导语:《网络安全法》将为新兴的网络空间制定规则,堪称网络空间最重要的法律!学界、产业界、政府、网民等社会各界的关注毫无疑问。关乎各方面切身利益,标志着中国网络空间从摸索实践阶段进入法律规范阶段。从国家网络发展角度,标志着从战略理念阶段进入到真正的制度建设阶段。意义重大,影响深远,你不能不关注!
网络安全法征求意见
网络实名制等纳入网络安全法草案
·[网络安全法(草案)全文] [公开征求意见 截止至8月5日]
·[网络安全法草案:随意搜集用户信息处50万元以下罚款]
·[《网络安全法草案》公布 中国实行网络安全等级保护制度]
·[网络安全法拟授予省级政府限网等临时权限 须满足两条件]
·[聚焦中国发布《网络安全法草案》:维护网络空间的主权]
《网络安全法》发布背景
  为保障网络安全,维护网络空间主权和国家安全,促进经济社会信息化健康发展,不断完善网络安全保护方面的法律法规十分必要。全国人大常委会法制工作委员会会同有关部门,在认真总结实践经验、深入调研了解各方面立法需求的基础上,拟定了网络安全法草案。
  网络安全法(草案)全文
微博名人热评
白草缘:对于网络安全法征求意见,我认为应该先提供合格和安全的服务环境和条件,再才能要求使用者提供真实信息!不能本末倒置和先置使用者的权益和安全不顾!

沈传宁:仔细学习了《网络安全法》草案,其中对于法律责任定义还比较简单,基本都是罚款,应该有些行为明确需要承担刑事责任的,并且惩罚力度要加大。网络安全法中罚款额50万上限,刑法中也就判几年,对比利益,实在不成比例,黑产中弄50万实在是小意思。

痿光症官老爷:【提条意见】网络安全法草案已开始向社会公开征求意见。第九条:任何个人和组织不得利用网络从事危害国家安全活动。国家安全这概念需增加严格的界定,否则,必将沦为权贵打击异己、贪官戕害举报人,地方官护恶迫害不利其政声信息发布者、强力部门胡乱抓捕批评政府人士等的工具,引发社会仇恨和矛盾。

骑天666:【睁眼说瞎话还说得这么理直气壮,服了】这边《网络安全法草案》公布:重大突发事件可限制网络。那面中国代表在联合国人权理事会表示,中方不接受关于中国政府对互联网进行限制的说法,中国互联网是自由、开放、有序的。

中传王四新:《网络安全法》安全吗???刚看了看草案,感觉立法太国家、政府本位,个人享有的通讯自由、表达自由等权利,还有企业的基本需求,产业发展的要求,及国际社会对相关问题的基本态度,比如联合国人权理事会促进意见和表达自由特别报告员新近提交的报告的基本理念——好像都不是本草案要考虑的似的。

罗亚蒙:#亚蒙看法#「网络安全法」重大突发事件可限制网络 ,以后再发生"李乐斌枪杀徐纯合"之类的事情,直接断网,一切以官方解释为准,倒也清静。

陈俊律师:《网络安全法》草案第六章“法律责任”中对于政府以及政府各级部门通过网络侵害个人、组织或者其他政府及政府部门的行为,完全没有罚则,这样将导致此类危害网络安全的行为根本没有惩罚性制止性措施,是非常可怕的行为。

网眼八分斋:【大事:网络安全法草案】前年预测果然应验,网络立法已成现实。网络作为信息革命工具,早己从商业影响到文化、政治生态,不管则乱。立法是管理的开始,但非治理的根本,误区在二:行政措施干预;政治手段管制。师夷长技方可制之,开放自由共享才能用之,重封堵而轻疏导则适得其反。立法好,早该管了!

张鹤慈:中华人民共和国网络安全法(草案),海外反对声音不小,说“担心这会加强网络审查,以往没有立法规范的管制方式将会法制化”。支持法治的为什么认为法制化不好了?对网络应和对其它媒体一样都应法制化管理。问题在与,观点无罪,再错的观点也应允许,法律只能限制违法的言论。

金昇利达老梁:网络安全法草案通过后,对国家网络安全战略和重要领域网络安全规划、促进网络安全的支持措施作了规定。网络安全在国家安全中的战略地位进一步明确,后续国家推进网络安全建设的政策力度有望进一步增强。

无尽的抉择:关于网络安全法:首先,当前国内网络运营商、服务提供商以及中国信息商业相关的99%,都处于垄断状态,基本确定该法案对网络服务不会产生任何影响;其次,作为一项法令,该法案的内容并非针对国家战略层面的安全问题,而是对国内网络的监管,综合中国法律规则,该法案唯一的作用就是“搜查令”。
 
网络安全法(草案)全文
  2015年6月,第十二届全国人大常委会第十五次会议初次审议了《中华人民共和国网络安全法(草案)》。现将《中华人民共和国网络安全法(草案)》在中国人大网公布,向社会公开征求意见。社会公众可以直接登录中国人大网(www.npc.gov.cn)提出意见,也可以将意见寄送全国人大常委会法制工作委员会(北京市西城区前门西大街1号,邮编:100805。信封上请注明网络安全法草案征求意见)。征求意见截止日期:2015年8月5日。
中华人民共和国网络安全法(草案)

  目  录
  
  第一章 总  则
  第二章 网络安全战略、规划与促进
  第三章 网络运行安全
    第一节 一般规定
    第二节 关键信息基础设施的运行安全
  第四章 网络信息安全
  第五章 监测预警与应急处置
  第六章 法律责任
  第七章 附  则

  第一章 总  则
  第一条 为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法。
  第二条 在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。
  第三条 国家坚持网络安全与信息化发展并重,遵循积极利用、科学发展、依法管理、确保安全的方针,推进网络基础设施建设,鼓励网络技术创新和应用,建立健全网络安全保障体系,提高网络安全保护能力。
  第四条 国家倡导诚实守信、健康文明的网络行为,采取措施提高全社会的网络安全意识和水平,形成全社会共同参与促进网络安全的良好环境。
  第五条 国家积极开展网络空间治理、网络技术研发和标准制定、打击网络违法犯罪等方面的国际交流与合作,推动构建和平、安全、开放、合作的网络空间。
  第六条 国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院工业和信息化、公安部门和其他有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。
  县级以上地方人民政府有关部门的网络安全保护和监督管理职责按照国家有关规定确定。
  第七条 建设、运营网络或者通过网络提供服务,应当依照法律、法规的规定和国家标准、行业标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范违法犯罪活动,维护网络数据的完整性、保密性和可用性。
  第八条 网络相关行业组织按照章程,加强行业自律,制定网络安全行为规范,指导会员依法加强网络安全保护,提高网络安全保护水平,促进行业健康发展。
  第九条 国家保护公民、法人和其他组织依法使用网络的权利,促进网络接入普及,提升网络服务水平,为社会提供安全、便利的网络服务,保障网络信息依法有序自由流动。
  任何个人和组织使用网络应当遵守宪法和法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、宣扬恐怖主义和极端主义、宣扬民族仇恨和民族歧视、传播淫秽色情信息、侮辱诽谤他人、扰乱社会秩序、损害公共利益、侵害他人知识产权和其他合法权益等活动。
  第十条 任何个人和组织都有权对危害网络安全的行为向网信、工业和信息化、公安等部门举报。收到举报的部门应当及时依法作出处理;不属于本部门职责的,应当及时移送有权处理的部门。

  第二章 网络安全战略、规划与促进
  第十一条 国家制定网络安全战略,明确保障网络安全的基本要求和主要目标,提出完善网络安全保障体系、提高网络安全保护能力、促进网络安全技术和产业发展、推进全社会共同参与维护网络安全的政策措施等。
  第十二条 国务院通信、广播电视、能源、交通、水利、金融等行业的主管部门和国务院其他有关部门应当依据国家网络安全战略,编制关系国家安全、国计民生的重点行业、重要领域的网络安全规划,并组织实施。
  第十三条 国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责,组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。
  国家支持企业参与网络安全国家标准、行业标准的制定,并鼓励企业制定严于国家标准、行业标准的企业标准。
  第十四条 国务院和省、自治区、直辖市人民政府应当统筹规划,加大投入,扶持重点网络安全技术产业和项目,支持网络安全技术的研究开发、应用和推广,保护网络技术知识产权,支持科研机构、高等院校和企业参与国家网络安全技术创新项目。
  第十五条 各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育,并指导、督促有关单位做好网络安全宣传教育工作。
  大众传播媒介应当有针对性地面向社会进行网络安全宣传教育。
  第十六条 国家支持企业和高等院校、职业学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全技术人才,促进网络安全技术人才交流。
  第三章 网络运行安全
  第一节 一般规定
  第十七条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
  (一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
  (二)采取防范计算机病毒和网络攻击、网络入侵等危害网络安全行为的技术措施;
  (三)采取记录、跟踪网络运行状态,监测、记录网络安全事件的技术措施,并按照规定留存网络日志;
  (四)采取数据分类、重要数据备份和加密等措施;
  (五)法律、行政法规规定的其他义务。
  网络安全等级保护的具体办法由国务院规定。
  第十八条 网络产品、服务应当符合相关国家标准、行业标准。网络产品、服务的提供者不得设置恶意程序;其产品、服务具有收集用户信息功能的,应当向用户明示并取得同意;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当及时向用户告知并采取补救措施。
  网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期间内,不得终止提供安全维护。
  第十九条 网络关键设备和网络安全专用产品应当按照相关国家标准、行业标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。
  第二十条 网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布服务,应当在与用户签订协议或者确认提供服务时,要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。
  国家支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证技术之间的互认、通用。
  第二十一条 网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络入侵、网络攻击等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
  第二十二条 任何个人和组织不得从事入侵他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供从事入侵网络、干扰网络正常功能、窃取网络数据等危害网络安全活动的工具和制作方法;不得为他人实施危害网络安全的活动提供技术支持、广告推广、支付结算等帮助。
  第二十三条 为国家安全和侦查犯罪的需要,侦查机关依照法律规定,可以要求网络运营者提供必要的支持与协助。
  第二十四条 国家支持网络运营者之间开展网络安全信息收集、分析、通报和应急处置等方面的合作,提高网络运营者的安全保障能力。   有关行业组织建立健全本行业的网络安全保护规范和协作机制,加强对网络安全风险的分析评估,定期向会员进行风险警示,支持、协助会员应对网络安全风险。
  第二节 关键信息基础设施的运行安全
  第二十五条 国家对提供公共通信、广播电视传输等服务的基础信息网络,能源、交通、水利、金融等重要行业和供电、供水、供气、医疗卫生、社会保障等公共服务领域的重要信息系统,军事网络,设区的市级以上国家机关等政务网络,用户数量众多的网络服务提供者所有或者管理的网络和系统(以下称关键信息基础设施),实行重点保护。关键信息基础设施安全保护办法由国务院制定。
  第二十六条 国务院通信、广播电视、能源、交通、水利、金融等行业的主管部门和国务院其他有关部门(以下称负责关键信息基础设施安全保护工作的部门)按照国务院规定的职责,分别负责指导和监督关键信息基础设施运行安全保护工作。
  第二十七条 建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。
  第二十八条 除本法第十七条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:
  (一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;
  (二)定期对从业人员进行网络安全教育、技术培训和技能考核;
  (三)对重要系统和数据库进行容灾备份;
  (四)制定网络安全事件应急预案,并定期组织演练;
  (五)法律、行政法规规定的其他义务。
  第二十九条 关键信息基础设施的运营者采购网络产品和服务,应当与提供者签订安全保密协议,明确安全和保密义务与责任。
  第三十条 关键信息基础设施的运营者采购网络产品或者服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的安全审查。具体办法由国务院规定。
  第三十一条 关键信息基础设施的运营者应当在中华人民共和国境内存储在运营中收集和产生的公民个人信息等重要数据;因业务需要,确需在境外存储或者向境外的组织或者个人提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。法律、行政法规另有规定的从其规定。
  第三十二条 关键信息基础设施的运营者应当自行或者委托专业机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并对检测评估情况及采取的改进措施提出网络安全报告,报送相关负责关键信息基础设施安全保护工作的部门。
  第三十三条 国家网信部门应当统筹协调有关部门,建立协作机制。对关键信息基础设施的安全保护可以采取下列措施:
  (一)对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托专业检验检测机构对网络存在的安全风险进行检测评估;
  (二)定期组织关键信息基础设施的运营者进行网络安全应急演练,提高关键信息基础设施应对网络安全事件的水平和协同配合能力;
  (三)促进有关部门、关键信息基础设施运营者以及网络安全服务机构、有关研究机构等之间的网络安全信息共享;
  (四)对网络安全事件的应急处置与恢复等,提供技术支持与协助。
  第四章 网络信息安全
  第三十四条 网络运营者应当建立健全用户信息保护制度,加强对用户个人信息、隐私和商业秘密的保护。
  第三十五条 网络运营者收集、使用公民个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
  网络运营者不得收集与其提供的服务无关的公民个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用公民个人信息,并应当依照法律、行政法规的规定或者与用户的约定,处理其保存的公民个人信息。
  网络运营者收集、使用公民个人信息,应当公开其收集、使用规则。
  第三十六条 网络运营者对其收集的公民个人信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。
  网络运营者应当采取技术措施和其他必要措施,确保公民个人信息安全,防止其收集的公民个人信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施,告知可能受到影响的用户,并按照规定向有关主管部门报告。   第三十七条 公民发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。
  第三十八条 任何个人和组织不得窃取或者以其他非法方式获取公民个人信息,不得出售或者非法向他人提供公民个人信息。
  第三十九条 依法负有网络安全监督管理职责的部门,必须对在履行职责中知悉的公民个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。
  第四十条 网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。
  第四十一条 电子信息发送者发送的电子信息,应用软件提供者提供的应用软件不得设置恶意程序,不得含有法律、行政法规禁止发布或者传输的信息。
  电子信息发送服务提供者和应用软件下载服务提供者,应当履行安全管理义务,发现电子信息发送者、应用软件提供者有前款规定行为的,应当停止提供服务,采取消除等处置措施,保存有关记录,并向有关主管部门报告。
  第四十二条 网络运营者应当建立网络信息安全投诉、举报平台,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。
  第四十三条 国家网信部门和有关部门依法履行网络安全监督管理职责,发现法律、行政法规禁止发布或者传输的信息的,应当要求网络运营者停止传输,采取消除等处置措施,保存有关记录;对来源于中华人民共和国境外的上述信息,应当通知有关机构采取技术措施和其他必要措施阻断信息传播。
  第五章 监测预警与应急处置
  第四十四条 国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息。
  第四十五条 负责关键信息基础设施安全保护工作的部门,应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息。
  第四十六条 国家网信部门协调有关部门建立健全网络安全应急工作机制,制定网络安全事件应急预案,并定期组织演练。   负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案,并定期组织演练。
  网络安全事件应急预案应当按照事件发生后的危害程度、影响范围等因素对网络安全事件进行分级,并规定相应的应急处置措施。
  第四十七条 网络安全事件即将发生或者发生的可能性增大时,县级以上人民政府有关部门应当依照有关法律、行政法规和国务院规定的权限和程序,发布相应级别的预警信息,并根据即将发生的事件的特点和可能造成的危害,采取下列措施:
  (一)要求有关部门、机构和人员及时收集、报告有关信息,加强对网络安全事件发生、发展情况的监测;
  (二)组织有关部门、机构和专业人员,对网络安全事件信息进行分析评估,预测事件发生的可能性、影响范围和危害程度;
  (三)向社会发布与公众有关的预测信息和分析评估结果;
  (四)按照规定向社会发布可能受到网络安全事件危害的警告,发布避免、减轻危害的措施。
  第四十八条 发生网络安全事件,县级以上人民政府有关部门应当立即启动网络安全事件应急预案,对网络安全事件进行调查和评估,要求网络运营者采取技术措施和其他必要措施,消除安全隐患,防止危害扩大,并及时向社会发布与公众有关的警示信息。
  第四十九条 因网络安全事件,发生突发事件或者安全生产事故的,应当依照《中华人民共和国突发事件应对法》、《中华人民共和国安全生产法》等有关法律的规定处置。
  第五十条 因维护国家安全和社会公共秩序,处置重大突发社会安全事件的需要,国务院或者省、自治区、直辖市人民政府经国务院批准,可以在部分地区对网络通信采取限制等临时措施。
  第六章 法律责任
  第五十一条 网络运营者不履行本法第十七条、第二十一条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款;对直接负责的主管人员处五千元以上五万元以下罚款。
  关键信息基础设施的运营者不履行本法第二十七条至第二十九条、第三十二条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款;对直接负责的主管人员处一万元以上十万元以下罚款。
  第五十二条 网络产品、服务的提供者,电子信息发送者,应用软件提供者违反本法规定,有下列行为之一的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处五万元以上五十万元以下罚款;对直接负责的主管人员处一万元以上十万元以下罚款:
  (一)设置恶意程序的;
  (二)其产品、服务具有收集用户信息功能,未向用户明示并取得同意的;
  (三)对其产品、服务存在的安全缺陷、漏洞等风险未及时向用户告知并采取补救措施的;
  (四)擅自终止为其产品、服务提供安全维护的。
  第五十三条 网络运营者违反本法规定,未要求用户提供真实身份信息,或者对不提供真实身份信息的用户提供相关服务的,由有关主管部门责令改正;拒不改正或者情节严重的,处五万元以上五十万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、撤销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
  第五十四条 网络运营者违反本法规定,侵害公民个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处五十万元以下罚款;情节严重的,可以责令暂停相关业务、停业整顿、关闭网站、撤销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
  违反本法规定,窃取或者以其他方式非法获取、出售或者非法向他人提供公民个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处五十万元以下罚款。
  第五十五条 关键信息基础设施的运营者违反本法第三十条规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
  第五十六条 关键信息基础设施的运营者违反本法规定,在境外存储网络数据,或者未经安全评估向境外的组织或者个人提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、撤销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
  第五十七条 网络运营者违反本法规定,对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录的,由有关主管部门责令改正,给予警告,没收违法所得;拒不改正或者情节严重的,处十万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、撤销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处二万元以上二十万元以下罚款。
  电子信息发送服务提供者、应用软件下载服务提供者,未履行本法规定的安全义务的,依照前款规定处罚。
  第五十八条 发布或者传输法律、行政法规禁止发布或者传输的信息的,依照有关法律、行政法规的规定处罚。
  第五十九条 网络运营者违反本法规定,有下列行为之一的,由有关主管部门责令改正;拒不改正或者情节严重的,处五万元以上五十万元以下罚款;对直接负责的主管人员和其他直接责任人员,处一万元以上十万元以下罚款:
  (一)未将网络安全风险、网络安全事件向有关主管部门报告的;
  (二)拒绝、阻碍有关部门依法实施的监督检查的;
  (三)拒不提供必要的支持与协助的。
  第六十条 有本法第二十二条规定的危害网络安全的行为,尚不构成犯罪的,或者有其他违反本法规定的行为,构成违反治安管理行为的,依法给予治安管理处罚。
  第六十一条 国家机关政务网络的运营者不履行本法规定的网络安全保护义务的,由其上级机关或者有关机关责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。
  第六十二条 依法负有网络安全监督管理职责的部门的工作人员,玩忽职守、滥用职权、徇私舞弊,尚不构成犯罪的,依法给予行政处分。
  第六十三条 违反本法规定,给他人造成损害的,依法承担民事责任。
  第六十四条 违反本法规定,构成犯罪的,依法追究刑事责任。
  第七章 附  则
  第六十五条 本法下列用语的含义:
  (一)网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的网络和系统。
  (二)网络安全,是指通过采取必要措施,防范对网络的攻击、入侵、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络存储、传输、处理信息的完整性、保密性、可用性的能力。
  (三)网络运营者,是指网络的所有者、管理者以及利用他人所有或者管理的网络提供相关服务的网络服务提供者,包括基础电信运营者、网络信息服务提供者、重要信息系统运营者等。
  (四)网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据。
  (五)公民个人信息,是指以电子或者其他方式记录的公民的姓名、出生日期、身份证件号码、个人生物识别信息、职业、住址、电话号码等个人身份信息,以及其他能够单独或者与其他信息结合能够识别公民个人身份的各种信息。
  第六十六条 存储、处理涉及国家秘密信息的网络的运行安全保护,除应当遵守本法外,还应当遵守保密法律、行政法规的规定。
  第六十七条 军事网络和信息安全保护办法,由中央军事委员会制定。
  第六十八条 本法自  年 月 日起施行。
  关于《中华人民共和国网络安全法(草案)》的说明
  一、关于制定本法的必要性和起草经过
  当前,网络和信息技术迅猛发展,已经深度融入我国经济社会的各个方面,极大地改变和影响着人们的社会活动和生活方式,在促进技术创新、经济发展、文化繁荣、社会进步的同时,网络安全问题也日益凸显。一是,网络入侵、网络攻击等非法活动,严重威胁着电信、能源、交通、金融以及国防军事、行政管理等重要领域的信息基础设施的安全,云计算、大数据、物联网等新技术、新应用面临着更为复杂的网络安全环境。二是,非法获取、泄露甚至倒卖公民个人信息,侮辱诽谤他人、侵犯知识产权等违法活动在网络上时有发生,严重损害公民、法人和其他组织的合法权益。三是,宣扬恐怖主义、极端主义,煽动颠覆国家政权、推翻社会主义制度,以及淫秽色情等违法信息,借助网络传播、扩散,严重危害国家安全和社会公共利益。网络安全已成为关系国家安全和发展,关系人民群众切身利益的重大问题。
  党的十八大以来,以习近平同志为总书记的党中央从总体国家安全观出发,就网络安全问题提出了一系列新思想新观点新论断,对加强国家网络安全工作作出重要部署。党的十八届四中全会决定要求完善网络安全保护方面的法律法规。广大人民群众十分关注网络安全,强烈要求依法加强网络空间治理,规范网络信息传播秩序,惩治网络违法犯罪,使网络空间清朗起来。全国人大代表也提出许多议案、建议,呼吁出台网络安全相关立法。为适应国家网络安全工作的新形势新任务,落实党中央的要求,回应人民群众的期待,本届全国人大常委会将制定网络安全方面的立法列入了立法规划、年度立法工作计划。张德江委员长和李建国副委员长等常委会领导同志多次就网络安全立法问题作出重要批示,要求“抓紧论证,抓紧起草,抓紧出台”。
  根据党中央的要求和全国人大常委会立法工作安排,2014年上半年,法工委组成工作专班,开展网络安全法研究起草工作。通过召开座谈会、论证会等多种方式听取中央有关部门,银行、证券、电力等重要信息系统运营机构,一些网络设备制造企业、互联网服务企业、网络安全企业,有关信息技术和法律专家的意见,并到北京、浙江、广东等一些地方调研,深入了解网络安全领域存在的突出问题,掌握各方面的立法需求。在此基础上,先后提出了网络安全立法的基本思路、制度框架和草案初稿,会同中央网信办与工业和信息化部、公安部、国务院法制办等部门多次交换意见,反复研究,提出了网络安全法草案征求意见稿。经同中央国安办、中央网信办共同商量,再次征求了有关部门的意见,作了进一步完善,形成了网络安全法草案。
  二、关于立法的指导思想和把握的几点
  网络安全法的指导思想是:坚持以总体国家安全观为指导,全面落实党的十八大和十八届三中、四中全会决策部署,坚持积极利用、科学发展、依法管理、确保安全的方针,充分发挥立法的引领和推动作用,针对当前我国网络安全领域的突出问题,以制度建设提高国家网络安全保障能力,掌握网络空间治理和规则制定方面的主动权,切实维护国家网络空间主权、安全和发展利益。
  据此,起草工作把握了以下几点:
  第一,坚持从国情出发。根据我国网络安全面临的严峻形势和网络立法的现状,充分总结近年来网络安全工作经验,确立保障网络安全的基本制度框架。重点对网络自身的安全作出制度性安排,同时在信息内容方面也作出相应的规范性规定,从网络设备设施安全、网络运行安全、网络数据安全、网络信息安全等方面建立和完善相关制度,体现中国特色;并注意借鉴有关国家的经验,主要制度与国外通行做法是一致的,并对内外资企业同等对待,不实行差别待遇。
  第二,坚持问题导向。本法是网络安全管理方面的基础性法律,主要针对实践中存在的突出问题,将近年来一些成熟的好做法作为制度确定下来,为网络安全工作提供切实法律保障。对一些确有必要,但尚缺乏实践经验的制度安排做出原则性规定,同时注重与已有的相关法律法规相衔接,并为需要制定的配套法规预留接口。
  第三,坚持安全与发展并重。维护网络安全,必须坚持积极利用、科学发展、依法管理、确保安全的方针,处理好与信息化发展的关系,做到协调一致、齐头并进。通过保障安全为发展提供良好环境,本法注重对网络安全制度作出规范的同时,注意保护各类网络主体的合法权利,保障网络信息依法有序自由流动,促进网络技术创新和信息化持续健康发展。
  三、关于草案的主要内容
  草案共七章六十八条。主要内容包括:
  (一)关于维护网络主权和战略规划
  网络主权是国家主权在网络空间的体现和延伸,网络主权原则是我国维护国家安全和利益、参与网络国际治理与合作所坚持的重要原则。为此,草案将“维护网络空间主权和国家安全”作为立法宗旨,规定:在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法(草案第二条)。同时,按照安全与发展并重的原则,设专章对国家网络安全战略和重要领域网络安全规划、促进网络安全的支持措施作了规定(草案第二章)。
  (二)关于保障网络产品和服务安全
  维护网络安全,首先要保障网络产品和服务的安全。草案主要作了以下规定:一是,明确网络产品和服务提供者的安全义务,包括:不得设置恶意程序,及时向用户告知安全缺陷、漏洞等风险,持续提供安全维护服务等(草案第十八条)。二是,总结实践经验,将网络关键设备和网络安全专用产品的安全认证和安全检测制度上升为法律并作了必要的规范(草案第十九条)。三是,建立关键信息基础设施运营者采购网络产品、服务的安全审查制度,规定:关键信息基础设施的运营者采购网络产品或者服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的安全审查(草案第三十条)。
  (三)关于保障网络运行安全
  保障网络运行安全,必须落实网络运营者第一责任人的责任。据此,草案将现行的网络安全等级保护制度上升为法律,要求网络运营者按照网络安全等级保护制度的要求,采取相应的管理措施和技术防范等措施,履行相应的网络安全保护义务。(草案第十七条)   为了保障关键信息基础设施安全,维护国家安全、经济安全和保障民生,草案设专节对关键信息基础设施的运行安全作了规定,实行重点保护。范围包括基础信息网络、重要行业和领域的重要信息系统、军事网络、重要政务网络、用户数量众多的商业网络等。并对关键信息基础设施安全保护办法的制定、负责安全保护工作的部门、运营者的安全保护义务、有关部门的监督和支持等作了规定。(草案第二十五条至第二十九条、第三十二条、第三十三条)
  (四)关于保障网络数据安全
  随着云计算、大数据等技术的发展和应用,网络数据安全对维护国家安全、经济安全,保护公民合法权益,促进数据利用至为重要。为此,草案作了以下规定:一是,要求网络运营者采取数据分类、重要数据备份和加密等措施,防止网络数据被窃取或者篡改(草案第十七条)。二是,加强对公民个人信息的保护,防止公民个人信息数据被非法获取、泄露或者非法使用(草案第三十四条至第三十九条)。三是,要求关键信息基础设施的运营者在境内存储公民个人信息等重要数据;确需在境外存储或者向境外提供的,应当按照规定进行安全评估(草案第三十一条)。
  (五)关于保障网络信息安全
  2012年全国人大常委会关于加强网络信息保护的决定对规范网络信息传播活动作了原则规定。草案坚持加强网络信息保护的决定确立的原则,进一步完善了相关管理制度。一是,确立决定规定的网络身份管理制度即网络实名制,以保障网络信息的可追溯(草案第二十条)。二是,明确网络运营者处置违法信息的义务,规定:网络运营者发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告(草案第四十条)。三是规定,发送电子信息、提供应用软件不得含有法律、行政法规禁止发布或者传输的信息(草案第四十一条)。四是规定,为维护国家安全和侦查犯罪的需要,侦查机关依照法律规定,可以要求网络运营者提供必要的支持与协助(草案第二十三条)。五是,赋予有关主管部门处置违法信息、阻断违法信息传播的权力(草案第四十三条)。
  (六)关于监测预警与应急处置
  为了加强国家的网络安全监测预警和应急制度建设,提高网络安全保障能力,草案作了以下规定:一是,要求国务院有关部门建立健全网络安全监测预警和信息通报制度,加强网络安全信息收集、分析和情况通报工作(草案第四十四条、第四十五条)。二是,建立网络安全应急工作机制,制定应急预案(草案第四十六条)。三是,规定预警信息的发布及网络安全事件应急处置措施(草案第四十七条至第四十九条)。四是,为维护国家安全和社会公共秩序,处置重大突发社会安全事件,对网络管制作了规定(草案第五十条)。
  (七)关于网络安全监督管理体制
  为加强网络安全工作,草案规定:国家网信部门负责统筹协调网络安全工作和相关监督管理工作,并在一些条款中明确规定了其协调和管理职能。同时规定,国务院工业和信息化、公安等部门按照各自职责负责网络安全保护和监督管理相关工作(草案第六条)。
  此外,草案还对违反本法规定的法律责任、相关用语的含义等作了规定。
提交意见>>
哪些行为触犯网络安全法
 
  为保护公民、法人和其他组织的合法权益,维护社会秩序,根据《中华人民共和国刑法》《全国人民代表大会常务委员会关于维护互联网安全的决定》等规定,对办理利用信息网络实施诽谤、寻衅滋事、敲诈勒索、非法经营等刑事案件适用法律的若干问题解释如下:
  第一条 具有下列情形之一的,应当认定为刑法第二百四十六条第一款规定的“捏造事实诽谤他人”:
  (一)捏造损害他人名誉的事实,在信息网络上散布,或者组织、指使人员在信息网络上散布的;
  (二)将信息网络上涉及他人的原始信息内容篡改为损害他人名誉的事实,在信息网络上散布,或者组织、指使人员在信息网络上散布的;
  明知是捏造的损害他人名誉的事实,在信息网络上散布,情节恶劣的,以“捏造事实诽谤他人”论。
  第二条 利用信息网络诽谤他人,具有下列情形之一的,应当认定为刑法第二百四十六条第一款规定的“情节严重”:
  (一)同一诽谤信息实际被点击、浏览次数达到五千次以上,或者被转发次数达到五百次以上的;
  (二)造成被害人或者其近亲属精神失常、自残、自杀等严重后果的;
  (三)二年内曾因诽谤受过行政处罚,又诽谤他人的;
  (四)其他情节严重的情形。
  第三条 利用信息网络诽谤他人,具有下列情形之一的,应当认定为刑法第二百四十六条第二款规定的“严重危害社会秩序和国家利益”:
  (一)引发群体性事件的;
  (二)引发公共秩序混乱的;
  (三)引发民族、宗教冲突的;
  (四)诽谤多人,造成恶劣社会影响的;
  (五)损害国家形象,严重危害国家利益的;
   (六)造成恶劣国际影响的;
  (七)其他严重危害社会秩序和国家利益的情形。
  第四条 一年内多次实施利用信息网络诽谤他人行为未经处理,诽谤信息实际被点击、浏览、转发次数累计计算构成犯罪的,应当依法定罪处罚。
  第五条 利用信息网络辱骂、恐吓他人,情节恶劣,破坏社会秩序的,依照刑法第二百九十三条第一款第(二)项的规定,以寻衅滋事罪定罪处罚。
  编造虚假信息,或者明知是编造的虚假信息,在信息网络上散布,或者组织、指使人员在信息网络上散布,起哄闹事,造成公共秩序严重混乱的,依照刑法第二百九十三条第一款第(四)项的规定,以寻衅滋事罪定罪处罚。
  第六条 以在信息网络上发布、删除等方式处理网络信息为由,威胁、要挟他人,索取公私财物,数额较大,或者多次实施上述行为的,依照刑法第二百七十四条的规定,以敲诈勒索罪定罪处罚。
  第七条 违反国家规定,以营利为目的,通过信息网络有偿提供删除信息服务,或者明知是虚假信息,通过信息网络有偿提供发布信息等服务,扰乱市场秩序,具有下列情形之一的,属于非法经营行为“情节严重”,依照刑法第二百二十五条第(四)项的规定,以非法经营罪定罪处罚:
  (一)个人非法经营数额在五万元以上,或者违法所得数额在二万元以上的;
   (二)单位非法经营数额在十五万元以上,或者违法所得数额在五万元以上的。
  实施前款规定的行为,数额达到前款规定的数额五倍以上的,应当认定为刑法第二百二十五条规定的“情节特别严重”。
  第八条 明知他人利用信息网络实施诽谤、寻衅滋事、敲诈勒索、非法经营等犯罪,为其提供资金、场所、技术支持等帮助的,以共同犯罪论处。
  第九条 利用信息网络实施诽谤、寻衅滋事、敲诈勒索、非法经营犯罪,同时又构成刑法第二百二十一条规定的损害商业信誉、商品声誉罪,第二百七十八条规定的煽动暴力抗拒法律实施罪,第二百九十一条之一规定的编造、故意传播虚假恐怖信息罪等犯罪的,依照处罚较重的规定定罪处罚。
  第十条 本解释所称信息网络,包括以计算机、电视机、固定电话机、移动电话机等电子设备为终端的计算机互联网、广播电视网、固定通信网、移动通信网等信息网络,以及向公众开放的局域网络。
  为依法惩治编造、故意传播虚假恐怖信息犯罪活动,维护社会秩序,维护人民群众生命、财产安全,根据刑法有关规定,现对审理此类案件具体适用法律的若干问题解释如下:

  第一条 编造恐怖信息,传播或者放任传播,严重扰乱社会秩序的,依照刑法第二百九十一条之一的规定,应认定为编造虚假恐怖信息罪。
  明知是他人编造的恐怖信息而故意传播,严重扰乱社会秩序的,依照刑法第二百九十一条之一的规定,应认定为故意传播虚假恐怖信息罪。
  第二条 编造、故意传播虚假恐怖信息,具有下列情形之一的,应当认定为刑法第二百九十一条之一的“严重扰乱社会秩序”:
  (一)致使机场、车站、码头、商场、影剧院、运动场馆等人员密集场所秩序混乱,或者采取紧急疏散措施的;
  (二)影响航空器、列车、船舶等大型客运交通工具正常运行的;
  (三)致使国家机关、学校、医院、厂矿企业等单位的工作、生产、经营、教学、科研等活动中断的;
  (四)造成行政村或者社区居民生活秩序严重混乱的;
  (五)致使公安、武警、消防、卫生检疫等职能部门采取紧急应对措施的;
  (六)其他严重扰乱社会秩序的。
  第三条 编造、故意传播虚假恐怖信息,严重扰乱社会秩序,具有下列情形之一的,应当依照刑法第二百九十一条之一的规定,在五年以下有期徒刑范围内酌情从重处罚:
  (一)致使航班备降或返航;或者致使列车、船舶等大型客运交通工具中断运行的;
  (二)多次编造、故意传播虚假恐怖信息的;
  (三)造成直接经济损失二十万元以上的;
  (四)造成乡镇、街道区域范围居民生活秩序严重混乱的;
  (五)具有其他酌情从重处罚情节的。
  第四条 编造、故意传播虚假恐怖信息,严重扰乱社会秩序,具有下列情形之一的,应当认定为刑法第二百九十一条之一的 “造成严重后果”,处五年以上有期徒刑:
  (一)造成三人以上轻伤或者一人以上重伤的;
  (二)造成直接经济损失五十万元以上的;
  (三)造成县级以上区域范围居民生活秩序严重混乱的
  (四)妨碍国家重大活动进行的;
  (五)造成其他严重后果的。
  第五条 编造、故意传播虚假恐怖信息,严重扰乱社会秩序,同时又构成其他犯罪的,择一重罪处罚。
  第六条 本解释所称的“虚假恐怖信息”,是指以发生爆炸威胁、生化威胁、放射威胁、劫持航空器威胁、重大灾情、重大疫情等严重威胁公共安全的事件为内容,可能引起社会恐慌或者公共安全危机的不真实信息。

  《中华人民共和国刑法》第二百九十一条【投放虚假危险物质罪;编造、故意传播虚假恐怖信息罪】 投放虚假的爆炸性、毒害性、放射性、传染病病原体等物质,或者编造爆炸威胁、生化威胁、放射威胁等恐怖信息,或者明知是编造的恐怖信息而故意传播,严重扰乱社会秩序的,处五年以下有期徒刑、拘役或者管制;造成严重后果的,处五年以上有期徒刑。
 
  线上研讨会核心观点:网络安全法(草案)修改建议
 第一章
总 则
     1、在我国网络空间安全的基本法总则中应明确制定本法的基本原则。
     2、中国的网络发展道这个程度,必须要有网络安全法,必须要明确网络主权、网络空间安全、网络空间的基本规则和基本规矩。
     3、第一条,建议将保障网络安全改为保障网络空间安全;第三条,建议增加对网络空间主权和网络自主保护权利的宣示;第四条,建议在网络安全法总则中增加对网络空间国防安全的必要考虑。
     4、单纯用境内、境外来划分“网络”管辖边界,已经不能满足本法要求。建议以为中国公民和组织服务为目的,建设、运营、维护和使用的网络,适用本法。这样就体现了网络空间主权,强调保护网络和信息消费者。同时,也为我们未来争取全球网络空间的主动权奠定法律基础。
     5、在域外的网络行为,如果危害中国国家安全,社会公共安全,中国企业和个人安全,应适用本法。
     6、先强调维护国家安全,而不突出主权概念,等网络空间主权理论积累到一定阶段,再修法提网络空间主权。
     7、属人管辖,只要针对中国及公民行为人不管在境外还是境内,不管是犯罪行为预备地,行为地,还是结果发生地,都有管辖权,也符合现行通行的法律原则。
     8、总则应该和国家安全法相衔接,应该把网络安全的概念定义清楚。
     9、草案在跨境问题上表述得不清楚。
     10、没有提到检察院,法院,倒是在说向网信、工信举报,还说要依法作出处理,不符合合法制的规则。而且,“网信、工业和信息化”到底是指的什么机构也没有讲明白,应该修改。
     11、管辖范围可以参考美国国防部网络战略的提法,即保障美国本土和美国重大利益相关的网络空间安全。
     12、在网安法总则要坚持一个重要的原则,即国家网络空间安全与公民个人信息的同等保护原则。
     13、建议单列有关军方的职责,应当明确国防部与政府有关部门及企业在保护军事网络安全领域加强合作,以及加强电网、运输系统等重要基础设施的网络安全保护。
 第二章
 网络安全战略、规划与促进

草案:第十一条国家制定网络安全战略,明确保障网络安全的基本要求和主要目标,提出完善网络安全保障体系、提高网络安全保护能力、促进网络安全技术和产业发展、推进全社会共同参与维护网络安全的政策措施等。
建议:第十一条国家制定并公开颁布网络空间安全战略,明确保障网络空间安全的基本要求和主要目标,提出完善网络空间安全保障体系、提高网络空间安全保护能力、促进网络空间安全技术和产业发展、推进全社会共同参与维护网络空间安全以及积极与国际社会协作共同应对网络空间安全威胁的宏观政策措施等
建议2:第十一条国家制定并公开颁布网络空间安全战略,明确保障网络空间安全的基本要求和主要目标,将安全作为网络空间建设的基本需求,强调网络基础设施的本质安全性,有效降低系统遭受攻击的可能性,切实提高系统的安全可靠性。本着安全可控的基本原则,加强信息系统全生命周期的安全规划、设计、实施与运行维护工作,在关键节点进行风险分析和安全检查,有效降低信息系统遭受攻击的可能性和潜在的损失,切实提高系统的安全可靠性。提出完善网络空间安全保障体系、提高网络空间安全保护能力、促进网络空间安全技术和产业发展、推进全社会共同参与维护网络空间安全以及积极与国际社会协作共同应对网络空间安全威胁的宏观政策措施等。
草案:第十二条国务院通信、广播电视、能源、交通、水利、金融等行业的主管部门和国务院其他有关部门应当依据国家网络安全战略,编制关系国家安全、国计民生的重点行业、重要领域的网络安全规划,并组织实施。
建议:第十二条国务院通信、广播电视、能源、交通、水利、金融等行业的主管部门和国务院其他有关部门应当依据国家网络空间安全战略提出的目标、原则等,编制相关重点行业、重要领域的网络空间安全规划,并组织实施。
草案:第十三条国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责,组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。   国家支持企业参与网络安全国家标准、行业标准的制定,并鼓励企业制定严于国家标准、行业标准的企业标准。  
建议:第十三条国家建立和完善网络空间安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责,组织制定并适时修订有关网络空间安全管理以及网络产品、服务和运行安全的国家标准、行业标准。   国家鼓励企业、团体和各类法人在网络空间安全相关领域制订适应国家网络空间安全需求的企业及团体标准,为相关行业标准及国家标准提供基础数据信息并积极参与行业标准及国家标准的制订。
草案:第十四条国务院和省、自治区、直辖市人民政府应当统筹规划,加大投入,扶持重点网络安全技术产业和项目,支持网络安全技术的研究开发、应用和推广,保护网络技术知识产权,支持科研机构、高等院校和企业参与国家网络安全技术创新项目。
建议:第十四条国务院和省、自治区、直辖市人民政府应当统筹规划,加大投入,支持科研机构、高等院校和企业参与国家网络空间安全技术创新项目,支持网络空间安全技术的研究开发、应用和推广,保护网络技术知识产权,扶持重点网络空间安全产业和项目。
草案:第十五条各级人民政府及其有关部门应当组织开展经常性的网络安全宣传教育,并指导、督促有关单位做好网络安全宣传教育工作。 大众传播媒介应当有针对性地面向社会进行网络安全宣传教育。  
建议:第十五条各级人民政府及其有关部门应当开展常态化网络空间安全宣传教育,并指导、督促有关单位做好网络空间安全宣传教育工作。 鼓励大众传播媒介有针对性地面向社会进行网络空间安全宣传教育;同时鼓励个人、团体、企业、高校以及相关研究机构在国家统筹协调下运用各种方式推进网络空间安全的宣传教育。
草案:第十六条国家支持企业和高等院校、职业学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全技术人才,促进网络安全技术人才交流。
建议:第十六条国家加大经费(各类)投入,支持企业和高等院校、科研机构、职业学校等教育培训机构开展网络空间安全相关教育与培训,通过多种方式培养网络空间安全人才,促进网络空间安全人才交流。
 第三章
 网络运行安全

总体性意见:  本法对于国家网络安全产业的定位和与网络安全的关系应该表述清楚。 在第二章战略和第三章第二节中,应该有:国家对于网络安全产业发展的表述,包括鼓励本土的网络安全产业按照:统筹规划、协同创新、公平竞争的原则发展。包括协调、完整、先进、强大的网络安全产业是国家网络安全的基础等。
草案:第十七条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改: (一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任; (二)采取防范计算机病毒和网络攻击、网络入侵等危害网络安全行为的技术措施; (三)采取记录、跟踪网络运行状态,监测、记录网络安全事件的技术措施,并按照规定留存网络日志; (四)采取数据分类、重要数据备份和加密等措施; (五)法律、行政法规规定的其他义务。 网络安全等级保护的具体办法由国务院规定。
建议: 到目前为止,出台的各种规章制度,都使用的是“信息安全”等级保护制度。现在的网络安全可否=过去的信息安全?这需要重新定义和修改文件。 这一部分应该明确网络和系统的运营者使用者的管理责任,就是应该效仿欧美建立首席安全官制度。否则仅仅是“确定网络安全负责人”,没有明确其地位和权利是没有用处的。 这里我觉得主要的是明确责任的层面,就是应该是法人代表或者是领导班子的主要成员负责。类似于首席安全官制度。 就是关键基础设施和重要信息系由主要负责人承担安全的责任,其他由领导班子成员负责。
草案:第十八条 网络产品、服务应当符合相关国家标准、行业标准。网络产品、服务的提供者不得设置恶意程序;其产品、服务具有收集用户信息功能的,应当向用户明示并取得同意;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当及时向用户告知并采取补救措施。 网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期间内,不得终止提供安全维护。
建议: 许多创新产品,还没有适用标准 实际上现在对创新产品可适用企业标准或专家评审过的规范进行测评。 团体标准一般是企业联盟等的标准,本应高于国家和行业标准,而且不是强制执行的。 如果一定要写,可以写成"国家鼓励企业或者企业联盟等团体制定高于国家和行业标准的企业和团体标准。” 建议写到标准化部分去
草案:第十九条 网络关键设备和网络安全专用产品应当按照相关国家标准、行业标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。
建议:这里“国家网信部门”如果是指的网信办,管理的层面太低了。不符合统筹协调的要求会同,应该改成协调有关部门 这里,制度和公布目录,可以委托,制定和公布目录,太具体了 制度和公布目录应该按照政府主管业务的分工进行,不要由统筹协调机构直接去办。 “避免”是一个非常强的措辞:避免重复认证、检测。以前提的是“减少”;明确网络安全产品实行销售许可制度还是必要的;不论产品来源地,进入国內均按一个管理要求走。 建议这儿的网络关键设备改为网络关键产品(涵盖软硬件),另在附则中对网络关键产品进行含义说明。
草案:第二十条 网络运营者为用户办理网络接入、域名注册服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布服务,应当在与用户签订协议或者确认提供服务时,要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。 国家支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证技术之间的互认、通用。
建议:"营运者应该是合法注册和有运营资质的企业。"可以加上。 托管、云服务等网络服务运营者和用户也应明确适用本条款。但举例似乎暗示网络运营者仅仅电信运营商,建议删除举例。 网络运营者怎么准入的原则是其他下位法的事情 “国家支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证技术之间的互认、通用。” 政策性的东西写到法律里面不合适
草案:第二十一条 网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络入侵、网络攻击等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
建议:建议二十一条后半句改成“在发生危害网络安全的事件时,及时启动应急预案和采取相应的补救措施,并按照规定向有关主管部门及公安部门报告。” 按照现行规定,是向公安部门的派出所报告,还是向网路安全保卫部门报告?还是向信息安全信息通报部门报告?应该和《网络和信息安全事件通报意见》相衔接,相关规定应该包括。通报义务、对象(上级主管、用户等)、机制、流程等
草案:第二十二条 任何个人和组织不得从事入侵他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供从事入侵网络、干扰网络正常功能、窃取网络数据等危害网络安全活动的工具和制作方法;不得为他人实施危害网络安全的活动提供技术支持、广告推广、支付结算等帮助。
建议:第二十二条能否清楚地区分从事安全研究的行为和黑客行为?研究行为应该受控,有授权,或者在模拟仿真环境。 第二十二条应该加上“国家对于来自任何攻击者的非法攻击有追究和反击的权利”
草案:第二十三条 为国家安全和侦查犯罪的需要,侦查机关依照法律规定,可以要求网络运营者提供必要的支持与协助。
建议:建议一:为国家安全和侦查犯罪的需要,侦查机关依照法律规定,可以要求网络运营者提供必要的支持与协助以及开展必要的侦查工作。运营者不得以任何理由拒绝。 修改二:第二十三条 为国家安全和侦查犯罪的需要,网络运营者应向侦查机关提供必要的支持与协助。 22条和23条有点不协调。前面是任何,后面又说可以要求,但是必须的侦查工作是不是例外呢?现在是侦查机关依法要求提供。运营者也是依法不能提供。都是法律执行者和捍卫者。
草案:第二十四条 国家支持网络运营者之间开展网络安全信息收集、分析、通报和应急处置等方面的合作,提高网络运营者的安全保障能力。 有关行业组织建立健全本行业的网络安全保护规范和协作机制,加强对网络安全风险的分析评估,定期向会员进行风险警示,支持、协助会员应对网络安全风险。
建议:第二十四条的后半句没有主语,应该加上“国家支持”。 会员改为成员。第24条,没有提及国家或行业里面各个CERT的作用,通报机制也没明确。 第24条,应该放在第21条的后面,内容才连贯
草案:第二十五条 国家对提供公共通信、广播电视传输等服务的基础信息网络,能源、交通、水利、金融等重要行业和供电、供水、供气、医疗卫生、社会保障等公共服务领域的重要信息系统,军事网络,设区的市级以上国家机关等政务网络,用户数量众多的网络服务提供者所有或者管理的网络和系统(以下称关键信息基础设施),实行重点保护。关键信息基础设施安全保护办法由国务院制定。
建议: 这一章最好用“关键信息基础设施和重要信息系统”,《国家安全法》明确的是用“关键基础设施和重要领域信息系统及数据的安全可控;”,建议和国家安全法第25条、等保等法规衔接起来 定义很具体,实际不够明确。只做原则规定,留给下位法规去具体化。 重要信息系统和基础设施还是有区别的。
草案:第二十六条 国务院通信、广播电视、能源、交通、水利、金融等行业的主管部门和国务院其他有关部门(以下称负责关键信息基础设施安全保护工作的部门)按照国务院规定的职责,分别负责指导和监督关键信息基础设施运行安全保护工作。
建议: 举例了 六个 行业。没有被举例的,可能会有意见 二十五条提了军事网络,二十六条没提其主管部门,“军事网络”可以删除,或后面补充主管部门。 二十六条建议:分别负责指导、监督、管理关键基础设施......与第二条适用范围相呼应
草案:第二十七条 建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。
草案:第二十八条 除本法第十七条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务: (一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查; (二)定期对从业人员进行网络安全教育、技术培训和技能考核; (三)对重要系统和数据库进行容灾备份; (四)制定网络安全事件应急预案,并定期组织演练; (五)法律、行政法规规定的其他义务。
建议:一些具体条款,与后面章节的要求,应急演练,是重复的 其中(一)应该首先明确,“关键基础设施和重要信息系统运营单位或者企业的法人代表是安全保护的第一责任人。”然后才是“应设置专门安全管理机构....” 具体的安全保护义务,这么具体列举,不太必要。建议删除。
草案:第二十九条 关键信息基础设施的运营者采购网络产品和服务,应当与提供者签订安全保密协议,明确安全和保密义务与责任。
建议:也是粒度太细的问题。太具体了。 建议,把第28条29条合并,只提安全责任人和安全保密协议
草案:第三十条 关键信息基础设施的运营者采购网络产品或者服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的安全审查。具体办法由国务院规定。
建议:国家网信部门是指网信办还是所有有关政府部门,没有表达清楚。网信主管部门描述不清。
草案:第三十一条 关键信息基础设施的运营者应当在中华人民共和国境内存储在运营中收集和产生的公民个人信息等重要数据;因业务需要,确需在境外存储或者向境外的组织或者个人提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。法律、行政法规另有规定的从其规定。
建议:大型网站的境外公民的数据也应存放在境内? 考虑途经境外传输的情况,建议加上在境内传输和存储。
草案:第三十二条 关键信息基础设施的运营者应当自行或者委托专业机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并对检测评估情况及采取的改进措施提出网络安全报告,报送相关负责关键信息基础设施安全保护工作的部门。 有关行业组织建立健全本行业的网络安全保护规范和协作机制,加强对网络安全风险的分析评估,定期向会员进行风险警示,支持、协助会员应对网络安全风险。
草案:第三十三条 国家网信部门应当统筹协调有关部门,建立协作机制。对关键信息基础设施的安全保护可以采取下列措施: (一)对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托专业检验检测机构对网络存在的安全风险进行检测评估; (二)定期组织关键信息基础设施的运营者进行网络安全应急演练,提高关键信息基础设施应对网络安全事件的水平和协同配合能力; (三)促进有关部门、关键信息基础设施运营者以及网络安全服务机构、有关研究机构等之间的网络安全信息共享; (四)对网络安全事件的应急处置与恢复等,提供技术支持与协助。
建议:四个具体的条款,太具体,而且与前后内容重复,都应该删除!仅保留:国家网信部门应当统筹协调有关部门,建立协作机制。 第33条与第6条对网信部门的定位不太吻合,列举的具体措施,超出了统筹协调范围了。
 第四章
 网络信息安全

总体性意见: 用了网络信息安全的题目,但只谈了网络个人信息保护和内容安全两部分,从体系严谨性来看的确是个问题。 还应该有数据保护部分.
草案:第三十四条 网络运营者应当建立健全用户信息保护制度,加强对用户个人信息、隐私和商业秘密的保护。
建议: 建议在附则中补充隐私和企业商业秘密。
第三十四条 网络运营者应当建立健全用户信息保护制度,加强对用户个人信息、隐私和企业商业秘密的保护。
在特定情况隐私也有可能变为公开信息,理论上官员的财产信息属于隐私,但因其身份需要公示。所以两者有转化的可能,这种转换要有界定。 线下的信息泄漏,比如快递公司,是否算网络运营者? 只要有信息化存储就应该在这个范围
草案:第三十五条 网络运营者收集、使用公民个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。 网络运营者不得收集与其提供的服务无关的公民个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用公民个人信息,并应当依照法律、行政法规的规定或者与用户的约定,处理其保存的公民个人信息。 网络运营者收集、使用公民个人信息,应当公开其收集、使用规则。
建议: 不允许主动收集为客户提供业务无关的隐私数据…… 用户信息的开发一定是授权开发,共享式权力,而且用户有权退出。
草案:第三十六条 网络运营者对其收集的公民个人信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。
网络运营者应当采取技术措施和其他必要措施,确保公民个人信息安全,防止其收集的公民个人信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施,告知可能受到影响的用户,并按照规定向有关主管部门报告。
建议:侵权行为给用户造成损失应予以赔偿,同时运营商除了上报,还应当配合相关部门进行调查处理。 建议增加:网络运营者破产之后的用户个人数据处理措施
草案:第三十七条 公民发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。
建议:这条应当与《侵权责任法》法律和解释相对应。2009年,我国颁布了《侵权责任法》,第36条将“避风港”原则推广到网络平台的所有侵害民事权益行为。最高人民法院于2014年10月公布了《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(简称“司法解释”),其中就《侵权责任法》第36条有关“避风港”原则作出了具体规定。
草案:第三十八条 任何个人和组织不得窃取或者以其他非法方式获取公民个人信息,不得出售或者非法向他人提供公民个人信息。
建议:这章是网络信息保护,建议加上网络的范畴,否则变成线上线下通吃了
草案:第三十九条 依法负有网络安全监督管理职责的部门,必须对在履行职责中知悉的公民个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。
建议:商业秘密前加“企业”。 网络安全监督管理职责的部门是否能涵盖从事管理和执法中获取个人信息的所有行政部门,譬如许多警务工作者,可能接触到公民隐私,但并不是网络安全监督管理职责的专职部门
草案:第四十条 网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。
建议:“发现”法律、行政法规禁止发布或者传输的信息的——句子有语病。 有必要对运营商怎样才能“发现”的能力进行判断,不要负担都压在运营商;“发现”所依据是一般人标准还是专业标准不明确
草案:第四十一条 电子信息发送者发送的电子信息,应用软件提供者提供的应用软件不得设置恶意程序,不得含有法律、行政法规禁止发布或者传输的信息。
电子信息发送服务提供者和应用软件下载服务提供者,应当履行安全管理义务,发现电子信息发送者、应用软件提供者有前款规定行为的,应当停止提供服务,采取消除等处置措施,保存有关记录,并向有关主管部门报告。
建议:不得设置恶意程序?这条不应放在内容安全里面。 建议将恶意程序的表述删掉。 建议增加:不得误导、欺骗用户,以及提供不正确的信息获取方式。 建议增加:禁止不经客户同意静默安装和更新软件、不经客户允许读取客户系统信息、操控系统信息等行为。
草案:第四十二条 网络运营者应当建立网络信息安全投诉、举报平台,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。
建议:是否考虑仲裁机构。 增加网络运营者负担,不是每个网络运营者都是百度,腾讯这样的大公司,有能力承担此类社会责任。 建议增加一款:网络运营者应当对其工作人员进行公民个人信息和企业商业秘密保护相关知识、技能和安全责任培训,并应当对公民个人信息保护情况每年至少进行一次自查,记录自查情况,及时消除自查中发现的安全隐患。
草案:第四十三条 国家网信部门和有关部门依法履行网络安全监督管理职责,发现法律、行政法规禁止发布或者传输的信息的,应当要求网络运营者停止传输,采取消除等处置措施,保存有关记录;对来源于中华人民共和国境外的上述信息,应当通知有关机构采取技术措施和其他必要措施阻断信息传播。
建议:应当通知有关机构采取措施阻断上述信息传播。删除“技术措施,其他必要措施”。 网络空间是逻辑的,境内、境外如何把握? 境外通过VPN传输来的密文是否涵盖?
 第五章
 监测预警与应急处置

草案:第四十四条 国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息。
建议: 建议四十四条中的“协调有关部门”增加“专业提供商和社会力量”。 修改1:国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照统一规定发布网络安全监测预警信息。 修改2: 国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定发布网络安全监测预警信息。
草案:第四十五条 负责关键信息基础设施安全保护工作的部门,应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息。
建议: 四十五条确实只强调了预警下行责任,没有强调事件的上报责任。 在四十五条后增加一条,应对能力保障:日志留存,监控协同、联动响应等。 在四十五条后增加一条,与CII类似的,对网络运营者的责任描述,例如“网络运营者应当建立自身系统的网络安全监测和事件通报制度,并按照规定报送网络安全主管部门”
草案:第四十六条 国家网信部门协调有关部门建立健全网络安全应急工作机制,制定网络安全事件应急预案,并定期组织演练。
负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案,并定期组织演练。
网络安全事件应急预案应当按照事件发生后的危害程度、影响范围等因素对网络安全事件进行分级,并规定相应的应急处置措施。
建议:四十六条中第一段最后加上:建立国家网络安全应急保障能力,有效防范网络安全突发事件对中国网络空间安全的威胁和国家重大利益的风险。
草案:第四十七条 网络安全事件即将发生或者发生的可能性增大时,县级以上人民政府有关部门应当依照有关法律、行政法规和国务院规定的权限和程序,发布相应级别的预警信息,并根据即将发生的事件的特点和可能造成的危害,采取下列措施:
(一)要求有关部门、机构和人员及时收集、报告有关信息,加强对网络安全事件发生、发展情况的监测;
(二)组织有关部门、机构和专业人员,对网络安全事件信息进行分析评估,预测事件发生的可能性、影响范围和危害程度;
(三)向社会发布与公众有关的预测信息和分析评估结果;
(四)按照规定向社会发布可能受到网络安全事件危害的警告,发布避免、减轻危害的措施。
建议: 修改1:“县级以上人民政府有关部门应当依照有关法律、行政法规和国务院规定的权限和程序,建立监测和预警体系,网络安全事件即将发生或者发生的可能性增大时,发布相应级别的预警信息,并根据即将发生的事件的特点和可能造成的危害,采取下列措施:”……
修改2: “县级以上人民政府有关部门应当依照有关法律、行政法规和国务院规定的权限和程序,建立监测和预警体系,并依据监测结果,发布相应级别的预警信息,并根据即将发生的事件的特点和可能造成的危害,采取下列措施:”……
修改3: “县级以上人民政府有关部门应当依照本法建立监测和预警体系,并依据监测结果,发布相应级别的预警信息,并根据可能发生的事件的特点和可能造成的危害,采取下列措施:”……
草案:第四十八条 发生网络安全事件,县级以上人民政府有关部门应当立即启动网络安全事件应急预案,对网络安全事件进行调查和评估,要求网络运营者采取技术措施和其他必要措施,消除安全隐患,防止危害扩大,并及时向社会发布与公众有关的警示信息。
草案:第四十九条 因网络安全事件,发生突发事件或者安全生产事故的,应当依照《中华人民共和国突发事件应对法》、《中华人民共和国安全生产法》等有关法律的规定处置。
草案:第五十条 因维护国家安全和社会公共秩序,处置重大突发社会安全事件的需要,国务院或者省、自治区、直辖市人民政府经国务院批准,可以在部分地区对网络通信采取限制等临时措施。
建议:需要加强网络管制能力建设,包括疏导,不能仅仅是断网。 应该表明还有其他反制措施,而不仅仅是断网这一招。
 第六章
 法律责任

总体意见: 专门制定《网络安全违法事件处罚条例》,这样可以避开国家大法总提罚款,也可把各种情况说清楚,还可以根据新情况适时修订。
草案:第五十一条 网络运营者不履行本法第十七条、第二十一条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款;对直接负责的主管人员处五千元以上五万元以下罚款。 关键信息基础设施的运营者不履行本法第二十七条至第二十九条、第三十二条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款;对直接负责的主管人员处一万元以上十万元以下罚款。
建议:  罚款可以设置开放性的罚款额度,比如违法不究者按日罚款,或者再次违法者加重处罚,或者按营业收入的百分比,  增加一条规定:违法者未按照行政处罚决定改正违法行为的,每逾期一日加罚罚款金额的10%,直至改正违法行为;  不主张加大罚款力度,任何权力太大都不是好事。  建议递进式惩罚性赔偿,考虑了我们国家的现状,及商业企业的法律风险
草案:第五十二条 网络产品、服务的提供者,电子信息发送者,应用软件提供者违反本法规定,有下列行为之一的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处五万元以上五十万元以下罚款;对直接负责的主管人员处一万元以上十万元以下罚款: (一)设置恶意程序的; (二)其产品、服务具有收集用户信息功能,未向用户明示并取得同意的; (三)对其产品、服务存在的安全缺陷、漏洞等风险未及时向用户告知并采取补救措施的; (四)擅自终止为其产品、服务提供安全维护的。
建议:规定行政处罚后,受到影响的或者可能受到信息安全威胁的中国公民可以起诉索赔,每个人都可以获得一定的惩罚性赔偿。  建议将“有关主管部门”直接明确具体部门名称
草案:第五十三条 网络运营者违反本法规定,未要求用户提供真实身份信息,或者对不提供真实身份信息的用户提供相关服务的,由有关主管部门责令改正;拒不改正或者情节严重的,处五万元以上五十万元以下罚款,并可以由有关主管部门责令暂停相关业务、停业整顿、关闭网站、撤销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
建议:关闭网站属于非常严厉的处罚,事关企业生死,建议明确关闭网站的处罚要件,例如:(1)情节恶劣且后果严重的;(2)经多次处罚,仍拒不改正的;(3)严重危害社会公共利益的;(4)不关闭网站会造成难以挽回的损失的。 关闭网站的处罚,应该有行政复议、行政诉讼通道。 用户实名,建议慎重。 设置违法企业负责人市场禁入制度,结合现在的诚信制度,征信系统,对付老赖。 关于暂停相关服务、停业整顿的处罚,应当明确,一次性暂停不超过3个月,经评估后可以延长。
草案:第五十四条 网络运营者违反本法规定,侵害公民个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处五十万元以下罚款;情节严重的,可以责令暂停相关业务、停业整顿、关闭网站、撤销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
违反本法规定,窃取或者以其他方式非法获取、出售或者非法向他人提供公民个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处五十万元以下罚款。
草案:第五十五条 关键信息基础设施的运营者违反本法第三十条规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
建议:建议增加第二款,故意预留后门或者漏洞,由检察院提起民事诉讼,经法院审判认定事实成立的,可以判令惩罚性民事赔偿,永久禁止该企业的产品在中华人民共和国销售 不赞同把安全审查问题写到后门这么细。细致化会降低安全审查制度的神秘性和不可预测性。 建议在安全审查条例里细化规定。
草案:第五十六条 关键信息基础设施的运营者违反本法规定,在境外存储网络数据,或者未经安全评估向境外的组织或者个人提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、撤销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
建议:有些网络安全产品的厂商,是全世界运营的,在实际运行中,有没有根据不同国家的法律,不同的安全设置以及不同的信息收集策略?如果有,要不要针对性的做一些法律规定
草案:第五十七条 网络运营者违反本法规定,对法律、行政法规禁止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录的,由有关主管部门责令改正,给予警告,没收违法所得;拒不改正或者情节严重的,处十万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、撤销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处二万元以上二十万元以下罚款。 电子信息发送服务提供者、应用软件下载服务提供者,未履行本法规定的安全义务的,依照前款规定处罚。
草案:第五十八条 发布或者传输法律、行政法规禁止发布或者传输的信息的,依照有关法律、行政法规的规定处罚。
草案:第五十九条 网络运营者违反本法规定,有下列行为之一的,由有关主管部门责令改正;拒不改正或者情节严重的,处五万元以上五十万元以下罚款;对直接负责的主管人员和其他直接责任人员,处一万元以上十万元以下罚款: (一)未将网络安全风险、网络安全事件向有关主管部门报告的; (二)拒绝、阻碍有关部门依法实施的监督检查的; (三)拒不提供必要的支持与协助的。
草案:第六十条 有本法第二十二条规定的危害网络安全的行为,尚不构成犯罪的,或者有其他违反本法规定的行为,构成违反治安管理行为的,依法给予治安管理处罚。
草案:第六十一条 国家机关政务网络的运营者不履行本法规定的网络安全保护义务的,由其上级机关或者有关机关责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。
草案:第六十二条 依法负有网络安全监督管理职责的部门的工作人员,玩忽职守、滥用职权、徇私舞弊,尚不构成犯罪的,依法给予行政处分。
建议:应该提到政府和公共管理职能的机构:包括银行、电信、交通等公共事业企业,不能只提部门
草案:第六十三条 违反本法规定,给他人造成损害的,依法承担民事责任。
建议:建议增加:经生效法律文书确定侵权成立仍不改正的,人民法院可以增加判决惩罚性的民事赔偿。
草案:第六十四条 违反本法规定,构成犯罪的,依法追究刑事责任。
建议:建议对信息网络安全追究刑事责任必须以故意或重大过失为前提条件,毕竟网络有放大效应,一个细小的过错也可能产生很大的问题,这样追究刑事责任是不公平的。这里加上主观必须故意或重大过失,是对行业从业人员的保护。
  专栏作家热议《网络安全法》
李吉明:网络安全法剑指“实名制”释放啥信号?
    显而易见,《网络安全法(草案)》的出台绝非朝夕之功,而是长期酝酿、深思熟虑的结果。而通过立法推行网络实名制,不仅让“禁止网上匿名”变成了现实,而且还将突破法律上和技术上的拘囿,倒逼网民对自身的言行负责,把匿名化状态下的种种弊端荡涤一空。[详情]
 
 
网安有法:素质低下的国人又需要管了?
    我希望这个法律确实能够做到相互制约,我们希望中国不要沦为朝鲜这样一个自闭眼目的国家,我们也应该希望中国在逐步的宽阔环境中促进民意的进步,如同某些体制内的人所说:“现在 玩民主,中国人素质不够。”既然如此,那么请不要再鼻塞人们的视听,给民众锻炼素质的环境。[详情]
 
朱宁宁:网络安全法应是网络领域基本法
    大力有效打击网络犯罪,制定网络取证和执法规范是十分必要的。一些网络技可以有效地打击网络犯罪,尤其是网络色情犯罪。但网络电子取证侦查执法等手段不能滥用,只有在法律明确授权的情况下,才可以更好地发挥其应有作用。[详情]
 
沉默的发言人:网络安全法——会不会又念歪了经呢?
    立法意图说明是“规范网络信息传播秩序,惩治网络违法犯罪”,对于这个意图,本人是举双手赞成,但这部许多地方“不落地”的法规能否达到这个意图,则疑问重重,会不会又把经念歪了呢?[详情]
 

博客中国(Blogchina)荣誉出品 欢迎转载,请注明出处   策划:博客中国专题中心  编辑制作:康影      时间:2014-07-10