明的信息安全法人治理結構，并將其作為法人治理結構的一個子集予以重視。企業董事會（或董事長）、高層主管應從戰略上重視對安全風險的“感知一抵御一應對”，將防控安全風險融入企業戰略規劃、資金預算、業務拓展、產品研發與銷售等關鍵環節，最終將安全融入企業文化。

企業信息安全法人治理的關鍵在于明確企業的董事會（或董事長）、CEO（或總裁）、高層主管（包括首席安全官、首席信息官、首席風險官及部門主管）、中層主管及普通員工的信息安全職責：（1）企業董事會（或董事長）應當從戰略上充分認識信息及信息安全的重要價值，確定企業重要資產，統一部署企業綜合性、全局性的信息安全計劃（如企業級漏洞響應計劃或綜合性風險評估計劃），監督企業高管定期匯報信息安全計劃執行的適當性和有效性。（2）CEO（或總裁）是企業信息安全的直接負責人。應當確保知悉企業的戰略計劃、風險偏好及運營策略，在此基礎上制定、升級企業的信息安全政策，監督企業對國家法律法規的全面遵從;對企業其他中高層主管、員工分派信息安全責任、義務及權力，明確不同層級人員因法規遵從或企業信息安全計劃產生的授權行為與執行責任，監督、協調企業信息安全政策的執行;向董事會報告企業信息安全政策的執行，包括關鍵風險識別、風險評估結果、企業風險耐受水平及風險防控計劃;選任專業資質的信息安全官執行企業信息安全政策;確保企業有充足的人力、財力及技術資源以執行安全政策。（3）企業高層主管應確保企業的安全政策與企業戰略、業務的一致性，與公司內外的利益相關方溝通協調;檢查企業信息安全政策的進展和執行，確保安全法規的遵從;確保企業的信息安全保護措施與企業可能承受的信息安全風險相匹配;與各部門負責人協調一致，定期向CEO（或總裁）匯報信息安全計劃的執行情況;確保企業員工接受有效的信息安全培訓并知悉企業的安全政策。（4）企業中層主管在風險評估和成本最小化的基礎上執行企業的信息安全計劃;定期測試、評估企業的信息安全控制技術、措施，確保其有效運行;確保雇員、合同相對人和用戶對企業信息安全責任的履行。（5）企業員工應知悉、遵守企業的信息安全政策，及時報告政策的弱點及突發性信息安全事件的影響。

第二，對于資金有限、安全保護措施不夠完善的小型CII運營者，可考慮給予一些資源支持與協調，確保其構建與自身實際相符的安全治理結構。充分重視企業總經理或中層主管信息安全責任之履行，包括總經理應當確保公司戰略、運營流程與企業信息安全治理需求相融合;識別企業重要資產、評估信息系統安全風險、制定應急計劃等;確保企業對于安全的資金投入;中層主管應當負責執行企業的信息安全政策，階段性地測試評估信息安全控制項，確保有效實施;確保對企業雇員的信息安全培訓

4.重視企業董事、高級管理人員信息安全義務的履行，將其作為《公司法》董事、高級管理人員“忠實與勤勉義務”的適當延伸

忠實與勤勉義務是現代治理結構下企業董事會成員對于公司的法定義務。我國公司法第148條對董事及高級管理人員的忠實與勤勉義務作出了明確規定。實踐中，董事及高管義務有擴大趨勢，這源于法律從“股東至上”到對企業社會責任及利益相關者權益保護之重視。目前，嚴峻的信息安全風險正威脅著我國國家安全、社會穩定及個人權益，企業應勇于承擔保障信息安全的社會責任，這也依賴于企業董事及高管對于信息安全義務的積極履行。企業董事及高管的信息安全義務可作為公司法層面“忠實與勤勉”義務的有機組成部分，包括：（1）基本的信息安全義務，即確保企業對國家網絡與信息安全立法制度（如CII保護，網絡安全審查、數據出境評估等）的全面遵從，配合、協助執法檢查。（2）履行其在企業信息安全法人治理中的核心義務，包括被保護的信息與資產的識別;制定、升級企業的信息安全政策;安全風險評估;確保企業員工接受有效的信息安全培訓;確保企業有充足的人力、財力及資源實現公司的安全政策。此外，還可鼓勵公司章程中增加董事、高管對于保障企業信息安全的注意義務，接受公司股東與公眾的監督。

5.引導和促進企業信息安全文化建設，深度融入企業法人治理中，以凸顯安全文化的價值

法律對于安全風險的防控需要借助文化的力量，通過主流文化的傳播使法律價值得到普遍認同，從而有效提升法律的實施效果。企業信息安全文化建設可助力于修復不同社會主體的安全認知“漏洞”，提升企業在網絡安全保障中的效用。企業信息安全文化建設不可忽視兩個層面：一是重視企業信息安全文化在法人治理層面的融合。企業信息安全文化不只局限于員工安全培訓等常規活動，還應當在企業的總體戰略、理念、形象識別、業務規劃、生產過程控制及監督反饋等各個方面融合安全文化的內容，最終將安全文化融入企業法人治理結構中;二是重視從企業高管到基層員工的“個體”信息安全意識的提升，將安全意識與個體責任掛鉤，使“人”成為企業安全風險防御的最強大資產。安全文化的普及與人的安全意識的提升是對抗攻擊的最有效的武器。

（責任編輯 胡志平）