担任数十家公司集团法律顾问，提供网络安全、数据合规、个人隐私信息保护等法律服务；担任数十家电子商务、在线游戏、互联网金融、新兴技术与文化传媒等行业公司法律顾问，全面负责公司结构设计、市场准入、资质证照、产品合规、广告合规、知识产权保护等法律服务。

  2017年以来，《网络安全法》及其系列配套制度陆续发布并开始正式实施，各地随后开展了一些专项执法活动，处罚案例频现报端；2017年8月至10月期间，全国人大常委会执法检查组对“一法一决定”的实施情况做了检查，并于近期通报了执法检查情况。《网络安全法》是我国互联网立法历史上第一部体系完整的、由全国人大常委颁布的法律，加上系列配套制度，其内容涵盖国家政策导向、网络安全法律原则、企业网络安全合规规范及法律责任等内容，对企业网络安全法律合规建设具备极其重大的影响。

  是否有合规的、完善的网络安全保护制度，是网络安全合规审查的首要关注点。这不仅是企业组织网络业务的前提，也是网络公共安全事件发生后，企业是否应当承担相应的责任以及承担多大责任的首要考量因素。因为，根据《网络安全法》及其配套制度的规定，网络安全的首要主体责任是企业，而企业落实网络安全主体责任的首要义务就是建立合规的、完善的网络安全制度体系，具体包括但不限于：网络安全及数据分级制度、网络安全定岗定责制度、网络系统及数据操作规程、个人隐私信息保护制度、网络安全预案及应急制度、网络完全教育培训制度等。

  《网络安全法》及其配套制度明确规定，企业应当建立网络安全专门岗位及人员，这不仅是企业满足网络安全合规要求的体现，更是网络安全责任事件发生后怎么样确定相应的责任人员的重要依据，毕竟《网络安全法》规定了大量针对“网络安全直接责任人员”的处罚措施，甚至包括行业禁入。除此了满足网络安全合规审查要求外，企业申请相应的电信业务牌照或者办理网络备案等政府性事务，也需要出示网络安全岗位、岗位工作职责以及人员安排等申请材料。

  企业在网络安全领域的合规风险，大部分来至于对网络站点平台内容信息的审查不力或监管疏漏，轻则被通报批评或罚款，重则被吊销经营资质。近段时间以内，网信办、新闻出版广电总局等先后对一批网络服务提供者作出了处罚决定，也主要是处罚网络服务提供者对平台内容信息审查不力，主体责任落实不到位。根据《网络安全法》、《互联网信息服务管理办法》、《互联网安全保护技术措施规定》及其配套制度等规定，企业有义务主动发现、停止传输、报告公共网络数据中的违法信息，应当建立网络内容信息审核与过滤制度，加强对其用户发布的信息的管理与审核工作。企业违反内容过滤与审核有关法律法规的，根据情节给予警告、罚款、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚。

  个人隐私信息及隐私保护，是近几年网络完全立法与执法的重中之重，也是企业网络安全合规风险的高发地。近段时间以来，各地网信办、网安部门也掀起了一轮个人隐私信息保护专项执法活动高潮，执法与打击力度空前。行政监管层面，《网络安全法》、《关于加强网络信息保护的决定》、《电信和互联网用户个人隐私信息保护规定》、《信息安全技术公共及商用服务信息系统个人隐私信息保护指南》等明确规定了企业在个人隐私信息收集、存储、使用等方面的合规要求；民事法律层面，新通过的《民法总则》首次从法律层面确定了个人隐私信息权；此外，在刑事立法与司法实践中，个人信息与隐私保护也得到了极大的关注和重视。

  随着近年来未成年人网络安全事件频发，《网络安全法》及其配套制度制定过程中，关于未成年人网络安全保护的条款受到立法者及社会各界的广泛关注。最终正式版本中也明确加入了未成年人网络安全保护有关的条款。此外，国家网信办近期还专门制定了《未成年人网络保护条例(送审稿)》，我国的早先制定的其他一些单行法律、法规和规范性文件（例如在线游戏、电子商务等有关的政策文件）中，较为系统的规定了网络服务提供者在向未成年人提供网络服务过程中的一些特殊合规要求。

  用户的注册与使用行为是企业获取网络数据的大多数来自之一，但依法获取该等信息的前提是企业一定建立实名验证机制。根据《网络安全法》、《关于加强网络信息保护的决定》、《互联网安全保护技术措施规定》、《网络交易管理办法》等之规定，企业为用户更好的提供入网、信息发布等服务时，应当要求用户更好的提供实际身份信息并核验。

  立法者必须在个人利益保护与维持合理企业成本之间找到一个平衡点，一个典型的例子就是在用户网络数据留存制度设计上。一方面，立法者希望企业尽可能久的留存用户个人信息，以方便网络安全监管及未来可能的争议解决；另一方面，又担心企业长期留存并滥用用户个人信息，进而损害个人利益。一个很常见的留存期限是不少于60天，例如，根据《网络安全法》、《互联网安全保护技术措施规定》、《互联网信息服务管理办法》、《互联网电子邮件服务管理办法》、《网络出版服务管理规定》等均规定用户网络数据应当至少留存60天。但也有例外，例如《在线游戏管理暂行办法》要求不可以少于180天，《网络交易管理办法》要求不可以少于两年。

  今年5月初，网信办发布了安全审查的配套规定《网络产品和服务安全审查办法（试行）》。《办法》明确规定，将重点审查网络产品和服务的安全性、可控性，具体包括：

  早些时候，国家网信办发布《个人隐私信息和重要数据出境安全评估办法（征求意见稿）》、《关键信息基础设施安全保护条例（征求意见稿）》等规定，首次系统规定了网络数据跨境转移相关规则，但这一规定实施还没明确的时间表，大多数企业还持观望态度。

  ✤梳理现存业务逻辑，评估网络数据个人隐私信息清洗的可行性及技术实现方式，以及评估网络数据跨境转移的必要性；

  ✤评估网络数据跨境转移接收方的资质、技术条件，审查数据转移有关的基础合同和法律文件的有效性、合规性；

  实践中，并购项目中的网络安全尽职调查，通常会审查企业网络安全制度文本的合规性、完备性，审查网络安全岗位及人员的配备，审查个人隐私信息与隐私保护有关的规定及执行情况，审查网络安全产品采购、数据跨境转移等有关的政府性事务合规性等。

  LCOUNCIL特别邀请到汇业律师事务所、方达律师事务所、锦天城律师事务所及垦丁律师事务所的四位资深律师，就互联网领域立法现状，结合2017年执法部门及司法监管部门的热议案件，并以互联网娱乐领域、金融科技领域、电子商务领域为例，解析2018年互联网领域立法及监管趋势，从实务角度为企业法务提供构建互联网领域合规体系的建议与对策。

  平台声明：该文观点仅代表作者本人，搜狐号系信息发布平台，搜狐仅提供信息存储空间服务。