第七章 附 则
第七十二条 本法下列用语的含义:
(一)网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。
(二)网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
(三)网络运营者,是指网络的所有者、管理者和网络服务提供者。
(四)网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据。
(五)公民个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别公民个人身份的各种信息,包括但不限于公民的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
第七十三条 存储、处理涉及国家秘密信息的网络的运行安全保护,除应当遵守本法外,还应当遵守保密法律、行政法规的规定。
第七十四条 军事网络的安全保护,由中央军事委员会另行规定。
第七十五条 本法自 年 月 日起施行。
网络安全法(草案)的修改情况一、有的常委会组成人员建议,将草案第十一条关于国家网络安全战略的内容移至总则中规定,明确其重要地位。一些常委会组成人员和地方、部门提出,为了更好地维护网络空间主权,积极主动应对境内外的网络攻击和破坏,应当进一步强化国家维护网络安全的措施,在相关条款中增加抵御境内外网络安全威胁、保护关键信息基础设施安全、惩治网络违法犯罪、维护网络空间秩序等内容。法律委员会赞同上述意见,建议对草案作以下修改:一是,将草案第十一条的内容移至总则,修改为:国家制定并不断完善网络安全战略,明确保障网络安全的基本要求和主要目标,提出重点领域的网络安全政策、工作任务和措施(草案二次审议稿第四条);二是,增加规定:国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序(草案二次审议稿第五条)。
二、一些常委会组成人员和地方、部门、社会公众提出,为净化网络环境,维护国家安全、公共利益,应当进一步规范网络使用行为,强调弘扬社会主义核心价值观。法律委员会经研究,建议对草案作以下修改:一是,在草案第四条中增加“推动传播社会主义核心价值观”(草案二次审议稿第六条)。二是,在草案第九条第二款中增加不得利用网络从事“煽动颠覆国家政权和推翻社会主义制度”、“侵害他人名誉、隐私”等活动(草案二次审议稿第十二条第二款);并在草案第五十八条中增加规定,发布或者传输上述违法信息的,依照有关法律、行政法规的规定处罚(草案二次审议稿第六十七条)。
三、一些常委委员和地方、部门、社会公众提出,为营造良好的网络环境和秩序,应当进一步强化网络运营者的社会责任,明确网络运营者留存网络日志的期限以及配合有关部门监督检查的义务。法律委员会经研究,建议在草案中增加以下规定:一是,网络运营者必须遵守法律、行政法规,遵守社会公德、商业道德,诚实信用,履行网络安全保护义务,接受政府和社会公众的监督,承担社会责任(草案二次审议稿第九条);二是,网络运营者留存网络日志不得少于六个月(草案二次审议稿第二十条第三项);三是,网络运营者对有关部门依法实施的监督检查应当予以配合(草案二次审议稿第四十七条第二款)。
四、一些常委委员和地方、部门、企业、专家提出,为协同推进网络安全与发展,建议增加支持推广安全可信的网络产品、完善网络安全服务体系、促进大数据应用、创新网络安全管理方式等内容。法律委员会经研究,建议在草案中增加以下规定:一是,在草案第十四条中增加“推广安全可信的网络产品和服务”(草案二次审议稿第十五条)。二是,增加规定:国家推进网络安全社会化服务体系建设,鼓励企业、机构开展网络安全认证、检测和风险评估等服务(草案二次审议稿第十六条)。三是,增加规定:国家鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展;支持创新网络安全管理方式,运用网络新技术,提升网络安全保护水平(草案二次审议稿第十七条)。四是,增加大数据应用必须对公民个人信息进行无法识别特定个人处理的规定,进一步明确公民个人信息使用规则(草案二次审议稿第四十一条第一款)。
五、一些地方、部门提出,为增强网络身份管理制度的针对性和有效性,建议在草案第二十条中明确对即时通讯服务实行用户实名管理,并增加实施网络可信身份战略的内容。法律委员会经研究,建议在草案第二十条第一款中增加规定,网络运营者为用户提供即时通讯等服务,应当要求用户提供真实身份信息;在第二款中增加国家实施网络可信身份战略。(草案二次审议稿第二十三条)
六、一些地方、部门和企业提出,当前一些个人和机构随意发布系统漏洞等网络安全信息,对维护网络安全影响较大,应予规范。法律委员会经研究,建议增加规定:开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。(草案二次审议稿第二十五条)
七、一些地方、部门和企业提出,草案规定的关键信息基础设施保护制度与网络安全等级保护制度在管理对象上有交叉,应在网络安全等级保护制度的基础上,对关键信息基础设施予以重点保护。一些常委委员和地方、部门建议对关键信息基础设施的范围不作列举,可由国务院制定配套规定予以明确。法律委员会经研究,建议将草案第二十五条修改为:国家对一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。(草案二次审议稿第二十九条第一款)
八、草案第三十一条规定,关键信息基础设施的运营者应当在我国境内存储在运营中收集和产生的公民个人信息等重要数据;因业务需要,确需在境外存储或者向境外提供的,应当按照规定进行安全评估。一些部门、企业和专家建议进一步明确应在境内存储的重要数据为在我国境内运营中收集和产生的数据。有的地方、部门和社会公众提出,关键信息基础设施运营者的重要业务数据也应存储在境内。法律委员会经研究,建议将草案的上述规定修改为:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的公民个人信息和重要业务数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。(草案二次审议稿第三十五条)
九、有的企业、专家提出,在关键信息基础设施保护中,应当鼓励网络运营者自愿参与国家关键信息基础设施保护体系,促进网络运营者、专业机构和政府有关部门之间的网络安全信息共享,同时加强对这些信息的保护。法律委员会经研究,建议在草案中增加以下规定:一是,国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系(草案二次审议稿第二十九条第二款);二是,国家网信部门和有关部门在关键信息基础设施保护中获取的信息,只能用于维护网络安全的需要,不得用于其他用途(草案二次审议稿第三十八条)。
十、一些常委委员和地方、部门建议,加大对危害网络安全行为的惩戒力度,增加约谈、记入信用档案、从业禁止等惩戒措施。法律委员会经研究,建议在草案中增加以下规定:一是,对网络存在较大安全隐患或者发生安全事件的运营者,有关部门可以按照规定的权限和程序对其法定代表人或主要负责人进行约谈(草案二次审议稿第五十四条);二是,对故意从事危害网络安全的活动受到治安管理处罚或者刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作(草案二次审议稿第六十一条第三款);三是,对有本法规定的违法行为的,依照有关法律、行政法规的规定记入信用档案,并予以公示(草案二次审议稿第六十八条)。
此外,还对草案作了一些文字修改。