解读《中华人民共和国网路安全法》

　　历时近一年半才通过的《中华人民共和国网路安全法》（以下简称《网路安全法》）於2017年6月1日正式实施，这是我国第一部全面规范网路空间与安全管理问题的基础性法律，涉及境内网路安全领域的全面规制，因此法制室特别整理相关内容的法律解读，提供大家参考。

一、适用范围与主体
　　适用范围方面，根据《网路安全法》第二条、第七十六条规定，在中华人民共和国境内建设、运营、维护和使用网路，以及网路安全的监督管理，均受《网路安全法》调整。即境内的PC端、移动端，以及其他使用网路行为几乎都包括在内，覆盖范围非常广泛。

　　适用主体上，根据《网路安全法》第九条、第十一条、第十二条、第三十一条等规定，《网路安全法》涉及网路运营者、关键资讯基础设施运营者（CII运营者）、网路产品与服务提供者，以及其他个人与组织四类主体，主要规制网路运营者和关键资讯基础设施运营者两类主体。按照《网路安全法》第七十六条的定义，「网路运营者」包括网路的所有者、管理者和网路服务提供者，几乎将所有涉及提供网路产品、服务的主体都纳入其中，且不区分免费或付费、内资或外资、个人或组织。

　　综上，从《网路安全法》适用范围与主体的广泛性可看出，不论PC端还是移动端的社交平台、电商购物、通讯服务等网路运营者，或是涉及提供线上网路产品／服务的传统线下个人与组织，如果违反《网路安全法》的强制性规定，都会面临被处罚或关停的法律风险。

二、实施网路安全等级保护制度
　　《网路安全法》中，首次将国家实行网路安全等级保护制度上升到法律层面，第二十一条规定明确指出，网路运营者应当履行下列安全保护义务：
　　（一）制定内部安全管理制度和操作规程，确定网路安全负责人，落实网路安全保护责任。
　　（二）采取防范电脑病毒和网路攻击、网路侵入等危害网路安全行为的技术措施。
　　（三）采取监测、记录网路运行状态、网路安全事件的技术措施，并按照规定留存相关网路日志不少於六个月。
　　（四）采取资料分类、重要资料备份和加密等措施。
　　（五）法律、行政法规规定的其他义务。
　
三、网路产品与服务合规
　　根据《网路安全法》第二十二条、第二十三条规定，国家要求任何的网路产品、服务应当符合国家标准的强制性要求，且对提供者规定如下义务：
　　（一）不得设置恶意程式。
　　（二）存在安全缺陷、漏洞等风险时，应立即采取补救措施，及时告知用户，并向有关主管部门报告。
　　（三）应持续提供安全维护。
　　（四）收集使用者资讯应向使用者明示，并取得同意。

　　本法中，以不少条文规定网路产品、服务提供者对於使用者资讯资料的收集和使用，尤其对个人使用者资讯采集的限制更为严格，如「网路运营者收集、使用个人资讯，应遵循合法、正当、必要的原则，公开收集、使用资讯的目的、方式和范围，并经被收集者同意。」此外，本法对於违法采集资讯的行为也作出具体规定，第六十四条即指出，对於违反的单位主管、责任人、单位将处以重罚，并责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或吊销营业执照。由此可见，本次《网路安全法》对於个人资讯的保护力度是空前的，因此，企业在经营过程中，若涉及资讯采集或存储，务必做到合法合规，并且尽到告知义务，避免受到处罚。

四、安全技术建设要求
　　本法中，主要针对安全建设要达到的效果提出要求，并未列出如何建设才能实现这一目标。不过从法条规定里，仍可以看到一些较为具体的安全技术建设要求，例如：第十条提到，依照法律、行政法规的规定和国家标准的强制性要求，换言之，在安全产品采购上，必须满足国家标准。

五、其他
　　本法对於招聘安全技术人员的资格也提出了要求，第六十三条规定，违反第二十七条（也就是从事过非法网路攻击行为）而受到治安管理处罚的人员，五年内不得从事网路安全管理和网路运营关键岗位的工作；受到刑事处罚的人员，则终身不得从事网路安全管理和网路运营关键岗位的工作。＃