网络安全法草案公布征求意见

2015年7月6日，全国人大常委会公布了于2015年6月25日经过第一次审议的《网络安全法》草案¹ （以下简称“《草案》”），向社会公开征求意见。征求意见截止日期为2015年8月5日。网络安全法于2013年被列入第十二届全国人大常委会（任期2013年3月至2018年3月）立法规划² ，并于2014年开始列入全国人大常委会年度立法工作计划³，但目前网络安全法具体出台时间尚未公布。

《草案》的出台，与今年7月1日出台的《国家安全法》密切相关。《国家安全法》首次以法律形式提出“维护国家网络空间主权”、将网络和信息安全作为国家安全的重要组成部分，并提出建立对各类影响和可能影响国家安全的事项和活动（包括网络信息技术产品和服务）的国家安全审查和监管制度。《草案》则进一步以“维护国家网络空间主权”作为基本的立法宗旨，从网络安全战略、规划与促进，网络运行安全，网络信息安全，以及监测预警与应急处置等方面对维护网络空间主权和国家安全、保障网络安全作出了具体规定。

一、适用范围

根据《草案》，《网络安全法》适用于在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理。对网络的定义则包括由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的网络和系统。对于《网络安全法》之中重要的义务主体网络运营者，《草案》将其定义为“网络的所有者、管理者以及利用他人所有或者管理的网络提供相关服务的网络服务提供者，包括基础电信运营者、网络信息服务提供者、重要信息系统运营者等（第六十五条）。”

二、网络安全主管机关

《草案》规定，中央层面负责统筹协调网络安全工作和相关监督管理工作的为国家网信部门，即中央网信办，并进一步规定工业和信息化部和公安部（及其他有关部门）在各自职责范围内负责网络安全保护和监督管理工作（第六条）。

三、与网络运营者相关的主要法律规定

《草案》中与网络运营者相关的主要法律规定总结如下：

• 加强网络运营者的安全义务。《草案》对网络产品和服务提供者规定了一系列安全义务，包括不得设置恶意程序，及时向用户告知安全缺陷、漏洞等风险，持续提供安全维护服务等（第十八条）。网络关键设备和网络安全专用产品应当按照相关国家标准、行业标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后方可销售（第十九条）。《草案》将实施网络安全等级保护制度上升为网络运营者的法律义务，要求网络运营者采取数据分类、重要数据备份和加密等保护措施（第十七条）。另外，网络运营者也有配合国家安全和侦查犯罪的需要向侦查机关提供必要的支持与协助的义务（第二十三条）。

• 关键信息基础设施的安全保障。《草案》对关键信息基础设施提出了更高的保护要求，具体包括（a）设立内部机构、从业人员训练、数据备份、制定应急预案等要求（第二十八条）；（b）关键信息基础设施的运营者应在中华人民共和国境内存储公民个人信息等重要数据（第三十一条）；（c）对关键信息基础设施的运营者采购网络产品或服务进行安全审查（第三十条）；（d）建立网络安全风险年度评估机制（第三十一条）。

“关键信息基础设施”是指公共通信、广播电视传输等服务的基础信息网络；能源、交通、水利、金融等重要行业和供电、供水、供气、医疗卫生、社会保障等公共服务领域的重要信息系统；军事网络；设区的市级以上国家机关等政务网络；及用户数量众多的网络服务提供者所有或者管理的网络和系统（第二十五条）。然而《草案》并未对该定义的适用进行更具体的解释，例如何种情况可以被认定为 “用户数量众多的网络服务提供者”以及包括何种类型的网络服务。

• 加强网络信息安全保护。《草案》包含了对网络运营者保护用户个人信息的要求，这些规定在基本重复了现有法律法规规定的基础上，增加了一些要求，例如在发生或者可能发生信息泄露、毁损、丢失的情况时告知可能受影响的用户的要求（第三十四条至三十八条）。《草案》还要求网络运营者记录用户的真实身份，加强对用户发布信息的管理，停止和阻止非法和有害信息的传输，保存有关记录并向政府主管部门报告（第二十条、第四十条和第四十一条）。

• 建立网络安全监测预警和应急响应机制。《草案》要求国务院相关部门建立网络安全监测预警和信息通报制度、网络安全应急工作机制，制定网络安全事件预案，并规定因维护国家安全和社会公共秩序，处置重大突发社会安全事件的需要，国务院或者省、自治区、直辖市人民政府经国务院批准，可以在部分地区对网络通信采取限制等临时措施（第四十四条至第五十条）。  

四、法律责任

《草案》对于违反法律规定的网络运营者设置了一系列罚则，视具体情况和情节轻重包括罚款、暂停相关业务、停业整顿、关闭网站、撤销相关业务许可或者吊销营业执照等不同形式的罚则（第五十一条至第六十四条）。

五、简 评

《网络安全法》是我国第一部专门针对网络安全问题的法律，是在互联网时代对网络入侵和攻击、信息泄露、维护网络国家主权和安全等问题的直接回应。一旦正式发布实施，《网络安全法》将成为我国互联网管理方面一部基础性的法律。《网络安全法》将之前一些网络管理方面的规定，例如网络实名制、网络安全等级保护制度等上升为法律要求，并提出设置网络安全审查制度、界定关键信息基础设施并加强对其进行重点保护、建立网络监测预警与应急处置机制等重要的制度和要求。《网络安全法》提出的制度和要求一旦实施，将对我国科技和互联网行业的业态产生重要影响，并可能影响到金融、能源、交通、医疗卫生等公共服务领域企业的运作。目前《网络安全法》草案刚开始征求意见，尚待讨论和各类相关主体的反馈。我们将密切关注《网络安全法》立法的进展。

1. 全文请见http://www.npc.gov.cn/npc/xinwen/lfgz/flca/2015-07/06/content_1940614.htm。

2. 第12届全国人大常委会立法规划http://news.xinhuanet.com/politics/2013-10/30/c_117939129.htm. 

3. 全国人大常委会2014年度立法计划http://www.npc.gov.cn/npc/xinwen/lfgz/2014-04/17/content_1859742.htm，

4. 全国人大常委会2015年度立法计划http://www.npc.gov.cn/npc/xinwen/lfgz/lfdt/2015-05/25/content_1936926.htm.