◎ 編輯部 石 倩

隨著震網病毒、棱鏡門乃至近期WannaCry勒索病毒等網絡安全事件頻發(fā)，如何應對網絡安全威脅已成為全球性問題，網絡安全立法演變?yōu)槿蚍秶鷥鹊睦鎱f調與國家主權斗爭。我國網絡安全立法工作迅速推進，2016年11月7日，全國人大常委會表決通過了《中華人民共和國網絡安全法》（以下簡稱“《網絡安全法》”），2017年6月1日《網絡安全法》正式實施，我國網絡空間法治化進程得以實質性推進。

為了配合國家《網絡安全法》貫徹實施，筆者結合《個人信息和重要數據出境安全評估方法（征求意見稿）》、《網絡產品和服務安全審查辦法（試行）》、《網絡關鍵設備和網絡安全專用產品目錄》、《國家網絡安全事件應急預案》等系列規(guī)章制度，對《網絡安全法》法規(guī)要求進行了重點圈讀。部分內容采編自2017年5月12日國家互聯網信息辦公室舉行的國家機關、中央企業(yè)和重點互聯網公司《網絡安全法》培訓宣貫會議。

廣義的“網絡安全”

《網絡安全法》第1條提出“為了保障網絡安全，維護網絡空間主權和國家安全、社會公共利益，保護公民、法人和其他組織的合法權益，促進經濟社會信息化健康發(fā)展，制定本法?！庇纱死斫猓渚W絡安全是大概念，是網絡空間安全的簡稱，涵蓋傳統意義上的互聯網安全、通信安全、計算機安全、工控系統安全等各方面，同時包括這些網絡和系統承載的應用、數據和信息內容的安全保護。

何謂“網絡空間主權”

《網絡安全法》第1條立法目的中，就明確提出要“維護網絡空間主權”。網絡空間主權是一國國家主權在網絡空間中的自然延伸和表現。從全文來看，維護網絡空間主權包括四個層面：一是根據本國國情，借鑒國際經驗，制定本國有關網絡空間的法律法規(guī)；二是根據本國法律法規(guī)，管理本國網絡空間；三是采取必要措施，監(jiān)測、保護、抵御來自國內外的網絡空間威脅和攻擊；四是依法防范、阻止違法信息在本國網絡空間的傳播。

更為完善的網絡安全監(jiān)管體制

《網絡安全法》第8條規(guī)定“國家網信部門負責統籌協調網絡安全工作和相關監(jiān)督管理工作。國務院電信主管部門、公安部門和其他有關機關依照本法和有關法律、行政法規(guī)的規(guī)定，在各自職責范圍內負責網絡安全保護和監(jiān)督管理工作?？h級以上地方人民政府有關部門的網絡安全保護和監(jiān)督管理職責，按照國家有關規(guī)定確定?！?/p>

其中，國家網信部門是指國家互聯網信息辦公室，國務院電信主管部門是指工業(yè)和信息化部，國務院公安部門是指公安部。這種統分結合的網絡安全監(jiān)管體制，進一步明確了網信部門與其他相關網絡監(jiān)管部門的職責分工，符合當前全面走向互聯網信息時代的社會特點和我國監(jiān)管工作需要。

重中之重：關鍵信息基礎設施安全保護的重要舉措

1.關鍵信息基礎設施的具體范圍

《網絡安全法》第31條規(guī)定“國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護?！?/p>

從各國的情況看，具體明確關鍵信息基礎設施相當復雜，是一個在實踐中不斷完善、不斷調整的過程。綜合國外做法經驗和國內實際，下列單位運行管理的網絡設施和信息系統應納入關鍵信息基礎設施保護范圍：政府機關和能源、金融、交通、水利、衛(wèi)生醫(yī)療、教育、社保、環(huán)保、公用事業(yè)等行業(yè)領域的單位；電信網、廣播電視網、互聯網等信息網絡，以及提供云計算、大數據和其他大型公共網絡服務的運營單位；國防科工、大型裝備、化工、食品藥品等行業(yè)領域科研生產單位；廣播電臺、電視臺、通訊社等新聞單位。

2.關鍵信息基礎設施保護制度與網絡安全等級保護制度的關系

信息安全等級保護是中國網絡安全保障的重要制度，其核心是分清系統邊界，明確系統責任，確保重點目標的安全。近年來，信息安全等級保護制度在國家網絡安全保障中發(fā)揮了重要作用，但這個制度也需要隨著形勢的發(fā)展不斷完善，如云計算、大數據、物聯網、移動互聯網的新一代信息技術發(fā)展，使系統邊界日趨模糊，迫切需要從整體上加強保護。

《網絡安全法》第21條提出了“國家實行網絡安全等級保護制度”，明確了網絡安全等級保護制度的基本要求，這是在總結信息安全等級保護工作基礎上，根據網絡安全的新形勢、新特點提出的，標志著國家信息安全等級保護制度進入了一個新的階段。

3.國家加強關鍵信息基礎設施保護的主要措施

國家互聯網信息辦公室網絡安全協調局負責人答記者問時指出，加強關鍵信息基礎設施保護，首先是按照《網絡安全法》的要求，抓緊制定相關配套制度和標準。要重點做好以下幾方面工作：一是要加強關鍵信息基礎設施保護工作的統籌，強化頂層設計和整體防護，避免多頭分散、各自為政的情況發(fā)生。二是要建立完善責任制，政府主要是加強指導監(jiān)管，關鍵信息基礎設施運營者要承擔起保護的主體責任。三是要加強對從業(yè)人員的網絡安全教育、技術培訓和技能考核，切實提高網絡安全意識和水平。四是要做好網絡安全信息共享、應急處置等基礎性工作，提升關鍵信息基礎設施保護能力。五是要加強關鍵信息基礎設施保護中的國際合作。

4.誰是關鍵信息基礎設施保護工作的責任部門

《網絡安全法》第32條規(guī)定“按照國務院規(guī)定的職責分工，負責關鍵信息基礎設施安全保護工作的部門分別編制并組織實施本行業(yè)、本領域的關鍵信息基礎設施安全規(guī)劃，指導和監(jiān)督關鍵信息基礎設施運行安全保護工作?！逼渲?，負責關鍵信息基礎設施安全保護工作的部門是指各行業(yè)、各領域的主管或監(jiān)管部門。

重拳出擊：個人信息和重要數據出境安全評估

1.國外數據跨境管理情況

采取更加嚴格的措施保護個人信息安全、維護個人利益，已經成為各國共識。歐盟于2016年發(fā)布、2018年實施的《通用數據保護條例》對個人信息跨境進行了嚴格限制。美國2012年簽署的《消費者隱私權法案》旨在明確消費者有權控制企業(yè)對其個人信息的收集和使用，體現了美國政府應對大數據時代隱私保護問題的實踐。

美國2007年出臺的《外國投資和國家安全法案》（簡稱FINSA）和《國防生產法》，是美國網絡安全審查依據的主要法律法規(guī)。該審查具有強制性，美國要求被審查企業(yè)簽署網絡安全協議，協議通常包括公民隱私、數據和文件存儲可靠性以及保證美國執(zhí)法部門對網絡實施有效監(jiān)控等條款，如：通信基礎設施必須位于美國境內；通信數據、交易數據、用戶信息等僅存儲在美國境內；若外國政府要求訪問通信數據必須獲得美國司法部、國防部、國土安全部的批準；配合美國政府對員工實施背景調查等。加拿大、澳大利亞、俄羅斯、日本等20多個國家也已采取了“數據本地化”措施。

2.個人信息和重要數據出境安全評估如何實施

《網絡安全法》第37條規(guī)定“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業(yè)務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定?！?/p>

目前，國家網信部門會同有關部門制定了《個人信息和重要數據出境安全評估方法》和《重要數據識別指南》，對如何評估作出了明確規(guī)定。根據該規(guī)定，企業(yè)要自行對數據出境進行評估并對評估結果負責，必要時，有關部門也可以對數據出境情況進行評估。

3.安全評估的依據和對象范圍

《個人信息和重要數據出境安全評估方法》第2條規(guī)定“網絡運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據，應當在境內存儲。因業(yè)務需要，確需向境外提供的，應當按照本辦法進行安全評估?！边@里明確不是所有的數據出境都要評估，只是個人信息和重要數據出境需要評估，重要數據指對國家而言是重要的，不是指對企業(yè)和個人重要的數據。

其中，從“關鍵信息基礎設施的運營者”改為“網絡運營者”，很多人疑問是不是擴大了評估對象的范圍？國家網信部門立法初衷一是保障個人信息和重要數據安全，維護公民利益；初衷二是保障網絡信息依法有序自由流動。如果不把關鍵信息基礎設施運營者之外的其他網絡運營者控制的個人信息和重要數據出境納入評估范圍，可能導致的結果是：數據轉移至境外，運營者對其控制力必將減弱，其安全風險將增加；境內的個人要維護其個人信息權利，有關機關依法行使職權必將增加難度。

4.網絡運營商保護個人信息安全的責任義務

《網絡安全法》第42條規(guī)定“網絡運營者應當采取技術措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生個人信息泄露、毀損、丟失的情況時，應當立即采取補救措施，按照規(guī)定及時告知用戶并向有關主管部門報告?！?/p>

法制亮點：網絡產品和服務安全審查

1.歐美國家已經實施安全審查制度

我國《網絡產品和服務安全審查辦法（試行）》正式發(fā)布后，有外國協會和機構擔心該辦法的實施會不會給國外企業(yè)帶來不公平待遇，形成事實上的貿易壁壘和技術壁壘。實質上，歐美國家早就紛紛實施了安全審查制度，我國此次的審查制度正是借鑒發(fā)達國家經驗而形成的。

2000年，美國發(fā)布《國家信息安全保障采購政策》明確，國家安全系統采購的所有處理國家安全信息的IT產品，都須通過國家安全局（NIAP）指定機構的安全評估。美國《電信法》第214條規(guī)定，企業(yè)申請電信許可時須經美國聯邦通信委員會（FCC）審查。2011年，美聯邦預算管理局（OMB）發(fā)布政策文件《聯邦風險及授權管理計劃》，要求為聯邦政府提供云計算服務的服務商必須通過安全審查。英國政府明確，運營商采購設備時應要求產品和服務提供商必須通過指定機構的安全審查。2010年法國發(fā)布了R226法律，要求運營商進口、購買和使用的通信設備須先通過R226審查認證。

《網絡產品和服務安全審查辦法（試行）》第二條規(guī)定“關系國家安全的網絡和信息系統采購的重要網絡產品和服務，應當經過網絡安全審查?！逼鋵彶槟康脑诘谝粭l中明確是“為提高網絡產品和服務安全可控水平，防范網絡安全風險，維護國家安全”。安全審查不針對特定國家和地區(qū)，沒有國別差異，審查不會歧視國外技術和產品，不會限制國外企業(yè)、技術、產品進入中國市場，不會限制數據依法有序自由流動。相反，安全審查會提高消費者對使用產品的信心，擴大企業(yè)市場空間。

2.“安全可信”的網絡產品和服務是什么含義

《網絡安全法》第16條規(guī)定“推廣安全可信的網絡產品和服務”。安全可信與自主可控、安全可控有著相同的基本要求，國內外企業(yè)和產品都應該符合安全可信的要求。主要包括以下要求：

一是產品或服務提供者不應該利用提供產品或服務的便利條件非法獲取用戶重要數據，損害用戶對自己數據的控制權；

二是產品或服務提供者不應通過網絡非法控制和操縱用戶設備和系統，損害用戶對自己所擁有、使用設備和系統的控制權；

三是產品和服務提供者不應利用用戶對其產品和服務的依賴性，限制用戶選擇使用其他產品和服務，或停止提供合理的安全技術支持，迫使用戶更新換代，損害用戶的網絡安全和利益。

3.哪些網絡產品和服務需要安全審查、如何審查

《網絡安全法》第35條規(guī)定“關鍵信息基礎設施的運營者采購網絡產品和服務，可能影響國家安全的，應當通過國家網信部門會同國務院有關部門組織的國家安全審查?！辈皇撬械漠a品和服務都需要審查，只有可能影響國家安全的才需要審查。判斷是否影響國家安全，主要看產品和服務使用后，是否會危害國家政權和主權安全，是否會危害廣大人民群眾利益，是否會影響國家經濟可持續(xù)發(fā)展及國家其他重大利益。安全審查的重點是產品和服務的安全性、可靠性，包括產品被非法控制、干擾和中斷運行的風險，產品提供者非法收集用戶信息的風險等。

《網絡產品和服務安全審查辦法（試行）》對審查機構和審查流程等作出了明確規(guī)定。其中，第5條規(guī)定“國家互聯網信息辦公室會同有關部門成立網絡安全審查委員會”和“網絡安全審查辦公室具體組織實施網絡安全審查”。第6條規(guī)定“網絡安全審查委員會聘請相關專家組成網絡安全審查專家委員會，在第三方評價基礎上，對網絡產品和服務的安全風險及其提供者的安全可信狀況進行綜合評估?！钡?條規(guī)定“國家依法認定網絡安全審查第三方機構，承擔網絡安全審查中的第三方評價工作?！钡?條規(guī)定“網絡安全審查辦公室按照國家有關要求、根據全國性行業(yè)協會建議和用戶反映等，按程序確定審查對象，組織第三方機構、專家委員會對網絡產品和服務進行網絡安全審查，并發(fā)布或在一定范圍內通報審查結果?！?/p>

4.網絡關鍵設備和網絡安全專用產品認證實施程序

《網絡安全法》第23條規(guī)定“網絡關鍵設備和網絡安全專用產品應當按照相關國家標準的強制性要求，由具備資格的機構安全認證合格或者安全檢測符合要求后，方可銷售或者提供。國家網信部門會同國務院有關部門制定、公布網絡關鍵設備和網絡安全專用產品目錄，并推動安全認證和安全檢測結果互認，避免重復認證、檢測。”

2017年6月1日，國家互聯網信息辦公室、工業(yè)和信息化部、公安部和國家認證認可監(jiān)督管理委員會等四部門發(fā)布了《網絡關鍵設備和網絡安全專用產品目錄（第一批）》的公告，自印發(fā)之日起施行。列入該目錄的設備和產品，應當按照相關國家標準的強制性要求，由具備資格的機構安全認證合格或者安全檢測符合要求后，方可銷售或者提供。公告中明確認證實施程序如下：

一是檢測認證：網絡關鍵設備和網絡安全專用產品認證或者檢測委托人，選擇具備資格的機構進行安全認證或者安全檢測。

二是結果核準：網絡關鍵設備、網絡安全專用產品選擇安全檢測方式的，經安全檢測符合要求后，由檢測機構將網絡關鍵設備、網絡安全專用產品檢測結果（含公告發(fā)布之前已經由本機構安全認證合格、且在有效期內的設備與產品）依照相關規(guī)定分別報工業(yè)和信息化部、公安部。選擇安全認證方式的，經安全認證合格后，由認證機構將認證結果（含公告發(fā)布之前已經本機構安全認證合格、且在有效期內的設備與產品）依照相關規(guī)定報國家認證認可監(jiān)督管理委員會。

三是結果發(fā)布：國家互聯網信息辦公室會同工業(yè)和信息化部、公安部、國家認證認可監(jiān)督管理委員會統一發(fā)布。

5.《網絡關鍵設備和網絡安全專用產品目錄》制度設計優(yōu)化

在《網絡關鍵設備和網絡安全專用產品目錄》制度設計中，考慮用清單制代替證書制，也就是同一款設備或產品，只要通過了安全檢測或認證之中的一項就列入通過安全檢測認證的設備和產品清單，同時無論通過了幾家的檢測或認證，在清單上也只體現一次。該制度設計，能避免企業(yè)因為市場競爭不得不盡可能多的獲得檢測認證證書問題，切實減少重復檢測重復認證。

保障基石：國家網絡安全事件應急預案

《網絡安全法》第25條規(guī)定“在發(fā)生危害網絡安全的事件時，立即啟動應急預案，采取相應的補救措施，并按照規(guī)定向有關主管部門報告?！钡?1條規(guī)定“國家建立網絡安全監(jiān)測預警和信息通報制度。國家網信部門應當統籌協調有關部門加強網絡安全信息收集、分析和通報工作，按照規(guī)定統一發(fā)布網絡安全監(jiān)測預警信息。”第52條規(guī)定“負責關鍵信息基礎設施安全保護工作的部門，應當建立健全本行業(yè)、本領域的網絡安全監(jiān)測預警和信息通報制度，并按照規(guī)定報送網絡安全監(jiān)測預警信息?！睂Υ耍瑖揖W信部門已經發(fā)布了《國家網絡安全事件應急預案》，對網絡安全事件處置和報告、網絡安全監(jiān)測預警信息推送發(fā)布都做了相關規(guī)定。

法律責任：哪些紅線不能碰

《網絡安全法》對網絡運營者等主體的法律義務和責任進行了全面規(guī)定，將現有的各類網絡安全相關規(guī)定上升到了法律層面，在“第六章 法律責任”中加大了對違法行為的處罰力度，有利于保障法律實施。

例如，《網絡安全法》第59條規(guī)定網絡運營者不履行網絡安全保護義務、信息系統不做等級保護測評的，將會受到處罰；第61條規(guī)定未要求用戶提供真實身份信息，或者對不提供真實身份信息的用戶提供相關服務的，情節(jié)嚴重的，可以吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照；第64條規(guī)定網絡運營者、網絡產品或者服務提供者侵害個人信息的，情節(jié)嚴重的，可以吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照；第68條規(guī)定網絡運營者對法律、行政法規(guī)禁止發(fā)布或者傳輸的信息未停止傳輸、采取消除等處置措施、保存有關記錄的，情節(jié)嚴重的，可以吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照；第69條明確規(guī)定了網絡運營者違反本法規(guī)定、對有關主管部門監(jiān)督管理不履行配合義務的，應當承擔的法律責任；第70條規(guī)定對發(fā)布、傳輸違法信息和其他法律、行政法規(guī)禁止發(fā)布或者傳輸的信息的，依照有關法律、行政法規(guī)的規(guī)定處罰，這里指的法律和行政法規(guī)主要包括《網絡安全法》、《反恐怖主義法》、《刑法》、《侵權責任法》、《互聯網信息服務管理辦法》等。

《網絡安全法》現行共七章79條，內容十分豐富，是我國網絡安全領域基礎性的法律。全國人大常委會法工委經濟法室副主任楊合慶在新聞發(fā)布會上總結了其六大亮點：第一，明確了網絡空間主權的原則；第二，明確了網絡產品和服務提供者的安全義務；第三，明確了網絡運營者的安全義務；第四，進一步完善了個人信息保護規(guī)則；第五，建立了關鍵信息基礎設施安全保護制度；第六，確立了關鍵信息基礎設施重要數據跨境傳輸的規(guī)則。《網絡安全法》從我國國情出發(fā)，堅持問題導向，總結實踐經驗，也借鑒了其他國家的一些做法，始終堅持安全與發(fā)展并重的原則，協調推進我國網絡安全和發(fā)展進程。