一、关于制定本法的必要性和起草经过

  当前,网络和信息技术迅猛发展,已经深度融入我国经济社会的各个方面,极大地改变和影响着人们的社会活动和生活方式,在促进技术创新、经济发展、文化繁荣、社会进步的同时,网络安全问题也日益凸显。一是,网络入侵、网络攻击等非法活动,严重威胁着电信、能源、交通、金融以及国防军事、行政管理等重要领域的信息基础设施的安全,云计算、大数据、物联网等新技术、新应用面临着更为复杂的网络安全环境。二是,非法获取、泄露甚至倒卖公民个人信息,侮辱诽谤他人、侵犯知识产权等违法活动在网络上时有发生,严重损害公民、法人和其他组织的合法权益。三是,宣扬恐怖主义、极端主义,煽动颠覆国家政权、推翻社会主义制度,以及淫秽色情等违法信息,借助网络传播、扩散,严重危害国家安全和社会公共利益。网络安全已成为关系国家安全和发展,关系人民群众切身利益的重大问题。

  党的十八大以来,以习近平同志为总书记的党中央从总体国家安全观出发,就网络安全问题提出了一系列新思想新观点新论断,对加强国家网络安全工作作出重要部署。党的十八届四中全会决定要求完善网络安全保护方面的法律法规。广大人民群众十分关注网络安全,强烈要求依法加强网络空间治理,规范网络信息传播秩序,惩治网络违法犯罪,使网络空间清朗起来。全国人大代表也提出许多议案、建议,呼吁出台网络安全相关立法。为适应国家网络安全工作的新形势新任务,落实党中央的要求,回应人民群众的期待,本届全国人大常委会将制定网络安全方面的立法列入了立法规划、年度立法工作计划。张德江委员长和李建国副委员长等常委会领导同志多次就网络安全立法问题作出重要批示,要求“抓紧论证,抓紧起草,抓紧出台”。

  根据党中央的要求和全国人大常委会立法工作安排,2014年上半年,法工委组成工作专班,开展网络安全法研究起草工作。通过召开座谈会、论证会等多种方式听取中央有关部门,银行、证券、电力等重要信息系统运营机构,一些网络设备制造企业、互联网服务企业、网络安全企业,有关信息技术和法律专家的意见,并到北京、浙江、广东等一些地方调研,深入了解网络安全领域存在的突出问题,掌握各方面的立法需求。在此基础上,先后提出了网络安全立法的基本思路、制度框架和草案初稿,会同中央网信办与工业和信息化部、公安部、国务院法制办等部门多次交换意见,反复研究,提出了网络安全法草案征求意见稿。经同中央国安办、中央网信办共同商量,再次征求了有关部门的意见,作了进一步完善,形成了网络安全法草案。

  二、关于立法的指导思想和把握的几点

  网络安全法的指导思想是:坚持以总体国家安全观为指导,全面落实党的十八大和十八届三中、四中全会决策部署,坚持积极利用、科学发展、依法管理、确保安全的方针,充分发挥立法的引领和推动作用,针对当前我国网络安全领域的突出问题,以制度建设提高国家网络安全保障能力,掌握网络空间治理和规则制定方面的主动权,切实维护国家网络空间主权、安全和发展利益。

  据此,起草工作把握了以下几点:

  第一,坚持从国情出发。根据我国网络安全面临的严峻形势和网络立法的现状,充分总结近年来网络安全工作经验,确立保障网络安全的基本制度框架。重点对网络自身的安全作出制度性安排,同时在信息内容方面也作出相应的规范性规定,从网络设备设施安全、网络运行安全、网络数据安全、网络信息安全等方面建立和完善相关制度,体现中国特色;并注意借鉴有关国家的经验,主要制度与国外通行做法是一致的,并对内外资企业同等对待,不实行差别待遇。

  第二,坚持问题导向。本法是网络安全管理方面的基础性法律,主要针对实践中存在的突出问题,将近年来一些成熟的好做法作为制度确定下来,为网络安全工作提供切实法律保障。对一些确有必要,但尚缺乏实践经验的制度安排做出原则性规定,同时注重与已有的相关法律法规相衔接,并为需要制定的配套法规预留接口。

  第三,坚持安全与发展并重。维护网络安全,必须坚持积极利用、科学发展、依法管理、确保安全的方针,处理好与信息化发展的关系,做到协调一致、齐头并进。通过保障安全为发展提供良好环境,本法注重对网络安全制度作出规范的同时,注意保护各类网络主体的合法权利,保障网络信息依法有序自由流动,促进网络技术创新和信息化持续健康发展。

  三、关于草案的主要内容

  草案共七章六十八条。主要内容包括:

  (一)关于维护网络主权和战略规划

  网络主权是国家主权在网络空间的体现和延伸,网络主权原则是我国维护国家安全和利益、参与网络国际治理与合作所坚持的重要原则。为此,草案将“维护网络空间主权和国家安全”作为立法宗旨,规定:在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法(草案第二条)。同时,按照安全与发展并重的原则,设专章对国家网络安全战略和重要领域网络安全规划、促进网络安全的支持措施作了规定(草案第二章)。

  (二)关于保障网络产品和服务安全

  维护网络安全,首先要保障网络产品和服务的安全。草案主要作了以下规定:一是,明确网络产品和服务提供者的安全义务,包括:不得设置恶意程序,及时向用户告知安全缺陷、漏洞等风险,持续提供安全维护服务等(草案第十八条)。二是,总结实践经验,将网络关键设备和网络安全专用产品的安全认证和安全检测制度上升为法律并作了必要的规范(草案第十九条)。三是,建立关键信息基础设施运营者采购网络产品、服务的安全审查制度,规定:关键信息基础设施的运营者采购网络产品或者服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的安全审查(草案第三十条)。

  (三)关于保障网络运行安全

  保障网络运行安全,必须落实网络运营者第一责任人的责任。据此,草案将现行的网络安全等级保护制度上升为法律,要求网络运营者按照网络安全等级保护制度的要求,采取相应的管理措施和技术防范等措施,履行相应的网络安全保护义务。(草案第十七条)

  为了保障关键信息基础设施安全,维护国家安全、经济安全和保障民生,草案设专节对关键信息基础设施的运行安全作了规定,实行重点保护。范围包括基础信息网络、重要行业和领域的重要信息系统、军事网络、重要政务网络、用户数量众多的商业网络等。并对关键信息基础设施安全保护办法的制定、负责安全保护工作的部门、运营者的安全保护义务、有关部门的监督和支持等作了规定。(草案第二十五条至第二十九条、第三十二条、第三十三条)

  (四)关于保障网络数据安全

  随着云计算、大数据等技术的发展和应用,网络数据安全对维护国家安全、经济安全,保护公民合法权益,促进数据利用至为重要。为此,草案作了以下规定:一是,要求网络运营者采取数据分类、重要数据备份和加密等措施,防止网络数据被窃取或者篡改(草案第十七条)。二是,加强对公民个人信息的保护,防止公民个人信息数据被非法获取、泄露或者非法使用(草案第三十四条至第三十九条)。三是,要求关键信息基础设施的运营者在境内存储公民个人信息等重要数据;确需在境外存储或者向境外提供的,应当按照规定进行安全评估(草案第三十一条)。

  (五)关于保障网络信息安全

  2012年全国人大常委会关于加强网络信息保护的决定对规范网络信息传播活动作了原则规定。草案坚持加强网络信息保护的决定确立的原则,进一步完善了相关管理制度。一是,确立决定规定的网络身份管理制度即网络实名制,以保障网络信息的可追溯(草案第二十条)。二是,明确网络运营者处置违法信息的义务,规定:网络运营者发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告(草案第四十条)。三是规定,发送电子信息、提供应用软件不得含有法律、行政法规禁止发布或者传输的信息(草案第四十一条)。四是规定,为维护国家安全和侦查犯罪的需要,侦查机关依照法律规定,可以要求网络运营者提供必要的支持与协助(草案第二十三条)。五是,赋予有关主管部门处置违法信息、阻断违法信息传播的权力(草案第四十三条)。

  (六)关于监测预警与应急处置

  为了加强国家的网络安全监测预警和应急制度建设,提高网络安全保障能力,草案作了以下规定:一是,要求国务院有关部门建立健全网络安全监测预警和信息通报制度,加强网络安全信息收集、分析和情况通报工作(草案第四十四条、第四十五条)。二是,建立网络安全应急工作机制,制定应急预案(草案第四十六条)。三是,规定预警信息的发布及网络安全事件应急处置措施(草案第四十七条至第四十九条)。四是,为维护国家安全和社会公共秩序,处置重大突发社会安全事件,对网络管制作了规定(草案第五十条)。

  (七)关于网络安全监督管理体制

  为加强网络安全工作,草案规定:国家网信部门负责统筹协调网络安全工作和相关监督管理工作,并在一些条款中明确规定了其协调和管理职能。同时规定,国务院工业和信息化、公安等部门按照各自职责负责网络安全保护和监督管理相关工作(草案第六条)。

  此外,草案还对违反本法规定的法律责任、相关用语的含义等作了规定。