黨的十八屆四中全會提出，為使我國社會在深刻變革中既生機勃勃又井然有序，實現我國和平發展的戰略目標，必須更好發揮法治的引領和規范作用。在當今世界各國高度重視網絡安全，注重依法維護和保障本國網絡安全的情形下，我國作為網絡大國更應與時俱進，走在維護網絡安全的前列，準確發現挖掘網絡安全領域面臨的重大問題，以法應對，用法治方式為網絡安全運行保駕護航。

一、頂層制策，補齊軟硬基礎條件三個短板

（一）關鍵基礎設施受制于人，需建立關鍵基礎設施保護制度

網絡關鍵基礎設施安全問題關系到國家穩定、經濟命脈和個人切身利益，其重要性不言而喻。美國利用其掌握的互聯網核心技術和壟斷地位，對網絡設備預置“后門”，并大量竊取我政治、軍事、經濟、社會等方面情報，對我國家安全構成嚴重威脅。從網絡拓撲結構上看，我國因特網實際上是接入美國因特網的一個分支，在網絡技術、網絡資源和網絡控制權受制于人的情況下，需要明確堅定地劃定我國網絡關鍵基礎設施的領域范圍，有針對性、有重點地加強網絡安全保障。

在網絡信息安全立法中，應建立關鍵基礎設施保護制度。一方面，國家要對電信終端設備、無線電通信設備和涉及網間互聯的設備實行進網許可制度，接入公用電信網的網絡設備，必須符合國家規定的標準并取得進網許可證。另一方面，國家要對各類網絡終端、存儲設備以及操作系統、應用軟件、安全軟件等實行進口審查制度，進口網絡設施和軟件必須符合國家規定的標準并取得進口許可證。

（二）民族網絡產業落后，需建立民族網絡產業優先發展制度

為從根本上保護網絡信息安全，必須大力培育和扶植民族網絡產業，依法推動自主知識產權網絡產品的開發，有目的、有步驟地提升重點領域網絡產品的國產化率，實現網絡產品的自主可控。經過十余年的發展，我國培育出了阿里巴巴、騰訊、百度、華為、中興等一批具有世界影響力的民族網絡企業。但是，我國的網絡企業仍然缺乏核心技術，在半導體芯片、操作系統、高端服務器等領域依然比較落后，且從網絡資源到基礎協議、創新應用等都由美國等西方國家掌控，難以有效地維護國家網絡信息安全。顯而易見，民族網絡產業的落后，必將給我國網絡信息安全帶來重大隱患。

因此，應在網絡信息安全立法中明確規定，國家要制定支持民族網絡產業發展的專項規劃，扶植民族網絡信息產業優先發展，鼓勵開發核心技術、創建民族品牌；并在政策、資金、稅收、科研、人才等方面給予支持，促進具有國際競爭力的民族網絡產業快速發展，為普及國產網絡設備和軟件打好基礎，從源頭上杜絕網絡信息的安全隱患。

（三）網絡應急保障不力，需建立網絡應急保障制度

2014年1月21日，我國訪問通用頂級根域名的服務器出現異常，據初步估算，全國三分之二的網站、超過2億國內用戶受到影響，平均受影響時間在3小時左右。可以預見，將來還會出現更多、更嚴重危害網絡信息安全的事件。有學者提出，我國應當建立自己的根服務器，但是，在全球單獨建立第14個根服務器，需要通過國際協商和國際合作來完成，實現難度非常之大。即便我國境內建立了根服務器，也將成為互聯網黑客攻擊的重點對象。為最大限度地避免或減少網絡信息安全事件造成的損失，我國亟需加強網絡安全應急保障建設。

建立網絡應急保障制度是網絡信息安全立法的重要內容。網絡應急保障的責任主體應包括有關政府職能機構、社會機構和網絡運營單位，要設立專門的國家網絡信息安全應急保障機構，對網絡安全事件實行分級響應和處置的機制。發生涉及國家安全和公共安全的重大網絡信息安全事件，有關部門應當啟動國家級應急處置預案，形成網絡應急保障的合力。

[page]

二、統籌建制，補強網絡安全管理三個弱項

（一）網絡信息安全體制不順，需建立高效的網絡信息安全管理體制

我國互聯網管理部門存在各自為政的現實問題，導致出現多頭管理、職能交叉、權責不一、效率不高的不利局面。并且，隨著互聯網媒體屬性越來越強，以及移動互聯網、“自媒體”的普及，網絡媒體和產業管理遠遠跟不上形勢的發展變化。中央網絡安全和信息化領導小組宣告成立，有助于解決我國網絡安全管理中各自為政、“九龍治水”的問題。但是，現行互聯網管理體制與科學管網、嚴格執法的要求相比，還有很大的差距。互聯網管理體制的改革，迫切需要法治化來真正落實。

因此，要通過網絡信息安全立法，整合互聯網管理機構職能，以法律形式明晰各管理職能部門權責，尤其要明確網絡信息安全的執法部門；完善各主管部門在維護網絡信息安全工作中的協同配合機制，明確規定各部門在中央的統一領導下，各司其職，密切配合，形成從技術到內容、從日常安全到打擊犯罪的互聯網管理合力。在法律具體條文中，要對技術管理和內容管理劃定明確的法律界限，并對不同的管理部門規定明確具體的法定職責。

（二）網絡信息安全法律責任不明，需明確危害網絡信息安全的法律責任

新的領域往往由于舊法難顧，新法未建，使得違法行為難被認定和追究。互聯網技術和應用的飛速發展，也同樣帶來了大量管理“漏洞”或“真空”。例如，一些網絡運營商將收集的信息進行大數據分析并銷售給他人，給用戶帶來巨大安全隱患。再如，當前網上非法倒賣銀行卡十分猖獗，嚴重威脅國家金融安全,但是，我國目前沒有相應的刑法罪名應對，以致于只能依據《居民身份證法》對違法使用身份證辦理銀行卡行為處以200元以下的罰款，違法成本極低，在客觀上助長了違法行為。

因此，在網絡信息安全立法中，有必要對危害國家和公共網絡安全的行為明確法律責任，為追究違法者創造法律條件。一是對于違法行為，應當相應地規定其民事責任、行政責任和刑事責任，明確各自的責任界限。二是要解決好民事責任、行政責任和刑事責任之間的銜接問題，對于尚不構成犯罪的違法行為，應當依法承擔民事責任或行政責任。三是建立移送制度，對于危害性較大且已經構成犯罪的行為，應依法移送司法機關追究刑事責任，避免“以罰代刑”。四是所有網絡運營商都有維護用戶信息安全的義務，這些義務主體在未履行保護網絡信息安全義務時，應當承擔相應的法律責任。

（三）網絡安全立法思路不清，需分別制定“網絡信息安全法”和“個人信息保護法”

進行網絡安全立法必須要明確該法的規制對象，即法律保護或懲治的對象是誰？關于我國網絡安全立法，應制定“網絡安全法”還是“信息安全法”或是其它名稱的法律，存在很大爭議。如有的學者使用“網絡安全法”的概念，研究“信息社會與網絡安全威脅”和“網絡犯罪及其控制方略”等領域的網絡問題。有的學者主張使用“信息安全法”的概念，其理由是“信息技術的應用從工商業領域已逐漸擴展到國家政治與社會生活的各個領域，信息安全也從技術和產業問題，上升到事關國家政治、經濟、文化和軍事安全等重大戰略性問題”。這些觀點各有優長和側重，也使當前網絡信息安全立法思路顯得模糊。

對于中國國情來說，網絡信息安全，首先需要解決國家安全和公共安全的問題，要將網絡信息安全上升到國家和戰略高度，沒有國家的安全，個人的安全也無法保障。因此，根據我國實際情況和需要，并借鑒西方國家的立法經驗，網絡安全立法應走分別制定“網絡信息安全法”和“個人信息保護法”的立法道路。兩部法律各有側重，“網絡信息安全法”重點保護互聯網領域的國家安全和公共安全，保護的對象既包括作為硬件設施的網絡，也包括作為內容的數據信息等；而“個人信息保護法”側重于保護公民個人的信息安全。

[page]

三、綜合立法，補全信息安全保護四個不足

（一）網絡數據存在泄密隱患，需建立網絡信息安全保障制度

網絡空間的資源分配權一直掌握在美國政府控制下的“互聯網名稱與數字地址分配機構”（ICANN）手中，從臺灣網絡資訊中心和ICANN共同簽署的入網協議內容來看，根本沒有防止監控和竊取入網國家和地區的網絡信息等安全保障方面的約定。今年，美國國家安全局發布的第一份“透明度報告”，明確承認該機構監控的對象接近9萬個。隨著“大數據”時代的到來，豐富和集中的數據更加容易被濫用或竊取,這將給我國的網絡信息安全帶來巨大隱患。

我國的網絡安全立法應建立網絡數據信息安全保護制度，依法確立“明確責任主體、完善自律機制”的原則，明確相關機構的責任邊界。規定對于網站、銀行、醫院等數據信息集中的單位，要把保護客戶信息作為一項鐵律，嚴禁濫用，嚴禁外泄。任何單位或個人不得將其在履行職責或者提供服務過程中獲得的公民個人信息，出售或者非法提供給他人。同時，依法明確規定，任何互聯網公司或組織在我國境內收集的我國公民數據信息，須存儲在我國境內，嚴禁將數據信息存儲在境外，違者要追究法律責任。

（二）網上謠言屢禁不止，需建立網絡信息安全審查制度

互聯網為網民言論自由提供了便利，與此同時，網絡的草根化、隱匿化和反主流化也成為了網上謠言等負面信息聚集和傳播的平臺。互聯網不是法外之地，在依法保障網民言論自由的同時，也要對網絡信息進行依法管理。當前，我國網絡信息內容的管理主要依靠“三駕馬車”，即公安、網信和工信三大部門，但三個部門依據的執法標準并不一致。如何在堅持我國優勢與特色的基礎上，科學借鑒高效管用的國際經驗，加強和完善互聯網內容管理，已經成為十分緊迫的政治任務和立法任務。

我國進行網絡信息安全立法，應在堅持我國管理模式的基礎上，統一執法標準，建立網絡信息安全審查制度。一是建立政府管理為主和行業自律為輔的網絡信息內容審查體制。二是理順主管部門之間的管理權限和協調配合關系，統一審查標準、明確職責分工，充分發揮事前審查、事中監控和事后懲處的三種管理職能作用。三是互聯網行業協會要制定行業自律標準，加強網絡運營單位的職業道德建設。四是網絡內容服務提供商要采用和完善進行內容審查的信息過濾技術。五是通過政府職能部門和社會組織的共同監管，維護干凈清朗的網絡環境。

（三）網絡恐怖活動猖獗，需建立反恐監控制度

當前，網絡恐怖主義等嚴重危害國家安全和公共安全的違法犯罪活動十分猖獗，將網絡作為活動場所，編造、傳播虛假恐怖信息，組織、召集、聯絡實施恐怖犯罪活動，針對計算機信息系統和數據，實施有預謀、有組織的網絡攻擊，造成了嚴重的破壞后果和巨大影響。對于網絡犯罪，單純依靠事后的法律制裁，根本無法有效打擊和預防網絡恐怖主義的違法犯罪活動，也不符合廣大人民群眾的根本利益，必須要從源頭上進行遏止和管控，依法打擊。為此，美國國會制定了一系列法律，允許政府特定機構運用特定技術手段，監視特定范圍內的信息流動及用戶活動。

為打擊網絡恐怖犯罪活動，在網絡信息安全立法中，應當建立完善有效的監控制度，依法授權國家安全機關和公安機關加強網絡監管。國家安全機關和公安機關在網絡信息安全工作中，對危害國家網絡信息安全或利用網絡實施危害國家安全、公共安全的行為，有權經過批準采取網絡技術偵察，依法行使偵查、拘留、預審和執行逮捕以及法律規定的其他職權。當然，在相關法律中應當明確規定為維護國家安全開展的網絡監聽、監視活動的主體資格和監聽、監視活動的邊界范圍，防止權力濫用。

（四）重點崗位和人員管理不嚴，需建立重點崗位和人員的特殊保護制度

我國已經建立了對信息和信息載體按照重要性等級分級別進行保護的制度，即“信息安全等級保護制度”，但該制度因缺乏法律依據，貫徹執行的情況不夠理想。當前，在互聯網領域，涉及國家安全和公共安全的重點崗位和人員的范圍不夠明確，網絡信息安全保護工作的重點不夠突出，以致于一些重點崗位的人員既缺乏網絡信息安全保護的意識，也缺少網絡信息安全的專業技能，更缺乏網絡信息安全的保護措施。

在網絡信息安全立法中，應建立重點崗位和人員的特殊保護制度。在國家機關、涉及國計民生的行業以及數據信息大量集中的互聯網企業范圍內，確定網絡信息安全保護的重點崗位和人員，明確重點崗位和人員的保密義務和責任，實施不同強度的監督管理。應根據不同崗位的工作性質，加強網絡輿情分析、網絡內容監管、網絡攻擊應對、網絡應急保障等方面的專業技能培訓，提高重點崗位和人員的網絡信息安全保護能力，堅決防治網絡泄密。