2015年6月，第十二屆全國人大常委會第十五次會議初次審議了《中華人民共和國網(wǎng)絡安全法（草案）》。2015年7月6日至8月5日，該草案面向社會公開征求意見。2016年6月，第十二屆全國人大常委會第二十一次會議對草案二次審議稿進行了審議，隨后將《中華人民共和國網(wǎng)絡安全法（草案二次審議稿）》面向社會公開征求意見。10月31日，網(wǎng)絡安全法草案三次審議稿提請全國人大常委會審議。2016年11月7日，十二屆全國人大常委會經(jīng)表決高票（154票贊成、0票反對、1票棄權）通過了《中華人民共和國網(wǎng)絡安全法》。作為我國的網(wǎng)絡安全基本法，《中華人民共和國網(wǎng)絡安全法》是網(wǎng)絡安全領域“依法治國”的重要體現(xiàn)，對保障我國網(wǎng)絡安全有著重大意義。

《中華人民共和國網(wǎng)絡安全法》共七章七十九條，2017年6月1日起正式施行。

一、立法背景與意義

1、立法背景

“沒有網(wǎng)絡安全就沒有國家安全”。網(wǎng)絡安全已經(jīng)成為關系國家安全和發(fā)展、關系廣大人民群眾切身利益的重大問題。網(wǎng)絡已經(jīng)深刻地融入了經(jīng)濟社會生活的各個方面，網(wǎng)絡安全威脅也隨之向經(jīng)濟社會的各個層面滲透，網(wǎng)絡安全的重要性隨之不斷提高。

黨的十八大以來，以習近平同志為核心的黨中央從總體國家安全觀出發(fā)，對加強國家網(wǎng)絡安全工作作出了重要的部署，對加強網(wǎng)絡安全法制建設提出了明確的要求，制定《中華人民共和國網(wǎng)絡安全法》是適應我們國家網(wǎng)絡安全工作新形勢、新任務，落實中央決策部署，保障網(wǎng)絡安全和發(fā)展利益的重大舉措，是落實總體國家安全觀的重要舉措。中國是網(wǎng)絡大國，也是面臨網(wǎng)絡安全威脅最嚴重的國家之一，迫切需要建立和完善網(wǎng)絡安全的法律制度，提高全社會的網(wǎng)絡安全意識和網(wǎng)絡安全保障水平，使我們的網(wǎng)絡更加安全、更加開放、更加便利，也更加充滿活力。

在這樣的形勢下，制定網(wǎng)絡安全法是維護國家廣大人民群眾切身利益的需要，是維護網(wǎng)絡安全的客觀需要，是落實總體國家安全觀的重要舉措。

2、立法意義

《中華人民共和國網(wǎng)絡安全法》是國家安全法律制度體系中的一部重要法律，是網(wǎng)絡安全領域的基本大法，與之前出臺的《中華人民共和國國家安全法》、《中華人民共和國反恐怖主義法》等屬同一位階。《中華人民共和國網(wǎng)絡安全法》對于確立國家網(wǎng)絡安全基本管理制度具有里程碑式的重要意義。

《中華人民共和國網(wǎng)絡安全法》是落實總體國家安全觀的重要舉措。“沒有網(wǎng)絡安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化。”《中華人民共和國網(wǎng)絡安全法》是適應我國網(wǎng)絡安全工作新形勢、新任務，落實中央決策部署，保障網(wǎng)絡安全和發(fā)展利益的重大舉措。《中華人民共和國網(wǎng)絡安全法》中明確提出了有關國家網(wǎng)絡空間安全戰(zhàn)略和重要領域安全規(guī)劃等問題的法律要求，有助于推進與其他國家和行為體就網(wǎng)絡安全問題展開有效的戰(zhàn)略博弈。

《中華人民共和國網(wǎng)絡安全法》助力網(wǎng)絡空間治理，護航“互聯(lián)網(wǎng)+”。《中華人民共和國網(wǎng)絡安全法》的出臺將成為新的起點和轉折點，公民個人信息保護進入正軌，網(wǎng)絡暴力、網(wǎng)絡謠言、網(wǎng)絡欺詐等“毒瘤”生存的空間將被大大擠壓，而“四有”中國好網(wǎng)民從道德自覺走向法律規(guī)范，用法律武器維護自己的合法權益，為“互聯(lián)網(wǎng)+”的長遠發(fā)展保駕護航。

《中華人民共和國網(wǎng)絡安全法》完善了網(wǎng)絡安全義務和責任。《中華人民共和國網(wǎng)絡安全法》將原來散見于各種法規(guī)、規(guī)章中的規(guī)定上升到人大法律層面，對網(wǎng)絡運營者等主體的法律義務和責任做了全面規(guī)定。

二、基本內容

1、相關概念

為了統(tǒng)一術語，《中華人民共和國網(wǎng)絡安全法》給出了相關概念。

（1）網(wǎng)絡

網(wǎng)絡是指由計算機或者其他信息終端及相關設備組成的按照一定的規(guī)則和程序對信息進行收集、存儲、傳輸、交換、處理的系統(tǒng)。

（2）網(wǎng)絡安全

網(wǎng)絡安全是指通過采取必要措施，防范對網(wǎng)絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡處于穩(wěn)定可靠運行的狀態(tài)，以及保障網(wǎng)絡數(shù)據(jù)的完整性、保密性、可用性的能力。

從這個概念來講，網(wǎng)絡安全包括傳統(tǒng)的網(wǎng)絡安全、數(shù)據(jù)安全，是范圍更大的網(wǎng)絡安全，更加側重網(wǎng)絡運行安全、信息安全。

（3）網(wǎng)絡運營者

網(wǎng)絡運營者是指網(wǎng)絡的所有者、管理者和網(wǎng)絡服務提供者。

網(wǎng)絡運營者是網(wǎng)絡安全法中非常重要的概念，是關鍵義務主體或核心義務主體，出現(xiàn)31次。如幾大電信運營商、BAT等企業(yè)以及國家機關中的網(wǎng)絡執(zhí)法部門都屬于網(wǎng)絡運營者的范疇。同時，關鍵信息基礎設施也是一種網(wǎng)絡運營者。

《中華人民共和國網(wǎng)絡安全法》去掉了草案中關于“包括基礎電信運營者、網(wǎng)絡信息服務提供者、重要信息系統(tǒng)運營者等”的規(guī)定，可能考慮到在互聯(lián)網(wǎng)飛速發(fā)展的現(xiàn)今，對于“網(wǎng)絡運營者”這一概念只規(guī)定內涵而對其外延采用開放的描述方式，似乎是一種更聰明也是更合乎時宜的做法。需要注意的是，是否被認定為“網(wǎng)絡運營者”主要取決于企業(yè)是否成為了網(wǎng)絡信息系統(tǒng)的所有者和管理者，以及企業(yè)的業(yè)務是否提供了各類網(wǎng)絡服務，特別是互聯(lián)網(wǎng)信息服務。

（4）網(wǎng)絡數(shù)據(jù)

網(wǎng)絡數(shù)據(jù)是指通過網(wǎng)絡收集、存儲、傳輸、處理和產生的各種電子數(shù)據(jù)。

（5）個人信息

個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。

從定義中可以看出，網(wǎng)絡安全法中個人信息多側重自然人的信息，對虛擬人的信息如用戶名、密碼、IP、MAC、上網(wǎng)時間、Cookies 等信息還沒有明確定義。個人信息不同于個人數(shù)據(jù)、個人隱私，自然人的健康、犯罪、私人等活動信息，網(wǎng)絡安全法中并沒有提到。

（6）關鍵信息基礎設施

國家需要對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施進行保護。

《網(wǎng)絡空間安全戰(zhàn)略》中進一步明確，公共通信、廣播電視傳輸?shù)确盏幕A信息網(wǎng)絡，能源、金融、交通、教育、科研、水利、工業(yè)制造、醫(yī)療衛(wèi)生、社會保障、公用事業(yè)等領域和國家機關的重要信息系統(tǒng)，重要互聯(lián)網(wǎng)應用系統(tǒng)（如阿里巴巴、騰訊、百度）等 14 個大行業(yè)領域屬于國家關鍵信息基礎設施。

關鍵信息基礎設施安全保護條例（征求意見稿）》中對關鍵信息基礎設施范圍進行了更具體的界定。下列單位運行、管理的網(wǎng)絡設施和信息系統(tǒng)，一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的，應當納入關鍵信息基礎設施保護范圍：

（一）政府機關和能源、金融、交通、水利、衛(wèi)生醫(yī)療、教育、社保、環(huán)境保護、公用事業(yè)等行業(yè)領域的單位；

（二）電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng)等信息網(wǎng)絡，以及提供云計算、大數(shù)據(jù)和其他大型公共信息網(wǎng)絡服務的單位；

（三）國防科工、大型裝備、化工、食品藥品等行業(yè)領域科研生產單位；

（四）廣播電臺、電視臺、通訊社等新聞單位；

（五）其他重點單位。

2、法律框架

《中華人民共和國網(wǎng)絡安全法》全文共七章七十九條，包括：總則、網(wǎng)絡安全支持與促進、網(wǎng)絡運行安全、網(wǎng)絡信息安全、監(jiān)測預警與應急處置、法律責任以及附則。從主體對象角度，可將各條款分為10大類。

（1）網(wǎng)絡安全法的目標和范圍

第一條：網(wǎng)絡安全法的目的。

第二條：網(wǎng)絡安全法的管轄權。

（2）國家角度

第三條：網(wǎng)絡安全法的原則、方針、實現(xiàn)路徑。

第四條：解決頂層設計問題。

第五條：國家采取多種手段保護網(wǎng)絡安全風險和威脅，解決行業(yè)力量不足問題。

第六條：構建網(wǎng)絡安全的良好環(huán)境。

第七條：網(wǎng)絡空間治理的國際合作態(tài)度。

第八條：賦予國家相關部門網(wǎng)絡安全的監(jiān)督職責。

第十二條：國家保護公民、法人和其他組織依法使用網(wǎng)絡的權利，同時履行義務。

第十三條：未成年人保護。

第十四條：保護舉報人的合法權益。

第十五條：國家強化標準體系建設。

第十六條：國家加大投入，解決投入不足問題。

第十七條：建設網(wǎng)絡安全社會化服務體系。

第十八條：鼓勵和支持創(chuàng)新。

第十九條：網(wǎng)絡安全宣傳教育。

第二十條：促進網(wǎng)絡安全人才培養(yǎng)。

（3）網(wǎng)絡用戶角度

第十一條：行業(yè)組織規(guī)范和自律。

第十二條：權利和義務。

第十四條：有權對網(wǎng)絡安全違法行為進行舉報。

第二十六條：開展安全認證、檢測、風險評估，發(fā)布的網(wǎng)絡安全信息應遵守國家規(guī)定。

第二十七條：違法網(wǎng)絡安全的范圍定義。

第二十九條：情報交換和風險評估。

第四十六條：嚴禁網(wǎng)絡犯罪。

（4）網(wǎng)絡運營者角度

第九條：遵紀守法、履行義務、接受監(jiān)督、承擔責任。

第二十一條：實行網(wǎng)絡安全等級保護制度。

第二十四條：實名制要求、網(wǎng)絡身份認證，貫徹落實真實身份的用戶服務。

第二十五條：網(wǎng)絡安全事件的應急處置和報告。

第二十八條：提供合法的偵查協(xié)助。

第四十條：建立用戶信息保護制度。

第四十一條：強化個人信息保護，收集使用個人信息要合法、正當、必要。

第四十二條：個人信息保護責任，不得泄露、篡改、毀損。

第四十三條：要合理合法支持個人刪除權和更正權。

第四十四條；不得竊取、非法獲取、非法出售個人信息。

第四十七條：具有違法信息傳播的阻斷義務。

第四十九條：建立投訴、舉報制度。

第五十六條：較大安全風險或者安全事件的約談。

（5）關鍵信息基礎設施的運營者角度

第三十一條：定義，落實國家等級保護制度，突出保護重點。

第三十二條：工作規(guī)劃、實施安全保護工作。

第三十三條：建設三同步原則。

第三十四條：關鍵信息基礎設施運營者的義務。

第三十五條：網(wǎng)絡產品和服務的采購，應通過國家安全審查。

第三十六條：采購網(wǎng)絡產品和服務，應簽訂保密協(xié)議。

第三十七條：個人信息和重要數(shù)據(jù)應境內存儲。

第三十八條：每年至少一次風險評估。

（6）網(wǎng)絡產品和服務提供者角度

第十條：網(wǎng)絡安全和數(shù)據(jù)安全的要求。

第十六條：加大投入、知識產權保護、支持國家網(wǎng)絡安全技術創(chuàng)新項目。

第十七條：支持網(wǎng)絡安全認證、檢測和風險評估等安全服務。

第十八條：網(wǎng)絡數(shù)據(jù)保護和利用、公共數(shù)據(jù)資源開發(fā)、網(wǎng)絡安全管理方式創(chuàng)新。

第二十一條：網(wǎng)絡安全等級保護制度。

第二十二條：產品服務的強制性準入要求和義務。

第二十三條：網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產品的強制性認證或檢測。

第三十五條：網(wǎng)絡產品和服務需通過國家安全審查。

第三十六條：產品和服務的保密協(xié)議。

第三十七條：境外數(shù)據(jù)傳輸需進行安全評估。

第三十八條：開展風險檢測評估工作。

第四十八條：電子信息發(fā)送和應用軟件下載的安全。

（7）國家網(wǎng)信部門角度

第八條：統(tǒng)籌協(xié)調網(wǎng)絡安全工作和相關監(jiān)督管理工作。

第十四條：具有對危害網(wǎng)絡安全行為舉報的處置權利。

第二十三條：主導安全專用產品目錄、安全認證、安全檢測工作。

第三十條：賦予獲取維護網(wǎng)絡安全的各種信息的權利。

第三十五條：主導國家安全審查。

第三十七條：主導數(shù)據(jù)境外傳輸?shù)陌踩u估工作。

第三十九條：統(tǒng)籌協(xié)調關鍵信息基礎設施的安全風險檢測、安全應急演練、網(wǎng)絡安全信息共享。

第五十條：違規(guī)違法信息的處置、阻斷的權利。

第五十一條：統(tǒng)籌協(xié)調網(wǎng)絡安全監(jiān)測預警和信息通報工作。

第五十三條：協(xié)調建立網(wǎng)絡安全風險評估、應急工作。

第七十三條：對第三十條的約束、權利約束。

（8）有關部門角度

第八條：賦予網(wǎng)絡安全保護和監(jiān)督管理職責和權利。

第十四條：保護舉報人的合法權益。

第十五條：組織制定產品、服務和運行安全的國家標準、行業(yè)標準。

第十九條：組織、指導、督促網(wǎng)絡安全宣傳教育。

第二十三條：制定、公布安全產品目錄、開展安全認證和安全監(jiān)測工作。

第三十條：賦予獲取維護網(wǎng)絡安全的各種信息的權利。

第三十五條：在網(wǎng)信協(xié)同下開展國家安全審查。

第三十七條：在網(wǎng)信協(xié)同下開展安全評估。

第三十九條：配合做好網(wǎng)絡安全信息共享。

第四十九條：對網(wǎng)絡運營者依法實施監(jiān)督檢查。

第五十條：違規(guī)違法信息的處置、阻斷的權利。

第五十一條：建立網(wǎng)絡安全監(jiān)測預警與信息通報制度。

第五十三條：建立網(wǎng)絡安全風險評估、應急工作機制。

第五十四條：開展網(wǎng)絡安全風險監(jiān)測和評估。

第五十六條：省級以上人民政府有關部門可以啟動安全事件約談。

第六十九條：違反有關部門要求，可以進行處罰。

第七十三條：對第三十條的約束、權利約束。

（9）公安部門角度

第八條：賦予網(wǎng)絡安全保護和監(jiān)督管理權利。

第十四條：舉報處置權利。

第二十八條：偵查協(xié)助制度。

第六十三條：第二十七條網(wǎng)絡犯罪的處罰權利。

第六十四條：第四十四條個人信息違法的處罰權利。

第六十七條：第四十六條違法網(wǎng)站、通信群組、違法信息發(fā)布違法的處罰權利。

第六十九條：不提供偵查協(xié)助的單位的處罰。

第七十四條：境外違法的制裁措施。

（10）個人信息角度

第二十二條：個人信息收集必須明示并取得用戶同意，并遵守相關法律法規(guī)。

第三十七條：個人享有信息的數(shù)據(jù)主權。

第四十一條：個人信息的使用和收集必須合法、正當、必要。

第四十二條：不得泄露、篡改、毀損其收集的個人信息。

第四十三條：個人具有信息的刪除權和更正權。

第四十四條：嚴禁個人信息的非法獲取、非法出售和提供。

第四十五條：安全監(jiān)管部門必須對個人信息進行保密。

第六十四條：違反個人信息的處罰。

三、法律特色

1、網(wǎng)絡安全基本大法

《中華人民共和國網(wǎng)絡安全法》是我國網(wǎng)絡安全領域的基礎性法律，是我國第一部網(wǎng)絡安全領域的法律，也是我國第一部保障網(wǎng)絡安全的基本法。《中華人民共和國網(wǎng)絡安全法》與現(xiàn)有《中華人民共和國國家安全法》、《中華人民共和國保守國家秘密法》、《中華人民共和國反恐怖主義法》、《中華人民共和國反間諜法》、《中華人民共和國刑法修正案（九）》、《中華人民共和國治安管理處罰法》、《中華人民共和國電子簽名法》等屬同等地位的法律。

2、三項基本原則

第一，網(wǎng)絡空間主權原則。《中華人民共和國網(wǎng)絡安全法》第一條“立法目的”開宗明義，明確規(guī)定要維護我國網(wǎng)絡空間主權。網(wǎng)絡空間主權是一國國家主權在網(wǎng)絡空間中的自然延伸和表現(xiàn)。習近平總書記指出，《聯(lián)合國憲章》確立的主權平等原則是當代國際關系的基本準則，覆蓋國與國交往的各個領域，其原則和精神也應該適用于網(wǎng)絡空間。各國自主選擇網(wǎng)絡發(fā)展道路、網(wǎng)絡管理模式、互聯(lián)網(wǎng)公共政策和平等參與國際網(wǎng)絡空間治理的權利應當?shù)玫阶鹬亍５诙l明確規(guī)定，《中華人民共和國網(wǎng)絡安全法》適用于我國境內網(wǎng)絡以及網(wǎng)絡安全的監(jiān)督管理。這是我國網(wǎng)絡空間主權對內最高管轄權的具體體現(xiàn)。

第二，網(wǎng)絡安全與信息化發(fā)展并重原則。習近平總書記指出，安全是發(fā)展的前提，發(fā)展是安全的保障，安全和發(fā)展要同步推進。網(wǎng)絡安全和信息化是一體之兩翼、驅動之雙輪，必須統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進、統(tǒng)一實施。《中華人民共和國網(wǎng)絡安全法》第三條明確規(guī)定，國家堅持網(wǎng)絡安全與信息化并重，遵循積極利用、科學發(fā)展、依法管理、確保安全的方針；既要推進網(wǎng)絡基礎設施建設，鼓勵網(wǎng)絡技術創(chuàng)新和應用，又要建立健全網(wǎng)絡安全保障體系，提高網(wǎng)絡安全保護能力，做到“雙輪驅動、兩翼齊飛”。

第三，共同治理原則。網(wǎng)絡空間安全僅僅依靠政府是無法實現(xiàn)的，需要政府、企業(yè)、社會組織、技術社群和公民等網(wǎng)絡利益相關者的共同參與。《中華人民共和國網(wǎng)絡安全法》堅持共同治理原則，要求采取措施鼓勵全社會共同參與，政府部門、網(wǎng)絡建設者、網(wǎng)絡運營者、網(wǎng)絡服務提供者、網(wǎng)絡行業(yè)相關組織、高等院校、職業(yè)學校、社會公眾等應根據(jù)各自的角色參與網(wǎng)絡安全治理工作。

3、六大顯著特征

第一，明確了網(wǎng)絡空間主權的原則。沒有網(wǎng)絡安全就沒有國家安全，沒有網(wǎng)絡主權就沒有網(wǎng)絡空間安全。網(wǎng)絡主權原則根植于《聯(lián)合國憲章》和國家法理的基本準則。網(wǎng)絡空間主權主要表現(xiàn)為三方面：一是對內的最高權，各國有權自主選擇網(wǎng)絡發(fā)展道路、網(wǎng)絡管理模式、互聯(lián)網(wǎng)公共政策；二是對外的獨立權，各國有平等參與國際網(wǎng)絡空間治理的權利；三是防止危害國家的網(wǎng)絡安全，不搞網(wǎng)絡霸權，不干涉他國內政，不從事、縱容或支持維護他國國家安全的網(wǎng)絡活動。根據(jù)國家網(wǎng)絡空間主權原則，國家不僅有權對其領土境內的關鍵基礎設施基、重要數(shù)據(jù)、網(wǎng)絡空間活動和信息通信網(wǎng)絡監(jiān)管理行使主權，也可依法對境外個人或組織對我國境內的網(wǎng)絡破壞活動行使司法管轄權，即具有域外的效力。

第二，明確了網(wǎng)絡產品和服務提供者的安全義務。《中華人民共和國網(wǎng)絡安全法》第二十二條明確規(guī)定，網(wǎng)絡產品、服務應當符合相關國家標準的強制性要求。網(wǎng)絡產品、服務的提供者不得設置惡意程序；發(fā)現(xiàn)其網(wǎng)絡產品、服務存在安全缺陷、漏洞等風險時，應當立即采取補救措施，按照規(guī)定及時告知用戶并向有關主管部門報告。網(wǎng)絡產品、服務的提供者應當為其產品、服務持續(xù)提供安全維護；在規(guī)定或者當事人約定的期限內，不得終止提供安全維護。網(wǎng)絡產品、服務具有收集用戶信息功能的，其提供者應當向用戶明示并取得同意；涉及用戶個人信息的，還應當遵守本法和有關法律、行政法規(guī)關于個人信息保護的規(guī)定。

第三，明確了網(wǎng)絡運營者的安全義務。《中華人民共和國網(wǎng)絡安全法》將原來散見于各種法規(guī)、規(guī)章中的規(guī)定上升到人大法律層面，對網(wǎng)絡運營者等主體的法律義務和責任做了全面規(guī)定，確定了相關法定機構對網(wǎng)絡安全的保護和監(jiān)督職責，明確了網(wǎng)絡運營者應履行的安全義務，平衡了涉及國家、企業(yè)和公民等多元主體的網(wǎng)絡權利與義務，協(xié)調政府管制和社會共治網(wǎng)絡治理的關系，形成了以法律為根本治理基礎的網(wǎng)絡治理模式。

第四，進一步完善了個人信息保護規(guī)則。《中華人民共和國網(wǎng)絡安全法》明確運營者在收集個人信息時必須合法、正當、必要，收集應當與個人訂立合同；個人信息一旦泄露、損壞、丟失，必須告知和報告，同時個人具有對其信息的刪除權和更正權（刪除權的兩種情形：違反法律法規(guī)、約定的合同期限已滿）。《中華人民共和國網(wǎng)絡安全法》首次給予個人信息交易一定的合法空間。

第五，建立了關鍵信息基礎設施安全保護制度。以立法的形式將國家主權范圍內的關鍵信息基礎設施列為國家重要基礎性戰(zhàn)略資源加以保護，已經(jīng)成為各主權國家網(wǎng)絡空間安全法治建設的核心內容和基本實踐。《中華人民共和國網(wǎng)絡安全法》首次將關鍵信息基礎設施安全保護制度以立法形式進行保護。

第六，確立了關鍵信息基礎設施重要數(shù)據(jù)跨境傳輸?shù)囊?guī)則。隸屬于數(shù)據(jù)主權的概念，即數(shù)據(jù)本地化存儲，通常是指主權國家通過制定法律或規(guī)則限制本國數(shù)據(jù)向境外流動。任何本國或者外國公司在采集和存儲與個人信息和關鍵領域相關數(shù)據(jù)時，必須使用主權國家境內的服務器。《中華人民共和國網(wǎng)絡安全法》第三十七條標志著中國正式開始基于網(wǎng)絡主權原則對數(shù)據(jù)跨境傳輸進行法律限制。

4、九類網(wǎng)絡安全保障制度

為了更好地履行《中華人民共和國網(wǎng)絡安全法》，運營者需要建立對應制度，分別是網(wǎng)絡安全等級保護制度、網(wǎng)絡產品和服務采購制度、網(wǎng)絡產品和服務的強制性準入制度、網(wǎng)絡安全產品和關鍵設備的強制性認證和檢測制度、網(wǎng)絡安全風險評估制度、用戶實名制度、網(wǎng)絡安全監(jiān)測預警和信息通報制度、網(wǎng)絡安全事件應急預案制度、開展網(wǎng)絡安全認證、監(jiān)測、風險評估制度、關鍵信息基礎設施運行安全保護制度、用戶信息保護制度、合法偵查犯罪協(xié)助制度、關鍵信息基礎設施重要數(shù)據(jù)境內留存制度、網(wǎng)絡安全信息管理制度、網(wǎng)絡信息安全投訴、舉報制度。

（1）網(wǎng)絡安全等級保護制度

《中華人民共和國網(wǎng)絡安全法》第二十一條規(guī)定，國家實行網(wǎng)絡安全等級保護制度。經(jīng)過20多年的發(fā)展，國家確定實施網(wǎng)絡安全等級保護制度從國家制度上升為國家法律。同時第三十一條規(guī)定，對可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網(wǎng)絡安全等級保護制度的基礎上，實行重點保護。網(wǎng)絡運營者要從定級備案、安全建設、等級測評、安全整改、監(jiān)督檢查角度，嚴格落實網(wǎng)絡安全等級保護制度。

（2）網(wǎng)絡產品和服務安全制度

與網(wǎng)絡安全產品和服務有關的安全制度主要涉及市場準入制度、強制性安全檢測制度、強制性安全認證制度。2016年底，國家互聯(lián)網(wǎng)信息辦公室會同相關部門出臺的《網(wǎng)絡產品和服務安全審查辦法》，采用企業(yè)承諾與社會監(jiān)督相結合，第三方評價與政府監(jiān)管相結合，實驗室檢測、現(xiàn)場檢查、在線監(jiān)測、背景調查相結合的方式，對網(wǎng)絡產品和服務及其提供者進行網(wǎng)絡安全審查。重點審查網(wǎng)絡產品和服務的安全性、可控性，主要包括：產品和服務被非法控制、干擾和中斷運行的風險；產品及關鍵部件研發(fā)、交付、技術支持過程中的風險；產品和服務提供者利用提供產品和服務的便利條件非法收集、存儲、處理、利用用戶相關信息的風險；產品和服務提供者利用用戶對產品和服務的依賴，實施不正當競爭或損害用戶利益的風險；其他可能危害國家安全和公共利益的風險。

（3）關鍵信息基礎設施運行安全保護制度

《中華人民共和國網(wǎng)絡安全法》第三十一條規(guī)定，“國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網(wǎng)絡安全等級保護制度的基礎上，實行重點保護，關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。”這是我國首次在法律層面提出關鍵信息基礎設施的概念和重點保護范圍。

為了強化對關鍵信息基礎設施安全保護的責任，《中華人民共和國網(wǎng)絡安全法》從國家主體和關鍵信息基礎設施運營者兩大層面，分別明確了對關鍵信息基礎設施安全保護的法律義務和責任。在國家層面，《中華人民共和國網(wǎng)絡安全法》第三十二條規(guī)定，“按照國務院規(guī)定的職責分工，負責關鍵信息基礎設施安全保護工作的部門分別編制并組織實施本行業(yè)、本領域的關鍵信息基礎設施安全規(guī)劃，指導和監(jiān)督關鍵信息基礎設施運行安全保護工作。”

在關鍵信息基礎設施運營者方面，《中華人民共和國網(wǎng)絡安全法》第三十四條專門設定了關鍵信息基礎設施的運營者應當履行的四大安全保護義務：一是設置專門安全管理機構和安全管理負責人；二是定期對從業(yè)人員進行網(wǎng)絡安全教育、技術培訓和技能考核；三是對重要系統(tǒng)和數(shù)據(jù)庫進行容災備份；四是制定網(wǎng)絡安全事件應急預案，并定期進行演練。另外設定了一項兜底性條款，即“以及法律、行政法規(guī)規(guī)定的其他義務”。

（4）網(wǎng)絡安全風險評估制度

《中華人民共和國網(wǎng)絡安全法》第三十八條規(guī)定，關鍵信息基礎設施的運營者應當自行或者委托網(wǎng)絡安全服務機構對其網(wǎng)絡的安全性和可能存在的風險每年至少進行一次檢測評估，并將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。同時，《中華人民共和國網(wǎng)絡安全法》第二十一條規(guī)定，國家實行網(wǎng)絡安全等級保護制度。建議今后運營者開展網(wǎng)絡安全等級保護測評工作，這樣既滿足風險評估，同時滿足網(wǎng)絡安全等級保護制度。

（5）用戶實名制度

《中華人民共和國網(wǎng)絡安全法》立法確立了網(wǎng)絡實名制在我國的實施，第二十四條規(guī)定，網(wǎng)絡運營者為用戶辦理網(wǎng)絡接入、域名注冊服務，辦理固定電話、移動電話等入網(wǎng)手續(xù)，或者為用戶提供信息發(fā)布、即時通信等服務，在與用戶簽訂協(xié)議或者確認提供服務時，應當要求用戶提供真實身份信息。用戶不提供真實身份信息的，網(wǎng)絡運營者不得為其提供相關服務。

在此之前，我國已經(jīng)有相關的法律法規(guī)對實名制進行規(guī)定。2016年1月1日實施的《中華人民共和國反恐怖主義法》規(guī)定，電信、互聯(lián)網(wǎng)、金融、住宿、長途客運、機動車租賃等業(yè)務經(jīng)營者、服務提供者，應當對客戶身份進行查驗。對身份不明或者拒絕身份查驗的，不得提供服務。2015年的《互聯(lián)網(wǎng)用戶賬號名稱管理規(guī)定》規(guī)定，互聯(lián)網(wǎng)信息服務提供者應當按照“后臺實名、前臺自愿”的原則，要求互聯(lián)網(wǎng)信息服務使用者通過真實身份信息認證后注冊賬號。2016年的《移動互聯(lián)網(wǎng)應用程序信息服務管理規(guī)定》要求，移動互聯(lián)網(wǎng)應用程序提供者按照“后臺實名、前臺自愿”的原則，對注冊用戶進行基于移動電話號碼等真實身份信息認證。

（6）網(wǎng)絡安全事件應急預案制度

《中華人民共和國網(wǎng)絡安全法》第二十五條規(guī)定，網(wǎng)絡運營者應當制定網(wǎng)絡安全事件應急預案，及時處置系統(tǒng)漏洞、計算機病毒、網(wǎng)絡攻擊、網(wǎng)絡侵入等安全風險；在發(fā)生危害網(wǎng)絡安全的事件時，立即啟動應急預案，采取相應的補救措施，并按照規(guī)定向有關主管部門報告。建議應急預案制度應覆蓋所有網(wǎng)絡安全場景、對相關人員開展應急預案培訓、結合發(fā)生的安全事件和面臨的安全風險，制定符合自身組織架構的網(wǎng)絡安全應急預案，并在預案中明確內部及業(yè)務部門的應急響應責任，準備措施以及應對突發(fā)事件的配合機制，并組織演練。

（7）網(wǎng)絡安全監(jiān)測預警和信息通報制度

《中華人民共和國網(wǎng)絡安全法》第五十一條規(guī)定，國家建立網(wǎng)絡安全監(jiān)測預警和信息通報制度。國家網(wǎng)信部門應當統(tǒng)籌協(xié)調有關部門加強網(wǎng)絡安全信息收集、分析和通報工作，按照規(guī)定統(tǒng)一發(fā)布網(wǎng)絡安全監(jiān)測預警信息。這是從國家層面要建立安全態(tài)勢感知與信息通報制度，說明了將來會出臺國家層面的“網(wǎng)絡安全監(jiān)測預警和信息通報制度”。習近平總書記在 2016 年 4 月 19日講到，“全天候全方位感知網(wǎng)絡安全態(tài)勢。知己知彼，才能百戰(zhàn)不殆”，同時指出，“感知網(wǎng)絡安全態(tài)勢是最基本最基礎的工作。要全面加強網(wǎng)絡安全檢查，摸清家底，認清風險，找出漏洞，通報結果，督促整改。要建立統(tǒng)一高效的網(wǎng)絡安全風險報告機制、情報共享機制、研判處置機制，準確把握網(wǎng)絡安全風險發(fā)生的規(guī)律、動向、趨勢。要建立政府和企業(yè)網(wǎng)絡安全信息共享機制，把企業(yè)掌握的大量網(wǎng)絡安全信息用起來。”

《中華人民共和國網(wǎng)絡安全法》第五十二條規(guī)定，負責關鍵信息基礎設施安全保護工作的部門應當建立健全本行業(yè)、本領域的網(wǎng)絡安全監(jiān)測預警和信息通報制度，并按照規(guī)定報送網(wǎng)絡安全監(jiān)測預警信息。這條主要從行業(yè)層面講安全態(tài)勢感知與信息通報制度，行業(yè)主管部門要在國家指導下出臺行業(yè)層面的“網(wǎng)絡安全監(jiān)測預警和信息通報制度”。

（8）用戶信息保護制度

《中華人民共和國網(wǎng)絡安全法》第四十條規(guī)定，網(wǎng)絡運營者應當對其收集的用戶信息嚴格保密，并建立健全用戶信息保護制度。同時，第二十二條規(guī)定，網(wǎng)絡產品、服務具有收集用戶信息功能的，其提供者應當向用戶明示并取得同意；涉及用戶個人信息的，還應當遵守本法和有關法律、行政法規(guī)關于個人信息保護的規(guī)定。

《中華人民共和國網(wǎng)絡安全法》對保護個人信息有了明確規(guī)定，如“網(wǎng)絡運營者不得泄露、篡改、毀損其收集的個人信息”，“任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息”等。

（9）關鍵信息基礎設施重要數(shù)據(jù)境內留存制度

《中華人民共和國網(wǎng)絡安全法》第三十七條規(guī)定，關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數(shù)據(jù)應當在境內存儲。因業(yè)務需要，確需向境外提供的，應當按照國家網(wǎng)信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。

第三十七條是與數(shù)據(jù)主權有關的規(guī)定。數(shù)據(jù)主權也被稱為數(shù)據(jù)本地化存儲，指主權國家通過制定法律或規(guī)則限制本國數(shù)據(jù)向境外流動。任何本國或者外國公司在采集和存儲與個人信息和關鍵領域相關數(shù)據(jù)時，必須使用主權國家境內的服務器。據(jù)國際電信聯(lián)盟ITU的統(tǒng)計，2015年全球通過互聯(lián)網(wǎng)的跨境數(shù)據(jù)量超過1 ZB（1萬億GB），如果沒有數(shù)據(jù)主權的保護和跨境流動的法律機制，將可能直接影響個人的隱私和自由，乃至一個國家的經(jīng)濟運行，危及國家安全。俄羅斯、澳大利亞等國通過立法的形式對數(shù)據(jù)的流動進行動態(tài)調整和控制。歐盟規(guī)定：如果雇員的個人數(shù)據(jù)轉移到歐盟以外的其他國家，采集這些數(shù)據(jù)時，雇員必須得到通知，否則不能轉移出境。

對于涉及國家安全和社會穩(wěn)定的數(shù)據(jù)提出本地化要求是一個趨勢，也符合國際上的立法慣例。但是，如果數(shù)據(jù)本地化要求過于泛化，會對企業(yè)（尤其是跨國企業(yè)）的業(yè)務帶來負擔。因此，下一步有關部門制定對關鍵信息基礎設施的認定和數(shù)據(jù)跨境傳輸?shù)陌踩u估辦法時，如何把握數(shù)據(jù)安全和商業(yè)便利兩者的平衡關系非常重要。

對數(shù)據(jù)本地化的法律規(guī)制，除了《中華人民共和國網(wǎng)絡安全法》的規(guī)定，以下數(shù)據(jù)（或設施）亦明確有本地化的法律要求：

我國網(wǎng)絡安全和保密相關的法律禁止涉及國家秘密和國家安全的數(shù)據(jù)跨境傳輸。

征信數(shù)據(jù)（《征信業(yè)管理條例》第24條）。

個人金融信息（《中國人民銀行關于銀行業(yè)金融機構做好個人金融信息保護工作的通知》第6條）。

地圖數(shù)據(jù)（《地圖管理條例》第34條）。

網(wǎng)絡出版服務所需的必要的技術設備（《網(wǎng)絡出版服務管理規(guī)定》第8條）。

網(wǎng)約車業(yè)務相關數(shù)據(jù)和信息（《網(wǎng)絡預約出租汽車經(jīng)營服務管理暫行辦法》27條）。

5、懲罰措施

《中華人民共和國網(wǎng)絡安全法》在第六章規(guī)定了詳盡的法律責任，大致規(guī)定了14種懲罰手段，分別是約談、斷網(wǎng)、改正、警告、罰款、暫停相關業(yè)務、停業(yè)整頓、關閉網(wǎng)站、吊銷相關業(yè)務許可證、吊銷營業(yè)執(zhí)照、拘留、職業(yè)禁入、民事責任、刑事責任。

對網(wǎng)絡運營者，根據(jù)違法行為的情形，主要的法律責任承擔形式包括：責令改正、警告、罰款，責令暫停相關業(yè)務、停業(yè)整頓、關閉網(wǎng)站、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照，對直接負責的主管人員等進行罰款等；有關機關還可以把違法行為記錄到信用檔案。對于違反法律第二十七條的人員，法律還建立了職業(yè)禁入的制度。

除了以上行政處罰外，網(wǎng)絡運營者還應當包括違法行為所導致的民事責任和刑事責任。網(wǎng)絡運營者如果因違反《中華人民共和國網(wǎng)絡安全法》的行為給他人造成損失的，該行為具有民事上的可訴性，網(wǎng)絡運營者應當承擔相應的民事責任。

我國《刑法修正案（九）》規(guī)定的拒不履行信息網(wǎng)絡安全管理義務罪，指網(wǎng)絡服務提供者不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡安全管理義務，經(jīng)監(jiān)管部門責令采取改正措施而拒不改正，具有法律規(guī)定的情形之一的，構成本罪。

《中華人民共和國網(wǎng)絡安全法》為網(wǎng)絡運營者設定了諸多的網(wǎng)絡安全保護義務（如網(wǎng)絡安全等級保護和關鍵信息基礎設施保護等），如果由于不履行法律的規(guī)定而導致嚴重后果的，可能受到刑事的追訴，從而承擔拒不履行信息網(wǎng)絡安全管理義務罪的后果。下面給出幾個比較典型的懲罰措施。

（1）約談

《中華人民共和國網(wǎng)絡安全法》第五十六條明確，省級以上人民政府有關部門在履行網(wǎng)絡安全監(jiān)督管理職責中，發(fā)現(xiàn)網(wǎng)絡存在較大安全風險或者發(fā)生安全事件的，可以按照規(guī)定的權限和程序對該網(wǎng)絡運營者的法定代表人或者主要負責人進行約談。

（2）斷網(wǎng)

《中華人民共和國網(wǎng)絡安全法》第五十八條明確規(guī)定，因維護國家安全和社會公共秩序，處置重大突發(fā)社會安全事件的需要，經(jīng)國務院決定或者批準，可以在特定區(qū)域對網(wǎng)絡通信采取限制等臨時措施。“在特定區(qū)域對網(wǎng)絡通信采取限制等臨時措施”被業(yè)界很多人解讀為斷網(wǎng)。

（3）拘留

拘留適用范圍為，對從事危害網(wǎng)絡安全的活動，或者提供專門用于從事危害網(wǎng)絡安全活動的程序、工具，或者為他人從事危害網(wǎng)絡安全的活動提供技術支持、廣告推廣、支付結算等幫助，設立用于實施違法犯罪活動的網(wǎng)站、通訊群組，或者利用網(wǎng)絡發(fā)布涉及實施違法犯罪活動的信息，尚不構成犯罪的，由公安機關沒收違法所得，依據(jù)情節(jié)嚴重情況，可處五日以下或者五日以上十五日以下拘留。

（4）罰款

如果被罰款對象是運營者，范圍為最低一萬，最高一百萬。如果被罰款對象是個人，范圍最低五千元，最高十萬元。為了打擊違法犯罪，《中華人民共和國網(wǎng)絡安全法》同時規(guī)定了違法所得或采購金額的一倍以上十倍以下罰款，大大提高了犯罪成本。執(zhí)行罰款的部門主要由運營者的主管部門、公安部門組成。

（5）職業(yè)禁入

《中華人民共和國網(wǎng)絡安全法》要求關鍵信息基礎設施的運營者設置專門的安全管理機構和安全管理負責人，并對該負責人和關鍵崗位的人員進行安全背景審查。如果發(fā)現(xiàn)受到治安管理處罰的人員，五年內不得從事網(wǎng)絡安全管理和網(wǎng)絡運營關鍵崗位的工作；受到刑事處罰的人員，終身不得從事網(wǎng)絡安全管理和網(wǎng)絡運營關鍵崗位的工作。

6、全社會參與者

（1）監(jiān)管者

《中華人民共和國網(wǎng)絡安全法》第八條明確規(guī)定，國家網(wǎng)信部門負責統(tǒng)籌協(xié)調網(wǎng)絡安全工作和相關監(jiān)督管理工作。國務院電信主管部門、公安部門和其他有關機關依照本法和有關法律、行政法規(guī)的規(guī)定，在各自職責范圍內負責網(wǎng)絡安全保護和監(jiān)督管理工作。縣級以上地方人民政府有關部門的網(wǎng)絡安全保護和監(jiān)督管理職責，按照國家有關規(guī)定確定。

從《中華人民共和國網(wǎng)絡安全法》中可以看出網(wǎng)絡安全的治理層級，可分為領導機構、規(guī)劃機構、協(xié)調機構、關鍵基礎設施主管機構。

統(tǒng)籌領導機構：中央國家安全領導機構。

統(tǒng)籌規(guī)劃機構：國務院和各級人民政府（網(wǎng)絡安全相關事務，制定關鍵信息基礎設施的具體范圍和安全保護方法，可以在特定區(qū)域對網(wǎng)絡通信采取限制等臨時措施）。

統(tǒng)籌協(xié)調機構：網(wǎng)信辦（負責協(xié)調網(wǎng)絡安全工作和相關監(jiān)督管理工作，協(xié)調關鍵信息基礎設施的安全保護）。

國家關鍵基礎設施主管機構：各部委（電信主管部門、公安部門、其他有關機關在各自職責范圍內的網(wǎng)絡安全職責）。

（2）監(jiān)管對象

非政府網(wǎng)絡要素參與者就是通常意義上的監(jiān)管對象。非政府網(wǎng)絡要素參與者包括國家機關政務網(wǎng)絡的運營者、網(wǎng)絡運營者、電子信息發(fā)送服務提供者、應用軟件下載服務提供者、關鍵信息基礎設施的運營者、網(wǎng)絡產品或者服務的提供者、被收集者、行業(yè)組織、大眾傳播媒介、企業(yè)和高校、職教培訓機構、安全認證或者安全檢測機構、安全管理負責人、關鍵崗位人員、從業(yè)人員等。

四、十大熱點話題

2017年5月31日，在《中華人民共和國網(wǎng)絡安全法》施行前，網(wǎng)信辦網(wǎng)絡安全協(xié)調局圍繞記者提出的十個熱點信息進行回應。這些熱點信息，可以很好地把握《中華人民共和國網(wǎng)絡安全法》的精髓。

1、準備工作進展情況

問：《中華人民共和國網(wǎng)絡安全法》于6月1日起施行，有關準備工作進展如何？

答：《中華人民共和國網(wǎng)絡安全法》將于6月1日起正式施行，這在網(wǎng)絡安全歷史上具有里程碑意義。

《中華人民共和國網(wǎng)絡安全法》的公布和施行不僅從法律上保障了廣大人民群眾在網(wǎng)絡空間的利益，有效維護了國家網(wǎng)絡空間主權和安全，有利于信息技術的應用，有利于發(fā)揮互聯(lián)網(wǎng)的巨大潛力。

《中華人民共和國網(wǎng)絡安全法》公布后，各部門、各地方以及廣大企業(yè)、科研單位和院校開展了多種形式的學習宣傳貫徹活動，法律所確定的重要理念、基本要求正在深入人心。目前，有關部門正在按照法律要求抓緊研究起草相關制度文件，包括關鍵信息基礎設施保護辦法、個人信息和重要數(shù)據(jù)出境安全評估辦法、網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產品目錄等。其中，《網(wǎng)絡產品和服務安全審查辦法（試行）》等配套制度文件已經(jīng)公開發(fā)布。國家標準化部門正抓緊組織制定《個人信息安全規(guī)范》等國家標準。總體上看，各項工作都在按計劃推進。

2、是否會制造貿易壁壘

問：據(jù)報道，近期有外國協(xié)會和機構建議推遲實施《中華人民共和國網(wǎng)絡安全法》，擔心《中華人民共和國網(wǎng)絡安全法》會制造貿易壁壘、限制國外企業(yè)和技術產品進入中國市場，你對此有什么評論？

答：借鑒國際通行做法，根據(jù)本國國情，制定相關法律、行政法規(guī)，并依法對網(wǎng)絡進行管理，完全是各國主權范圍內的事情。

制定和實施《中華人民共和國網(wǎng)絡安全法》，其目的是要維護國家網(wǎng)絡空間主權和國家安全、社會公共利益，保護公民、法人和其他組織的權益，而不是要限制國外企業(yè)、技術、產品進入中國市場，不是要限制數(shù)據(jù)依法有序自由流動。

3、關鍵信息基礎設施保護

問：關鍵信息基礎設施保護是《中華人民共和國網(wǎng)絡安全法》新設立的一項重要制度，6月1日后這一制度如何實施？

答：《中華人民共和國立法法》要求，法律規(guī)定明確要求有關國家機關對專門事項作出配套的具體規(guī)定的，有關國家機關應當自法律施行之日起一年內作出規(guī)定。目前，有關部門正在按照《中華人民共和國網(wǎng)絡安全法》的要求，抓緊制定相關配套規(guī)定，其中關鍵信息基礎設施保護辦法有望近期公開征求意見，個人信息和重要數(shù)據(jù)出境安全評估辦法正在根據(jù)各方面意見修改完善。建議相關企業(yè)、機構等抓緊做好法律實施的準備工作，自覺用法律規(guī)范網(wǎng)絡行為。

4、關鍵信息基礎設施的范圍

問：關鍵信息基礎設施的范圍如何確定？中國將采取什么措施加強關鍵信息基礎設施保護？

答：關鍵信息基礎設施保護制度的目的是要確保涉及國家安全、國計民生、公共利益的信息系統(tǒng)和設施的安全，與等級保護制度相比所涉及的范圍相對較小。從各國的情況看，具體明確關鍵信息基礎設施相當復雜，是一個在實踐中不斷完善、不斷調整的過程。目前，國家互聯(lián)網(wǎng)信息辦公室正會同有關部門按照《中華人民共和國網(wǎng)絡安全法》的要求，抓緊研究制定相關指導性文件和標準，指導相關行業(yè)領域明確關鍵信息基礎設施的具體范圍。

加強關鍵信息基礎設施保護首先是按照《中華人民共和國網(wǎng)絡安全法》的要求，抓緊制定相關配套制度和標準，要重點做好以下幾方面工作：一是加強關鍵信息基礎設施保護工作的統(tǒng)籌，強化頂層設計和整體防護，避免多頭分散、各自為政的情況發(fā)生；二是建立完善責任制，政府主要加強指導監(jiān)管，關鍵信息基礎設施運營者要承擔起保護的主體責任；三是加強對從業(yè)人員的網(wǎng)絡安全教育、技術培訓和技能考核，切實提高網(wǎng)絡安全意識和水平；四是做好網(wǎng)絡安全信息共享、應急處置等基礎性工作，提升關鍵信息基礎設施保護能力；五是加強關鍵信息基礎設施保護中的國際合作。

5、數(shù)據(jù)跨境流動

問：《中華人民共和國網(wǎng)絡安全法》規(guī)定，關鍵信息基礎設施運營者在中華人民共和國境內收集產生的個人信息和重要數(shù)據(jù)應當在境內存儲。這種規(guī)定會不會限制數(shù)據(jù)跨境流動，影響國際貿易？

答：《中華人民共和國網(wǎng)絡安全法》作出這樣的規(guī)定的目的是維護國家網(wǎng)絡安全，保護人民群眾利益。落實法律要求要把握以下幾點：一，這是對關鍵信息基礎設施運營者提出的要求，而不是對所有網(wǎng)絡運營者的要求；二，不是所有的數(shù)據(jù)，只限于個人信息和重要數(shù)據(jù)，這里的重要數(shù)據(jù)是對國家而言的，而不是針對企業(yè)和個人的；三，對于確需出境的數(shù)據(jù)，法律作了制度上的安排，經(jīng)過安全評估認為不會危害國家安全和社會公共利益的，可以出境；四，經(jīng)個人信息主體同意的，個人信息可以出境。特別要說明的是，撥打國際電話、發(fā)送國際電子郵件、通過互聯(lián)網(wǎng)跨境購物以及其他個人主動行為，視為已經(jīng)個人信息主體同意。

《中華人民共和國網(wǎng)絡安全法》關于數(shù)據(jù)境內留存和出境評估的規(guī)定，不是要阻止數(shù)據(jù)跨境流動，更不是要限制國際貿易。當今數(shù)據(jù)跨境流動已經(jīng)成為經(jīng)濟全球化的前提，是推進“一帶一路”建設的必要條件，我們愿同各國就此問題開展交流合作，共同促進數(shù)據(jù)依法有序自由跨境流動，充分保障個人信息安全和國家網(wǎng)絡安全。

6、安全審查是否形成技術壁壘

問：《網(wǎng)絡產品和服務安全審查辦法（試行）》已經(jīng)正式發(fā)布，這個辦法的實施會不會給國外企業(yè)帶來不公平待遇，形成事實上的技術壁壘？

答：《網(wǎng)絡產品和服務安全審查辦法（試行）》規(guī)定，對可能影響國家安全的網(wǎng)絡產品和服務進行安全審查，其目的是提高網(wǎng)絡產品和服務的安全可控水平，防范供應鏈安全風險，維護國家安全和公共利益。

安全審查的重點是產品和服務的安全性、可控性，包括產品被非法控制、干擾和中斷運行的風險，產品提供者非法收集用戶信息的風險等。

安全審查不針對特定國家和地區(qū)，沒有國別差異，審查不會歧視國外技術和產品，不會限制國外產品進入中國市場。相反，安全審查會提高消費者對使用產品的信心，擴大企業(yè)市場空間。

7、如何執(zhí)行國家的強制性要求

問：《中華人民共和國網(wǎng)絡安全法》規(guī)定，“網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產品應當按照相關國家標準的強制性要求，由具備資格的機構安全認證合格或者安全檢測符合要求后，方可銷售或者提供”，請問這條如何執(zhí)行？

答：國家互聯(lián)網(wǎng)信息辦公室、工業(yè)和信息化部、公安部、國家認監(jiān)委即將發(fā)布第一批網(wǎng)絡關鍵設備和網(wǎng)絡安全專用產品目錄。列入這一目錄的設備和產品應該按照有關國家標準的強制性要求，由具備資格的機構進行認證或檢測。此前，已經(jīng)按照國家有關規(guī)定檢測符合要求或認證合格的，在有效期內無須進行認證或檢測。

8、個人隱私與網(wǎng)上言論自由

問：《中華人民共和國網(wǎng)絡安全法》規(guī)定，“網(wǎng)絡運營者應當加強對其用戶發(fā)布的信息的管理，發(fā)現(xiàn)法律、行政法規(guī)禁止發(fā)布或者傳輸?shù)男畔⒌模瑧斄⒓赐Ｖ箓鬏斣撔畔ⅰ保@是否會侵害個人隱私，妨礙網(wǎng)上言論自由？

答：中國堅持積極利用、科學發(fā)展、依法管理、確保安全的方針，在推進互聯(lián)網(wǎng)發(fā)展、加強互聯(lián)網(wǎng)管理過程中，充分保障人權和言論自由，充分尊重廣大人民群眾的知情權、參與權、表達權和監(jiān)督權。同時，強調任何人、任何機構都應該對自己在網(wǎng)上的言行負責，個人的自由不應以損害他人的自由和社會公共利益為代價，任何人和機構都有義務自覺維護網(wǎng)絡秩序，自覺維護網(wǎng)絡安全。

對這條規(guī)定有兩點理解：一，針對的是用戶公開發(fā)布的信息，而不是個人通信信息，不會損害個人隱私；二，要求停止傳輸?shù)氖沁`法信息，不存在妨礙言論自由問題。

9、管控國外網(wǎng)站

問：《中華人民共和國網(wǎng)絡安全法》要求，采取技術措施和其他必要措施阻斷來源于境外的非法信息的傳播。這一要求是不是意味著要嚴格管控國外網(wǎng)站，限制信息跨境流動？

答：現(xiàn)實世界中，無論是企業(yè)還是個人，進入哪個國家都要遵從哪個國家的法律法規(guī)要求，違法行為都將受到法律的制裁。網(wǎng)絡空間也不例外，在中國境內網(wǎng)絡上傳播的信息必須符合中國法律法規(guī)的規(guī)定。

中國堅持依法治網(wǎng)，采取技術措施和其他必要措施阻斷違法信息在境內傳播，是國家網(wǎng)絡空間主權的體現(xiàn)，是維護國家安全和廣大人民群眾利益的客觀要求。我們支持信息跨境自由流動，但要以不損害他國網(wǎng)絡空間主權為條件，阻斷違法信息進入本國網(wǎng)絡空間與支持信息跨境自由流動不矛盾。

10、如何解安全可信

問：《中華人民共和國網(wǎng)絡安全法》提出要推廣安全可信的網(wǎng)絡產品和服務，“安全可信”是什么含義？

答：安全可信與自主可控、安全可控一樣，至少包括以下三方面的含義：

一是保障用戶對數(shù)據(jù)可控，產品或服務提供者不應該利用提供產品或服務的便利條件非法獲取用戶重要數(shù)據(jù)，損害用戶對自己數(shù)據(jù)的控制權；

二是保障用戶對系統(tǒng)可控，產品或服務提供者不應通過網(wǎng)絡非法控制和操縱用戶設備，損害用戶對自己所擁有、使用設備和系統(tǒng)的控制權；

三是保障用戶的選擇權，產品和服務提供者不應利用用戶對其產品和服務的依賴性，限制用戶選擇使用其他產品和服務，或停止提供合理的安全技術支持，迫使用戶更新?lián)Q代，損害用戶的網(wǎng)絡安全和利益。

安全可信沒有國別和地區(qū)差異，國內外企業(yè)和產品都應該符合安全可信的要求。