5個問題快速讀懂今起實施的《網路安全法》

我們所知的《中華人民共和國網路安全法》是去年11月7日通過，並從今年6月1日也就是今天開始施行的。就該法律的獲准通過及其解讀，FreeBuf還曾

專訪過段和段律師事務所創始人劉春泉律師

，主要就其對企業安全可能產生的影響做了相對深入的解讀。

路透社

先前發表的評論文章中援引了美國商會主席James Zimmerman的話，他認為中國的這項法律「模糊，曖昧，監管機構完全可以對其進行各種解讀」；不過我們知道，《網路安全法》是中國第一部有關網路安全的基礎性、「大綱性」的法律，劉春泉律師就曾說過它「仍需完善」，但至少中國朝著網路安全進行了重要的一步邁進。

值此《網路安全法》施行之際，我們再行梳理相關這部法律的更多信息，期望通過下面這5個問題，讓所有關心《網路安全法》的各位清楚，這部法律對我們每個人、企業組織和各種不同的角色而言意味著什麼？

《網路安全法》究竟在說什麼

就網路安全法的內容來說，先前各類文章都已經說得很明確，如果你不願意看《網路安全法》全文，那麼全國人大常委會法工委經濟法室副主任楊合慶早前的總結就已經比較到位。這部法律比較明確的是6個亮點：

網路安全法明確了網路空間主權的原則；

明確了網路產品和服務提供者的安全義務；

明確了網路運營者的安全義務；

進一步完善了個人信息保護規則；

建立了關鍵信息基礎設施安全保護制度；

確立了關鍵信息基礎設施重要數據跨境傳輸的規則。

以上的每個部分都有相應的內容，比如大眾媒體普遍更關注個人信息隱私保護問題在《網路安全法》中的體現。中國日報在

中提到《網路安全法》帶來的第一個好處就是個人信息不再「裸奔」，這是個人信息保護制度帶來的變化。

再比如該法明確了網路是國家主權範圍，需要進行管轄。明確網路空間主權至少已經從最基礎的層面提出國家對網路空間行使權力的問題。如第七十五條，「境外的機構、組織、個人從事攻擊、侵入、干擾、破壞等危害中華人民共和國的關鍵信息基礎設施的活動，造成嚴重後果的，依法追究法律責任…」

網路產品和服務提供者的安全義務，以及網路運營者的安全義務都是對企業安全提出的要求，或者說對互聯網及有互聯網業務的企業而言提出了基本的安全需求。比如對企業安全資質、內部技術、安全制度作具體規定。

而「關鍵信息基礎設施保護制度」，目的是為了保證涉及國家安全、國計民生、公共利益的信息系統及設施的安全。這裡的「關鍵基礎設施」範圍尚未劃定，網信辦還在研究制定指導性文件與標準，為不同的行業領域明確關鍵信息基礎設施的具體範圍。這類數據的跨境傳輸自然也需要作相應規定。

真的能解決網路安全問題嗎

有關這個問題，在我們先前和劉春泉律師的採訪中已經相對詳細地探討過。當時我們就提到《網路安全法》是個基礎性質的法律，而且它具有一定的偏向性。配合《網路安全法》的另一套「組合拳」還在緊張的籌備中。

前文提到「關鍵基礎設施」的時候就聊到，這個概念的範疇在《網路安全法》中並沒有明確，但網信辦正在對此進行研究，從事標準與文件的制定。實際上，中國經濟網

昨天的消息提到

，有關部門正在研究起草相關制度文件，包括關鍵信息基礎設施保護辦法、個人信息和重要數據出境安全評估辦法、網路關鍵設施和網路安全專用產品目錄等。這些實際上都是更為具體的，用於對《網路安全法》的具體施行作補充的內容。

到目前為止，《網路產品和服務安全審查辦法（試行）》的配套制度文件已經公開發布；國家標準化部門還在抓緊組織制定《個人信息安全規範》等標準。所以《網路安全法》從來就不是孤立的、靜態的。

比如「關鍵基礎設施」無論在哪個國家的各行業都是相當複雜的，也是後續需要完善和調整的。所以《網路安全法》從來不是一紙空文，或者說它為後續更多工作的開展提供了基礎。

法新社在最近的一篇

中援引耶魯法學院中美關係專家Graham Webster的話：「很顯然，其管理制度正在發展，而且並不是像一盞燈一樣在6月1日進行一次簡單的開關。」中國「正與許多國家一樣，針對面臨的合法化問題和挑戰進行角力。即便有種種警示和含糊不清的問題，但都是期望讓它往好的方向發展。」

實際上，《網路安全法》的制定從開展調查、確定立法思路起草草案大綱、擬訂主要制度和初步方案、徵求不同部門意見，再到草案初稿、修改並形成草案——這些過程都是為解決具體問題而作的，包括現在仍在進行的各項規則、標準和文件制定工作。

還有哪些新規要實施

除了《網路安全法》，你知道還有一波新規也從今天開始施行嗎？

如前所述，配套和相關法律法規都會相繼到來。可能很多人並不知道6月1日起開始施行的並不只是《網路安全法》。如果就相關網路安全的內容來談，實際上還有部分法律法規也在今天起實施。包括：

《最高人民法院、最高人民檢察院關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》：《刑法》中提到侵犯公民個人信息罪的入罪要件是「情節嚴重」，而這則解釋就明確了什麼是「情節嚴重」，包括行蹤軌跡信息、內容信息、徵信信息、財產信息——非法獲取、出售或提供50條以上即為情節嚴重。白帽子需要在意這一解釋。

《網路產品和服務安全審查辦法（試行）》：著力於提高網路產品和服務安全可控水平。

《互聯網新聞信息服務許可管理實施細則》等：這一細則進一步明確，通過互聯網、公眾帳號、即時通訊工具、網路直播、論壇等提供互聯網信息服務的，需要取得互聯網新聞信息服務許可，且服務提供者轉載新聞信息，應註明新聞信息來源、原作者、原標題、編輯真實姓名等，不得歪曲、篡改標題原意和新聞信息內容，並保證新聞信息來源可追溯。和《網路安全法》一起，這是新媒體需要注意規範的。

對個人和企業而言意味著什麼

這主要是值得企業作大量

研究的問題，尤其是對企業安全做出更為具體的要求和規定。劉春泉律師說過：

「《網路安全法》比較側重於企業安全，比如企業應該怎麼去保護信息、怎麼去保護網路安全等。」「《網路安全法》頒布之後，企業需要重視自己的安全建設。」

此後企業有了更具體的義務和責任去維護網路安全，並對用戶和客戶負責。比如其中第二十一條，網路運營者應當制定網路安全事件應急預案，及時處置系統漏洞、計算機病毒、網路入侵、網路攻擊等安全風險；在發生危害網路安全的事件時，立即啟動應急預案，採取相應補救措施，並按照規定向有關主管部門報告。

再比如從第三十三條，至第三十八條針對關鍵信息基礎設施運營者所做的規定（如關鍵信息基礎設施運營商應當自行或委託網路安全服務機構對其網路安全性和可能存在的風險每年至少進行一次檢測評估，並將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門），具有相當的強制性——在法律責任部分明確提到若不履行這些規定，則由有關主管部門責令整改、給予警告；拒不改正或導致危害網路安全等後果的，處十萬元以上一百萬元以下罰款，而且還對直接負責的主管人員除以一萬元以上、十萬元以下罰款。

這些都是值得企業組織去認真學習與核對的。總的來說，是對企業安全資質和制度、內部技術做了規定，如果達不到法律的要求，網路服務提供者將無法開展服務，甚至對不具備法律要求安全技術能力的企業可吊銷證照。

至於個人，前文提到的個人信息保護大約是《網路安全法》的重頭戲了。比如其中明確網路產品、服務具有收集用戶信息功能的，其提供者應當向用戶明示並取得同意；網路運營者不得泄露、篡改、毀損其收集的個人信息；任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息，並規定了相應法律責任。這也是白帽子需要注意的問題。

還有《網路安全法》以法律的形式對網路實名製做出了規定，若不提供真實身份信息，網路運營者將不能為其提供相關服務。這對個人用戶而言也是需要關心的，相關審查的內容。比如百度網盤、貼吧等產品從6月1日起就正式實行實名制，如果用戶此後未能完成實名認證，後續百度部分產品使用會受到一定的限制。

是否會對國外企業造成不公平待遇

在去年《網路安全法》通過之際就有不少國外媒體提到，這對身在中國的外企而言是個壞消息。這可能也是《網路安全法》的一個聚焦熱點，除了境外機構、組織、個人從事攻擊、侵入、干擾、破壞等危害中華人民共和國關鍵信息基礎設施的活動，造成嚴重後果需要依法追究法律責任，其中還有一條提到關鍵信息基礎設施運營者在中華人民共和國境內收集產生的個人信息和重要數據應當在境內存儲。

澎湃新聞在針對國家互聯網信息辦公室網路安全協調局

，有關負責人就提到這項規定是對關鍵信息基礎設施運營者提出的要求，而非所有網路運營者；而且也並不針對所有數據，僅限個人和重要數據；需要出境的數據，經過安全評估認為不會危害國家安全和社會公共利益的是可以出境的；經過個人信息主體同意的個人信息也可以出境（比如撥打國際電話、發送國際電子郵件、跨境購物都視為個人信息主體同意）。

而已經發布的《網路產品和服務安全審查辦法（試行）》對可能影響國家安全的產品和服務進行安全審查，並不針對特定國家地區，也沒有國別差異，目的是提高網路產品和服務的安全可控水平，維護國家安全與公共利益。

總的來說，《網路安全法》的部分職責是維護國家網路空間主權和國家安全、社會公共利益，保護公民、法人和其他組織的利益，「而不是要限制國外企業、技術、產品進入中國市場，不是要限制數據依法有序自由流動」。

《網路安全法》的意義已無需多言，這是國內針對安全的立法向網路安全強國看齊的重要一步，即便它尚無解決所有網路安全問題的可能，卻依舊是個很好的開始，而且是從今天開始。

* FreeBuf官方出品，本文作者：歐陽洋蔥，未經許可禁止轉載

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！