网络安全是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。《中华人民共和国网络安全法》于2017年6月1日起颁布实施。

1.问：为什么要制定这部法？

答：主要是因为在当今的信息化时代，网络已经深刻地融入了我们的经济社会生活的各个方面，网络安全这个问题已经成为关系国家安全和发展、关系广大人民群众切身利益的重大问题。在这个大背景下，制定网络安全法是落实党中央决策部署的重要举措,是维护网络安全、国家安全的迫切需要；是维护网络空间国家主权的迫切需要；是深化网络安全等级保护制度是；保护国家关键信息基础设施和大数据安全的迫切需要；是打击网络违法犯罪、维护广大人民群众利益的迫切需要；是参与互联网国际竞争和国际治理的迫切需要。

2.问：有什么亮点和特色？

答：《网络安全法》的亮点包含六方面：第一，网络安全法明确了网络空间主权的原则。第二，明确了网络产品和服务提供者的安全义务。第三，明确了网络运营者的安全义务。第四，进一步完善了个人信息保护规则。第五，建立了关键信息基础设施安全保护制度。第六，确立了关键信息基础设施重要数据跨境传输的规则。

3.问：《网络安全法》有关准备工作进展如何？

答：《网络安全法》公布后，各部门、各地方以及广大企业、科研单位和院校开展了多种形式的学习宣传贯彻活动，法律所确定的重要理念、基本要求正在深入人心。目前，有关部门正在按照法律要求抓紧研究起草相关制度文件，包括关键信息基础设施保护办法、个人信息和重要数据出境安全评估办法、网络关键设备和网络安全专用产品目录等。其中，《网络产品和服务安全审查办法（试行）》等配套制度文件已经公开发布。国家标准化部门正抓紧组织制定《个人信息安全规范》等国家标准。总体上看，各项工作都在按计划推进。

4.问：谁是网络运营者？

答：网安法适用除军事网络的安全保护相关单位和个人以外的所有单位和个人。包含了：网络运营者、主管单位、信息安全产品厂商、信息安全服务商、硬件厂商、应用软件厂商、集成商以及个人。基本涵盖了所有从事网络安全及信息化的单位、用户、主管单位和个人。

网络运营者指网络的所有者、管理者和网络服务提供者。系统托管出去，但是责任主体还是单位本身，不会因为托管了责任主体发生改变。

5.问：《网络安全法》提出的“安全可信”是什么含义？

答：安全可信与自主可控、安全可控一样，至少包括以下三个方面含义：

一是保障用户对数据可控，产品或服务提供者不应该利用提供产品或服务的便利条件非法获取用户重要数据，损害用户对自己数据的控制权；

二是保障用户对系统可控，产品或服务提供者不应通过网络非法控制和操纵用户设备，损害用户对自己所拥有、使用设备和系统的控制权；

三是保障用户的选择权，产品和服务提供者不应利用用户对其产品和服务的依赖性，限制用户选择使用其他产品和服务，或停止提供合理的安全技术支持，迫使用户更新换代，损害用户的网络安全和利益。

安全可信没有国别和地区差异，国内外企业和产品都应该符合安全可信的要求。

6.问：关键信息基础设施的范围如何确定？中国将采取什么措施加强关键信息基础设施保护？

答：关键信息基础设施保护制度的目的是要确保涉及国家安全、国计民生、公共利益的信息系统和设施的安全，与等级保护制度相比所涉及的范围相对较小。从各国的情况看，具体明确关键信息基础设施相当复杂，是一个在实践中不断完善、不断调整的过程。目前国家互联网信息办公室正会同有关部门按照《网络安全法》的要求，抓紧研究制定相关指导性文件和标准，指导相关行业领域明确关键信息基础设施的具体范围。

加强关键信息基础设施保护，首先是按照《网络安全法》的要求，抓紧制定相关配套制度和标准。要重点做好以下几方面工作：一是要加强关键信息基础设施保护工作的统筹，强化顶层设计和整体防护，避免多头分散、各自为政的情况发生。二是要建立完善责任制，政府主要是加强指导监管，关键信息基础设施运营者要承担起保护的主体责任。三是要加强对从业人员的网络安全教育、技术培训和技能考核，切实提高网络安全意识和水平。四是要做好网络安全信息共享、应急处置等基础性工作，提升关键信息基础设施保护能力。五是要加强关键信息基础设施保护中的国际合作。

7.问：近期有外国协会和机构建议推迟实施《网络安全法》，担心《网络安全法》会制造贸易壁垒、限制国外企业和技术产品进入中国市场，对此有什么评论？

答：借鉴国际通行做法，根据本国国情，制定相关法律、行政法规，并依法对网络进行管理，完全是各国主权范围内的事情。

制定和实施《网络安全法》，其目的是要维护国家网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的权益，而不是要限制国外企业、技术、产品进入中国市场，不是要限制数据依法有序自由流动。

8.问：此次网络安全法主要是针对那些范围？

答：管理监督范围：第二条 在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理，适用本法。

针对境内外的防护打击范围：第五条 国家采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治网络违法犯罪活动，维护网络空间安全和秩序。

9.问：国家主管部门的责任有哪些？

答：主管部门责任：第八条 国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。

行业组织责任：第十一条 网络相关行业组织按照章程，加强行业自律，制定网络安全行为规范，指导会员加强网络安全保护，提高网络安全保护水平，促进行业健康发展。

公民个人义务：第十四条 任何个人和组织有权对危害网络安全的行为向网信、电信、公安等部门举报。收到举报的部门应当及时依法作出处理；不属于本部门职责的，应当及时移送有权处理的部门，并且有关部门应当对举报人的相关信息予以保密，保护举报人的合法权益。

10.问：网络运营者的责任义务有哪些？

答：网络运营者要守法经营：第九条 网络运营者开展经营和服务活动，必须遵守法律、行政法规，尊重社会公德，遵守商业道德，诚实信用，履行网络安全保护义务，接受政府和社会的监督，承担社会责任。

网络建设必需安全先行：第十条 建设、运营网络或者通过网络提供服务，应当依照法律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性。

11.问：保护与打击对象有哪些？

答：网络安全法保护的对象与目标：第十二条 国家保护公民、法人和其他组织依法使用网络的权利，促进网络接入普及，提升网络服务水平，为社会提供安全、便利的网络服务，保障网络信息依法有序自由流动。

网络安全法打击的目标：任何个人和组织使用网络应当遵守宪法法律，遵守公共秩序，尊重社会公德，不得危害网络安全，不得利用网络从事危害国家安全、荣誉和利益，煽动颠覆国家政权、推翻社会主义制度，煽动分裂国家、破坏国家统一，宣扬恐怖主义、极端主义，宣扬民族仇恨、民族歧视，传播暴力、淫秽色情信息，编造、传播虚假信息扰乱经济秩序和社会秩序，以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。

对未成年人的保护：第十三条 国家支持研究开发有利于未成年人健康成长的网络产品和服务，依法惩治利用网络从事危害未成年人身心健康的活动，为未成年人提供安全、健康的网络环境。

12.问：对网络运营者管理的基本要求有哪些？

答：（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；

（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；

（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；

（四）采取数据分类、重要数据备份和加密等措施；（数据要分类，按敏感度保护）

（五）法律、行政法规规定的其他义务。

13.问：对设备厂商的要求有哪些？

答：一般性要求是符合标准，不能有后门，发现漏洞要公布，提供补丁：第二十二条　网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序；发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

持续维护能力，这条很重要，皮包公司或OEM应逐步被剔除：网络产品、服务的提供者应当为其产品、服务持续提供安全维护；在规定或者当事人约定的期限内，不得终止提供安全维护。

采集用户隐私信息要声明：网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。

增强要求标准，产品要测评认证，CII中产品需要建立销售许可制度：第二十三条　网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录，并推动安全认证和安全检测结果互认，避免重复认证、检测。

14.问：《网络安全法》规定，“网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供”，这条如何执行？

答：国家互联网信息办公室、工业和信息化部、公安部、国家认监委即将发布第一批网络关键设备和网络安全专用产品目录。列入这一目录的设备和产品，应该按照有关国家标准的强制性要求，由具备资格的机构进行认证或检测。此前，已经按照国家有关规定检测符合要求或认证合格的，在有效期内无须进行认证或检测。

15.问：《网络安全法》规定，“网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息”，这是否会侵害个人隐私，妨碍网上言论自由？

答：中国坚持积极利用、科学发展、依法管理、确保安全的方针，在推进互联网发展，加强互联网管理过程中，充分保障人权和言论自由，充分尊重广大人民群众的知情权、参与权、表达权和监督权。同时，也强调任何人、任何机构都应该对自己在网上的言行负责，个人的自由不应以损害他人的自由和社会公共利益为代价，任何人和机构都有义务自觉维护网络秩序，自觉维护网络安全。

对这条规定有两点理解：1.针对的是用户公开发布的信息，而不是个人通信信息，不会损害个人隐私。2.要求停止传输的是违法信息，不存在妨碍言论自由问题。

16.问：应该采取哪些措施积极落实网络安全法要求？

答：网络信息安全

对存储和处理大量个人信息的信息系统要重点检查数据容灾备份、用户权限控制和数据使用审计、重要敏感信息加密、防攻击等数据保护措施落实情况，实施风险控制和补偿措施如加密、脱敏等。

网络组织安全

在组织机构统一的应急预案框架下制定不同事件的应急预案。定期对应急预案进行演练,根据不同的应急恢复内容，确定演练的周期。

网络使用安全

不破坏网络自身的安全：不制作恶意软件；在合法的授权下，以科研为目的的作品要进行妥善管理。

不为非法活动提供条件：单位内部针对信息安全漏洞的分析工具以及分析结果，应当妥善管理，避免为不法分子所用。

网络运行安全

网络运营者：按照网络安全等级保护制度的要求，履行安全保护义务；对相关负责人员和单位员工开展网络安全相关教育与法规制度培训。关键信息基础设施运营者：在网络安全等级保护的基础上，实施重点保护；自行或委托网络安全服务机构对个人信息和重要数据实施安全风险评估（每年至少一次）。采购网络产品与服务要确认开发编码安全、身份安全等，系统建设同步开展安全规划、安全设计等。