全国人民代表大会法律委员会关于《中华人民共和国网络安全法(草案)》修改情况的汇报

全国人民代表大会常务委员会：

    2015年6月，常委会第十五次会议对网络安全法（草案）进行了初次审议。会后，法制工作委员会将草案印发各省、自治区、直辖市、中央有关部门和部分高等院校、研究机构、企业征求意见。在中国人大网全文公布草案征求社会公众意见。法律委员会、法制工作委员会联合召开座谈会，听取中央有关部门、企业和专家对草案的意见；并就草案的有关问题与中央网信办、国务院法制办等方面交换意见，共同研究。法律委员会于2015年9月28日召开会议，根据常委会组成人员的审议意见和各方面意见，对草案进行了逐条审议。中央网信办、国务院法制办的负责同志列席了会议。之后，法律委员会、法制工作委员会继续对草案有关问题深入研究，到北京、贵州等地方调研，听取意见；并同中央国安办、中央网信办等方面共同研究，对草案有关规定作进一步修改完善。2016年5月31日，法律委员会召开会议，再次进行审议。中央网信办、国务院法制办的负责同志列席了会议。6月13日，法律委员会又召开会议，进行了审议。现将网络安全法（草案）主要问题的修改情况汇报如下：

    一、有的常委会组成人员建议，将草案第十一条关于国家网络安全战略的内容移至总则中规定，明确其重要地位。一些常委会组成人员和地方、部门提出，为了更好地维护网络空间主权，积极主动应对境内外的网络攻击和破坏，应当进一步强化国家维护网络安全的措施，在相关条款中增加抵御境内外网络安全威胁、保护关键信息基础设施安全、惩治网络违法犯罪、维护网络空间秩序等内容。法律委员会赞同上述意见，建议对草案作以下修改：一是，将草案第十一条的内容移至总则，修改为：国家制定并不断完善网络安全战略，明确保障网络安全的基本要求和主要目标，提出重点领域的网络安全政策、工作任务和措施；二是，增加规定：国家采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治网络违法犯罪活动，维护网络空间安全和秩序。

    二、一些常委会组成人员和地方、部门、社会公众提出，为净化网络环境，维护国家安全、公共利益，应当进一步规范网络使用行为，强调弘扬社会主义核心价值观。法律委员会经研究，建议对草案作以下修改：一是，在草案第四条中增加“推动传播社会主义核心价值观”。二是，在草案第九条第二款中增加不得利用网络从事“煽动颠覆国家政权和推翻社会主义制度”、“侵害他人名誉、隐私”等活动；并在草案第五十八条中增加规定，发布或者传输上述违法信息的，依照有关法律、行政法规的规定处罚。

    三、一些常委委员和地方、部门、社会公众提出，为营造良好的网络环境和秩序，应当进一步强化网络运营者的社会责任，明确网络运营者留存网络日志的期限以及配合有关部门监督检查的义务。法律委员会经研究，建议在草案中增加以下规定：一是，网络运营者必须遵守法律、行政法规，遵守社会公德、商业道德，诚实信用，履行网络安全保护义务，接受政府和社会公众的监督，承担社会责任；二是，网络运营者留存网络日志不得少于六个月；三是，网络运营者对有关部门依法实施的监督检查应当予以配合。

    四、一些常委委员和地方、部门、企业、专家提出，为协同推进网络安全与发展，建议增加支持推广自主可控的网络产品、完善网络安全服务体系、促进大数据应用、创新网络安全管理方式等内容。法律委员会经研究，建议在草案中增加以下规定：一是，在草案第十四条中增加“推广安全可信的网络产品和服务”。二是，增加规定：国家推进网络安全社会化服务体系建设，鼓励企业、机构开展网络安全认证、检测和风险评估等服务。三是，增加规定：国家鼓励开发网络数据安全保护和利用技术，促进公共数据资源开放，推动技术创新和经济社会发展；支持创新网络安全管理方式，运用网络新技术，提升网络安全保护水平。四是，增加大数据应用必须对公民个人信息进行无法识别特定个人处理的规定，进一步明确公民个人信息使用规则。

    五、一些地方、部门提出，为增强网络身份管理制度的针对性和有效性，建议在草案第二十条中明确对即时通讯服务实行用户实名管理，并增加实施网络可信身份战略的内容。法律委员会经研究，建议在草案第二十条第一款中增加规定，网络运营者为用户提供即时通讯等服务，应当要求用户提供真实身份信息；在第二款中增加国家实施网络可信身份战略。

    六、一些地方、部门和企业提出，当前一些个人和机构随意发布系统漏洞等网络安全信息，对维护网络安全影响较大，应予规范。法律委员会经研究，建议增加规定：开展网络安全认证、检测、风险评估等活动，向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息，应当遵守国家有关规定。

    七、一些地方、部门和企业提出，草案规定的关键信息基础设施保护制度与网络安全等级保护制度在管理对象上有交叉，应在网络安全等级保护制度的基础上，对关键信息基础设施予以重点保护。一些常委委员和地方、部门建议对关键信息基础设施的范围不作列举，可由国务院制定配套规定予以明确。法律委员会经研究，建议将草案第二十五条修改为：国家对一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

    八、草案第三十一条规定，关键信息基础设施的运营者应当在我国境内存储在运营中收集和产生的公民个人信息等重要数据；因业务需要，确需在境外存储或者向境外提供的，应当按照规定进行安全评估。一些部门、企业和专家建议进一步明确应在境内存储的重要数据为在我国境内运营中收集和产生的数据。有的地方、部门和社会公众提出，关键信息基础设施运营者的重要业务数据也应存储在境内。法律委员会经研究，建议将草案的上述规定修改为：关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的公民个人信息和重要业务数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。

    九、有的企业、专家提出，在关键信息基础设施保护中，应当鼓励网络运营者自愿参与国家关键信息基础设施保护体系，促进网络运营者、专业机构和政府有关部门之间的网络安全信息共享，同时加强对这些信息的保护。法律委员会经研究，建议在草案中增加以下规定：一是，国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系；二是，国家网信部门和有关部门在关键信息基础设施保护中获取的信息，只能用于维护网络安全的需要，不得用于其他用途。

    十、一些常委委员和地方、部门建议，加大对危害网络安全行为的惩戒力度，增加约谈、记入信用档案、从业禁止等惩戒措施。法律委员会经研究，建议在草案中增加以下规定：一是，对网络存在较大安全隐患或者发生安全事件的运营者，有关部门可以按照规定的权限和程序对其法定代表人或主要负责人进行约谈；二是，对故意从事危害网络安全的活动受到治安管理处罚或者刑事处罚的人员，终身不得从事网络安全管理和网络运营关键岗位的工作；三是，对有本法规定的违法行为的，依照有关法律、行政法规的规定记入信用档案，并予以公示。

    此外，还对草案作了一些文字修改。

    草案二次审议稿已按上述意见作了修改，法律委员会建议提请本次常委会会议继续审议。

    草案二次审议稿和以上汇报是否妥当，请审议。