三年回望：一起再读网安法

作者：Plucky&William

自2015年6月完成草案初审，到2016年11月7日正式生效，《网络安全法》的制定过程经历了从草案到终稿的四个版本的更迭，其实施至今也已届满一周年。回望网安法过去的三年，再读法规，仍觉回味无穷。《中华人民共和国网络安全法》（主席令第五十三号，在本文中简称“《网络安全法》”或“网安法”）由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过，自2017年6月1日起施行，包括总则、网络安全支持与促进、网络信息安全、监测预警与应急处置、法律责任和附则等六章，共计七十九条。

重要的词要讲N遍：网安法高频词一览

我们通过“结巴”分词（非常好的一款Python中文分词组件，继续墙裂推荐！！！）对网安法全文进行了分词，并对每个分词统计其在网安法文中出现的次数，我们截取了出现10次及以上的词，同时对部分副词、助词、能愿动词进行了“过滤”，进而制作了如下词频表：

对数字不敏感或者“颜控”的小伙伴可以进一步通过下面的“彩虹图”感受下词频区分度（总体而言，字体越大表面词频越高）：

图解通关网安法：重点概念梳理

法律的底线：网络运营者相关刑事风险

法律的底线：网络运营者相关刑事风险

以下列示《网络安全法》生效后，网络经营可能涉及的主要罪名，供从业者参考：1. 侵犯公民个人信息罪本罪规定于现行刑法第二百五十三条之一条，单位或个人皆可犯此罪，网络经营者涉嫌此罪是指具有“违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的” 或“窃取或者以其他方法非法获取公民个人信息的”行为，“履行职责或者提供服务过程中”犯此罪的，“从重处罚”。2. 侵犯商业秘密罪本罪规定于现行刑法第二百一十九条，同样的，单位或个人皆可犯此罪，网络经营者涉嫌此罪最可能是“以盗窃、或者其他不正当手段获取权利人的商业秘密”或“披露、使用或者允许他人使用以前项手段获取的权利人的商业秘密” 给“商业秘密的权利人造成重大损失的”行为。3. 非法侵入计算机信息系统罪本罪规定于现行刑法第二百八十五条，同样的，单位或个人皆可犯此罪，网络经营者涉嫌此罪是指具有“侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的”行为。4. 非法获取计算机信息系统数据、非法控制计算机信息系统罪本罪同样规定于现行刑法第二百八十五条，单位或个人皆可犯此罪，网络经营者涉嫌此罪是指“非法侵入计算机信息系统罪”之外，侵入其他的“计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的”行为。5. 提供侵入、非法控制计算机信息系统程序、工具罪本罪同样规定于现行刑法第二百八十五条，单位或个人皆可犯此罪，网络经营者涉嫌此罪是指“提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的”行为。6. 破坏计算机信息系统罪本罪规定于现行刑法第二百八十六条，单位或个人皆可犯此罪，网络经营者涉嫌此罪是指“对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行”或“对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作”后果严重的行为。7. 网络服务渎职罪本罪规定同样规定于现行刑法第二百八十六条，单位或个人皆可犯此罪，网络经营者涉嫌此罪是指“故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的”的行为。8. 拒不履行信息网络安全管理义务罪本罪规定于现行刑法第二百八十六条之一，单位或个人皆可犯此罪，是指网络服务提供者“不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，”“致使违法信息大量传播的”或“致使用户信息泄露，造成严重后果的”或“致使刑事案件证据灭失，情节严重的”或“有其他严重情节的”行为。9. 非法利用信息网络罪本罪规定于现行刑法第二百八十七条之一，单位或个人皆可犯此罪，网络经营者涉嫌此罪是指具有下列“情节严重的”行为之一的“利用信息网络实施(一)设立用于实施诈骗、传授犯罪方法、制作或者销售违禁物品、管制物品等违法犯罪活动的网站、通讯群组的； (二)发布有关制作或者销售毒品、枪支、淫秽物品等违禁物品、管制物品或者其他违法犯罪信息的；(三)为实施诈骗等违法犯罪活动发布信息的。10. 帮助信息网络犯罪活动罪本罪规定于现行刑法第二百八十七条之二，单位或个人皆可犯此罪，网络经营者涉嫌此罪是指具有“明知他人利用信息网络实施犯罪，为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持，或者提供广告推广、支付结算等帮助，情节严重的”行为。11. 诈骗罪本罪规定于现行刑法第二百六十六条，网络经营者涉嫌此罪是指具有“利用电信网络技术手段实施诈骗，诈骗公私财物价值三千元以上”的行为。如前所述，按照最新《意见》，网络经营者因不当行为可能被认定为本罪的共犯，并在罪名竞合时择重处罚。12. 滥用职权罪、玩忽职守罪、徇私舞弊罪这三类罪规定于现行刑法第三百九十七条，是指负有网络管理职责的“国家机关工作人员滥用职权或者玩忽职守”或者“徇私舞弊”，“致使公共财产、国家和人民利益遭受重大损失的”行为。

网安法应对：我们应当努力的方向

完善安全管理制度

建立审核监控制度

建立信息标记及回溯制度

建立完善个人信息收集制度

定期进行安全检查和评估

个人信息和重要数据跨境传输安全评估

建立报告制度

建立保密制度

建立安全责任制度

加强对外包服务的风控

完善投诉举报制度

后记

网安法实施以来，配套规则（含征求意见稿）相继出台，以信息数据泄露为典型的网络安全事故、刑事案例亦层出不穷，大数据时代的隐私保护问题、企业网络安全合规建设问题，将始终“陪伴”着我们走入那互联网3.0的“良夜”。

1. 以网络安全等级保护制度、关键信息基础设施运行安全等为典型的网安法重点条款作何理解？

2. 网络经营刑事案例在司法实践中的具体表现，从业者应当如何把控风险？

3. 大势所趋的网络安全与数据合规，如何才是正确的应对姿势，企业内控在大数据时代又当如何调整？

且听下回分解。

「 本文仅代表作者个人观点 」