筆者認為要靠設立適當的規則引導企業自身做合規，確保網絡安全，而不能靠禁止行為的列舉，來杜絕威脅網絡的行為。

從最近關于《網絡安全法（征求意見稿）》的大討論來看，由于對互聯網種種紛繁復雜現象的不滿甚至是恐懼，很多人都有意無意地將網絡安全泛化，將網絡謠言、網絡犯罪、個人信息過度收集與濫用、涉及網絡管理的部門職權劃分、國家信息安全產業發展戰略等凡是與廣義的網絡安全沾邊的事情，都寄望通過這部網絡安全法來予以解決，這顯然是一部《網絡安全法》無法承受之重。

傳統社會也有很多問題，但任何國家都沒有一部《傳統社會安全法》來作為解決問題的靈丹妙藥。因此，恐怕首先要分析清楚我們面臨哪些網絡安全問題，哪些是需要也可以通過立法來解決的？更為重要的是，這部法律靠什么來確保網絡安全？

我國現在面臨哪些網絡安全問題

我國面臨的網絡安全主要有三個方面：

首先是核心技術與網絡規則不掌握，也就是技不如人的問題。

互聯網的基礎設施包括軟件、硬件和游戲規則全都仰人鼻息。芯片等高端制造業落后，沒有成熟商業化的操作系統等基礎軟件，萬一出現極端情況，會不會發生被“掐脖子”，以及有沒有人利用底層技術便利已經收集了我國的個人信息等各種信息，竊聽和備份我們的電子郵件等網絡通信內容？恐怕很難說。這是我國網絡安全最大的隱憂。但這些問題主要得靠發展來追趕，以及隨著國家和產業實力的增強，可以增強互聯網規則的話語權。立法可以通過設立網絡產品和服務的安全審查制度，一定程度上達成預防在先，但立法解決不了科技從無到有的問題。雖然存在絕對的網絡安全，但也只有網絡核心技術實力旗鼓相當，網絡安全才具有平等對話的基礎。

其次是與所有國家一樣，我國的信息網絡存在被黑客、惡意軟件等攻擊，以及由于災難、事故等各種原因導致的斷網、停電、影響國計民生的公用事業和服務等。存在于太空的衛星通信網絡，也隨著互聯網發展存在安全隱患。

這是網絡安全法所應當關注和預防解決的重點問題，也是各國都重點關注的網絡安全問題，立法予以規制無可厚非，關鍵是要多聽取相關專家的意見并將技術需求進行法律“翻譯”，以確定究竟怎么做才更科學、更有效。

目前征求意見稿對于交通、能源、軍政網絡等安全方面的規定，已經體現出了較為深刻的認識，但從具體業務層面探討，似乎仍不乏可以提高的空間，比如網絡安全等級保護雖然的確是我國行之有效的網絡安全保障制度，但并不是唯一的，也不能排除隨著情況變化可能出現新的更好的做法。所以，肯定等級保護制度是對的，但也要為其他網絡安全保障措施預留法律空間。

第三是跨國網絡攻擊行為的司法管轄與規制，這是網絡無邊界與國家主權之間的沖突帶來的問題。如果其他國家、地區和組織對中國公民和企業采取非正常法律行動的，我國可以采取對等措施嗎？這在目前的網絡安全法征求意見稿中沒有看到，是否有必要和可行？希望立法部門予以研究。

即使是的確事關網絡安全的長遠戰略問題，是放在網絡安全法立法里面規定，還是放在國務院部門的戰略規劃文件中規定？這也值得深入研究與探討。

作為一名一線法律實務工作者，與無數法官、檢察官等法律人一樣，筆者常常在遇到具體業務問題時，為某些宣言式立法的條文粗疏而頭痛不已。網絡安全產業戰略規劃是國家行為，而“法律”是調整人與人之間社會關系的行為規范，網絡安全戰略問題的確重要，但戰略問題需要隨著情況變化而經常調整，法律卻必須盡量作前瞻性規定以確保穩定性和可預見性，因此是否由國務院或相關部委發布更為合理？立法也是一種資源，我們需要騰出時間精力研究出一些更得力的措施，來提高我們網絡安全法的實踐針對性與可操作性。

靠什么確保網絡安全

最后，最為關鍵的問題是，我們靠什么來確保網絡安全呢？筆者認為要靠設立適當的規則引導企業自身做合規，確保網絡安全，而不能靠禁止行為的列舉，來杜絕威脅網絡的行為。

因為列舉總是難免掛一漏萬，何況網絡發展日新月異，今天的列舉前瞻性再強，恐怕過不了多久又會成為明日黃花，難堪大用。

從目前征求意見稿中，我們看到“法律責任”一章規定罰款最多為50萬元，筆者并不贊成過度擴大行政機關的權力，但無論50萬元還是5000萬元罰款，對于威脅互聯網安全的大企業來說，都是不足以震懾它們的。筆者建議增加民事賠償責任，增設對惡意威脅我國網絡安全的企業限制市場準入甚至下達永久禁令，主要目的在于通過較大的經濟風險，讓企業不敢拿自己的利益對賭我國有沒有能力發現它們的惡意預留漏洞；對于侵犯公民個人信息權等行為，建議設立遞進式懲罰性民事賠償制度，即只要有生效法律文書確定違法侵權行為成立，而被告又拒不改正的，法院可以逐次遞增擴大懲罰性賠償的判賠金額。

這樣，既可以保證不會對正常守法企業造成過重負擔，又會對惡意違法的企業形成較大經濟賠償風險，從而倒逼企業合規與守法。