《網(wǎng)絡安全法》實施：實現(xiàn)網(wǎng)絡安全的法治保障

　　源于我國面臨國內(nèi)外網(wǎng)絡安全形勢的客觀實際和緊迫需要，2016年11月7日，《中華人民共和國網(wǎng)絡安全法》（以下簡稱“網(wǎng)安法”）經(jīng)第十二屆全國人大常委會第二十四次會議表決通過，已于2017年6月1日施行。網(wǎng)安法為我國有效應對網(wǎng)絡安全威脅和風險、全方位保障網(wǎng)絡安全提供了上位法依據(jù)。

　　一、戰(zhàn)略發(fā)布：不斷強化網(wǎng)安法提出的原則和政策

　　2016年12月27日發(fā)布的《國家網(wǎng)絡空間安全戰(zhàn)略》，是我國首次發(fā)布關于網(wǎng)絡空間安全的戰(zhàn)略。戰(zhàn)略與網(wǎng)安法提出的構建網(wǎng)絡空間的“和平、安全、開放、合作”原則相銜接，從國家戰(zhàn)略層面詮釋了網(wǎng)安法主張的網(wǎng)絡空間主權原則，將“堅定捍衛(wèi)網(wǎng)絡空間主權”作為九大戰(zhàn)略任務之首，強調(diào)“根據(jù)憲法和法律法規(guī)管理我國主權范圍內(nèi)的網(wǎng)絡活動，保護我國信息設施和信息資源安全，采取包括經(jīng)濟、行政、科技、法律、外交、軍事等一切措施，堅定不移地維護我國網(wǎng)絡空間主權。堅決反對通過網(wǎng)絡顛覆我國國家政權、破壞我國國家主權的一切行為”；戰(zhàn)略將“保護關鍵信息基礎設施”作為九大戰(zhàn)略任務之三，進一步拓展了關鍵信息基礎設施的外延，將重要互聯(lián)網(wǎng)應用系統(tǒng)納入其中，強調(diào)著眼識別、防護、檢測、預警、響應、處置等環(huán)節(jié)，建立實施關鍵信息基礎設施保護制度；同時，戰(zhàn)略再次強調(diào)要建立實施網(wǎng)絡安全審查制度，加強供應鏈安全管理。

　　2017年3月1日發(fā)布的《網(wǎng)絡空間國際合作戰(zhàn)略》，全面宣示了我國在國際互聯(lián)網(wǎng)治理問題上的基本原則和行動要點，奠定了我國在國際社會競爭中的話語權和軟實力。該戰(zhàn)略站在各國共同維護網(wǎng)絡空間安全的角度，重申了網(wǎng)安法的和平、主權原則；戰(zhàn)略主張的“促進企業(yè)提高數(shù)據(jù)安全保護意識，支持企業(yè)加強行業(yè)自律，就網(wǎng)絡空間個人信息保護最佳實踐展開討論。推動政府和企業(yè)加強合作，共同保護網(wǎng)絡空間個人隱私”的行動倡議與網(wǎng)安法第四章“網(wǎng)絡信息安全”的個人信息保護規(guī)定緊密契合。

　　這兩個戰(zhàn)略開啟了我國網(wǎng)絡空間治理的全新范式，鞏固和強化了網(wǎng)安法構建的由內(nèi)而外、自上到下的原則和政策，為我國網(wǎng)絡安全相關政策和配套法律的出臺指明了方向，有助于繼續(xù)深入推進網(wǎng)絡主權保障、關鍵信息基礎設施保護、個人信息保護、國家安全審查等方面的法律構建。

　　二、配套規(guī)定出臺：有效銜接網(wǎng)安法構筑的制度和規(guī)則

　　網(wǎng)安法從運行安全、信息安全和事件應對三個維度立體化、全方位保護網(wǎng)絡安全。相關部門正制定或出臺相應的下位法與之配套，切實保障網(wǎng)安法的可操作性，避免流于表面化。

　　在網(wǎng)絡運行安全方面，網(wǎng)絡安全審查和關鍵信息基礎設施保護制度是下位法制定的重點。網(wǎng)安法第35條規(guī)定應該對可能影響國家安全的關鍵信息基礎設施的網(wǎng)絡產(chǎn)品和服務進行國家安全審查，該條已在國家互聯(lián)網(wǎng)信息辦公室2017年5月2日發(fā)布的《網(wǎng)絡產(chǎn)品和服務安全審查辦法（試行）》中進行了具體規(guī)定，該規(guī)定是首個正式生效的網(wǎng)安法重要配套規(guī)定，并已于6月1日同步施行。該辦法旨在提高網(wǎng)絡產(chǎn)品和服務安全可控水平，防范供應鏈安全風險。根據(jù)該辦法，關系國家安全和公共利益的信息系統(tǒng)使用的重要網(wǎng)絡產(chǎn)品和服務以及關鍵信息基礎設施運營者采購的網(wǎng)絡產(chǎn)品和服務，可能影響國家安全的，都要經(jīng)過網(wǎng)絡安全審查；網(wǎng)絡安全審查重點在于網(wǎng)絡產(chǎn)品和服務的安全性、可控性。

　　信息安全等級保護制度是國家對基礎信息網(wǎng)絡和重要信息系統(tǒng)實施重點保護的關鍵措施。我國的信息安全等級保護工作初步實現(xiàn)了標準化、規(guī)范化，但是仍呈現(xiàn)體系不完善、重點不突出、保護效果不佳、保護對象不完整等問題。網(wǎng)安法第21條提出國家實行網(wǎng)絡安全等級保護制度，第31條進一步要求關鍵信息基礎設施要落實國家安全等級保護制度，突出保護重點，是深化信息安全等級保護制度、保護國家關鍵信息基礎設施和大數(shù)據(jù)安全的迫切需要。為落實網(wǎng)安法第21條和第31條的規(guī)定，必須科學合理地推動網(wǎng)絡安全等級保護制度的演進與變革，構建和完善等級保護2.0制度體系。

　　網(wǎng)安法第31條規(guī)定建立關鍵信息基礎設施保護制度，授權國務院制定關鍵信息基礎設施的具體范圍和安全保護辦法。關鍵信息基礎設施安全保護辦法是法律中唯一明確規(guī)定“由國務院制定”的行政法規(guī)，也是網(wǎng)絡安全法律體系的重中之重。主管部門已開展了相關條例的具體調(diào)研、安全檢查、起草編寫、部門論證和企業(yè)座談等工作。在與關鍵信息基礎設施保護配套的強制性標準方面，全國信安標委2017年工作重點之一即為落實網(wǎng)安法要求，加快推動重點標準研制，網(wǎng)絡安全產(chǎn)品與服務、關鍵信息基礎設施保護等強制性國家標準的研究。由此可見，與網(wǎng)安法第31條配套的法規(guī)、國家標準等正在經(jīng)歷著縝密的夯實歷程。

　　網(wǎng)安法第37條首次在法律中確立了對個人信息及重要數(shù)據(jù)出境的安全評估制度，并授權國家網(wǎng)信部門會同其他監(jiān)管部門制定詳細的安全評估實施辦法。數(shù)據(jù)本地化屬于境內(nèi)外實體的重大關切，《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》已于5月11日結束公開征求意見。評估辦法以《國家安全法》和《網(wǎng)絡安全法》等為上位法依據(jù)，擴大了數(shù)據(jù)本地化及安全評估義務適用對象的范圍，解釋了重要數(shù)據(jù)的概念，數(shù)據(jù)評估的重點內(nèi)容，不得出境的條件等，正式制度出臺和具體實施有待在實踐中進一步觀察。

　　在網(wǎng)絡信息安全方面，《互聯(lián)網(wǎng)新聞信息服務管理規(guī)定》也于6月1日同步施行，規(guī)定第13條第一款和十六條第二款分別銜接了網(wǎng)安法第24條用戶身份管理制度的要求和第47條處置違法信息的義務要求，互聯(lián)網(wǎng)新聞信息服務提供者違反這兩款的適用網(wǎng)安法的行政處罰。

　　兩高《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（《解釋》）5月10日正式發(fā)布，解釋降低入罪門檻，嚴懲侵犯公民個人信息犯罪。在個人信息保護基本立法暫時缺位的情況下，《解釋》及時彌補了個人信息刑事責任追責的短板，并實質(zhì)性的構成了網(wǎng)安法行刑銜接的進一步配套和細化制度，為基本立法提供了案例素材，有利于立法的精準、充分。

　　三、國際立法變革：網(wǎng)安法后續(xù)制度落地的參考方向

　　國際網(wǎng)絡安全相關戰(zhàn)略和立法迅速進行改革，美歐紛紛建立全方位、更立體、更具彈性與前瞻性的網(wǎng)絡安全立法體系。鑒于事件驅(qū)動重大立法規(guī)律的存在，可以預見的是，國際立法變革將一直持續(xù)。

　　美國接連通過多部網(wǎng)絡安全戰(zhàn)略及立法，以加強美國網(wǎng)絡安全和抵御網(wǎng)絡攻擊的能力，如2016年通過《信息自由法案促進法》、“應對重大網(wǎng)絡攻擊最新政策指令”、“安全漏洞披露政策”、《波特曼-墨菲反宣傳法案》，2017年通過《國家網(wǎng)絡事件響應計劃（NCIRP）》、《2017NIST網(wǎng)絡安全框架、評估和審查法案》（NIST Cybersecurity Framework, Assessment, and Auditing Act of 2017）（H.R.1224）等。5月11日，美國總統(tǒng)特朗普簽署了《關于加強聯(lián)邦網(wǎng)絡和關鍵基礎設施網(wǎng)絡安全的總統(tǒng)行政令》，要求美國采取一系列措施來增強聯(lián)邦政府、關鍵基礎設施和國家這三個領域的網(wǎng)絡安全,明確要求聯(lián)邦機構必須遵守NIST的網(wǎng)絡安全框架。歐盟2016年7月通過第一部網(wǎng)絡安全法案《網(wǎng)絡與信息系統(tǒng)安全指令》，致力于在歐盟范圍內(nèi)實現(xiàn)統(tǒng)一的、高水平的網(wǎng)絡與信息系統(tǒng)安全，歐盟成員國必須在21個月內(nèi)將其轉化為國內(nèi)法，11月發(fā)布了三個有關歐盟《一般數(shù)據(jù)保護條例》內(nèi)容的指南，為落實《一般數(shù)據(jù)保護條例》提供更詳盡的指引。英國2016年底頒布史上最嚴協(xié)助執(zhí)法法《調(diào)查權法案》，旨在進一步理清執(zhí)法機構在通信及通信數(shù)據(jù)攔截、獲取、留存及設備干擾等方面的權力，幫助執(zhí)法機構調(diào)查犯罪和防控恐怖主義。

　　從制度設計層面來看，網(wǎng)安法規(guī)定了近20項制度，其中，網(wǎng)絡安全等級保護制度、網(wǎng)絡信息內(nèi)容管理、網(wǎng)絡安全教育和培訓、個人信息保護等制度較為成熟，網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產(chǎn)品認證、漏洞等網(wǎng)絡安全信息發(fā)布、關鍵信息基礎設施保護制度、數(shù)據(jù)留存和協(xié)助執(zhí)法制度、境外網(wǎng)絡攻擊制裁等更多的制度亟需完善設計和后續(xù)落地，在制度的貫徹實施過程中必然存在各種挑戰(zhàn)和問題。

　　而恰恰國際立法變革的內(nèi)容可以為我國網(wǎng)安法后續(xù)制度落地提供參考方向。如美國2016年應對重大網(wǎng)絡攻擊最新政策指令公布了對網(wǎng)絡攻擊嚴重程度進行定性的標準，從0級到5級共分6個層次，分別是基準、低、中、高、嚴重和緊急，其中3級及以上被視為“重大網(wǎng)絡事件”，將觸發(fā)政策指令中的威脅應對、資產(chǎn)應對和情報支持活動等反應機制，可以為我國網(wǎng)絡安全事件應急處置和境外攻擊制裁制度落地提供參考。美國國防部“安全漏洞披露政策”可以為漏洞等網(wǎng)絡安全信息發(fā)布和漏洞的合法挖掘、合理披露制度構建提供參考。美國《2017NIST網(wǎng)絡安全框架、評估和審查法案》則可為關鍵信息基礎設施保護辦法、關鍵信息技術保護安全要求方面的國家強制性標準制定提供參考。英國《調(diào)查權法案》涉及面廣，規(guī)定細致，可以為數(shù)據(jù)存留和協(xié)助執(zhí)法制度的完善提供參考等。必須強調(diào)的是，相關制度借鑒應考慮其制定和實施的特殊場景，不能照搬國外經(jīng)驗，需根據(jù)國情實施本土化改造。

　　作為我國第一部網(wǎng)絡安全管理的基礎性保障法，其全面落地實施是網(wǎng)絡空間法治建設的重要里程碑事件。網(wǎng)安法以發(fā)現(xiàn)、消除網(wǎng)絡安全威脅和風險，提升恢復能力為軸心，構建了“防御、控制與懲治”三位一體的立法架構，其配套制度的制定與出臺正不斷夯實豐滿這一立法架構。