文/续俊旗

网络安全法中的关键制度解读

文/续俊旗

网络安全法是中国网络安全领域的第一部专门法律，是保障网络安全的基本法。网络安全法共七章七十九条，其主要内容可解读为“一项制度、四大领域”，以网络安全等级保护制度为中心，囊括物理安全、运行安全、数据安全、内容安全四大领域，即基础设施的安全、信息系统的安全、信息自身的安全、信息利用的安全。为具体落实这些要求，网络安全法规定了网络产品与服务安全审查、跨境数据流动安全评估、关键信息基础设施保护、个人信息保护等关键制度。

独具中国特色的网络安全审查制度

网络安全审查制度是保障网络运行安全的关键制度设计。网络安全法规定对可能影响国家安全的关键信息基础设施的网络产品和服务进行国家安全审查。已经发布并生效的《网络产品和服务安全审查办法（试行）》（下称《审查办法》）规定了网络安全审查的细化性要求。网络安全审查制度的具体实施，需要对以下问题进行进一步明晰。

（一）关于审查的范围和内容。《审查办法》中规定的安全审查范围超出了网络安全法中规定的关键信息基础设施的安全审查范围，更接近于国家安全法第59条“特定物项和关键技术、网络信息技术产品和服务”的国家安全审查。《审查办法》规定的审查范围大致可归纳为“关键信息基础设施及其他关系国家安全的网络和信息系统”，范围仍有很大不明确性。

（二）“安全可控”的内涵。“安全可控”已经成为中国网络安全体系中一项独立的制度。何为“安全可控”，官方解释如下：安全可控至少包括以下三个方面含义：一是保障用户对数据可控，产品或服务提供者不应该利用提供产品或服务的便利条件非法获取用户重要数据，损害用户对自己数据的控制权；二是保障用户对系统可控，产品或服务提供者不应通过网络非法控制和操纵用户设备，损害用户对自己所拥有、使用设备和系统的控制权；三是保障用户的选择权，产品和服务提供者不应利用用户对其产品和服务的依赖性，限制用户选择使用其他产品和服务，或停止提供合理的安全技术支持，迫使用户更新换代，损害用户的网络安全和利益。总而言之，对自主可控的把握应按照习近平总书记所说的，不能够排斥先进，不要把自己封闭于世界之外，要在立足开放的环境当中搞网络安全。此外，也要有效协调好安全可控与外国企业维护自主知识产权和商业秘密的关系。

（三）关于审查的标准。对于审查机制是否有透明、可遵循的标准，还是保持一定的灵活性、威慑性以应对不可预知的法律风险，尚存在诸多争议，有待在监管实践中进一步跟进。

（四）审查是否为常态化机制？在具体实施上，要注意其与检测、认证、设备入网等具体制度的区别，坚持其威慑性、悬而少用的原则，避免失去该制度的权威性、震慑性。然而《审查办法》第2条规定，关系国家安全的网络和信息系统采购的重要产品和服务，应当经过网络安全审查。就其表述而言，审查机制更近似于一项常态机制。监管部门在具体实践中如何把握与落实，还有待持续关注。

（五）是否针对国外产品和服务？

主管部门在对外声明中多次强调，网络安全审查并不针对特定国家和地区，没有国别差异，审查不会歧视国外技术和产品，不会限制国外产品进入中国市场。在供应链全球化的背景下，对信息系统产品和服务进行来源调查变得非常困难，在存在广泛外包业务的情况下甚至是不可行的。片面排除国外信息技术的利用也排除了本国信息技术产业作为次级供应商进入他国市场的可能，也会丧失中国利用国际先进产品和服务的必然需求。而国家的网络安全能力和水平，最终由本国信息技术产品和服务的能力和水平决定。

既接轨国际又具中国特色的关键信息基础设施保护制度

关键信息基础设施保护是保障网络物理安全的关键制度设计，也是保护网络运行安全的重中之重。关键信息基础设施保护的重点有三。一是业务连续能力。业务连续能力是关键信息基础设施安全保护中需要解决的首要问题。关键信息基础设施的“关键”就在于国计民生对其的高度依赖关系，因此需要关键信息基础设施具备“不间断可靠供给”的能力。网络安全法从规划建设、使用管理、人员配置、容灾备份、应急处置等多个方面作出规定，来规范关键信息基础设施的业务连续能力。二是安全可控。自主可控设备目前还不能完全覆盖中国关键信息基础设施建设和运行管理的要求，基于中国国情，现阶段在关键信息基础设施的建设和运行管理中必须有辅助措施来增强关键信息基础设施的可控性。为此,网络安全法对网络关键设备和网络安全专用产品的认证检测和关键信息基础设施采购网络产品作出了保密和安全审查方面的要求。三是数据安全。由于传统关键基础设施普遍性的信息化、网络化趋势，关键信息基础设施集中承载着越来越多的敏感数据，这些数据事关社会稳定和国家安全。为此，网络安全法除对网络数据安全问题和公民个人信息保护作了一般性规定之外，还对关键信息基础设施运营者收集的公民个人信息等重要数据的出境存储加以限制。

关键信息基础设施保护制度与网络安全等级保护制度二者之间的关系一直以来是实践中的疑难点。厘清二者的关系，有助于提升关键信息基础设施保护的实效，也有助于企业更好地落实合规要求。网络安全法规定“对于国家关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护”。由此可见，网络安全等级保护制度是关键信息基础设施保护的基础，关键信息基础设施是等级保护制度的保护重点。等级保护制度和关键信息基础设施保护是网络安全的两个重要方面，不可分割。等级保护制度与关键信息基础设施保护制度虽然在发展起源、适用范围以及具体的操作方法上有所区别，但其保护重要信息系统的目标是一致的，网络安全等级保护制度和关键信息基础设施保护制度都是国家网络安全的重要制度。两种制度存在各种差异，但其最终目的都在于维护国家安全，提高对重要信息系统的保护力度。因此，在制度构建和实际操作中要做好两种制度的有效衔接，关键信息基础设施保护要吸收等级保护制度中的有益经验。

值得一提的是，在今后的配套立法过程中，还需要进一步考虑到关键信息基础设施保护与其他相关制度的衔接。

备受瞩目的数据跨境流动安全评估制度

数据跨境流动安全评估制度是保障网络数据安全的关键制度设计。根据网络安全法的规定，关键信息基础设施运营者在中华人民共和国境内收集产生的个人信息和重要数据应当在境内存储，对个人信息及重要数据实行数据出境的安全评估制度，并授权国家网信部门会同其他监管部门制定详细的安全评估实施办法。

全球数据流动对于贸易、创新、竞争和消费者数据迁移越来越重要。然而，对于个人数据的跨境流动也有一个普遍的共识，即要想解决合法性问题，数据的流动不能完全不受限制。为保护公民权利，全球个人信息流动管理方面已经有许多方法机制，最常见的包括：允许满足一般性排除条款或被这些条款“检验”的一次性数据传输，确保在同等保护水平情况下的数据跨境传输，源公司同意对任何违规行为负责的情况下的数据传输，公司在一组适用于所有活动的企业约束规则下进行数据传输等。虽然这些跨境数据传输的不同选项普遍可用，但它们还没有被广泛采用。

对于重要数据的跨境监管，中国的网络安全法在关键信息基础设施数据跨境安全评估方面与西方国家的最大不同之处，在于其将个人信息和重要业务数据的跨境转移安全评估，从非显性的、偏碎片化要求明确提升到制度化的高度，相关数据的评估不再是具体事项中的国家安全考虑。因此，从某种程度上说，若严格执行网络安全法中的数据跨境安全转移，或许会在关键信息基础设施保护的力度和范围上强于西方国家。而关于重要数据的范围，各国的规定有所不同。目前来看，从国家安全角度出发，各国对公共部门数据和管制技术数据的跨境流动都采取了强管控模式，主要监管措施包括本地存储、限制出境、安全审查、前置审批等措施；对敏感商业数据则主要通过安全协议的方式，以WTO规则中的“国家安全例外”事项为突破口实施各类安全审查，对敏感数据跨境的限制，作为安全评估的重要因素、合同约定的必要条件体现。

日趋严格的个人信息保护制度

个人信息保护制度是保障网络信息安全的关键制度设计。网络安全法将个人信息保护纳入规范范围。除了相关章节有零散规定外，还专设一章对个人信息保护提出了系统的框架性要求，对个人信息的处理行为也作出了明确规范，具体如下。

（一）关于个人信息的收集利用，网络安全法重申了2013年颁布的《电信和互联网用户个人信息保护规定》提出的“合法、正当、必要”的基本原则，明确规定网络运营者在收集个人信息时，应遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。

（二）针对个人信息的对外提供环节，网络安全法规定任何个人和组织不得非法出售或者非法向他人提供个人信息。何为“非法提供”，包括了针对个人信息的非法出售或非法提供，即窃取企业内部信息或其他来源的个人信息进行非法出售等黑色产业链的核心环节；也包括针对其他未经授权提供个人信息的行为，如遭到黑客攻击造成个人信息泄露或窃取、或未经授权将个人信息提供给业务合作伙伴等行为；以及针对政府机构对个人信息的非法提供行为。合法的对外提供有两种途径：个人信息主体的同意和匿名化处理。

（三）网络安全法对个人信息保护的亮点之一在于引入了个人信息主体的删除权和更正权，即个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。提高个人信息处理环节的透明度，赋予个人的信息删除权、修改权，保证个人信息主体对信息的合法权益。

（四）建立个人信息保护机制。网络安全法明确提出了“建立健全用户信息保护制度”的要求。在个人信息管理机制方面，中国尚未建立完善的规范体系，目前,网络安全法为主的法律规范提出的要求主要有：第一，技术手段方面的要求。网络安全法规定网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。作为对网络运营者的一般要求，网络安全法还提出了相关安全管理义务:（1）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（2）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（3）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（4）采取数据分类、重要数据备份和加密等措施；（5）法律、行政法规规定的其他义务。第二，组织管理、流程制度方面的要求。网络运营者要“建立健全用户信息保护制度”。此外，网络安全法还新增了数据泄露通知机制。

需要指出，网络安全法并非单纯针对个人信息保护的全面性立法，其规范仅是对个人信息保护方面提出了底线性、框架性的要求。还需要与现有的其他法律、法规、部门规章以及司法解释相协调并整体考虑。未来仍有必要制定一部综合性的个人信息保护法来对个人信息保护加以系统规范。

本文所阐述的相关制度彼此之间既相对独立，又存在密不可分的关联。因此，应该系统地做好制度的具体设计与配套制定建设，确保网络安全法能够科学、合理地落地实施。关键制度的设计既要立足于中国的实际状况，也要充分借鉴国外的做法与实践。由于网络安全问题的复杂性、长期性、艰巨性，其牵涉到中国的产业基础、技术能力、法治现状乃至复杂多变的国际经贸关系等方方面面，还需要在今后的立法、执法和司法实践中不断加以完善。

[作者系英特尔（中国）有限公司法律政策总监]