光明網     

2017年6月1日,，《中華人民共和國網絡安全法》正式實施,。作為我國互聯(lián)網領域第一部專門法律,，《網絡安全法》申明了網絡主權原則,，建立了關鍵信息基礎設施保護制度，明確了互聯(lián)網信息內容管理部門,、網絡運營者與個人在網絡安全保護領域的權利與義務,，進一步完善了個人信息保護規(guī)則，并為構建網絡安全法律法規(guī)體系提供了基礎性依據,。五年來,，《網絡安全法》取得了以下成效。

第一,，以網安法為基礎構建的網絡安全法規(guī)體系逐漸健全,。在網絡信息內容治理領域，網安法與《網絡信息內容生態(tài)治理規(guī)定》《互聯(lián)網信息服務算法推薦管理規(guī)定》等法規(guī)有效打擊了網絡傳播違法不良信息行為,，規(guī)范了網絡信息服務提供者的運營行為,。在個人信息保護領域，網安法與《民法典》《個人信息保護法》《數據安全法》《關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規(guī)定》等法律法規(guī)為隱私權與個人信息權益提供法律保障,。在數據安全領域,，網安法與《數據安全法》《區(qū)塊鏈信息服務管理規(guī)定》《汽車數據安全管理若干規(guī)定（試行）》等法律法規(guī)共同構建了兼顧維護數據安全與促進數據流動的平衡機制。第二,，網絡安全治理的社會參與更加廣泛,，全國各級網絡舉報部門受理舉報數量由2017年的5263.9萬件上升為2020年的16319.2萬件。第三,，互聯(lián)網信息內容管理部門開展的網絡空間治理專項活動規(guī)范化提升,，治理能力不斷加強。在執(zhí)法依據上,，互聯(lián)網領域法律與互聯(lián)網細分領域配套制度逐步建立,，進一步規(guī)范和保障了互聯(lián)網信息內容管理部門依法履行行政執(zhí)法職責。在治理主體上,，國家網信辦積極與國家工業(yè)和信息化部等部門合作,，多部門聯(lián)合推進《網絡安全法》實施落地，積極構建協(xié)同聯(lián)動的網絡安全保障體系,。此外,，國家網信辦還通過政企聯(lián)動,、行業(yè)自治引導企業(yè)增強自治意識，督促企業(yè)履行社會責任,，提高了監(jiān)管效能,。

武漢大學網絡安全學院將以關鍵信息基礎設施、網絡信息與跨境數據流動中的網絡安全保護,、網絡安全信息共享制度以及相應法律責任為切入,，介紹我國以網安法為基礎構建的兼顧網絡安全保護與促進信息流動的平衡機制。

一,、關鍵信息基礎設施的網絡安全保護

依據《網絡安全法》第31條對關鍵信息基礎設施的定義,，可以界明關鍵信息基礎設施的范圍。關鍵信息基礎設施包括可能影響國家安全,、公共安全,、國計民生的基礎網絡，重要信息系統(tǒng),，政務網絡,，以及可能影響國家安全數據所在的信息系統(tǒng)。依據《國家網絡安全操作指南》對《網絡安全法》第三十一條的進一步細化規(guī)定,，可以根據基礎設施的不同性質將其劃分為網站類,、平臺類以及業(yè)務生產類三大類，再對不同大類下所涉及的不同生產生活的方面進行細分規(guī)定,。具體類別如下圖所示：

關鍵信息基礎設施的法律主體包括參與到保護過程中,，擁有監(jiān)督、安全審查,、應急演練等權利的管理者和承擔安全保護管理義務的運營者,，依據《網絡安全法》的規(guī)定，關鍵信息基礎設施制度的法律主體范圍以及相應的權利義務內容如下,。

關鍵信息基礎設施的管理者是指具備管理關鍵信息基礎設施義務的國家行政機關,。關鍵信息基礎設施保護制度以頂層設計、整體防護,、統(tǒng)籌協(xié)調,、分工負責為原則。其中頂層設計就是由國家網信部門負責統(tǒng)籌協(xié)調,，國務院電信主管部門,、公安部門和國務院標準化行政主管部門等分工負責。而《關鍵信息基礎設施保護條例》將分工部門又增加了國家安全,、國家保密行政管理等部門,。管理者作為進行頂層設計的國家行政機關部門，占據著基礎設施運行管理法律關系的主導地位，依據《網絡安全法》中的相關規(guī)定,，管理者主要享受下列權利：管理權,、執(zhí)法權、司法權,、監(jiān)督權、建設整改權,。

關鍵信息基礎設施的運營者作為重要的參與者,，保障著基礎設施、網絡平臺,、產品服務的信息數據的安全,，責任重大?！毒W絡安全法》中對于運營者應當承擔的義務作出了以自愿承擔為原則的規(guī)定,，其中表明，除了法定主體以外,，其他自愿參與關鍵信息基礎設施保護的主體,，包括企業(yè)，人民群體等,，都可以成為保護制度主體的一份子,。關鍵信息基礎設施的運營者由于參與者的身份具有多樣性，其中包括關鍵信息基礎設施的所有者,、管理者和網絡服務提供者,。所以依據他們的不同參與身份而享有不同方向和領域的權利和義務，其中拋棄他們之間的差異性,，而應當共同享有的權利主要包括：關鍵信息基礎設施的所有權,、運營管理的參與權，監(jiān)督意見權,、監(jiān)測評估權,、相關信息收集使用權等。

近年來,，全球范圍內針對關鍵信息基礎設施的網絡攻擊時間逐年攀升,各國網絡安全保障措施雖然頗有成效但依然難以抵御外部風險,。關鍵信息基礎設施一旦遭到破壞，影響范圍廣,，對于經濟發(fā)展,、政治安全和國家安全都可能帶來嚴重危害。加強關鍵信息基礎設施保護,，強化關鍵信息基礎設施保護能力,，防范關鍵信息基礎設施安全風險對于國家網絡安全具有重要意義。

以金融基礎設施為例，近年來銀行業(yè)金融機構是網絡攻擊的重災區(qū),，尤其信息泄漏,、黑客攻擊呈高發(fā)態(tài)勢，如影響全球金融業(yè)的“SWIFT驚天銀行大劫案”,、2013年2月2月中國人壽80萬名客戶個人保單信息泄露事件等等,，銀行業(yè)及金融機構的網絡安全態(tài)勢非常嚴峻。因此,，《網絡安全法》中明確指出金融機構是關鍵信息基礎設施的運營者,，一方面，突出了金融行業(yè)的戰(zhàn)略地位和價值,，另一方面,，也明確了金融機構做好自身網絡安全工作的義務和責任。

自《網絡安全法》落地以來,，隨著國家對金融基礎設施安全和金融消費者權益保護的重視,，相關的法律法規(guī)陸續(xù)出臺，形成了包括個人信息保護,、金融信息處理與跨境傳輸合規(guī),、網絡安全等級保護、網絡及數據安全審查,、金融消費者權益保護,、金融信息保護內控制度在內六個方面的制度組合，向金融行業(yè)相關機構施加了嚴格的信息及數據安全方面的合規(guī)義務,，從而預防金融行業(yè)網絡安全風險,。

二、網絡信息安全保護

《網絡安全法》與《個人信息保護法》等法律法規(guī)除了賦予私人就個人信息權益受侵害提起民事訴訟的權利,，還賦予檢察機關在公民個人信息遭受損害時提起民事公益訴訟的權力,。檢察機關聚焦網絡時代公民個人信息保護更高需求，依法履行公益訴訟檢察職能,，堅決維護個人信息安全,。2021年檢察機關共辦理個人信息保護領域公益訴訟案件2000余件，同比上升近3倍,。

2021年8月通過的《個人信息保護法》專設公益訴訟條款,，明確將個人信息保護納入檢察公益訴訟法定領域。檢察機關在辦案中發(fā)現,，當前個人信息保護面臨四個突出問題,，須加強綜合治理。一是利用手機App等違規(guī)收集個人信息問題突出,，存在強制授權,、過度索權、超范圍收集個人信息等情況。2021年,，檢察機關共辦理網絡侵害個人信息公益訴訟案件800余件,，同比上升約1.7倍。二是特定群體個人信息需要加大保護力度,，未成年人,、老年人等群體防范意識薄弱，更易成為個人信息侵害的對象,。三是個人信息泄露導致騷擾電話和電信網絡詐騙風險,。四是個人信息保護監(jiān)管合力不足。個人信息保護涉及對象多,、領域廣，多個部門職責交叉或者職權定位不夠明晰,，亟須形成監(jiān)管合力,。

下一步，檢察機關將繼續(xù)加大公益訴訟辦案力度,，推動個人信息保護法落地落實,。一是突出保護重點，聚焦重點人員,、重點領域,，為個人信息安全保駕護航。具體而言,，在保護重點上,，嚴格保護生物識別、宗教信仰,、特殊身份,、醫(yī)療健康、金融賬號,、行蹤軌跡等敏感個人信息,；在保護對象上，特別保護兒童,、婦女,、殘疾人、老年人,、軍人等特定群體的個人信息,；在保護領域上，重點保護教育,、醫(yī)療,、就業(yè)、養(yǎng)老、消費等領域處理的個人信息以及涉100萬人以上的大規(guī)模個人信息,，同時精準保護因時間,、空間等聯(lián)結形成的特定對象的個人信息。二是強化檢察機關內部銜接配合,，充分發(fā)揮檢察一體化辦案優(yōu)勢,，積極應對個人信息公益損害網絡化。檢察機關將繼續(xù)暢通內部線索審查移送機制,，注重在涉及個人信息保護的刑事,、民事、行政檢察案件中同步發(fā)現公益訴訟案件線索,，加強全流程,、全鏈條保護，實現懲治違法和保護公益的多重效果,。三是形成個人信息保護監(jiān)管合力,。檢察機關將加強與網信、工信,、公安,、市場監(jiān)管、教育等職能部門在線索移送,、信息共享,、專業(yè)咨詢、辦案輔助等方面的協(xié)作配合,，健全行政執(zhí)法與公益訴訟檢察銜接機制,，積極穩(wěn)妥辦理涉及網絡黑灰產、數據安全的重大網絡侵害類公益訴訟案件,。并且,，檢察機關還加強與法院的溝通協(xié)調，深化個人信息保護公益訴訟制度探索,。此外,，檢察機關還將通過提出檢察建議等方式，督促相關單位或部門采取有效防范措施,，筑牢個人信息保護“防火墻”,。

三、跨境數據流動中的網絡安全保護

在經濟貿易全球化的背景下,，跨境數據流動不斷加速,，在發(fā)揮著降低企業(yè)成本、盤活線上跨境交易,、支撐企業(yè)國際運營,、促進國際執(zhí)法合作等積極作用的同時,，也對各國的國家安全、產業(yè)發(fā)展和個人的隱私保護等造成了威脅,。例如,，近年來科技巨頭濫用數據、境外暗網售賣個人數據等惡性事件層出不窮,，2013年的“棱鏡門事件”更是引發(fā)了世界關注,，讓世界各國深刻地認識到跨境數據流動會給國家安全與個人隱私帶來巨大風險，進而推動了全球跨境數據流動研究和立法潮流,。我國在國家安全主視角下,，數據跨境流動規(guī)則體系日漸完善，監(jiān)管力度逐步加強,，目前我國主要從個人信息,、重要數據、國家秘密,、行業(yè)數據以及出口管制,、境外調取進行多維度的跨境活動監(jiān)管。

回溯我國數據跨境流動的法律體系構建過程,，從最初的《網絡安全法》中對個人信息和重要數據的跨境行為規(guī)范，到立法活動更多落腳于個人信息方向,。隨著數字經濟發(fā)展,，數據作為生產要素不僅關涉到個人隱私安全，部分重要數據可能會對于國家安全造成影響,，我國隨即出臺《數據安全法》等相關法律法規(guī)對重要數據的跨境活動進行規(guī)制,。各個行業(yè)監(jiān)管部門也在相關法律指引下，針對各自領域的敏感數據,、重要數據進行跨境流動行為規(guī)范,。

具體而言，我國對于數據跨境主要從兩個維度進行規(guī)制,，一是本地化限制,，按照目前中國相關法律法規(guī)，本地化要求更多適用于關鍵信息基礎設施運營者（“CIIO”）,，要求其在境內運營過程中收集和產生的個人信息和重要數據都應當在境內進行存儲,。同時部分行業(yè)敏感數據也存在分散的本地化要求，包括但不限于征信業(yè),、銀行業(yè),、汽車制造業(yè)等接觸敏感數據、重要數據較為頻繁的領域,。二是限制性數據跨境,，我國目前對于數據跨境活動主要采取限制性規(guī)范,，要求數據控制主體在數據跨境活動前需符合法律規(guī)定條件或按照規(guī)定完成安全評估、保護認證等條件,。

通觀我國和全球主要國家和地區(qū)數據跨境流動治理模式與規(guī)制規(guī)則,，跨境數據流動治理已經成為經濟發(fā)展和時代發(fā)展的必然要求，全球數據跨境治理正處于高速發(fā)展階段,，數據跨境流動背后不僅為數據安全風險,，更是逐步涉及國家競爭問題。自我國《網絡安全法》實施的五年以來,，我國緊隨國際數據流動治理熱潮,，在總體國家安全觀視角下結合國家現實需求搭建了較為完善的中國特色的數據治理體系，通過各項跨境數據領域的法律法規(guī)的不斷完善以促進公民權益,、經濟發(fā)展,、國家安全等目標的有機協(xié)同，在飛速發(fā)展與安全保障中找到可實現數據價值最大化的平衡點,。

四,、網絡安全信息共享制度的完善

近年來來自境內外網絡安全威脅問題的日益嚴峻，通過建立網絡安全信息共享機制這一方式提高主體防御網絡風險的能力,、最小化網絡攻擊的損害后果,，同時降低安全維護成本，成為系統(tǒng)性構筑我國網絡安全堡壘的一大舉措,。

我國《網絡安全法》第三十九條中規(guī)定“促進有關部門,、關鍵信息基礎設施的運營者以及有關研究機構、網絡安全服務機構等之間的網絡安全信息共享”,，這是“網絡安全信息共享”首次以立法的形式展現并對此作出了原則性規(guī)定,。而2021年9月1日起施行的《關鍵信息基礎設施安全保護條例》第二十三條明確規(guī)定“國家網信部門統(tǒng)籌協(xié)調有關部門建立網絡安全信息共享機制，及時匯總,、研判,、共享、發(fā)布網絡安全威脅,、漏洞,、事件等信息，促進有關部門,、保護工作部門,、運營者以及網絡安全服務機構等之間的網絡安全信息共享”，試圖以關鍵信息基礎設施為切入口,，逐步構建我國網絡安全信息共享機制,。全國信息安全標準化技術委員會日前發(fā)布了《信息安全技術 網絡安全信息共享指南》（征求意見稿），試圖進一步規(guī)范網絡安全信息共享的具體措施,，打通網絡安全信息共享的技術壁壘,。

網絡安全信息共享制度建設是法治國家面對當前嚴峻的網絡安全形勢所做出的理性選擇,。此種風險社會多利益主體協(xié)同共治的模式，在結合中國的實際情況的基礎上,，能夠有效發(fā)展網絡安全信息共享戰(zhàn)略,，不斷優(yōu)化網絡空間安全環(huán)境，及時增強應對網絡安全威脅的能力,。

五,、法律責任

《網絡安全法》為未履行網絡運行安全義務、未履行網絡產品和服務安全義務以及違反用戶身份管理規(guī)定,、違法開展網絡安全服務活動,、實施危害網絡安全行為、侵犯個人信息權利,、違反關鍵信息基礎設施采購國家安全審查規(guī)定,、違反關鍵信息基礎設施數據境內存儲和對外提供規(guī)定、利用網絡從事與違法犯罪相關的活動等違法行為規(guī)定了一系列行政責任,。刑法第二百八十五條至第二百八十七條以及刑法第二百五十三條之一,，規(guī)定了非法侵入計算機信息系統(tǒng)、破壞計算機信息系統(tǒng),、拒不履行信息網絡安全管理義務,、非法利用信息網絡、幫助信息網絡犯罪活動以及侵犯公民個人信息權益的刑事責任,?！秱€人信息保護法》與《民法典》規(guī)定了侵犯公民個人信息的民事責任。在各部門法的協(xié)作下,，我國已構建起完整的保障網絡安全的法律責任體系。

以拒不履行網絡安全管理義務罪為例,，其是指網絡服務提供者不履行法律,、行政法規(guī)規(guī)定的信息網絡安全管理義務，經監(jiān)管部門責令采取改正措施而拒不改正,，致使違法信息大量傳播的,、或致使用戶信息泄露，造成嚴重后果的,、或致使刑事案件證據滅失,，情節(jié)嚴重的行為?！毒W絡安全法》基于國家總體安全觀,，為網絡運營者、網絡產品或者服務的提供者構建了系統(tǒng)且完備的網絡安全管理義務體系,，對于違反《網絡安全法》相關義務構成犯罪的,，依法追究刑事責任,。拒不履行信息網絡安全管理義務罪的適用正是貫徹落實《網絡安全法》、構建我國網絡安全法律保障體系的重要環(huán)節(jié),。與此同時,，拒不履行信息網絡安全管理義務罪為相關主體設置了在特定條件下可得出罪的條件，這一特殊立法模式也體現了在回應網絡安全保護的現實需求下,，立法者對于兼顧網絡產業(yè)長遠發(fā)展的謹慎考量,。其目的是促使互聯(lián)網企業(yè)能夠更加自主、規(guī)范地開展業(yè)務,，履行自身的社會義務,。在日新月異的網絡產業(yè)發(fā)展面前，拒不履行信息網絡安全管理義務罪一方面為確保網絡運營者的義務履行提供了有力的法律保障,，另一方面也為他們更好地構建自身刑事合規(guī)體系留下了一定的時間和空間,。

由此可見，《網絡安全法》落地五年來,，通過不斷健全完善網絡安全法律制度,、加強網絡安全領域執(zhí)法力度與協(xié)作，取得了一系列實施成就,，構建了切實有效的網絡安全保障體系,，為我國數字經濟高質高效發(fā)展提供了堅實基礎。（武漢大學供稿）