2020年已经成为我们很多人一生中特别的一年。我们怀有希望,相信我们最终能成功摆脱疫情。同时确定的一点是,“去日不可追,来日犹可期”,我们需要对未来重新规划。来自不同国家和地区的总法律顾问分享了法务角色的转变

Veta T Richardson: 公司的网络安全需要首席法务官

Veta-T-Richardson-全球企业法律顾问协会-总裁兼首席执行官

习近平主席长期以来一直强调网络安全在中国经济快速增长和数字化进程中的重要性。《网络安全法》于 2017 年 6 月 1 日生效,对个人信息的收集、使用和保护做出了明确规定。

此后,一系列新举措也随之公布。2020 年 4 月 27 日,国家互联网信息办公室联合其他 11 个政府机构推出了《网络安全审查办法》,旨在为中国公民和企业加强网络安全和保障。

尽管采取了所有这些措施,中国仍不能免受大小规模的黑客入侵以及其他非法网络安全攻击的影响。针对数百万微博用户的个人数据(包括电话号码和地址)被置于“暗网”出售的传言,今年 3 月,工业和信息化部下令微博加强数据安全措施,以更好地保护个人信息。

虽然微博一直竭力澄清并无黑客入侵用户账户一事,但这的确说明网络安全漏洞的威胁正日益加剧,即使是具有先进安全功能的社交媒体平台亦不能置身其外。

微博事件绝非个例。《安联风险晴雨表》(Allianz Risk Barometer)首次发现,在全球性法律威胁事件中,网络事故已位列榜首。亚太地区约有 35% 的风险管理高管对此表示同意。

数据泄露已突破底线,且会对被泄露人的声誉造成严重威胁,这引起了全球企业领导人的高度重视。他们愈加倾向于将此等事件交由首席法务官进行处理。

全球企业法律顾问协会基金会于上个月刚刚发布《2020 年网络安全现状报告》,该报告指出,71% 的受访者称其首席法务官担任网络安全责任团队的领导者或成员。事实上,考虑到所涉及的关键问题以及包括法规、法律、技术和风险影响在内的可变因素,首席法务官和法务部门的确是最适合负责该等工作的人选/部门。大约五分之一 (17%) 的公司选择让其首席法务官直接负责网络和隐私相关工作。

《网络安全报告》涵盖了 36 个国家/地区和 20 个行业的 586 家公司,有助于进一步洞察网络相关威胁。40% 的受访组织称其在过去一年中至少遭受过一次数据泄露,平均经历过 24 起网络事故。此外,员工网络安全培训越来越受到重视,36% 的法务部门将因为采取网络安全措施而增加法律费用支出(2018 年该比例仅为 33.8%)。

法律在网络安全方面的实际应用并不新鲜。例如,全球企业法律顾问协会发布的 《2020 年首席法务官调查》显示:75% 以上的总法律顾问和首席法务官负责合规事务;36.4% 的总法律顾问和首席法务官负责风险事务;网络安全、风险和合规是董事会最常向总法律顾问询问的三个话题。

令人欣慰的是,《网络安全报告》调查结果显示,越来越多的网络安全法律干预措施正在从严格遵守合规政策转向以风险为基础的整体战略布局。

传统理解中,网络安全问题应当属于 IT 范畴,而非法律范畴。从表面来看,此种理解确有道理:IT 更注重从技术层面应对网络威胁,他们的定量举措能够很好地与以合规为基准的网络安全战略相契合,在既定架构内进行检查,并遵循相关要求。

在大数据时代之前,即公司尚未将网络安全风险视为亟需解决的问题之前,此种方法非常恰当。而如今,在任何一个领域或国家/地区运营的任何公司,都已无法否认数字化数据已构成其经营的基础。正如以上提及的安联研究结果和无数公司与国家所经历的那样,数据泄露已不再仅仅停留于令人厌烦但不痛不痒的层面,而是已经严重到足以引发国家或地区的经济中断的地步。

企业法务应对网络安全的方式截然不同。其采取的方法是定性的,以关注风险和理解 IT 部门所需遵循之法律法规为本。对公司的所有利益相关者——不论是客户还是董事会还是员工来说,网络安全都是无法回避的问题。他们都希望首席法务官能够在风险、声誉和监管方面提供指导。监管制度或供应商-客户生态系统越复杂,网络安全问题就越应当从 IT 范畴上升为法律范畴。

此外,当发生数据泄露事件时,通常由法律团队负责解决问题和降低损害。首席法务官是连接数据泄露所涉及之各相关部门的枢纽。随后产生的法律合规问题和可能招致的诉讼显然属于法务类工作,但声誉和品牌事宜亦为首席法务官之责任,此外,首席法务官通常还需应对风险相关问题。

首席法务官负责在某一战略架构内对各种职能加以协调,包括处理跨部门损失、安抚利益相关方以及确保公司遵循《通用数据保护条例》等法院或数据隐私规定。

数据泄露事件有可能会对各级利益相关方造成严重影响并触及公司底线,因此在发生数据泄露事件后,作为首席顾问,总法律顾问必须全程给予董事会和公司管理层指导,帮助其渡过难关。

IT 部门通常无需负责处理涉及整个组织的一系列任务,而将此种任务交付至法务部门以外的任何部门都将招致重大损失。

我们要明白,任何网络安全程序都无法做到万无一失。网络安全程序的使命是抵御灾难。数据泄露足以摧毁一家公司(尤其是中小企业);对将个人数据交托至公司或机构保管的普通人而言,数据泄露也足以摧毁他们的生活。

越来越多的公司意识到,对其利益相关方保持诚实和坚守底线虽然是两个问题,但却可以用同一个解决方案加以应对,即设立一个可以直接向管理层和董事会汇报、可以跨职能运作的、强大且灵活的法务团队。让法务人员参与解决网络安全问题,意味着您已领先黑客一步。

Veta T Richardson 是全球企业法律顾问协会 (ACC) 的总裁兼首席执行官,该协会是一个全球性法律协会,拥有 45,000 余名成员,遍布 85 个国家/地区,对应 10,000 多家雇主。


Olivia Khor: 超越思维局限

Olivia-Khor-普华永道马来西亚-总法律顾问

问:马来西亚的封锁情况如何?你们当前面临的主要法律问题有哪些?

马来西亚目前正在实施“复苏式行动管制令”(Recovery Move-ment Control Order)。该命令暂定于12月31日结束。此后,当地政府将对新冠疫情传播的数据进行分析,再决定是否延长该限制令。因此,法务必须积极参与到各业务职能部门,以协助他们进行重新谈判或避免任何潜在的法律后果。

对于可能产生影响的法律问题,一些企业提出下面这些问题:

  • 他们是否可以援引不可抗力条款或者为方便而简单地通过发出通知终止合同?
  • 他们是否需要经过特定审批程序才能让客户延长期限?
  • 他们是否需要与客户重新协商、变更约定违约金条款(liquidated ascertained damages)?
  • 他们是否可以对封锁期间没有充分使用的特定服务进行协商,以获取更长的服务时间?
  • 他们如因疫情封锁措施无法完成工作,是否需要支付由于客户引入第三方而产生的差价?
  • 他们是否可以在雇佣合同中推迟新员工的开始日期?

问:法务可以采取哪些措施来减轻新冠疫情对其业务的影响?

法务可以加快就不同的业务需求提供创新性的想法及建议,以帮助企业行使或调整合同规定的权利。在这样的时期,为避免无谓的法律纠纷,法务如何管理与客户、供应商等外部各方的关系显得尤为重要。

此外,企业自身应思考如何进一步通过自动化或数字化来促进业务,比如采用电子签名来优化合同手续;使用科技手段进行线上的会议、协商、培训等。随着科技手段被更多应用,企业需要确保拥有合适且最前沿的网络安保系统以保障其数字基础设施。

总体而言,为了在疫情中生存下来,企业员工及企业主均应采取灵活的态度、拥抱变化、迅速在危机中寻找出机遇,并面对业务需求进行不断的调整。企业与主要利益相关者建立信任,也是帮助自身顺利面对挑战的关键因素。

问:法务团队应如何为下一次破坏性事件做好准备?

我认为,法务团队应思考如何将特定的流程自动化,以更简便地处理业务部门遇到的法律问题。比如在大多数人都可以用的数据平台上发布更多内部法律常见问题的解答,或者尝试将一些合同咨询的流程半自动化。我们还可以在标准合同模板的每个条款建立法律解释和含义。

同时,我认为积极拥抱科技手段十分重要。开视频会议已然成为工作的常态,法务需要拥抱这个趋势,在各类谈判中通过视频会议协助业务工作的开展。我与交易对方法律顾问就进行过这样的谈判。通常,我们见面十分困难,但在疫情封锁期间,线上会议使我们关系更紧密,最终我们成功签订了合同。


Arlene Lapuz-Ureta: 后疫情时代的电子化

Arlene-Lapuz-Ureta-菲律宾法律管理委员会(Legal-Management-Council)主席、-日产汽车公司菲律宾区法律顾问

问:当企业走出封锁、政府慢慢放开限制,企业主要会遇到哪些法律问题和挑战?

在疫情衍生出来的法律问题中,首要问题是我们[菲律宾]已有法律对职业安全及健康标准提出了合规要求。对于雇主来说,首先的挑战是在业务运作时,如何提供法律要求的安全工作环境。

菲律宾的雇主需要严肃对待这个情况,因为法律规定员工有权拒绝在有迫切危险的环境下工作,比如公司有员工已被感染的情况下。

其次,在相关法律下,雇主必须在员工的权利与可能出现的危险情况之间进行调节。这意味着雇主有权知道是否有员工感染了新冠病毒。然而,这又与菲律宾的数据隐私法律相违背。数据隐私安全法将员工健康相关的医疗信息当作个人敏感信息,而处理员工相关信息的行为被明文禁止。因此,现在关于数据隐私的问题的突然出现,也亟待法务人员去解决。

疫情之下,绝大多数员工都在家办公。而菲律宾的国家隐私委员会最近发布了有关一般安全措施的最新准则。不仅在疫情期间,还是任何存在远程办公安排的情况下,企业和员工都应该采取相关安全措施。

最后,我们遇到的另一重要问题是文件的授权和执行。我也通过我所在的机构——菲律宾大学女性律师组织,向最高法院提议采用电子公证规则。目前,最高法院已组织了一个小组委员会对此进行研究。

问:法务团队应如何为下一次破坏性事件做好准备?

法务可以采取很多方案来应对未来的破坏性事件。

首先,为了避免出现措手不及的情况,法务必须运用科技处理还未完成的法律工作,即使在疫情期间也是如此。在菲律宾,不是所有的法务人员都配备电脑,特别在规模稍小的公司,有些法务人员在家里甚至无法轻易登录邮箱。事实上,一些公司处于安全考虑,禁止员工携带公司配备的电脑回家。

其次,法务团队必须现在将所有的合同、法律文件进行电子备份,确保能及时查阅。这种情况下,当法务人士需要查阅这些重要的文件时,就无需去总部现场查阅。


Dessi Berhane Silassie: 为下一次变革作准备

Dessi-Berhane-Silassie-新加坡企业法律顾问协会主席、-IHS-Markit全球知识产权主管及亚太区法律总顾问

问:当企业走出封锁、政府慢慢放开限制,企业主要会遇到哪些法律问题和挑战?

作为一家信息科技公司,我们擅长开发“深科技”(deep technology)。由于疫情的影响,我们看到科技变革在加快。我们现在与那些乘势加快科技发展的客户紧密合作,帮助他们加入到我们已服务的金融服务机构行列之中。

例如,信息安全因种种原因成为近几年重要的议题。但如今在我们生态系统中的一些重要机构出现系统风险的时候,他们要在还没准备就绪、没有足够时间的情况下,被迫去适应新的工作模式。重要的一点是,作为服务提供商,我们需要及时给予这些企业相应的支持。

我很庆幸在新加坡工作。十多年来,这个城市致力于推行数字化战略。从个人以及居家工作的角度来说,我们十分顺利地从办公室工作转向居家工作。我认为,新加坡的基建设施很适合人们在家办公,它也是一个较小的国家,可以实施灵活的政策应对变化。

如果忽略1月份疫情爆发之初、事态不明朗的那段时期,老实说,虽然这一切恍如隔世,但实际上我们只在过去的三四个月里处于现在这个状态。所以关于新常态,对于我来说,我尚不清楚新常态真正意味着什么。我仍然认为大多数人在猜测:疫情到底会持续多久?相对于紧急状态或过渡性工作方式,什么因素会产生永久影响?

这就是我在密切关注的内容。从我们危机管理团队的角度看,我们思考的是如何为接下来的半年、一两年甚至更长的时间作准备。我认为我们要推进的是这个层面的规划。

问:法务团队应如何为下一次破坏性事件做好准备?

这不单单是法务团队需要考虑的问题,而是企业需要思考的问题。在疫情初始,企业只能依赖当时较少的数据去分析情况。现在他们需要重新审视这些分析,并尝试理解、预判接下来的半年甚至更久可能出现的情况。

我不知道我们是否需要为下一次破坏性事件做准备。我认为我们正在为目前疫情的下一个破坏性阶段作准备。如果你有了解的话,下一阶段将会是一系列封锁与解封措施的变换。这将会是什么情况?对于你的企业、组织,最有可能的商业场景分析会是怎样的?试一试套用你的业务理解这个问题,从法务角度去理解法律、监管风险及合规影响,这样你才能相应地准备应对措施。我认为我们可以从上半年的行动和应对方式中学到很多东西。

我们现在需要重新检视那些数据。现在是时候让我们回顾一下,看看哪些有用,哪些没用。巩固我们的技能、政策,确保我们面对下次破坏性事件无论是疫情或是其他事件,都能经得起反复考验。