趙睿斌+熊曉帥

2016年11月7日，全國人大常委會第二十四次會議高票通過《中華人民共和國網(wǎng)絡安全法》（以下簡稱《網(wǎng)絡安全法》），將于2017年6月1日起施行，受到國內(nèi)外高度關注。早在2014年2月27日，習近平總書記在中央網(wǎng)絡安全和信息化領導小組第一次會議上，明確了網(wǎng)絡安全和信息化“一體之兩翼、驅(qū)動之雙輪”的關系，強調(diào)“沒有網(wǎng)絡安全就沒有國家安全”?！毒W(wǎng)絡安全法》作為國家實施網(wǎng)絡空間管轄的第一部法律，應該屬于國家基本法律，是網(wǎng)絡安全法制體系的重要基礎。

一、網(wǎng)絡安全法出臺順應時代潮流

從1994年全功能接入國際互聯(lián)網(wǎng)至今，短短22年，中國在推動互聯(lián)網(wǎng)發(fā)展取得的成就令人矚目。來自中國互聯(lián)網(wǎng)網(wǎng)絡信息中心的報告顯示，截至2016 年6月，中國網(wǎng)民規(guī)模達7.1億，互聯(lián)網(wǎng)普及率達到51.7%，超過全球平均水平3.1個百分點。網(wǎng)絡在深度融入經(jīng)濟社會發(fā)展、融入人民生活的同時，但是網(wǎng)絡帶來的威脅和風險問題也愈發(fā)凸顯。

（一）網(wǎng)絡信息安全事件層出不窮

2016年1月8日，美國最大的有線電視公司時代華納約有32萬用戶的郵件和密碼信息被黑客竊取。1月29日，保監(jiān)會發(fā)函通報信誠人壽存在內(nèi)控缺陷，要求進行整改，按照監(jiān)測報告顯示，信誠人壽保險公司面臨泄漏數(shù)以萬計的客戶銀行卡號、密碼、開戶行地址、身份證等敏感信息的風險。2.7億Gmail、雅虎和Hotmail賬號遭泄露，數(shù)以億計的數(shù)據(jù)目前正在“俄羅斯的地下黑市”出售。而且，超過3200萬Twitter用戶的登錄信息正在暗網(wǎng)黑市出售，價格為10比特幣（超過人民幣38000元）。3億6000萬MySpace用戶的電子郵件地址以及密碼被黑客宣稱已經(jīng)拿到數(shù)據(jù)。開源的加密工具OpenSSL繼“心臟出血”漏洞事件后，又被爆出新的安全漏洞“水牢漏洞”，這一漏洞允許“黑客”攻擊網(wǎng)站，并讀取密碼、信用卡賬號、商業(yè)機密和金融數(shù)據(jù)等加密信息。4月3日，土耳其爆發(fā)重大數(shù)據(jù)泄露事件，近5000萬土耳其公民個人信息牽涉其中，包括姓名、身份證號、父母名字、住址等一連串敏感信息被黑客打包放在芬蘭某IP地址下，人們可通過P2P任意下載他們感興趣的數(shù)據(jù)。網(wǎng)曝1.5萬名Jeep車主信息遭到泄露，資料包括買家姓名，住址，聯(lián)系電話，購買車型等信息。

（二）世界各國網(wǎng)絡安全相關政策

2013年斯諾登棱鏡門事件之后，世界各國對網(wǎng)絡安全越來越重視，紛紛出臺相應的政策、法規(guī)予以規(guī)范或者支持。2014 年12 月美國通過了《2014 年國家網(wǎng)絡安全保護法》等四個法案，2015 年初通過《網(wǎng)絡情報共享和保護法案》，推動網(wǎng)絡信息在公司和政府之間的共享，意在輔助美國政府對網(wǎng)絡威脅進行提前防控，主要包括：加大網(wǎng)絡安全投資規(guī)模、出臺網(wǎng)絡和信息安全法規(guī)、調(diào)整組建網(wǎng)絡安全機構、修訂完善網(wǎng)絡和信息安全標準、強化網(wǎng)絡空間軍事能力、擴充網(wǎng)絡空間軍事力量、開展網(wǎng)絡安全多方合作、舉行網(wǎng)絡安全演練、嚴格網(wǎng)絡空間治理、研發(fā)信息安全關鍵技術、培養(yǎng)網(wǎng)絡安全人才、開展網(wǎng)絡安全審計等。2016 年4 月歐洲議會通過《數(shù)據(jù)保護法》，用以保護消費者的數(shù)據(jù)和隱私;2016年7 月歐盟通過首部網(wǎng)絡安全法《網(wǎng)絡與信息系統(tǒng)安全指令》，旨在加強基礎服務運營者、數(shù)字服務提供者的網(wǎng)絡與信息系統(tǒng)安全。俄羅斯、日本、韓國、印度、伊朗都在網(wǎng)絡和信息安全方面制定相應政策，在完善網(wǎng)絡安全法規(guī)、打擊網(wǎng)絡恐怖主義、研發(fā)網(wǎng)絡關鍵技術、扶持本國信息技術產(chǎn)業(yè)、開展國際網(wǎng)絡安全合作等出臺相應的政策法規(guī)。因此，在后棱鏡門時代，我國及時推出《網(wǎng)絡安全法》是與時俱進、跟上時代腳步的舉措，從法律上進一步界定關鍵信息基礎設施范圍，對攻擊、破壞我國關鍵信息基礎設施的境外組織和個人規(guī)定相應的懲治措施，增加懲治網(wǎng)絡詐騙等新型網(wǎng)絡違法犯罪活動的規(guī)定。

（三）網(wǎng)絡安全法出臺是時代需要

2016年11月18日，第三屆世界互聯(lián)網(wǎng)大會在浙江烏鎮(zhèn)召開，來自110多個國家和地區(qū)的1600多位境內(nèi)外嘉賓相聚于此，進一步加強和加深互聯(lián)網(wǎng)領域國際間的合作，引領全球互聯(lián)網(wǎng)共謀發(fā)展大業(yè)，會議期間，互聯(lián)網(wǎng)安全話題繼續(xù)受到高度關注。因此，中國及時出臺《網(wǎng)絡安全法》基本法規(guī)是為了跟上世界腳步，從原有的行政法規(guī)和部門規(guī)章中走出去，從單純的國內(nèi)立法格局中走出去，從單向管理的傳統(tǒng)思維中走出來，走進治理能力和治理體系現(xiàn)代化的總目標，走進網(wǎng)絡強國的快車道，走進為人民謀福祉的總布局。黨的十八大以來，以習近平同志為核心的黨中央，從總體國家安全觀出發(fā)，對加強國家網(wǎng)絡安全工作作出了重要的部署，對加強網(wǎng)絡安全法制建設提出了明確的要求，制定網(wǎng)絡安全法是適應我們國家網(wǎng)絡安全工作新形勢、新任務，落實中央決策部署，保障網(wǎng)絡安全和發(fā)展利益的重大舉措。因此，制定網(wǎng)絡安全法是落實國家總體安全觀的重要舉措，《網(wǎng)絡安全法》明確提出了國家網(wǎng)絡主權的概念、明確了網(wǎng)絡安全和信息化發(fā)展并重原則、強調(diào)了保障關鍵信息基礎設施的運行安全、加強了我們對個人信息的保護，對網(wǎng)絡運營者的主體的法律責任和義務做出了全面的規(guī)定。

二、網(wǎng)絡安全法的重點內(nèi)容

《網(wǎng)絡安全法》內(nèi)容十分豐富，共有七章79條，對國家網(wǎng)絡安全態(tài)勢發(fā)展主要突出以下幾點，第一，信息安全等級保護制度進入基本法;第二，建立了關鍵信息基礎設施安全保護制度;第三，進一步完善了個人信息保護規(guī)則。

（一）信息安全等級保護制度進入基本法

信息安全等級保護是指國家通過制定統(tǒng)一的信息安全等級保護管理規(guī)范和技術標準，組織公民、法人和其他組織對信息系統(tǒng)分等級實行安全保護，對等級保護工作的實施進行監(jiān)督、管理。信息安全等級保護制度是國家在國民經(jīng)濟和社會信息化的發(fā)展過程中，提高信息安全保障能力和水平，維護國家安全、社會穩(wěn)定和公共利益，保障和促進信息化建設健康發(fā)展的一項基本制度。1994年國務院頒布了《中華人民共和國計算機信息系統(tǒng)安全保護條例》，1999年9月13日國家發(fā)布《計算機信息系統(tǒng)安全保護等級劃分準則》，2003年中央辦公廳、國務院辦公廳轉(zhuǎn)發(fā)《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)〔2003〕27 號），2007年6月，公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室聯(lián)合制定了《信息安全等級保護管理辦法》，都明確了信息安全等級保護的具體要求。

《國家網(wǎng)絡安全法》第十七條規(guī)定，國家實行網(wǎng)絡安全等級保護制度。網(wǎng)絡運營者應當按照網(wǎng)絡安全等級保護制度的要求，履行下列安全保護義務，保障網(wǎng)絡免受干擾、破壞或者未經(jīng)授權的訪問，防止網(wǎng)絡數(shù)據(jù)泄露或者被竊取、篡改：1、制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡安全負責人，落實網(wǎng)絡安全保護責任;2、采取防范計算機病毒和網(wǎng)絡攻擊、網(wǎng)絡入侵等危害網(wǎng)絡安全行為的技術措施;3、采取記錄、跟蹤網(wǎng)絡運行狀態(tài)，監(jiān)測、記錄網(wǎng)絡安全事件的技術措施，并按照規(guī)定留存網(wǎng)絡日志;4、采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施;5、法律、行政法規(guī)規(guī)定的其他義務。網(wǎng)絡安全等級保護的具體辦法由國務院規(guī)定，實行信息安全等級保護制度，能夠充分調(diào)動國家、法人和其他組織及公民的積極性，發(fā)揮各方面的作用，達到有效保護的目的，增強安全保護的整體性、針對性和實效性，使信息系統(tǒng)安全建設更加突出重點、統(tǒng)一規(guī)范、科學合理，對促進我國信息安全的發(fā)展將起到重要推動作用。

（二）建立關鍵信息基礎設施安全保護制度

習近平總書記指出，“網(wǎng)絡安全和信息化是事關國家安全和國家發(fā)展、事關廣大人民群眾工作生活的重大戰(zhàn)略問題，要從國際國內(nèi)大勢出發(fā)，總體布局，統(tǒng)籌各方，創(chuàng)新發(fā)展，努力把我國建設成為網(wǎng)絡強國。” 在中華人民共和國境內(nèi)建設、運營、維護和使用網(wǎng)絡，以及網(wǎng)絡安全的監(jiān)督管理，適用本法，建立健全網(wǎng)絡安全保障體系，提高網(wǎng)絡安全保護能力?！毒W(wǎng)絡安全法》專門強調(diào)了保障關鍵信息基礎設施的運行安全，在強調(diào)網(wǎng)絡安全等級保護制度的基礎上，對關鍵信息基礎設施實施重點保護，并且規(guī)定了關鍵信息基礎設施的運營者在采購網(wǎng)絡安全產(chǎn)品和服務可能影響國家安全的應當通過國家網(wǎng)絡安全審查?！毒W(wǎng)絡安全法》第二十五條規(guī)定，國家對提供公共通信、廣播電視傳輸?shù)确盏幕A信息網(wǎng)絡，能源、交通、水利、金融等重要行業(yè)和供電、供水、供氣、醫(yī)療衛(wèi)生、社會保障等公共服務領域的重要信息系統(tǒng)，軍事網(wǎng)絡，設區(qū)的市級以上國家機關等政務網(wǎng)絡，用戶數(shù)量眾多的網(wǎng)絡服務提供者所有或者管理的網(wǎng)絡和系統(tǒng)（即關鍵信息基礎設施），實行重點保護，關鍵信息基礎設施安全保護辦法由國務院制定。

（三）進一步完善了個人信息保護規(guī)則

《網(wǎng)絡安全法》規(guī)定，網(wǎng)絡數(shù)據(jù)，是指通過網(wǎng)絡收集、存儲、傳輸、處理和產(chǎn)生的各種電子數(shù)據(jù);公民個人信息，是指以電子或者其他方式記錄的公民的姓名、出生日期、身份證件號碼、個人生物識別信息、職業(yè)、住址、電話號碼等個人身份信息，以及其他能夠單獨或者與其他信息結(jié)合能夠識別公民個人身份的各種信息?！毒W(wǎng)絡安全法》第二十四條規(guī)定，國家支持網(wǎng)絡運營者之間開展網(wǎng)絡安全信息收集、分析、通報和應急處置等方面的合作，提高網(wǎng)絡運營者的安全保障能力。第三十四條規(guī)定，網(wǎng)絡運營者應當建立健全用戶信息保護制度，加強對用戶個人信息、隱私和商業(yè)秘密的保護。第三十五條規(guī)定，網(wǎng)絡運營者收集、使用公民個人信息，應當遵循合法、正當、必要的原則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。第三十六條規(guī)定，網(wǎng)絡運營者對其收集的公民個人信息必須嚴格保密，不得泄露、篡改、毀損，不得出售或者非法向他人提供。網(wǎng)絡運營者應當采取技術措施和其他必要措施，確保公民個人信息安全，防止其收集的公民個人信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生信息泄露、毀損、丟失的情況時，應當立即采取補救措施，告知可能受到影響的用戶，并按照規(guī)定向有關主管部門報告。

三、網(wǎng)絡安全行業(yè)的發(fā)展前景

網(wǎng)絡安全是指通過采取必要措施，防范對網(wǎng)絡的攻擊、入侵、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡處于穩(wěn)定可靠運行的狀態(tài)，以及保障網(wǎng)絡存儲、傳輸、處理信息的完整性、保密性、可用性的能力。保障國家網(wǎng)絡安全需要網(wǎng)絡安全核心技術、從業(yè)人員及逐步壯大的網(wǎng)絡安全產(chǎn)業(yè)等，《網(wǎng)絡安全法》在這些方面進行了相應規(guī)定。

（一）網(wǎng)絡安全核心技術發(fā)展前景廣闊

2016年10月9日，習近平總書記在主持中央政治局第三十六次集體學習時再次強調(diào)，“我們要掌握我國互聯(lián)網(wǎng)發(fā)展主動權，保障互聯(lián)網(wǎng)安全、國家安全，就必須突破核心技術這個難題，爭取在某些領域、某些方面實現(xiàn)‘彎道超車?！?《網(wǎng)絡安全法》第十四條規(guī)定，國務院和省、自治區(qū)、直轄市人民政府應當統(tǒng)籌規(guī)劃，加大投入，扶持重點網(wǎng)絡安全技術產(chǎn)業(yè)和項目，支持網(wǎng)絡安全技術的研究開發(fā)、應用和推廣，保護網(wǎng)絡技術知識產(chǎn)權，支持科研機構、高等院校和企業(yè)參與國家網(wǎng)絡安全技術創(chuàng)新項目。建設網(wǎng)絡強國，核心技術是關鍵，通過推進網(wǎng)絡信息技術自主創(chuàng)新，提升信息經(jīng)濟對經(jīng)濟發(fā)展的推動作用。對網(wǎng)絡核心關鍵技術的研發(fā)，增強網(wǎng)絡空間安全防御能力，利用網(wǎng)絡信息技術推進社會治理，提升我國對網(wǎng)絡空間的國際話語權和規(guī)則制定權，朝著建設網(wǎng)絡強國目標不懈努力。習近平總書記強調(diào)，要制定全面的信息技術、網(wǎng)絡技術研究發(fā)展戰(zhàn)略，下大氣力解決科研成果轉(zhuǎn)化問題，要出臺支持企業(yè)發(fā)展的政策，讓他們成為技術創(chuàng)新主體，成為信息產(chǎn)業(yè)發(fā)展主體。為落實這些目的，法制手段是最有效、最長效的機制，因此，《網(wǎng)絡安全法》就是在國際上信息鴻溝不斷擴大、國內(nèi)網(wǎng)絡安全形勢日趨嚴峻、核心技術缺乏優(yōu)勢、網(wǎng)絡治理面對更加復雜的局面情形下及時出臺的法治手段。

（二）信息安全服務業(yè)進一步發(fā)展壯大

習近平總書記強調(diào)，“沒有網(wǎng)絡安全就沒有國家安全”。網(wǎng)絡安全不僅僅是技術與工具的對抗，而且還是智慧與經(jīng)驗的對抗，由于必需是人的高度參與，使得網(wǎng)絡信息安全產(chǎn)品很難做成傻瓜式的即開即用，通常專業(yè)化程度越高，易用性就越差。因此，網(wǎng)絡信息安全行業(yè)的特點是除了銷售安全解決方案，還要提供專業(yè)的安全服務，為技術力量不是十分強大的用戶提供專業(yè)的安全技術支持，如信息安全咨詢、信息安全設計、信息安全風險評估、信息安全策略優(yōu)化、信息安全應急處理、信息安全監(jiān)理、信息安全滲透性測試、信息安全等級保護測評等，目的是提供信息安全支撐服務，確保信息安全業(yè)務的安全運營?！毒W(wǎng)絡安全法》第二十八條規(guī)定，關鍵信息基礎設施的運營者還應當履行下列安全保護義務：1、設置專門安全管理機構和安全管理負責人，并對該負責人和關鍵崗位的人員進行安全背景審查;2、定期對從業(yè)人員進行網(wǎng)絡安全教育、技術培訓和技能考核;3、對重要系統(tǒng)和數(shù)據(jù)庫進行容災備份;4、制定網(wǎng)絡安全事件應急預案，并定期組織演練;5、法律、行政法規(guī)規(guī)定的其他義務。第三十二條規(guī)定，關鍵信息基礎設施的運營者應當自行或者委托專業(yè)機構對其網(wǎng)絡的安全性和可能存在的風險每年至少進行一次檢測評估，并對檢測評估情況及采取的改進措施提出網(wǎng)絡安全報告，報送相關負責關鍵信息基礎設施安全保護工作的部門。所以，在《網(wǎng)絡安全法》的倡導下，各有關行業(yè)建立健全本行業(yè)的網(wǎng)絡安全保護規(guī)范和協(xié)作機制，加大對行業(yè)信息安全服務的支撐力度，開展對網(wǎng)絡安全分析的風險評估，定期向會員進行風險警示，支持、協(xié)助會員應對網(wǎng)絡安全風險從而促進網(wǎng)絡信息安全服務的快速發(fā)展。

（三）網(wǎng)絡信息安全產(chǎn)業(yè)得到快速增長

中國的網(wǎng)絡安全產(chǎn)業(yè)規(guī)模達到700億元以上，年均增長率超過40%，但相對國外來說，整體規(guī)模還是小，甚至比起傳統(tǒng)的IT產(chǎn)業(yè)也小很多，可能當下整個網(wǎng)絡安全產(chǎn)業(yè)都不到華為一個公司市值，還有很大的發(fā)展空間。李克強總理提出的“互聯(lián)網(wǎng)+”思維就是通過“萬物互聯(lián)”把網(wǎng)絡強國建設和國家各行各業(yè)發(fā)展結(jié)合起來，以《網(wǎng)絡安全法》出臺作為長效機制來推動網(wǎng)絡安全行業(yè)創(chuàng)新資源配置更加靈活、更精準，營造公平公正的競爭環(huán)境。《網(wǎng)絡安全法》第十二條規(guī)定，國務院通信、廣播電視、能源、交通、水利、金融等行業(yè)的主管部門和國務院其他有關部門應當依據(jù)國家網(wǎng)絡安全戰(zhàn)略，編制關系國家安全、國計民生的重點行業(yè)、重要領域的網(wǎng)絡安全規(guī)劃，并組織實施?！毒W(wǎng)絡安全法》第二十四條規(guī)定，國家支持網(wǎng)絡運營者之間開展網(wǎng)絡安全信息收集、分析、通報和應急處置等方面的合作，提高網(wǎng)絡運營者的安全保障能力。國家重點行業(yè)提升網(wǎng)絡安全的意思及能力，就能夠?qū)W(wǎng)絡安全行業(yè)進行有效促進?！毒W(wǎng)絡安全法》第十六條規(guī)定，國家支持企業(yè)和高等院校、職業(yè)學校等教育培訓機構開展網(wǎng)絡安全相關教育與培訓，采取多種方式培養(yǎng)網(wǎng)絡安全技術人才，促進網(wǎng)絡安全技術人才交流。而且，中國有眾多的中小企業(yè)，他們信息化程度比較低，網(wǎng)絡安全措施確實，也是將來網(wǎng)絡安全產(chǎn)業(yè)的巨大目標群體。

作者簡介

趙睿斌

博士，國家信息中心高級工程師，中國智慧城市發(fā)展研究中心高級研究員，國信衛(wèi)士網(wǎng)絡空間安全研究院特聘研究員，北京航空航天大學工學博士畢業(yè)，主要研究方向為：大數(shù)據(jù)、云計算、移動互聯(lián)、工控安全等方面的信息安全研究;以泛安全理念推進國家信用體系平臺建設現(xiàn)代化研究;基于空間地理信息系統(tǒng)GIS的大數(shù)據(jù)應用增強國家新型城鎮(zhèn)化規(guī)劃作用的研究;以基于北斗衛(wèi)星導航在智能交通產(chǎn)業(yè)應用為基礎對智慧交通領域大數(shù)據(jù)、云計算方面展開研究等。已經(jīng)發(fā)表多篇SCI、EI學術文章。

熊曉帥

碩士，畢業(yè)于中國人民大學信息學院，曾就職于中國航天二院、國家信息中心，現(xiàn)任教育部信息中心高級工程師，是華為云安全等級保護測評帶頭人，國家“金教工程”、國家“金稅工程”、“天翼云”安全專家。主要研究方向為：云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)、工控等方面的安全研究;等級保護、風險評估、安全檢查、分級保護的研究;基于農(nóng)村教育信息安全和農(nóng)村管理體制改革的研究，以及我國企業(yè)管理和“一路一帶”信息化經(jīng)濟的研究。已在國家級期刊發(fā)表多篇文章。