《网络安全法》自2017年6月1日起生效实施至今已近四年。作为我国第一部涉网络安全的专门性综合立法，《网络安全法》规范了网络空间多元主体的责任义务，为网络参与者提供了应当普遍遵守的基本法律准则和依据【1】。随后，以《网络安全法》为依据的各具体法规、部门规章、国家标准和行业标准陆续出台，为各领域网络参与者落实《网络安全法》相关要求提供了更详实的依据与参考。截至2020年底，我们国家陆续出台的以《网络安全法》为制订依据，或与《网络安全法》要求有关的（包括个人信息与数据）各类法律法规、部门规章、国家标准和行业标准（包括草案/征求意见稿等），累计已有数百项之多。

随着相关法律体系的发展，我们发现越来越多的客户出于自身风控需求，开始就有关网络安全的合规问题前来咨询，甚至不少客户由于项目相对方和/或部分监管部门要求，而不得不向我们寻求相应帮助。可以说，企业涉网络安全（含个人信息和数据安全）项目的合规驱动力正在由过往的利益性驱动过渡到利益驱动与强制性驱动并重。企业对相关业务进行网络安全与数据保护合规性审查（或尽职调查）的必要性开始显现。有基于此，我们结合有关项目经验，在此就网络安全与数据合规性审查实务进行简要介绍。

进入正文前，我们认为有必要就以下内容进行说明：严格意义上，“网络安全”、“信息”、“个人信息”、“数据”是四个不同的概念。但在特定情境下，四者可以实现统一。首先，我们认为以电子方式记录的信息和以电子方式记录的数据在概念上进行区分没有绝对的意义，且在实际场合的概念运用上也没有固定的标准【2】。因此，以电子方式记录的信息和以电子方式记录的数据宜理解为同一概念。其次，个人信息本身属于信息的范畴。因此，以电子方式记录的个人信息，应视为被包含于以电子方式记录的数据这一概念中。接下来，虽然“网络安全”一般指网络运行安全，包括网络基础设施安全、后台系统安全以及用户安全。但是，在《网络安全法》下，“网络安全”还包括保障网络数据的完整性、保密性、可用性的能力【3】。而所谓网络数据，是指通过网络收集、存储、传输、处理和产生的各种电子数据【4】。在此处，我们认为网络数据同样可以理解为以电子方式记录的数据。因此，可以说在《网络安全法》下，“网络安全”既包含了网络运行安全，也包含了以电子方式记录的数据（含以电子方式记录的个人信息）的安全。至此，“网络安全”、“信息”、“个人信息”、“数据”在《网络安全法》下实现统一。是故，本文所称网络安全与数据合规性审查，特指《网络安全法》及与其相关的法律法规项下的网络运行安全及以电子方式记录的数据（含以电子方式记录的个人信息）合规性审查。

如前文所述，我们认为企业开展网络安全与数据合规性审查的驱动力主要来自利益驱动与法律强制驱动两大因素。

所谓利益驱动，是指企业为确保自己财产和权益不受损害而对自身或交易中涉及的网络安全和与数据相关的设备、项目、状态等进行合规性审查。尽管我们国家对网络系统、数据等是否属于法律意义上的财物暂时没有明确规定，但在现实世界中，网络系统、数据以及数据服务等已经真真切切地成为许多企业的核心资产与竞争力，并可以被作为标的在不同主体之间进行交易和转让。此时，企业开展网络安全与数据合规性审查，目的就是为了确保自己持有或将获得的涉及网络安全和与数据相关的设备、项目、状态等是权属清晰、内容明确和价值稳定的。

所谓法律强制驱动，是指企业为了避免因为对自身和/或交易中涉及网络安全和与数据相关的设备、项目、状态等情况没有充分、全面的了解，导致后续承担相应民事、行政乃至刑事责任，而开展网络安全与数据合规性审查。具体来说：

企业可能因没有构建完善的网络安全与数据合规性体系，或没有在涉及网络安全与数据项目中采取合规的生产经营方式，而需就由此给第三方造成的损害承担相应民事赔偿责任。

例如，企业可能因为没有制定妥善的用户个人信息操作指引或实施符合法律要求的网络安全技术措施，使得用户信息被泄露。此时，用户可以向法院提起诉讼，要求企业就由此给其造成的损失承担相应赔偿责任。且在此类（企业利用个人信息进行经营活动）案件中，由于用户相对于企业在证据搜集和举证能力上处于弱势地位，法院可能会考虑双方当事人之间的实质公平正义，而分配给企业更重的举证责任【5】。

再如，企业可能因为不当利用技术手段，如屏蔽或者过滤片前广告（企业在破解其他经营者验证算法，取得有效密钥后生成请求播放视频的SC值从而绕开相应经营者的片前广告【6】）等，而被认定为存在妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为【7】或未遵守法律和商业道德【8】，从而需要承担不正当竞争领域下的相应民事责任。

根据《网络安全法》及相关法律法规，如果企业未能履行相应网络安全义务，可能面临的行政处罚有：责令改正，给予警告；对企业和/或直接负责的主管人员和其他直接责任人罚款；责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照；拘留。

例如，某银行股份有限公司因发生重要信息系统突发事件未报告、数据安全管理较粗放，存在数据泄露风险、网络信息系统存在较多漏洞等六项原因于今年1月被中国银行保险监督管理委员会罚款420万元【9】。

企业还应在生产经营以及拟进行的交易中关注可能因网络安全与数据合规引发的刑事风险。在司法实践中，涉及网络安全与数据合规常见的罪名有侵犯公民个人信息罪，非法入侵计算机系统罪，非法获取计算机信息系统数据、非法控制计算机信息系统罪，拒不履行信息网络安全管理义务罪，以及侵犯著作权罪等。

例如，某装饰有限公司为获取非法利益，采取非法方式获取大量楼盘业主房产信息，并通过电话方式联系相应业主推销装修业务。最终，此案被认定为单位犯罪，单位被判处罚金，相关业务直接负责的主管人员（本案中也是该公司股东、法定代表人及董事长）和直接责任人（共4名）均被认定为犯侵犯公民个人信息罪，分别被判处有期徒刑，并处罚金【10】。

再如，以营利为目的，未经著作权人许可，复制发行非法获取的计算机信息系统数据的（如，通过入侵计算机系统等非法手段获得计算机软件源代码，并在破解后搭建私服招揽用户），有可能被认定为犯侵犯著作权罪【11】。

根据上述内容，我们认为企业开展网络安全与数据合规性审查既是对自身网络安全与数据资产及相应权益的维护，更是对相关潜在法律风险的排查，具有相当的必要性。

首先需要说明的是，我们国家暂时没有关于网络安全与数据合规性审查（或尽职调查）的统一法律标准或要求。一方面，我们国家的网络安全与数据领域的法律体系还处于逐步发展与完善阶段，许多配套法律法规及标准还待落地实施或仍在制订中。再一方面，每个企业因其所处行业和具体业务模式不同，需要关注和采取的网络安全与数据合规措施不尽相同。因此，目前在网络安全与数据合规性审查（或尽职调查）工作中并没有放之四海皆准的模板。但在充分研究并领会《网络安全法》及相关法律法规的立法精神与思路后，我们认为企业在开展网络安全与数据合规性审查工作时并非无迹可寻。具体来说：

企业可以考虑从网络安全管理制度合规性和网络安全技术措施合规性两个方面重点开展网络安全合规性审查。

所谓网络安全管理制度合规性，是指企业是否具备并有效执行符合法律法规要求的网络安全管理制度，包括但不限于：合法且充分的网络安全部门组织架构、内部安全管理制度和操作规程、网络关键设备和网络安全专用产品的采购流程、重要系统和数据库的备份恢复机制、网络安全教育和技术培训记录、网络信息安全投诉举报制度、网络安全事件应急预案。

所谓网络安全技术措施合规性，是指企业是否采取符合法律法规要求的，并与企业业务特点和规模所相称的网络安全技术措施，包括但不限于：为防范计算机病毒和网络攻击、网络入侵等危害网络安全行为的技术措施，用于监测和记录网络运行状态和网络安全事件的技术措施，用于数据分类、备份和加密的技术措施，符合国家法律规定和要求的网络设备等。

审查是否具备和采取上述管理制度与技术措施只是合规性审查的第一步，企业还应当结合自身和/或交易所涉及的行业以及具体业务情境（如，涉网产品开发及运维情况、企业网络接入情况、网络及数据流动状况）等要素，具体审查相应管理制度与技术措施是否合规。例如，根据《网络安全法》，被认定为是关键信息基础设施的运营者的企业需要履行更多和更高标准的安全保护义务。

企业可以考虑从数据收集、使用（含存储）、共享与传输三个环节重点开展数据合规性审查。

数据收集环节，企业可以重点关注的问题包括但不限于：直接收集的情况下，数据收集主体是否遵循合法性、正当性、必要性等原则；间接收集的情况下，数据来源是否可追溯、数据权属是否清晰；以及是否具备符合法律要求且适用于具体数据收集情境的内外制度和/或协议，如《隐私政策》等。

数据使用（含存储）环节，企业可以重点关注的问题包括但不限于：数据存储地点和时限是否符合法律法规的要求；数据使用的方式与用途是否符合所应遵守的规则和/或约定；是否具备符合法律要求的内控制度（如《用户信息处理规范》等限制和规范内部人员接触和处理用户信息的管理制度）。

数据共享与传输环节，企业可以重点关注的问题包括但不限于：数据向第三方进行共享与传输是否符合所应遵守的规则和/或约定；数据接收方是否具备符合法律要求和/或约定的数据安全能力；涉及数据跨境传输的，跨境传输的内容、方式是否符合法律要求，且已履行相应前置程序（如有）。

数据合规性审查同样需要结合企业自身和/或交易所涉及的行业以及具体业务情境等要素，具体判断相应行为和/或制度是否合规。例如，按照性质不同，企业生产经营过程中可能接触并处理到一般经营信息、用户和/或员工个人信息、商业秘密、国家秘密（特殊行业或业务可能涉及）等不同类别的信息，而每种类别的数据其应遵循的合规要求和/或标准是完全不同的。再如，以个人信息为例，个人敏感信息与一般个人信息的合规标准是不一样的；儿童（不满十四周岁的未成年人）个人信息与一般个人信息的合规标准也是不一样的；而金融业机构除需遵守《个人信息安全规范》等国标外，还需遵守《个人金融信息保护技术规范》。

最后，在开展网络安全与数据合规性审查工作时我们还建议企业重点关注资质问题以及不良记录问题。

所谓资质问题，是指特定网络与数据服务可能需要取得相应资质和/或技术证书（认证）方可开展，否则可能会触发非法经营等法律风险。例如，某企业在没有充分进行网络安全与数据合规性审查的情况下引入了某客服呼叫中心服务提供商，但该服务提供商其实并未取得相应增值电信业务经营许可证。最终，该服务提供商因涉嫌非法经营被移交司法机关追究相应法律责任，而该企业不但前期预支付的服务费迟迟难以追回，而且还需另行支付费用更换新的具备相应资质的客服呼叫中心服务提供商。

所谓不良记录问题，是指企业需要对涉网络安全与数据产品、项目、主体进行详细的不良记录审查，以确认被审查标的是否处于良好的网络安全与数据环境。不良记录的审查范围包括但不限于：是否存在民事侵权记录、是否存在行政处罚记录、是否存在犯罪记录、是否存在负面舆论、是否存在投诉/举报记录、是否发生过安全事件等。

如前所述，我国的网络安全与数据领域的法律体系还在不断完善中，且目前没有统一的网络安全与数据合规性审查标准。我们认为这样的现状使得网络安全与数据合规性审查成为一个动态的持续过程。具体来说，企业在完成网络安全与数据合规性审查后还需要采取一些后续措施，以确保所涉项目、交易等能持续处于合规状态。这些后续措施，包括但不限于：

除全方位的网络安全与数据合规性审查外，企业还可建立网络安全与数据合规抽检制度。定期或不定期针对不同的网络安全与数据合规问题开展抽查工作。网络安全与数据合规抽检工作，既有利于企业实时排查所抽检项目、交易等的合规状况，也可以帮助企业在国家新的法律法规落地后第一时间更新与完善相应合规制度与标准。不仅如此，甚至有不少企业会定期邀请第三方对自身进行网络安全与数据合规审计，并公开相应审计报告，以向用户、市场及监管机构进行正向反馈，并借此树立良好的企业形象。

随着业务的扩展与深入，企业所接触的数据在种类和数量上都会急速增长，这会给网络安全与数据合规工作带来巨大的压力。因此，企业可以考虑定期对所控制的网络与数据进行批量处理（合并、转移和/或清理等）。对网络与数据进行整合清理有利于减少企业合规成本与降低出现法律风险事件的概率。例如，不少企业内部要求保留用户个人信息的时间为5-10年。该规定不但本身有违反个人信息存储时间最小化原则的嫌疑，而且要合规维护若干年来积累的大量数据对企业技术和资金成本来说也是不小的负担。如果企业定期删除冗余的用户信息，和/或将相关数据以合规的方式整合交第三方处理，这既减少了企业的合规成本，也将相应的网络安全与数据风险转移到了第三方处，降低了自身直接发生相应法律风险事件的概率。

在交易项目中，除了提前对供应商、交易目标等进行网络安全与数据合规性审查外，企业还可考虑在相应合同中设置网络安全与数据安全条款以确保供应商、交易目标在后续项目进行中始终负有网络安全与数据合规义务。这些网络安全与数据安全条款包括但不限于：

1) 保证条款，即要求供应商、交易目标等对后续项目进行中所应采取的网络安全与数据保护合规措施作出承诺与保证。

2) 责任分配条款，即明确因供应商、交易目标等方面的原因导致出现网络安全与数据法律风险事件的，供应商、交易目标等应承担相应责任。

3) 危机处置条款，即要求供应商、交易目标等在网络安全与数据法律风险事件发生后的特定时间内采取特定处置措施。

4) 网络安全与数据操作规范条款，即要求供应商、交易目标等在处理网络安全与数据合规相关事务时要严格遵照约定的操作步骤（SOP），甚至对其所采取的管理制度与技术措施提出相应要求。

至此，我们已经简要介绍了网络安全与数据合规性审查问题的由来、网络安全与数据合规性审查工作的必要性、开展网络安全与数据合规性审查的基本思路与方法，以及网络安全与数据合规性审查的后续工作。如前文所述，网络安全与数据合规性审查工作的开展将会是一个动态和持续的过程，且随着国家网络安全与数据法律体系的发展，以及不同行业、项目、业务的特点，网络安全与数据合规性审查的方向与重点也是在不断更新与调整的，对此我们将给予持续的关注。

【1】高红静：《探讨<网络安全法>出台的重大意义》，http://www.cac.gov.cn/2016-11/07/c_1119866702.htm

【2】梅夏英：《信息和数据概念区分的法律意义》，载《比较法研究》，2020年06期，第151-162页。

【3】《网络安全法》，第七十六条

【4】《网络安全法》，第七十六条

【5】（2018）京0105民初36658号民事判决书，中国裁判文书网。

【6】（2015）沪知民终字第728号民事判决书，中国裁判文书网。

【7】《反不正当竞争法》，第十二条

【8】《反不正当竞争法》，第二条

【9】银保监罚决字〔2021〕1号，中国银行保险监督管理委员会行政处罚信息公开表，http://www.cbirc.gov.cn/cn/view/pages/ItemDetail.html?docId=963387&itemId=4113

【10】（2020）湘04刑终51号刑事判决，中国裁判文书网。

【11】（2016）苏1102刑初244号刑事判决，中国裁判文书网。

中联律师事务所 2008 年成立于上海，2020 年成为中世律所联盟发起创办的一体化全国性品牌所，是一家立足国内、面向全球的大型综合性律师事务所。

中联是中世律所联盟在中国首次以联盟做大方式，推动律师行业规模化、专业化、国际化发展的最新成果。中联秉持包容、合作、进取、开放的联盟文化理念，融合各地优秀成员所的丰富资源与荣誉，以高于同业的一体化知识管理体系与执业标准，全新诠释中国最好律所联盟成功发展的精神内核与事业追求。