解讀《中華人民共和國網路安全法》

　　歷時近一年半才通過的《中華人民共和國網路安全法》（以下簡稱《網路安全法》）於2017年6月1日正式實施，這是我國第一部全面規範網路空間與安全管理問題的基礎性法律，涉及境內網路安全領域的全面規制，因此法制室特別整理相關內容的法律解讀，提供大家參考。

一、適用範圍與主體
　　適用範圍方面，根據《網路安全法》第二條、第七十六條規定，在中華人民共和國境內建設、運營、維護和使用網路，以及網路安全的監督管理，均受《網路安全法》調整。即境內的PC端、移動端，以及其他使用網路行為幾乎都包括在內，覆蓋範圍非常廣泛。

　　適用主體上，根據《網路安全法》第九條、第十一條、第十二條、第三十一條等規定，《網路安全法》涉及網路運營者、關鍵資訊基礎設施運營者（CII運營者）、網路產品與服務提供者，以及其他個人與組織四類主體，主要規制網路運營者和關鍵資訊基礎設施運營者兩類主體。按照《網路安全法》第七十六條的定義，「網路運營者」包括網路的所有者、管理者和網路服務提供者，幾乎將所有涉及提供網路產品、服務的主體都納入其中，且不區分免費或付費、內資或外資、個人或組織。

　　綜上，從《網路安全法》適用範圍與主體的廣泛性可看出，不論PC端還是移動端的社交平臺、電商購物、通訊服務等網路運營者，或是涉及提供線上網路產品／服務的傳統線下個人與組織，如果違反《網路安全法》的強制性規定，都會面臨被處罰或關停的法律風險。

二、實施網路安全等級保護制度
　　《網路安全法》中，首次將國家實行網路安全等級保護制度上升到法律層面，第二十一條規定明確指出，網路運營者應當履行下列安全保護義務：
　　（一）制定內部安全管理制度和操作規程，確定網路安全負責人，落實網路安全保護責任。
　　（二）採取防範電腦病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施。
　　（三）採取監測、記錄網路運行狀態、網路安全事件的技術措施，並按照規定留存相關網路日誌不少於六個月。
　　（四）採取資料分類、重要資料備份和加密等措施。
　　（五）法律、行政法規規定的其他義務。
　
三、網路產品與服務合規
　　根據《網路安全法》第二十二條、第二十三條規定，國家要求任何的網路產品、服務應當符合國家標準的強制性要求，且對提供者規定如下義務：
　　（一）不得設置惡意程式。
　　（二）存在安全缺陷、漏洞等風險時，應立即採取補救措施，及時告知用戶，並向有關主管部門報告。
　　（三）應持續提供安全維護。
　　（四）收集使用者資訊應向使用者明示，並取得同意。

　　本法中，以不少條文規定網路產品、服務提供者對於使用者資訊資料的收集和使用，尤其對個人使用者資訊採集的限制更為嚴格，如「網路運營者收集、使用個人資訊，應遵循合法、正當、必要的原則，公開收集、使用資訊的目的、方式和範圍，並經被收集者同意。」此外，本法對於違法採集資訊的行為也作出具體規定，第六十四條即指出，對於違反的單位主管、責任人、單位將處以重罰，並責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或吊銷營業執照。由此可見，本次《網路安全法》對於個人資訊的保護力度是空前的，因此，企業在經營過程中，若涉及資訊採集或存儲，務必做到合法合規，並且盡到告知義務，避免受到處罰。

四、安全技術建設要求
　　本法中，主要針對安全建設要達到的效果提出要求，並未列出如何建設才能實現這一目標。不過從法條規定裡，仍可以看到一些較為具體的安全技術建設要求，例如：第十條提到，依照法律、行政法規的規定和國家標準的強制性要求，換言之，在安全產品採購上，必須滿足國家標準。

五、其他
　　本法對於招聘安全技術人員的資格也提出了要求，第六十三條規定，違反第二十七條（也就是從事過非法網路攻擊行為）而受到治安管理處罰的人員，五年內不得從事網路安全管理和網路運營關鍵崗位的工作；受到刑事處罰的人員，則終身不得從事網路安全管理和網路運營關鍵崗位的工作。＃