源于我國面臨國內外網(wǎng)絡(luò )安全形勢的客觀(guān)實(shí)際和緊迫需要，2016年11月7日，《中華人民共和國網(wǎng)絡(luò )安全法》(以下簡(jiǎn)稱(chēng)“網(wǎng)安法”)經(jīng)第十二屆全國人大常委會(huì )第二十四次會(huì )議表決通過(guò)，已于2017年6月1日施行。網(wǎng)安法為我國有效應對網(wǎng)絡(luò )安全威脅和風(fēng)險、***保障網(wǎng)絡(luò )安全提供了上位法依據。法律的生命力在于實(shí)施，在網(wǎng)安法正式生效前，Wannacry勒索軟件攻擊事件再次給我國網(wǎng)絡(luò )安全法律治理敲響了警鐘，進(jìn)一步彰顯了法律實(shí)施的緊迫性和必要性。

    一、戰略發(fā)布：不斷強化網(wǎng)安法提出的原則和政策

    2016年12月27日發(fā)布的《***網(wǎng)絡(luò )空間安全戰略》，是我國發(fā)布關(guān)于網(wǎng)絡(luò )空間***戰略。戰略與網(wǎng)安法提出的構建網(wǎng)絡(luò )空間的“和平、安全、開(kāi)放、合作”原則相銜接，從***戰略層面詮釋了網(wǎng)安法主張的網(wǎng)絡(luò )空間主權原則，將“堅定捍衛網(wǎng)絡(luò )空間主權”作為九大戰略任務(wù)之首，強調“根據憲法和法律法規管理我國主權范圍內的網(wǎng)絡(luò )活動(dòng)，保護我國信息設施和信息資源安全，采取包括經(jīng)濟、行政、科技、法律、外交、軍事等***措施，堅定不移地維護我國網(wǎng)絡(luò )空間主權。堅決反對通過(guò)網(wǎng)絡(luò )顛覆我國***政權、破壞我國***主權的***行為”；戰略將“保護關(guān)鍵信息基礎設施”作為九大戰略任務(wù)之三，進(jìn)一步拓展了關(guān)鍵信息基礎設施的外延，將重要互聯(lián)網(wǎng)應用系統納入其中，強調著(zhù)眼識別、防護、檢測、預警、響應、處置等環(huán)節，建立實(shí)施關(guān)鍵信息基礎設施保護制度；同時(shí)，戰略再次強調要建立實(shí)施網(wǎng)絡(luò )安全審查制度，加強供應鏈安全管理。

    2017年3月1日發(fā)布的《網(wǎng)絡(luò )空間***合作戰略》，宣示了我國在***互聯(lián)網(wǎng)治理問(wèn)題上的基本原則和行動(dòng)要點(diǎn)，奠定了我國在***社會(huì )競爭中的話(huà)語(yǔ)權和軟實(shí)力。該戰略站在各國共同維護網(wǎng)絡(luò )空間***角度，重申了網(wǎng)安法的和平、主權原則；戰略主張的“促進(jìn)企業(yè)提高數據安全保護意識，支持企業(yè)加強行業(yè)自律，就網(wǎng)絡(luò )空間個(gè)人信息保護***實(shí)踐展開(kāi)討論。推動(dòng)政府和企業(yè)加強合作，共同保護網(wǎng)絡(luò )空間個(gè)人隱私”的行動(dòng)倡議與網(wǎng)安法第四章“網(wǎng)絡(luò )信息安全”的個(gè)人信息保護規定緊密契合。

這兩個(gè)戰略開(kāi)啟了我國網(wǎng)絡(luò )空間治理的全新范式，鞏固和強化了網(wǎng)安法構建的由內而外、自上到下的原則和政策，為我國網(wǎng)絡(luò )安全相關(guān)政策和配套法律的出臺指明了方向，有助于繼續深入推進(jìn)網(wǎng)絡(luò )主權保障、關(guān)鍵信息基礎設施保護、個(gè)人信息保護、***安全審查等方面的法律構建。

    二、配套規定出臺：有效銜接網(wǎng)安法構筑的制度和規則

    網(wǎng)安法從運行安全、信息安全和事件應對三個(gè)維度立體化、***保護網(wǎng)絡(luò )安全。相關(guān)部門(mén)正制定或出臺相應的下位法與之配套，切實(shí)保障網(wǎng)安法的可操作性，避免流于表面化。

在網(wǎng)絡(luò )運行安全方面，網(wǎng)絡(luò )安全審查和關(guān)鍵信息基礎設施保護制度是下位法制定的***。網(wǎng)安法第35條規定應該對可能影響******關(guān)鍵信息基礎設施的網(wǎng)絡(luò )產(chǎn)品和服務(wù)進(jìn)行***安全審查，該條已在***互聯(lián)網(wǎng)信息辦公室2017年5月2日發(fā)布的《網(wǎng)絡(luò )產(chǎn)品和服務(wù)安全審查辦法（試行）》中進(jìn)行了具體規定，該規定是正式生效的網(wǎng)安法重要配套規定，并已于6月1日同步施行。該辦法旨在提高網(wǎng)絡(luò )產(chǎn)品和服務(wù)安全可控水平，防范供應鏈安全風(fēng)險。根據該辦法，關(guān)系***安全和公共利益的信息系統使用的重要網(wǎng)絡(luò )產(chǎn)品和服務(wù)以及關(guān)鍵信息基礎設施運營(yíng)者采購的網(wǎng)絡(luò )產(chǎn)品和服務(wù)，可能影響******，都要經(jīng)過(guò)網(wǎng)絡(luò )安全審查；網(wǎng)絡(luò )安全審查***在于網(wǎng)絡(luò )產(chǎn)品和服務(wù)的安全性、可控性。

    信息安全等級保護制度是***對基礎信息網(wǎng)絡(luò )和重要信息系統實(shí)施***保護的關(guān)鍵措施。我國的信息安全等級保護工作初步實(shí)現了標準化、規范化，但是仍呈現體系不完善、***不突出、保護效果不佳、保護對象不完整等問(wèn)題。網(wǎng)安法第21條提出***實(shí)行網(wǎng)絡(luò )安全等級保護制度，第31條進(jìn)一步要求關(guān)鍵信息基礎設施要落實(shí)***安全等級保護制度，突出保護***，是深化信息安全等級保護制度、保護***關(guān)鍵信息基礎設施和大數據***迫切需要。為落實(shí)網(wǎng)安法第21條和第31條的規定，***科學(xué)合理地推動(dòng)網(wǎng)絡(luò )安全等級保護制度的演進(jìn)與變革，構建和完善等級保護2.0制度體系。

    網(wǎng)安法第31條規定建立關(guān)鍵信息基礎設施保護制度，授權***制定關(guān)鍵信息基礎設施的具體范圍和安全保護辦法。關(guān)鍵信息基礎設施安全保護辦法是法律中明確規定“由***制定”的行政法規，也是網(wǎng)絡(luò )安全法律體系的重中之重。主管部門(mén)已開(kāi)展了相關(guān)條例的具體調研、安全檢查、起草編寫(xiě)、部門(mén)論證和企業(yè)座談等工作。在與關(guān)鍵信息基礎設施保護配套的強制性標準方面，全國信安標委2017年工作***之一即為落實(shí)網(wǎng)安法要求，加快推動(dòng)***標準研制，網(wǎng)絡(luò )安全產(chǎn)品與服務(wù)、關(guān)鍵信息基礎設施保護等強制性***標準的研究。由此可見(jiàn)，與網(wǎng)安法第31條配套的法規、***標準等正在經(jīng)歷著(zhù)縝密的夯實(shí)歷程。

網(wǎng)安法第37條在法律中確立了對個(gè)人信息及重要數據出境的安全評估制度，并授權***網(wǎng)信部門(mén)會(huì )同其他監管部門(mén)制定詳細的安全評估實(shí)施辦法。數據本地化屬于境內外實(shí)體的重大關(guān)切，《個(gè)人信息和重要數據出境安全評估辦法（征求意見(jiàn)稿）》已于5月11日結束公開(kāi)征求意見(jiàn)。評估辦法以《***安全法》和《網(wǎng)絡(luò )安全法》等為上位法依據，擴大了數據本地化及安全評估義務(wù)適用對象的范圍，解釋了重要數據的概念，數據評估的***內容，不得出境的條件等，正式制度出臺和具體實(shí)施有待在實(shí)踐中進(jìn)一步觀(guān)察。

    在網(wǎng)絡(luò )信息安全方面，《互聯(lián)網(wǎng)新聞信息服務(wù)管理規定》也于6月1日同步施行，規定第13條款和十六條第二款分別銜接了網(wǎng)安法第24條用戶(hù)身份管理制度的要求和第47條處置違法信息的義務(wù)要求，互聯(lián)網(wǎng)新聞信息服務(wù)提供者違反這兩款的適用網(wǎng)安法的行政處罰。

    兩高《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》（《解釋》）5月10日正式發(fā)布，解釋降低入罪門(mén)檻，嚴懲侵犯公民個(gè)人信息犯罪。在個(gè)人信息保護基本立法暫時(shí)缺位的情況下，《解釋》及時(shí)彌補了個(gè)人信息刑事責任追責的短板，并實(shí)質(zhì)性的構成了網(wǎng)安法行刑銜接的進(jìn)一步配套和細化制度，為基本立法提供了案例素材，有利于立法的***、充分。

    三、***立法變革：網(wǎng)安法后續制度落地的參考方向

    ***網(wǎng)絡(luò )安全相關(guān)戰略和立法迅速進(jìn)行改革，美歐紛紛建立***、更立體、更具彈性與前瞻性的網(wǎng)絡(luò )安全立法體系。鑒于事件驅動(dòng)重大立法規律的存在，可以預見(jiàn)的是，***立法變革將一直持續。

    接連通過(guò)多部網(wǎng)絡(luò )安全戰略及立法，以加強網(wǎng)絡(luò )安全和抵御網(wǎng)絡(luò )攻擊的能力，如2016年通過(guò)《信息自由法案促進(jìn)法》、“應對重大網(wǎng)絡(luò )攻擊政策指令”、“安全漏洞披露政策”、《波特曼-墨菲反宣傳法案》，2017年通過(guò)《***網(wǎng)絡(luò )事件響應計劃（NCIRP）》、《2017NIST網(wǎng)絡(luò )安全框架、評估和審查法案》（NIST Cybersecurity Framework, Assessment, and Auditing Act of 2017）（H.R.1224）等。5月11日，總統特朗普簽署了《關(guān)于加強聯(lián)邦網(wǎng)絡(luò )和關(guān)鍵基礎設施網(wǎng)絡(luò )***總統行政令》，要求采取一系列措施來(lái)增強、關(guān)鍵基礎設施和***這三個(gè)領(lǐng)域的網(wǎng)絡(luò )安全,明確要求聯(lián)邦機構***遵守NIST的網(wǎng)絡(luò )安全框架。歐盟2016年7月通過(guò)部網(wǎng)絡(luò )安全法案《網(wǎng)絡(luò )與信息系統安全指令》，致力于在歐盟范圍內實(shí)現統一的、高水平的網(wǎng)絡(luò )與信息系統安全，歐盟成員國***在21個(gè)月內將其轉化為國內法，11月發(fā)布了三個(gè)有關(guān)歐盟《一般數據保護條例》內容的指南，為落實(shí)《一般數據保護條例》提供更詳盡的指引。英國2016年底頒布嚴協(xié)助執法法《調查權法案》，旨在進(jìn)一步理清執法機構在通信及通信數據攔截、獲取、留存及設備干擾等方面的權力，幫助執法機構調查犯罪和防控。

    從制度設計層面來(lái)看，網(wǎng)安法規定了近20項制度，其中，網(wǎng)絡(luò )安全等級保護制度、網(wǎng)絡(luò )信息內容管理、網(wǎng)絡(luò )安全教育和培訓、個(gè)人信息保護等制度較為成熟，網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品認證、漏洞等網(wǎng)絡(luò )安全信息發(fā)布、關(guān)鍵信息基礎設施保護制度、數據留存和協(xié)助執法制度、境外網(wǎng)絡(luò )攻擊制裁等更多的制度亟需完善設計和后續落地，在制度的貫徹實(shí)施過(guò)程中必然存在各種挑戰和問(wèn)題。

    而恰恰***立法變革的內容可以為我國網(wǎng)安法后續制度落地提供參考方向。如2016年應對重大網(wǎng)絡(luò )攻擊政策指令公布了對網(wǎng)絡(luò )攻擊嚴重程度進(jìn)行定性的標準，從0級到5級共分6個(gè)層次，分別是基準、低、中、高、嚴重和緊急，其中3級及以上被視為“重大網(wǎng)絡(luò )事件”，將觸發(fā)政策指令中的威脅應對、資產(chǎn)應對和情報支持活動(dòng)等反應機制，可以為我國網(wǎng)絡(luò )安全事件應急處置和境外攻擊制裁制度落地提供參考?！鞍踩┒磁墩摺笨梢詾槁┒吹染W(wǎng)絡(luò )安全信息發(fā)布和漏洞的合法挖掘、合理披露制度構建提供參考?！?017NIST網(wǎng)絡(luò )安全框架、評估和審查法案》則可為關(guān)鍵信息基礎設施保護辦法、關(guān)鍵信息技術(shù)保護安全要求方面的***強制性標準制定提供參考。英國《調查權法案》涉及面廣，規定細致，可以為數據存留和協(xié)助執法制度的完善提供參考等。***強調的是，相關(guān)制度借鑒應考慮其制定和實(shí)施的特殊場(chǎng)景，不能照搬國外經(jīng)驗，需根據國情實(shí)施本土化改造。

    作為我國部網(wǎng)絡(luò )安全管理的基礎性保障法，其落地實(shí)施是網(wǎng)絡(luò )空間法治建設的重要里程碑事件。網(wǎng)安法以發(fā)現、消除網(wǎng)絡(luò )安全威脅和風(fēng)險，提升恢復能力為軸心，構建了“防御、控制與懲治”三位一體的立法架構，其配套制度的制定與出臺正不斷夯實(shí)豐滿(mǎn)這一立法架構。為降低網(wǎng)安法落地實(shí)施的難度，網(wǎng)安法配套制度的制定與出臺仍需嚴謹、審慎論證。（公安部第三研究所副研究員 黃道麗）