《網路安全法》實施：實現網路安全的法治保障

源於面臨國內外網路安全形勢的客觀實際和緊迫需要，2016年11月7日，《中華人民共和國網路安全法》(以下簡稱「《網路安全法》」)經第十二屆全國人大常委會第二十四次會議表決通過，已於2017年6月1日施行。如今《網路安全法》實施已經有段時日了，那麼《網路安全法》對網路安全行業有哪些指導意義呢？今天優炫軟體就帶您解讀《網路安全法》的法治保障意義。

一、戰略發布：不斷強化《網路安全法》提出的原則和政策

2016年12月27日發布的《國家網路空間安全戰略》，是首次發布關於網路空間安全的戰略。戰略與《網路安全法》提出的構建網路空間的「和平、安全、開放、合作」原則相銜接，從國家戰略層面詮釋了《網路安全法》主張的網路空間主權原則，將「堅定捍衛網路空間主權」作為九大戰略任務之首，強調「根據憲法和法律法規管理主權範圍內的網路活動，保護信息設施和信息資源安全，採取包括經濟、行政、科技、法律、外交、軍事等一切措施，堅定不移地維護網路空間主權。堅決反對通過網路顛覆國家政權、破壞國家主權的一切行為」；戰略將「保護關鍵信息基礎設施」作為九大戰略任務之三，進一步拓展了關鍵信息基礎設施的外延，將重要互聯網應用系統納入其中，強調著眼識別、防護、檢測、預警、響應、處置等環節，建立實施關鍵信息基礎設施保護制度；同時，戰略再次強調要建立實施網路安全審查制度，加強供應鏈安全管理。

2017年3月1日發布的《網路空間國際合作戰略》，全面宣示了在國際互聯網治理問題上的基本原則和行動要點，奠定了在國際社會競爭中的話語權和軟實力。該戰略站在各國共同維護網路空間安全的角度，重申了《網路安全法》的和平、主權原則；戰略主張的「促進企業提高數據安全保護意識，支持企業加強行業自律，就網路空間個人信息保護最佳實踐展開討論。推動政府和企業加強合作，共同保護網路空間個人隱私」的行動倡議與《網路安全法》第四章「網路信息安全」的個人信息保護規定緊密契合。

【意義】

這兩個戰略開啟了網路空間治理的全新範式，鞏固和強化了《網路安全法》構建的由內而外、自上到下的原則和政策，為網路安全相關政策和配套法律的出台指明了方向，有助於繼續深入推進網路主權保障、關鍵信息基礎設施保護、個人信息保護、國家安全審查等方面的法律構建。

二、配套規定出台：有效銜接《網路安全法》構築的制度和規則

《網路安全法》從運行安全、信息安全和事件應對三個維度立體化、全方位保護網路安全。相關部門正制定或出台相應的下位法與之配套，切實保障《網路安全法》的可操作性，避免流於表面化。

在網路運行安全方面，網路安全審查和關鍵信息基礎設施保護制度是下位法制定的重點。《網路安全法》第35條規定應該對可能影響國家安全的關鍵信息基礎設施的網路產品和服務進行國家安全審查，該條已在國家互聯網信息辦公室2017年5月2日發布的《網路產品和服務安全審查辦法（試行）》中進行了具體規定，該規定是首個正式生效的《網路安全法》重要配套規定，並已於6月1日同步施行。

【意義】

該辦法旨在提高網路產品和服務安全可控水平，防範供應鏈安全風險。根據該辦法，關係國家安全和公共利益的信息系統使用的重要網路產品和服務以及關鍵信息基礎設施運營者採購的網路產品和服務，可能影響國家安全的，都要經過網路安全審查；網路安全審查重點在於網路產品和服務的安全性、可控性。

信息安全等級保護制度是國家對基礎信息網路和重要信息系統實施重點保護的關鍵措施。的信息安全等級保護工作初步實現了標準化、規範化，但是仍呈現體系不完善、重點不突出、保護效果不佳、保護對象不完整等問題。《網路安全法》第21條提出國家實行網路安全等級保護制度，第31條進一步要求關鍵信息基礎設施要落實國家安全等級保護制度，突出保護重點，是深化信息安全等級保護制度、保護國家關鍵信息基礎設施和大數據安全的迫切需要。為落實《網路安全法》第21條和第31條的規定，必須科學合理地推動網路安全等級保護制度的演進與變革，構建和完善等級保護2.0制度體系。《網路安全法》第31條規定建立關鍵信息基礎設施保護制度，授權國務院制定關鍵信息基礎設施的具體範圍和安全保護辦法。

【意義】

關鍵信息基礎設施安全保護辦法是法律中唯一明確規定「由國務院制定」的行政法規，也是網路安全法律體系的重中之重。主管部門已開展了相關條例的具體調研、安全檢查、起草編寫、部門論證和企業座談等工作。在與關鍵信息基礎設施保護配套的強制性標準方面，全國信安標委2017年工作重點之一即為落實《網路安全法》要求，加快推動重點標準研製，網路安全產品與服務、關鍵信息基礎設施保護等強制性國家標準的研究。由此可見，與《網路安全法》第31條配套的法規、國家標準等正在經歷著縝密的夯實歷程。

《網路安全法》第37條首次在法律中確立了對個人信息及重要數據出境的安全評估制度，並授權國家網信部門會同其他監管部門制定詳細的安全評估實施辦法。數據本地化屬於境內外實體的重大關切，《個人信息和重要數據出境安全評估辦法（徵求意見稿）》已於5月11日結束公開徵求意見。評估辦法以《國家安全法》和《網路安全法》等為上位法依據，擴大了數據本地化及安全評估義務適用對象的範圍，解釋了重要數據的概念，數據評估的重點內容，不得出境的條件等，正式制度出台和具體實施有待在實踐中進一步觀察。

在網路信息安全方面，《互聯網新聞信息服務管理規定》也於6月1日同步施行，規定第13條第一款和十六條第二款分別銜接了《網路安全法》第24條用戶身份管理制度的要求和第47條處置違法信息的義務要求，互聯網新聞信息服務提供者違反這兩款的適用《網路安全法》的行政處罰。

【意義】

《關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（《解釋》）5月10日正式發布，解釋降低入罪門檻，嚴懲侵犯公民個人信息犯罪。在個人信息保護基本立法暫時缺位的情況下，《解釋》及時彌補了個人信息刑事責任追責的短板，並實質性的構成了《網路安全法》行刑銜接的進一步配套和細化制度，為基本立法提供了案例素材，有利於立法的精準、充分。

三、國際立法變革：《網路安全法》後續制度落地的參考方向

國際網路安全相關戰略和立法迅速進行改革，美歐紛紛建立全方位、更立體、更具彈性與前瞻性的網路安全立法體系。鑒於事件驅動重大立法規律的存在，可以預見的是，國際立法變革將一直持續。

美國接連通過多部網路安全戰略及立法，以加強美國網路安全和抵禦網路攻擊的能力，如2016年通過《信息自由法案促進法》、「應對重大網路攻擊最新政策指令」、「安全漏洞披露政策」、《波特曼-墨菲反宣傳法案》，2017年通過《國家網路事件響應計劃（NCIRP）》、《2017NIST網路安全框架、評估和審查法案》（NIST Cybersecurity Framework, Assessment, and Auditing Act of 2017）（H.R.1224）等。5月11日，美國總統川普簽署了《關於加強聯邦網路和關鍵基礎設施網路安全的總統行政令》，要求美國採取一系列措施來增強聯邦政府、關鍵基礎設施和國家這三個領域的網路安全，明確要求聯邦機構必須遵守NIST的網路安全框架。

歐盟2016年7月通過第一部網路安全法案《網路與信息系統安全指令》，致力於在歐盟範圍內實現統一的、高水平的網路與信息系統安全，歐盟成員國必須在21個月內將其轉化為國內法，11月發布了三個有關歐盟《一般數據保護條例》內容的指南，為落實《一般數據保護條例》提供更詳盡的指引。

英國2016年底頒布史上最嚴協助執法法《調查權法案》，旨在進一步理清執法機構在通信及通信數據攔截、獲取、留存及設備干擾等方面的權力，幫助執法機構調查犯罪和防控恐怖主義。

那麼制定的《網路安全法》又如何呢？

從制度設計層面來看，《網路安全法》規定了近20項制度，其中網路安全等級保護制度、網路信息內容管理、網路安全教育和培訓、個人信息保護等制度較為成熟，網路關鍵設備和網路安全專用產品認證、漏洞等網路安全信息發布、關鍵信息基礎設施保護制度、數據留存和協助執法制度、境外網路攻擊制裁等更多的制度亟需完善設計和後續落地，在制度的貫徹實施過程中必然存在各種挑戰和問題。

恰恰國際立法變革的內容可以為《網路安全法》後續制度落地提供參考方向。但必須強調的是，相關制度借鑒應考慮其制定和實施的特殊場景，不能照搬國外經驗，需根據國情實施本土化改造。

作為第一部網路安全管理的基礎性保障法，其全面落地實施是網路空間法治建設的重要里程碑事件。《網路安全法》以發現、消除網路安全威脅和風險，提升恢復能力為軸心，構建了「防禦、控制與懲治」三位一體的立法架構，其配套制度的制定與出台正不斷夯實豐滿這一立法架構。為降低《網路安全法》全面落地實施的難度，《網路安全法》配套制度的制定與出台仍需嚴謹、審慎論證。

結語

我們可以通過《網路安全法》看出，國家層面更明確對關鍵信息及核心數據的保護措施，保護關鍵信息的基礎設施建設也成了重中之重；更明確了國家有關部門的監督管理職責，提出了政府、企業、社會組織、技術社群和公民等網路利益相關者共同參與、共同治理的原則；明確國家建立網路安全監測預警和信息通報制度，建立網路安全風險評估和應急工作機制，制定網路安全事件應急預案並定期演練。

這為建立統一高效的網路安全風險報告機制、情報共享機制、研判處置機制提供了法律依據，為深化網路安全防護體系，實現全天候、全方位感知網路安全態勢提供了法律保障。

國防和軍隊信息安全並非離我們很遠，它源自於每一個地區、每一個公民的信息安全，它需要依靠每一個公民的安全意識作為支撐。不僅企業機構需要更加註重信息安全建設，做為我們每一個人也應當加強信息安全知識學習，提高個人安全意識，注重信息安全防護，把總體國家安全觀映射成我們個人的安全觀，為國家和軍隊信息安全貢獻自己的力量。

內容來源：新浪