《网络安全法草案》彰显国家意志
我国的关键信息基础设施保护一直是国家安全的软肋,《草案》为此设立了《关键信息基础设施的运行安全》一节,将我国公民个人信息保护纳入法律正轨。
“没有网络安全就没有国家安全,没有信息化就没有现代化。”在中央网络安全和信息化领导小组第一次会议上,习近平总书记提出网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题,要从国际国内大势出发,总体布局,统筹各方,创新发展,努力把我国建设成为网络强国。党的十八届四中全会要求完善网络安全保护方面的法律法规。在此背景下,全国人大于7月6日公布了《中华人民共和国网络安全法(草案)》(以下简称《草案》)。
1彰显国家意志确定网络安全工作基本原则
相较于其他法律,《草案》在《总则》和《网络安全战略、规划与促进》部分提出的宣示性条款更多,还设立了一条倡导性条款(即“倡导诚实守信、健康文明的网络行为”)。作为我国网络安全的基本法,这些“软性”法律规定确有必要,旨在于宣示国家网络安全工作的基本原则,明确建设网络安全保障体系的主要举措,从而为整体推进保障体系建设提供法律依据。比如:坚持网络安全和信息化发展并重原则;提出网络空间主权;强调开展国际合作;建立统筹协调、分工负责的网络安全管理体制;加强行业自律;充分发挥行业组织作用;强化网络安全顶层设计;加大财政投入;做好宣传教育和人才培养工作等。
中国信息安全研究院副院长左晓栋表示,多年实践和各国经验表明,网络安全工作离不开统筹协调,随着中央网络安全和信息化领导小组的成立,有必要通过立法增强领导小组及其办公室的权威性。《草案》中规定,国家网信部门负责统筹协调网络安全工作和相关监督管理工作,具体包括:对监测预警和信息通报、网络安全应急、关键信息基础设施安全防护等跨部门工作,由网信部门统筹协调;对网络安全审查、重要数据跨境流动安全评估等新出现的综合性管理工作,由网信部门会同国务院有关部门制定办法或组织实施等。
2重大突发事件时政府可限制网络
如何保证网络信息安全是本次网络安全法的核心内容之一。《草案》赋予有关主管部门处置违法信息、阻断违法信息传播的权力,明确了任何个人和组织使用网络应当遵守宪法和法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、宣扬恐怖主义和极端主义、宣扬民族仇恨和民族歧视、传播淫秽色情信息、侮辱诽谤他人、扰乱社会秩序、损害公共利益、侵害他人知识产权和其他合法权益等活动。同时,草案对网络安全监测预警和应急制度作出了规定,要求发生网络安全事件时,县级以上政府有关部门应当立即启动网络安全事件应急预案,及时向社会发布与公众有关的警示信息:“因维护国家安全和社会公共秩序,处置重大突发社会安全事件的需要,国务院或者省、自治区、直辖市人民政府经国务院批准,可以在部分地区对网络通信采取限制等临时措施”。这明确了该项措施实施的两个前提:一是因维护国家安全和社会公共秩序,处置重大突发社会安全事件的需要;二是经国务院批准。
3公民个人信息保护进入正轨
《光明日报》在对《草案》的解读中表示,我国的关键信息基础设施保护一直是国家安全的软肋,草案为此设立了《关键信息基础设施的运行安全》一节,将我国公民个人信息保护纳入法律正轨。国家实行网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。如制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;采取防范计算机病毒和网络攻击、网络入侵等危害网络安全行为的技术措施等。
左晓栋表示,这不仅拓展了公民个人信息的保护范围,同时明确了公民个人信息的保护要求,也划定了公民个人信息的保护责任。特别是草案明确了行业主管部门的监督指导职责,授权国家网信部门统筹协调有关部门,建立协作机制,强调在网络安全检查工作中,杜绝某个部门前脚走,另一部门后脚来的现象。
4保障网络产品和服务安全
伴随着智能手机和移动互联网技术的发展,各类电商支付渠道和产品层出不穷,网络运营商如何保障网络产品和服务安全也成为本次草案关注的话题。左晓栋表示,当网络服务商的用户达到一定规模时,其安全已不再是企业自身问题,而成为一个公共问题、社会问题甚至国家安全问题,理应承担更多责任。
对此,《草案》明确了网络产品和服务提供者的安全义务,包括:不得设置恶意程序,及时向用户告知安全缺陷、漏洞等风险,持续提供安全维护服务等;总结实践经验,将网络关键设备和网络安全专用产品的安全认证和安全检测制度上升为法律并作了必要的规范;建立关键信息基础设施运营者采购网络产品、服务的安全审查制度。与此同时,网络运营者应当建立网络信息安全投诉、举报平台,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。国家网信办和有关部门需依法履行网络安全监督管理职责,发现法律、行政法规禁止发布或者传输的信息时,应当要求网络运营者停止传输,采取消除等处置措施,保存有关记录。对来自中华人民共和国境外的上述信息,应当通知有关机构采取技术措施和其他必要措施阻断信息传播。