网络安全法草案二审的主要内容

更新时间：2022-05-15 16:11:03 找法网官方整理

导读：

网络安全法草案二审的主要内容是对关键信息基础设施及其数据的保护，目的是进一步强化国家维护网络安全的措施，并且加大对危害网络安全行为的惩戒力度。随着互联网的快速发展，人们对网络的依赖逐渐加深，网络安全问题成为了制约网络发展的重要因素。

　　一、网络安全法草案二审的主要内容

　　（一）对关键信息基础设施及其数据的保护

　　全国人大法律委员会27日就网络安全法草案作汇报时表示，一些常委会委员和地方、部门建议对关键信息基础设施的范围不作列举，可由国务院制定配套规定予以明确。

　　对此，二审稿规定，国家对一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

　　二审稿还规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的公民个人信息和重要业务数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的除外。

　　同时，为了鼓励网络运营者自愿参与国家关键信息基础设施保护体系，促进网络运营者、专业机构和政府有关部门之间的网络安全信息共享，并加强对这些信息的保护，二审稿增加规定，国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系；国家网信部门和有关部门在关键信息基础设施保护中取得的信息，只能用于维护网络安全的需要，不得用于其他用途。

　　（二）进一步强化国家维护网络安全的措施

　　二审稿增加规定：国家采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治网络违法犯罪活动，维护网络空间安全和秩序。

　　（三）加大对危害网络安全行为的惩戒力度

　　二审稿增加规定，网络运营者必须遵守法律、行政法规，遵守社会公德、商业道德，诚实信用，履行网络安全保护义务，接受政府和社会公众的监督，承担社会责任。

　　同时，二审稿还增加规定，网络运营者留存网络日志不得少于6个月；网络运营者对有关部门依法实施的监督检查应当予以配合。

　　对网络存在较大安全隐患或者发生安全事件的运营者，有关部门可以按照规定的权限和程序对其法定代表人或主要责任人进行约谈；对故意从事危害网络安全的活动受到治安管理处罚或者刑事处罚的人员，终身不得从事网络安全管理和网络运营关键岗位的工作；对有本法规定的违法行为的，依照有关法律、行政法规的规定记入信用档案，并予以公示。

　　二、专家称“网络安全”的定义需要修改

　　专家对网络安全法草案进行解读。如专家认为草案给出的网络和网络安全这两个定义需要修改，因为现有定义不但丢掉了信息内容安全，更是与“网络空间主权”没有关联。

　　“网络”和“网络安全”是“网络安全法”的题眼。但草案给出的这两个定义却使整篇草案黯然失色，效果有云泥之别。近年的工作中，我们用过“信息安全”，也用过“网络安全”，学者们各抒己见，一些部门也喜欢朝向有利于自身职能的角度去解释，这些自不待言。但中央网络安全和信息化领导小组成立后，已经基本将其统一为“网络安全”。当然，国安委还是使用“信息安全”，《国家安全法》使用的是“网络与信息安全”，但这些已不会造成工作上的障碍。

　　只是这个“网络安全”实是“Cyber Security”之译，非“Network Security”。这里面的“网络”其实指的是“网络空间”（Cyberspace）。因此，当草案试图从“网络空间”的内涵上去解释“网络”时，便挑战了大众的科技常识底线，且出现了“网络是指网络和系统”的尴尬。当然，如果就这么用下去，倒也自成一脉，但草案转眼就去使用狭义的“网络”了，如“建设、运营、维护和使用网络”、“网络基础设施”、“网络数据”、“网络接入”等，这里都是指的“network”。由此，草案中频繁出现自己与自己打架的情况。

　　而草案中的“网络安全”定义也需修改。现有定义不但丢掉了信息内容安全，更是与“网络空间主权”没有关联。

　　解决这个问题的途径是，网络就是网络，不要让网络去包括信息系统。即，自始至终使用传统意义上的“Network”概念。对于“网络安全”，则按“网络空间安全”去解释即可。

　　另外，草案的起草坚持问题导向，对一些确有必要，但尚缺乏实践经验的制度安排做出原则性规定。这一处理十分务实、有益，但对于什么是“原则性规定”则要仔细琢磨。