马宁（西安交通大学法学院）

1987年，我国建成了第一个国际互联网电子邮件节点，并正式向世界发出了第一封电子邮件，标志着我国开始迈入网络时代。1990年，我国正式注册了本国的国际顶级域名CN，并于4年后全功能接入国际互联网，成为网络社会的第77个成员。短短30余年间，我国的网络发展速率迅猛，成为真正意义上的网络大国。

但任何技术的馈赠都有其阴暗面，我们在享受网络带来的便利的同时，也在经历着由此产生的安全风险。我们几乎每个人都饱受骚扰电话、垃圾邮件、网络诈骗、身份盗窃、虚假信息、网络攻击、恶意软件、非法内容和个人信息滥用的困扰，甚至造成重大的财产损失和人身损害。技术的进步同样为网络不法行为提供了便利，催生了各种新型的网络侵权和网络破坏活动，网络安全开始成为全社会关注的普遍性问题，迫切需要法律提供强有力的规范途径。

我国的网络安全法治化进程与我国迈入国际互联网大门几乎是同步的。1994年，我国全功能接入国际互联网，同年，我国即颁布了第一部网络安全立法《计算机信息系统安全保护条例》，标志着网络安全的法治化进程正式开启。2003年，国家信息化领导小组第三次会议通过了《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发〔2003〕27号），明确提出研究起草信息安全法，建立和完善信息安全法律制度，明确社会各方面保障信息安全责任和义务。2011年，“十二五”规划首次纳入“加强网络与信息安全保障”的总体要求，明确提出建立健全网络与信息安全法律法规，将我国的网络安全立法推向全面繁荣阶段。2016年，第十二届全国人民代表大会常务委员会第二十四次会议通过网络安全法，我国拥有了专门的网络安全基本法，网络安全保障开始从诸法分立走向协调统一，在网络安全的法治化进程中具有重要的里程碑意义。

前网络安全法时代的立法特点及其主要关注点

在颁布网络安全法之前，我国的网络安全立法较为零散，有关网络安全的规定散见于多部法律规范中，横跨刑事、民事和行政多个领域。且各法之间缺乏必要的协调和承接，尚未形成系统性的法律体系，被众多学者戏称为“补丁式”立法，呈现出诸法分立的格局。这时的“网络安全”事实上并没有被作为一个整体加以保护，网络安全项下的各类保障要求被作为独立的问题进行立法考量。由于该时期法律规范的“控制域”较为狭窄，诸法分立产生的最大问题就是规范性内容高度重复，法律数量看似较多，但能够提供的规范能力有限。此外，诸法分立也造成监管机构职能边界不明，多头监管情况严重，对网络安全风险重事后惩处，轻事前预警。

尽管诸法分立的弊端十分明显，但这也是国家网络安全法治化进程中的必由阶段。在网络技术应用初期，特别是网络技术的社会化利用之前，由网络技术所引入的风险或矛盾并不能充分暴露出来。网络安全保障具有“攻击先于防御”的特点，法律所产生的规范效果只能针对已经出现或可预测的问题作出安排，这也正是法律滞后性的现实体现。正如所有法律制度均需要在实践中不断丰富、塑造、完善和改良一样，前网络安全法时代的诸法分立同样提供了有益的立法经验，仍然对网络安全保障视域下的国家安全、社会稳定和隐私保护提供了必要的制度支撑。

概括而言，该时期的网络安全立法内容主要关注系统安全和内容安全，对于与公民切身利益密切相关的信息技术利用问题回应较少，但已经渗透进对个人信息保护的立法探索。

首先，总体确立了对网络违法犯罪活动的规制框架。

早在1994年的《计算机信息系统安全保护条例》中就明确规定，任何组织或者个人，不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动，不得危害计算机信息系统的安全。该条规定确立了信息技术合理使用的根本原则，并成为处罚各类网络违法犯罪活动的基础性依据。2000年，第九届全国人民代表大会常务委员会第十九次会议通过了《全国人民代表大会常务委员会关于维护互联网安全的决定》，第一次较为全面地梳理和规定了各类网络违法犯罪活动，确定了四大类十五小类网络违法犯罪行为（见表一）。

针对上述网络违法犯罪活动，《全国人民代表大会常务委员会关于维护互联网安全的决定》规定，构成犯罪的，依据刑法规定追究刑事责任；尚不构成犯罪的，如果违反社会治安管理，则依据治安管理处罚法进行处罚。但是，结合当时的刑法和治安管理处罚法的规定来看，相关条款主要针对计算机信息系统违法犯罪，对于其他网络违法犯罪活动，则采取线上线下同等适用的模式。例如，刑法第285条、第286条集中规定了计算机信息系统类犯罪，包括侵入计算机信息系统，非法获取数据、非法控制计算机信息系统，提供专门用于侵入、非法控制计算机信息系统的程序和工具，对计算机信息系统功能进行删除、修改、增加、干扰，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改和增加，故意制作、传播计算机病毒等破坏性程序等。同时，刑法第287条规定，利用计算机实施的其他犯罪，依照刑法的有关规定定罪处罚。治安管理处罚法第29条也同样作出了类似规定。

表一

其次，注重对网络有害信息的管理。

网络技术的应用为信息生成和传播提供了前所未有的便捷性，但同时也导致了网络有害信息泛滥，特别是在网民逐渐低龄化的态势下，暴力、色情等有害信息正在成为一种新型公害。《中华人民共和国电信条例》《计算机信息网络国际联网安全保护管理办法》《互联网信息服务管理办法》等均明确要求，不得制作、复制、发布、传播九类有害信息，也就是我们俗称的“九不准”（见表二）。

同时，网络运营者或网络服务提供者负有审查和过滤义务，对网络有害信息应当及时删除、屏蔽或断开链接。但是鉴于网络信息的体量过于庞大，苛求网络运营者或网络服务提供者识别和管理所有的网络有害信息会极大地增加安全成本，而且在很多情况下可能根本无法实现。为此，侵权责任法进行了相应的利益平衡，规定了被称为“避风港原则”的网络服务提供者“通知-删除”义务，即仅在网络服务提供者接到网络用户的侵权通知后，未采取必要措施的情况下，对损害扩大的部分承担连带责任。

再次，重点对信息系统实施等级保护。

从我国对网络违法犯罪的规定来看，计算机信息系统安全是该时期网络安全立法的核心内容。针对计算机信息系统安全，我国建立了较为完备的等级保护制度。我国网络安全领域的首部立法《计算机信息系统安全保护条例》即明确规定，计算机信息系统实行安全等级保护。2007年，公安部颁布《信息安全等级保护管理办法》，规定我国的国家信息安全等级保护实施自主定级和自主保护的原则，信息系统的安全保护等级根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。根据这一定级原则，我国将信息系统分为五级，三级以上的信息系统被视为重要信息系统予以重点保护。例如，三级以上信息系统进行备案时需要提交相关材料，需要选择使用符合条件的信息安全产品，需要选择符合条件的等级保护测评机构进行测评等。在此之后，我国陆续颁布了多项关于信息系统定级、备案、安全建设、等级测评和检查等规范信息安全等级保护制度的政策法律文件，形成了较为完善的信息安全等级保护法律体系。

表二

最后，开始对个人信息保护进行立法探索。

到今天为止，我国尚未针对个人信息保护颁布专门立法。但是作为一项公民的基本权利，个人信息保护问题在前网络安全法时代已然开始了探索之路。该时期的个人信息保护相关规定极为匮乏，且主要通过个人隐私或人格尊严间接实现对个人信息的保护，相关规定散见于宪法、民法通则、治安管理处罚法、未成年人保护法、统计法、居民身份证法等多部法律中。2009年，这一情况得到实质性改观，我国刑法修正案（七）增加了侵犯公民个人信息罪，明确规定出售或者非法向他人提供公民个人信息情节严重的，属于犯罪。2012年，第十一届全国人民代表大会常务委员会第三十次会议通过的《全国人民代表大会常务委员会关于加强网络信息保护的决定》全面系统地对公民个人信息保护作出规定，明确提出国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息，不得出售或者非法向他人提供公民个人电子信息。同时，针对个人信息的收集和使用问题，该法规定了网络服务提供者和其他企事业单位收集和使用公民个人电子信息的原则和方法，对收集的公民个人电子信息必须保密，并采取技术措施和其他必要措施防止信息泄露、损毁或丢失。2014年，修订后的消费者权益保护法中明确规定，消费者在购买、使用商品和接受服务时，享有个人信息依法得到保护的权利。此外，2013年，我国制定了《公共及商用服务信息系统个人信息保护指南》标准，涵盖了个人信息全生命周期的系统保护，尽管其不具有法律强制性，但仍然起到了个人信息保护的指引和规范效果，也为未来个人信息保护立法奠定了基础。

网络安全法的体系脉络

2016年，第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》，在我国的网络安全法治化进程中具有里程碑式的重要意义。作为网络安全保障的基本法，网络安全法彻底改变了此前诸法分立的局面，形成了具有整体性、协调性和统一性的网络安全法治体系。事实上，制定统一的网络安全法具有极高的立法难度。如前所述，网络技术的应用已经渗透到社会结构的底层，那么其所产生的行为规范要求便会几乎涉及生产生活的全部领域，这对于任何一部专门立法而言都是难以想象的。针对这一矛盾，我国的网络安全法应当说是颇具智慧的。首先，该法对于前网络安全法时代的规范性要求进行了系统化，将原本极为零散的各类安全事项纳入统一的保障框架中，使网络安全转变为统一的法律客体。其次，该法将前网络安全法时代的重点立法关注点进行了细致化，使其形成独立的安全保障制度。典型的如网络安全等级保护、网络信息内容管理和个人信息保护。再次，该法对内容过于复杂，或目前尚不清晰的特殊问题预留了立法接口。最后，该法将前网络安全法时代所未能关注的发展问题纳入规范体系，明确了网络安全的支持与促进，形成了标准化、社会化服务体系建设、宣传教育和人才培养等相应制度，为网络安全法的进一步完善提供了必要的创新基础。

从我国网络安全法的内容体系来看，其仍然专注于前网络安全法时代的立法重点，将系统安全和内容安全作为最重要的规范事项，但相应的细致程度是此前立法所无法比拟的。同时，网络安全法对于此前诸法分立所导致的“重事后惩处、轻事前预警”的弊端进行了回应，建立了监测预警和应急处置的相应制度，变“被动防御”为“积极防御”，建立了诸多极其实用的网络安全保障制度，对于维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益起到了积极的保障作用。

1.网络运行安全保障

针对系统安全，我国网络安全法侧重于实现网络运行安全，并采取了分类分级的保护思路，在网络安全等级保护制度的基础上，对关键信息基础设施实施特殊保护。针对一般网络，网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。其具体措施包括，制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；采取数据分类、重要数据备份和加密等措施。

由于网络运行安全很大程度上取决于其所使用的网络产品和服务的安全性，为此网络安全法特别强调网络产品和服务的质量，要求网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序，并提供持续性的安全维护。网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。

针对关键信息基础设施，网络安全法对于其安全性提出了更高的保障要求，除满足一般网络的安全保障义务外，关键信息基础设施的运营者还应当设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；定期对从业人员进行网络安全教育、技术培训和技能考核；对重要系统和数据库进行容灾备份；制定网络安全事件应急预案，并定期进行演练。

除此之外，网络安全法还为关键信息基础设施保护量身定做了三大安全保障制度：一是网络安全审查制度，关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家安全审查。二是数据跨境安全评估制度，关键信息基础设施的运营者在我国境内运营中收集和产生的个人信息和重要数据原则上要求在境内存储。但因业务需要，确需向境外提供的，应当进行安全评估。三是年度安全评估，关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估。

2.网络信息安全保障

我国网络安全法确立的网络信息安全保障实质上包含两部分内容，一是个人信息保护制度；二是网络信息内容管理制度。针对个人信息保护，网络安全法对此前有关个人信息保护的规定进行了继承和深化，在明确收集和使用个人信息基本原则的基础上，要求网络运营者采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。规定任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。更为重要的是，网络安全法明确了个人享有的删除权和更正权，个人在发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。

针对信息内容管理，网络安全法更加强调网络用户的自律性，规定任何个人和组织应当对其使用网络的行为负责，不得设立用于实施诈骗，传授犯罪方法，制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通信群组，不得利用网络发布涉及实施诈骗，制作或者销售违禁物品、管制物品以及其他违法犯罪活动的信息。任何个人和组织发送的电子信息、提供的应用软件，不得设置恶意程序，不得含有法律、行政法规禁止发布或者传输的信息。与此同时，网络运营者同样承担必要的信息审查和过滤义务，应当加强对其用户发布信息的管理，发现法律、行政法规禁止发布或者传输的信息，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告。网络运营者还应当建立网络信息安全投诉、举报制度，公布投诉、举报方式等信息，及时受理并处理有关网络信息安全的投诉和举报。

3.监测预警与应急处置

近年来，网络安全风险所具有的“非对称性”越来越明显，攻击者只需要付出很小的成本就能够造成极为严重的后果，而且网络攻击工具变得越来越便利且容易获得，这意味着任何信息系统所可能遭遇的潜在威胁将越来越严重。在很多情况下，等到安全事件发生后再采取应对措施已然毫无意义。为此，我国的网络安全法专章对网络安全监测预警和应急处置进行规定，要求建立网络安全监测预警和信息通报制度，建立健全网络安全风险评估和应急工作机制，制定网络安全事件应急预案，并定期组织演练。其中，监管机构承担主要的安全保障职责。当网络安全事件发生的风险增大时，省级以上人民政府有关部门应当按照规定的权限和程序，并根据网络安全风险的特点和可能造成的危害，采取有效措施，包括要求有关部门、机构和人员及时收集、报告有关信息，加强对网络安全风险的监测；组织有关部门、机构和专业人员，对网络安全风险信息进行分析评估，预测事件发生的可能性、影响范围和危害程度；向社会发布网络安全风险预警，发布避免、减轻危害的措施。其在网络安全监督管理过程中，发现存在较大安全风险或者发生安全事件的，可以对该网络运营者的法定代表人或者主要负责人进行约谈。网络运营者应当按照要求采取措施，进行整改，消除隐患。当发生网络安全事件后，应当立即启动网络安全事件应急预案，对网络安全事件进行调查和评估，要求网络运营者采取技术措施和其他必要措施，消除安全隐患，防止危害扩大，并及时向社会发布与公众有关的警示信息。

在网络安全法颁布实施之后，可以发现我国陆续制定并颁布了大量专门性的配套法规，网络安全的法治化开始进入到全面繁荣时期。例如针对网络运行安全的《网络安全等级保护条例（征求意见稿）》；针对关键信息基础设施保护的《关键信息基础设施安全保护条例（征求意见稿）》《网络产品和服务安全审查办法（试行）》；针对网络信息内容安全的《互联网新闻信息服务管理规定》《互联网信息内容管理行政执法程序规定》《互联网跟帖评论服务管理规定》《微博客信息服务管理规定》《互联网群组信息服务管理规定》；针对个人信息保护的《个人信息和重要数据出境安全评估办法（征求意见稿）》《数据安全管理办法（征求意见稿）》《儿童个人信息网络保护规定》；针对监测预警和应急处置的《工业控制系统信息安全事件应急管理工作指南》等。

这得益于网络安全法奠定的良好基础，通过梳理网络安全法的体系脉络可以发现，网络安全法的积极意义并不在于其内容多么完备——事实上，在很多制度层面，现有规定仍然是原则性和框架式的——而在于其对于纷繁复杂的网络安全保障事项进行了协调统一，使之体系化、系统化，将以前的分散保护转变为整体保护，并对若干安全保障制度预留了立法接口，在未来可以很快形成完整的网络安全保障法律体系，极大促进了国家网络安全保障能力的提升。