備受關注的網絡安全法草案在十二屆全國人大常委會第二十一次會議上迎來第二次審議。

《人民日報》報道稱，草案二審稿進一步強化國家的責任和公民、組織的義務，加強關鍵信息基礎設施保護，協同推進網絡安全與發展，切實維護國家網絡主權、安全和發展利益。

中國互聯網協會互聯網法治工作委員會委員丁道勤介紹，草案建立了關鍵信息基礎設施安全保護的三大制度：關鍵信息基礎設施運行安全保護制度、重要數據境內留存，以及網絡產品和服務的安全審查制度。

相比于一審稿，草案在安全保護的主體、范圍、措施等方面均進行了“擴容”。值得注意的是，草案二審稿在強調關鍵信息基礎設施保護的同時，大量增加了數據安全保護的內容，并同時提出了對個人信息泄露的防護。

關鍵信息基礎設施保護措施增加

我國面臨的網絡安全形勢正日益嚴峻。6月22日舉行的2016中國網絡安全論壇上，工信部網絡安全管理局副局長李學林介紹，“針對工業控制系統和重要信息系統的高級持續威脅等網絡攻擊愈演愈烈，應用軟件、供應鏈、智能聯網設備等安全問題開始顯現。”

而在互聯網用戶層面，近日發布的《中國移動互聯網發展狀況及其安全報告（2016）》介紹，2005-2015年，移動互聯網惡意程序數量逐年增加，特別到2012年之后，惡意程序數量呈現爆發式增長趨勢。2015年新增的移動惡意程序數量超過147萬，較2014年同期增長54.7%。

網絡安全法草案力圖從立法層面制定應對規范。草案一審之后，中國人民大學網絡犯罪與安全研究中心推出了一份建議稿，其中明確提出建立11項網絡安全基本制度。

研究中心秘書長謝君澤介紹，這些制度包括數據境內存儲制度、關鍵數據加密備份制度、網絡安全事件追溯制度、網絡安全持續改進制度、網絡信息公開制度、網絡安全公私合作制度、網絡安全國際合作制度等。

這些制度中的部分內容出現在草案二審稿中。比如，二審稿增加規定，國家鼓勵關鍵信息基礎設施以外的網絡運營者自愿參與關鍵信息基礎設施保護體系。

二審稿還增加規定，網絡運營者留存網絡日志不得少于6個月；網絡運營者對有關部門依法實施的監督檢查應當予以配合。

上述精神已體現在一些管理規范中。國家網信辦6月28日發布移動互聯網應用程序（APP）管理規定，就要求APP提供者記錄用戶日志信息，并保存60日。

6月27日，全國人大法律委員會副主任委員張海陽作草案修改情況匯報時稱，擬增加多項促進網絡安全和發展的支持措施，包括國家推進網絡安全社會化服務體系建設，鼓勵企業、機構開展網絡安全認證、檢測和風險評估等服務；支持創新網絡安全管理方式，運用網絡新技術，提升網絡安全保護水平等。

重視數據安全和信息保護

對于關鍵信息基礎設施中數據安全保護的重視，鮮明地體現在草案二審稿中。

“電信和互聯網企業收集處理大量用戶個人數據、生產運行數據、政務數據等重要數據，面臨著很大的安全挑戰。信息竊取、數據泄露等事件時有發生，網絡數據安全和用戶信息保護形勢日趨嚴峻。”工信部網絡安全管理局副局長李學林在2016中國網絡安全論壇上說。

草案一審稿規定，關鍵信息基礎設施中的“公民個人信息等重要數據”要境內留存，二審稿則改為“公民個人信息和重要業務數據”，這比一審稿的規定更加明確。

張海陽在6月27日作匯報時介紹，草案擬增加的促進網絡安全和發展的支持措施還包括，國家鼓勵開發網絡數據安全保護和利用技術，促進公共數據資源開放，推動技術創新和經濟社會發展。

對于草案鼓勵的政府數據開放，一位要求匿名的工信部政策研究人員認為，“統一集中開放數據需要有關部門統籌組織建設網站，為了保障網站安全，要嚴禁未經授權的訪問、上傳和更改數據，并定期銷毀原始數據。此外，還要綜合運用技術手段對網站進行監控。”

二審稿還增加規定，國家網信部門和有關部門在關鍵信息基礎設施保護中取得的信息，只能用于維護網絡安全的需要，不得用于其他用途。

中央財經大學法學院副院長吳韜也認為，在不損害相關主體的合法權益和公共利益的前提下，政府持有的數據應當公開共享，不得有償轉讓。

網絡實名制確立之后，對個人信息的保護成為題中之義。丁道勤介紹，草案一審稿在堅持全國人大常委會《關于加強網絡信息保護的決定》的基礎上進一步完善了相關制度，主要包括個人信息收集規則，處理規則、信息泄露通知，刪除更正權及不受竊取、非法獲取、出售或非法提供權。

張海陽在6月27日作匯報時還指出，二審稿擬增加大數據應用必須對公民個人信息進行匿名化處理的規定，進一步明確公民個人信息使用規則。

在6月22日舉行的2016中國網絡安全論壇上，中國計算機學會計算機安全專委會副主任程琳介紹，“網絡安全法草案公開征求意見后，有些部門對一些條款的看法不一致。”程琳建議，“如果大原則不影響，應該盡快出臺，隨著形勢的發展，我們可以不斷地完善和修繕。”

值得注意的是，國家安全領域的基礎性法律《國家安全法》就是在二次審議后，馬上在下一次全國人大常委會會議上三審通過。

程琳就在上述論壇上表示，今后可以根據《網絡安全法》制定相關的專門法律，以解決目前存在的重大和緊迫問題，其中他就建議制定網絡社會個人信息隱私保護法。