2017年9月份支付宝、淘宝、微博等平台相继向公众提供上述认证，该认证告知用户其个人信息的收集及使用方式，并就此征求用户的同意。推动各平台此番作为的直接动力就是《网络安全法》的出台。

2016年11月全国人大常委会表决通过了《中华人民共和国网络安全法》（以下简称“网络安全法”），于2017年6月1日起正式施行。 

本文在解读《网络安全法》的基础上，对相关法律法规进行梳理。

一、解读《网络安全法》

《网络安全法》是中国第一部有关网络安全的基础性、“大纲性”的法律，它本身并不完善，因此需要一系列的法律规范与之配套适用，包括：《电信和互联网用户个人信息保护规定》、《关键信息基础设施安全保护条例（征求意见稿）》、《国家网络安全事件应急预案》、《网络关键设备和网络安全专用产品目录（第一批）》、《互联网新闻信息服务管理规定》、《互联网信息内容管理行政执法程序规定》。除此之外，还有一些其他法律法规正在筹划中，这些法律规范结合起来将成为一个较为完善的网络安全法体系。现小编结合已出台部分规范对《网络安全法》进行初步解读。

1、框架解读

第一章确定了网络安全保护范围，包括两个层次：第一层次，网络安全的内在保护，包括网络建设、运营、维护、使用及监督；第二层次，网络安全的外在保护，即保护关键信息基础设施。

第二章确定了网络安全保护方法，首先国家设立网络安全标准；相关企业、机构开展具体安全保障措施；其他各行各业帮助网络安全宣传及为网络安全技术发展助力。

第三章规定了各类主体（网络运营者、网络产品服务提供者、关键信息基础设施的运营者）应当采取哪些措施保护网络安全。

第四章就网络信息安全对网络运营者提出来的一系列要求：合法收集、使用个人信息；监督用户信息发布，阻断非法信息；接受个人的监督，完善网络安全投诉、举报制度；接受网信部门的监督，阻断非法信息。

第五章规定了网信部门及其他相关部门对网络安全监测预警，并就不同等级的网络安全事件进行相应的应急处置措施。

第六章规定了违反本法将要承担的相应行政责任。首先是“责令改正，给予警告”，其次是“罚款”。

2、重点条文解读

《网络安全法》明确了六点：

（1）网络安全法明确了网络空间主权的原则；

第七十五条 境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动，造成严重后果的，依法追究法律责任。

明确了网络是国家主权范围，需要进行管辖。明确网络空间主权至少已经从最基础的层面提出国家对网络空间行使权力的问题。

（2）明确了网络产品和服务提供者的安全义务；

第二十二条 网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序；发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

其中“相关国家标准的强制性要求”在《网络产品和服务安全审查办法》中规定，网络产品和服务由国家依法认定网络安全审查第三方机构进行安全审查。

（3）明确了网络运营者的安全义务；

第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

其中网络安全等级保护制度尚未出台。

（4）进一步完善了个人信息保护规则；

第四十四条 任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。

在此之前，《电信和互联网用户个人信息保护规定》、《刑法》及《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》均规定了个人信息保护。而网络安全法在强调了个人信息保护重要性的基础上，规定了如何落实相关信息保护制度。

（5）建立了关键信息基础设施安全保护制度；

第三十一条规定“关键信息基础设施的具体范围和安全保护办法由国务院制定。”

第七十五条 境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危害中华人民共和国的关键信息基础设施的活动，造成严重后果的，依法追究法律责任；国务院公安部门和有关部门并可以决定对该机构、组织、个人采取冻结财产或者其他必要的制裁措施。

国家互联网信息办公室起草了《关键信息基础设施安全保护条例（征求意见稿）》，指出关键信息基础设施，是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统，并对其具体范围和安全保护办法作出规定。

（6）确立了关键信息基础设施重要数据跨境传输的规则。

第三十七条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。

二、网络安全法的相关法律法规

《网络安全法》不是光杆司令，配套的法律法规都会相继到来。实际上目前已有相关法律法规也开始施行了。包括：

1、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》：《刑法》中提到侵犯公民个人信息罪的入罪要件是“情节严重”，而这则解释就明确了什么是“情节严重”，包括行踪轨迹信息、内容信息、征信信息、财产信息——非法获取、出售或提供50条以上即为情节严重。白帽子需要在意这一解释。

2、《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》：这则解释明确了非法获取计算机信息系统数据、非法控制计算机信息系统罪及提供侵入、非法控制计算机信息系统的程序、工具罪中的“情节严重”。

3、《国家网络安全事件应急预案》：明确了网络安全法第五章“检测预警和应急方案”的具体实践方案。将网络安全事件分为四级，对应四级预警等级和四级应急响应。为了保证预案实时性，预案原则上每年评估一次，根据实际情况适时修订。修订工作由中央网信办负责。

4、《网络关键设备和网络安全专用产品目录（第一批）》明确了《网络安全法》第二十三条的“网络关键设备和网络安全专用产品”。

5、《网络产品和服务安全审查办法（试行）》：着力于提高网络产品和服务安全可控水平。

6、《互联网新闻信息服务管理规定》、《互联网信息内容管理行政执法程序规定》《互联网新闻信息服务许可管理实施细则》等：这一细则进一步明确，通过互联网、公众帐号、即时通讯工具、网络直播、论坛等提供互联网信息服务的，需要取得互联网新闻信息服务许可，且服务提供者转载新闻信息，应注明新闻信息来源、原作者、原标题、编辑真实姓名等，不得歪曲、篡改标题原意和新闻信息内容，并保证新闻信息来源可追溯。和《网络安全法》一起，这是新媒体需要注意规范的。

三、网络安全法对企业的意义

《网络安全法》比较侧重于企业安全，比如企业应该怎么去保护信息、怎么去保护网络安全等。比如其中第二十一条，网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络入侵、网络攻击等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应补救措施，并按照规定向有关主管部门报告。

再比如从第三十三条，至第三十八条针对关键信息基础设施运营者所做的规定（如关键信息基础设施运营商应当自行或委托网络安全服务机构对其网络安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门），具有相当的强制性——在法律责任部分明确提到若不履行这些规定，则由有关主管部门责令整改、给予警告；拒不改正或导致危害网络安全等后果的，处十万元以上一百万元以下罚款，而且还对直接负责的主管人员除以一万元以上、十万元以下罚款。

这些都是值得企业组织去认真学习与核对的。总的来说，是对企业安全资质和制度、内部技术做了规定，如果达不到法律的要求，网络服务提供者将无法开展服务，甚至对不具备法律要求安全技术能力的企业可吊销证照。

案例：BOSS直聘被网信办责令整改

2017年8月11日，北京市网信办、天津市网信办联合约谈了李文星之死的直接涉事招聘网站BOSS直聘法定代表人,要求该网站整改网站招聘信息。据悉，经相关部门调查,BOSS直聘在为用户提供信息发布服务过程中,违规为未提供真实身份信息的用户提供了信息发布服务；未采取有效措施对用户发布传输的信息进行严格管理,导致违法违规信息扩散。北京市网信办相关负责人表示,BOSS直聘的上述问题已违反《中华人民共和国网络安全法》第24条、第48条规定。