网安法第31条规定建立关键信息基础设施保护制度,授权国务院制定关键信息基础设施的具体范围和安全保护办法。关键信息基础设施安全保护办法是法律中唯一明确规定“由国务院制定”的行政法规,也是网络安全法律体系的重中之重。主管部门已开展了相关条例的具体调研、安全检查、起草编写、部门论证和企业座谈等工作。在与关键信息基础设施保护配套的强制性标准方面,全国信安标委2017年工作重点之一即为落实网安法要求,加快推动重点标准研制,网络安全产品与服务、关键信息基础设施保护等强制性国家标准的研究。由此可见,与网安法第31条配套的法规、国家标准等正在经历着缜密的夯实历程。
网安法第37条首次在法律中确立了对个人信息及重要数据出境的安全评估制度,并授权国家网信部门会同其他监管部门制定详细的安全评估实施办法。数据本地化属于境内外实体的重大关切,《个人信息和重要数据出境安全评估办法(征求意见稿)》已于5月11日结束公开征求意见。评估办法以《国家安全法》和《网络安全法》等为上位法依据,扩大了数据本地化及安全评估义务适用对象的范围,解释了重要数据的概念,数据评估的重点内容,不得出境的条件等,正式制度出台和具体实施有待在实践中进一步观察。
在网络信息安全方面,《互联网新闻信息服务管理规定》也于6月1日同步施行,规定第13条第一款和十六条第二款分别衔接了网安法第24条用户身份管理制度的要求和第47条处置违法信息的义务要求,互联网新闻信息服务提供者违反这两款的适用网安法的行政处罚。
两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(《解释》)5月10日正式发布,解释降低入罪门槛,严惩侵犯公民个人信息犯罪。在个人信息保护基本立法暂时缺位的情况下,《解释》及时弥补了个人信息刑事责任追责的短板,并实质性的构成了网安法行刑衔接的进一步配套和细化制度,为基本立法提供了案例素材,有利于立法的精准、充分。