近年來，隨著互聯網技術的發展，網絡安全日益成為關乎國家安全和社會公共利益的重要問題。作為我國第一部全面規范網絡空間安全管理的基礎性法律，《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）也于今年6月1日正式施行。它的施行，標志著我國網絡安全從此有法可依，網絡空間治理、網絡信息傳播秩序規范、網絡犯罪懲治等即將翻開嶄新的一頁，對保障我國網絡安全、維護國家總體安全具有深遠而重大的意義。

近日，國家網信辦公布《互聯網群組信息服務管理規定》，規定互聯網群組建立者、管理者應當履行群組管理責任，即“誰建群誰負責”“誰管理誰負責”，依據法律法規、用戶協議和平臺公約，規范群組網絡行為和信息發布，構建文明有序的網絡群體空間。

《中國科學報》就相關話題約請專家進行了探討。

《中國科學報》：《網絡安全法》頒布的意義是什么？

左曉棟：當前，網絡和信息技術迅猛發展，極大地改變和影響著人們的社會活動和生活方式，在促進技術創新、經濟發展、文化繁榮、社會進步的同時，網絡安全問題也日益凸顯。習近平總書記強調，互聯網不是法外之地，要加快網絡立法進程，完善依法監管措施，化解網絡風險。為此，全國人大常委會審議通過了《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》），于2017年6月1日正式施行。為了解《網絡安全法》《全國人大常委會關于加強網絡信息保護的決定》實施情況，查找問題，剖析原因，提出建議，著力推進法律實施中重點、難點問題的解決，全國人大常委于8月25日宣布，將在多個省區市開展“一法一決定”執法檢查。

李曉兵：以前我們是通過倡導網絡文明行為的呼吁、宣傳、約定等非國家強制性的方式規范網絡安全行為。現在我們把經過這些年經驗的總結、實踐中的案例等背后的法律性的問題做了提煉，最后形成了我們目前比較系統和全面，特別是在一些基本問題上有了基礎性規定的網絡安全的法律規定。

王振偉：《網絡安全法》的頒布可以極大地提高對個人網絡行為的安全意識，對公民有很好的宣傳教育作用。因為網絡安全現在已經到了非常重要的地位，深入影響到我們的政治、經濟和每個人的日常生活。

《中國科學報》：《網絡安全法》有哪些亮點？

李曉兵：《網絡安全法》在總則部分提到要保障網絡安全、維護網絡空間主權和國家安全、社會公共利益。我們制定《網絡安全法》的基本目標就是要保障網絡安全，同時我們要實現維護網絡空間主權，這是此次法律中首次明確的。這為對其他國家對我國網絡安全的滲透和干預的制裁提供了依據。很多國家秩序的失控是與網絡空間的失序有關系的。

網絡安全不是純粹的網絡安全本身的問題，除了使我們使用網絡時有基本的安全保障，還立足于保障整個國家的安全。因為網絡信息的傳遞和網絡對于人們生活的影響、對國家政治、經濟的影響已經足以產生撼動國家安全的影響，所以我們在國家安全形勢日益嚴峻的背景下提出的新的國家安全觀當中就有網絡安全，超越了傳統意義上的領土、領空等等的安全。

公共利益方面，網絡是公共信息的交匯、表達、互換的平臺，網絡本身對實現公共利用具有基礎支撐作用。我們現在如果不加強網絡安全的話，實際上損害的是社會公共利益。謠言、不正當言論、虛假信息、個人信息的泄露、國家特定機構的信息安全問題，這些都涉及到社會公共利益的問題。同時，我們還要兼顧公民、法人和其他社會組織的合法權益，包括提供網絡技術的機構。

另外，網絡安全問題還承擔著促進經濟、社會信息化健康發展的使命，這是我們當前和未來的發展目標。我國信息化建設已經推進了一二十年了，也深深地改變了我們的生活，最近五年，是我們的網絡和社會經濟生活全面融合的過程，帶動了整個中國經濟的發展和社會生活方式的變化。在這個意義上，我們更要促進信息化建設的健康發展。所以說，我們制定《網絡安全法》有多元的目標，既有網絡安全，也有國家安全，既有公共利益，也有個人利益，要促進整個網絡的健康發展。

《中國科學報》：對于網絡安全來說，技術和法律如何協調？

王振偉：技術上永遠無法完全解決網絡安全的問題，因為影響網絡安全的技術也是不斷更新的，可以說這是一個正義和邪惡相互較量的過程。要解決網絡安全問題，一定要技術和法律相配合。

左曉棟：網絡安全牽一發而動全身，《網絡安全法》的實施和執法檢查是我國經濟和社會發展進程中的一件大事情。但網絡空間本身是新生事物，未知遠遠大于已知，網絡空間管理的方式、方法仍在不斷探索之中，很多問題還沒有定論。加之，網絡安全的專業性非常強，行政決策必須慎之又慎。為了確保《網絡安全法》能夠切實發揮維護國家安全、規范信息傳播秩序、懲治網絡違法犯罪的重要作用，有必要強調科學精神，以求真、務實的作風，審慎對待、認真解決《網絡安全法》實施中出現的有關問題。

李曉兵：網絡安全要解決兩個基本的問題：技術和法律，二者要結合起來。我們現在的問題是技術的發展超越了法律規范，技術的更新、變革，發展的速度遠遠超出了法律規范的發展，二者不是同步的，從這個意義上說，有些企業在法律資源空白的情況下，運用技術從事的某些行為，由于使用者是不知情的，國家有關部門的監控也是無法落實的，這些企業有可乘之機。法律的制定可以對企業的行為進行明確，哪些是違法的，比如未經許可搜集公民個人信息數據、提供的網絡服務含有故意安全漏洞等等，在沒有明確法律責任時，有可能有逃脫法律制裁的理由。明確法律責任之后，就對企業行為有了強制性要求，要求企業在經營時守底線。《網絡安全法》中對一些技術性要求也進行了法律規范化、制度化。技術的發展可能超過法律規范，我們的法律規范要在我們可以對技術有認識和掌握的情況下對現有的技術進行規范。另外，我們也對一些技術規范進行了法律化，這都是我們認識的提升。

為了使法律能夠跟上技術的高速發展，我們還會出臺一系列的補訂性法律。《網絡安全法》有總則，與其他章節是相結合的。總則部分提供了更大的原則性的指引和規范，一般法律的總則部分比較簡潔，但《網絡安全法》的總則部分占了相當大的篇幅。這說明在網絡基礎性的要求上規定的還是比較全面的，具體和細節性的部分根據我們的認識和網絡的發展水平作出相應的規定。

《中國科學報》：關注網絡安全，我們要秉持什么原則？

左曉棟：關注網絡安全，我們要堅持科學的精神。堅持科學精神，就要尊重網絡安全的客觀規律。習近平總書記指出，要樹立正確的網絡安全觀。即，網絡安全是整體的而不是割裂的，是動態的而不是靜態的，是開放的而不是封閉的，是相對的而不是絕對的，是共同的而不是孤立的。這就是網絡安全的客觀規律，不以人的意志為轉移。這一規律使然，再堅固的系統都可能在新的攻擊方式或新的漏洞出現時被突破。但在實際執法時，一些人簡單地把網絡運營單位出現安全事件認定為違反《網絡安全法》，并據此進行處罰，就未免太武斷了些。這會帶來一種后果：受害者不但沒有得到法律的救濟，反而因為受害而得到處罰，這顯然是荒謬的。

應該看到，《網絡安全法》的確提出了若干項防護措施的要求。如果沒有落實這些要求而被入侵、攻破，例如沒有留存日志、重要數據沒有加密存儲等，毫無疑問是違反了法律的要求。但不能將此擴展為只要發生安全事件便違法，這不是立法者的本意，也違背了網絡安全的客觀規律。

堅持科學精神，就要正視未知世界，繼續深化對網絡安全的科學探索。《網絡安全法》的起草堅持問題導向，主要針對實踐中存在的突出問題，將近年來一些成熟的好做法作為制度確定下來，為網絡安全工作提供切實法律保障。但同時，還有一些制度安排確有必要，但尚缺乏實踐經驗，《網絡安全法》對此進行了原則性規定，為需要制定的配套法規政策預留了接口。這在以往的很多立法活動中是不多見的，很少有法律在正式施行后還存在較多過于原則、難以立即落實的條款。

對這些條款，需要持續進行技術和管理兩方面的深入研究。例如，如何使實名制既能起到責任追溯的作用，又能充分保護用戶個人隱私？如何在大數據時代確保個人信息“去標識化”后不可恢復？這些問題暫時都還沒有答案，但卻關系到《網絡安全法》中重要條款的落實。遺憾的是，一些主管部門把注意力更多地放在了“執法”“執法檢查”方面，卻忽視了對很多未決問題的繼續研究。

堅持科學精神，就要從技術角度為優化管理體制機制提供論證依據。近年來，我國網絡安全管理體制機制不斷健全完善，但仍有一些問題有待解決，當前突出體現在關鍵信息基礎設施保護制度與網絡安全等級保護制度的關系。在《網絡安全法》的立法過程中，這是爭論較大的問題，各方意見和認識不一致。

法律起草組考慮到網絡安全等級保護制度在我國已推行19年，積累了經驗，形成了體系，但與國際社會的關鍵信息基礎設施保護制度的理念不完全匹配。根據我國的實踐和需要，確立了關鍵信息基礎設施保護是“在網絡安全等級保護制度的基礎上，實行重點保護”。這只是在立法時暫時擱置了矛盾，但矛盾又在法律的后續實施中暴露無疑，導致多個管理部門之間出現職責沖突。

從技術角度而言，我國等級保護制度借鑒了美國的TESEC（《可信計算機系統安全評估準則》）標準，并且創造性地解決了在網絡環境下的TCSEC適用問題，為高等級安全系統建設提供了依據。等級保護制度的實質是對信息系統提出安全防護要求，關鍵信息基礎設施安全保護制度既包含對系統的安全防護要求，也保護其他一系列的工作制度（如應急處置、產品審查、數據出境安全評估等）。這本來是很清楚的事情，遺憾的是，在關于管理體制機制的爭論中，支持者為支持而支持（支持等級保護的很多人，并不了解這項制度的技術內涵所在），反對者為反對而反對，已經脫離了對技術本源的討論，使問題復雜化。

《網絡安全法》的實施使我國網絡安全工作進入新的時代。新的時代，尤要秉持科學精神，才能使我們在建設網絡強國的征程上走得更穩健。