中华人民共和国网络安全法

当前，网络和信息技术迅猛发展，它已经深度融入我国经济社会的各个方面，极大地改变和影响着人们的社会活动和生活方式，在促进技术创新、经济发展、文化繁荣、社会进步的同时，网络安全问题也日益凸显。一是，网络入侵、网络攻击等非法活动，严重威胁着重要领域的信息基础设施的安全，云计算、大数据、物联网等新技术、新应用面临着更为复杂的网络安全环境。二是，非法获取、泄露甚至倒卖公民个人信息，侮辱诽谤他人、侵犯知识产权等违法活动在网络上时有发生，严重损害公民、法人和其他组织的合法权益。三是，宣扬恐怖主义、极端主义，煽动颠覆国家政枝、推翻社会主义制度，以及淫秽色情等违法信息，借助网络传播、扩散，严重危害国家安全和社会公共利益。网络安全已成为关系国家安全和发展，关系人民群众切身利益的重大问题。

为适应目前形势， 2015年6月，第十二届全国人大常委会第十五次会议初次审议了《中华人民共和国网络安全法(草案) 》。制定本法是为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展。在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理，适用该法。该法主要对网络安全战略、规划与促进，网络运行安全，网络信息安全，监测预警与应急处理以及法律责任方面进行了规定。

该法提出国家坚持网络安全与信息化发展并重，遵循积极利用、科学发展、依法管理、确保安全的方针，推进网络基础设施建设，鼓励网络技术创新和应用，建立健全网络安全保障体系，提高网络安全保护能力:倡导诚实守信、健康文明的网络行为，采取措施提高全社会的网络安全意识和水平，形成全社会共同参与促进网络安全的良好环境;积极开展网络空间治理、网络技术研发和标准制定、打击网络违法犯罪等方面的国际交流与合作，推动构建和平、安全、开放、合作的网络空间。该法规定了国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院工业和信息化、公安部门和其他有关部门依照本法和有关法律、仔政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。

同时，任何个人和组织使用网络应当遵守宪法和法律，遵守公共秩序，尊重社会公德，不得危害网络安全，不得利用网络从事危害国家安全、宣扬恐怖主义和极端主义、宣扬民族仇恨和民族歧视、传播淫秽色情信息、侮辱诽谤他人、扰乱社会秩序、损害公共利益、侵害他人知识产权和其他合法权益等活动。任何个人和组织都有权对危害网络安全的行为向网信、工业和信息化、公安等部门举报。收到举报的部门应当及时依法作出处理；不属于本部门职责的，应当及时移送有权处理的部门。

国家制定网络安全战略，明确保障网络安全的基本要求和主要目标，提出完善网络安全保障体系、提高网络安全保护能力、促进网络安全技术和产业发展、推进全社会共同参与维护网络安全的政策措施等。

在网络运行安全方面，该法提出国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改:

(1)制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

(2) 采取防范计算机病毒和网络攻击、网络入侵等危害肉络安全行为的技术措施；

(3)采取记录、跟踪两络运行状态，监测、记录网络安全事件的技术措施，并按照规定留存网络日志；

(4) 采取数据分类、重要数据备份和加密等措施；

(5) 法律、行政法规规定的其他义务。

网络安全等级保护的具体办法由国务院规定。

对于网络运行安全中的关键信息基础设施的运行安全方面，国家对提供公共通信、广播电视传输等服务的基础信息网络，能源、交通、水利、金融等重要行业和供电、供水、供气、医疗卫生、社会保障等公共服务领域的重要信息系统、军事网络、社区的市级以上国家机关等政务网络，用户数量众多的网络服务提供者所有或者管理的网络和系统(以下称关键信息基础设施)，实行重点保护。关键信息基础设施安全保护办法由国务院制定。

(1)该法则规定网络运营者应当建立健全局户信息保护制度，加强对用户个人信息、隐私和商业秘密的保护。

(2) 该法则规定国家建立网络安全监测预警和信息通报制度。圄家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作，按照规定统一发布网络安全监测预警信息。

(3)该法则还详细列出了不履行本法的行为应该承担的相关法律责任。

· 这里的网络安全，是指通过采取必要措施，防范对网络的攻击、入侵、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络存储、传输、处理信息的完整性、保密性、可用性的能力。

· 这里的网络运营者，是指网络的所有者、管理者以及利用他人所有或者管理的网络提供相关服务的网络服务提供者，包括基础电信运营者、肉络信息服务提供者、重要信息系统运营者等。

· 这里的网络数据，是指通过网络收集、存储、传输、处理和产生的各种电子数据。

中华人民共和国计算机信息系统安全保护条例

1994年2月18日中华人民共和国国务院令147号发布了《中华人民共和国计算机信息系统安全保护条例》。该条例是我国在信息系统安全保护方面最早制定的一部法规，也是我国信息系统安全保护最基本的一部法规，它确立了我国信息系统安全保护的基本原则，为以后相关法规的制定奠定了基础。条例的宗旨是保护计算机信息系统的安全，促进计算机的应用和发展，保障社会主义现代化建设的顺利进行。该条例中计算机信息系统的概念，是指由计算机及其相关的和配套的设备、设施和网络构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

该条例有如下适用范围：

(1)条例适用于组织和个人；

(2)中华人民共和国境内的计算机信息系统的安全保护适用本条例；

(3)未联网的微塑计算机的安全保护不适用本条例；

(4)军队的计算机信息系统安全保护工作，按照军队的有关法规执行。

计算机信息系统安全保护的内容是:保障计算机及其相关的和配套的设备、设施和网络的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，维护计算机信息系统的安全运行。其中重点维护国家事务、经济建设、国防建设、尖锐科学技术等重要领域的计算机信息系统的安全。

该条例明确确定了安全监督的职权和义务。公安机关对计算机信息系统保护工作行使下列监督职权:

(1)监督、检查、指导计算机信息系统安全保护工作:

(2)查处危害计算机信息系统安全的违法犯罪案件:

(3)履行计算机信息系统安全保护工作的其他监督职责。

公安机关发现影响计算机信息系统安全的隐患时，应当及时通知使用单位采用保护措施。在紧急情况下，可以就涉及计算机信息系统安全的特定事项发布专项通令。

另外，该条例还系统设置了以下安全保护的制度:

(1)计算机信息系统实行安全等级保护:

(2)计算机机房应当符合国家标准和国家有关规定:

(3)进行国际联阔的计算机信息系统，由计算机信息系统的使用单位报省级以上人民政府公安机关备案:

(4)运输、携带、邮寄计算机信息媒体进出境的，应当如实向海关申报:

(5)计算机信息系统的使用单位应当建立健全安全管理制度，负责本单位计算机信息系统安全保护工作:

(6)计算机信息系统安全专用产品的销售实行许可证制度:

(7)对计算机信息系统中发生的按键，有关使用单位应当在24小时内向当地县级以上人民政府公安机关报告:

(8)故意输入计算机病毒以及其他有害数据危害计算机信息系统安全的，或者未经许可出售计算机信息系统安全专南产品的，由公安机关处以警告或者相应的罚款等。

这里的计算机病毒是指，编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。

这里的计算机信息系统安全专用产品是指，用于保护计算机信息系统安全的专用硬件和软件产品。

其他法律法规

1.互联网络安全管理相关法律法规

1997年5月20日国务院令第218号发布了修订后的《中华人员共和国计算机信息网络国际联网管理暂行规定》。该规定明确了互联网的宏观管理主体和政策、域名管理机构、现有互联网的管理单位、新建互联网的审批程序、互联网的经营及使用应雇行的手续和程序、以及柜关违法责任，同时还对国际出入口信道进行了明确规定。

1998年3月6日国务院信息办发布了《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》，对《中华人民共和国计算机信息网络国际联网管理暂行规定》作出了详细的程序性规定。

2000年1月25日，国家保密局颁布了《计算机信息系统国际联肉保密管理规定》。计算机信息系统国际联网，是指中华人民共和国境内的计算机信息系统为实现信息的国际交流，同外国的计算机信息网络相连接。计算机信息系统国际联网的保密管理，实行控制源头、归口管理、分级负责、突出重点、有利发展的原则。

本管理规定主要做出了以下规定：涉及国家秘密的计算机信息系统不得直接或间接地与国际互联网或其他公共信息网络相连接，必须对其实行物理隔离；涉及国家秘密的信息包括在对外交往与合作中经审查、批准与境外特定对象合法交换的国家秘密信息不得在国际联网的计算机信息系统中存储、处理、传递。

2. 商用密码和信息安全产品的相关法律法规

我国有明确的法规规章对信息安全产品的研发、生产和销售进行规范。1997 年6 月，公安部颁布了《计算机信息系统安全专用产品检测和销售许可证管理办法》，以加强对用于保护计算机信息系统安全的专用硬件和软件产品的管理，保证安全专用产品的安全功能。防病毒卡、防病毒软件、清病毒软件等防止计算机病毒传播保护计算机信息系统安全的软、硬件，也都属于计算机信息系统安全专用产品。

安全专用产品的生产者应当向经公安部计算机管理监察部门批准的检测机构申请安全功能检测。在送交安全专用产品检测时，要向检测机构提交产品样品、功能及性能的中文说明、证明材料等材料，用到密码技术的还需要有国家密码管理部门的审批文件。

中华人民共和国境内的安全专用产品进入市场销售，实行销售许可证制度。获得《安全专用产品检测结果报告》之后，安全专用产品的生产者方可申领《计算机信息系统安全专用产品销售许可证》，防治计算机病毒的安全专用产品还要提交公安机关颁发的计算机病毒防治研究的备案证明，获得该许可证的产品方可进入市场销售。

我国对于高用密码的管理非常严格， 1999年10月国务院发布了《商用密码管理条例》，管理对象是不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品，国离南密码技术本身则属于国家秘密。国家对商用密码产品的科研、生产、销售和使用实行专控管理。商用密码的科研、生产由国家密码管理机构指定的单位承担，商用密码产品的销售则必须经国家密码管理机构许可，据有《商用密码产品销售许可证》才可进行。而从事商用密码产品的科研、生产和销售以及使用离用密码产品的单位和人员，必须对所接触和掌握的商用密码技术承担保密义务。

国务院制定并颁布《商用密码管理条例》，以国务院第273号令发布施行，这是我们党和国家密码工作历史上的一件具有里程碍意义的大事。它标志着我国的密码工作开始走向社会，密码应用的范围进一步拓宽，同时也标志着我国密码工作的管理，从过去的政策管理开始步入法制轨道。

3. 计算机病毒防治相关管理办法

公安部第151号令于2000年4月26日颁布了《计算机病毒防治管理办法》。所称的计算机病毒，是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。所称的计算机病毒疫情，是指某种计算机病毒爆发、流行的时间、范围、破坏特点、破坏后果等情况的报告或者预报。

《计算机病毒防治管理办法》明确由公安部公共信息网络安全监察部门主管全国的计算机病毒防治管理工作，地方各级公安机关具体负责本行政区域内的计算机病毒防治管理工作。

4. 电子签名法

2005年4月，《中华人民共和国电子签名法》正式施行。《电子签名法》主要规定了关于数据电文、电子签名与认证及相关的法律责任。

所谓电子签名，是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。数据电文，是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。我国的《电子签名法》规范了法律认可的数据电文、数据电文的书面形式和原件形式的概念，同时解释了数据电文的文件保存以及作为证据的条件，明确了对数据电文的发送和收到的概念。

5.电子政务法

电子政府是指通过整合运用包括互联网等IT技术，实现迅速、透明、方便和高效的处理行政机关之间、行政机关与公民之间、以及行政机关与企业之间的全部业务的电子化的政府。电子政府的目的是政府利用IT 技术实现向全社会提供信息和服务的电子化，是全社会得到更充分、快捷、高效的信息和服务。

狭义地讲，电子政务法是国家颁布实施的命名为《电子政务法》的单行法，现己制定《电子政务法》单行法的主要国家有美国、韩国等。广义地说，电子政务法是为了实现电子政府的业务内容，促进行政业务等的电子化的各种法律规范的总称。

我国电子政务发展起步较晚，其相应的立法还处于探索发展阶段，已经先后出台了一些与规范电子政务发展有关的法律法规。1995年颁布实施的《政务信息工作暂行办法》，初步将政务法的重要性引入公众面前。2008年5月1日正式施行的《中华人民共和国政府信息公开条例》进一步规范了政府信息公开的范围。目前，我国电子政务立法的工作虽然已经取得了很大的进展，但仍然存在着一定问题，主要表现在立法不统一规范，结构不清晰及立法层次不高等。