崔亮亮

信息化時代，網絡已經深刻地融入到人們的經濟社會生活各個方面，網絡安全問題已經成為關系國家安全和發(fā)展、關系廣大人民群眾切身利益的重大問題。在這個大背景下，11月7日，第十二屆全國人大常委會第二十四次會議通過了《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）。這是我國第一部有關網絡安全的法律，是網絡領域的基礎性法律，明確加強對個人信息保護，打擊網絡詐騙。該法自2017年6月1日起施行。

全國人大常委會法工委經濟法室副主任楊合慶在當日舉行的新聞發(fā)布會上介紹，《網絡安全法》共有7章79條，內容上有6方面突出亮點：第一，明確了網絡空間主權的原則；第二，明確了網絡產品和服務提供者的安全義務；第三，明確了網絡運營者的安全義務；第四，進一步完善了個人信息保護規(guī)則；第五，建立了關鍵信息基礎設施安全保護制度；第六，確立了關鍵信息基礎設施重要數據跨境傳輸的規(guī)則。

建立基礎設施安全保護制度

《網絡安全法》規(guī)定了關鍵基礎設施運營者的義務和要求。著重強調了對公共通信和信息服務、能源、交通、公共服務、電子政務等重要行業(yè)和領域實行重點保護。并鼓勵關鍵信息基礎設施以外的網絡運營者自愿參與關鍵信息基礎設施保護體系中來。

以立法手段保護關鍵信息基礎設施是國際上通行做法。《網絡安全法》除規(guī)定了建設關鍵信息基礎設施應當確保其具有業(yè)務穩(wěn)定、持續(xù)運行的性能外，還規(guī)定了新的制度，如設置專門安全管理機構和安全管理負責人，并對關鍵崗位人員進行安全背景審查；對重要系統和數據庫進行容災備份。

此外規(guī)定關鍵信息基礎設施的運營者采購網絡產品和服務，應當與提供者簽訂安全保密協議；境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業(yè)務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。關鍵信息基礎設施的運營者應對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估，并將檢測評估情況和改進措施報送相關負責安全保護工作的部門。這些制度初步構建起了關鍵信息基礎設施保護制度體系，具有突破性的作用。

特別是針對個別犯罪分子在境外從事侵害攻擊我國“關鍵信息基礎設施”安全的，第七十五條規(guī)定對境外個人或組織侵害的特殊處罰措施，可以采取“凍結財產或其他必要的制裁措施”。國家關鍵信息基礎設施是國計民生的根本，強化保護和加大處罰力度就是為了更好地保護用戶合法權益。

強化用戶權利

此次《網絡安全法》尤其是在用戶知情權與用戶對自身數據控制權與決定權做了具體規(guī)定。中國政法大學傳播法研究中心副主任朱巍認為，互聯網發(fā)展的未來是以用戶意愿為基礎的“意愿經濟”模式，用戶對數據的控制權和其他合法權益都是建立在用戶知情權的基礎之上。《網絡安全法》規(guī)定，網絡服務提供者發(fā)現存在安全缺陷、漏洞等風險時，有“及時告知用戶”的法定義務。這條修改是針對近年來國內外多發(fā)的“漏洞門”和“黑客門”事件做出的總結，是對消費者知情權在網絡權益上的發(fā)展和進化。盡管網絡漏洞可能存在一定的不可控性，但用戶有權在第一時間知曉漏洞的存在，網站有義務第一時間向用戶進行告知。并且，該法第四十二條在網絡運營者應當采取必要措施確保所收集的個人信息安全基礎上，新增了對“可能”發(fā)生個人信息泄露、毀損、丟失等情況下，網絡運營者也應當“按照規(guī)定及時”告知用戶的義務。對于維護個人信息安全更進一步。

同時，《網絡安全法》增強了用戶對自己數據的控制權和自我決定權。用戶發(fā)現網絡運營者違法或違約收集、使用其個人信息的，有權要求其刪除個人信息；發(fā)現網絡運營者收集、存儲的其個人信息有錯誤的，有權要求其予以更正。這一條款賦予個人用戶自我保護的權利，避免危害進一步擴大，是我國關于網絡立法乃至人格權的一大進步。朱巍認為這樣的規(guī)定就是將數據權作為具體人格權的明確表現，非常符合互聯網時代用戶權益的發(fā)展方向，也是發(fā)展中的人格權在互聯網上的體現。該法明確將用戶自己的數據控制權和自我決定權重新交回到了用戶手中，這一點是非常值得點贊的。

強化主體責任

《網絡安全法》另一大特點就是強調政府部門在保障網絡安全，包括個人信息保護上的責任。該法第一章的14條條款，幾乎都是關乎國家在保護網絡安全中的權利和職責，在全文中，強調政府部門職責的條款比比皆是。

《網絡安全法》從政府權力部門的信息保障義務入手，在源頭上強化了政府部門的信息安全保障義務，國家機關政務網絡運營者和有關部門將網絡安全保護職責中獲取的信息用于其他用途的，或者是玩忽職守、濫用職權、徇私舞弊的行為，構成犯罪的要追究刑事責任；沒有構成犯罪的，也要依法予以處分。

此外，《網絡安全法》還強調了網絡運營者的主體責任，網絡運營者為用戶辦理網絡接入、域名注冊服務，辦理固定電話、移動電話等入網手續(xù)，或者為用戶提供信息發(fā)布、即時通信等服務，在與用戶簽訂協議或者確認提供服務時，應當要求用戶提供真實身份信息。用戶不提供真實身份信息的，網絡運營者不得為其提供相關服務。國家實施網絡可信身份戰(zhàn)略，支持研究開發(fā)安全、方便的電子身份認證技術，推動不同電子身份認證之間的互認。

中國社會科學院法學研究所研究員、中國法學會互聯網與信息法學研究會副會長周漢華認為，《網絡安全法》和正制定尚未出臺的《電信法》是信息網絡立法分層中“地基”性的兩部法律，《電信法》解決的是傳輸問題，《網絡安全法》的核心是解決關鍵信息基礎設施安全，維護網絡數據的完整性、保密性和可用性。