《網絡安全法（草案）》與現行相關法律的關系分析

2015年6月，第十二屆全國人大常委會第十五次會議初次審議了《中華人民共和國網絡安全法（草案）》（以下簡稱《草案》）。作為網絡安全保障的基本法，《草案》的諸多規定與現行的《國家安全法》、《保密法》、《反恐法（草案）》、《刑法》、《治安管理處罰法》、全國人大《關於加強網絡信息保護的決定》相銜接，共同構成完備的網絡安全管理規范體系。

一、《草案》與《國家安全法》的關系

作為人類社會“第二類”生存空間和“第五大”作戰領域，網絡空間已經成為維護國家主權、安全和發展利益的戰略高地。隨著網絡信息技術的不斷發展，我國國家關鍵基礎設施越來越依賴復雜的網絡空間，習近平總書記在國家安全委員會第一次會議上即指出，“當前我國國家安全內涵和外延比歷史上任何時候都要豐富，時空領域比歷史上任何時候都要寬廣，內外因素比歷史上任何時候都要復雜”。 由此可見，網絡安全構成國家安全的重要方面，其對國家安全和社會穩定產生的巨大影響日益凸顯。因此，《國家安全法》中設置有針對網絡與信息安全保障的專門條款，如《國家安全法》第二十五條明確規定：國家建設網絡與信息安全保障體系，提升網絡與信息安全保護能力，加強網絡和信息技術的創新研究和開發應用，實現網絡和信息核心技術、關鍵基礎設施和重要領域信息系統及數據的安全可控﹔加強網絡管理，防范、制止和依法懲治網絡攻擊、網絡入侵、網絡竊密、散布違法有害信息等網絡違法犯罪行為，維護國家網絡空間主權、安全和發展利益。同時，《國家安全法》第五十九條規定： 國家建立國家安全審查和監管的制度和機制，對影響或者可能影響國家安全的外商投資、特定物項和關鍵技術、網絡信息技術產品和服務、涉及國家安全事項的建設項目，以及其他重大事項和活動，進行國家安全審查，有效預防和化解國家安全風險。值得注意的是，《草案》第三十條建立了關鍵信息基礎設施運營者採購網絡產品、服務的安全審查制度，其中規定：關鍵信息基礎設施的運營者採購網絡產品或者服務，可能影響國家安全的，應當通過國家網信部門會同國務院有關部門組織的安全審查。從上述條款可以看出，網絡安全保障的內容如涉及國家安全，基於維護國家網絡空間主權、安全和發展利益，將受到《國家安全法》的規制和保護。在此方面，《國家安全法》對涉及國家安全事項的網絡與信息安全保障做出了原則性的規定，而《草案》作為網絡安全管理方面的基礎性法律，具體指導相關規定的有效實施，充分體現了兩部法律在相關規定上的銜接。

然而，《草案》是保障網絡空間安全的基本法，其與《國家安全法》都是由全國人大常委會制定的法律，因此二者在我國法律體系內處於同一法律位階，不存在上位法與下位法的關系。《草案》的立法宗旨是“保障網絡安全，維護網絡空間主權和國家安全、社會公共利益，保護公民、法人和其他組織的合法權益，促進經濟社會信息化健康發展”。《國家安全法》的立法宗旨在於“維護國家安全，保衛人民民主專政的政權和中國特色社會主義制度，保護人民的根本利益，保障改革開放和社會主義現代化建設的順利進行，實現中華民族偉大復興”。由此可見，作為《草案》的四大支柱，國家安全、社會穩定、產業發展和個人隱私是《草案》所追求的價值目標，其相互之間必然存在一定的利益沖突，而《草案》即是在某種程度上實現上述利益關系之間的協調與平衡。相較而言，《國家安全法》所追求的價值目標為單一的國家安全利益，不涉及社會公共利益、企業和個人利益，從這一層面來看，《草案》涉及的內容更加全面，調整的社會關系更為廣泛。

綜上所述，《國家安全法》與《草案》之間的關系既不是簡單的上位法與下位法的關系，也不是普通法與特別法的關系，在法律位階上二者屬於同位階法，在內容上，二者存在一定的交叉關系，一方面，《國家安全法》原則性規定涉及國家安全利益的網絡與信息安全保障事項，具體以《草案》付諸實施﹔另一方面，《草案》調整的社會關系和規制的具體內容較《國家安全法》而言更為廣泛。

二、《草案》與《保密法》的關系

如前所述，《草案》與《保密法》之間亦不存在簡單的上位法與下位法的關系，在法律位階上二者屬於同位階法，都由全國人大常委會制定﹔在某些方面，涉及國家秘密的事項受《保密法》作為特別法進行規制，如網絡安全運行保障、信息系統存儲處理的信息保護、信息處置和法律責任等方面的規定。

（一）國家秘密事項

《草案》第二十三條規定，為國家安全和偵查犯罪的需要，偵查機關依照法律規定，可以要求網絡運營者提供必要的支持與協助。《保密法》第九條規定，下列涉及國家安全和利益的事項，泄露后可能損害國家在政治、經濟、國防、外交等領域的安全和利益的，應當確定為國家秘密：維護國家安全活動和追查刑事犯罪中的秘密事項。因此，根據《草案》第二十三條規定，網絡運營者在為偵查機關提供必要的支持與協助過程中知悉或接觸到涉及國家秘密的事項，應當受《保密法》的規制與調整，有關人員不得泄露相關信息，否則將適用《保密法》追究其法律責任。

（二）網絡安全等級保護

《保密法》第二十三條規定，存儲、處理國家秘密的計算機信息系統（以下簡稱“涉密信息系統”）按照涉密程度實行分級保護。涉密信息系統應當按照國家保密標准配備保密設施、設備。保密設施、設備應當與涉密信息系統同步規劃，同步建設，同步運行。涉密信息系統應當按照規定，經檢查合格后，方可投入使用。由此可見，本條確立了涉密信息系統的分級保護制度，並對其設備設施適用三同步原則。

《草案》在保障網絡產品和服務安全方面，將網絡關鍵設備和網絡安全專用產品的安全認証和安全檢測制度上升為法律並作了必要的規范（第十九條）﹔在保障網絡運行安全方面，將現行的信息安全等級保護制度更名為網絡安全等級保護制度並上升至法律層面進行規制，要求網絡運營者按照網絡安全等級保護制度的要求，採取相應的管理措施和技術防范等措施，履行相應的網絡安全保護義務（第十七條）。為了保障關鍵信息基礎設施安全，維護國家安全、經濟安全和保障民生，《草案》進一步設專節對關鍵信息基礎設施的運行安全作了規定，實行重點保護，並明確了關鍵信息基礎設施的范圍包括基礎信息網絡、重要行業和領域的重要信息系統、軍事網絡、重要政務網絡、用戶數量眾多的商業網絡等，同時對關鍵信息基礎設施安全保護辦法的制定、負責安全保護工作的部門、運營者的安全保護義務、有關部門的監督和支持等作了具體規定（第二十五條至第二十九條、第三十二條、第三十三條）。由此可見，按照我國網絡安全等級保護制度的相關規定，三級以上的信息系統即為涉密信息系統，在此方面，應當受到《保密法》的規制和保護，針對《保密法》中未作出規定的內容，應當適用《草案》的相關規定，並且實行比其他信息系統保護更為嚴格的規定。在此方面，《保密法》可被視為《草案》的特別法，在涉及涉密信息系統保護時優先予以適用。

（三）禁止實施的危害行為

《保密法》第二十四條規定，機關、單位應當加強對涉密信息系統的管理，任何組織和個人不得有下列行為：（一）將涉密計算機、涉密存儲設備接入互聯網及其他公共信息網絡﹔（二）在未採取防護措施的情況下，在涉密信息系統與互聯網及其他公共信息網絡之間進行信息交換﹔（三）使用非涉密計算機、非涉密存儲設備存儲、處理國家秘密信息﹔（四）擅自卸載、修改涉密信息系統的安全技術程序、管理程序﹔（五）將未經安全技術處理的退出使用的涉密計算機、涉密存儲設備贈送、出售、丟棄或者改作其他用途。第二十六條規定，禁止非法復制、記錄、存儲國家秘密。禁止在互聯網及其他公共信息網絡或者未採取保密措施的有線和無線通信中傳遞國家秘密。上述兩條是針對涉密信息的保護規定，《草案》第四章“網絡信息安全”涉及對公民個人信息、隱私和企業商業秘密的保護。在此方面，二者的保護和規制對象在內容上不存在交叉重合。

（四）違法和保密信息的處置要求和義務

《保密法》第二十八條規定，互聯網及其他公共信息網絡運營商、服務商應當配合公安機關、國家安全機關、檢察機關對泄密案件進行調查﹔發現利用互聯網及其他公共信息網絡發布的信息涉及泄露國家秘密的，應當立即停止傳輸，保存有關記錄，向公安機關、國家安全機關或者保密行政管理部門報告﹔應當根據公安機關、國家安全機關或者保密行政管理部門的要求，刪除涉及泄露國家秘密的信息。

《草案》則明確了網絡運營者處置違法信息的義務，其中第四十條規定：網絡運營者發現法律、行政法規禁止發布或者傳輸的信息的，應當立即停止傳輸，採取消除等處置措施，防止信息擴散，保存有關記錄，並向有關主管部門報告。第四十一條規定，電子信息發送者發送的電子信息，應用軟件提供者提供的應用軟件不得設置惡意程序，不得含有法律、行政法規禁止發布或者傳輸的信息。電子信息發送服務提供者和應用軟件下載服務提供者，應當履行安全管理義務，發現電子信息發送者、應用軟件提供者有前款規定行為的，應當停止提供服務，採取消除等處置措施，保存有關記錄，並向有關主管部門報告。在此方面，兩部法律均規定了網絡運營者及相關主體處置違法信息的停止傳輸、保存記錄、防止影響擴大、向主管部門報告等義務，《草案》是一般性規定，而涉及涉密信息的處置義務應當優先適用《保密法》的特別規定。

（五）法律責任

《保密法》第四十八條規定，違反本法規定，有下列行為之一的，依法給予處分﹔構成犯罪的，依法追究刑事責任：（七）在互聯網及其他公共信息網絡或者未採取保密措施的有線和無線通信中傳遞國家秘密的﹔（八）將涉密計算機、涉密存儲設備接入互聯網及其他公共信息網絡的﹔（九）在未採取防護措施的情況下，在涉密信息系統與互聯網及其他公共信息網絡之間進行信息交換的﹔（十）使用非涉密計算機、非涉密存儲設備存儲、處理國家秘密信息的﹔（十一）擅自卸載、修改涉密信息系統的安全技術程序、管理程序的﹔（十二）將未經安全技術處理的退出使用的涉密計算機、涉密存儲設備贈送、出售、丟棄或者改作其他用途的。有前款行為尚不構成犯罪，且不適用處分的人員，由保密行政管理部門督促其所在機關、單位予以處理。第五十條規定，互聯網及其他公共信息網絡運營商、服務商違反本法第二十八條規定的，由公安機關或者國家安全機關、信息產業主管部門按照各自職責分工依法予以處罰。

《草案》在第五十一條、五十五條、五十六條、五十七條等設置了與《保密法》相關條款銜接的法律責任規定，尤其是對關鍵信息基礎設施運營者不履行法定義務或違反有關規定設置了具體的民事、行政和刑事處罰措施。在此方面，原則上，針對涉及國家秘密事項的違反網絡安全保障規定的法律責任追究應當優先適用《保密法》的規定，針對具體的處罰措施根據具體情況決定是否適用《草案》的具體規定。

三、《草案》與《反恐法（草案）》的關系

（一）網絡與信息系統運營者的網絡安全運行保障義務及相應的法律責任

《反恐法（草案）》第十五條規定了網絡與信息系統運營者的網絡安全運行保障義務，電信業務經營者、互聯網服務提供者向密碼主管部門進行密碼方案報備的義務，並要求其預留技術接口為執法機關提供解密協助，最為重要的是，其中明確了境內提供電信業務、互聯網服務的數據存留和本地化要求。另一方面，《反恐法（草案）》第九十四條還規定了電信業務經營者、互聯網服務提供者對於恐怖主義信息的監督和處置義務，互聯網加密傳輸服務提供者的密碼方案報備義務，網信、工業和信息化、公安、國家安全等主管部門對於恐怖主義信息的監督和處置義務，並進一步規定了電信業務經營者、互聯網服務提供者、互聯網加密傳輸服務提供者違反上述規定的行政和刑事責任。在此方面，《草案》並未涉及網絡運營者的密碼方案報備和協助解密義務，也未對網絡運營者做出數據存留和本地化要求，然而，基於反恐和保障國家安全的迫切需求，《反恐法（草案）》在此方面必然規定得更為嚴格且具有針對性。

《反恐法（草案）》第二十八條規定，重點目標的營運、管理單位應當履行下列職責：涉及國計民生、公共安全和國家安全的基礎信息網絡和重要信息系統的營運、管理單位應當落實網絡安全管理制度和安全技術防護措施，明確安全責任，建立網絡安全監測預警系統，加強安全監測和預警通報，保障基礎信息網絡和重要信息系統安全。基礎信息網絡和重要信息系統發生重大攻擊事件的，應當及時向網信、工業和信息化、公安等網絡安全主管部門報告，並配合開展事件調查和應急處置，其中第九十八條進一步對違反上述規定的運營、管理單位設置了相應的行政和刑事處罰措施。在此方面，《草案》也規定了一般的網絡運行安全、監測預警與應急處置機制及違反相關規定的法律責任。然而，《草案》的規定更為細化且更加具體，有利於網絡安全保障措施和應對方案的有效實施。

（二）網絡管制規定

《反恐法（草案）》第六十條規定，應對處置恐怖事件，反恐怖主義工作領導機構可以決定由有關部門和單位採取下列措施：（四）互聯網、無線電、通信管制。《草案》第五十條規定，因維護國家安全和社會公共秩序，處置重大突發社會安全事件的需要，國務院或者省、自治區、直轄市人民政府經國務院批准，可以在部分地區對網絡通信採取限制等臨時措施。由此可見，國家已經通過立法對經過法定程序實施的臨時網絡通信管制措施作出了相應的認可。在此方面，有關反恐的網絡通信管制實施優先適用《反恐法（草案）》的規定。

四、《草案》與《刑法》、《治安管理處罰法》的關系

《刑法》第二百八十五條、第二百八十六條、第二百八十七條分別對非法侵入計算機信息系統罪，非法獲取計算機信息系統數據、非法控制計算機信息系統罪，提供侵入、非法控制計算機信息系統程序、工具罪，破壞計算機信息系統罪和利用計算機實施的犯罪做出了相應的刑事處罰規定。《治安管理處罰法》第二十九條規定了侵害計算機系統的行為和處罰。在此方面，《草案》對實施上述行為而不構成犯罪的情況設置了相應的處罰措施，在網絡信息安全保障的法律責任方面與現有法律形成了很好的銜接關系。

五、《草案》與《關於加強網絡信息保護的決定》

《關於加強網絡信息保護的決定》內容涵蓋個人網絡電子信息保護、垃圾電子信息治理、網絡和手機用戶身份管理、網絡服務提供商對國家有關主管機關的協助執法等重要制度，其核心內容和立法宗旨是建立公民個人電子信息保護制度。在此方面，《草案》堅持《關於加強網絡信息保護的決定》確立的原則，進一步完善了相關管理制度，尤其在“第四章 網絡信息安全”中做出了具體規定，涉及網絡運營者的信息保護義務、公民享有的保護其個人信息的權利、網絡安全監管部門的相關職責等。第一，確立《關於加強網絡信息保護的決定》規定的網絡身份管理制度即網絡實名制，以保障網絡信息的可追溯（第二十條）。第二，明確網絡運營者處置違法信息的義務，其中規定：網絡運營者發現法律、行政法規禁止發布或者傳輸的信息的，應當立即停止傳輸，採取消除等處置措施，防止信息擴散，保存有關記錄，並向有關主管部門報告（第四十條）。第三，規定發送電子信息、提供應用軟件不得含有法律、行政法規禁止發布或者傳輸的信息（第四十一條）。第四，規定為維護國家安全和偵查犯罪的需要，偵查機關依照法律規定，可以要求網絡運營者提供必要的支持與協助（第二十三條）。第五，賦予有關主管部門處置違法信息、阻斷違法信息傳播的權力（第四十三條）。由此可見，《草案》在網絡信息安全保護方面與全國人大《關於加強網絡信息保護的決定》形成了很好的銜接與對應關系。

（來源：中國信息安全）