漫谈安全管理制度中的理性与感性

１、少借语言形式进行死板执法，多探究条文背后所倡导的精神

如果有人在别人手机上安装后门谋取不法利益，那么他可能被判个“破坏计算机信息系统罪”，而不是“破坏手机信息系统罪”，也压根没有这个罪。1997年立法规定“破坏计算机信息系统罪”的时候，也没有想到许多年后有智能手机出现，但从执行上可以看出，实质上已经智能手机归入计算机，并没有拘束于立法者当时的想法，且从广义上讲，也没有超过计算机这个词语的极限。

企业在制定相关安全管理制度初期，可能无法完整覆盖未来可能新出现的特殊情况，但其条文所倡导的精神初衷应该是不变的。

有些公司出于信息安全考虑，明文规定“员工不允许在办公室用手机拍照”，但是后来有员工用Ｇoogle眼镜偷拍，你说违不违规？肯定违规啊，果断抓起来。这里的重点不是手机，而是想传达禁止偷取公司信息的精神，虽没明文规定Google眼镜，但它违反条文背后传达的精神，肯定要处理的。

还记得“抢月饼”、“健身后领夜宵”的网上事件吗？网上骂声居多，我也不相信公司相关条文中明确写着此类事情违规，但最后结果大家都知道，而且据说最后的惩罚未完全执行到位。想想此类处罚背后的意义，与原有的倡导精神是否保持一致？这种处罚是否真的利大于㢢？

２、若经验事实不断地证明规定执行上存在逻辑问题，应及时修正

有些企业为保证信息安全以及相关技术应用的合理性，规定必须要有相关人员参与审核，并写入相关审核材料中，并要求审核人员要与名单始终保持一致。但是事实上，里面的的审核人员对项目相关技术一窍不通，也不发表任何意见，最后就是开会，回复“同意”等形式化流程，同时相当浪费大家的时间。此时就应该及时调整，对审核人员进行调整，而不应该至始至终不允许变更，只是走过场地按规定执行。

３、明确违规的底线，明确不违规的上线，便于未来作扩张解释

刑法制定上有个法律原则叫：举重以明轻，举轻以明重。意思是说在定罪的时候，规定底线在哪，超过它的均为犯罪；而在定无罪的时候，规定上线在哪，低于它的均为无罪。

《刑法学讲义》里面有个案例：

一条路因为修整，禁止牛马通过。张三牵了一头骆驼，是不是也不能通过？从实质上来看，骆驼通过比牛马通过性质更恶劣。这种从现有法条中自然而然推导出来的解释叫做当然解释。虽然刑法条文没有明确规定，但它其实已经包含于法条的意思之中。

《刑法学讲义》作者：罗翔

同样的，在安全规定中也适用于此原则，毕竟人不可能考虑到所有可能存在的事情，并一一写入规定中，而且这种规定也容易存在被绕过的漏洞。

４、多考虑大家朴素的道德情感和身处情境，别以事后诸葛亮的冷漠与傲慢来忽视大家的心声

疫情之下，很多原有的安全规定可能因隔离无法执行到位，或者无法按原有规定的时限内完成。有些情况根据实际的特殊情况能进行调整的就调整，或者由相关代理人授权处理，别老限制说，公司规定必须本人在xx小时完成xx，而不考虑员工所处的特殊情况，以想当然的态度要求。

以前看过一个闯红灯的案例，最后警察没罚，因为通过看监控录像发现，当时后面有一辆大卡车失控往前冲，于是司机立即打方向盘闯红灯保命。司机确实违规了，但考虑当时特殊的情境，给予免责，就是一种人性善良的体现。

５、少拿屁股当脑袋、少拿耳朵当脑袋，把脑袋用起来

别总拿自己所处的位置来看待问题，多换位思考；别总拿别人的话代替个人思考，即使是领导说的话也不一定都对，不经思考，直接加入安全管理规定中，一小心就可能砸脚了。

《乌合之众》中曾说过，一个人不敢犯罪时，若有一群人一块犯罪，他可能就敢，因为此时群体的勇气会代替个人勇气。

当所处的群体大家都共同干着一件事的，一件可能不合规的事，可能自己也会随大流地干了，但后来由于规定调整或者公司打算秋后算账的时候，你就要倒霉了。所以把自己的脑袋用起来，保持理性，无论你是规定制定者、还是执行者，又或者被约束者。

结语

凡事过于理性则缺少人情味，过于感性则缺少公正。

原文始发于微信公众号（漏洞战争）：漫谈安全管理制度中的理性与感性