2.1 《网络安全法》的法律精髓

2.1.1 一部网络安全领域基础性法律

《网络安全法》是我国网络安全领域的基础性法律，是我国第一部网络安全领域的法律，也是我国第一部保障网络安全的基本法。《网络安全法》与现有《国家安全法》《保密法》《反恐怖主义法》《密码法》《反间谍法》《刑法》《治安管理处罚法》等，属同等地位的法律，不存在上下阶位关系。

2.1.2 二类责任主体

1.监督管理者

《网络安全法》第八条明确规定，国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。县级以上地方人民政府有关部门的网络安全保护和监督管理职责，按照国家有关规定确定。

根据《网络安全法》，网络安全的治理层级可分为统筹领导机构、统筹规划机构、统筹协调机构、监督管理机构、行业主管机构。统筹领导机构是指中央国家安全领导机构，主要是中央网络安全和信息化领导小组。统筹规划机构是指国务院和省、市、县各级人民政府。统筹协调机构是指各级网信办（负责协调网络安全工作和相关监督管理工作，协调关键信息基础设施的安全保护）。监督管理机构主要是指网络安全法中指定的网信办、公安机关和电信。行业主管机构重点是指国家的重要行业或领域的工作部门。

2.被监督管理者

非政府网络要素参与者就是通常意义上的监管对象，包括国家机关政务网络的运营者、网络运营者、电子信息发送服务提供者、应用软件下载服务提供者、关键信息基础设施的运营者、网络产品或者服务的提供者、被收集者、行业组织、大众传播媒介、企业和高校、职教培训机构、安全认证或者安全检测机构、安全管理负责人、关键岗位人员、从业人员，公民、法人和其他组织等。

2.1.3 三项基本原则

1.网络空间主权原则

《网络安全法》第一条“立法目的”开宗明义，明确规定要维护我国网络空间主权。网络空间主权是一国国家主权在网络空间中的自然延伸和表现。习近平总书记指出，《联合国宪章》确立的主权平等原则是当代国际关系的基本准则，覆盖国与国交往的各个领域，其原则和精神也应该适用于网络空间。各国自主选择网络发展道路、网络管理模式、互联网公共政策和平等参与国际网络空间治理的权利应当得到尊重。第二条明确规定，《网络安全法》适用于我国境内网络以及网络安全的监督管理。这是我国网络空间主权对内最高管辖权的具体体现。

2.网络安全与信息化发展并重原则

习近平总书记指出，安全是发展的前提，发展是安全的保障，安全和发展要同步推进。网络安全和信息化是一体之两翼、驱动之双轮，必须统一谋划、统一部署、统一推进、统一实施。《网络安全法》第三条明确规定，国家坚持网络安全与信息化并重，遵循积极利用、科学发展、依法管理、确保安全的方针；既要推进网络基础设施建设，鼓励网络技术创新和应用，又要建立健全网络安全保障体系，提高网络安全保护能力，做到“双轮驱动、两翼齐飞”。

3.共同治理原则

网络空间安全仅仅依靠政府是无法实现的，需要政府、企业、社会组织、技术社群和公民等网络利益相关者的共同参与。《网络安全法》坚持共同治理原则，要求采取措施鼓励全社会共同参与，政府部门、网络建设者、网络运营者、网络服务提供者、网络行业相关组织、高等院校、职业学校、社会公众等都应根据各自的角色参与网络安全治理工作。

2.1.4 一个意识、四个抓手

为了依法开展工作，便于监督管理责任主体履行网络安全义务，承担网络安全责任，在开展网络安全工作中，笔者总结，从“一个意识、四个抓手”来开展。

1.一个意识

重视网络安全意识形态，做好网络安全意识培训，提升网络安全防范能力。网络安全意识不仅需要有国家网络安全顶天意识，也要有个人防范技能立地意识。网络运营者面临的攻击源不能仅仅着眼国内，更有国家级对抗的风险。传统边界被动防御思维要彻底改变，隔离内网防御理念也要发生变化，要高度重视意识形态渗透。

2.四个抓手

两类责任主体在落实网络安全法工作中，总会面临工作开展需要关键抓手问题。剥离网络安全法的种种要求，关键在于网络安全等级保护、关键信息基础设施安全、个人信息保护和数据安全。因此，网络运营者和执法部门在工作开展中，要围绕上述四个抓手统筹网络安全和信息化工作。目前，国家在这四个抓手上高度重视，网络安全等级保护配套标准和制度已经出台，个人信息保护法和数据安全法陆续出台，关键信息基础设施管理条例也在征求意见中。具体参考本书后面章节。

2.1.5 五类主体安全义务

1.国家执法监督机构的安全义务

没有网络安全就没有国家安全，没有网络主权就没有网络空间安全。《网络安全法》赋予国家执法监督机构三个权力。一是对内的最高权，各国有权自主选择网络发展道路、网络管理模式、互联网公共政策；二是对外的独立权，各国有平等参与国际网络空间治理的权利；三是境外打击权，凡是境外对我国的关键基础设施基、重要数据、网络空间活动和信息通信网络进行破坏，可依法对境外个人或组织行使司法管辖权。

2.网络产品和服务提供者的安全义务

《网络安全法》第二十二条明确规定，网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序；发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。网络产品、服务的提供者应当为其产品、服务持续提供安全维护；在规定或者当事人约定的期限内，不得终止提供安全维护。网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。

3.网络运营者的安全义务

《网络安全法》将原来散见于各种法规、规章中的规定上升到人大法律层面，对网络运营者等主体的法律义务和责任做了全面规定，确定了相关法定机构对网络安全的保护和监督职责，明确了网络运营者应履行的安全义务，平衡了涉及国家、企业和公民等多元主体的网络权利与义务，协调政府管制和社会共治网络治理的关系，形成了以法律为根本治理基础的网络治理模式。

4.个人信息保护的安全义务

《网络安全法》明确，运营者在收集个人信息时必须合法、正当、必要，收集应当与个人订立合同；个人信息一旦泄露、损坏、丢失，必须告知和报告，同时个人具有对其信息的删除权和更正权（删除权的两种情形：违反法律法规、约定的合同期限已满）。《网络安全法》首次给予个人信息交易一定的合法空间。

5.关键信息基础设施运营者的安全义务

以立法的形式将国家主权范围内的关键信息基础设施列为国家重要基础性战略资源加以保护，已经成为各主权国家网络空间安全法治建设的核心内容和基本实践。《网络安全法》首次将关键信息基础设施安全保护制度以立法形式进行保护。

2.1.6 六类网络安全保护制度

《网络安全法》作为网络空间安全领域的法律，首次提出多项网络安全保护制度，分别是网络安全等级保护制度、网络安全审查制度、关键信息基础设施安全保护制度、用户实名制制度、个人信息安全保护制度、数据安全制度。

1.网络安全等级保护制度

《网络安全法》第二十一条规定，国家实行网络安全等级保护制度。经过20多年的发展，国家确定实施网络安全等级保护制度从国家制度上升为国家法律；第三十一条规定，对可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。网络运营者要从定级备案、安全建设、等级测评、安全整改、监督检查角度，严格落实网络安全等级保护制度。

2.网络安全审查制度

《网络安全法》第三十五条规定，关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。网络安全审查制度的确立，为保障关键信息基础设施供应链安全提供保障。网络安全审查制度涉及网络安全产品和服务的市场准入制度、强制性安全检测制度、强制性安全认证制度。重点审查网络产品和服务的安全性、可控性，主要包括：产品和服务被非法控制、干扰和中断运行的风险；产品及关键部件研发、交付、技术支持过程中的风险；产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、利用用户相关信息的风险；产品和服务提供者利用用户对产品和服务的依赖，实施不正当竞争或损害用户利益的风险；其他可能危害国家安全和公共利益的风险。

3.关键信息基础设施安全保护制度

《网络安全法》第三十一条规定，“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护，关键信息基础设施的具体范围和安全保护办法由国务院制定。”这是我国首次在法律层面提出关键信息基础设施的概念和重点保护范围，标志了关键信息基础设施安全保护制度是国家网络空间安全领域的一项基本制度。

4.用户实名制度

《网络安全法》立法确立了网络实名制在我国的实施，第二十四条规定，网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通信等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。

在此之前，我国已经有相关的法律法规对实名制进行规定。2016年1月1日实施的《中华人民共和国反恐怖主义法》规定，电信、互联网、金融、住宿、长途客运、机动车租赁等业务经营者、服务提供者，应当对客户身份进行查验。对身份不明或者拒绝身份查验的，不得提供服务。2015年的《互联网用户账号名称管理规定》规定，互联网信息服务提供者应当按照“后台实名、前台自愿”的原则，要求互联网信息服务使用者通过真实身份信息认证后注册账号。2016年的《移动互联网应用程序信息服务管理规定》，要求移动互联网应用程序提供者按照“后台实名、前台自愿”的原则，对注册用户进行基于移动电话号码等真实身份信息认证。

5.个人信息安全保护制度

随着法律意识的增强，网络用户对个人信息安全保护日趋增强。《网络安全法》第四十条规定，网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度；第二十二条规定，网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。网络安全法对保护个人信息有了明确规定，如“网络运营者不得泄露、篡改、毁损其收集的个人信息”“任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息”等。在网络安全法的指导下，国家标准《个人信息安全规范》和公安部《互联网个人信息安全保护指南》等陆续出台。

6.数据安全制度

《网络安全法》第三十七条规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。数字经济时代，数据作为生产要素促进社会发展，是“新基建”背景的新型生产力。因此，建立数据安全制度、出台《数据安全法》也就顺理成章。