■ 文/本刊记者 王菲

以法治筑牢网络安全基石《网络安全法》全面解读

■ 文/本刊记者 王菲

2016年 11月7日，十二届全国人大常委会第二十四次会议表决通过《中华人民共和国网络安全法》（以下简称《网络安全法》），自2017年6月1日起施行。作为我国的网络安全基本法，《网络安全法》是网络安全领域“依法治国”的重要体现，对保障我国网络安全有着重大意义。《网络安全法》有哪些重点内容值得关注？它的施行对安防行业有何影响？为此，本刊记者采访了公安部检测中心主任助理兼信息安全技术部主任、信息安全博士后范红研究员，请其对《网络安全法》进行相关解读。

记者：首先请您简单介绍一下《网络安全法》。

范红：《网络安全法》是我国网络安全的第一部基本框架法。这部法律系统地总结了我国网络安全工作经验，也包括网络安全工作存在的问题，明确了网络安全工作原则、理念和主要任务，确立了一系列重大制度，明确了一系列重大要求。特别重要的是，这部法律系统体现并充分贯彻了习近平总书记的思想和理念，是我国网络安全工作多年积累的经验，是一些行之有效的规章制度的法制化。

事实上，《网络安全法》就是贯彻总书记的部署，网络安全的落脚点就是国家。这是国家网络安全工作的总态度、总原则，就是要检测防御一切可能的网络安全风险，维护国家的网络安全。国家要坚持网络安全和信息化平衡，利用科学发展的管理确保安全方针，要推进网络建设和互联网的发展，要鼓励网络技术创新和应用，要支持国家网络安全人才培养，要建立健全国家网络安全保障体系，要提升网络安全保护的防护能力。

记者：请您谈谈《网络安全法》的立法背景。

范红：在信息化时代，网络已经深刻地融入了经济社会生活的各个方面，网络安全威胁也随之向经济社会的各个层面渗透，网络安全的重要性随之不断提高。

一方面，党的十八大以来，以习近平同志为核心的党中央从总体国家安全观出发对加强国家网络安全工作做出了重要的部署，对加强网络安全法制建设提出了明确的要求，制定《网络安全法》是适应国家网络安全工作新形势、新任务，落实中央决策部署，保障网络安全和发展利益的重大举措，是落实国家总体安全观的重要举措。

另一方面，中国是网络大国，也是面临网络安全威胁最严重的国家之一，迫切需要建立和完善网络安全的法律制度，提高全社会的网络安全意识和网络安全保障水平，使国家的网络更加安全、更加便利。

在这样的形势下，制定《网络安全法》是维护国家广大人民群众切身利益的需要，是维护国家网络安全的客观需要，是落实国家总体安全观的重要举措。《网络安全法》的正式发布，是所有网络安全工作者共同奋斗的结果，网络安全工作的框架体系，全社会高度重视的网络安全格局已经基本形成。网络安全工作就是把贯彻习近平总书记的网络安全观与落实《网络安全法》有机结合起来。

记者：我国在网络安全方面的法律比较滞后，《网络安全法》的出台，经历了什么样的过程？

范红：2016年11月7日上午，十二届全国人大常委会第二十四次会议表决通过了《网络安全法》。这项立法从最初提出，到现在正式通过，立法进程是比较快的。《网络安全法》是整个国家安全立法体系的重要组成部分。在完善我国安全立法、维护国家根本利益、抵御各种风险等方面意义巨大，开启了我国信息网络立法的进程。

要不要制定《网络安全法》这个话题在十年前就开始引发讨论，当时国家相关部门是计划制定《信息安全条例》，推动网络安全立法。2013年出现契机，国家互联网信息办公室在中央的统一部署下，启动了制定国家信息网络专项立法工作，同时推进的还有国家安全立法的系统设计。

当时，《网络安全法》明确其定位就是国家网络信息立法的基础性法律。这部法律是国家信息网络立法工作迈出的第一步，它确立了网络安全的基本制度，回应了重大的问题，把中央的一系列战略部署通过法律形式予以反映。实现从零到一的跨越，目的就是改变我国信息网络领域长期以来缺少基本法律支撑的状况。

这部法律的框架在2013年就已经确定下来，从基本结构上是科学立法的典范。从一、二、三审稿，到最终出台，在基本结构、基本内容方面，没有原则性的修改。这表明，2013年的立法规划比较科学。

2016年以前，我国的信息网络立法也有，但层级较低，而且比较分散。2000年，国务院制定的《互联网信息服务管理办法》，至今已实施17年；2012年，全国人大常委会通过了《关于加强网络信息保护的决定》；2015年通过的《刑法修正案（九）》，规定了对涉网络犯罪的几个主要行为如何惩罚。《网络安全法》此次出台，奠定了整个信息网络立法的基础。

记者：请问这部法律有哪些值得关注的重点内容。

范红：《网络安全法》包括了网络空间主权，关键信息基础设施保护，网络运营者、网络产品和服务提供者义务等内容，各条款覆盖全面，规定明晰，显示了较高的立法水平。《网络安全法》主要涵盖了关键信息基础设施保护、网络数据和用户信息保护、网络安全应急与监测等领域，与网络空间国内形势、行业发展和社会民生紧密相关的主要有以下三个重点：

一是确立了网络空间主权原则，将网络安全顶层设计法制化。网络空间主权是一国开展网络空间治理、维护网络安全的核心基石。离开了网络空间主权，维护公民、组织等在网络空间的合法利益就是一纸空谈。《网络安全法》第一条明确提出要“维护网络空间主权”，为网络空间主权提供了基本法依据。此外，在“总则”部分，《网络安全法》还规定了国家网络安全工作的基本原则、主要任务和重大指导思想、理念，明确了部门职责划分，在顶层设计层面体现了依法行政、依法治国的要求。

二是对关键信息基础设施实行重点保护，将关键信息基础设施安全保护制度确立为国家网络空间基本制度。当前，关键信息基础设施已成为网络攻击、网络威慑乃至网络战的首要打击目标，我国对关键信息基础设施安全保护已上升至前所未有的高度。《网络安全法》第三章第二节“关键信息基础设施的运行安全”中用大量篇幅规定了关键信息基础设施保护的具体要求，解决了关键信息基础设施范畴、保护职责划分等重大问题，为不同行业、领域关键信息基础设施应对网络安全风险提供了支撑和指导。此外，《网络安全法》提出建立关键信息基础设施运营者采购网络产品、服务的安全审查制度，与国家安全审查制度相互呼应，为提高我国关键信息基础设施安全可控水平提出了法律要求。

三是加强个人信息保护要求，加大对网络诈骗等不法行为的打击力度。近年来，公民个人信息数据泄露日趋严重，“徐玉玉案”等一系列的电信网络诈骗案引发社会关注。《网络安全法》从立法开始就将个人信息保护列为需重点解决的问题之一，《网络安全法》第四章“网络信息安全”中用较大的篇幅专门规定了公民个人信息保护的基本法律制度，特别是其中“对个人信息立法保护”和“对网络诈骗严厉打击”的相关内容，充分体现了保护公民合法权利的立法原则，为今后保护个人信息、打击相关违法犯罪行为奠定了坚实的上位法基础。

记者：请您总结一下这部法律的重大意义。

范红：《网络安全法》是国家安全法律制度体系中的又一部重要法律，是网络安全领域的基本大法，与之前出台的《国家安全法》、《反恐怖主义法》等属同一位阶。《网络安全法》对于确立国家网络安全基本管理制度具有里程碑式的重要意义。《网络安全法》服务于国家网络安全战略和网络强国战略；助力网络空间治理，为“互联网+”保驾护航；提供了维护国家网络主权的法律依据；有利于在网络空间领域贯彻落实依法治国精神；为网络参与者提供了普遍法律准则和依据。

《网络安全法》明确了网络安全的内涵和工作体制，反映了中央对国家网络安全工作的总体布局，标志着网络强国制度保障建设迈出的坚实一步。

记者：最后，请您结合具体条款，谈谈《网络安全法》的出台对社会公共安全行业尤其是安防行业有哪些影响？

范红：随着信息通信技术的发展和普及，联接已成为新的常态，越来越多的摄像头、传感器、手机等终端被广泛部署。而当这些终端设备一旦部署在互联网、移动通信网、物联网、车联网等物理网络上，就不可避免的会遭受入侵、攻击、窃听、篡改等网络威胁。近年来，家庭网络摄像机“曝光”用户隐私，数字录像机被攻击后感染了病毒变成了僵尸网络并攻击其它网站，网络监控设备被境外IP地址控制等严重网络安全事件时有发生。社会公共安全行业的网络安全问题已经成为影响广大人民群众生命安全、财产安全、隐私安全等切身利益的重要方面，网络安全问题在社会公共安全行业的重要性已经被提升到一个前所未有的新高度。

《网络安全法》的颁布恰逢其时，将对社会公共安全行业的网络安全问题起到总体的规范作用，我们应该以此为契机，按照《网络安全法》的要求，切实提升社会公共安全行业的网络安全监管水平，强化落实社会公共安全行业运营服务者的网络安全责任和网络安全服务能力，有力保障社会公共安全行业产品、服务、系统的网络安全。对照《网络安全法》的具体条款，我认为，这部法律对社会公共安全行业有四条最突出的影响。

在《网络安全法》第十一条中提出，网络相关行业组织按照章程，加强行业自律，制定网络安全行为规范，指导会员加强网络安全保护，提高网络安全保护水平，促进行业健康发展。在社会公共安全行业中，应该按照《网络安全法》的要求，结合行业自身的特点，进一步完善本行业的网络安全顶层设计，抓紧制定适合行业发展的网络安全总体框架性文件，制定完善行业中产品、服务、系统的网络安全标准规范要求，规范相关网络安全技术和管理，补足行业在数十年发展过程中存在的网络安全短板。

在《网络安全法》第十条中提出，建设、运营网络或者通过网络提供服务，应当依照法律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性。在社会公共安全行业，广泛的采用了网络化产品，通过网络提供各类服务，例如网络监控报警服务，安防网络数据存储服务等。这部法律针对当前网络产品和服务领域存在的突出问题，一是明确了网络产品和服务提供者的安全义务，包括：不得设置恶意程序，及时向用户告知安全缺陷、漏洞等风险，持续提供安全维护服务等。二是明确了网络产品和服务提供者的个人信息保护义务。任何组织和个人，只要收集和使用个人信息，就要承担相应的个人信息保护义务和责任。在这部法律的第四章中具体规定了网络运营者的个人信息保护义务和责任。

在《网络安全法》第三十五条中规定，关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。在社会公共安全行业中，也包含了很多关键信息基础设施如作为关键信息基础设施的最前端的感知节点存在的网络摄像机和报警器等，如果这类产品和服务将被用于关键信息基础设施，而且又可能影响到国家的安全，那么按照这部法律的要求，行业主管部门要对其进行网络安全审查。网络安全审查制度不同于本法第二十三条规定的网络关键设备和安全专用产品的安全认证和安全检测，本条规定的国家安全审查只在影响或可能影响国家安全的情形下才启动，在对产品和服务的安全可控进行审查的同时，还需要对影响国家安全的其他因素进行审查。目前，国家网信部门已制定发布《网络产品和服务安全审查办法》，明确审查的条件、机制、程序等规则。

在《网络安全法》第十七条中提出，国家推进网络安全社会化服务体系建设，鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。目前，在社会公共安全领域有中国安全技术防范认证中心、公安部检测中心等认证机构和检测机构对安全技术防范产品、道路交通安全产品、刑事技术产品等社会公共安全产品进行认证和检测。但目前还未对上述产品的网络安全进行检测认证，在社会公共安全领域网络安全问题日益突出的今天，要消除本领域的网络安全短板，提升产品和服务的网络安全水平，尽快开展行业内产品和服务在网络安全方面的检测认证，是落实这部法律的重要环节。

总而言之，社会公共安全行业尤其是安防行业的网络安全工作应该紧紧围绕规范安防行业产品的网络安全技术和管理，保障安防信息网络系统稳定运行，开展安防领域关键基础设施网络安全审查，构建安防领域网络安全检测认证等方面加快推进开展，从而防范网络违法犯罪活动，有效应对网络安全事件。