為促進我國網絡社會的安全穩定發展，推進全球和平、安全、開放、合作的網絡空間建立，應盡快修訂並頒布《網絡安全法》，並在實踐中不斷完善。國際網絡安全立法變革決定了《網絡安全法》『保障法』的定位，我國應搭建兼具防御、控制與懲治功能的立法架構，並以此為基礎展開系統性的具體制度設計。

　　關鍵詞 立法定位 立法框架 制度設計

　　如何應對網絡安全威脅已是全球性問題，國際網絡安全的法治環境正發生變革，美歐等網絡強國紛紛建立全方位、更立體、更具彈性與前瞻性的網絡安全立法體系，網絡安全立法演變為全球范圍內的利益協調與國家主權斗爭，有法可依成為談判與對抗的必要條件。2015年《中華人民共和國國家安全法》和《中華人民共和國反恐怖主義法》相繼通過；2015年7月，作為網絡安全基本法的《中華人民共和國網絡安全法(草案)》第一次向社會公開征求意見；2016年11月7日，全國人大常委會表決通過了《網絡安全法》。立法的迅速推進源自我國面臨國內外網絡安全形勢的客觀實際和緊迫需要，標志著我國網絡空間法制化進程的實質性展開。

　　一、立法定位：網絡安全管理的基礎性『保障法』

　　科學的立法定位是搭建立法框架與設計立法制度的前提條件。立法定位對於法的結構確定起著引導作用，為法的具體制度設計提供法理上的判斷依據。

　　第一，該法是網絡安全管理的法律。《網絡安全法》與《國家安全法》《反恐怖主義法》《刑法》《保密法》《治安管理處罰法》《關於加強網絡信息保護的決定》《關於維護互聯網安全的決定》《計算機信息系統安全保護條例》《互聯網信息服務管理辦法》等法律法規共同組成我國網絡安全管理的法律體系。因此，需做好網絡安全法與不同法律之間的銜接，在網絡安全管理之外的領域也應盡量減少立法交叉與重復。

　　第二，該法是基礎性法律。基礎性法律的功能更多注重的不是解決問題，而是為問題的解決提供具體指導思路，問題的解決要依靠相配套的法律法規，這樣的定位決定了不可避免會出現法律表述上的原則性，相關主體只能判斷出網絡安全管理對相關問題的解決思路，具體的解決辦法有待進一步觀察。

　　第三，該法是安全保障法。面對網絡空間安全的綜合復雜性，特別是國家關鍵信息基礎設施面臨日益嚴重的傳統安全與非傳統安全的『極端』威脅，網絡空間安全風險『不可逆』的特征進一步凸顯。在開放、交互和跨界的網絡環境中，實時性能力和態勢感知能力成為新的網絡安全核心內容。

　　二、立法架構：『防御、控制與懲治』三位一體

　　在上述背景下，傳統上將風險預防寄托於懲治的立法理念面臨挑戰。為實現基礎性法律的『保障』功能，網絡安全法需確立『防御、控制與懲治』三位一體的立法架構，以『防御和控制』性的法律規范替代傳統單純『懲治』性的刑事法律規范，從多方主體參與綜合治理的層面，明確各方主體在預警與監測、網絡安全事件的應急與響應、控制與恢復等環節中的過程控制要求，防御、控制、合理分配安全風險，懲治網絡空間違法犯罪和恐怖活動。[2]

　　法律界定了國家、企業、行業組織和個人等主體在網絡安全保護方面的責任，設專章規定了國家網絡安全監測預警、信息通報和應急制度，明確規定『國家采取措施，監測、防御、處置來源於中華人民共和國境內外的網絡安全風險和威脅，保護關鍵信息基礎設施免受攻擊、入侵、乾擾和破壞，依法懲治網絡違法犯罪活動，維護網絡空間安全和秩序』，已開始擺脫傳統上將風險預防寄托於事後懲治的立法理念，構建兼具防御、控制與懲治功能的立法架構。

　　三、制度設計：網絡安全的關鍵控制節點

　　美國大法官霍姆斯說過『法律的生命不在於邏輯，而在於經驗』。無論從霍姆斯時代出發，還是從網絡社會領域來探索，在『堅持問題導向』的立法原則下，經驗之於網絡安全法的作用比邏輯更加根本，更加精髓，更加有推動力。全國人大發布的《關於〈中華人民共和國網絡安全法(草案)〉的說明》明確表示，『該法將近年來一些成熟的好做法作為制度確定下來』。

　　《網絡安全法》關注的安全類型是網絡運行安全和網絡信息安全。網絡運行安全分別從系統安全、產品和服務安全、數據安全以及網絡安全監測評估等方面設立制度。網絡信息安全規定了個人信息保護制度和違法有害信息的發現處置制度。法律制度設計基本能夠涵蓋網絡安全中的關鍵控制節點，體系較為完備。除了網絡安全等級保護、個人信息保護、違法有害信息處置等成熟的制度規定外，產品和服務強制檢測認證制度、關鍵信息基礎設施保護制度、國家安全審查制度等都具有相當的前瞻性，成為該法的亮點。從制度具體內容來看，部分規范性內容較為細化，打破了傳統『原則性思路』的束縛，具有較強的可操作性。

　　《網絡安全法》規定了網絡安全等級保護、關鍵信息基礎設施安全保護、網絡安全監測預警和信息通報、用戶信息保護、網絡信息安全投訴舉報等制度，以及網絡關鍵設備和網絡安全專用產品認證、關鍵信息基礎設施運營者網絡產品和服務采購的安全審查、關鍵信息基礎設施運營者信息/數據境內存儲、關鍵信息基礎設施運營者信息/數據境外提供安全評估、關鍵信息基礎設施運營者年度風險檢測評估、網絡可信身份管理、建設運營網絡或服務的網絡安全保障、網絡安全事件應急預案/處置、漏洞等網絡安全信息發布、網絡信息內容管理、網絡安全人員背景審查和從業禁止、網絡安全教育和培訓、數據留存和協助執法等制度。可以看出，一部切合網絡安全戰略，關注技術、管理與規范的網絡安全保障基本法，由十多套(部)配套制度共築框架的法律體系已悄然成型。

　　四、重中之重：關鍵信息基礎設施安全保護辦法

　　關鍵信息基礎設施保護制度是網絡安全法若乾制度設計的核心之一。近年來，世界主要國家和地區都陸續出臺了國家層面的關鍵信息基礎設施保護戰略、立法和具體的保護方案。以美國為主的西方國家都將關鍵信息基礎設施的保護視為網絡安全的最核心部分。

　　《網絡安全法》在『網絡運行安全』一般規定的基礎上設專節規定了關鍵信息基礎設施保護制度，首次從網絡安全保障基本法的高度提出關鍵信息基礎設施的概念，並提出了關鍵信息基礎設施保護的具體要求。

　　第一，《網絡安全法》中明確界定了關鍵信息基礎設施概念的本質，即『一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益』，並規定關鍵信息基礎設施的具體范圍由國務院另行制定。這表明，作為網絡安全領域的基本法，應當盡可能確保網絡安全法的穩定性而不宜進行過於細化的條款設定這一立法需求。而關鍵信息基礎設施的范圍將基於國家安全和社會運行的風險評估進行不斷調整，即其認定范圍遵循動態調整機制。

　　第二，關鍵信息基礎設施安全保護辦法是《網絡安全法》中預留接口的下位法，也是法律中唯一明確規定『由國務院制定』的行政法規。我國關鍵信息基礎設施法律制度在法律調整的社會關系及調整對象上更具復雜性。政治、法律傳統等國情的差異導致我國關鍵信息基礎設施保護制度的構建不能簡單照搬外國的經驗，應堅持國內經驗總結和國外經驗借鑒，建立符合我國國情且具有較強可操作性的關鍵信息基礎設施保護制度，同時也科學合理地推動網絡安全等級保護制度的演進與變革，有效融合等級保護評測和關鍵信息基礎設施的風險評估等，實現制度間的互補和融合，降低關鍵信息基礎設施運營者的守法成本和行政執法成本。

　　第三，為了鼓勵網絡運營者自願參與國家關鍵信息基礎設施保護體系，促進網絡運營者、專業機構和政府有關部門之間的網絡安全信息共享，並加強對這些信息的保護，《網絡安全法》規定，『國家鼓勵關鍵信息基礎設施以外的網絡運營者自願參與關鍵信息基礎設施保護體系；國家網信部門和有關部門在關鍵信息基礎設施保護中取得的信息，只能用於維護網絡安全的需要，不得用於其他用途。』這在一定程度上鼓勵了網絡運營者，尤其是承擔重要社會職能的網絡運營者能夠利用其自有的技術能力和資源優勢更加積極地投入關鍵信息基礎設施保護的工作中，促進政府和企業雙方共同保障關鍵信息基礎設施安全運行。[2]

　　五、結語

　　網絡安全法對維護網絡空間主權，規范網絡安全實踐，指導下位法的制定完善等意義重大，影響深遠。為持續推動我國網絡空間的法制化發展進程，落實頂層設計，一方面亟需有效梳理基礎性法律與現行法律法規之間的關系，開始部門、地方立法和政策的制定、調整和完善工作；另一方面也亟需出臺系列配套規定，不僅包括《關鍵信息基礎設施安全保護辦法》等下位法的制定，也包括更為詳細的制度規定、具體行業的網絡安全規劃和網絡安全標准體系等，實現與基礎性法律的有效銜接。