2021年國內網絡安全相關立法回顧及思考

2021年，網絡領域重要立法密集出臺，網絡法治體系進一步充實完善，是網絡立法繁榮發展的重要一年。廣義來看，《數據安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》等相繼出臺實施，網絡安全領域立法大為充實。同時，網絡安全領域配套規則逐步明確清晰，為網絡安全相關工作提供了確定的指引。

一、網絡安全法律體系概述

2016 年，《網絡安全法》正式出臺，以網絡安全法為基礎和上位法依據，國家有關部門陸續出臺配套法規、規章和規范性文件，逐步形成了系統的網絡安全法律體系，主要覆蓋網絡運行安全、個人信息保護和網絡內容管理等三個方面。

一是網絡運行安全。《網絡安全法》首要解決的就是網絡作為對象的安全性問題，網絡入侵、網絡攻擊等非法活動，對電信、能源、交通、金融等領域產生了嚴重威脅，云計算、大數據、物聯網等新技術、新應用面臨著更為復雜的網絡安全環境。從體系上看，《網絡安全法》對網絡運行作出了一般性規定。在關鍵信息基礎設施保護方面，出臺了《關鍵信息基礎設施安全保護條例》；在網絡安全審查方面，出臺了《網絡安全審查辦法》，并根據情況變化正在進行修訂；在網絡漏洞管理方面，出臺了《網絡產品安全漏洞管理規定》。通過系列配套規則，明確和完善了《網絡安全法》相關要求。

二是個人信息安全。《網絡安全法》對個人信息安全作出了原則性、概括性規定。以《網絡安全法》為依據，在國家網信辦統籌指導下，工信部起草了《移動應用程序個人信息保護管理規定》。國家網信辦出臺了《兒童個人信息網絡保護規定》，牽頭制定出臺了《常見類型移動互聯網應用程序必要個人信息范圍規定》等配套規定。在《個人信息保護法》頒布實施前，《網絡安全法》及其配套規定，為個人信息保護工作提供了依據和保障。

三是網絡內容管理。《網絡安全法》為網絡內容管理提供了充實的上位法依據。國家網信辦以《網絡安全法》為基礎，基本形成了“2+N”的網信法律體系。“2”是指兩部部門規章，國家網信辦修訂出臺《互聯網新聞信息服務管理規定》，規范了互聯網新聞信息服務活動；制定了《網絡信息內容生態治理規定》，從治理的高度對網絡信息內容管理提出了新要求。“N”是指一系列規范性文件，覆蓋了音視頻、網絡直播、公眾賬號、移動應用程序、即時通信工具、跟帖評論、微博客等領域，為全面依法治網提供了有力的法治基礎。

隨著技術發展和普及，《網絡安全法》時代的形勢和客觀條件都發生了變化。今年，《數據安全法》和《個人信息保護法》相繼出臺實施，《網絡安全法》所規范的有關活動和對象也出現了變化和調整。

二、網絡安全法律體系調整及內涵外延變化

伴隨《網絡安全法》的深入推進實施，特別是普法宣傳、執法培訓相關活動豐富化、常態化，《網絡安全法》的生命力和活力持續得以釋放。同時，在《網絡安全法》實施過程中，網絡技術與應用繼續深入發展和普及，進一步改變人們生產、生活的組織方式，網絡安全法律體系的內涵和外延出現變化和調整。

從網絡法治體系的整體結構看，黨的十八屆四中全會和中央全面依法治國工作會議對法治建設及依法治網提出了總體性、綱領性要求。黨的十八大以來，尤其是黨的十九大以來，網絡法治建設快速推進。網絡法具有跨領域性，普遍認為網絡法屬于領域法學。法律科學不屬于純粹理論，而是實踐理論。網絡活動日益普及和豐富，網絡空間逐步成為社會生活的基本載體，網絡法治研究持續深入，即將或者已經能夠支撐網絡法成為獨立的法律部門。學科的繁榮勢必伴隨著細分化、專業化的過程。從今年來看，網絡安全法律體系作為網絡法的主要組成部分，也發生了調整和變化，呈現出精細化、聚焦化的特點，有些內容逐漸獨立成體系，從網絡安全框架中剝離并與之并行。

按照 2016 年出臺的《網絡安全法》架構，相關法律主要包括網絡設施和運行安全（包括關鍵信息基礎設施）、網絡信息安全等方面。其中，《網絡安全法》以“網絡信息安全”囊括了內容安全和個人信息安全，聚焦網絡內容管理和個人信息權益。近年來，隨著實踐變化和理論研究深入，相應發生了一些變化，尤其表現為網絡內容管理和個人信息保護逐步自成體系的趨勢。

在網絡內容管理方面，有關部門以《網絡安全法》為上位法依據，出臺了相關內容管理的部門規章和規范性文件，基本形成了完善的制度體系。黨的十九大首次明確了“意識形態安全”的重要性，互聯網和移動互聯網技術發展，以及人工智能等新技術普及和應用，進一步拓展了網絡空間的公共表達渠道和內容供給模式。2019 年底，國家互聯網信息辦公室出臺《網絡信息內容生態治理規定》，將管理思維轉變為治理思維，體現多元主體共同參與，同時也將內容管理“二分法”（違法信息和合法信息）調整為“三分法”（違法信息、不良信息和合法信息）。在此基礎上，網絡內容管理立法體系相應進行了調整。今年以來，國家互聯網信息辦公室制定了《互聯網用戶公眾賬號信息服務管理規定》，啟動了《互聯網用戶賬號名稱信息管理規定》修訂工作。

在個人信息保護方面，《網絡安全法》對個人信息保護做出了原則性、概括性規定，以保護個人信息為主要目的。而近年來，個人信息保護實踐日益普遍，主體多元、類型多樣、場景豐富，大規模收集、使用個人信息的活動越來越成為常態，侵害個人信息權益的行為更為普遍，個人信息保護已經成為廣大人民群眾最關心最直接最現實的利益問題之一。同時，個人信息具有豐富的數據價值，對其合理利用也是數字經濟發展的基礎之一。個人信息保護統一立法的全球趨勢也十分明顯。結合國內外情況，有必要制定全面性、基礎性的個人信息保護法律。今年 8 月，《個人信息保護法》正式通過，并于 11 月起實施。《個人信息保護法》作為個人信息領域的基礎性法律，對個人信息保護進行了整體安排和制度重構，立法目的既包括對個人信息的保護，也包括個人信息合理利用。《個人信息保護法》對《網絡安全法》中有關個人信息保護的內容進行了大幅拓展和一定程度調整，規定了個人信息處理的合法性基礎、個人信息處理者的義務、個人在個人信息處理活動中的權利、個人信息保護監管體制等主要內容，基本覆蓋了個人信息保護的各個方面，下一步將繼續形成個人信息保護法律體系。

從網絡安全法律體系自身來看，其組成架構也發生了變化和調整。一方面，傳統的網絡安全問題還是比較突出，傳統網絡攻擊形式，如分布式拒絕服務（DDos）攻擊仍然呈現持續上升趨勢，2021年 DDos 攻擊的數量、規模較往年繼續上升。《網絡安全法》繼續發揮應對傳統網絡安全的重要作用，今年以來，相關配套立法也相繼出臺，進一步規范網絡安全相關工作。另一方面，5G、物聯網等技術發展普及，不斷改變網絡連接方式和連接對象，物理空間和網絡空間的邊界不斷融合、模糊，內生式網絡安全問題不斷產生，其中明顯以數據為主要對象。網絡治理問題很大程度上已經凸顯為數據治理問題，網絡安全問題正在不斷聚焦成為數據安全問題。圍繞數據展開的一系列討論越來越豐富，越來越深入。相關數據立法工作也在加速推進，逐步形成數據治理頂層法律體系。數據安全、數據權屬等問題倍受關注，各方都期待數據領域能夠廣泛達成共識，建立起明確的數據活動規則，謀求安全與發展平衡之道。

三、網絡安全配套法規體系持續完善

今年，《網絡安全法》已經實施了四年。2016 年，習近平總書記在網絡安全和信息化工作座談會上做重要講話指出，維護網絡安全，要“聰者聽于無聲，明者見于未形”。如今，《網絡安全法》制定之時的所聽所見也都成為現實的迫切問題。《網絡安全法》的制度潛力不斷釋放，依然是網絡治理領域的重要法治依據。2021 年，以《網絡安全法》為上位法的配套規定相繼出臺，有關具體要求得以確定。

一是關鍵信息基礎設施安全保護法律制度最終明確。關鍵信息基礎設施保護是網絡安全的重要部分，主要思路是將為社會運轉提供基礎性、關鍵性服務的設施列為關鍵信息基礎設施，并予以保護。美國、德國、日本、澳大利亞等都通過立法對關鍵基礎設施進行保護。今年 7 月，《關鍵信息基礎設施安全保護條例》（以下簡稱《條例》）正式出臺。作為《網絡安全法》的重要配套立法，《條例》積極應對國內外網絡安全保護的主要問題和發展趨勢，為下一步加強關鍵信息基礎設施安全保護工作提供了重要法治保障。《條例》界定了適用范圍、監管主體、評估對象等關鍵信息基礎設施安全保護相關基本要素，提出了安全保護要求及措施，確保對象具體、權責清晰、任務明確，為安全保護工作開展提供系統指引和工作遵循。

關鍵信息基礎設施的范圍一直是各方面關心的核心問題。《網絡安全法》中有關三同步、供應鏈安全、跨境數據流動、風險評估等要求都僅適用關鍵信息基礎設施運營者。確定關鍵信息基礎設施運營者是開展關鍵信息基礎設施安全保護工作的基礎，有關主體十分關心自己是否以及如何被列入關鍵信息基礎設施范圍的問題。《條例》對此采取了主管部門認定和單獨通知的流程，規定由負責關鍵信息基礎設施安全保護工作的部門制定認定規則，組織認定本行業、本領域的關鍵信息基礎設施，及時將認定結果通知運營者，并報國務院公安部門。

二是網絡漏洞管理進一步完善。網絡漏洞是網絡安全中的主要隱患之一，需要有效的機制措施來防范和消除風險。《網絡安全法》要求網絡產品、服務提供者發現其網絡產品、服務存在安全缺陷、漏洞等風險時，應當采取補救措施并通知用戶和報告主管部門；要求網絡運營者及時處理系統漏洞等安全風險；規定“向社會發布系統漏洞……等網絡安全信息，應當遵守國家有關規定”。今年 7 月，工業和信息化部、國家互聯網信息辦公室、公安部聯合制定出臺《網絡產品安全漏洞管理規定》，推動網絡產品安全漏洞管理工作的制度化、規范化、法治化，提高相關主體漏洞管理水平，引導建設規范有序、充滿活力的漏洞收集和發布渠道，防范網絡安全重大風險，保障國家網絡安全。

三是供應鏈安全要求進一步深化。供應鏈安全是適應網絡安全全周期、長鏈條等特點的子命題之一。《網絡安全法》中對關鍵信息基礎設施運營者采購產品和服務，規定了國家安全審查（即網絡安全審查）的要求。2020 年，國家互聯網信息辦公室會同國家發展和改革委員會、工業和信息化部、公安部等十二部門聯合制定出臺了《網絡安全審查辦法》，加強關鍵信息基礎設施供應鏈安全，確保國家安全。今年 7 月，國家互聯網信息辦公室修訂了該辦法，并就《網絡安全審查辦法 ( 修訂草案征求意見稿 )》向社會公開征求意見。征求意見稿將供應鏈安全的主體進一步擴大到數據處理者，調整范圍覆蓋數據處理活動，體現了數據活動在供應鏈安全中的風險因素。

四是具體領域進一步細化配套規則。7 月 5 日，國家互聯網信息辦公室會同國家發展和改革委員會、工業和信息化部、公安部、交通運輸部制定出臺《汽車數據安全管理若干規定（試行）》，對汽車數據處理活動中的重要數據和個人信息予以保護，維護國家安全、數據安全和個人權益。9 月 13 日，工業和信息化部發布《關于加強車聯網卡實名登記管理的通知》，明確不同銷售階段車聯網卡實名登記要求，防范車聯網中的安全風險。9 月 15 日，工業和信息化部發布《關于加強車聯網網絡安全和數據安全工作的通知》，對車聯網的網絡安全和數據安全提出了基本要求。

五是反電信網絡詐騙提上立法議程。今年 10 月，《反電信網絡詐騙法（草案）》提交全國人大常委會首次審議，并向社會公開征求意見。草案的制定秉持了“小切入立法”以及“急用先行”的原則，對現實需求做出回應的同時，全面提升反電信網絡詐騙工作的法治化、規范化水平。草案立足源頭治理，打擊“兩卡”犯罪，強化實名制管理，突出新技術整治，完善救濟措施，對內建立全鏈條整治工作機制，對外積極穩妥推進國際執法司法合作。

四、數據安全、個人信息保護、算法等立法快速推進

《網絡安全法》在網絡治理過程中發揮了重要的作用，也將持續提供制度供給。與此同時，數據安全、個人信息保護、算法等領域問題凸顯，場景越來越豐富，活動越來越頻繁，亟需立法規制。從歷史意義和廣義來看，這些法律法規也可以納入網絡安全法律體系的視角。

一是數據安全領域確立基礎性法律。數據是數字經濟的基礎性戰略資源，數據治理能力是國家競爭力的體現。2017 年，習近平總書記提出“要加強政策、監管、法律的統籌協調，加快法規制度建設。要制定數據資源確權、開放、流通、交易相關制度，完善數據產權保護制度。”《數據安全法》今年 6月正式出臺，數據治理制度實現從無到有的“突破”，成為我國數據安全領域基礎性法律。《數據安全法》對數據分類分級、重要（核心）數據管理、數據安全審查等作出了明確規定，同時，在《網絡安全法》的基礎上，完善了跨境數據流動的管理要求，回應了關鍵信息基礎設施以外的重要數據的跨境管理訴求。

二是跨境數據流動規則進一步構建完善。《數據安全法》《個人信息保護法》出臺后，與《網絡安全法》相銜接，完善了跨境數據管理制度。總體來看，跨境數據流動管理制度覆蓋了關鍵信息基礎設施運營者、重要數據處理者和個人信息處理者等主體，包括安全評估、認證、標準合同等具體手段。今年 10 月，國家互聯網信息辦公室對《數據出境安全評估辦法（征求意見稿）》公開征求意見，該辦法以《網絡安全法》《數據安全法》《個人信息保護法》為上位法，細化和明確了我國跨境數據安全自由流動的具體規則，是我國數據治理框架性法律正式成型后，在數據出境安全管理系列規范中具有關鍵意義和地位的配套規則。

三是數據安全配套立法快速啟動。今年 11 月，國家互聯網信息辦公室發布《網絡數據安全管理條例（征求意見稿）》向社會公開征求意見，對網絡數據處理活動中涉及的個人信息保護、重要數據安全管理、跨境數據流動規范等內容進行了全方位、多層次的細化規定。該條例將成為《數據安全法》的主要配套規則之一。

四是算法對經濟和社會的影響逐步擴大，滋生了“大數據殺熟”“信息繭房”等損害公眾利益，破壞正當競爭，擾亂社會秩序的行為。有關部門在高位階立法對算法概括性要求的基礎上，進一步深入推進，從內容安全、社會管理、市場秩序等多維度價值導向層面對算法推薦進行規范。

2021 年 8 月，國家互聯網信息辦公室發布了《互聯網信息服務算法推薦管理規定（征求意見稿）》，對算法推薦技術作出專門管理規定。該規定以互聯網信息服務為基礎，從算法的公平公正及信息內容角度對算法推薦服務提出了各項具體細化的要求，明確了“算法推薦技術”的范圍、算法推薦服務的監管原則與規則以及具體的分級分類、備案、安全評估等監管手段。9 月，國家互聯網信息辦公室、中宣部、教育部、科技部等九部委印發《關于加強互聯網信息服務算法綜合治理的指導意見》，提出要利用三年左右時間，逐步建立治理機制健全、監管體系完善、算法生態規范的算法安全綜合治理格局。

五、下一步展望

網絡安全是網絡空間的基礎性保障問題，網絡空間越來越成為社會治理的主要載體，網絡安全問題不僅是國家安全的主要內容，也可能成為社會安全的底層邏輯。今年，網絡安全相關配套立法得以長足完善，同時網絡法治精細化發展趨勢，也使得部分領域從網絡安全體系中抽離和分立，促進整體網絡法治體系的結構化完善。

目前，《數據安全法》和《個人信息保護法》已經相繼實施，但部分事項還需要配套規定予以明確。《網絡數據安全管理條例》《數據出境安全評估辦法》等正在加快制定之中，但數據安全、個人信息保護從功能和目標上來看，需要結構化的制度體系，中短期內仍然有大量的配套立法任務。從下一步來看，一方面，要持續補齊，盡快出臺數據跨境管理、數據安全管理相關配套立法，確定有關法律制度的具體要求，為具體執法監督提供指引。另一方，面也要觀察總結，適時結合新的發展變化，調整、形成思路和方法，修訂或者制定相關網絡安全法律規定，為我國網絡安全工作持續提供法治保障。