我国《网络安全法》正式实施网络空间法制化进程实质性推进

◎ 编辑部 石 倩

随着震网病毒、棱镜门乃至近期WannaCry勒索病毒等网络安全事件频发，如何应对网络安全威胁已成为全球性问题，网络安全立法演变为全球范围内的利益协调与国家主权斗争。我国网络安全立法工作迅速推进，2016年11月7日，全国人大常委会表决通过了《中华人民共和国网络安全法》（以下简称“《网络安全法》”），2017年6月1日《网络安全法》正式实施，我国网络空间法治化进程得以实质性推进。

为了配合国家《网络安全法》贯彻实施，笔者结合《个人信息和重要数据出境安全评估方法（征求意见稿）》、《网络产品和服务安全审查办法（试行）》、《网络关键设备和网络安全专用产品目录》、《国家网络安全事件应急预案》等系列规章制度，对《网络安全法》法规要求进行了重点圈读。部分内容采编自2017年5月12日国家互联网信息办公室举行的国家机关、中央企业和重点互联网公司《网络安全法》培训宣贯会议。

广义的“网络安全”

《网络安全法》第1条提出“为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，制定本法。”由此理解，其网络安全是大概念，是网络空间安全的简称，涵盖传统意义上的互联网安全、通信安全、计算机安全、工控系统安全等各方面，同时包括这些网络和系统承载的应用、数据和信息内容的安全保护。

何谓“网络空间主权”

《网络安全法》第1条立法目的中，就明确提出要“维护网络空间主权”。网络空间主权是一国国家主权在网络空间中的自然延伸和表现。从全文来看，维护网络空间主权包括四个层面：一是根据本国国情，借鉴国际经验，制定本国有关网络空间的法律法规；二是根据本国法律法规，管理本国网络空间；三是采取必要措施，监测、保护、抵御来自国内外的网络空间威胁和攻击；四是依法防范、阻止违法信息在本国网络空间的传播。

更为完善的网络安全监管体制

《网络安全法》第8条规定“国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。县级以上地方人民政府有关部门的网络安全保护和监督管理职责，按照国家有关规定确定。”

其中，国家网信部门是指国家互联网信息办公室，国务院电信主管部门是指工业和信息化部，国务院公安部门是指公安部。这种统分结合的网络安全监管体制，进一步明确了网信部门与其他相关网络监管部门的职责分工，符合当前全面走向互联网信息时代的社会特点和我国监管工作需要。

重中之重：关键信息基础设施安全保护的重要举措

1.关键信息基础设施的具体范围

《网络安全法》第31条规定“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。”

从各国的情况看，具体明确关键信息基础设施相当复杂，是一个在实践中不断完善、不断调整的过程。综合国外做法经验和国内实际，下列单位运行管理的网络设施和信息系统应纳入关键信息基础设施保护范围：政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环保、公用事业等行业领域的单位；电信网、广播电视网、互联网等信息网络，以及提供云计算、大数据和其他大型公共网络服务的运营单位；国防科工、大型装备、化工、食品药品等行业领域科研生产单位；广播电台、电视台、通讯社等新闻单位。

2.关键信息基础设施保护制度与网络安全等级保护制度的关系

信息安全等级保护是中国网络安全保障的重要制度，其核心是分清系统边界，明确系统责任，确保重点目标的安全。近年来，信息安全等级保护制度在国家网络安全保障中发挥了重要作用，但这个制度也需要随着形势的发展不断完善，如云计算、大数据、物联网、移动互联网的新一代信息技术发展，使系统边界日趋模糊，迫切需要从整体上加强保护。

《网络安全法》第21条提出了“国家实行网络安全等级保护制度”，明确了网络安全等级保护制度的基本要求，这是在总结信息安全等级保护工作基础上，根据网络安全的新形势、新特点提出的，标志着国家信息安全等级保护制度进入了一个新的阶段。

3.国家加强关键信息基础设施保护的主要措施

国家互联网信息办公室网络安全协调局负责人答记者问时指出，加强关键信息基础设施保护，首先是按照《网络安全法》的要求，抓紧制定相关配套制度和标准。要重点做好以下几方面工作：一是要加强关键信息基础设施保护工作的统筹，强化顶层设计和整体防护，避免多头分散、各自为政的情况发生。二是要建立完善责任制，政府主要是加强指导监管，关键信息基础设施运营者要承担起保护的主体责任。三是要加强对从业人员的网络安全教育、技术培训和技能考核，切实提高网络安全意识和水平。四是要做好网络安全信息共享、应急处置等基础性工作，提升关键信息基础设施保护能力。五是要加强关键信息基础设施保护中的国际合作。

4.谁是关键信息基础设施保护工作的责任部门

《网络安全法》第32条规定“按照国务院规定的职责分工，负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划，指导和监督关键信息基础设施运行安全保护工作。”其中，负责关键信息基础设施安全保护工作的部门是指各行业、各领域的主管或监管部门。

重拳出击：个人信息和重要数据出境安全评估

1.国外数据跨境管理情况

采取更加严格的措施保护个人信息安全、维护个人利益，已经成为各国共识。欧盟于2016年发布、2018年实施的《通用数据保护条例》对个人信息跨境进行了严格限制。美国2012年签署的《消费者隐私权法案》旨在明确消费者有权控制企业对其个人信息的收集和使用，体现了美国政府应对大数据时代隐私保护问题的实践。

美国2007年出台的《外国投资和国家安全法案》（简称FINSA）和《国防生产法》，是美国网络安全审查依据的主要法律法规。该审查具有强制性，美国要求被审查企业签署网络安全协议，协议通常包括公民隐私、数据和文件存储可靠性以及保证美国执法部门对网络实施有效监控等条款，如：通信基础设施必须位于美国境内；通信数据、交易数据、用户信息等仅存储在美国境内；若外国政府要求访问通信数据必须获得美国司法部、国防部、国土安全部的批准；配合美国政府对员工实施背景调查等。加拿大、澳大利亚、俄罗斯、日本等20多个国家也已采取了“数据本地化”措施。

2.个人信息和重要数据出境安全评估如何实施

《网络安全法》第37条规定“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。”

目前，国家网信部门会同有关部门制定了《个人信息和重要数据出境安全评估方法》和《重要数据识别指南》，对如何评估作出了明确规定。根据该规定，企业要自行对数据出境进行评估并对评估结果负责，必要时，有关部门也可以对数据出境情况进行评估。

3.安全评估的依据和对象范围

《个人信息和重要数据出境安全评估方法》第2条规定“网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据，应当在境内存储。因业务需要，确需向境外提供的，应当按照本办法进行安全评估。”这里明确不是所有的数据出境都要评估，只是个人信息和重要数据出境需要评估，重要数据指对国家而言是重要的，不是指对企业和个人重要的数据。

其中，从“关键信息基础设施的运营者”改为“网络运营者”，很多人疑问是不是扩大了评估对象的范围？国家网信部门立法初衷一是保障个人信息和重要数据安全，维护公民利益；初衷二是保障网络信息依法有序自由流动。如果不把关键信息基础设施运营者之外的其他网络运营者控制的个人信息和重要数据出境纳入评估范围，可能导致的结果是：数据转移至境外，运营者对其控制力必将减弱，其安全风险将增加；境内的个人要维护其个人信息权利，有关机关依法行使职权必将增加难度。

4.网络运营商保护个人信息安全的责任义务

《网络安全法》第42条规定“网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。”

法制亮点：网络产品和服务安全审查

1.欧美国家已经实施安全审查制度

我国《网络产品和服务安全审查办法（试行）》正式发布后，有外国协会和机构担心该办法的实施会不会给国外企业带来不公平待遇，形成事实上的贸易壁垒和技术壁垒。实质上，欧美国家早就纷纷实施了安全审查制度，我国此次的审查制度正是借鉴发达国家经验而形成的。

2000年，美国发布《国家信息安全保障采购政策》明确，国家安全系统采购的所有处理国家安全信息的IT产品，都须通过国家安全局（NIAP）指定机构的安全评估。美国《电信法》第214条规定，企业申请电信许可时须经美国联邦通信委员会（FCC）审查。2011年，美联邦预算管理局（OMB）发布政策文件《联邦风险及授权管理计划》，要求为联邦政府提供云计算服务的服务商必须通过安全审查。英国政府明确，运营商采购设备时应要求产品和服务提供商必须通过指定机构的安全审查。2010年法国发布了R226法律，要求运营商进口、购买和使用的通信设备须先通过R226审查认证。

《网络产品和服务安全审查办法（试行）》第二条规定“关系国家安全的网络和信息系统采购的重要网络产品和服务，应当经过网络安全审查。”其审查目的在第一条中明确是“为提高网络产品和服务安全可控水平，防范网络安全风险，维护国家安全”。安全审查不针对特定国家和地区，没有国别差异，审查不会歧视国外技术和产品，不会限制国外企业、技术、产品进入中国市场，不会限制数据依法有序自由流动。相反，安全审查会提高消费者对使用产品的信心，扩大企业市场空间。

2.“安全可信”的网络产品和服务是什么含义

《网络安全法》第16条规定“推广安全可信的网络产品和服务”。安全可信与自主可控、安全可控有着相同的基本要求，国内外企业和产品都应该符合安全可信的要求。主要包括以下要求：

一是产品或服务提供者不应该利用提供产品或服务的便利条件非法获取用户重要数据，损害用户对自己数据的控制权；

二是产品或服务提供者不应通过网络非法控制和操纵用户设备和系统，损害用户对自己所拥有、使用设备和系统的控制权；

三是产品和服务提供者不应利用用户对其产品和服务的依赖性，限制用户选择使用其他产品和服务，或停止提供合理的安全技术支持，迫使用户更新换代，损害用户的网络安全和利益。

3.哪些网络产品和服务需要安全审查、如何审查

《网络安全法》第35条规定“关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。”不是所有的产品和服务都需要审查，只有可能影响国家安全的才需要审查。判断是否影响国家安全，主要看产品和服务使用后，是否会危害国家政权和主权安全，是否会危害广大人民群众利益，是否会影响国家经济可持续发展及国家其他重大利益。安全审查的重点是产品和服务的安全性、可靠性，包括产品被非法控制、干扰和中断运行的风险，产品提供者非法收集用户信息的风险等。

《网络产品和服务安全审查办法（试行）》对审查机构和审查流程等作出了明确规定。其中，第5条规定“国家互联网信息办公室会同有关部门成立网络安全审查委员会”和“网络安全审查办公室具体组织实施网络安全审查”。第6条规定“网络安全审查委员会聘请相关专家组成网络安全审查专家委员会，在第三方评价基础上，对网络产品和服务的安全风险及其提供者的安全可信状况进行综合评估。”第7条规定“国家依法认定网络安全审查第三方机构，承担网络安全审查中的第三方评价工作。”第8条规定“网络安全审查办公室按照国家有关要求、根据全国性行业协会建议和用户反映等，按程序确定审查对象，组织第三方机构、专家委员会对网络产品和服务进行网络安全审查，并发布或在一定范围内通报审查结果。”

4.网络关键设备和网络安全专用产品认证实施程序

《网络安全法》第23条规定“网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录，并推动安全认证和安全检测结果互认，避免重复认证、检测。”

2017年6月1日，国家互联网信息办公室、工业和信息化部、公安部和国家认证认可监督管理委员会等四部门发布了《网络关键设备和网络安全专用产品目录（第一批）》的公告，自印发之日起施行。列入该目录的设备和产品，应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。公告中明确认证实施程序如下：

一是检测认证：网络关键设备和网络安全专用产品认证或者检测委托人，选择具备资格的机构进行安全认证或者安全检测。

二是结果核准：网络关键设备、网络安全专用产品选择安全检测方式的，经安全检测符合要求后，由检测机构将网络关键设备、网络安全专用产品检测结果（含公告发布之前已经由本机构安全认证合格、且在有效期内的设备与产品）依照相关规定分别报工业和信息化部、公安部。选择安全认证方式的，经安全认证合格后，由认证机构将认证结果（含公告发布之前已经本机构安全认证合格、且在有效期内的设备与产品）依照相关规定报国家认证认可监督管理委员会。

三是结果发布：国家互联网信息办公室会同工业和信息化部、公安部、国家认证认可监督管理委员会统一发布。

5.《网络关键设备和网络安全专用产品目录》制度设计优化

在《网络关键设备和网络安全专用产品目录》制度设计中，考虑用清单制代替证书制，也就是同一款设备或产品，只要通过了安全检测或认证之中的一项就列入通过安全检测认证的设备和产品清单，同时无论通过了几家的检测或认证，在清单上也只体现一次。该制度设计，能避免企业因为市场竞争不得不尽可能多的获得检测认证证书问题，切实减少重复检测重复认证。

保障基石：国家网络安全事件应急预案

《网络安全法》第25条规定“在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。”第51条规定“国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作，按照规定统一发布网络安全监测预警信息。”第52条规定“负责关键信息基础设施安全保护工作的部门，应当建立健全本行业、本领域的网络安全监测预警和信息通报制度，并按照规定报送网络安全监测预警信息。”对此，国家网信部门已经发布了《国家网络安全事件应急预案》，对网络安全事件处置和报告、网络安全监测预警信息推送发布都做了相关规定。

法律责任：哪些红线不能碰

《网络安全法》对网络运营者等主体的法律义务和责任进行了全面规定，将现有的各类网络安全相关规定上升到了法律层面，在“第六章 法律责任”中加大了对违法行为的处罚力度，有利于保障法律实施。

例如，《网络安全法》第59条规定网络运营者不履行网络安全保护义务、信息系统不做等级保护测评的，将会受到处罚；第61条规定未要求用户提供真实身份信息，或者对不提供真实身份信息的用户提供相关服务的，情节严重的，可以吊销相关业务许可证或者吊销营业执照；第64条规定网络运营者、网络产品或者服务提供者侵害个人信息的，情节严重的，可以吊销相关业务许可证或者吊销营业执照；第68条规定网络运营者对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录的，情节严重的，可以吊销相关业务许可证或者吊销营业执照；第69条明确规定了网络运营者违反本法规定、对有关主管部门监督管理不履行配合义务的，应当承担的法律责任；第70条规定对发布、传输违法信息和其他法律、行政法规禁止发布或者传输的信息的，依照有关法律、行政法规的规定处罚，这里指的法律和行政法规主要包括《网络安全法》、《反恐怖主义法》、《刑法》、《侵权责任法》、《互联网信息服务管理办法》等。

《网络安全法》现行共七章79条，内容十分丰富，是我国网络安全领域基础性的法律。全国人大常委会法工委经济法室副主任杨合庆在新闻发布会上总结了其六大亮点：第一，明确了网络空间主权的原则；第二，明确了网络产品和服务提供者的安全义务；第三，明确了网络运营者的安全义务；第四，进一步完善了个人信息保护规则；第五，建立了关键信息基础设施安全保护制度；第六，确立了关键信息基础设施重要数据跨境传输的规则。《网络安全法》从我国国情出发，坚持问题导向，总结实践经验，也借鉴了其他国家的一些做法，始终坚持安全与发展并重的原则，协调推进我国网络安全和发展进程。