《網絡安全法》強化關鍵資訊基礎設施保護

《網絡安全法》的公布和施行不僅從法律上保障了廣大人民群衆在網絡空間的利益，有效維護了國家網絡空間主權和安全，而且有利于資訊技術的應用，有利于發揮網際網路的巨大潛力。

《網絡安全法》釋出後，各部門、各地方以及廣大企業、科研機關和院校開展了多種形式的學習宣傳貫徹活動，法律所确定的重要理念、基本要求逐漸深入人心。

目前，有關部門正在按照法律要求抓緊研究起草相關制度檔案，《網絡産品和服務安全審查辦法（試行）》等配套制度檔案已經公開釋出。國家标準化部門正抓緊組織制定《個人資訊安全規範》等國家标準。

《網絡安全法》自6月1日起施行，日前，就《網絡安全法》實施的有關問題，本社記者采訪了國家網際網路資訊辦公室網絡安全協調局負責人。

問：為實施《網絡安全法》，國家網際網路資訊辦公室和相關機構、部門做了哪些準備工作，進展如何？

答：《網絡安全法》于6月1日起正式施行，這在網絡安全曆史上具有裡程碑意義。

《網絡安全法》的公布和施行，不僅從法律上保障了廣大人民群衆在網絡空間的利益，有效維護了國家網絡空間主權和安全，而且有利于資訊技術的應用，有利于發揮網際網路的巨大潛力。

目前，有關部門正在按照法律要求抓緊研究起草相關制度檔案，包括關鍵資訊基礎設施保護辦法、個人資訊和重要資料出境安全評估辦法、網絡關鍵裝置和網絡安全專用産品目錄等。其中，《網絡産品和服務安全審查辦法（試行）》等配套制度檔案已經公開釋出。國家标準化部門正抓緊組織制定《個人資訊安全規範》等國家标準。總體上看，各項工作都在按計劃推進。

問：據報道，近期有外國協會和機建構議推遲實施《網絡安全法》，擔心《網絡安全法》會制造貿易壁壘、限制國外企業和技術産品進入中國市場，你對此有何評論？

答：借鑒國際通行做法，根據本國國情，制定相關法律、行政法規，并依法對網絡進行管理，完全是一國主權範圍内的事情。

制定和實施《網絡安全法》，其目的是要維護我國國家網絡空間主權和國家安全、社會公共利益，保護公民、法人和其他組織的權益，而不是要限制國外企業、技術、産品進入中國市場，不是要限制資料依法有序自由流動。

問：關鍵資訊基礎設施保護是《網絡安全法》新設立的一項重要制度，這一制度如何實施？

答：《中華人民共和國立法法》要求，法律規定明确要求有關國家機關對專門事項作出配套的具體規定的，有關國家機關應當自法律施行之日起一年内作出規定。

目前有關部門正在按照《網絡安全法》的要求，抓緊制定相關配套規定，其中關鍵資訊基礎設施保護辦法有望近期公開征求意見，個人資訊和重要資料出境安全評估辦法正在根據各方面意見修改完善。建議相關企業、機構等抓緊做好法律實施的準備工作，自覺用法律規範網絡行為。

問：關鍵資訊基礎設施的範圍如何确定？中國将采取什麼措施加強關鍵資訊基礎設施保護？

答：關鍵資訊基礎設施保護制度的目的是要確定涉及國家安全、國計民生、公共利益的資訊系統和設施的安全，與等級保護制度相比所涉及的範圍相對較小。從各國的情況看，具體明确關鍵資訊基礎設施相當複雜，是一個在實踐中不斷完善、不斷調整的過程。目前國家網際網路資訊辦公室正會同有關部門按照《網絡安全法》的要求，抓緊研究制定相關指導性檔案和标準，指導相關行業領域明确關鍵資訊基礎設施的具體範圍。

加強關鍵資訊基礎設施保護，首先是按照《網絡安全法》的要求，抓緊制定相關配套制度和标準。要重點做好以下幾方面工作：一是要加強關鍵資訊基礎設施保護工作的統籌，強化頂層設計和整體防護，避免多頭分散、各自為政的情況發生。二是要建立完善責任制，政府主要是加強指導監管，關鍵資訊基礎設施營運者要承擔起保護的主體責任。三是要加強對從業人員的網絡安全教育、技術教育訓練和技能考核，切實提高網絡安全意識和水準。四是要做好網絡安全資訊共享、應急處置等基礎性工作，提升關鍵資訊基礎設施保護能力。五是要加強關鍵資訊基礎設施保護中的國際合作。

問：《網絡安全法》規定關鍵資訊基礎設施營運者在中華人民共和國境内收集産生的個人資訊和重要資料應當在境記憶體儲。這種規定會不會限制資料跨境流動，影響國際貿易？

答：《網絡安全法》做出這樣的規定，目的是為了維護國家網絡安全，保護人民群衆利益。落實法律要求，要把握以下幾點：1.這是對關鍵資訊基礎設施營運者提出的要求，而不是對所有網絡營運者的要求。2.不是所有的資料，隻限于個人資訊和重要資料，這裡的重要資料是對國家而言，而不是針對企業和個人。3.對于确需出境的資料，法律作了制度上的安排，經過安全評估認為不會危害國家安全和社會公共利益的，可以出境。4.經個人資訊主體同意的，個人資訊可以出境。特别要說明的是，撥打國際電話、發送國際電子郵件、通過網際網路跨境購物以及其他個人主動行為，視為已經個人資訊主體同意。

《網絡安全法》關于資料境内留存和出境評估的規定，不是要阻止資料跨境流動，更不是要限制國際貿易。當今資料跨境流動已經成為經濟全球化的前提，是推進“一帶一路”建設的必要條件，我們願同各國就此問題開展交流合作，共同促進資料依法有序自由跨境流動，充分保障個人資訊安全和國家網絡安全。

問：《網絡産品和服務安全審查辦法（試行）》已經正式釋出，該辦法會不會給國外企業帶來不公平待遇，形成事實上的技術壁壘？

答：《網絡産品和服務安全審查辦法（試行）》規定，對可能影響國家安全的網絡産品和服務進行安全審查，其目的是提高網絡産品和服務的安全可控水準，防範供應鍊安全風險，維護國家安全和公共利益。

安全審查的重點是産品和服務的安全性、可控性，包括産品被非法控制、幹擾和中斷運作的風險，産品提供者非法收集使用者資訊的風險等。

安全審查不針對特定國家和地區，沒有國别差異，審查不會歧視國外技術和産品，不會限制國外産品進入中國市場。相反，安全審查會提高消費者對使用産品的信心，擴大企業市場空間。

問：《網絡安全法》規定，“網絡關鍵裝置和網絡安全專用産品應當按照相關國家标準的強制性要求，由具備資格的機構安全認證合格或者安全檢測符合要求後，方可銷售或者提供”，請問這條如何執行？

答：國家網際網路資訊辦公室、工業和資訊化部、公安部、國家認監委即将釋出第一批網絡關鍵裝置和網絡安全專用産品目錄。列入這一目錄的裝置和産品，應該按照有關國家标準的強制性要求，由具備資格的機構進行認證或檢測。此前，已經按照國家有關規定檢測符合要求或認證合格的，在有效期内無須進行認證或檢測。

問：《網絡安全法》規定，“網絡營運者應當加強對其使用者釋出的資訊的管理，發現法律、行政法規禁止釋出或者傳輸的資訊的，應當立即停止傳輸該資訊”，這是否會侵害個人隐私，妨礙網上言論自由？

答：中國堅持積極利用、科學發展、依法管理、確定安全的方針，在推進網際網路發展，加強網際網路管理過程中，充分保障人權和言論自由，充分尊重廣大人民群衆的知情權、參與權、表達權和監督權。同時，也強調任何人、任何機構都應該對自己在網上的言行負責，個人的自由不應以損害他人的自由和社會公共利益為代價，任何人和機構都有義務自覺維護網絡秩序，自覺維護網絡安全。

對這條規定有兩點了解：1.針對的是使用者公開釋出的資訊，而不是個人通信資訊，不會損害個人隐私。2.要求停止傳輸的是違法資訊，不存在妨礙言論自由問題。

問：《網絡安全法》要求，采取技術措施和其他必要措施阻斷來源于境外的非法資訊的傳播。這一要求是不是意味着要嚴格管控國外網站，限制資訊跨境流動？

答：現實世界中，無論是企業還是個人，進入哪個國家就要遵從哪個國家的法律法規要求，違法行為都将受到法律的制裁。網絡空間也不例外，在中國境内網絡上傳播的資訊必須符合中國法律法規的規定。

中國堅持依法治網，采取技術措施和其他必要措施阻斷違法資訊在境内傳播，是國家網絡空間主權的展現，是維護國家安全和廣大人民群衆利益的客觀要求。我們支援資訊跨境自由流動，但這要以不損害他國網絡空間主權為條件，阻斷違法資訊進入本國網絡空間與支援資訊跨境自由流動不沖突。

問：《網絡安全法》提出要推廣安全可信的網絡産品和服務，“安全可信”是什麼含義？

答：安全可信與自主可控、安全可控一樣，至少包括以下三個方面含義：一是保障使用者對資料可控，産品或服務提供者不應該利用提供産品或服務的便利條件非法擷取使用者重要資料，損害使用者對自己資料的控制權；二是保障使用者對系統可控，産品或服務提供者不應通過網絡非法控制和操縱使用者裝置，損害使用者對自己所擁有、使用裝置和系統的控制權；三是保障使用者的選擇權，産品和服務提供者不應利用使用者對其産品和服務的依賴性，限制使用者選擇使用其他産品和服務，或停止提供合理的安全技術支援，迫使使用者更新換代，損害使用者的網絡安全和利益。

安全可信沒有國别和地區差異，國内外企業和産品都應該符合安全可信的要求。

本文轉自d1net（轉載）