第二節 《網絡安全法》與相關立法的關系

一、《網絡安全法》的本質特征

《網絡安全法》是我國網絡空間法治建設的重要里程碑，是我國第一部關于網絡安全的基礎性法律?！毒W絡安全法》具有“保障法”的屬性，即保障網絡運行安全，維護網絡空間主權和國家安全、社會公共利益，保護公民、法人和其他組織的合法權益，促進經濟社會信息化健康發展。重點保護關鍵信息基礎設施運行安全，保障網絡信息安全，重視網絡安全風險的監測預警與網絡安全事件應急處置。

《網絡安全法》以社會公共利益為本位，具有“社會法”的屬性。任何法的目的都有其存在的社會經濟基礎，《網絡安全法》也不例外。隨著信息系統的網絡化發展，網絡成為國民經濟和社會發展的先進生產力。網絡安全保障法就具有明顯的“社會法”屬性，社會公共利益成為發展信息網絡、保障經濟和社會發展的根本利益。我們必須清醒地認識到，在以信息化帶動工業化、全面推動國民經濟和社會發展的過程中，社會公共利益與個體利益的沖突是主要的、不可避免的，此時的社會公共利益可適當優先于個體利益。

二、與相關立法的關系

（一）《網絡安全法》與相關行政法規

1.《網絡安全法》與《國家安全法》

國家安全體系集政治安全、國土安全、軍事安全、經濟安全、文化安全、社會安全、科技安全、信息安全、生態安全、資源安全、核安全等于一體。《國家安全法》涵蓋了國家安全各領域的內容，很多都是原則性規定，重點解決國家安全各領域帶有普遍性的問題和亟待立法填補空白的問題，同時為今后制定相關配套法律法規預留了空間。網絡安全是國家安全的重要內容，其對國家安全和社會穩定產生的巨大影響日益凸顯。尤其是新時期，網絡安全的戰略性、全局性特征明顯，沒有網絡安全就沒有國家安全，信息安全也是國家安全的重要部分?？梢哉f《網絡安全法》與《國家安全法》相互呼應，在推動我國網絡安全建設和捍衛國家安全方面起到重要的推動作用。

從宏觀上來看，《網絡安全法》的立法宗旨是“保障網絡安全，維護網絡空間主權和國家安全、社會公共利益，保護公民、法人和其他組織的合法權益，促進經濟社會信息化健康發展”?！秶野踩ā返牧⒎ㄗ谥荚谟凇熬S護國家安全，保衛人民民主專政的政權和中國特色社會主義制度，保護人民的根本利益，保障改革開放和社會主義現代化建設的順利進行，實現中華民族偉大復興”。在維護國家安全，保護人民根本利益，保障社會穩定方面，兩法的立法宗旨具有一致性。其中《國家安全法》第二十五條明確規定“國家建設網絡與信息安全保障體系，提升網絡與信息安全保護能力，加強網絡和信息技術的創新研究和開發應用，實現網絡和信息核心技術、關鍵基礎設施和重要領域信息系統及數據的安全可控；加強網絡管理，防范、制止和依法懲治網絡攻擊、網絡入侵、網絡竊密、散布違法有害信息等網絡違法犯罪行為，維護國家網絡空間主權、安全和發展利益”。提出加強網絡和信息安全保障，加強網絡和信息技術創新開發，加強網絡管理的要求，以立法形式將網絡與信息安全提升到國家安全層面。

從具體制度設計上來看，《國家安全法》規定了監測預警制度，其第五十七條規定“國家健全國家安全風險監測預警制度，根據國家安全風險程度，及時發布相應風險預警”?！毒W絡安全法》在第五章專門設置章節規定監測預警與應急處置，增強《國家安全法》的可操作性；《國家安全法》第五十九條對涉及國家安全事項的網絡與信息安全保障做出了原則性的規定，“國家建立國家安全審查和監管的制度和機制，對影響或可能影響國家安全的外商投資、特定物項和關鍵技術、網絡信息技術產品和服務、涉及國家安全事項的建設項目，以及其他重大事項和活動，進行國家安全審查，有效預防和化解國家安全風險”。而《網絡安全法》作為網絡安全監管領域的基礎性法律，在《國家安全法》的原則指導性指導下，具體規定了實施細則，充分體現了兩部法律在維護網絡安全相關規定上的有效銜接。

網絡安全保障的內容如果涉及國家安全，基于維護國家網絡空間主權、安全和發展利益，將受到《國家安全法》的規制和保護。在此方面，《國家安全法》對涉及國家安全事項的網絡與信息安全保障做出了原則性的規定；而《網絡安全法》作為網絡空間安全管理的基礎性法律，在具體指導相關制度規定的有效實施方面起到重要作用，充分體現了兩部法律在相關規定上的銜接。

2.《網絡安全法》與《反恐怖主義法》

《網絡安全法》與《反恐怖主義法》均是維護總體國家安全觀的落地法律。在總體國家安全觀的指導下，信息安全是國家安全的重要組成部分。《反恐怖主義法》針對網絡恐怖主義犯罪規定了相關條款，在這方面體現了維護網絡空間安全穩定運行的立法目的，與《網絡安全法》在立法背景和立法原則方面相互呼應；《網絡安全法》關于協助調查、應急處置、安全審查等的制度設計對應《反恐怖主義法》的相關規定，為其提供具體的技術支持，加強其可操作性，在打擊網絡恐怖主義犯罪和維護網絡空間安全運行方面，兩法共同承擔重要的責任。從宏觀上來看，兩者的總則規定具有重疊，《反恐怖主義法》在第二條中明確規定了“國家反對一切形式的恐怖主義”，其中包括網絡恐怖主義。

在具體的制度設計中，《反恐怖主義法》在身份認證、對重點部位（行業、領域、目標）做重點防控、協助義務、應急處置方面都做出了具體規定。例如，《反恐怖主義法》第二十一條規定：電信、互聯網、金融、住宿、長途客運、機動車租賃等業務經營者、服務提供者，應當對客戶身份進行查驗。對身份不明或拒絕身份查驗的，不得提供服務……《反恐怖主義法》第二十七條第二款規定：地方各級人民政府應當根據需要，組織、督促有關建設單位在主要道路、交通樞紐、城市公共區域的重點部位，配備、安裝公共安全視頻圖像信息系統等防范恐怖襲擊的技防、物防設備、設施。第三十一條至三十四條分別對重點目標的管理、涉外、背景審查等做出了規定。這些規定在《網絡安全法》中均有對應內容，《網絡安全法》第二十四條明確規定，網絡運營者為用戶辦理網絡接入、域名注冊服務，辦理固定電話、移動電話等入網手續，或者為用戶提供信息發布、即時通信等服務，在與用戶簽訂協議或確認提供服務時，應當要求用戶提供真實身份信息。用戶不提供真實身份信息的，網絡運營者不得為其提供相關服務。國家實施網絡可信身份戰略，支持研究開發安全、方便的電子身份認證技術，推動不同電子身份認證之間的互認；并在第二章第二節專門規定了保障關鍵技術設施的運行安全。

此外，《網絡安全法》第三十四條、第三十五條明確規定，設置專門安全管理機構和安全管理負責人，并對該負責人和關鍵崗位的人員進行安全背景審查。關鍵信息基礎設施的運營者采購網絡產品和服務，可能影響國家安全的，應當通過國家網信部門會同國務院有關部門組織的國家安全審查。

可以說《網絡安全法》做出了進一步細化，在打擊恐怖主義涉網行為中，可實施性增強，更具有操作性，有利于網絡安全保障措施和應對方案的有效實施。

3.《網絡安全法》與《治安管理處罰法》

《治安管理處罰法》作為維護社會治安秩序，保障公共安全，保護公民、法人和其他組織的合法權益，規范和保障公安機關及其人民警察依法履行治安管理職責的基本法律，素有“小刑法”的稱謂，與《刑法》的體系編排和內容設置均有交叉重疊。《治安管理處罰法》與《刑法》出于共同的價值目標即維護良好的社會秩序，在維護網絡信息安全內容部分，《治安管理處罰法》第二十九條明確規定，利用計算機進行違法活動的，處五日以下拘留；情節較重的，處五日以上十日以下拘留：①違反國家規定，侵入計算機信息系統，造成危害的；②違反國家規定，對計算機信息系統功能進行刪除、修改、增加、干擾，造成計算機信息系統不能正常運行的；③違反國家規定，對計算機信息系統中存儲、處理、傳輸的數據和應用程序進行刪除、修改、增加的；④故意制作、傳播計算機病毒等破壞性程序，影響計算機信息系統正常運行的。與《刑法》相關內容呼應，在處罰范圍方面有所區別：社會危害性小，尚不構成刑罰處罰范圍的，應該適用《治安管理處罰法》的規定。

與《網絡安全法》相比，在網絡信息管理安全維護方面，《治安管理處罰法》的內容設置與《刑法》具有一致性，兩法與《網絡安全法》的區別也具有相似性?！吨伟补芾硖幜P法》對危害網絡安全的違法行為是事后的救濟，而《網絡安全法》構建了事前預防、事中監控、事后處罰“三位一體”的治理體系，從源頭對網絡攻擊進行防范，在攻擊發生時確保能夠迅速響應與處置，將損害降至最低。在具體制度層面，《網絡安全法》及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險；在發生危害網絡安全的事件時，立即啟動應急預案，采取相應的補救措施，并按照規定向有關主管部門報告；此外還明確要求國家也要建立網絡安全監測預警和信息通報制度，范圍比《治安管理處罰法》更加全面具體。可以說，在網絡安全運行管理層面，打擊危害網絡安全管理制度的違法行為過程中，《網絡安全法》更具有專業性和針對性，在《治安管理處罰法》未做出明確規定的情況下，應適用《網絡安全法》。

4.《網絡安全法》與《保密法》

《網絡安全法》與《保密法》在法律位階上屬于同位階法，都由全國人大常委會制定。《網絡安全法》與《保密法》都從維護網絡安全的根本目的出發，其中《網絡安全法》第二十八條明確規定，網絡運營者應當為公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供技術支持和協助。《保密法》第九條規定，下列涉及國家安全和利益的事項，泄露后可能損害國家在政治、經濟、國防、外交等領域的安全和利益的，應當確定為國家秘密：維護國家安全活動和追查刑事犯罪中的秘密事項。因此，根據《網絡安全法》第二十八條規定，網絡運營者在為偵查機關提供必要的支持與協助過程中知悉或接觸涉及國家秘密的事項，應當受《保密法》的規制與調整，有關人員不得泄露相關信息，否則將適用《保密法》追究其法律責任。

在具體制度方面，涉及國家秘密的網絡安全管理事項受《保密法》作為特別法進行規制，如網絡安全運行保障、信息系統存儲處理的信息保護、信息處置和法律責任等方面的規定。例如，《保密法》第二十三條對網絡安全等級保護制度做出了規定：存儲、處理國家秘密的計算機信息系統（以下簡稱“涉密信息系統”）按照涉密程度實行分級保護。涉密信息系統應當按照國家保密標準配備保密設施、設備。保密設施、設備應當與涉密信息系統同步規劃、同步建設、同步運行。涉密信息系統應當按照規定，經檢查合格后，方可投入使用。本條確立了涉密信息系統的分級保護制度，并對其設備設施適用三同步原則。

《網絡安全法》第二十一條，在保障網絡運行安全方面，將網絡安全等級保護制度上升至法律層面進行規制，要求網絡運營者按照網絡安全等級保護制度的要求，采取相應的管理措施和技術防范等措施，履行相應的網絡安全保護義務。為了保障關鍵信息基礎設施安全，維護國家安全、經濟安全和保障民生，《網絡安全法》進一步設專節對關鍵信息基礎設施的運行安全做了規定，實行重點保護，并在第三十一條明確規定，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。由此可見，按照我國網絡安全等級保護制度的相關規定，三級以上的信息系統即為涉密信息系統。在此方面，應當受到《保密法》的規制和保護，針對《保密法》中未做出規定的內容，應當適用《網絡安全法》的相關規定，并且實行比其他信息系統保護更為嚴格的規定。在此方面，《保密法》可被視為《網絡安全法》的特別法，在涉及涉密信息系統保護時優先予以適用。

《保密法》第二十四條規定了禁止實施的危害行為，機關、單位應當加強對涉密信息系統的管理，任何組織和個人不得有下列行為：①將涉密計算機、涉密存儲設備接入互聯網及其他公共信息網絡；②在未采取防護措施的情況下，在涉密信息系統與互聯網及其他公共信息網絡之間進行信息交換；③使用非涉密計算機、非涉密存儲設備存儲、處理國家秘密信息；④擅自卸載、修改涉密信息系統的安全技術程序、管理程序；⑤將未經安全技術處理的退出使用的涉密計算機、涉密存儲設備贈送、出售、丟棄或改作其他用途。第二十六條規定，禁止非法復制、記錄、存儲國家秘密；禁止在互聯網及其他公共信息網絡或未采取保密措施的有線和無線通信中傳遞國家秘密；禁止在私人交往和通信中涉及國家秘密?！毒W絡安全法》第四章“網絡信息安全”涉及對公民個人信息、隱私和企業商業秘密的保護，相比《保密法》前款內容，又加大了公民個人信息、隱私和企業商業秘密安全保護的力度。在此基礎上，兩法將國家安全與公民個人信息，隱私和企業商業秘密納入法律保護體系。

5.《網絡安全法》與《刑法》

在應對危害網絡安全活動的專業性、技術性強等特點上，單獨針對任何單一或部分行為的打擊或治理無法實現對“產業鏈”的全方位覆蓋。因此，《刑法》作為抗御社會違法行為的最后一道防線，其嚴格把握“入罪”的界限，通過多次修正案不斷調整思路，對危害網絡安全活動也做了相關規定。第二百八十五條規定了非法侵入計算機信息系統罪；非法獲取計算機信息系統數據、非法控制計算機信息系統罪；提供侵入、非法控制計算機信息系統程序、工具罪。第二百八十六條規定了破壞計算機信息系統罪；網絡服務瀆職罪。第二百八十七條規定了利用計算機實施犯罪的提示性規定。此外，《刑法修正案（九）》針對《刑法》第二百八十五條的規定增加了單位犯罪的情形；在《刑法》第二百八十六條中增加了拒不履行信息網絡安全管理義務罪和前款的單位犯罪的情形；在《刑法》第二百八十七條后增加了非法利用信息網絡罪，幫助信息網絡犯罪活動罪及單位犯罪的情形，進一步加強網絡空間活動的監管，加大對危害網絡安全行為的懲處力度，維護網絡空間安全運行?！毒W絡安全法》作為從預防到懲治的綜合性立法，也適時提出了多方參與、綜合治理的構想，豐富了《刑法》原本的對侵入系統、竊取數據等罪名的行為規定，對預防和懲罰犯罪有著不可替代的意義。

《網絡安全法》第二十七條將危害網絡安全運行行為分為三大類，包括危害網絡安全的活動；提供危害活動的程序及工具的幫助行為；提供技術支持、廣告推廣、支付結算的幫助。危害網絡安全的活動又細分為非法侵入他人網絡、干擾他人網絡正常功能、竊取網絡數據，這和《刑法》的規定基本吻合，《刑法》及其司法解釋中詳細規定了行為構成要件和懲罰制度。其中，侵入行為主要通過各種非授權訪問的方式進入網絡、系統，直接危害網絡運行和網絡數據的保密性、完整性；干擾行為則主要通過各種物理或邏輯的方式導致網絡、系統的功能紊亂、錯誤、喪失，直接危害網絡運行和系統的完整性、可用性；竊取網絡數據的行為通常發生在侵入行為之后，對象可以包括一般數據和敏感、涉密數據，如隱私、商業秘密和國家秘密等信息，主要危害網絡數據的保密性和可用性（嚴格而言，隨著實施危害活動的程序和工具的能力強化，某一危害行為均可能同時危害保密性、完整性和可用性，并在行為和危害后果上難以截然區分如利用勒索軟件實施的攻擊行為）。危害網絡安全的活動、提供危害活動的程序及工具這兩種行為的主觀態度應當包括故意或過失，提供技術支持、廣告推廣、支付結算的幫助行為則明確指出行為人應為故意，即“明知”。

將《網絡安全法》與現有《刑法》進行對比可以看出，《網絡安全法》也做出了進一步細化規定。

首先，《網絡安全法》構建了涵蓋事先監測預警、事中應急響應、事后懲治與恢復的“三位一體”的治理體系?；诰W絡攻擊的低成本性、隱藏性及影響范圍廣等特征，僅僅依靠事后懲治顯然不能起到對網絡攻擊的威懾，更難以實現對網絡安全的保障。我國《刑法》第二百八十五條、第二百八十六條、第二百八十七條規制的行為是已經實施的入侵計算機信息系統的行為，或者造成實體損害的行為。顯然其作用只是起到了對犯罪行為人的處罰，對于已經造成的損害無法進行彌補。而《網絡安全法》“三位一體”的治理體系，從源頭對網絡攻擊進行防范，在攻擊發生時確保能夠迅速響應與處置，將損害降至最低，最后再對犯罪行為人進行懲處。《網絡安全法》規定網絡運營者應當制定網絡安全事件應急預案，及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險；在發生危害網絡安全的事件時，立即啟動應急預案，采取相應的補救措施，并按照規定向有關主管部門報告；此外，還明確要求國家也要建立網絡安全監測預警和信息通報制度。

其次，《網絡安全法》建立了信息共享機制，確保信息的及時、準確。近年來，我國在信息公開方面做出了許多努力，而《刑法》在經過2015年第九次修訂后尚未增加網絡安全信息共享的內容?！毒W絡安全法》作為網絡安全領域的基本法對該部分內容進行了完善與補充，明確規定國家網信部門應當統籌協調有關部門對關鍵信息基礎設施的安全保護采取下列措施：促進有關部門、關鍵信息基礎設施運營者，以及有關研究機構、網絡安全服務機構等之間的網絡安全信息共享。

再次，《網絡安全法》保護與規制的范圍較之《刑法》更加廣泛。依據《刑法》第二百八十五條第一款的規定，國家事務、國防建設、尖端科學技術領域是關鍵基礎設施領域的重要組成部分。顯然，僅依靠這部分的安全并不能實現真正的網絡安全。而《網絡安全法》對這方面的規定就更加全面和科學。設立“關鍵信息基礎設施的運行安全”專門章節對關鍵信息基礎設施進行統一且全面的規定。

最后，《網絡安全法》新增了漏洞披露等規定。目前，安全漏洞攻擊成為全球網絡安全最大的威脅之一。作為網絡大國的中國，也亟須提升防御能力，最大限度減少安全漏洞可能產生的危害。我國《刑法》僅在第二百八十五條、第二百八十六條、第二百八十七條規定了關于入侵計算機信息系統的犯罪，并未明確漏洞挖掘、披露等內容?！毒W絡安全法》要求開展網絡安全認證、檢測、風險評估等活動，向社會發布系統漏洞、計算機病毒、網絡攻擊、網絡侵入等網絡安全信息，并規定了相應的懲罰責任。

可以看出，在借鑒國際經驗、結合我國國情的情況下，在應對各類突發網絡安全攻擊事件方面，《網絡安全法》都是對《刑法》的一大突破。構建“三位一體”治理體系，對關乎民生的重要領域的網絡安全重點保護都順應了社會的發展趨勢，其中網絡安全信息共享與漏洞更是一個新亮點?？紤]到《網絡安全法》的網絡安全領域基本法的地位，只能從宏觀上對網絡安全治理進行原則上的規定，為了確保法律的效力和實施效果，還需要制定相配套的立法與之相結合，共同提升我國網絡安全治理水平。