网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

    网安法第37条首次在法律中确立了对个人信息及重要数据出境的安全评估制度，并授权国家网信部门会同其他监管部门制定详细的安全评估实施办法。数据本地化属于境内外实体的重大关切，《个人信息和重要数据出境安全评估办法（征求意见稿）》已于5月11日结束公开征求意见。评估办法以《国家安全法》和《网络安全法》等为上位法依据，扩大了数据本地化及安全评估义务适用对象的范围，解释了重要数据的概念，数据评估的重点内容，不得出境的条件等，正式制度出台和具体实施有待在实践中进一步观察。

    在网络信息安全方面，《互联网新闻信息服务管理规定》也于6月1日同步施行，规定第13条第一款和十六条第二款分别衔接了网安法第24条用户身份管理制度的要求和第47条处置违法信息的义务要求，互联网新闻信息服务提供者违反这两款的适用网安法的行政处罚。

    两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（《解释》）5月10日正式发布，解释降低入罪门槛，严惩侵犯公民个人信息犯罪。在个人信息保护基本立法暂时缺位的情况下，《解释》及时弥补了个人信息刑事责任追责的短板，并实质性的构成了网安法行刑衔接的进一步配套和细化制度，为基本立法提供了案例素材，有利于立法的精准、充分。

    三、国际立法变革：网安法后续制度落地的参考方向

    国际网络安全相关战略和立法迅速进行改革，美欧纷纷建立全方位、更立体、更具弹性与前瞻性的网络安全立法体系。鉴于事件驱动重大立法规律的存在，可以预见的是，国际立法变革将一直持续。

    美国接连通过多部网络安全战略及立法，以加强美国网络安全和抵御网络攻击的能力，如2016年通过《信息自由法案促进法》、“应对重大网络攻击最新政策指令”、“安全漏洞披露政策”、《波特曼-墨菲反宣传法案》，2017年通过《国家网络事件响应计划（NCIRP）》、《2017NIST网络安全框架、评估和审查法案》（NIST Cybersecurity Framework, Assessment, and Auditing Act of 2017）（H.R.1224）等。5月11日，美国总统特朗普签署了《关于加强联邦网络和关键基础设施网络安全的总统行政令》，要求美国采取一系列措施来增强联邦政府、关键基础设施和国家这三个领域的网络安全,明确要求联邦机构必须遵守NIST的网络安全框架。欧盟2016年7月通过第一部网络安全法案《网络与信息系统安全指令》，致力于在欧盟范围内实现统一的、高水平的网络与信息系统安全，欧盟成员国必须在21个月内将其转化为国内法，11月发布了三个有关欧盟《一般数据保护条例》内容的指南，为落实《一般数据保护条例》提供更详尽的指引。英国2016年底颁布史上最严协助执法法《调查权法案》，旨在进一步理清执法机构在通信及通信数据拦截、获取、留存及设备干扰等方面的权力，帮助执法机构调查犯罪和防控恐怖主义。

    从制度设计层面来看，网安法规定了近20项制度，其中，网络安全等级保护制度、网络信息内容管理、网络安全教育和培训、个人信息保护等制度较为成熟，网络关键设备和网络安全专用产品认证、漏洞等网络安全信息发布、关键信息基础设施保护制度、数据留存和协助执法制度、境外网络攻击制裁等更多的制度亟需完善设计和后续落地，在制度的贯彻实施过程中必然存在各种挑战和问题。

    而恰恰国际立法变革的内容可以为我国网安法后续制度落地提供参考方向。如美国2016年应对重大网络攻击最新政策指令公布了对网络攻击严重程度进行定性的标准，从0级到5级共分6个层次，分别是基准、低、中、高、严重和紧急，其中3级及以上被视为“重大网络事件”，将触发政策指令中的威胁应对、资产应对和情报支持活动等反应机制，可以为我国网络安全事件应急处置和境外攻击制裁制度落地提供参考。美国国防部“安全漏洞披露政策”可以为漏洞等网络安全信息发布和漏洞的合法挖掘、合理披露制度构建提供参考。美国《2017NIST网络安全框架、评估和审查法案》则可为关键信息基础设施保护办法、关键信息技术保护安全要求方面的国家强制性标准制定提供参考。英国《调查权法案》涉及面广，规定细致，可以为数据存留和协助执法制度的完善提供参考等。必须强调的是，相关制度借鉴应考虑其制定和实施的特殊场景，不能照搬国外经验，需根据国情实施本土化改造。