企業(yè)信息安全法律治理

張 敏，馬民虎

(西安交通大學(xué) 法學(xué)院，陜西 西安 710049)

以云計(jì)算、大數(shù)據(jù)等為驅(qū)動(dòng)的新技術(shù)在引領(lǐng)企業(yè)向智慧企業(yè)轉(zhuǎn)型的同時(shí)也打開了安全威脅的潘多拉魔盒：一方面，針對國家關(guān)鍵信息基礎(chǔ)設(shè)施的持續(xù)性大規(guī)模網(wǎng)絡(luò)攻擊、企業(yè)系統(tǒng)漏洞、數(shù)據(jù)泄露等安全威脅呈現(xiàn)升級化態(tài)勢；另一方面，因歐美網(wǎng)絡(luò)與信息安全立法變革浪潮沖擊、跨國IT企業(yè)合規(guī)僵局、貿(mào)易大戰(zhàn)與地緣政治安全的復(fù)雜結(jié)構(gòu)相交織，進(jìn)一步加劇了我國信息安全的嚴(yán)峻態(tài)勢。我國《網(wǎng)絡(luò)安全法》將網(wǎng)絡(luò)運(yùn)營者定位為“協(xié)同治理”的中堅(jiān)力量，并為其量身設(shè)定了安全義務(wù)體系。在此背景下，我國亟需以《網(wǎng)絡(luò)安全法》的安全“保障法”定位為指引，在謹(jǐn)慎權(quán)衡“安全”與“發(fā)展”的基礎(chǔ)上，積極探索中國本土化的企業(yè)信息安全法律治理之道，以提升《網(wǎng)絡(luò)安全法》執(zhí)法和企業(yè)合規(guī)的有效性，最大化企業(yè)在國家信息安全保障中的能量。

一、企業(yè)信息安全法律治理的提出

(一)企業(yè)信息安全法律治理之內(nèi)涵解析：基于“治理”理論視角

“法律治理(Legal Governance)”的理論根基深植于“治理(Governance)”理論。 “治理”理論源于西方，流派眾多且各具差異，但對“治理”的核心要素即主體多元、平等、協(xié)作、共贏等存在共識。全球化趨勢使帶有工具理性特征的治理理論與法律相結(jié)合，在不同國家被重塑與本地化，領(lǐng)域多涉及國家、社會(huì)、城市、公司、網(wǎng)絡(luò)等。新中國成立以來，中國法制建設(shè)開啟了從管理邁向“法律治理”的革命性變革，對“法律治理”的倚重亦是國家治理能力現(xiàn)代化的標(biāo)志?！胺芍卫怼笔侵敢罁?jù)國家權(quán)力機(jī)關(guān)依法律程序制定的法律規(guī)則，政府、社會(huì)、市場等存在利益分化的多元主體通過合作、協(xié)調(diào)與互動(dòng)的方式，實(shí)現(xiàn)共同利益與促進(jìn)社會(huì)發(fā)展目標(biāo)。我國學(xué)界亦認(rèn)識到，“與高度復(fù)雜性和高度不確定性的時(shí)代相適應(yīng)的社會(huì)治理模式應(yīng)當(dāng)是一種合作行動(dòng)模式，只有多元社會(huì)治理主體在合作的意愿下共同開展社會(huì)治理活動(dòng)，才能解決已出現(xiàn)的各種各樣的社會(huì)問題”[1]。

當(dāng)我國從工業(yè)社會(huì)邁入網(wǎng)絡(luò)與數(shù)字化社會(huì)，安全與發(fā)展成為基本的時(shí)代訴求。得益于治理理論對網(wǎng)絡(luò)與信息安全立法的滋養(yǎng)，“協(xié)同治理”成為有效應(yīng)對網(wǎng)絡(luò)安全威脅的核心理念?！皡f(xié)同治理”是指處于同一治理網(wǎng)絡(luò)中的多元主體間通過協(xié)調(diào)合作，形成彼此嚙合、相互依存、共同行動(dòng)、共擔(dān)風(fēng)險(xiǎn)的局面，產(chǎn)生有序的治理結(jié)構(gòu)，以促進(jìn)公共利益的實(shí)現(xiàn)[2]，其強(qiáng)調(diào)不同主體間合作的匹配性、動(dòng)態(tài)性、有序性與有效性。我國《網(wǎng)絡(luò)安全法》將“協(xié)同治理”定位為基本原則，其智慧在于：一是強(qiáng)調(diào)了安全治理應(yīng)立足于政府的規(guī)范、引導(dǎo)與監(jiān)督，政府決策應(yīng)建立在統(tǒng)籌考慮、利益平衡的基礎(chǔ)之上；二是強(qiáng)調(diào)應(yīng)發(fā)揮政府、企業(yè)、社會(huì)團(tuán)體及公民在內(nèi)的多元主體參與，鼓勵(lì)多元主體責(zé)任分擔(dān)、協(xié)同合力，避免傳統(tǒng)“善政”思維對政府責(zé)任的無限放大。

企業(yè)信息安全法律治理的提出是對 “協(xié)同治理”理念的踐行，其制度內(nèi)涵包括：一是政府應(yīng)不斷優(yōu)化網(wǎng)絡(luò)與信息安全相關(guān)立法規(guī)范，提升立法技術(shù)，發(fā)揮 “硬法”與“軟法”的各自優(yōu)勢，為企業(yè)信息安全治理創(chuàng)造良好的外部法治環(huán)境；二是立法應(yīng)引導(dǎo)和激勵(lì)企業(yè)充分發(fā)揮“協(xié)同治理”的作用，將企業(yè)信息安全法人治理作為“重心”。在所有企業(yè)中建立自愿與強(qiáng)制相結(jié)合的信息安全法人治理結(jié)構(gòu)，明確企業(yè)高管之信息安全義務(wù)，促進(jìn)法人治理與安全文化相交融。

立法監(jiān)管與企業(yè)法人治理是企業(yè)信息安全法律治理的有機(jī)組成部分，兩者相輔相依。企業(yè)信息安全法律治理應(yīng)立足于立法的引導(dǎo)、監(jiān)督與鼓勵(lì)，可分別通過設(shè)定指引性與禁止性法律規(guī)則為企業(yè)信息安全自治設(shè)定法定“基線”與違法“紅線”，設(shè)定激勵(lì)性規(guī)則鼓勵(lì)企業(yè)守法與合規(guī)。企業(yè)應(yīng)以法律原則、規(guī)則為治理依據(jù)，根據(jù)風(fēng)險(xiǎn)變化靈活優(yōu)化企業(yè)法人治理結(jié)構(gòu)，最終在政府與企業(yè)“二元”治理的有機(jī)互動(dòng)中保障信息在處理、存儲(chǔ)及流轉(zhuǎn)中的完整性、機(jī)密性與可用性。

(二)企業(yè)信息安全法律治理的制度價(jià)值

企業(yè)信息安全法律治理憑借蘊(yùn)含價(jià)值理性和道德判斷的法律的介入，用法律權(quán)威將安全義務(wù)歸化到企業(yè)，從而實(shí)現(xiàn)以下制度價(jià)值。

1.有效保障國家網(wǎng)絡(luò)與信息安全，維護(hù)公共利益

網(wǎng)絡(luò)安全現(xiàn)已對國家安全產(chǎn)生了全面的顛覆性影響，成為國家安全競爭的最前沿領(lǐng)域和國家安全變革的最難以預(yù)測的因素[3]。威脅國家網(wǎng)絡(luò)安全因素復(fù)雜多樣，黑客攻擊與數(shù)據(jù)泄露最為典型。大規(guī)模、高級可持續(xù)性攻擊的目標(biāo)正在從傳統(tǒng)的IT系統(tǒng)轉(zhuǎn)向石油、天然氣、航空運(yùn)輸?shù)汝P(guān)鍵行業(yè)的工業(yè)控制系統(tǒng)。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者向社會(huì)公眾提供的產(chǎn)品及服務(wù)具有公共產(chǎn)品屬性，其安全防范中的弱項(xiàng)可能成為黑客攻擊的“短板”，從法律治理的高度去應(yīng)對企業(yè)安全難題則是較為有效的手段。

2.有效保障個(gè)人信息安全，捍衛(wèi)個(gè)人權(quán)益

個(gè)人信息蘊(yùn)含財(cái)產(chǎn)利益與人格尊嚴(yán)，我國立法將其視為基本民事權(quán)利。個(gè)人信息泄露常規(guī)路徑有三種：(1)內(nèi)部人員非法盜取、轉(zhuǎn)賣；(2)企業(yè)在非授權(quán)范圍內(nèi)利用與經(jīng)營用戶信息；(3)惡意程序利用網(wǎng)絡(luò)漏洞非法入侵?jǐn)?shù)據(jù)庫進(jìn)而盜取、劫持個(gè)人信息。隨著電子商務(wù)與社交平臺邁入鼎盛時(shí)期，海量用戶數(shù)據(jù)被企業(yè)抓取、整合、分析、畫像，嚴(yán)重危及個(gè)人權(quán)益。很多人將數(shù)據(jù)泄露的“原罪”歸于個(gè)人信息立法的不完備，而忽視了立法并未真正映射、內(nèi)生于企業(yè)治理層面是數(shù)據(jù)泄露有增無減的內(nèi)因。

3.促進(jìn)產(chǎn)業(yè)在“安全”中得以“發(fā)展”

在信息化時(shí)代，很多企業(yè)(尤其是發(fā)展中國家企業(yè))的信息安全治理水平令人憂慮。只有在解決安全問題的前提下，企業(yè)發(fā)展才能沒有后顧之憂。從合規(guī)角度，歐美網(wǎng)絡(luò)安全及數(shù)據(jù)保護(hù)立法變革給企業(yè)亦帶來考驗(yàn)，如何進(jìn)行安全合規(guī)、降低戰(zhàn)略運(yùn)營風(fēng)險(xiǎn)已成為大型企業(yè)走出國門時(shí)應(yīng)考慮的問題。法規(guī)遵從并非結(jié)果，而是一個(gè)持續(xù)漸進(jìn)的過程。建立內(nèi)生于企業(yè)、業(yè)務(wù)流程及產(chǎn)品設(shè)計(jì)相融的安全治理機(jī)制才能促進(jìn)產(chǎn)業(yè)在“安全”中得以“發(fā)展”。

二、我國企業(yè)信息安全法律治理：問題檢視及治理“重心”的定位

(一)我國企業(yè)信息安全義務(wù)的法律淵源

法的淵源是指由不同國家機(jī)關(guān)制定、認(rèn)可和變動(dòng)的，具有不同法的效力或地位的各種法的形式。我國企業(yè)信息安全義務(wù)來源于三層面：一是《網(wǎng)絡(luò)安全法》(簡稱“網(wǎng)安法”)及其配套的下位法(1)如2017年《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(草案)》、2019《網(wǎng)絡(luò)安全審查辦法(征求意見稿)》等。；二是網(wǎng)絡(luò)安全等級保護(hù)制度(2)如1994年《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、1999年《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》、2007年《信息安全等級保護(hù)管理辦法》、2018年《網(wǎng)絡(luò)安全等級保護(hù)條例(草案)》的出臺標(biāo)志著國家網(wǎng)絡(luò)安全等級保護(hù)邁入新時(shí)期。；三是相關(guān)國家標(biāo)準(zhǔn)及行業(yè)標(biāo)準(zhǔn)(3)“國家標(biāo)準(zhǔn)”包括《信息系統(tǒng)安全等級保護(hù)基本要求》(GB/T 22239—2008)、《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南》(GB/T22240—2008)、《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)實(shí)施指南》(GB/T 25058—2010)、《網(wǎng)絡(luò)安全等級保護(hù)測評要求》(GB/T 28448—2019)等；“行業(yè)標(biāo)準(zhǔn)”是基于《信息系統(tǒng)安全等級保護(hù)基本要求》，電力與銀行、證券、海關(guān)、鐵道、民航等重點(diǎn)行業(yè)根據(jù)各自行業(yè)的特點(diǎn)對上述要求作出的擴(kuò)展。。網(wǎng)安法及相關(guān)配套性制度是我國企業(yè)信息安全義務(wù)的主要法律淵源，相關(guān)國家標(biāo)準(zhǔn)與行業(yè)性標(biāo)準(zhǔn)為網(wǎng)安法確立的安全義務(wù)提供了更為具體的實(shí)施依據(jù)。

(二)我國企業(yè)信息安全法律治理在立法實(shí)踐中存在的問題檢視：基于網(wǎng)安法“保障法”定位展開

網(wǎng)安法是國家網(wǎng)絡(luò)與信息安全治理的基礎(chǔ)性“保障法”。網(wǎng)安法頒布近3年來，國家層面和地方政府機(jī)構(gòu)都開始專項(xiàng)檢查和執(zhí)法行動(dòng)，從“執(zhí)法第一案”進(jìn)入執(zhí)法常態(tài)化。從網(wǎng)安法的“保障法”定位去檢視立法制度以及執(zhí)法效果，仍存在一些問題。

1.企業(yè)安全義務(wù)多為靜態(tài)性、具體措施性的管理性義務(wù)，而非內(nèi)生于企業(yè)“治理”層面的義務(wù)

網(wǎng)安法明確了網(wǎng)絡(luò)運(yùn)營者的安全義務(wù)體系，其建構(gòu)在實(shí)體性法律規(guī)范的基礎(chǔ)上，并附加一些履行不能的法律責(zé)任，但仍暴露出一些問題：其一，網(wǎng)安法對網(wǎng)絡(luò)運(yùn)營者的諸多義務(wù)性規(guī)定多由政府主導(dǎo)自上而下施加，并通過國家、行業(yè)標(biāo)準(zhǔn)規(guī)定非常具體的措施性要求作為義務(wù)的主要內(nèi)容，然后通過行政處罰等手段強(qiáng)制要求管理對象合規(guī)[4]。而傳統(tǒng)法律理論認(rèn)為，過多禁止性法律規(guī)范會(huì)造成“管理型”立法而非“治理型”立法[5]，減損執(zhí)法效果。網(wǎng)安法及其下位法在規(guī)則設(shè)計(jì)時(shí)偏重于以技術(shù)性措施與管理性手段防控企業(yè)安全風(fēng)險(xiǎn)，以行政處罰手段震懾企業(yè)逾越法律“紅線”的規(guī)制思路，易導(dǎo)致企業(yè)負(fù)責(zé)人以“不出事”的“管理”式思維被動(dòng)合規(guī)，影響執(zhí)法效果。其二，網(wǎng)安法設(shè)定的企業(yè)安全保護(hù)義務(wù)多為靜態(tài)性、具體措施性的義務(wù)，缺乏對內(nèi)生于企業(yè)的治理層面的義務(wù)的宏觀考量，不足以應(yīng)對多變的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。如網(wǎng)安法第10條、第21條、第34條、第42條詳細(xì)規(guī)定了網(wǎng)絡(luò)運(yùn)營者在保障網(wǎng)絡(luò)數(shù)據(jù)三性、等級保護(hù)、個(gè)人信息保護(hù)方面的具體性規(guī)定，該規(guī)定多以“技術(shù)措施”“其他必要措施”及“補(bǔ)救性措施”等靜態(tài)性、措施性規(guī)定為主。但網(wǎng)絡(luò)的“靜態(tài)”安全或“形式安全”無法從根本上應(yīng)對網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的無界傳播與溢出效應(yīng)。隨著技術(shù)的發(fā)展，移動(dòng)設(shè)備、路由器、可穿戴設(shè)備、物聯(lián)網(wǎng)等已逐步成為頂級攻擊者的目標(biāo)。美國國家安全局技術(shù)總監(jiān)戴夫·霍格(Dave Hogue)稱，黑客的速度非?？?，只要安全漏洞公開發(fā)布，國家資助的攻擊者可在不到一天的時(shí)間內(nèi)將其武器化[6]?？焖倩⑿滦突陌踩{使企業(yè)的整體安全水平只取決于企業(yè)最“弱”的一環(huán)，而不是最“強(qiáng)”的地方。靜態(tài)的企業(yè)安全風(fēng)險(xiǎn)管理思維已無法防御嚴(yán)峻的安全風(fēng)險(xiǎn)。正如有學(xué)者所言，“掛在墻上的資質(zhì)證書完全無法應(yīng)對真刀真槍的戰(zhàn)略威脅”[7]。

2.企業(yè)安全法規(guī)遵從的激勵(lì)機(jī)制缺失，難以扭轉(zhuǎn)企業(yè)信息安全治理的“被動(dòng)”思維

在全球行政改革浪潮中，命令控制式規(guī)制受到廣泛批評，激勵(lì)性監(jiān)管得到重視，人們發(fā)現(xiàn)規(guī)則如果能夠與被管理者激勵(lì)相容，會(huì)極大降低執(zhí)法成本，提高合規(guī)動(dòng)力[8]。我國網(wǎng)安法建立起企業(yè)安全義務(wù)體系框架，并通過設(shè)置法律責(zé)任予以震懾并督促企業(yè)遵從，故企業(yè)法規(guī)遵從的基本動(dòng)因仍基于法律的強(qiáng)制力。企業(yè)多具有逐利的理性人特征，多會(huì)將“安全”投入視為“成本”負(fù)擔(dān)，加之安全意識普遍淡薄和違法不利后果的威懾力有限，易導(dǎo)致企業(yè)負(fù)責(zé)人以“不出事”的“管理”式思維被動(dòng)合規(guī)。尤其是中、小型企業(yè)，網(wǎng)絡(luò)安全資源有限，安全意識更為淡薄，對安全威脅的識別、防御能力低，易成為供應(yīng)鏈安全的“短板”而降低整個(gè)供應(yīng)鏈的安全性。對安全風(fēng)險(xiǎn)的靜態(tài)與被動(dòng)防御思維根本無法有效應(yīng)對日益嚴(yán)重的安全危機(jī)。Cybereason聯(lián)合創(chuàng)始人兼首席執(zhí)行官所言：“企業(yè)在網(wǎng)絡(luò)安全領(lǐng)域的投入每年都在增加，但新型攻擊的發(fā)生率以及企業(yè)遭遇黑客入侵的情況并沒有發(fā)生實(shí)質(zhì)性的好轉(zhuǎn)。”

3.企業(yè)信息安全文化的引導(dǎo)與塑造力度欠缺，不利于形成良好的治理生態(tài)

網(wǎng)絡(luò)安全立法屬于政治上層建筑，信息安全文化屬于意識形態(tài)上層建筑，二者具有正相關(guān)的交互作用。盡管網(wǎng)安法已頒布并進(jìn)入實(shí)施正軌，國家和各級政府也積極組織舉辦“網(wǎng)絡(luò)安全宣傳周”等活動(dòng)，以此形式宣傳安全文化，但安全文化仍然難以在企業(yè)層面深入人心。企業(yè)中的每一個(gè)個(gè)體都是安全鏈條中的重要環(huán)節(jié)，任何缺乏安全意識的基層員工及管理層的疏漏都會(huì)引發(fā)安全風(fēng)險(xiǎn)乃至整個(gè)安全防御鏈條斷裂，引發(fā)難以預(yù)測的安全危機(jī)。

(三)我國企業(yè)信息安全法律治理的“重心”：法人治理

1.企業(yè)信息安全“法人治理”的內(nèi)涵

法人治理在公司法學(xué)上主要指有關(guān)公司機(jī)關(guān)的權(quán)力分配與行使關(guān)系的制度體系[9]。企業(yè)信息安全法人治理是指企業(yè)將信息安全保護(hù)義務(wù)充分融入企業(yè)機(jī)關(guān)的權(quán)力分配與權(quán)力行使關(guān)系中，以明確董高監(jiān)及中基層員工的安全義務(wù)為核心，是企業(yè)內(nèi)生的且能不斷優(yōu)化的信息安全治理結(jié)構(gòu)。

2. 企業(yè)信息安全“法人治理”的比較優(yōu)勢

其一，與技術(shù)治理及管理相比，“法人治理”可以充分發(fā)揮技術(shù)與法律二元共治，有機(jī)互補(bǔ)的優(yōu)勢。技術(shù)治理是一種運(yùn)用確定性和精確性的科學(xué)知識，對網(wǎng)絡(luò)社會(huì)中的人們的行為進(jìn)行一定的管制，以期符合治理者自身利益的活動(dòng)[10]。然而，沒有絕對完美的技術(shù)，安全風(fēng)險(xiǎn)總是存在。為了確保安全，技術(shù)人員也可能會(huì)過度使用驗(yàn)證、加密等技術(shù)而無形造成企業(yè)發(fā)展的壁壘。技術(shù)主管或安全監(jiān)管部門僅是企業(yè)整體結(jié)構(gòu)的一個(gè)很小的部分，僅從網(wǎng)絡(luò)技術(shù)角度采取安全措施或是在發(fā)生安全事故時(shí)采取一定的措施，不能從全局的角度出發(fā)解決日益嚴(yán)峻的信息安全問題[11]。故，我們需要蘊(yùn)含價(jià)值理性和道德判斷的法律的介入，通過自上而下的權(quán)力運(yùn)作，用法律的規(guī)范作用將技術(shù)與人、部門、組織有機(jī)且動(dòng)態(tài)相連，將對信息的“安全”“可控”的治理目標(biāo)以“責(zé)任”的形式傳遞、歸化到企業(yè)中的個(gè)體。

其二，“法人治理”可充分發(fā)揮企業(yè)自治的優(yōu)勢，以較少成本控制安全風(fēng)險(xiǎn)。企業(yè)是網(wǎng)絡(luò)安全事件的受害者，同時(shí)也是施害者。在安全風(fēng)險(xiǎn)治理中，與政府、個(gè)人相比，企業(yè)具有天然的優(yōu)勢。企業(yè)是安全事件的直接參與者或受害者，對風(fēng)險(xiǎn)和安全隱患具有更強(qiáng)的感知、分析和應(yīng)對能力。此外，企業(yè)具有保障網(wǎng)絡(luò)安全的軟硬件設(shè)施、專業(yè)的技術(shù)人才與資源優(yōu)勢，更易以較少的成本控制安全風(fēng)險(xiǎn)。

其三，企業(yè)信息安全法人治理回應(yīng)了企業(yè)履行保障信息安全 “社會(huì)責(zé)任”的時(shí)代訴求。施托伊雷爾認(rèn)為，現(xiàn)代多中心主義的治理方式與企業(yè)社會(huì)責(zé)任是一體兩面。它們以相似的路徑重塑著國家與私人之間的關(guān)系。參與政府治理既是企業(yè)和個(gè)人享有的一項(xiàng)權(quán)利，也是其承擔(dān)的一項(xiàng)社會(huì)責(zé)任[12]。企業(yè)內(nèi)部安全事件常導(dǎo)致社會(huì)及國家層面的較大負(fù)外部效應(yīng)，作為國家網(wǎng)絡(luò)安全保障的核心力量，企業(yè)應(yīng)時(shí)刻意識到信息安全治理的社會(huì)責(zé)任往往蘊(yùn)含著人權(quán)、社會(huì)穩(wěn)定及國家整體安全的內(nèi)容。

三、美國企業(yè)信息安全法律治理：立法監(jiān)管、企業(yè)自治及啟示

(一)立法淵源廣泛，重視保障數(shù)據(jù)的“機(jī)密性”“可用性”與“完整性”

美國企業(yè)的信息安全義務(wù)的立法淵源廣泛，主要包括聯(lián)邦、州層面的法律法規(guī)、普通法、侵權(quán)法、合同承諾、商業(yè)標(biāo)準(zhǔn)、政府規(guī)章、國際法律法規(guī)及執(zhí)法行動(dòng)等。聯(lián)邦及州層面的成文法律、法規(guī)是最主要的立法淵源，在立法措辭上多使用“安全(security)”與“保障(safeguards)”。企業(yè)的信息安全義務(wù)多以保護(hù)信息安全的三性為目的，在措辭上多使用“認(rèn)證(authenticate)”、保護(hù)數(shù)據(jù)的“完整性(integrity)”“機(jī)密性(confidentiality)”及“數(shù)據(jù)可用性(availability of data)”等予以體現(xiàn)。如，聯(lián)邦層面的立法包括1996年《健康保險(xiǎn)攜帶和責(zé)任法案》(Health Insurance Portability and Accountability Act，HIPAA)、1999年《統(tǒng)一電子商務(wù)法案》(Uniform Electronic Transaction Act，UETA)、1999年《金融服務(wù)現(xiàn)代化法案》(Gramm-Leach-Bliley Act，GLBA)、2000年《全球及國內(nèi)商務(wù)電子簽名法案》(Electronic Signatures in Global and National Commerce Act，E-SIGN)、2002年《薩班斯-奧克斯利法案》(Sarbanes-Oxley Act，SOA)、2003年《保護(hù)網(wǎng)絡(luò)空間的國家戰(zhàn)略》(National Strategy to Secure Cyberspace)、2015年《網(wǎng)絡(luò)安全法》(Cyber Security Act)等。以上立法涉及醫(yī)療健康、電子商務(wù)、金融、企業(yè)內(nèi)控等方面，涵蓋企業(yè)保障信息安全“三性”的一般義務(wù)性規(guī)定。

(二)企業(yè)信息安全義務(wù)主體為所有企業(yè)，義務(wù)客體涵蓋“所有數(shù)據(jù)”

美國企業(yè)信息安全治理義務(wù)主體涵蓋所有行業(yè)部門的所有企業(yè)。盡管早期的個(gè)別成文法將企業(yè)的信息安全義務(wù)限定于某一行業(yè)內(nèi)的企業(yè)，但隨著美國網(wǎng)絡(luò)與信息安全立法數(shù)量的增多，實(shí)際上所有企業(yè)承擔(dān)了立法賦予的信息安全義務(wù)。在司法實(shí)踐中，美國企業(yè)信息安全義務(wù)的法律演進(jìn)始于聯(lián)邦貿(mào)易委員會(huì)(FTC)反公平貿(mào)易的實(shí)踐，隨后眾多的州立法持續(xù)跟進(jìn)，法院通過一系列司法判例將企業(yè)信息安全義務(wù)擴(kuò)展至所有企業(yè)。2002年起，借助于一系列的執(zhí)法行動(dòng)及同意令,美國FTC根據(jù)《聯(lián)邦貿(mào)易委員會(huì)法》(FTC Act)關(guān)于反公平貿(mào)易的規(guī)定擴(kuò)大了其執(zhí)法行動(dòng)的范圍，認(rèn)為企業(yè)即使未對信息安全狀況作出虛假陳述，但怠于履行個(gè)人信息安全保障義務(wù)本身就是一種不公平的貿(mào)易行為。2004年，加州頒布了一項(xiàng)立法，規(guī)定所有企業(yè)應(yīng)采取合理的安全措施與實(shí)踐，保護(hù)加州居民的個(gè)人信息免受未經(jīng)授權(quán)的訪問、破壞、使用、修改或披露。隨后，其他州也紛紛效仿，加入立法行列。此外，通過典型案例的審判，法院也開始意識到所有企業(yè)都有保障個(gè)人信息安全的普通法義務(wù)，未能履行該義務(wù)即構(gòu)成侵權(quán)[13]。

值得一提的是，近年來美國政府意識到小企業(yè)在美國制造業(yè)供應(yīng)鏈中占據(jù)重要地位，但在國防工業(yè)基礎(chǔ)方面存在弱點(diǎn)，尤其在網(wǎng)絡(luò)安全威脅和數(shù)據(jù)泄露方面也存在脆弱性及安全漏洞。2018年，美國總統(tǒng)特朗普正式簽署《NIST小企業(yè)網(wǎng)絡(luò)安全法案》(NIST Small Business Cybersecurity Act)，將小企業(yè)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防御與治理納入美國聯(lián)邦法律。此外，美國企業(yè)信息安全義務(wù)的客體為所有的公司數(shù)據(jù)，主要包括個(gè)人數(shù)據(jù)、其他公司數(shù)據(jù)、電子記錄。個(gè)人數(shù)據(jù)保護(hù)與美國源遠(yuǎn)流長的隱私保護(hù)制度密切相關(guān)，眾多聯(lián)邦立法及州層面的立法都有明確規(guī)定。其他公司數(shù)據(jù)包括公司財(cái)務(wù)數(shù)據(jù)、交易記錄、稅收記錄。

(三)更具彈性的“合理安全(reasonable security)”標(biāo)準(zhǔn)是衡量企業(yè)信息安全治理成熟度的法定基線，“合理安全”以“程序?qū)?process-oriented)”為評判標(biāo)準(zhǔn)

美國著名密碼學(xué)家Bruce Schneier經(jīng)典名言，“安全是一個(gè)過程而并非結(jié)果(Security is a process,not a product)[14]。美國人早已意識到信息技術(shù)快速更迭必然帶來新的安全風(fēng)險(xiǎn)，法律的穩(wěn)定性難以應(yīng)對新的安全危機(jī)，企業(yè)的信息安全義務(wù)的衡量標(biāo)準(zhǔn)應(yīng)更具彈性與張力。美國立法并未明文規(guī)定企業(yè)應(yīng)采取什么樣的具體安全措施以確保企業(yè)獲得足夠的安全保障，而是要求企業(yè)滿足更具彈性的“合理安全(reasonable security)”標(biāo)準(zhǔn)，與之類似的還有“適當(dāng)安全(appropriate security)”“合適安全(suitable security)”。 “合理安全”標(biāo)準(zhǔn)并非特指具體的安全措施，而是在實(shí)踐中可發(fā)展、可改進(jìn)且能有效應(yīng)對安全風(fēng)險(xiǎn)的動(dòng)態(tài)標(biāo)準(zhǔn)。企業(yè)是否履行信息安全義務(wù)以“程序?qū)?process-oriented)”為主要評價(jià)標(biāo)準(zhǔn)。企業(yè)信息安全的法律標(biāo)準(zhǔn)要求公司實(shí)施綜合性的及書面性的信息安全程序，包括：(1)識別被保護(hù)的信息及其系統(tǒng)資產(chǎn)；(2)進(jìn)行周期性的風(fēng)險(xiǎn)評估以識別公司所面臨的資產(chǎn)威脅、脆弱性評估及其威脅發(fā)生后造成的損失；(3)選擇并實(shí)施適當(dāng)?shù)陌踩刂拼胧┮钥刂骑L(fēng)險(xiǎn)的識別；(4)監(jiān)控與測試項(xiàng)目以確保其有效性；(5)根據(jù)項(xiàng)目的變化進(jìn)行不斷的審查與調(diào)試，包括進(jìn)行常規(guī)性的獨(dú)立審計(jì)并在必要時(shí)進(jìn)行報(bào)告；(6)監(jiān)督第三方服務(wù)提供者的協(xié)議。實(shí)際，以上的過程并非一成不變，還可被不斷地審查、修訂及升級[13]。在美國的司法實(shí)踐中，“程序?qū)蛐汀钡墓拘畔踩蓸?biāo)準(zhǔn)是基于GLBA的規(guī)定，首先應(yīng)用于一些關(guān)于金融行業(yè)的企業(yè)信息安全規(guī)制中。隨后， HIPAA也有類似的規(guī)定。

除上述成文法規(guī)定外，美國FTC認(rèn)為企業(yè)應(yīng)將“程序?qū)蛐?process-oriented)”標(biāo)準(zhǔn)作為企業(yè)最佳實(shí)踐(best practice)應(yīng)用于所有企業(yè)，未能履行該標(biāo)準(zhǔn)的企業(yè)將被FTC裁定為未履行“合理的”信息安全義務(wù)。在一些典型案例中，“程序?qū)蛐汀背蔀樗痉▽?shí)踐中法官認(rèn)定被告是否違反“合理安全”義務(wù)的主要審查標(biāo)準(zhǔn)。

(四)優(yōu)化的“法人治理結(jié)構(gòu)”是企業(yè)信息安全治理的重心

美國政府認(rèn)為建立自律且持續(xù)完善的企業(yè)信息安全治理結(jié)構(gòu)是應(yīng)對企業(yè)信息安全難題的有力手段。早在2003年8月，美國商業(yè)軟件聯(lián)盟(BSA)信息安全特別工作組在華盛頓召開的商業(yè)軟件聯(lián)盟年度CEO論壇上提交了名為“信息安全治理：從框架邁向行動(dòng)”的白皮書[15]。白皮書認(rèn)為，盡管政府已經(jīng)制定了眾多的法律規(guī)制企業(yè)IT安全，但企業(yè)建立有效的、可持續(xù)的信息安全治理框架仍不可替代。2004年12月，美國國土安全部(DHS)在加州圣克拉拉市主辦的“國家網(wǎng)絡(luò)安全峰會(huì)”成立 “法人治理工作組”[16]并發(fā)布了“信息安全治理行動(dòng)倡議(call for action)”報(bào)告[17]。該報(bào)告將企業(yè)理想的企業(yè)信息安全治理結(jié)構(gòu)以企業(yè)規(guī)模為分類標(biāo)準(zhǔn)，歸納為大型企業(yè)、中型企業(yè)、小型企業(yè)及公共機(jī)構(gòu)幾種類型(見圖1—圖4)，為企業(yè)信息安全治理結(jié)構(gòu)的建立與完善提供了指引。

(五)明晰CEO及高級管理人員信息安全責(zé)任是企業(yè)信息安全治理的關(guān)鍵

美國企業(yè)CEO及其高管人員的信息安全趨于明晰，如2004年美國“信息安全治理行動(dòng)倡議”的報(bào)告從職能主體層面明確了大型、中型、小型及公共機(jī)構(gòu)在總裁、首席安全官、首席信息官、首席風(fēng)險(xiǎn)官、部門負(fù)責(zé)人、中層主管，以及雇傭員工層面的信息安全職責(zé)，為企業(yè)信息安全治理義務(wù)的明確提供了指引(見表1)。

表1 美國企業(yè)信息安全職責(zé)

(六)啟示

從以上內(nèi)容綜合分析來看，美國企業(yè)信息安全治理具有如下鮮明的特征。第一，美國企業(yè)信息安全法律治理呈現(xiàn)出立法監(jiān)管與企業(yè)自治有機(jī)結(jié)合與互補(bǔ)的特色。在國家立法監(jiān)管層面，美國沒有單一立法明確規(guī)定企業(yè)應(yīng)采取什么樣的具體的安全措施以確保信息安全“三性”，而是為企業(yè)設(shè)定了一個(gè)更具彈性的“合理安全”的法定基線，企業(yè)是否履行義務(wù)在司法實(shí)踐中以“程序?qū)颉睘樵u判標(biāo)準(zhǔn)。由此可見，國家立法監(jiān)管在企業(yè)信息安全治理中僅起到宏觀引導(dǎo)與規(guī)范的作用，而不同類型的企業(yè)在如何合規(guī)中倚重“程序正義”的指引，兩者各有其作用發(fā)揮的空間。第二，企業(yè)信息安全治理的定位明確合理，即企業(yè)信息安全治理是“法人治理”問題而非技術(shù)問題或管理問題。立法鼓勵(lì)不同規(guī)模的企業(yè)根據(jù)自身實(shí)際量身定做最優(yōu)化的法人治理結(jié)構(gòu)，從而將信息安全治理深度融入企業(yè)機(jī)關(guān)的權(quán)力分配與行使關(guān)系中，最終將信息安全融入企業(yè)的文化基因。企業(yè)自治在信息安全治理中更為核心，是有效實(shí)現(xiàn)信息安全“合理安全”的關(guān)鍵。第三，美國企業(yè)的信息安全治理義務(wù)覆蓋大、中、小型企業(yè)。近年來，美國開始意識到小企業(yè)是供應(yīng)鏈安全中不容忽視的一環(huán)，將對小企業(yè)的安全風(fēng)險(xiǎn)防控提升到立法層面，這表明美國意識到網(wǎng)絡(luò)安全風(fēng)險(xiǎn)嚴(yán)峻，網(wǎng)絡(luò)安全的“短板效應(yīng)”需要“整體安全”的防御思維予以消解。第四，企業(yè)信息安全法人治理的關(guān)鍵環(huán)節(jié)在于明晰大、中、小型企業(yè)，以及公共機(jī)構(gòu)的高、中級管理人員的信息安全責(zé)任，清晰的責(zé)任分配機(jī)制有利于企業(yè)內(nèi)部不同部門的協(xié)作與追責(zé)，實(shí)現(xiàn)企業(yè)信息安全法人治理效用的最大化。

四、企業(yè)信息安全法律治理的中國進(jìn)路

企業(yè)信息安全法律治理成熟度是衡量國家網(wǎng)絡(luò)安全強(qiáng)弱與否的重要標(biāo)尺。中國企業(yè)信息安全法律治理應(yīng)在借鑒發(fā)達(dá)國家有益經(jīng)驗(yàn)的基礎(chǔ)上立足于本國國情，妥善處理好安全與發(fā)展、立法監(jiān)管與企業(yè)自治的關(guān)系。在立法層面應(yīng)明確企業(yè)信息安全法律治理的基本原則，充分發(fā)揮立法對于企業(yè)信息安全治理的指引、監(jiān)督與激勵(lì)作用，激勵(lì)企業(yè)從被動(dòng)“合規(guī)”邁向主動(dòng)“治理”，將信息安全文化融入不斷優(yōu)化的企業(yè)治理結(jié)構(gòu)中，以助力網(wǎng)絡(luò)強(qiáng)國建設(shè)。

(一)企業(yè)信息安全法律治理應(yīng)謹(jǐn)慎權(quán)衡“安全”與“發(fā)展”的關(guān)系

盡管網(wǎng)安法標(biāo)題貫以安全，但安全與發(fā)展天平卻不能失衡。立法對于“安全”的過分倚重將制約發(fā)展，難以確保整體國家安全。發(fā)展是化解安全危機(jī)的前提，發(fā)展意味著我們將掌控、利用更為先進(jìn)的技術(shù)、產(chǎn)業(yè)，培養(yǎng)出成千上萬的安全頂級人才去促進(jìn)安全。發(fā)展思維將使我們扭轉(zhuǎn)任何封閉與停滯的觀念，例如辯證地將漏洞攻擊與信息泄露視為安全防御能力的提升和治理手段的完善會(huì)為我們提供豐富的實(shí)踐案例和經(jīng)驗(yàn)教訓(xùn)。反之，網(wǎng)絡(luò)安全立法對“發(fā)展”的過分倚重將導(dǎo)致社會(huì)機(jī)體對安全風(fēng)險(xiǎn)抵抗力的降低或喪失。

我國信息與數(shù)字化的水平與發(fā)達(dá)國家相比較低，產(chǎn)業(yè)低端重復(fù)、創(chuàng)新乏力是痼疾。謹(jǐn)慎權(quán)衡安全發(fā)展需要我們不忽視具體國情，充分發(fā)揮“治理”型立法的引導(dǎo)、激勵(lì)作用。一方面，企業(yè)信息安全法人治理應(yīng)立足于國家“整體安全”防御思維，即重視關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營企業(yè)，也兼顧小型企業(yè)網(wǎng)絡(luò)安全，以消弭安全“短板”；另一方面，企業(yè)信息安全法人治理結(jié)構(gòu)應(yīng)“量體裁衣”，重視規(guī)范個(gè)體責(zé)任和企業(yè)安全文化的普及。

(二)優(yōu)化我國企業(yè)信息安全法律治理的基本路徑

1.立法應(yīng)明確企業(yè)信息安全法律治理的基本原則

(1)依法治理原則。一方面，企業(yè)信息安全治理應(yīng)基于國家引導(dǎo)與立法規(guī)范，以相關(guān)法律原則、規(guī)則為治理依據(jù)；另一方面，企業(yè)應(yīng)以法律為遵從基線，依法確立法人治理的組織架構(gòu)、安全管理與技術(shù)標(biāo)準(zhǔn)、產(chǎn)品設(shè)計(jì)、研發(fā)流程等。依法治理原則既要求企業(yè)有法可依，亦要求企業(yè)有法必依。企業(yè)有法可依需要網(wǎng)絡(luò)安全法制體系的建立與完善，為企業(yè)遵從營造一個(gè)法制化的環(huán)境，而企業(yè)有法必依則考驗(yàn)企業(yè)高管對于法規(guī)遵從的智慧。

(2)CEO參與原則。企業(yè)信息安全是企業(yè)法人治理層面的問題，應(yīng)該引起CEO的高度重視與參與。一是企業(yè)CEO應(yīng)參與企業(yè)信息安全的戰(zhàn)略規(guī)劃與政策制定；二是CEO應(yīng)參與、監(jiān)督、協(xié)調(diào)企業(yè)信息安全政策的執(zhí)行；三是CEO應(yīng)對企業(yè)信息安全義務(wù)的履行不能，承擔(dān)相應(yīng)的責(zé)任。

(3)透明度原則。企業(yè)信息安全法人治理結(jié)構(gòu)應(yīng)當(dāng)是企業(yè)法人治理的一個(gè)子集并確保其透明化。企業(yè)對安全事故的披露也應(yīng)當(dāng)透明化。企業(yè)在安全事故發(fā)生后，依法以特定的方式及時(shí)將該安全事故信息、潛在的風(fēng)險(xiǎn)、采取的措施通知監(jiān)管部門和利益相關(guān)者。盡管信息安全的披露在短期內(nèi)會(huì)增加企業(yè)利益減損，但從長遠(yuǎn)看有益于增強(qiáng)相關(guān)行業(yè)和整個(gè)產(chǎn)業(yè)抵御安全風(fēng)險(xiǎn)的能力。

2.充分發(fā)揮立法的引導(dǎo)與激勵(lì)作用，鼓勵(lì)企業(yè)從“被動(dòng)”合規(guī)邁向“主動(dòng)”治理

法律的激勵(lì)功能、懲戒功能同組織管理功能一并作為法律的三大基本功能，激勵(lì)功能的社會(huì)認(rèn)同感最強(qiáng)。激勵(lì)法律的制定是基于人們對不同利益的需求，通過給予利益，激發(fā)人們的積極性，從而實(shí)施法律所希望的行為，不僅給行為人帶來利益，也能達(dá)成立法者預(yù)期的某種效果[18]。與美國相比，我國網(wǎng)絡(luò)安全立法起步較晚，企業(yè)網(wǎng)安法合規(guī)欠賬多，法規(guī)遵從需要企業(yè)投入更多的資金與人力成本，故一些企業(yè)存在畏難、抵觸情緒。我們需要思考如何在發(fā)揮立法懲戒功能的同時(shí)發(fā)揮其激勵(lì)功能，調(diào)動(dòng)企業(yè)守法能動(dòng)性，使企業(yè)從“安全是成本”轉(zhuǎn)變?yōu)椤鞍踩峭顿Y”[19]，進(jìn)而從“被動(dòng)”合規(guī)邁向“主動(dòng)”治理。完善網(wǎng)安法的激勵(lì)功能，鼓勵(lì)行業(yè)自律與企業(yè)自治，根據(jù)企業(yè)信息安全法人治理的成熟度給予物質(zhì)性、精神性及責(zé)任豁免性獎(jiǎng)勵(lì)，具體激勵(lì)方式可包括并不限于財(cái)政補(bǔ)貼、稅收激勵(lì)、政府項(xiàng)目優(yōu)先(如資源申請優(yōu)先)、精神性表彰或獎(jiǎng)勵(lì)及責(zé)任豁免。

3.立法引導(dǎo)和激勵(lì)企業(yè)建立“強(qiáng)制與自愿相結(jié)合”的信息安全“法人治理”結(jié)構(gòu)，消弭安全“短板”

企業(yè)信息安全法人治理結(jié)構(gòu)的建立和優(yōu)化應(yīng)當(dāng)成為我國企業(yè)信息安全法律治理的重心。立法應(yīng)當(dāng)鼓勵(lì)所有企業(yè)根據(jù)其實(shí)際情況構(gòu)建“強(qiáng)制與自愿相結(jié)合”的法人治理結(jié)構(gòu)。建議延續(xù)網(wǎng)安法的制度設(shè)計(jì)思路，對國家網(wǎng)絡(luò)安全保障中具有“關(guān)鍵性”及“戰(zhàn)略性”的關(guān)鍵信息基礎(chǔ)設(shè)施(CII)運(yùn)營者進(jìn)行強(qiáng)制性法人信息安全治理,對于非CII運(yùn)營者則以立法激勵(lì)與企業(yè)自愿為主。強(qiáng)制性的制度內(nèi)容包括：第一，對于大、中型CII運(yùn)營者構(gòu)建層級清晰、權(quán)責(zé)分明的信息安全法人治理結(jié)構(gòu)，并將其作為法人治理結(jié)構(gòu)的一個(gè)子集予以重視。企業(yè)董事會(huì)(或董事長)、高層主管應(yīng)從戰(zhàn)略上重視對安全風(fēng)險(xiǎn)的“感知—抵御—應(yīng)對”，將防控安全風(fēng)險(xiǎn)融入企業(yè)戰(zhàn)略規(guī)劃、資金預(yù)算、業(yè)務(wù)拓展、產(chǎn)品研發(fā)與銷售等關(guān)鍵環(huán)節(jié)，最終將安全融入企業(yè)文化。

企業(yè)信息安全法人治理的關(guān)鍵在于明確企業(yè)的董事會(huì)(或董事長)、CEO(或總裁)、高層主管(包括首席安全官、首席信息官、首席風(fēng)險(xiǎn)官及部門主管)、中層主管及普通員工的信息安全職責(zé)：(1)企業(yè)董事會(huì)(或董事長)應(yīng)當(dāng)從戰(zhàn)略上充分認(rèn)識信息及信息安全的重要價(jià)值，確定企業(yè)重要資產(chǎn)，統(tǒng)一部署企業(yè)綜合性、全局性的信息安全計(jì)劃(如企業(yè)級漏洞響應(yīng)計(jì)劃或綜合性風(fēng)險(xiǎn)評估計(jì)劃)，監(jiān)督企業(yè)高管定期匯報(bào)信息安全計(jì)劃執(zhí)行的適當(dāng)性和有效性。(2)CEO(或總裁)是企業(yè)信息安全的直接負(fù)責(zé)人。應(yīng)當(dāng)確保知悉企業(yè)的戰(zhàn)略計(jì)劃、風(fēng)險(xiǎn)偏好及運(yùn)營策略，在此基礎(chǔ)上制定、升級企業(yè)的信息安全政策，監(jiān)督企業(yè)對國家法律法規(guī)的全面遵從；對企業(yè)其他中高層主管、員工分派信息安全責(zé)任、義務(wù)及權(quán)力，明確不同層級人員因法規(guī)遵從或企業(yè)信息安全計(jì)劃產(chǎn)生的授權(quán)行為與執(zhí)行責(zé)任，監(jiān)督、協(xié)調(diào)企業(yè)信息安全政策的執(zhí)行；向董事會(huì)報(bào)告企業(yè)信息安全政策的執(zhí)行，包括關(guān)鍵風(fēng)險(xiǎn)識別、風(fēng)險(xiǎn)評估結(jié)果、企業(yè)風(fēng)險(xiǎn)耐受水平及風(fēng)險(xiǎn)防控計(jì)劃；選任專業(yè)資質(zhì)的信息安全官執(zhí)行企業(yè)信息安全政策；確保企業(yè)有充足的人力、財(cái)力及技術(shù)資源以執(zhí)行安全政策。(3)企業(yè)高層主管應(yīng)確保企業(yè)的安全政策與企業(yè)戰(zhàn)略、業(yè)務(wù)的一致性，與公司內(nèi)外的利益相關(guān)方溝通協(xié)調(diào)；檢查企業(yè)信息安全政策的進(jìn)展和執(zhí)行，確保安全法規(guī)的遵從；確保企業(yè)的信息安全保護(hù)措施與企業(yè)可能承受的信息安全風(fēng)險(xiǎn)相匹配；與各部門負(fù)責(zé)人協(xié)調(diào)一致，定期向CEO(或總裁)匯報(bào)信息安全計(jì)劃的執(zhí)行情況；確保企業(yè)員工接受有效的信息安全培訓(xùn)并知悉企業(yè)的安全政策。(4)企業(yè)中層主管在風(fēng)險(xiǎn)評估和成本最小化的基礎(chǔ)上執(zhí)行企業(yè)的信息安全計(jì)劃；定期測試、評估企業(yè)的信息安全控制技術(shù)、措施，確保其有效運(yùn)行；確保雇員、合同相對人和用戶對企業(yè)信息安全責(zé)任的履行。(5)企業(yè)員工應(yīng)知悉、遵守企業(yè)的信息安全政策，及時(shí)報(bào)告政策的弱點(diǎn)及突發(fā)性信息安全事件的影響。

第二，對于資金有限、安全保護(hù)措施不夠完善的小型CII運(yùn)營者，可考慮給予一些資源支持與協(xié)調(diào)，確保其構(gòu)建與自身實(shí)際相符的安全治理結(jié)構(gòu)。充分重視企業(yè)總經(jīng)理或中層主管信息安全責(zé)任之履行，包括總經(jīng)理應(yīng)當(dāng)確保公司戰(zhàn)略、運(yùn)營流程與企業(yè)信息安全治理需求相融合；識別企業(yè)重要資產(chǎn)、評估信息系統(tǒng)安全風(fēng)險(xiǎn)、制定應(yīng)急計(jì)劃等；確保企業(yè)對于安全的資金投入；中層主管應(yīng)當(dāng)負(fù)責(zé)執(zhí)行企業(yè)的信息安全政策，階段性地測試評估信息安全控制項(xiàng)，確保有效實(shí)施；確保對企業(yè)雇員的信息安全培訓(xùn)

4.重視企業(yè)董事、高級管理人員信息安全義務(wù)的履行，將其作為《公司法》董事、高級管理人員“忠實(shí)與勤勉義務(wù)”的適當(dāng)延伸

忠實(shí)與勤勉義務(wù)是現(xiàn)代治理結(jié)構(gòu)下企業(yè)董事會(huì)成員對于公司的法定義務(wù)。我國公司法第148條對董事及高級管理人員的忠實(shí)與勤勉義務(wù)作出了明確規(guī)定。實(shí)踐中，董事及高管義務(wù)有擴(kuò)大趨勢，這源于法律從 “股東至上”到對企業(yè)社會(huì)責(zé)任及利益相關(guān)者權(quán)益保護(hù)之重視。目前，嚴(yán)峻的信息安全風(fēng)險(xiǎn)正威脅著我國國家安全、社會(huì)穩(wěn)定及個(gè)人權(quán)益，企業(yè)應(yīng)勇于承擔(dān)保障信息安全的社會(huì)責(zé)任，這也依賴于企業(yè)董事及高管對于信息安全義務(wù)的積極履行。企業(yè)董事及高管的信息安全義務(wù)可作為公司法層面“忠實(shí)與勤勉”義務(wù)的有機(jī)組成部分，包括：(1)基本的信息安全義務(wù)，即確保企業(yè)對國家網(wǎng)絡(luò)與信息安全立法制度(如CII保護(hù)，網(wǎng)絡(luò)安全審查、數(shù)據(jù)出境評估等)的全面遵從，配合、協(xié)助執(zhí)法檢查。(2)履行其在企業(yè)信息安全法人治理中的核心義務(wù)，包括被保護(hù)的信息與資產(chǎn)的識別；制定、升級企業(yè)的信息安全政策；安全風(fēng)險(xiǎn)評估；確保企業(yè)員工接受有效的信息安全培訓(xùn)；確保企業(yè)有充足的人力、財(cái)力及資源實(shí)現(xiàn)公司的安全政策。此外，還可鼓勵(lì)公司章程中增加董事、高管對于保障企業(yè)信息安全的注意義務(wù)，接受公司股東與公眾的監(jiān)督。

5.引導(dǎo)和促進(jìn)企業(yè)信息安全文化建設(shè)，深度融入企業(yè)法人治理中，以凸顯安全文化的價(jià)值

法律對于安全風(fēng)險(xiǎn)的防控需要借助文化的力量，通過主流文化的傳播使法律價(jià)值得到普遍認(rèn)同，從而有效提升法律的實(shí)施效果。企業(yè)信息安全文化建設(shè)可助力于修復(fù)不同社會(huì)主體的安全認(rèn)知“漏洞”，提升企業(yè)在網(wǎng)絡(luò)安全保障中的效用。企業(yè)信息安全文化建設(shè)不可忽視兩個(gè)層面：一是重視企業(yè)信息安全文化在法人治理層面的融合。企業(yè)信息安全文化不只局限于員工安全培訓(xùn)等常規(guī)活動(dòng)，還應(yīng)當(dāng)在企業(yè)的總體戰(zhàn)略、理念、形象識別、業(yè)務(wù)規(guī)劃、生產(chǎn)過程控制及監(jiān)督反饋等各個(gè)方面融合安全文化的內(nèi)容，最終將安全文化融入企業(yè)法人治理結(jié)構(gòu)中；二是重視從企業(yè)高管到基層員工的 “個(gè)體”信息安全意識的提升，將安全意識與個(gè)體責(zé)任掛鉤，使“人”成為企業(yè)安全風(fēng)險(xiǎn)防御的最強(qiáng)大資產(chǎn)。安全文化的普及與人的安全意識的提升是對抗攻擊的最有效的武器。