目光长远

2020年已经成为我们很多人一生中特别的一年。我们怀有希望，相信我们最终能成功摆脱疫情。同时确定的一点是，“去日不可追，来日犹可期”，我们需要对未来重新规划。来自不同国家和地区的总法律顾问分享了法务角色的转变

Veta T Richardson: 公司的网络安全需要首席法务官

—

习近平主席长期以来一直强调网络安全在中国经济快速增长和数字化进程中的重要性。《网络安全法》于 2017 年 6 月 1 日生效，对个人信息的收集、使用和保护做出了明确规定。

此后，一系列新举措也随之公布。2020 年 4 月 27 日，国家互联网信息办公室联合其他 11 个政府机构推出了《网络安全审查办法》，旨在为中国公民和企业加强网络安全和保障。

尽管采取了所有这些措施，中国仍不能免受大小规模的黑客入侵以及其他非法网络安全攻击的影响。针对数百万微博用户的个人数据（包括电话号码和地址）被置于“暗网”出售的传言，今年 3 月，工业和信息化部下令微博加强数据安全措施，以更好地保护个人信息。

虽然微博一直竭力澄清并无黑客入侵用户账户一事，但这的确说明网络安全漏洞的威胁正日益加剧，即使是具有先进安全功能的社交媒体平台亦不能置身其外。

微博事件绝非个例。《安联风险晴雨表》（Allianz Risk Barometer）首次发现，在全球性法律威胁事件中，网络事故已位列榜首。亚太地区约有 35% 的风险管理高管对此表示同意。

数据泄露已突破底线，且会对被泄露人的声誉造成严重威胁，这引起了全球企业领导人的高度重视。他们愈加倾向于将此等事件交由首席法务官进行处理。

全球企业法律顾问协会基金会于上个月刚刚发布《2020 年网络安全现状报告》，该报告指出，71% 的受访者称其首席法务官担任网络安全责任团队的领导者或成员。事实上，考虑到所涉及的关键问题以及包括法规、法律、技术和风险影响在内的可变因素，首席法务官和法务部门的确是最适合负责该等工作的人选/部门。大约五分之一 (17%) 的公司选择让其首席法务官直接负责网络和隐私相关工作。

《网络安全报告》涵盖了 36 个国家/地区和 20 个行业的 586 家公司，有助于进一步洞察网络相关威胁。40% 的受访组织称其在过去一年中至少遭受过一次数据泄露，平均经历过 24 起网络事故。此外，员工网络安全培训越来越受到重视，36% 的法务部门将因为采取网络安全措施而增加法律费用支出（2018 年该比例仅为 33.8%）。

法律在网络安全方面的实际应用并不新鲜。例如，全球企业法律顾问协会发布的 《2020 年首席法务官调查》显示：75% 以上的总法律顾问和首席法务官负责合规事务；36.4% 的总法律顾问和首席法务官负责风险事务；网络安全、风险和合规是董事会最常向总法律顾问询问的三个话题。

令人欣慰的是，《网络安全报告》调查结果显示，越来越多的网络安全法律干预措施正在从严格遵守合规政策转向以风险为基础的整体战略布局。

传统理解中，网络安全问题应当属于 IT 范畴，而非法律范畴。从表面来看，此种理解确有道理：IT 更注重从技术层面应对网络威胁，他们的定量举措能够很好地与以合规为基准的网络安全战略相契合，在既定架构内进行检查，并遵循相关要求。

在大数据时代之前，即公司尚未将网络安全风险视为亟需解决的问题之前，此种方法非常恰当。而如今，在任何一个领域或国家/地区运营的任何公司，都已无法否认数字化数据已构成其经营的基础。正如以上提及的安联研究结果和无数公司与国家所经历的那样，数据泄露已不再仅仅停留于令人厌烦但不痛不痒的层面，而是已经严重到足以引发国家或地区的经济中断的地步。

企业法务应对网络安全的方式截然不同。其采取的方法是定性的，以关注风险和理解 IT 部门所需遵循之法律法规为本。对公司的所有利益相关者——不论是客户还是董事会还是员工来说，网络安全都是无法回避的问题。他们都希望首席法务官能够在风险、声誉和监管方面提供指导。监管制度或供应商-客户生态系统越复杂，网络安全问题就越应当从 IT 范畴上升为法律范畴。

此外，当发生数据泄露事件时，通常由法律团队负责解决问题和降低损害。首席法务官是连接数据泄露所涉及之各相关部门的枢纽。随后产生的法律合规问题和可能招致的诉讼显然属于法务类工作，但声誉和品牌事宜亦为首席法务官之责任，此外，首席法务官通常还需应对风险相关问题。

首席法务官负责在某一战略架构内对各种职能加以协调，包括处理跨部门损失、安抚利益相关方以及确保公司遵循《通用数据保护条例》等法院或数据隐私规定。

数据泄露事件有可能会对各级利益相关方造成严重影响并触及公司底线，因此在发生数据泄露事件后，作为首席顾问，总法律顾问必须全程给予董事会和公司管理层指导，帮助其渡过难关。

IT 部门通常无需负责处理涉及整个组织的一系列任务，而将此种任务交付至法务部门以外的任何部门都将招致重大损失。

我们要明白，任何网络安全程序都无法做到万无一失。网络安全程序的使命是抵御灾难。数据泄露足以摧毁一家公司（尤其是中小企业）；对将个人数据交托至公司或机构保管的普通人而言，数据泄露也足以摧毁他们的生活。

越来越多的公司意识到，对其利益相关方保持诚实和坚守底线虽然是两个问题，但却可以用同一个解决方案加以应对，即设立一个可以直接向管理层和董事会汇报、可以跨职能运作的、强大且灵活的法务团队。让法务人员参与解决网络安全问题，意味着您已领先黑客一步。

Veta T Richardson 是全球企业法律顾问协会 (ACC) 的总裁兼首席执行官，该协会是一个全球性法律协会，拥有 45,000 余名成员，遍布 85 个国家/地区，对应 10,000 多家雇主。

Olivia Khor: 超越思维局限

—

问：马来西亚的封锁情况如何？你们当前面临的主要法律问题有哪些？

马来西亚目前正在实施“复苏式行动管制令”（Recovery Move-ment Control Order）。该命令暂定于12月31日结束。此后，当地政府将对新冠疫情传播的数据进行分析，再决定是否延长该限制令。因此，法务必须积极参与到各业务职能部门，以协助他们进行重新谈判或避免任何潜在的法律后果。