一、重大歷史進步

　　網(wǎng)絡安全不是今天才重要，網(wǎng)絡安全立法也不是今天才迫切。十二年前的中央文件曾罕見地以書名號明確了立法任務，可見決心之巨。只是網(wǎng)絡安全立法之路實在艱辛，時國務院信息辦審時度勢，由信息安全條例角度入手，并連續(xù)數(shù)年推動其列入國務院法制辦二類立法計劃，之后未能再進一步。2008年后，國務院信息辦職能整體劃轉(zhuǎn)至工業(yè)和信息化部，有關(guān)方面意識到制定條例未必就比人大立法容易，且國務院行政法規(guī)無力調(diào)整現(xiàn)行上位法的法律規(guī)定，遂決定返回制定信息安全法。然而國民經(jīng)濟和社會發(fā)展頗多領(lǐng)域亟待立法，國家立法資源有限，每個部門允許提出的立法建議屈指可數(shù)。工業(yè)和信息化部既要考慮信息化立法，還要考慮工業(yè)立法，一半指標已不得用，而信息化方向還有一部歷史更為悠久的電信法望眼欲穿，信息安全法終究連個隊都沒排上。期間，人大建議、政協(xié)提案不計其數(shù)，社會公眾翹首以盼，均無果。

　　此次草案公開征求意見，表明這項工作進入了實質(zhì)性立法程序，這是一個重大歷史進步。歡欣鼓舞之所在，不是因為草案具體內(nèi)容，而源于征求意見本身的象征意義。時至今日，我們對網(wǎng)絡安全立法不是搞清楚、看明白了，而是問題更多、更復雜了，很多觀點分歧可能更大了，網(wǎng)絡安全立法難度不降反升，但突破恰恰在此時。中央網(wǎng)絡安全和信息化領(lǐng)導小組成立后，中央領(lǐng)導同志英明決策，切實將網(wǎng)絡安全提升到了國家安全和發(fā)展的高度，不但作出“網(wǎng)絡強國”的全局戰(zhàn)略部署，更扎實推進各項工作取得積極進展。網(wǎng)絡安全宣傳周、網(wǎng)絡空間安全一級學科等，無一不歷經(jīng)多年論證而蹉跎，今朝方開花結(jié)果。

　　誠然，網(wǎng)絡安全立法工作十分艱巨，草案肯定有這樣那樣的問題，但今天的一小步，是國家網(wǎng)絡安全工作的一大步。我們應該寬容它、呵護它，使其不斷成熟、更加科學，成長為護佑國家網(wǎng)絡安全和信息化發(fā)展的參天大樹。

　　二、彰顯國家意志，確立基本原則

　　草案在“總則”和“網(wǎng)絡安全戰(zhàn)略、規(guī)劃與促進”部分提出的宣示性條款遠較其他法律為多，還設立一條倡導性條款(即“倡導誠實守信、健康文明的網(wǎng)絡行為”)。作為我國網(wǎng)絡安全的基本法，這些“軟性”法律規(guī)定確有必要，其意在于宣示國家網(wǎng)絡安全工作的基本原則，明確建設網(wǎng)絡安全保障體系的主要舉措，從而為整體推進保障體系建設提供法律依據(jù)。

　　一是堅持網(wǎng)絡安全和信息化發(fā)展并重原則。網(wǎng)絡安全和信息化是一體之兩翼，驅(qū)動之雙輪，要堅持以安全保發(fā)展、以發(fā)展促安全，不能簡單地通過不上網(wǎng)、不共享、不互聯(lián)互通來保安全，或者片面強調(diào)建專網(wǎng)。要努力實現(xiàn)技術(shù)創(chuàng)新和體制機制創(chuàng)新，不斷增強維護網(wǎng)絡安全的新思路、新方法、新舉措、新本領(lǐng)，而不是因噎廢食、自甘落后。

　　二是提出了網(wǎng)絡空間主權(quán)。網(wǎng)絡空間主權(quán)是國家主權(quán)在網(wǎng)絡空間的體現(xiàn)和延伸，網(wǎng)絡空間主權(quán)原則是我國維護國家安全和利益、參與網(wǎng)絡空間國際合作所堅持的重要原則。草案雖未作解釋，且一筆帶過，然猶有石破天驚之意。

　　三是開展國際合作。網(wǎng)絡安全是全球面臨的共同問題，中國對廣泛開展國際合作持積極態(tài)度，合作重點包括但不限于網(wǎng)絡治理、技術(shù)與標準、打擊違法犯罪等，目標是推動構(gòu)建和平、安全、開放、合作的網(wǎng)絡空間。

　　四是建立統(tǒng)籌協(xié)調(diào)、分工負責的網(wǎng)絡安全管理體制。多年實踐和各國經(jīng)驗表明，網(wǎng)絡安全工作離不開統(tǒng)籌協(xié)調(diào)。隨著中央網(wǎng)絡安全和信息化領(lǐng)導小組的成立，有必要通過立法增強領(lǐng)導小組及其辦公室的權(quán)威性。草案規(guī)定，國家網(wǎng)信部門負責統(tǒng)籌協(xié)調(diào)網(wǎng)絡安全工作和相關(guān)監(jiān)督管理工作。具體包括，對監(jiān)測預警和信息通報、網(wǎng)絡安全應急、關(guān)鍵信息基礎(chǔ)設施安全防護等跨部門工作，由網(wǎng)信部門統(tǒng)籌協(xié)調(diào);對網(wǎng)絡安全審查、重要數(shù)據(jù)跨境流動安全評估等新出現(xiàn)的綜合性管理工作，由網(wǎng)信部門會同國務院有關(guān)部門制定辦法或組織實施。由此，政府向解決分散、多頭和重復管理邁出了關(guān)鍵一步。

　　五是加強行業(yè)自律。要充分發(fā)揮行業(yè)組織作用，指導行業(yè)組織成員加強網(wǎng)絡安全防護，促進行業(yè)健康發(fā)展。

　　六是強化網(wǎng)絡安全頂層設計。頂層設計至關(guān)重要，首先是要制定網(wǎng)絡安全國家戰(zhàn)略，對外宣示主張，對內(nèi)指導工作;其次要由行業(yè)主管部門、其他有關(guān)部門制定重點行業(yè)、重點領(lǐng)域網(wǎng)絡安全規(guī)劃，確保戰(zhàn)略落地，確保這些行業(yè)和領(lǐng)域的網(wǎng)絡安全工作有目標、有任務、有舉措、有監(jiān)督。

　　七是建立和完善網(wǎng)絡安全標準體系，充分發(fā)揮標準在網(wǎng)絡安全建設中的指導性、規(guī)范性作用。

　　八是加大財政投入，以加快產(chǎn)業(yè)發(fā)展，深化技術(shù)研發(fā)，提升網(wǎng)絡安全創(chuàng)新能力。

　　九是做好宣傳教育和人才培養(yǎng)工作。首先，要開展經(jīng)常性的網(wǎng)絡安全宣傳教育;其次，要通過學歷教育和在職培訓，采取多種方式培養(yǎng)網(wǎng)絡安全人才。

　　三、關(guān)鍵信息基礎(chǔ)設施保護工作進入正軌

　　關(guān)鍵信息基礎(chǔ)設施保護(CIIP)是各國的通行舉措。雖然關(guān)鍵基礎(chǔ)設施保護(CIP)涉及物理設施安全，與前者不完全一致，但兩者在多數(shù)情況下已可以混用。CIIP/CIP一直是各國網(wǎng)絡安全戰(zhàn)略的重點，有的國家甚至以CIIP/CIP戰(zhàn)略代指國家網(wǎng)絡安全戰(zhàn)略。我們國家在2003年時已經(jīng)要求“重點保障基礎(chǔ)信息網(wǎng)絡和重要信息系統(tǒng)安全”，并且在實踐中明確了基礎(chǔ)信息網(wǎng)絡是廣電網(wǎng)、電信網(wǎng)、互聯(lián)網(wǎng)，重要信息系統(tǒng)是銀行、證券、保險、民航、鐵路、電力、海關(guān)、稅務等行業(yè)的系統(tǒng)，即俗稱的“2+8”，相關(guān)保護工作也常抓不懈。但整體而言，我們與國外差距很大，已是國家安全的軟肋，草案為此設立了“關(guān)鍵信息基礎(chǔ)設施的運行安全”一節(jié)。

　　一是擴展了保護范圍�？v觀世界各國，凡是已經(jīng)開展了網(wǎng)絡安全建設的國家，其關(guān)鍵基礎(chǔ)設施的范圍幾乎都遠超過我們，例如美國有17類，而我們則有很多重要系統(tǒng)尚未納入保護視野。草案首次明確了關(guān)鍵信息基礎(chǔ)設施范圍，包括基礎(chǔ)信息網(wǎng)絡、重點行業(yè)信息系統(tǒng)、公共服務領(lǐng)域重要信息系統(tǒng)、軍事網(wǎng)絡、地市級以上國家機關(guān)政務網(wǎng)絡、用戶數(shù)量眾多的網(wǎng)絡服務商系統(tǒng)。最后一類系統(tǒng)中很多由私企運營，運營者可能對其列為國家關(guān)鍵信息基礎(chǔ)設施不適應，但當網(wǎng)絡服務商的用戶達到一定規(guī)模時，其安全已經(jīng)不再是企業(yè)自身問題，而成為一個公共問題、社會問題甚至國家安全問題，理應承擔更多責任。一些國外機構(gòu)可能會拿這個做文章，但事實上美國的關(guān)鍵基礎(chǔ)設施有87%受私營企業(yè)控制。

　　二是明確了保護要求。等級保護是1994年《計算機信息系統(tǒng)安全保護條例》提出的制度，其對全國各類信息系統(tǒng)提出了分五個等級的通用安全要求。恰恰因為通用，這個要求只能是基線(即基本要求)，其有必要但并不足夠，特別是不足以反映應用模式日趨復雜的異構(gòu)系統(tǒng)的動態(tài)防護需求。此外，保護關(guān)鍵信息基礎(chǔ)設施涉及很多工作，不僅僅是提出系統(tǒng)自身的保護要求、加強系統(tǒng)安全建設那么簡單，還包括一系列的管理工作和公共平臺建設，不能由一項制度取代其他制度，理應對此建立專門制度。草案提出，關(guān)鍵信息基礎(chǔ)設施安全保護辦法由國務院制定。對于某些重點要求，如網(wǎng)絡安全審查、風險評估等，草案則在具體條款中進行了明確。

　　三是劃定了保護責任。草案規(guī)定了關(guān)鍵信息基礎(chǔ)設施運營者的安全保護義務，解決了其保護責任模糊不明的問題。他們有必要從國家安全角度承擔防護責任，但這個責任畢竟是有界限的。大家希望知道做到什么程度就無責了，也關(guān)心自身的權(quán)利如何保障。對很多重點行業(yè)的信息技術(shù)或網(wǎng)絡安全部門來說，這不僅僅是免責的需要，也是推動工作的需要，因為這些內(nèi)設機構(gòu)如果沒有強制性依據(jù)，很難得到業(yè)務部門的配合。此外，以前我國重點行業(yè)的網(wǎng)絡安全監(jiān)管責任也很不明確。似乎誰都可以進入機房檢查，但誰都不用負責，重點行業(yè)往往無所適從、疲于應付。為此，草案明確了行業(yè)主管部門的監(jiān)督指導職責，這是一個重要進步�？紤]到關(guān)鍵信息基礎(chǔ)設施保護的確涉及多個部門，草案授權(quán)國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)有關(guān)部門，建立協(xié)作機制。特別是在網(wǎng)絡安全檢查工作中，要杜絕某個部門前腳走，另一部門后腳來的現(xiàn)象。

　　四、兼具綜合法與專門法的特點

　　網(wǎng)絡安全包含的內(nèi)容太多，當前需要立法規(guī)范的事項也很多，于是就有了綜合法與專門法的爭議。一個基本事實是，目前世界上鮮見網(wǎng)絡安全的綜合法，有名的美國《計算機安全法》實際上針對的是美國聯(lián)邦政府信息系統(tǒng)安全保護，近幾年美國國會討論的《網(wǎng)絡安全法》或《網(wǎng)絡安全增強法》則主要解決關(guān)鍵基礎(chǔ)設施的安全保護問題。

　　作為第一部網(wǎng)絡安全法(《電子簽名法》不應該計算在內(nèi))，草案首先要體現(xiàn)綜合性，其側(cè)重點應該在以下四個方面：

　　一是要明確部門、企業(yè)、社會組織和個人的權(quán)利、義務和責任。

　　二是規(guī)定國家網(wǎng)絡安全工作的基本原則和理念。

　　三是將成熟的政策規(guī)定和措施上升為法律，為政府部門的工作提供法律依據(jù)，體現(xiàn)依法治國要求。這首先是政府部門的工作需要(如對境外違法信息予以阻斷、實施網(wǎng)絡通信管制等);其次，這些規(guī)定和措施往往經(jīng)過了實踐檢驗，部門間爭議較小，有利于提高立法效率。

　　四是建立國家網(wǎng)絡安全的一系列基本制度、形成制度框架，這些基本制度帶有全局性、基礎(chǔ)性，是推動基礎(chǔ)性工作、夯實基礎(chǔ)能力所必需。

　　此外，為了突出實用性，草案還應部分體現(xiàn)專門法的特點。這應從三個方面去考慮：

　　一是實施重點防護，對關(guān)鍵信息基礎(chǔ)設施、網(wǎng)絡信息內(nèi)容等重點安全關(guān)注予以優(yōu)先考慮。

　　二是防范重大威脅。例如，信息系統(tǒng)安全受控于人是我們面臨的心腹大患，斯諾登事件使我們進一步看清風險所在，這就要對供應鏈安全進行規(guī)范。

　　三是對普遍性、長期存在的社會訴求予以響應。

　　總體看，草案比較好地處理了綜合法與專門法的關(guān)系問題，但個別條款還是過于糾結(jié)細枝末節(jié)(如網(wǎng)絡運營者的分項安全保護義務不必展開)，或細致到了足可取代部分專門法的地步(如個人信息保護應制定專門法，原有條款似可刪減后將重心轉(zhuǎn)向規(guī)范信息內(nèi)容安全)。除了個人信息外，草案沒有突出對公民個人權(quán)益的更多保護，如對危害網(wǎng)絡安全行為的舉報并不是為了解決公民作為受害者“報案無門”的困窘，這不能不說是小的遺憾。

　　五、“網(wǎng)絡安全”的定義還可以更為妥帖

　　“網(wǎng)絡”和“網(wǎng)絡安全”是“網(wǎng)絡安全法”的題眼。但草案給出的這兩個定義卻使整篇草案黯然失色，效果有云泥之別。近年的工作中，我們用過“信息安全”，也用過“網(wǎng)絡安全”，學者們各抒己見，一些部門也喜歡朝向有利于自身職能的角度去解釋，這些自不待言。但中央網(wǎng)絡安全和信息化領(lǐng)導小組成立后，已經(jīng)基本將其統(tǒng)一為“網(wǎng)絡安全”。當然，國安委還是使用“信息安全”，《國家安全法》使用的是“網(wǎng)絡與信息安全”，但這些已不會造成工作上的障礙。

　　只是這個“網(wǎng)絡安全”實是“CyberSecurity”之譯，非“NetworkSecurity”。這里面的“網(wǎng)絡”其實指的是“網(wǎng)絡空間”(Cyberspace)。因此，當草案試圖從“網(wǎng)絡空間”的內(nèi)涵上去解釋“網(wǎng)絡”時，便挑戰(zhàn)了大眾的科技常識底線，且出現(xiàn)了“網(wǎng)絡是指網(wǎng)絡和系統(tǒng)”的尷尬。當然，如果就這么用下去，倒也自成一脈，但草案轉(zhuǎn)眼就去使用狹義的“網(wǎng)絡”了，如“建設、運營、維護和使用網(wǎng)絡”、“網(wǎng)絡基礎(chǔ)設施”、“網(wǎng)絡數(shù)據(jù)”、“網(wǎng)絡接入”等，這里都是指的“network”。由此，草案中頻繁出現(xiàn)自己與自己打架的情況。

　　而草案中的“網(wǎng)絡安全”定義也需修改。現(xiàn)有定義不但丟掉了信息內(nèi)容安全，更是與“網(wǎng)絡空間主權(quán)”沒有關(guān)聯(lián)。

　　解決這個問題的途徑是，網(wǎng)絡就是網(wǎng)絡，不要讓網(wǎng)絡去包括信息系統(tǒng)。即，自始至終使用傳統(tǒng)意義上的“Network”概念。對于“網(wǎng)絡安全”，則按“網(wǎng)絡空間安全”去解釋即可。

　　另外，草案的起草堅持問題導向，對一些確有必要，但尚缺乏實踐經(jīng)驗的制度安排做出原則性規(guī)定。這一處理十分務實、有益，但對于什么是“原則性規(guī)定”則要仔細琢磨。