2016年11月7 日，《網(wǎng)絡(luò)安全法》正式公布。作為網(wǎng)絡(luò)安全領(lǐng)域的基本法，《網(wǎng)絡(luò)安全法》的發(fā)布引發(fā)各方高度關(guān)注。該法案以總體安全觀為指導思想，在總則部分提出國家要不斷完善網(wǎng)絡(luò)安全戰(zhàn)略，全方位提升網(wǎng)絡(luò)安全治理水平，同時在分則部分通過全面性的制度設(shè)計對總則進行細化，最終逐步實現(xiàn)對網(wǎng)絡(luò)社會治理法律體系的完善。從該法案可以看出，構(gòu)建系統(tǒng)全面的網(wǎng)絡(luò)安全法律體系已經(jīng)引起了立法機構(gòu)的重視，兼顧“監(jiān)測、預(yù)警、免責”的全面事態(tài)感知立法新模式正在逐漸形成。放眼國際，該立法模式也被越來越多的國家和組織采納。例如，2013年歐洲議會和理事會通過了《歐洲議會和理事會第2013/40/EU號指令》，將針對信息系統(tǒng)攻擊的規(guī)制擴展至事前、事中及事后的全過程，構(gòu)建出一個涵蓋事先監(jiān)測預(yù)警、事中應(yīng)急響應(yīng)、事后懲治與恢復(fù)的“三位一體”的治理框架，通過對網(wǎng)絡(luò)攻擊中各個連接要點的控制來實現(xiàn)對網(wǎng)絡(luò)攻擊的有效防范與治理。

將《網(wǎng)絡(luò)安全法》與現(xiàn)有《刑法》進行對比可以看出，在關(guān)于網(wǎng)絡(luò)攻擊治理方面，《網(wǎng)絡(luò)安全法》有了巨大的進步。

首先，《網(wǎng)絡(luò)安全法》構(gòu)建了涵蓋事先監(jiān)測預(yù)警、事中應(yīng)急響應(yīng)、事后懲治與恢復(fù)的“三位一體”的治理體系?；诰W(wǎng)絡(luò)攻擊的低成本性、隱藏性以及影響范圍廣等特征，僅僅依靠事后懲治顯然不能起到對網(wǎng)絡(luò)攻擊的威懾，更難以實現(xiàn)對網(wǎng)絡(luò)安全的保障。我國《刑法》第285條、第286條、第287條規(guī)制的行為是已經(jīng)實施的入侵計算機信息系統(tǒng)的行為，或者造成實體損害的行為，顯然其作用只是起到了對犯罪行為人的處罰，對于已經(jīng)造成的損害無法進行彌補。而《網(wǎng)絡(luò)安全法》“三位一體”的治理體系，從源頭對網(wǎng)絡(luò)攻擊進行防范，在攻擊發(fā)生時確保能夠迅速響應(yīng)與處置，將損害降至最低，最后再對犯罪行為人進行懲處。例如，第25條規(guī)定網(wǎng)絡(luò)運營者應(yīng)當制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，及時處置系統(tǒng)漏洞、計算機病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風險;在發(fā)生危害網(wǎng)絡(luò)安全的事件時，立即啟動應(yīng)急預(yù)案，采取相應(yīng)的補救措施，并按照規(guī)定向有關(guān)主管部門報告;第51條明確要求國家也要建立網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報制度。

其次，《網(wǎng)絡(luò)安全法》建立了信息共享機制，確保信息的及時、準確。習近平主席于4月19日網(wǎng)絡(luò)安全和信息化工作座談會上明確提出要建立統(tǒng)一高效的網(wǎng)絡(luò)安全情報共享機制，準確把握網(wǎng)絡(luò)安全風險發(fā)生的規(guī)律、動向和趨勢。近年來，我國在信息公開方面做出了許多努力，而《刑法》在經(jīng)過2015年第九次修訂后尚未增加網(wǎng)絡(luò)安全信息共享的內(nèi)容。《網(wǎng)絡(luò)安全法》作為網(wǎng)絡(luò)安全領(lǐng)域的基本法對該部分內(nèi)容進行了完善與補充，其中，第39條明確規(guī)定國家網(wǎng)信部門應(yīng)當統(tǒng)籌協(xié)調(diào)有關(guān)部門，促進有關(guān)部門、關(guān)鍵信息基礎(chǔ)設(shè)施運營者以及有關(guān)研究機構(gòu)、網(wǎng)絡(luò)安全服務(wù)機構(gòu)等之間的網(wǎng)絡(luò)安全信息共享。

再次，《網(wǎng)絡(luò)安全法》保護與規(guī)制的范圍較之《刑法》更加廣泛。依據(jù)《刑法》第285條第1款的規(guī)定，國家事務(wù)、國防建設(shè)、尖端科學技術(shù)領(lǐng)域是關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的重要組成部分。顯然，僅依靠這部分的安全并不能實現(xiàn)網(wǎng)絡(luò)安全真正的安全。而《網(wǎng)絡(luò)安全法》對這方面的規(guī)定就更加全面和科學。法案設(shè)立“關(guān)鍵信息基礎(chǔ)設(shè)施的運行安全”專門章節(jié)對關(guān)鍵信息基礎(chǔ)設(shè)施進行統(tǒng)一且全面的規(guī)定，其中第31條規(guī)定，國家鼓勵關(guān)鍵信息基礎(chǔ)設(shè)施以外的網(wǎng)絡(luò)運營者自愿參與關(guān)鍵信息基礎(chǔ)設(shè)施保護體系;第34條還具體明確了關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)運營者的安全義務(wù)。

最后，《網(wǎng)絡(luò)安全法》新增了漏洞披露等規(guī)定。目前，安全漏洞攻擊成為全球網(wǎng)絡(luò)安全最大的威脅之一。作為網(wǎng)絡(luò)大國的中國，也亟需提升防御能力，最大限度減少安全漏洞可能產(chǎn)生的危害。我國《刑法》僅在第285條、第286條、第287條規(guī)定了關(guān)于入侵計算機信息系統(tǒng)的犯罪，并未明確漏洞挖掘、披露等內(nèi)容。《網(wǎng)絡(luò)安全法》要求開展網(wǎng)絡(luò)安全認證、檢測、風險評估等活動，向社會發(fā)布系統(tǒng)漏洞、計算機病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等網(wǎng)絡(luò)安全信息，應(yīng)當遵守國家有關(guān)規(guī)定，并在第62條規(guī)定了相應(yīng)的懲罰責任。

可以看出，在借鑒國際經(jīng)驗、結(jié)合我國國情的情況下，在應(yīng)對各類突發(fā)網(wǎng)絡(luò)安全攻擊事件方面，《網(wǎng)絡(luò)安全法》是對《刑法》的一大突破。構(gòu)建“三位一體”治理體系，對關(guān)乎民生的重要領(lǐng)域的網(wǎng)絡(luò)安全重點保護順應(yīng)了社會的發(fā)展趨勢，其中網(wǎng)絡(luò)安全信息共享與漏洞披露更是法案的一個亮點?？紤]到《網(wǎng)絡(luò)安全法》作為網(wǎng)絡(luò)安全領(lǐng)域基本法的地位，只能從宏觀上對網(wǎng)絡(luò)安全治理進行原則上的規(guī)定，為了確保法律的效力和實施效果，還需要制定相配套的立法與之相結(jié)合，共同提升我國網(wǎng)絡(luò)安全治理水平。