蓄力一纪 由是始之——《网络安全法(草案)》评述

千呼万唤始出来，《网络安全法(草案)》（以下简称草案）终于同公众见面了。回顾2003年，中办27号文《国家信息化领导小组关于加强信息安全保障工作的意见》便已提出“抓紧研究起草《信息安全法》”的要求，迄今已十二年整，恰如白驹过隙。古称十二年为一纪，《国语?晋语四》曰“蓄力一纪，可以远矣”，但功归一载，利在千秋。

一、重大历史进步

网络安全不是今天才重要，网络安全立法也不是今天才迫切。十二年前的中央文件曾罕见地以书名号明确了立法任务，可见决心之巨。只是网络安全立法之路实在艰辛，时国务院信息办审时度势，由信息安全条例角度入手，并连续数年推动其列入国务院法制办二类立法计划，之后未能再进一步。2008年后，国务院信息办职能整体划转至工业和信息化部，有关方面意识到制定条例未必就比人大立法容易，且国务院行政法规无力调整现行上位法的法律规定，遂决定返回制定信息安全法。然而国民经济和社会发展颇多领域亟待立法，国家立法资源有限，每个部门允许提出的立法建议屈指可数。工业和信息化部既要考虑信息化立法，还要考虑工业立法，一半指标已不得用，而信息化方向还有一部历史更为悠久的电信法望眼欲穿，信息安全法终究连个队都没排上。期间，人大建议、政协提案不计其数，社会公众翘首以盼，均无果。

此次草案公开征求意见，表明这项工作进入了实质性立法程序，这是一个重大历史进步。欢欣鼓舞之所在，不是因为草案具体内容，而源于征求意见本身的象征意义。时至今日，我们对网络安全立法不是搞清楚、看明白了，而是问题更多、更复杂了，很多观点分歧可能更大了，网络安全立法难度不降反升，但突破恰恰在此时。中央网络安全和信息化领导小组成立后，中央领导同志英明决策，切实将网络安全提升到了国家安全和发展的高度，不但作出“网络强国”的全局战略部署，更扎实推进各项工作取得积极进展。网络安全宣传周、网络空间安全一级学科等，无一不历经多年论证而蹉跎，今朝方开花结果。

诚然，网络安全立法工作十分艰巨，草案肯定有这样那样的问题，但今天的一小步，是国家网络安全工作的一大步。我们应该宽容它、呵护它，使其不断成熟、更加科学，成长为护佑国家网络安全和信息化发展的参天大树。

二、彰显国家意志，确立基本原则

草案在“总则”和“网络安全战略、规划与促进”部分提出的宣示性条款远较其他法律为多，还设立一条倡导性条款（即“倡导诚实守信、健康文明的网络行为”）。作为我国网络安全的基本法，这些“软性”法律规定确有必要，其意在于宣示国家网络安全工作的基本原则，明确建设网络安全保障体系的主要举措，从而为整体推进保障体系建设提供法律依据。

一是坚持网络安全和信息化发展并重原则。网络安全和信息化是一体之两翼，驱动之双轮，要坚持以安全保发展、以发展促安全，不能简单地通过不上网、不共享、不互联互通来保安全，或者片面强调建专网。要努力实现技术创新和体制机制创新，不断增强维护网络安全的新思路、新方法、新举措、新本领，而不是因噎废食、自甘落后。

二是提出了网络空间主权。网络空间主权是国家主权在网络空间的体现和延伸，网络空间主权原则是我国维护国家安全和利益、参与网络空间国际合作所坚持的重要原则。草案虽未作解释，且一笔带过，然犹有石破天惊之意。

三是开展国际合作。网络安全是全球面临的共同问题，中国对广泛开展国际合作持积极态度，合作重点包括但不限于网络治理、技术与标准、打击违法犯罪等，目标是推动构建和平、安全、开放、合作的网络空间。

四是建立统筹协调、分工负责的网络安全管理体制。多年实践和各国经验表明，网络安全工作离不开统筹协调。随着中央网络安全和信息化领导小组的成立，有必要通过立法增强领导小组及其办公室的权威性。草案规定，国家网信部门负责统筹协调网络安全工作和相关监督管理工作。具体包括，对监测预警和信息通报、网络安全应急、关键信息基础设施安全防护等跨部门工作，由网信部门统筹协调；对网络安全审查、重要数据跨境流动安全评估等新出现的综合性管理工作，由网信部门会同国务院有关部门制定办法或组织实施。由此，政府向解决分散、多头和重复管理迈出了关键一步。

五是加强行业自律。要充分发挥行业组织作用，指导行业组织成员加强网络安全防护，促进行业健康发展。

六是强化网络安全顶层设计。顶层设计至关重要，首先是要制定网络安全国家战略，对外宣示主张，对内指导工作；其次要由行业主管部门、其他有关部门制定重点行业、重点领域网络安全规划，确保战略落地，确保这些行业和领域的网络安全工作有目标、有任务、有举措、有监督。

七是建立和完善网络安全标准体系，充分发挥标准在网络安全建设中的指导性、规范性作用。

八是加大财政投入，以加快产业发展，深化技术研发，提升网络安全创新能力。

九是做好宣传教育和人才培养工作。首先，要开展经常性的网络安全宣传教育；其次，要通过学历教育和在职培训，采取多种方式培养网络安全人才。

三、关键信息基础设施保护工作进入正轨

关键信息基础设施保护（CIIP）是各国的通行举措。虽然关键基础设施保护（CIP）涉及物理设施安全，与前者不完全一致，但两者在多数情况下已可以混用。CIIP/CIP一直是各国网络安全战略的重点，有的国家甚至以CIIP/CIP战略代指国家网络安全战略。我们国家在2003年时已经要求“重点保障基础信息网络和重要信息系统安全”，并且在实践中明确了基础信息网络是广电网、电信网、互联网，重要信息系统是银行、证券、保险、民航、铁路、电力、海关、税务等行业的系统，即俗称的“2+8”，相关保护工作也常抓不懈。但整体而言，我们与国外差距很大，已是国家安全的软肋，草案为此设立了“关键信息基础设施的运行安全”一节。

一是扩展了保护范围。纵观世界各国，凡是已经开展了网络安全建设的国家，其关键基础设施的范围几乎都远超过我们，例如美国有17类，而我们则有很多重要系统尚未纳入保护视野。草案首次明确了关键信息基础设施范围，包括基础信息网络、重点行业信息系统、公共服务领域重要信息系统、军事网络、地市级以上国家机关政务网络、用户数量众多的网络服务商系统。最后一类系统中很多由私企运营，运营者可能对其列为国家关键信息基础设施不适应，但当网络服务商的用户达到一定规模时，其安全已经不再是企业自身问题，而成为一个公共问题、社会问题甚至国家安全问题，理应承担更多责任。一些国外机构可能会拿这个做文章，但事实上美国的关键基础设施有87%受私营企业控制。

二是明确了保护要求。等级保护是1994年《计算机信息系统安全保护条例》提出的制度，其对全国各类信息系统提出了分五个等级的通用安全要求。恰恰因为通用，这个要求只能是基线（即基本要求），其有必要但并不足够，特别是不足以反映应用模式日趋复杂的异构系统的动态防护需求。此外，保护关键信息基础设施涉及很多工作，不仅仅是提出系统自身的保护要求、加强系统安全建设那么简单，还包括一系列的管理工作和公共平台建设，不能由一项制度取代其他制度，理应对此建立专门制度。草案提出，关键信息基础设施安全保护办法由国务院制定。对于某些重点要求，如网络安全审查、风险评估等，草案则在具体条款中进行了明确。

三是划定了保护责任。草案规定了关键信息基础设施运营者的安全保护义务，解决了其保护责任模糊不明的问题。他们有必要从国家安全角度承担防护责任，但这个责任毕竟是有界限的。大家希望知道做到什么程度就无责了，也关心自身的权利如何保障。对很多重点行业的信息技术或网络安全部门来说，这不仅仅是免责的需要，也是推动工作的需要，因为这些内设机构如果没有强制性依据，很难得到业务部门的配合。此外，以前我国重点行业的网络安全监管责任也很不明确。似乎谁都可以进入机房检查，但谁都不用负责，重点行业往往无所适从、疲于应付。为此，草案明确了行业主管部门的监督指导职责，这是一个重要进步。考虑到关键信息基础设施保护的确涉及多个部门，草案授权国家网信部门统筹协调有关部门，建立协作机制。特别是在网络安全检查工作中，要杜绝某个部门前脚走，另一部门后脚来的现象。

四、兼具综合法与专门法的特点

网络安全包含的内容太多，当前需要立法规范的事项也很多，于是就有了综合法与专门法的争议。一个基本事实是，目前世界上鲜见网络安全的综合法，有名的美国《计算机安全法》实际上针对的是美国联邦政府信息系统安全保护，近几年美国国会讨论的《网络安全法》或《网络安全增强法》则主要解决关键基础设施的安全保护问题。

作为第一部网络安全法（《电子签名法》不应该计算在内），草案首先要体现综合性，其侧重点应该在以下四个方面：

一是要明确部门、企业、社会组织和个人的权利、义务和责任。

二是规定国家网络安全工作的基本原则和理念。

三是将成熟的政策规定和措施上升为法律，为政府部门的工作提供法律依据，体现依法治国要求。这首先是政府部门的工作需要（如对境外违法信息予以阻断、实施网络通信管制等）；其次，这些规定和措施往往经过了实践检验，部门间争议较小，有利于提高立法效率。

四是建立国家网络安全的一系列基本制度、形成制度框架，这些基本制度带有全局性、基础性，是推动基础性工作、夯实基础能力所必需。

此外，为了突出实用性，草案还应部分体现专门法的特点。这应从三个方面去考虑：

一是实施重点防护，对关键信息基础设施、网络信息内容等重点安全关注予以优先考虑。

二是防范重大威胁。例如，信息系统安全受控于人是我们面临的心腹大患，斯诺登事件使我们进一步看清风险所在，这就要对供应链安全进行规范。

三是对普遍性、长期存在的社会诉求予以响应。

总体看，草案比较好地处理了综合法与专门法的关系问题，但个别条款还是过于纠结细枝末节（如网络运营者的分项安全保护义务不必展开），或细致到了足可取代部分专门法的地步（如个人信息保护应制定专门法，原有条款似可删减后将重心转向规范信息内容安全）。除了个人信息外，草案没有突出对公民个人权益的更多保护，如对危害网络安全行为的举报并不是为了解决公民作为受害者“报案无门”的困窘，这不能不说是小的遗憾。

五、重大制度性设计还应有更全面考虑

立法的重要目的之一是提出重大制度性设计。但凡重大制度性设计，必经过深入研究论证，具备充分可行性并取得高度共识后方可写入法律条文。全国人大的起草说明中指出，草案的起草坚持问题导向，对一些确有必要，但尚缺乏实践经验的制度安排做出原则性规定。这一处理十分务实、有益，但对于什么是“原则性规定”则要仔细琢磨。一般而言，侧重于“目标”或“效果”的描述可视为“原则性规定”，但侧重于“手段”的描述很可能会限定具体实施方式，超出了“原则性规定”。例如“实名制”要求，其目的是为了使行为主体可追溯，但这一定需要信息服务提供者去验证用户真实身份吗？这条规定似可更原则性一些。

立法不是协调部门间分歧的手段。反之，部门间协调一致反而是立法的前提条件。对于在部门间长期争议的事项，在写入法条时需要十分谨慎。例如，我国曾试图建立统一的信息安全产品认证认可体系，以解决重复检测、重复收费问题，其结果是没有减少任何一张证书，反而是新成立的统一认证机构又多发了一张证书。草案提出“安全认证和安全检测结果互认”，这反映了产业界的长期诉求，但短时间内很难实现，且有可能引发新的WTO贸易问题。

六、“网络安全”的定义还可以更为妥帖

“网络”和“网络安全”是“网络安全法”的题眼。但草案给出的这两个定义却使整篇草案黯然失色，效果有云泥之别。近年的工作中，我们用过“信息安全”，也用过“网络安全”，学者们各抒己见，一些部门也喜欢朝向有利于自身职能的角度去解释，这些自不待言。但中央网络安全和信息化领导小组成立后，已经基本将其统一为“网络安全”。当然，国安委还是使用“信息安全”，《国家安全法》使用的是“网络与信息安全”，但这些已不会造成工作上的障碍。

只是这个“网络安全”实是“Cyber Security”之译，非“Network Security”。这里面的“网络”其实指的是“网络空间”（Cyberspace）。因此，当草案试图从“网络空间”的内涵上去解释“网络”时，便挑战了大众的科技常识底线，且出现了“网络是指网络和系统”的尴尬。当然，如果就这么用下去，倒也自成一脉，但草案转眼就去使用狭义的“网络”了，如“建设、运营、维护和使用网络”、“网络基础设施”、“网络数据”、“网络接入”等，这里都是指的“network”。由此，草案中频繁出现自己与自己打架的情况。

而草案中的“网络安全”定义也需修改。现有定义不但丢掉了信息内容安全，更是与“网络空间主权”没有关联。

解决这个问题的途径是，网络就是网络，不要让网络去包括信息系统。即，自始至终使用传统意义上的“Network”概念。对关键信息基础设施，既要包含基础信息网络，也要包含重要信息系统，而不是以“网络”统称。对于“网络安全”，则按“网络空间安全”去解释即可。

七、对《网络安全法（草案）》的讨论应更加科学务实

草案公布后引起了全社会的强烈关注，掀起了网络安全立法讨论的热潮。这对推动《网络安全法》尽快出台、提升全社会网络安全意识无疑是十分重要的。随着《网络安全法》在后续阶段进入人大二读、三读阶段，社会上还会有更多、更专业的讨论。为了更充分地发挥专业讨论的建设性作用，同时也是为了使公众更好地理解《网络安全法》，建议有关讨论应更加科学务实。

一是不要把“网络安全”等同于“互联网安全”。互联网是个新生事物，其管理问题很有挑战性，涉及面也很广，互联网立法研究因此一度占据我国信息化立法的舞台，这方面涌现出了一大批专家。目前很多专家把《网络安全法（草案）》放到互联网法律体系中去讨论，这显然是片面的。《网络安全法》是解决网络空间的安全问题，既针对互联网，还针对其他网络、各类信息系统；既涉及网上信息内容的管理问题，也涉及网络与信息系统的安全可靠运行问题。事实上，互联网安全管理并不是《网络安全法》的重点，这方面的行政法规、政策已经很多，《网络安全法》要补充行政法规疏漏的内容，为我们的很多互联网管理措施（例如对境外违法信息的封堵）提供法律依据。除此之外，《网络安全法（草案）》更多地则关注了网络空间安全基础性工作和信息系统的安全防护。

二是要把对《网络安全法（草案）》的建议与对我国网络安全立法体系的建议区分开，不要期望一个法解决所有问题。很多专业讨论都认为草案内容有缺失。例如，一些专家认为草案太多体现了“管”，行政色彩太浓；还有些专家认为草案距离美国的立法理念太远，没有阐明军队的角色。这些建议，更多的是对我国网络安全立法工作的期望，但这些期望很难在第一部法中完全体现。毕竟，工作有缓急之分，《网络安全法》应该解决最紧迫的问题、最可能解决的问题。

三是要把法同战略、政策区分开。法同战略、重大政策同属顶层设计，但作用却完全不同。最近的网络安全法讨论中，一些研究者喜欢以美国为对标，但剖析的对象很多不是美国的法律文本，而是战略甚至技术规范，于是乎入手失之毫厘、结论谬以千里。但是对于美国国会的网络安全立法工作，国内却少有深入研究。例如，美国这十年间究竟出台了什么网络安全法？其网络安全法历次闯关失败的真实原因是什么？立法研究与战略研究是不同的领域，两者密切关联，但不可混为一谈。

四是充分尊重起草者的意图。网络安全是崭新的研究领域，自然成了各种理论、理念诞生的温床。但网络安全也是一门实践性很强的科学，不能总是搞成哲学甚至玄学。网络安全立法是为了解决问题，不是为了制造新理论。当条条大路通罗马时，如果起草者的道路没有问题，评论者就应当充分尊重起草者的意愿，而不是一定要提出一条新的道路，否则无益于《网络安全法（草案）》的修改。例如，《网络安全法（草案）》的立法目的涵盖了国家安全、公众利益、公民和组织权益等三个方面，考虑了新引入的网络空间主权概念，强调了安全的最终目的是促进发展，这个立法目的应该是全面和清晰的。但很多评论者还提出了很多新的表述方法，这仅是角度不同而已。

（来源：中国信息安全）