《网络安全法》（以下称“网安法”）自2017年6月1日起正式施行以来，至今已近四载。作为我国首部全面规范网络空间，管理网络安全，维护网络生态的基础性法律，网安法的问世使得我国在网络领域的执法活动有了真正意义上的法律依据，更为网络运营者、关键信息基础设施运营者乃至任何个人、组织等权利、义务主体提供了守法的遵循规范。四年以来，网安法的施行促进了后续多部网络安全政策、法规、规章、标准等相继出台公布，形成了以网安法为首，深入细化且不断完善的网络安全法律体系；同时网安法的规则在各级主管部门的具体执法过程中得以运用，客观上积累了大量执法案例供实务界参考与研讨。笔者希望通过系列文章，对网安法施行四年来的实践状况进行回顾。

本文作为系列文章的第一期，首先将站在企业的立场上，对网安法基本内容进行总结，旨在为读者提供有关网安法的简单思路。

一、网安法立法概述

网安法共设7章79条，包括总则、网络安全支持与促进、网络运行安全、网络信息安全、监测预警与应急处置、法律责任以及附则。条文内容围绕“网络空间主权维护、网络安全与信息化发展并重、网络安全综合治理、网络安全重点保护”原则展开，其中“网络安全支持与促进”和“监测预警与应急处置”主要涉及国家机关、主管部门的法定权责；而对于企业的规定则集中规定在“网络运行安全”与“网络信息安全”，这也是企业层面更为关心的部分。

掌握“网络”和“安全”这两个基础性概念至关重要。所谓“网络”是指“由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统”，即采纳广义网络的定义，除互联网之外，还包括相对封闭的局域网和工业控制系统，另外也为未来信息技术不断发展而可能衍生出的网络新形态留下空间。所谓“安全”则是指“通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力”，目前通说将上述“安全”理解并拆分为“物理安全”、“系统安全”、“数据安全”、“内容安全”四个层面，分别对应于网络设施的安全、信息系统的安全、信息自身的安全和信息利用的安全。对于企业来说，简言之，需要在上述四个方面均应做到合规。

整体而言，《网络安全法》作为规范网络主体和行为的基本法，具有公法的明显特征，可将其纳入网络安全领域的部门行政法范畴中；但同时例如个人信息保护、公开信息边界、信息共享的各方权利义务在网安法条文中也有所体现，可以想见在后续网络空间法律关系民事化进程中，网安法势必将充当重要之角色。这就要求企业不仅需要采取措施，积极应对网安法执法机关、主管部门的监督、管理、指导，还应理清与用户之间，特别是用户个人信息保护，用户发送信息管理方面等的民事关系。

二、网安法的规范主体

网安法所规范的主体可划分为三类：一是网络运营者与关键信息基础设施运营者（CIIO）；二是特定业务运营者（包括网络产品/服务提供者、电子信息发送/应用软件下载服务提供者、网络安全服务机构等）；三是任何个人和组织。同时网安法基于不同主体、所从事特定网络活动之区分，附以其相匹配的责任。这其中又以“网络运营者与关键信息基础设施运营者”的划分更为重要，决定了企业在网安法框架下的主要义务和责任。但是需要注意的是上述分类并不是完全割离的。比如，网络运营者与特定运营者这两类主体，前者基于某主体是否拥有、管理某网络或提供某项网络服务，后者则基于是否提供某项特定产品或服务，两者完全可能落实在同一主体上。

对于企业来说，界定本企业在网安法项下的主要义务和责任首先要判断其是否属于网络运营者。网安法将网络运营者定义为网络的所有者、管理者和网络服务提供者。此处，考虑到网络空间与物理空间的异质性，如果网络运营者利用其在境外所有或管理的网络面向中国境内提供网络服务等时，是否应受到网安法的规制值得关注，这也是笔者在实践中经常遇到的问题。结合本法第2条来看，网安法适用于中国境内建设、运营、维护和使用网络以及网络安全的监督管理活动，换言之网络执法管辖权的行使空间原则上局限于我国领土。但是，一般来说网络管辖权的对象不仅包括网络设施、网络主体等有形部分，也包括了网络行为，以及相关的数据和信息等无形的部分。对于属地管辖而言，国家通常可以对其境内的一切网络设施、网络主体、网络行为，以及相关的数据和信息行使管辖权。所以，笔者认为即使网络运营者及网络设备等有形部分并不在境内，但其面向中国境内提供网络服务的行为以及相关的数据和信息的流通等无形部分确有跨境效果，因此此类跨境网络行为以及伴随该行为所发生的数据和信息流通就应当遵守网安法的相关规定。

当企业判断其属于网络运营者时，接下来应该做的便是判断其是否属于CIIO。根据网安法的规定，CIIO是在网络运营者的基础上，属于公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施（CII）的运营者，采用了“特定行业范围+严重危害后果”的方式加以定义。CII的具体范围和安全保护办法由国务院制定，但目前尚未出台。值得一提的是，2016年6月中央网信办网络安全协调局制定的《国家网络安全检查操作指南》附件中所含《关键信息基础设施确定指南（试行）》（以下称“确定指南”），乃是目前在确定CII方面最有参考价值的规范文件。其中对于确定CII提出了三步走的方法：一是确定本地区、本部门、本行业的关键业务；二是确定关键业务相关的信息系统或工业控制系统；三是遵照关键信息基础设施相关量化标准最终确定。在CII相关配套规范尚未出台和落地的情况下，企业可以根据上述确定指南规定的指标初步评估是否属于CIIO。

从上述定义可见，网安法对规范主体所作出的定义较为宽泛，甚至对除网络运营者和关键信息基础设施运营者之外的某些特定运营者未加以明确规定。这就给企业能否正确把握各规范主体的范围和边界带来了难度。诸如第22条中所规制的“网络产品、服务的提供者”这一主体便引出了以下两个疑问，存在争议：一是何为“网络产品提供者”，特别是提供一般意义上构成完整产品各部件的厂商是否属于“网络产品提供者”；二是“网络服务的提供者”是否等同于第76条所定义“网络运营者”之一的“网络服务提供者”。

[i]由于网安法的制度设计、责任分配均围绕各主体设计并展开，因此明确各规范主体的边际实为第一步，也最为关键。随着网络安全法律体系整体不断扩充和完善，相信规范主体的范围和界定问题也将会逐步得以明确。

三、网安法的重要制度的概要

对于企业而言，其所应遵循的网安法项下重要制度可归纳为网络运行安全制度、网络信息管理（以个人信息保护为主）制度、协助和报告制度。

1. 网络运行安全制度

诚如上文二中所述，网安法的制度逻辑在于，根据规范主体的不同与特定业务的差异加以区分并配套责任，但网安法下的核心规范主体仍是网络运营者和关键信息基础设施运营者，网安法的重要制度设计也多围绕二者展开并加以区分规定，这一点集中体现在网络运行安全保护制度方面。

而关键信息基础设施运营者除应承担上述责任外，基于其对国家网络安全的特殊意义，还应承担下列责任：

除此之外，针对特定运营者基于其业务形态，网安法规定有特定之网络运行安全责任：

网络运行安全保护制度对任何个人或组织的要求主要体现为第12条以及第27条规定的禁止个人或组织从事、协助、参与危害网络安全的活动。

2.网络信息管理制度

网安法设专章规定网络信息管理制度，但细看可发现，其核心乃是个人信息保护相关内容，当然除个人信息保护之外，针对与用户有关信息管理和禁止性信息的取缔亦是网络信息管理制度的重要组成部分。首先个人信息保护方面，网安法主要规制网络运营者（包括关键信息基础设施运营者）、网络产品/服务提供者等主体。

其次，在信息管理和禁止性信息取缔环节，网安法所作出的制度设计如下。

3.协助和报告制度

企业在实务操作中，不仅应当承担上述网络运行安全保护及网络信息管理相关的各项责任外，在网安法认为必要时，应当根据规定向相关主管部门报告，或者提供必要的协助。

四、小结

欲实现网络安全层面的合规，笔者认为企业应迈出的第一步是便是找准其在网安法的定位。网安法已向我们展示其制度逻辑在于根据规范主体的不同与特定业务的差异加以区分并配套责任，企业在明确其定位后则可“按图索骥”，利用上述表格弄清楚自身应承担的义务和责任，再从制度、人员、技术等各方面着手，保障企业经营活动符合网安法的要求。

当然，就目前而言实践中对于各种义务的侧重和要求不尽相同，这一点与特定领域配套规范的落地以及具体执行层面的操作存在密不可分的联系，故而接下来笔者将对配套规范的制定和实施以及网安执法现状进行梳理。企业自身也应当结合这些实践情况，抓住当前网络安全法律体系尚在不断完善的机遇期，在仍处发展阶段的制度方面早做准备，在执法等实践中重点规范领域有的放矢。

在本系列第二篇中笔者将着眼于梳理网安法施行以来配套规范的制定情况，欢迎各位继续关注。

[i] 《中华人民共和国网络安全法释义》将“网络服务提供者”区分为“网络接入服务提供者（ISP）”和“网络内容服务提供者（ICP）”两类，这种理解乃基于该网络为互联网之前提，如若根据网安法中“网络”的定义，则网络服务本身并不局限于互联网，因而“网络服务的提供者”较之“网络服务提供者”其范围似乎更广，但仍存在争议。