我們所知的《中華人民共和國網絡安全法》是去年11月7日通過，并從今年6月1日也就是今天開始施行的。就該法律的獲準通過及其解讀，FreeBuf還曾專訪過段和段律師事務所創始人劉春泉律師，主要就其對企業安全可能產生的影響做了相對深入的解讀。

路透社先前發表的評論文章中援引了美國商會主席James Zimmerman的話，他認為中國的這項法律“模糊，曖昧，監管機構完全可以對其進行各種解讀”；不過我們知道，《網絡安全法》是中國第一部有關網絡安全的基礎性、“大綱性”的法律，劉春泉律師就曾說過它“仍需完善”，但至少中國朝著網絡安全進行了重要的一步邁進。

值此《網絡安全法》施行之際，我們再行梳理相關這部法律的更多信息，期望通過下面這5個問題，讓所有關心《網絡安全法》的各位清楚，這部法律對我們每個人、企業組織和各種不同的角色而言意味著什么？

　　《網絡安全法》究竟在說什么？

就網絡安全法的內容來說，先前各類文章都已經說得很明確，如果你不愿意看《網絡安全法》全文，那么全國人大常委會法工委經濟法室副主任楊合慶早前的總結就已經比較到位。這部法律比較明確的是6個亮點：

網絡安全法明確了網絡空間主權的原則；

明確了網絡產品和服務提供者的安全義務；

明確了網絡運營者的安全義務；

進一步完善了個人信息保護規則；

建立了關鍵信息基礎設施安全保護制度；

確立了關鍵信息基礎設施重要數據跨境傳輸的規則。

以上的每個部分都有相應的內容，比如大眾媒體普遍更關注個人信息隱私保護問題在《網絡安全法》中的體現。中國日報在評論文章中提到《網絡安全法》帶來的第一個好處就是個人信息不再“裸奔”，這是個人信息保護制度帶來的變化。

再比如該法明確了網絡是國家主權范圍，需要進行管轄。明確網絡空間主權至少已經從最基礎的層面提出國家對網絡空間行使權力的問題。如第七十五條，“境外的機構、組織、個人從事攻擊、侵入、干擾、破壞等危害中華人民共和國的關鍵信息基礎設施的活動，造成嚴重后果的，依法追究法律責任…”

網絡產品和服務提供者的安全義務，以及網絡運營者的安全義務都是對企業安全提出的要求，或者說對互聯網及有互聯網業務的企業而言提出了基本的安全需求。比如對企業安全資質、內部技術、安全制度作具體規定。

而“關鍵信息基礎設施保護制度”，目的是為了保證涉及國家安全、國計民生、公共利益的信息系統及設施的安全。這里的“關鍵基礎設施”范圍尚未劃定，網信辦還在研究制定指導性文件與標準，為不同的行業領域明確關鍵信息基礎設施的具體范圍。這類數據的跨境傳輸自然也需要作相應規定。

　　真的能解決網絡安全問題嗎？

有關這個問題，在我們先前和劉春泉律師的采訪中已經相對詳細地探討過。當時我們就提到《網絡安全法》是個基礎性質的法律，而且它具有一定的偏向性。配合《網絡安全法》的另一套“組合拳”還在緊張的籌備中。

前文提到“關鍵基礎設施”的時候就聊到，這個概念的范疇在《網絡安全法》中并沒有明確，但網信辦正在對此進行研究，從事標準與文件的制定。實際上，中國經濟網昨天的消息提到，有關部門正在研究起草相關制度文件，包括關鍵信息基礎設施保護辦法、個人信息和重要數據出境安全評估辦法、網絡關鍵設施和網絡安全專用產品目錄等。這些實際上都是更為具體的，用于對《網絡安全法》的具體施行作補充的內容。

到目前為止，《網絡產品和服務安全審查辦法（試行）》的配套制度文件已經公開發布；國家標準化部門還在抓緊組織制定《個人信息安全規范》等標準。所以《網絡安全法》從來就不是孤立的、靜態的。

比如“關鍵基礎設施”無論在哪個國家的各行業都是相當復雜的，也是后續需要完善和調整的。所以《網絡安全法》從來不是一紙空文，或者說它為后續更多工作的開展提供了基礎。

法新社在最近的一篇評論文章中援引耶魯法學院中美關系專家Graham Webster的話：“很顯然，其管理制度正在發展，而且并不是像一盞燈一樣在6月1日進行一次簡單的開關。”中國“正與許多國家一樣，針對面臨的合法化問題和挑戰進行角力。即便有種種警示和含糊不清的問題，但都是期望讓它往好的方向發展。”

實際上，《網絡安全法》的制定從開展調查、確定立法思路起草草案大綱、擬訂主要制度和初步方案、征求不同部門意見，再到草案初稿、修改并形成草案——這些過程都是為解決具體問題而作的，包括現在仍在進行的各項規則、標準和文件制定工作。

　　除了《網絡安全法》，你知道還有一波新規也從今天開始施行嗎？

如前所述，配套和相關法律法規都會相繼到來。可能很多人并不知道6月1日起開始施行的并不只是《網絡安全法》。如果就相關網絡安全的內容來談，實際上還有部分法律法規也在今天起實施。包括：

《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》：《刑法》中提到侵犯公民個人信息罪的入罪要件是“情節嚴重”，而這則解釋就明確了什么是“情節嚴重”，包括行蹤軌跡信息、內容信息、征信信息、財產信息——非法獲取、出售或提供50條以上即為情節嚴重。

《網絡產品和服務安全審查辦法（試行）》：著力于提高網絡產品和服務安全可控水平。

《互聯網新聞信息服務許可管理實施細則》等。

對個人和企業而言意味著什么？

這主要是值得企業作大量研究的問題，尤其是對企業安全做出更為具體的要求和規定。劉春泉律師說過：

“《網絡安全法》比較側重于企業安全，比如企業應該怎么去保護信息、怎么去保護網絡安全等。”“《網絡安全法》頒布之后，企業需要重視自己的安全建設。”

此后企業有了更具體的義務和責任去維護網絡安全，并對用戶和客戶負責。比如其中第二十一條，網絡運營者應當制定網絡安全事件應急預案，及時處置系統漏洞、計算機病毒、網絡入侵、網絡攻擊等安全風險；在發生危害網絡安全的事件時，立即啟動應急預案，采取相應補救措施，并按照規定向有關主管部門報告。

再比如從第三十三條，至第三十八條針對關鍵信息基礎設施運營者所做的規定（如關鍵信息基礎設施運營商應當自行或委托網絡安全服務機構對其網絡安全性和可能存在的風險每年至少進行一次檢測評估，并將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門），具有相當的強制性——在法律責任部分明確提到若不履行這些規定，則由有關主管部門責令整改、給予警告；拒不改正或導致危害網絡安全等后果的，處十萬元以上一百萬元以下罰款，而且還對直接負責的主管人員除以一萬元以上、十萬元以下罰款。

這些都是值得企業組織去認真學習與核對的。總的來說，是對企業安全資質和制度、內部技術做了規定，如果達不到法律的要求，網絡服務提供者將無法開展服務，甚至對不具備法律要求安全技術能力的企業可吊銷證照。

至于個人，前文提到的個人信息保護大約是《網絡安全法》的重頭戲了。比如其中明確網絡產品、服務具有收集用戶信息功能的，其提供者應當向用戶明示并取得同意；網絡運營者不得泄露、篡改、毀損其收集的個人信息；任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息，并規定了相應法律責任。

還有《網絡安全法》以法律的形式對網絡實名制做出了規定，若不提供真實身份信息，網絡運營者將不能為其提供相關服務。這對個人用戶而言也是需要關心的。

　　是否會對國外企業造成不公平待遇？

在去年《網絡安全法》通過之際就有不少國外媒體提到，這對身在中國的外企而言是個壞消息。這可能也是《網絡安全法》的一個聚焦熱點，除了境外機構、組織、個人從事攻擊、侵入、干擾、破壞等危害中華人民共和國關鍵信息基礎設施的活動，造成嚴重后果需要依法追究法律責任，其中還有一條提到關鍵信息基礎設施運營者在中華人民共和國境內收集產生的個人信息和重要數據應當在境內存儲。

澎湃新聞在針對國家互聯網信息辦公室網絡安全協調局的采訪中，有關負責人就提到這項規定是對關鍵信息基礎設施運營者提出的要求，而非所有網絡運營者；而且也并不針對所有數據，僅限個人和重要數據；需要出境的數據，經過安全評估認為不會危害國家安全和社會公共利益的是可以出境的；經過個人信息主體同意的個人信息也可以出境（比如撥打國際電話、發送國際電子郵件、跨境購物都視為個人信息主體同意）。

而已經發布的《網絡產品和服務安全審查辦法（試行）》對可能影響國家安全的產品和服務進行安全審查，并不針對特定國家地區，也沒有國別差異，目的是提高網絡產品和服務的安全可控水平，維護國家安全與公共利益。

總的來說，《網絡安全法》的部分職責是維護國家網絡空間主權和國家安全、社會公共利益，保護公民、法人和其他組織的利益，“而不是要限制國外企業、技術、產品進入中國市場，不是要限制數據依法有序自由流動”。

《網絡安全法》的意義已無需多言，這是國內針對安全的立法向網絡安全強國看齊的重要一步，即便它尚無解決所有網絡安全問題的可能，卻依舊是個很好的開始，而且是從今天開始。