在之前与E安全的约稿中，本文作者从不同视角简述了合规主体的典型合规义务和实现思路。但有些合规义务需从《网络安全法》(以下简称“网安法”)与现行有效之其他基本法综合研判得出，此即构成网安法相关特定主体合规的隐性成本。本文简述如下：

1、刑法扩张及后果的评估

从行刑衔接的视角来看，网安法第三章27条、第四章44条和46条与刑法修正案(九)的关系无疑紧密，两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》则可视为对网安法第四章个人信息保护制度的及时“补位”。网安法考虑与刑事司法的优先对接，概因网络安全事件具有同时侵害国家安全、社会公众利益、不特定个人合法权益等“国家网络空间整体安全”的“不对称性”特征，传统民事途径面临立法资源、价值效率和实现的多重局限等问题，例如新近爆发的勒索软件攻击事件同时波及多个重要和一般领域系统、网络，需要以公法的“综合防范与治理”思路予以快速回应;但另一方面，泛化和背离刑法谦抑性的介入则会徒增网络运营者等责任主体的合规成本。例如对公民个人信息保护，刑法的提前和全面规范，在市场发育尚欠充分的场景下则可能会抑制数据流通和(大)数据分析技术，也导致无法通过市场化交易的方式构筑数据价值形成机制。对此，2007年的赛门铁克“误杀”案件就是一个负面参照，应考虑对网安法进行持续的立法效果监测与评估，正视与刑法的对接问题。

2、行政法上的可诉性问题

网安法的一些制度安排体现了行政执法的效率性思考，同时对传统意义上的“可诉性”也构成了挑战。特别包括第50条“境外信息阻断”、第56条“安全事件约谈”、第58条“通信临时限制”等措施，这些制度安排一方面毫无疑问提升了网络安全事件响应效率，另一方面则可能对特定主体权益构成潜在和不可逆的影响。

以约谈为例，学术界通说认为约谈限于“行政指导”的功能，不具有《行政处罚法》意义上的可诉性。在具体实施中，如2017年6月1日通过的《互联网信息内容管理行政执法程序规定》(该规定直接对应网安法第12条、第47条、第50条等内容)，其第五章专门规定了听证、约谈，但这两者在行政法上对行政相对人(如网络运营者)的意义显然相反，前者属于网络运营者的权利，后者则为不确定的双重义务，即不仅约谈行为本身无法通过复议、诉讼等方式救济，且约谈并不免除后续行政处罚的责任。

综上，尽管网安法30条 “网信部门信息用途限定”等进行了事先约束，并在第73条等规定了监管者渎职的法律责任，但随着网络空间民事、行政与刑事立法的进一步夯实与平衡，相关制度设计和落地应有各自归位的长远考量。