2.3 法律特色

2.3.1 網絡安全基本大法

《網絡安全法》是我國網絡安全領域的基礎性法律，是我國第一部網絡安全領域的法律，也是我國第一部保障網絡安全的基本法。《網絡安全法》與現有《國家安全法》、《保密法》、《反恐怖主義法》、《反間諜法》、《刑法修正案（九）》、《治安管理處罰法》、《電子簽名法》等屬同等地位的法律。

2.3.2 三項基本原則

第一，網絡空間主權原則。《網絡安全法》第一條“立法目的”開宗明義，明確規定要維護我國網絡空間主權。網絡空間主權是一國國家主權在網絡空間中的自然延伸和表現。習近平總書記指出，《聯合國憲章》確立的主權平等原則是當代國際關系的基本準則，覆蓋國與國交往的各個領域，其原則和精神也應該適用于網絡空間。各國自主選擇網絡發展道路、網絡管理模式、互聯網公共政策和平等參與國際網絡空間治理的權利應當得到尊重。第二條明確規定，《網絡安全法》適用于我國境內網絡以及網絡安全的監督管理。這是我國網絡空間主權對內最高管轄權的具體體現。

第二，網絡安全與信息化發展并重原則。習近平總書記指出，安全是發展的前提，發展是安全的保障，安全和發展要同步推進。網絡安全和信息化是一體之兩翼、驅動之雙輪，必須統一謀劃、統一部署、統一推進、統一實施。《網絡安全法》第三條明確規定，國家堅持網絡安全與信息化并重，遵循積極利用、科學發展、依法管理、確保安全的方針；既要推進網絡基礎設施建設，鼓勵網絡技術創新和應用，又要建立健全網絡安全保障體系，提高網絡安全保護能力，做到“雙輪驅動、兩翼齊飛”。

第三，共同治理原則。網絡空間安全僅僅依靠政府是無法實現的，需要政府、企業、社會組織、技術社群和公民等網絡利益相關者的共同參與。《網絡安全法》堅持共同治理原則，要求采取措施鼓勵全社會共同參與，政府部門、網絡建設者、網絡運營者、網絡服務提供者、網絡行業相關組織、高等院校、職業學校、社會公眾等應根據各自的角色參與網絡安全治理工作。

2.3.3 六大顯著特征

第一，明確了網絡空間主權的原則。沒有網絡安全就沒有國家安全，沒有網絡主權就沒有網絡空間安全。網絡主權原則根植于《聯合國憲章》和國家法理的基本準則。網絡空間主權主要表現為三方面：一是對內的最高權，各國有權自主選擇網絡發展道路、網絡管理模式、互聯網公共政策；二是對外的獨立權，各國有平等參與國際網絡空間治理的權利；三是防止危害國家的網絡安全，不搞網絡霸權，不干涉他國內政，不從事、縱容或支持維護他國國家安全的網絡活動。根據國家網絡空間主權原則，國家不僅有權對其領土境內的關鍵基礎設施基、重要數據、網絡空間活動和信息通信網絡監管理行使主權，也可依法對境外個人或組織對我國境內的網絡破壞活動行使司法管轄權，即具有域外的效力。

第二，明確了網絡產品和服務提供者的安全義務。《網絡安全法》第二十二條明確規定，網絡產品、服務應當符合相關國家標準的強制性要求。網絡產品、服務的提供者不得設置惡意程序；發現其網絡產品、服務存在安全缺陷、漏洞等風險時，應當立即采取補救措施，按照規定及時告知用戶并向有關主管部門報告。網絡產品、服務的提供者應當為其產品、服務持續提供安全維護；在規定或者當事人約定的期限內，不得終止提供安全維護。網絡產品、服務具有收集用戶信息功能的，其提供者應當向用戶明示并取得同意；涉及用戶個人信息的，還應當遵守本法和有關法律、行政法規關于個人信息保護的規定。

第三，明確了網絡運營者的安全義務。《網絡安全法》將原來散見于各種法規、規章中的規定上升到人大法律層面，對網絡運營者等主體的法律義務和責任做了全面規定，確定了相關法定機構對網絡安全的保護和監督職責，明確了網絡運營者應履行的安全義務，平衡了涉及國家、企業和公民等多元主體的網絡權利與義務，協調政府管制和社會共治網絡治理的關系，形成了以法律為根本治理基礎的網絡治理模式。

第四，進一步完善了個人信息保護規則。《網絡安全法》明確運營者在收集個人信息時必須合法、正當、必要，收集應當與個人訂立合同；個人信息一旦泄露、損壞、丟失，必須告知和報告，同時個人具有對其信息的刪除權和更正權（刪除權的兩種情形：違反法律法規、約定的合同期限已滿）。《網絡安全法》首次給予個人信息交易一定的合法空間。

第五，建立了關鍵信息基礎設施安全保護制度。以立法的形式將國家主權范圍內的關鍵信息基礎設施列為國家重要基礎性戰略資源加以保護，已經成為各主權國家網絡空間安全法治建設的核心內容和基本實踐。《網絡安全法》首次將關鍵信息基礎設施安全保護制度以立法形式進行保護。

第六，確立了關鍵信息基礎設施重要數據跨境傳輸的規則。隸屬于數據主權的概念，即數據本地化存儲，通常是指主權國家通過制定法律或規則限制本國數據向境外流動。任何本國或者外國公司在采集和存儲與個人信息和關鍵領域相關數據時，必須使用主權國家境內的服務器。《網絡安全法》第三十七條標志著中國正式開始基于網絡主權原則對數據跨境傳輸進行法律限制。

2.3.4 九類網絡安全保障制度

為了更好地履行《網絡安全法》，運營者需要建立對應制度，分別是網絡安全等級保護制度、網絡產品和服務采購制度、網絡產品和服務的強制性準入制度、網絡安全產品和關鍵設備的強制性認證和檢測制度、網絡安全風險評估制度、用戶實名制度、網絡安全監測預警和信息通報制度、網絡安全事件應急預案制度、開展網絡安全認證、監測、風險評估制度、關鍵信息基礎設施運行安全保護制度、用戶信息保護制度、合法偵查犯罪協助制度、關鍵信息基礎設施重要數據境內留存制度、網絡安全信息管理制度、網絡信息安全投訴、舉報制度。

1．網絡安全等級保護制度

《網絡安全法》第二十一條規定，國家實行網絡安全等級保護制度。經過20多年的發展，國家確定實施網絡安全等級保護制度從國家制度上升為國家法律。同時第三十一條規定，對可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。網絡運營者要從定級備案、安全建設、等級測評、安全整改、監督檢查角度，嚴格落實網絡安全等級保護制度。

2．網絡產品和服務安全制度

與網絡安全產品和服務有關的安全制度主要涉及市場準入制度、強制性安全檢測制度、強制性安全認證制度。2016年底，國家互聯網信息辦公室會同相關部門出臺的《網絡產品和服務安全審查辦法》，采用企業承諾與社會監督相結合，第三方評價與政府監管相結合，實驗室檢測、現場檢查、在線監測、背景調查相結合的方式，對網絡產品和服務及其提供者進行網絡安全審查。重點審查網絡產品和服務的安全性、可控性，主要包括：產品和服務被非法控制、干擾和中斷運行的風險；產品及關鍵部件研發、交付、技術支持過程中的風險；產品和服務提供者利用提供產品和服務的便利條件非法收集、存儲、處理、利用用戶相關信息的風險；產品和服務提供者利用用戶對產品和服務的依賴，實施不正當競爭或損害用戶利益的風險；其他可能危害國家安全和公共利益的風險。

3．關鍵信息基礎設施運行安全保護制度

《網絡安全法》第三十一條規定，“國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護，關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。”這是我國首次在法律層面提出關鍵信息基礎設施的概念和重點保護范圍。

為了強化對關鍵信息基礎設施安全保護的責任，《網絡安全法》從國家主體和關鍵信息基礎設施運營者兩大層面，分別明確了對關鍵信息基礎設施安全保護的法律義務和責任。在國家層面，《網絡安全法》第三十二條規定，“按照國務院規定的職責分工，負責關鍵信息基礎設施安全保護工作的部門分別編制并組織實施本行業、本領域的關鍵信息基礎設施安全規劃，指導和監督關鍵信息基礎設施運行安全保護工作。”

在關鍵信息基礎設施運營者方面，《網絡安全法》第三十四條專門設定了關鍵信息基礎設施的運營者應當履行的四大安全保護義務：一是設置專門安全管理機構和安全管理負責人；二是定期對從業人員進行網絡安全教育、技術培訓和技能考核；三是對重要系統和數據庫進行容災備份；四是制定網絡安全事件應急預案，并定期進行演練。另外設定了一項兜底性條款，即“以及法律、行政法規規定的其他義務”。

4．網絡安全風險評估制度

《網絡安全法》第三十八條規定，關鍵信息基礎設施的運營者應當自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估，并將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。同時，《網絡安全法》第二十一條規定，國家實行網絡安全等級保護制度。建議今后運營者開展網絡安全等級保護測評工作，這樣既滿足風險評估，同時滿足網絡安全等級保護制度。

5．用戶實名制度

《網絡安全法》立法確立了網絡實名制在我國的實施，第二十四條規定，網絡運營者為用戶辦理網絡接入、域名注冊服務，辦理固定電話、移動電話等入網手續，或者為用戶提供信息發布、即時通信等服務，在與用戶簽訂協議或者確認提供服務時，應當要求用戶提供真實身份信息。用戶不提供真實身份信息的，網絡運營者不得為其提供相關服務。

在此之前，我國已經有相關的法律法規對實名制進行規定。2016年1月1日實施的《中華人民共和國反恐怖主義法》規定，電信、互聯網、金融、住宿、長途客運、機動車租賃等業務經營者、服務提供者，應當對客戶身份進行查驗。對身份不明或者拒絕身份查驗的，不得提供服務。2015年的《互聯網用戶賬號名稱管理規定》規定，互聯網信息服務提供者應當按照“后臺實名、前臺自愿”的原則，要求互聯網信息服務使用者通過真實身份信息認證后注冊賬號。2016年的《移動互聯網應用程序信息服務管理規定》要求，移動互聯網應用程序提供者按照“后臺實名、前臺自愿”的原則，對注冊用戶進行基于移動電話號碼等真實身份信息認證。

6．網絡安全事件應急預案制度

《網絡安全法》第二十五條規定，網絡運營者應當制定網絡安全事件應急預案，及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險；在發生危害網絡安全的事件時，立即啟動應急預案，采取相應的補救措施，并按照規定向有關主管部門報告。建議應急預案制度應覆蓋所有網絡安全場景、對相關人員開展應急預案培訓、結合發生的安全事件和面臨的安全風險，制定符合自身組織架構的網絡安全應急預案，并在預案中明確內部及業務部門的應急響應責任，準備措施以及應對突發事件的配合機制，并組織演練。

7．網絡安全監測預警和信息通報制度

《網絡安全法》第五十一條規定，國家建立網絡安全監測預警和信息通報制度。國家網信部門應當統籌協調有關部門加強網絡安全信息收集、分析和通報工作，按照規定統一發布網絡安全監測預警信息。這是從國家層面要建立安全態勢感知與信息通報制度，說明了將來會出臺國家層面的“網絡安全監測預警和信息通報制度”。習近平總書記在2016年4月19日講到，“全天候全方位感知網絡安全態勢。知己知彼，才能百戰不殆”，同時指出，“感知網絡安全態勢是最基本最基礎的工作。要全面加強網絡安全檢查，摸清家底，認清風險，找出漏洞，通報結果，督促整改。要建立統一高效的網絡安全風險報告機制、情報共享機制、研判處置機制，準確把握網絡安全風險發生的規律、動向、趨勢。要建立政府和企業網絡安全信息共享機制，把企業掌握的大量網絡安全信息用起來。”

《網絡安全法》第五十二條規定，負責關鍵信息基礎設施安全保護工作的部門應當建立健全本行業、本領域的網絡安全監測預警和信息通報制度，并按照規定報送網絡安全監測預警信息。這條主要從行業層面講安全態勢感知與信息通報制度，行業主管部門要在國家指導下出臺行業層面的“網絡安全監測預警和信息通報制度”。

8．用戶信息保護制度

《網絡安全法》第四十條規定，網絡運營者應當對其收集的用戶信息嚴格保密，并建立健全用戶信息保護制度。同時，第二十二條規定，網絡產品、服務具有收集用戶信息功能的，其提供者應當向用戶明示并取得同意；涉及用戶個人信息的，還應當遵守本法和有關法律、行政法規關于個人信息保護的規定。

《網絡安全法》對保護個人信息有了明確規定，如“網絡運營者不得泄露、篡改、毀損其收集的個人信息”，“任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息”等。

9．關鍵信息基礎設施重要數據境內留存制度

《網絡安全法》第三十七條規定，關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規另有規定的，依照其規定。

第三十七條是與數據主權有關的規定。數據主權也被稱為數據本地化存儲，指主權國家通過制定法律或規則限制本國數據向境外流動。任何本國或者外國公司在采集和存儲與個人信息和關鍵領域相關數據時，必須使用主權國家境內的服務器。據國際電信聯盟ITU的統計，2015年全球通過互聯網的跨境數據量超過1ZB（1萬億GB），如果沒有數據主權的保護和跨境流動的法律機制，將可能直接影響個人的隱私和自由，乃至一個國家的經濟運行，危及國家安全。俄羅斯、澳大利亞等國通過立法的形式對數據的流動進行動態調整和控制。歐盟規定：如果雇員的個人數據轉移到歐盟以外的其他國家，采集這些數據時，雇員必須得到通知，否則不能轉移出境。

對于涉及國家安全和社會穩定的數據提出本地化要求是一個趨勢，也符合國際上的立法慣例。但是，如果數據本地化要求過于泛化，會對企業（尤其是跨國企業）的業務帶來負擔。因此，下一步有關部門制定對關鍵信息基礎設施的認定和數據跨境傳輸的安全評估辦法時，如何把握數據安全和商業便利兩者的平衡關系非常重要。

對數據本地化的法律規制，除了《網絡安全法》的規定，以下數據（或設施）亦明確有本地化的法律要求：

? 我國網絡安全和保密相關的法律禁止涉及國家秘密和國家安全的數據跨境傳輸。

? 征信數據（《征信業管理條例》第24條）。

? 個人金融信息（《中國人民銀行關于銀行業金融機構做好個人金融信息保護工作的通知》第6條）。

? 地圖數據（《地圖管理條例》第34條）。

? 網絡出版服務所需的必要的技術設備（《網絡出版服務管理規定》第8條）。

? 網約車業務相關數據和信息（《網絡預約出租汽車經營服務管理暫行辦法》27條）。

2.3.5 懲罰措施

《網絡安全法》在第六章規定了詳盡的法律責任，大致規定了14種懲罰手段，分別是約談、斷網、改正、警告、罰款、暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證、吊銷營業執照、拘留、職業禁入、民事責任、刑事責任。

對網絡運營者，根據違法行為的情形，主要的法律責任承擔形式包括：責令改正、警告、罰款，責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照，對直接負責的主管人員等進行罰款等；有關機關還可以把違法行為記錄到信用檔案。對于違反法律第二十七條的人員，法律還建立了職業禁入的制度。

除了以上行政處罰外，網絡運營者還應當包括違法行為所導致的民事責任和刑事責任。網絡運營者如果因違反《網絡安全法》的行為給他人造成損失的，該行為具有民事上的可訴性，網絡運營者應當承擔相應的民事責任。

我國《刑法修正案（九）》規定的拒不履行信息網絡安全管理義務罪，指網絡服務提供者不履行法律、行政法規規定的信息網絡安全管理義務，經監管部門責令采取改正措施而拒不改正，具有法律規定的情形之一的，構成本罪。

《網絡安全法》為網絡運營者設定了諸多的網絡安全保護義務（如網絡安全等級保護和關鍵信息基礎設施保護等），如果由于不履行法律的規定而導致嚴重后果的，可能受到刑事的追訴，從而承擔拒不履行信息網絡安全管理義務罪的后果。下面給出幾個比較典型的懲罰措施。

1．約談

《網絡安全法》第五十六條明確，省級以上人民政府有關部門在履行網絡安全監督管理職責中，發現網絡存在較大安全風險或者發生安全事件的，可以按照規定的權限和程序對該網絡運營者的法定代表人或者主要負責人進行約談。

2．斷網

《網絡安全法》第五十八條明確規定，因維護國家安全和社會公共秩序，處置重大突發社會安全事件的需要，經國務院決定或者批準，可以在特定區域對網絡通信采取限制等臨時措施。“在特定區域對網絡通信采取限制等臨時措施”被業界很多人解讀為斷網。

3．拘留

拘留適用范圍為，對從事危害網絡安全的活動，或者提供專門用于從事危害網絡安全活動的程序、工具，或者為他人從事危害網絡安全的活動提供技術支持、廣告推廣、支付結算等幫助，設立用于實施違法犯罪活動的網站、通訊群組，或者利用網絡發布涉及實施違法犯罪活動的信息，尚不構成犯罪的，由公安機關沒收違法所得，依據情節嚴重情況，可處五日以下或者五日以上十五日以下拘留。

4．罰款

如果被罰款對象是運營者，范圍為最低一萬，最高一百萬。如果被罰款對象是個人，范圍最低五千元，最高十萬元。為了打擊違法犯罪，《網絡安全法》同時規定了違法所得或采購金額的一倍以上十倍以下罰款，大大提高了犯罪成本。執行罰款的部門主要由運營者的主管部門、公安部門組成。

5．職業禁入

《網絡安全法》要求關鍵信息基礎設施的運營者設置專門的安全管理機構和安全管理負責人，并對該負責人和關鍵崗位的人員進行安全背景審查。如果發現受到治安管理處罰的人員，五年內不得從事網絡安全管理和網絡運營關鍵崗位的工作；受到刑事處罰的人員，終身不得從事網絡安全管理和網絡運營關鍵崗位的工作。

2.3.6 全社會參與者

1．監管者

《網絡安全法》第八條明確規定，國家網信部門負責統籌協調網絡安全工作和相關監督管理工作。國務院電信主管部門、公安部門和其他有關機關依照本法和有關法律、行政法規的規定，在各自職責范圍內負責網絡安全保護和監督管理工作。縣級以上地方人民政府有關部門的網絡安全保護和監督管理職責，按照國家有關規定確定。

從《網絡安全法》中可以看出網絡安全的治理層級，可分為領導機構、規劃機構、協調機構、關鍵基礎設施主管機構。

? 統籌領導機構：中央國家安全領導機構。

? 統籌規劃機構：國務院和各級人民政府（網絡安全相關事務，制定關鍵信息基礎設施的具體范圍和安全保護方法，可以在特定區域對網絡通信采取限制等臨時措施）。

? 統籌協調機構：網信辦（負責協調網絡安全工作和相關監督管理工作，協調關鍵信息基礎設施的安全保護）。

? 國家關鍵基礎設施主管機構：各部委（電信主管部門、公安部門、其他有關機關在各自職責范圍內的網絡安全職責）。

2．監管對象

非政府網絡要素參與者就是通常意義上的監管對象。非政府網絡要素參與者包括國家機關政務網絡的運營者、網絡運營者、電子信息發送服務提供者、應用軟件下載服務提供者、關鍵信息基礎設施的運營者、網絡產品或者服務的提供者、被收集者、行業組織、大眾傳播媒介、企業和高校、職教培訓機構、安全認證或者安全檢測機構、安全管理負責人、關鍵崗位人員、從業人員等。