《网络安全法》实施两周年：发挥立法作用 提供执法依据

2017年6月1日，《中华人民共和国网络安全法》（以下简称《网络安全法》）正式施行。两年来，《网络安全法》发挥了重要的基础性立法作用，为大量的执法活动提供了有力依据，初步实现了维护我国网络安全的既定目标。

2018年9月17日，作为2018年国家网络安全宣传周的“重头戏”，“网络安全技术高峰论坛”主论坛在成都举行。记者 刘沁娟 摄

“互联网+”共性问题需立法解决

2000年以来，互联网的平台作用不断显现。2013年，

“互联网+”快速发展，互联网与各行各业融合趋势加快，率先在消费服务业等领域实现深度融合，如电子商务、网络约车、互联网金融等，并持续渗透至第三产业的其他行业，以及第一产业和第二产业。未来，互联网与国民经济各行业全面实现融合已经是可预期的现实。在这个过程中，互联网原本通过行业管理实现监管，而现在其本身已经成为一个社会管理的问题。线下社会向线上的映射越来越普及，越来越全面，互联网的行业属性逐渐转变为社会属性。每一个行业“互联网+”的实现，都意味着互联网与该行业的深度融合，互联网本身具有虚拟性、交互性、广域性等特点，而基于这些特点也出现了一些问题，如网络安全、数据治理等。

传统行业与互联网融合实现“互联网+”后，一方面有融入互联网的优势，另一方面也出现了渗入互联网的问题。例如出租车与互联网融合以后，就不得不面临网络安全、个人信息保护等问题。这些问题是“互联网+”的共性问题，应对这些共性问题就需要统一立法解决。这些统一立法一般由统筹协调部门或者专门立法机构牵头制定为宜，位阶以法律、行政法规为主，从而能够适应各行业融合互联网的普遍需求，解决共性问题。

回应这些共性问题的立法，就是互联网立法，或者网络立法。所谓的互联网法或网络法，就是调整由于互联网技术的使用而形成的或者互联网平台承载的区别于传统领域的各类社会关系的规范的总和。网络安全是这些共性问题里面最关键、最基本的问题，任何一个行业接入互联网，都必须处理好安全问题。从这个角度就不难理解，第一部严格意义上的网络立法的出台就是《网络安全法》。《网络安全法》涵盖行政法、民法、刑法、经济法等多个法律部门，涉及网络、资源、应用、产业等网络各个物理架构层面，以往的网络安全法律体系得以统筹，由这部基本法来全面统领。同时，《网络安全法》实施后，还出台和研究制定了一系列配套规定，涉及法律、行政法规、部门规章、地方性法规和政府规章、规范性文件等多个层级法律规范，包括网络产品和服务、网络安全审查、网络信息服务、个人信息保护、数据安全、关键信息基础设施保护等主要方面。

《网络安全法》实施后的规范效果

《网络安全法》实施以来，为网络法律体系建设提供上位法基础。有关法律法规项目提上议程，如《关键信息基础设施安全保护条例》列入国务院立法工作计划并加快推进出台，落实了《网络安全法》有关关键信息基础设施安全保护的有关要求。国家互联网信息办公室出台《互联网新闻信息服务管理规定》（国家互联网信息办公室令第1号）、《区块链信息服务管理规定》（国家互联网信息办公室令第3号）等部门规章，以及《互联网跟帖评论服务管理规定》《互联网群组信息服务管理规定》等多部规范性文件，细化网络信息安全的有关要求。同时，《网络安全审查办法》《数据安全管理办法》《儿童个人信息网络保护规定》《个人信息出境安全评估办法》等已经起草完成，并向社会公开征求意见。这些法规制度，既是《网络安全法》的具体配套措施，也是完善网络法律体系的重要内容。

《网络安全法》实施以来，为网络执法活动提供法律依据。

《网络安全法》的法律责任部分规定了丰富的处罚措施，包括警告、罚款（包括单位和直接负责人）、没收违法所得、责令停产停业（包括停业整顿、关闭网站、暂停有关系统运行、停止更新、暂停新用户注册）、吊销相关业务许可证或者吊销营业执照、行政拘留等六类，覆盖了《行政处罚法》所规定的所有行政处罚的种类。罚款和责令整改是依据《网络安全法》处罚的常见手段，几乎所有执法案例中都使用了这两种处罚措施。这些处罚措施为网络安全执法活动提供了充足的依据，大大提高了执法效率和执法效果。同时，《网络安全法》还规定了约谈制度，可以对网络运营者的法定代表人或者主要负责人进行约谈。实践中，对于一些未产生严重后果但可能存在较大安全风险的行为，监管部门也会通过约谈的方式要求其整改。

目前的执法案例包括日志留存、实名制登记、网络安全等级保护、个人信息保护、违法信息等方面，涉及《网络安全法》所规定的各项重要制度。例如，某科技公司因为未履行《网络安全法》第二十一条所规定的日志留存义务被处罚；某招聘网站和某云计算公司因为未履行《网络安全法》第二十四条所规定的实名制登记制度被处罚。对责任人的处罚是《网络安全法》威慑力的重要体现，某学校网站因为违反《网络安全法》第二十一条，未落实网络安全等级保护制度被处罚，该校法定代表人和所在地人民政府分管副县长被约谈，负有直接责任的副校长被处以五千元罚款。违法信息执法活动中，《网络安全法》是最重要的法律依据。不同执法案例中，监管部门分别使用了暂停业务、罚款等处罚手段。例如，四款App因违反《网络安全法》第四十七条，未履行对平台违法信息的管理义务，分别被下架暂停服务3天至3个星期；三家社交平台违反《网络安全法》第四十七条的义务，其中两家被处以最高额五十万元的罚款，另外一家被从重处以罚款。违法信息传播中，群组违法信息管理也是重点之一，网民金某为泄私愤，多次在群组中转发、传播不实信息和谣言，并煽动和组织其他网民参加非法集会，违反《网络安全法》第四十六条的规定，被行政拘留十日。

法律的生命力在于实施。丰富的处罚手段和严格的执法活动，大大提高了《网络安全法》实施后的规范效果，对破坏网络安全的行为形成有效震慑。值得注意的是，《网络安全法》中不仅规定一般的处罚措施，还有从业禁止的内容，对于违反第二十七条规定，受到治安管理处罚的人员，五年内不得从事网络安全管理和网络运营关键岗位的工作；对于受到刑事处罚的人员，终身不得从事网络安全管理和网络运营关键岗位的工作。目前这一条从业禁止的处罚还没有在具体执法中应用过，但其背后的威力也是不言自明的。

在《网络安全法》出台的基础上，未来还应该就网络管理的共性问题推进相关立法活动，如个人信息保护、数据安全等问题，而《个人信息保护法》《数据安全法》也已经列入《十三届全国人大常委会立法规划》。事实上，网络立法的重点是对共性问题进行规制，而这些共性问题在大数据时代似乎可以进一步总结为数据治理。在新时代，网络安全的问题很大程度上是数据安全的问题，如何治理数据，保障数据安全，促进数字经济发展，是下一步网络立法需要思考的前瞻性问题。（方禹，中国信息通信研究院互联网法律研究中心主任；汪丹玉：中国信息通信研究院政策与经济研究所）