构建法律保障制度所应包含的主要内容

（一）包含内容梳理

在对国家信息安全进行立法时可以借鉴美国、欧盟等发达国家已有的立法经验。我国专家称在信息安全保护立法方面，中国相较于美国和欧盟要滞后至少十年，所以我国更应加快信息立法的脚步。

首先，在《信息安全法》这一对信息安全进行保护的基本法的基础上，再出台类似于《构建信息安全框架结构决议》或者《信息安全国际战略》等具有指导性的法律文件，并通过在战略文件中形成信息安全机构，规定相应的职能，增强各机构部门之间的协调和应对能力，以及规定对信息安全进行保护的具体可行的措施。其次，要加紧对信息基础设施的建设和保护，在已经出台的“中国宽带战略”的基础上，形成《保护信息基础设施的战略》《网络空间安全战略》《关键基础设施保护法案》等专门保护信息安全问题的法律文件，并在文件中制定保护战略措施，预先计划好需要的财政投资，使信息安全保护问题的解决有理有据，也有资金上的投入和支持。

受网络全球化的影响，信息自由和共享的观念浓厚，全社会的信息安全意识都不够，如上文中提到的2006年的Visa国际组织的调查，中国的信息数据被盗或者丢失的概率比全世界的平均水平要高出10％，这是对中国政府的一种警示，也是对中国公民信息安全意识缺乏的很好的诠释。中国是人口大国，存在自身的特殊性，农村人口比例大，网络覆盖范围广，网络信息量巨大，但是人民的网络安全意识差，农村居民更是如此。因此，国家很有必要成立信息安全文化宣传的部门，出台相关的“信息安全文化决议”，加大信息安全保护的宣传，使全社会都能意识到信息安全保护的重要性，防止信息强国从我国的信息安全薄弱环节入手，监控我国的民众信息，进而达到信息霸权的目的。

2013年6月份的“斯诺登”事件，在笔者看来具有两个方面的意义：第一，斯诺登披露美国政府对我国的信息进行监控至少已有4年，这是一个令人震惊的事实，拉响了我国信息安全保护的警报，即中国必须更大力度地建设信息安全技术，保护本国的信息主权。第二，美国公民在斯诺登披露“NSA”计划之后，全民哗然。随后美国政府就迎来了来自其国内网民的声讨，要求政府尊重公民的隐私权，尊重公民的人格，不要让他们的隐私暴露于政府的监控行为之下。[2]中国是人口大国，人民的人权更是非常重要，通过“斯诺登”事件，中国人民也会由此及彼的想象中国的政府是否也像奥巴马政府一样，不给公民留隐私而全副监控。所以，国家有必要通过公开的方式出台相关的制度文件来明确监管的程度和范围，以免产生美国专门再通过信息安全大会主题演讲的方式请求国民重拾对政府的信任的情况。

（二）现行《网络安全法》评述

2016年11月7日，十二届全国人大常委会第二十四次会议以154票赞成、1票弃权，表决通过了《中华人民共和国网络安全法》（以下简称《网络安全法》）。《网络安全法》是我国网络安全领域的基础性法律，共有七章79条，内容十分丰富，奠定了我国网络安全保护和网络空间治理的基本框架，是引导我国网信事业沿着健康安全轨道运行的指南针，具有里程碑的意义。《网络安全法》集中体现了网络空间各利益相关方普遍关心的问题，确定了网络建设、运营、维护和使用网络，以及网络安全监管等多项法律规范和制度，这些规范和制度相互影响、相互作用、相互协调，形成了一个维护网络空间主权和国家安全的闭合系统。通过这些法律规范及制度，《网络安全法》确定了相关法定机构对网络安全的保护和监管职责，明确了网络运营者应履行的安全义务，平衡了涉及国家、企业、公民等多元主体的网络权利与义务关系，清晰地协调了政府管制和社会共治网络治理的关系，形成了以法律为根本治理基础的网络治理模式，结构合理严谨，规定衔接配套，语言清晰准确，并对网络安全涉及的主要词语进行了文意解释。

1.网络空间主权法律制度

“维护网络空间主权”是我国《国家安全法》首次确立的网络空间主权原则，该法第25条规定，加强网络管理，防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为，维护国家网络空间主权、安全和发展利益。《网络安全法》继《国家安全法》之后再次明确这一原则，并从法律制度层面进一步细化了“网络空间主权”在法律上的适用，具有重要意义。《网络安全法》第1条指出：“为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，制定本法。”第2条指出：“在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理，适用本法。”第4条指出：“国家制定并不断完善网络安全战略，明确保障网络安全的基本要求和主要目标，提出重点领域的网络安全政策、工作任务和措施。”第5条指出：“国家采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治网络违法犯罪活动，维护网络空间安全和秩序。”以上规定集中体现了习近平主席在第二届世界互联网大会上代表中国政府提出的“全球互联网治理四项基本原则”中的“尊重网络主权原则”，也标志着我国网络主权法律制度的正式形成，反映了互联网时代“安全与发展”互为一体双翼的世界主潮流，也为国际网络空间治理提供了重要的国际法理基础。(www.xing528.com)

2.国家关键信息基础设施安全保护法律制度

《网络安全法》在第三章第二节中用了相当的篇幅规范了关键信息基础设施的安全与保护法律制度，范围涵盖了公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域。《网络安全法》第31条规定：“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护，关键信息基础设施的具体范围和安全保护办法由国务院制定。”这是我国首次在法律层面提出关键信息基础设施的概念和重点保护范围。同时，为了强化对关键信息基础设施安全保护的责任，《网络安全法》从国家主体和关键信息基础设施运营者两大层面，分别明确了对关键信息基础设施安全保护的法律义务与责任。在国家层面，《网络安全法》第32条规定：“按照国务院规定的职责分工，负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划，指导和监督关键信息基础设施运行安全保护工作。”在关键信息基础设施运营者方面，《网络安全法》第34条专门设定了关键信息基础设施的运营者应当履行的四大安全保护义务：一是设置专门安全管理机构和安全管理负责人；二是定期对从业人员进行网络安全教育、技术培训和技能考核；三是对重要系统和数据库进行容灾备份；四是制定网络安全事件应急预案，并定期进行演练。另外设定了一项兜底性条款，即“以及法律、行政法规规定的其他义务”。

根据国家网络空间主权原则，国家不仅有权对其领土境内的关键基础设施、重要数据、网络空间活动和信息通信网络管理行使主权，也可依法对境外个人或组织对我国境内的网络破坏活动行使司法管辖权，即具有域外的效力。《网络安全法》第75条特别规定：“境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动，造成严重后果的，依法追究法律责任；国务院公安部门和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。”国家关键信息基础设施的保护属于国家主权的范畴，早在2010年中国国务院新闻办公室发布的《中国互联网状况》白皮书就明确指出，互联网是国家的重要基础设施，中华人民共和国境内的互联网属于中国主权的管辖范围，中国的互联网主权应受到尊重和维护。

事实上，我国早在2003年发布的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发［2003］27号）中就提出：“坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全。”但是上述意见并未就基础信息网络和重要信息系统安全保护的范围作出明确界定，也未明确规定国家及关键信息基础设施运营者对关键信息基础设施安全保护的法律义务与责任。作为对中国网络空间治理具有里程碑意义的网络安全基本法律，《网络安全法》明确了关键信息基础设施涉及的主要行业和领域，为关键信息基础设施的安全保护规定了责任划分和追责方式，并通过建立关键信息基础设施运营者采购网络产品、服务安全审查等一系列重要制度的要求，为关键信息基础设施安全保护搭建了制度框架。

3.关键信息基础设施重要数据本地化储存法律制度

数据本地化存储（Data Localization），是指主权国家通过制定法律或规则限制本国数据向境外流动。关键信息基础设施重要数据的储存、利用、控制和管辖是国家主权框架下“数据主权”的行使，其基本的规则是任何本国或者外国公司在采集和存储与个人信息和关键领域相关数据时，必须使用主权国家境内的服务器。伴随着云计算、大数据和物联网的发展，跨境数据流动的数量在不断增加，据国际电信联盟（ITU）的统计，2015年全球通过互联网的跨境数据量已超过1ZB（1ZB等于一万亿GB）。在如此庞大的跨境数据传输中，如果没有数据主权保护和跨境流动的法律机制，将有可能直接影响个人的隐私和自由乃至一个国家的经济运行，最终危及国家安全。

《网络安全法》第37条规定：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。”这一条款早在《网络安全法》草案公布之际就成为外国媒体最为担心及关注的所谓“争议条款”。据《纽约时报》报道，2016年8月，全球40多个商业团体曾致信中国政府，称该法律将伤害在华外国企业，呼吁中国政府重新考虑相关“争议条款”。对此，全国人大常委会法工委经济法室副主任杨合庆就《网络安全法》回答中外记者提问时强调，中国是一个网络大国，也是面临网络安全威胁最严重的国家之一，完善的法律制度可以有效提高全社会的网络安全意识和网络安全的保护水平，这将使我们的网络更加安全、更加开放、更加便利，也更加充满活力。中国国家互联网信息办公室原主任徐麟在第三届世界互联网大会闭幕式上指出，中国出台《网络安全法》是为了更好地促进发展而不是限制发展，是为了更好地推进国际合作而不是搞贸易壁垒，更不是针对哪个国家、地区或企业。

我国《网络安全法》第37有三层含义：一是通过对个人信息和重要数据本地化存储的立法，加强对数据跨境流动的控制和管辖；二是规制的主体是关键信息基础设施的运营者，主要涉及公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等关键信息基础设施的运营者；三是数据跨境流动的安全评估机制，即如果遇有特殊情况，需要数据境外跨境流动时，应当按照网信主管部门制定的办法进行安全评估。《网络安全法》第37条重构了数据跨境传输的规则，标志着中国正式开始基于网络主权原则对数据跨境传输进行法律限制，这一规定并不是限制各大跨国公司在我国的运营业务，而是要求其运营业务必须依法合规，体现了《网络安全法》以国家安全为导向，及以安全促发展，以发展促安全的立法目的。