《網絡安全法》的出臺，無疑順應了網絡空間安全化、法治化的發展趨勢，對國內網絡空間治理有極為重要的作用。但作為網絡空間安全法律體系的重要起點，《網絡安全法》也只是開了個好頭，接下來，關于民事侵權責任、個人信息保護、軟硬件市場準入、行業自律規范等多方面的完善，還需要很長一段時間

自2017年6月1日起，中國網絡安全迎來新的時代。

當天，備受關注的《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）正式開始實施。以往中國互聯網行業在安全方面的諸多積弊，或將嚴格規范。

中國互聯網行業發展迅猛，監管的步伐始終難以跟上行業發展速度。而網絡安全是個多元化的命題，涉及個人信息保護、企業商業安全、監管體系的建立、立法和司法的逐步完善等。

《網絡安全法》的實施，僅是開了個好頭，接下來，法律如何完善實施、監管如何進一步有效協調、對于違法行為如何有效地懲戒，亦是網絡安全現狀能否真正得到改善的重要舉措。從這一角度來看，《網絡安全法》實施之后，仍有很多問題需要逐步厘清。

“安全可控”是立法本意

“《網絡安全法》的頒布，其立法本意是要在我國領域內推廣‘安全可控’的產品和服務。”上海漢盛律師事務所高級合伙人李旻律師在接受《法人》記者采訪時表示。

“安全可控”包含著三方面的意思：首先，在于“產品的安全可控”，即禁止網絡服務提供者通過網絡非法控制和操縱用戶設備，損害用戶對設備和系統的控制權；其次，在于“數據的自主可控”，即禁止網絡服務提供者利用提供產品或服務的便利條件非法獲取用戶重要數據，損害用戶對自己數據的控制權；最后，在于“用戶的選擇可控”，即禁止服務提供者利用用戶對其產品和服務的依賴性，限制用戶選擇使用其他產品和服務，損害用戶的網絡安全和利益。

在李昱看來，本次立法亮點頗多。

例如，《網絡安全法》前所未有地提出了網絡空間主權概念，豐富了我國享有的主權范圍，其將網絡空間主權視為我國國家主權在網絡空間中的自然延伸和表現。將網絡空間的概念上升為國家主權，更有利于保障我國合法網絡權益不受他國或國外組織的侵害。一切在我國網絡空間領域內非法入侵、竊取、破壞計算機及其他服務設備或提供相關技術的行為，都將被視作是侵害我國國家主權的行為。

《網絡安全法》還確立了網絡安全等級保護制度，將網絡安全分為五個等級，隨著級別的增高，國家信息安全監管部門介入的強度越大，以此對信息系統安全保護起到監督和檢查。

實名認證制度則是本次立法的另一大亮點。《網絡安全法》規定了網絡服務經營者、提供者及其他主體在與用戶簽訂協議或者確認提供服務時應當采取實名認證制度，包括但不限于網絡接入、域名注冊、入網手續辦理、為用戶提供信息發布、即時通信等服務。

實務中，這一制度靈活性及可操作性較強，可采取前臺匿名，后臺實名的方式進行。但是，實名認證的工作必須落實到位，若不實行網絡實名制的，則最高可對平臺處以50萬元的罰款。

此外，本次立法還確立了關鍵信息基礎設施運營者采購網絡產品、服務的安全審查制度。《網絡安全法》對提高我國關鍵信息基礎設施安全可控水平提出了相關法律要求，并配套相繼出臺了《網絡產品和服務安全審查辦法（試行）》（該《辦法》與《網絡安全法》均于2017年6月1日起生效），明確了關系國家安全的網絡和信息系統采購的重要網絡產品和服務，對網絡產品和服務的安全性、可控性應當經過網絡安全審查。涉及國家安全、軍事領域等產品及服務的采購，若可能影響國家安全的，應當經過國家安全審查。

與此同時，新法還要求建立安全認證檢測制度。針對網絡關鍵設備和網絡安全專用產品，規定應當按照相關國家標準的強制性要求，由具備資格的機構安全認證合格或者安全檢測符合要求后，方可銷售或者提供。

本次立法還確立了網絡通信管制制度。網絡通信管制制度的確立目的是在發生重大事件的情況下，通過賦予政府行政介入的權力，犧牲部分通信自由權，來維護國家安全和社會公共秩序的制度。該做法是國際通行做法，例如在發生暴恐事件中，可切斷不法分子的通聯渠道，避免事態進一步惡化，保障用戶的合法權益，維護社會穩定。

但是這種管制影響是比較大的，因此《網絡安全法》嚴謹地規定實施臨時網絡管制，要經過國務院決定或者批準。一般來說，網絡通信管制制度的實施是短時性的，一旦事件處置結束，政府會立即恢復正常通信，以盡可能小的對地人通信帶來不便。

除以上幾點之外，《網絡安全法》還在重要數據強制本地存儲制度、境外數據傳輸審查評估制度、個人信息保護制度、個人信息流通制度等方面，進行了相應規范。

個人信息保護難題待解

作為我國網絡安全治理領域的基礎性立法，《網絡安全法》首次在法律層面規定了個人信息保護的基本原則，明確指出，收集適用信息應經用戶明示同意，不得收集無關信息，不得向他人提供個人信息，經過處理無法識別特定個人且不能復原的除外，不得非法出售個人信息。

所謂個人信息包括兩類，一類是姓名、住址等基本信息；另一類是賬戶、密碼等交易類信息。隨著互聯網應用的普及和人們對互聯網的依賴，互聯網的安全問題也日益凸顯。惡意程序、各類釣魚和欺詐繼續保持高速增長，同時黑客攻擊和大規模的個人信息泄露事件頻發，與各種網絡攻擊大幅增長相伴的，是大量網民個人信息的泄露與財產損失的不斷增加。

北京郵電大學互聯網治理與法律研究中心副主任崔聰聰在接受《法人》記者采訪時表示，《網絡安全法》在明確收集和利用個人信息應遵循合法、正當和必要原則的基礎上，進一步細化了個人信息收集、處理、利用和傳輸的條件，細化了收集人的安全保障義務，通過賦予權利人知情同意、更正權和刪除權等強化了個人的權利，特別是匿名化處理的規定，有效地平衡了個人信息安全和產業發展之間的沖突。

而在電商領域，由于用戶在各大電商網站注冊、購物導致的個人信息泄露事件時有發生。據中國電子商務研究中心對1000位用戶在線調查顯示，21.7%的用戶曾因網購、論壇、微信等遭遇過信息泄露，并且11.2%的用戶接到過疑似的詐騙電話；56.8%的用戶表示對互聯網信息安全擔憂，并會對要填寫個人信息的互聯網游戲，注冊等保留一定的戒心，而仍有43.2%的用戶認為互聯網信息泄露與個人無關，不太關注。

另據中國互聯網協會《中國網民權益保護調查報告2016》顯示，近一年的時間，國內6.88億網民因垃圾短信、詐騙信息、個人信息泄露等造成的經濟損失估算達915億元。54%的網民認為個人信息泄露情況嚴重，84%的網民曾親身感受到因個人信息泄露帶來的不良影響。

據中國電子商務研究中心監測，絕大多數新型的網絡騙術都與個人信息的泄露有關，他們或者是充分利用已經竊取到的受害者個人信息實施網絡詐騙，或者就是以受害者的個人信息為網絡詐騙的攻擊目標，個人信息的非法交易也恰恰是造成網絡詐騙犯罪泛濫的根本原因。

“用戶信息泄露有多種可能性途徑，互聯網信息泄露隱形風險重重。現在很多網民擁有多個賬號，注冊時網站一般都要填寫一些個人信息，如常見的賬號、密碼、郵箱等，有的網站甚至要實名認證。”中國電子商務研究中心主任曹磊在接受《法人》記者采訪時表示。

信息泄露帶來的危害毋庸置疑，那么如何保護用戶的個人信息安全？曹磊給出了四點建議：

首先，網站用戶信息泄露必須提防多種可能性途徑。現在許多APP、網站、公眾號、小程序都需要用戶注冊賬號后才能正常使用。因此，每個網民擁有多個賬號是很平常的事情。在注冊時，網站一般都要填寫一些個人信息，如常見的賬號、密碼、郵箱等，像一些電子商務、婚戀、交友網站等還需要實名認證，要求填寫的信息更加詳細。

而平臺上的用戶數據泄露主要有以下幾種方式：黑客利用平臺存在的安全漏洞入侵網站，盜取用戶數據庫；網站內部工作人員倒賣用戶信息；通過撞庫攻擊，竊取用戶數據；利用釣魚攻擊竊取用戶信息；通過木馬、病毒竊取用戶隱私信息。

其次，法律條文應細化，相關部門應適時介入。我國關于網絡信息安全方面的法律條文不夠明確，適用范圍尚且不夠精準，相關條文必須得到進一步細化、規范，以此更加公平、公正地懲治網絡信息安全事故的造成者，保護公民切身利益。此類信息泄露事件不適用“不告不處理的”的原則，相反，執法部門應主動積極介入案件調查，并對實施者進行追責處理。

再次，信息安全無小事，用戶必須增強信息保護意識。警惕要求重新輸入賬號信息，否則將停掉信用卡賬號之類的郵件，不要回復或者點擊郵件的鏈接，以免落入圈套。同時，避免開啟來路不明的電子郵件及文件，安裝殺毒軟件并及時升級病毒知識庫和操作系統補丁，將敏感信息輸入隱私保護，打開個人防火墻。

在使用網絡銀行時，選擇使用網絡憑證及約定賬戶方式進行轉賬交易，不要在網吧、公用計算機上和不明的地下網站做在線交易或轉賬。不要在多個網站使用相同的注冊賬戶名以及登錄密碼，防止網絡黑客有意盜取，造成多個網站個人信息的連環失竊。

最后，要求網站平臺收集和使用用戶信息應當遵循“合法、正當、必要”三原則。對收集到的用戶信息應當采取安全保護措施，一旦發生泄密，必須及時采取補救措施，否則可能面臨行政處罰或者用戶的訴訟。

違法懲處力度加大

伴隨著《網絡安全法》的實施，有關違法行為懲處的力度也在相應加大。與《網絡安全法》同于6月1日實施的《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》明確規定，非法獲取、出售或者提供行蹤軌跡信息、通信內容、征信信息、財產信息等個人信息50條以上的，即構成犯罪，對掌握公民個人信息的內部工作人員泄露公民個人信息將從重處理。

本次立法還明確了網絡運營者的相應責任，如第四十二條規定，網絡運營者不得泄露、篡改、毀損其收集的個人信息；未經被收集者同意，不得向他人提供個人信息。

針對當前通信信息詐騙特別是新型網絡違法犯罪呈多發態勢，《網絡安全法》增加了懲治網絡詐騙等新型網絡違法犯罪活動的規定，即任何個人和組織不得設立用于實施詐騙，傳授犯罪方法，制作或者銷售違禁物品、管制物品等違法犯罪活動的網站、通信群組，不得利用網絡發布與實施詐騙，制作或者銷售違禁物品、管制物品以及其他違法犯罪活動有關的信息。

“《網絡安全法》明確了利用網絡實施詐騙以及為網絡詐騙提供幫助或者便利條件的法律責任。”北京郵電大學互聯網治理與法律研究中心副主任崔聰聰告訴《法人》記者，《網絡安全法》從立法伊始就將個人信息保護列為了應重點解決的問題之一，切中了當個人信息泄露亂象的要害，同時結合刑法修正案九的相關規定，進一步加大了對違法收集、濫用個人信息行為的打擊力度。

中國電子商務研究中心法律權益部分析師姚建芳對《法人》記者總結了信息泄露的三種原因：擁有個人信息資料的商業機構被外部竊取或內部泄露；技術漏洞所致，造成用戶大量隱私內容曝光；用戶個人由于信息保管不當，被不法分子獲得等。

姚建芳認為，保護個人信息，僅靠企業的技術手段遠遠不夠，根據業界掌握的情況，很多互聯網用戶個人信息泄露事件都是一些企業內部員工泄露導致的。因此，企業加大對內部員工的管理、承接至關重要，還可以出臺“黑名單”機制，各電商、互聯網公司聯網，一次犯罪，各家平臺乃至全行業永不錄用。

部分外企或受影響

《網絡安全法》在數據存儲和境外數據傳輸等方面亦做出規范，這也引發了不少企業尤其是外資企業的擔憂。

其一是重要數據強制本地存儲制度。該制度主要調整的是關鍵信息基礎設施運營者在收集個人信息重要數據的合法性問題，規定了要強制在本地進行數據存儲。

其二是境外數據傳輸審查評估制度。本地存儲的數據若確屬需要數據轉移出境的，應同時滿足以下條件：1 .經過安全評估認為不會危害國家安全和社會公共利益的；2 .經個人信息主體同意的。另外，該制度還規定了一些法律擬制的情況，比如，撥打國際電話、發送國際電子郵件、通過互聯網跨境購物以及其他個人主動行為，均可視為已經取得了個人信息主體同意。

此兩項新規被認為主要針對的行業包括金融、交通、醫療保健、公用事業和通信。其中，要求在中國境內的企業運營中收集和產生的公民個人信息和重要的業務數據，應在中國境內存儲，亦引發一定爭議。

“受影響比較大的首先是國內外的網絡運營商，以及網絡產品和服務的供應商，如電信、TI等行業。”一位外企安全專家在接受《法人》記者采訪時強調，這將影響在中國經營的部分外資公司，特別是使用其自有的全球基礎設施和信息技術資源在中國經營業務的公司，因為在中國收集的原始數據，包括業務數據和客戶數據，一般都直接存儲在物理位置位于海外的數據中心或服務器上。

鑒于此，很多在中國開展業務的外資企業，必須開始調整相關布局，將存儲于中國境外的電子郵件服務器等調整至境內，提前規劃重新建設其基礎設施以符合新法的要求。

此外，一些外資企業還對新法中的相關內容提出了質疑。如一些美國企業認為，《網絡安全法》中要求分享原代碼或者公布產品一些設計細節的內容，可能會傷害技術革新，泄露企業的商業機密。

不過在該位專家看來，目前新法剛剛實施，且在實施之前已經留出相當的緩沖時間，一些行業中的企業已經開始積極調整業務模式，以應對法律的規范。對很多外資企業來說，目前仍處于學習、了解新法的過程。

“立法的初衷是倡導建立一個統一的安全標準，目的是保護所有網絡用戶的安全。其不只是針對國外企業，所有相關的企業都會涉及。而且不僅中國有類似的法律，國外很多地方早已有類似的法律。”該專家告訴《法人》記者。

而在崔聰聰快看來，基于國家安全和保護用戶權益的需要而對數據跨境流動進行管理，不會成為也不應該成為國際貿易的障礙，也不是所謂的數字貿易壁壘，更不會影響公司的競爭力。

2013年6月，美國“棱鏡計劃”被曝光，造成各方對當前國際互聯網治理安排缺乏信任，各國數據本地化立法數量逐漸增加，并強化了對數據跨境流動的管理，如俄羅斯、韓國、澳大利亞、印度、阿根廷、土耳其、印度尼西亞、馬來西亞等國通過修法或制定新的法律強化對數據跨境的監管。

“規范與限制數據出境的目的在于保障數據信息免受未經授權的訪問、使用、披露、破壞、修改和銷毀等，同時防止數據被惡意使用威脅國家安全、社會公共安全和個人安全。”崔聰聰說，對中國的立法，既要看到數據本地化、境內存儲的要求，也要看到符合法定條件后可以出境的規定。所以中國網絡安全法的規定，兼顧了產業發展與國家安全、社會公共安全以及個人權益，在發展與安全之間取得了很好的平衡。

細則仍待完善

《網絡安全法》的出臺，無疑順應了網絡空間安全化、法治化的發展趨勢，對國內網絡空間治理有極為重要的作用。

不過，盡管是網絡空間安全法律體系的重要起點，《網絡安全法》也只是該法律體系的一個組成部分。下一步，《網絡安全法》從開始實施到完善落實，還需要一定的過渡期。除此之外，新法內的一些具體規定要具體“落地”，還有一些配套措施要完善。

“《網絡安全法》是網絡安全的基本法，為今后我國構建完整全面系統的網絡安全法律體系奠定了基礎。”遼寧亞太律師事務所董毅智律師在接受《法人》記者采訪時表示，如何權衡安全與發展之間的關系，將是未來該法實施的重大挑戰。

董毅智認為，我國互聯網產業能夠在國際上實現跨越式發展，實現彎道超車，確實因為前20年相對寬松的監管環境。而今《網絡安全法》的實施，必然會產生安全與發展的矛盾，如何尋找切和點，真正實現互聯網安全的法治，需要一個比較長的周期去觀察。

“還應該呼吁和強調執法問題，任何立法的最終價值體現在執法層面，如何順應民意，在監管上實現高超的技術，利用互聯網的特色，將是一個不斷考量人性弱點的歷程，需要每個網民關注。”董毅智告訴《法人》記者。

目前來看，《網絡安全法》雖是網絡安全領域的根本大法，但在實施中仍有很多細節問題要解決。比如網絡實名制問題，到現在還沒有徹底落實，在技術上、監管主體及網站責任等方面，尚未形成統一標準。

因此，《網絡安全法》的落地，需要相關實施細則以及包括《個人數據保護法》等在內的其他法規的“配合”，網民協議制度、行業自律規范、技術能力等也都要跟上。

與此同時，在今后的實踐中，應處理好《網絡安全法》與一些相關法律法規的關系，如民事侵權責任、個人信息保護、軟硬件市場準入等相關法律法規，在保障網絡安全的同時，避免在法律適用等環節出現問題。

作為新興領域，中國互聯網行業發展迅猛，一些新的問題與瓶頸不斷產生，亦對監管部門提出了更高的要求。從這一角度來看，監管部門也應加強自身建設，適應飛速發展、變幻萬千的網絡安全監管特征，在立法不斷完善的同時，提高執法水平。無論如何，網絡空間不是法外之地。

（本刊記者肖岳對此文亦有貢獻）