文/黄春林 冯莉

本文为作者授权无讼阅读发布

一、第一部体系完整的网络法律

近年来，随着国家“互联网+”战略的实施，互联网领域的立法获得突飞猛进的发展。但大多数网络立法，要么效力级别较低（多以条例、办法、通知等形式出现），要么零零散散不成体系。

《网络安全法》是我国互联网立法历史上第一部体系完整的、由全国人大常委颁布的法律，全文七章79条，内容涵盖国家政策导向、法律原则、具体行为规范及法律责任等内容，对保障我国网络安全具有一定的导向及规范作用。

值得注意的是，之前我国仅有的三部互联网有关的法律，均与网络安全有关，可见网络安全立法的重要意义。具体包括《关于加强网络信息保护的决定》（2012）、《电子签名法》（2005）、《关于维护互联网安全的决定》（2000）。

二、两年三审神速定稿

自2015年6月发布第一次草案以来，《网络安全法》先后经历了2016年6月二审稿、2016年10月三审稿等三次审议，最终于2016年11月7日正式通过。从初稿发布到最终颁布，先后仅经历了不到两年的时间，与其他法律动辄十来年的酝酿过程相比，可谓神速，这也从另一个方面凸显了国家在网络管控方面的急迫性。

三次审议中，立法体例及结构基本没有变化，仅就个别条款和问题作了小修小补。主要调整内容包括但不限于：进一步强化了大数据利用有关的规则；调整了关键信息基础设施的定义及数据跨境转移限制规则；增加了对未成年人的网络安全保护；强化了网络安全违法犯罪惩罚力度；等等。

三、三部委神仙打架凡人遭殃

《网络安全法》第八条规定了负责网络安全管理的主管部门，主要包括网信办、工信部、公安部，但并未明确规定各自的权责。麻烦也由此来了，之前神仙打架的局面或许将继续发生，遭殃的还是各网络运营者。

在《网络安全法》颁布之前，上述三个部门各自发布了大量与网络安全有关的部门规章、规范性文件（例如，工信部发布了《通信网络安全防护管理办法》、《公共互联网网络安全应急预案》、《电信和互联网用户个人信息保护规定》、《关于加强电信和互联网行业网络安全工作的指导意见》等，公安部发布了《计算机信息网络国际联网安全保护管理办法》、《信息安全等级保护管理办法》等，而网信办近期更是发布了大量的单行规定），相关文件在各自部门内已经形成了成熟的备案、审批、资质、年检体系和制度，这必然会给网络运营者在实际经营过程中面临多头管理的困局。

四、四大网络安全应急处置措施

《网络安全法》明确规定了主管机构对网络安全事件的四大应急处置措施：

（1）网络安全事件进行调查和评估；

（2）向社会发布与公众有关的警示信息；

（3）对网络的运营者的法定代表人或者主要负责人进行约谈；

（4）在特定区域对网络通信采取限制等临时措施。

五、五级网络安全等级保护制度

《网络安全法》首次从立法层面规定，建立“网络安全等级保护制度”，但遗憾的是并未规定网络安全等级划分及有关的实施细则由哪个部门负责。

在此之前，公安部于2007年联合国家保密局、国家密码管理局、国务院信息化工作办公室发布了《信息安全等级保护管理办法》，明确规定信息系统的安全保护等级分为五级，国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。

工信部也不甘示弱，于2010年发布了《通信网络安全防护管理办法》，明确规定网络安全等级由低到高分别划分为一级、二级、三级、四级、五级。电信管理机构应当组织专家对通信网络单元的分级情况进行评审。

六、“六大亮点”不亮

全国人大常委会法工委经济法室副主任杨合庆在新闻发布会上总结了《网络安全法》的六大亮点，但事实上，要么理论争议较大，要么线条太粗缺乏可操作性，要么老调重弹，一点也不亮。

所谓网络安全空间主权理论，国际上争议一直较大；网络服务提供者、网络运营者的安全义务主体含混，且旧瓶装新酒；个人信息保护规则缺乏可执行性，严重落后欧盟数据保护指令；关键信息基础设施有关的跨境数据转移限制规定，几易其稿，仍然模糊不清。

七、七个月过渡期我们能做点什么

《网络安全法》将于2017年6月1日起施行，留给网络运营者的过度时间仅有七个月。在这七个月中，网络运营者应当完善、调整相应的网络安全管理制度及操作规程，安排相关人员并采取切实有效的技术措施保护网络安全，以满足《网络安全法》的监管要求。

我们经常说，没有绝对安全的网络。当网络安全事件发生时，监管机构关注的重点不是你的网络是否绝对安全，而是你为网络安全做了什么。

八、网络运营者十大安全保障义务

《网络安全法》从立法层面，总结了网络运营者的如下安全保障义务，这也是网络运营者在过渡期重点要关注的合规要点：

（1）制定内部安全管理制度和操作规程，确定网络安全负责人；

（2）采取防范危害网络安全行为的必要技术措施；

（3）监测、记录网络运行状态、网络安全事件，并按照规定留存相关的网络日志不少于六个月（注：特殊行业的数据留存时间远超这个规定）；

（4）数据分类、备份和加密等措施，关键信息基础设施的数据跨境转移限制；

（5）网络安全事件应急预案，发生后的补救措施及报告义务；

（6）网络运营者应当建立网络信息安全投诉、举报制度，公布投诉、举报方式等信息；

（7）用户个人信息保护制度制定与实施，落实用户实名制要求；

（8）为维护国家安全和侦查犯罪的活动提供技术支持和协助；

（9）网络平台的信息内容审核、留存、删除、报告等义务；

（10）建立健全未成年人网络安全保护制度；等等。

九、十六条罚则惩罚力度加倍

《网络安全法》全文共计十六条法律责任，除了正式稿新增的一条（七十五条）外，部分条款的法律责任回应了近期社会热点事件，强化了相应的惩罚力度。

例如，窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息的罚款上限由五十万元提高到一百万元；提供专门用于从事危害网络安全活动的程序、工具，或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助的罚款也有较大幅度提高。

当然，也有降低处罚力度的条文，例如因违反第二十七条规定（非法侵入计算机系统或为其提供帮助的）受到治安管理处罚的人员，由原来“终身”降低为“五年内”不得从事网络安全管理和网络运营关键岗位的工作。