全國人民代表大會常務委員會執法檢查組關於檢查《中華人民共和國網絡安全法》、《全國人民代表大會常務委員會關於加強網絡信息保護的決定》實施情況的報告

全國人民代表大會常務委員會：

網絡安全事關黨的長期執政，事關國家長治久安，事關經濟社會發展和人民群眾切身利益。習近平總書記強調指出，沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化。全國人大常委會高度重視網絡安全工作，2012年12月審議通過《全國人民代表大會常務委員會關於加強網絡信息保護的決定》，2016年11月審議通過《中華人民共和國網絡安全法》(以下簡稱“一法一決定”)。根據2017年監督工作計劃，全國人大常委會執法檢查組於2017年8月至10月對“一法一決定”的實施情況進行了檢查。現在，我代表執法檢查組向常委會作報告。

一、執法檢查的工作情況

網絡安全法是今年6月1日開始施行的。一部新制定的法律實施不滿3個月即啟動執法檢查，這在全國人大常委會監督工作中尚屬首次。張德江委員長十分重視這次執法檢查，作了重要批示，指出：網絡安全事關國家長治久安，事關經濟社會發展和人民群眾福祉。全國人大常委會在網絡安全法實施當年就開展執法檢查，要貫徹落實習近平總書記關於“要樹立正確的網絡安全觀”的重要指示精神，督促有關方面進一步加強法律宣傳，增強全社會網絡安全意識，抓緊配套法規政策制定，確保法律有效實施，著力提升網絡空間治理水平，切實維護國家網絡空間安全和人民群眾合法權益。希望檢查組精心組織好這次執法檢查，堅持問題導向，務求取得實效。根據張德江委員長的批示精神，內務司法委員會、財政經濟委員會、教育科學文化衛生委員會和常委會辦公廳等單位反復研究，確定了這次執法檢查的五個重點：一是開展法律宣傳教育的情況﹔二是制定配套法規規章的情況﹔三是強化關鍵信息基礎設施保護及落實網絡安全等級保護制度的情況﹔四是治理網絡違法違規信息，維護網絡空間良好生態的情況﹔五是落實公民個人信息保護制度，查處侵犯公民個人信息及相關違法犯罪的情況。

8月25日，執法檢查組召開第一次全體會議，傳達張德江委員長的重要批示。會議聽取了國家互聯網信息辦公室、工業和信息化部、公安部、國家新聞出版廣電總局、最高人民法院關於“一法一決定”貫徹實施情況的匯報，教育部、科技部、交通運輸部等單位提交了書面匯報材料。

根據安排，王晨副委員長兼秘書長、沈躍躍、張平、萬鄂湘、陳竺副委員長和我六位副委員長參加這次執法檢查。檢查組赴內蒙古、黑龍江、福建、河南、廣東、重慶等6省（區、市）進行檢查，期間，檢查組聽取了有關省、市、縣政府的匯報，先后召開30余次座談會，實地考察了部分網絡安全指揮平台和關鍵信息基礎設施運營單位。另外，還委托12個省（區、市）人大常委會對本行政區域“一法一決定”實施情況進行檢查。

為了深入了解“一法一決定”實施情況，這次執法檢查在方式方法上作了一些新的嘗試：一是請第三方專業機構參與。9月上旬至10月中旬，檢查組在實地檢查的6個省（區、市）各選取20個重要信息系統，委托中國信息安全測評中心進行漏洞掃描和模擬攻擊，並就所檢測系統的網絡安全情況出具專業檢測報告。檢查組還委托中國青年報社社會調查中心就“一法一決定”中與公眾關系密切的10個方面的問題，在全國31個省（區、市）進行了民意調查，出具了調查報告。共有10370人參與這次調查。第三方機構的有序參與，增強了本次檢查的專業性、權威性和客觀公正性。二是專家參與。考慮到網絡安全專業性較強，執法檢查期間，檢查組先后從國家信息技術安全研究中心等單位聘請21名網絡安全專家和長期從事網絡安全工作的專業技術人員參加檢查，為檢查組提供技術支持，增強檢查的針對性和實效性。三是隨機抽查。各檢查小組均按檢查方案要求，隨機選取若干關鍵信息基礎設施運營單位，在不打招呼的情況下進行臨時抽查。6個檢查小組共對13個單位進行了隨機抽查。遠程檢測的120個重要信息系統也均由執法檢查組隨機選取，在運營單位不知情的情況下完成檢測。

二、貫徹實施“一法一決定”的做法和成效

近年來，各級黨委政府認真組織學習習近平總書記系列重要講話和關於網絡安全的重要論述，深入貫徹中央關於“建設網絡強國”的戰略部署，把網絡安全納入經濟社會發展全局來統籌謀劃部署，大力推進網絡安全和網絡信息保護工作，法律實施取得了積極成效。

（一）深入開展宣傳教育，增強網絡安全意識

一是把增強全民網絡安全意識作為基礎工程。國家互聯網信息辦公室、工業和信息化部、公安部等9部門連續四年組織開展網絡安全周和主題日宣傳活動，每年活動期間組織的講座論壇等都超過1萬場次，年均覆蓋人數約2億人。網絡安全法頒布后，各地均通過報刊雜志、電台電視台、門戶網站、政務微信微博等，對法律核心內容進行宣傳解讀。二是加強重點單位、重點行業法律宣傳教育。工業和信息化部將學習“一法一決定”情況納入各基礎電信運營企業的年度考核指標，並組織百度、阿裡、騰訊等重點互聯網企業開展學習。公安部組織全國公安機關、200多個中央部委和中央企業、260多家信息安全企業相關人員進行集中學習。國家新聞出版廣電總局組織開展了網絡安全知識技能練兵和競賽活動。內蒙古、黑龍江等省(區)對重點單位、重點行業負責網絡安全的業務骨干進行了重點培訓。三是緊緊抓住領導干部這個關鍵少數，把提升領導干部的網絡安全意識作為重中之重。廣東、福建等地通過舉辦領導干部網絡安全和信息化專題研討班等形式，推動領導干部率先知法懂法用法。交通運輸部黨組成員帶頭學習，並舉辦了“交通運輸網絡安全局級領導專題培訓班”，教育部舉辦了教育系統網絡安全培訓班，對各省級教育行政部門、直屬高校、部直屬機關負責人進行專題培訓。四是加強重點人群宣傳教育。各地把青少年網民作為普法重點，開展了“網絡安全進校園、進家庭”、“爭做四有好網民”等活動，引導廣大青少年依法、文明、健康上網。

（二）制定配套法規政策，構建網絡安全制度體系

為配合“一法一決定”實施，近年來，國務院相關部門出台了《國家網絡空間安全戰略》《通信網絡安全防護管理辦法》《電信和互聯網用戶個人信息保護規定》《電話用戶真實身份信息登記規定》《新聞出版廣播影視網絡安全管理辦法》《公共互聯網網絡安全突發事件應急預案》等配套規章、規劃和政策文件。國家互聯網信息辦公室會同有關部門出台了《關於加強國家網絡安全標准化工作的若干意見》，加快了網絡安全國家標准制定工作，目前已發布198項網絡安全國家標准。最高法院、最高檢察院出台了《關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》。一些省份也開展了配套法規立法工作，內蒙古自治區人大常委會制定了《計算機信息系統安全保護辦法》，福建省人大常委會通過了《福建省電信設施建設與保護條例》，廣東省人大常委會出台了《關於落實電信用戶真實身份信息登記制度的決定》，黑龍江省人大常委會制定了《工業信息安全管理條例》。重慶市堅持網絡安全與信息化發展並重，加強電子政務制度建設，完善了政府網站管理制度。一系列配套法規、規章和政策文件出台，助推了“一法一決定”的貫徹實施。

（三）提升安全防范能力，著力保障網絡運行安全

一是強化關鍵信息基礎設施防護。2016年，國家互聯網信息辦公室等部門組織開展了關鍵信息基礎設施摸底排查工作，對1.1萬個重要信息系統安全運行狀況進行抽查和技術檢測，完成了對金融、能源、通信、交通、廣電、教育、醫療、社保等多個重點行業的網絡安全風險評估，提出整改建議4000余條。二是開展網絡基礎設施防護工作。工業和信息化部開展了網絡基礎設施摸底工作，全面梳理網絡設施和信息系統，目前全行業共確定關鍵網絡設施和重要信息系統11590個。2017年以來，監督抽查重點網絡系統和工業控制系統900余個，通知整改漏洞78980個。三是深入推進網絡安全等級保護。已累計受理備案14萬個信息系統，其中三級以上重要信息系統1.7萬個，基本涵蓋了所有關鍵信息基礎設施。同時，對納入等級保護的信息系統開展常態化檢查，近年來累計發現整改各類安全漏洞近40萬個。四是建立通報預警機制。公安部牽頭建立了國家網絡安全通報預警機制，通報范圍已覆蓋100個中央黨政軍機構、101家央企、31個省(區、市)和新疆生產建設兵團，各地也都建立了網絡安全與信息安全通報機制，實時通報處置各類隱患漏洞。教育部建立了教育系統重要網站和信息系統安全監測預警機制，已累計通報處置安全威脅3.5萬個。五是積極開展網絡安全協調聯動平台建設。國家互聯網信息辦公室牽頭建立了關鍵信息基礎設施應急技術支持和協助機制，不斷提升關鍵信息基礎設施整體應急反應能力、安全保障能力和協調聯動能力。六是大力開展網絡安全專項整治工作。公安部會同有關單位組織開展了大型互聯網企業專項保衛行動、網站安全和互聯網電子郵件安全專項整治行動，發現整改了一批網絡安全深層次問題和隱患。

（四）治理違法違規信息，維護網絡空間清朗

各地各有關部門認真落實法律要求，扎實做好網絡意識形態工作，堅決清理各類違法違規信息。通過開展“掃黃打非”、“劍網”等系列行動，對互聯網站、應用程序、論壇、博客、微博、公眾賬號、即時通訊工具、網絡直播中宣揚恐怖暴力、淫穢色情等信息及時清理。2015年以來，國家互聯網信息辦公室等部門依法約談違法違規網站2200余家，取消違法違規網站許可或備案、關停違法網站13000多家，有關網站按照用戶服務協議關閉違法違規賬號近1000萬個，對網上各類違法行為形成有力震懾。中國青年報社社會調查中心提供給檢查組的萬人調查分析報告(以下簡稱“萬人調查報告”)顯示，在參與調查的10370人中，超過90%的受訪者對治理成效給予肯定，其中有63.5%的人認為近年來網絡上危害國家安全、宣揚恐怖暴力、淫穢色情等違法違規信息明顯減少。法律實施主管部門還建立了網絡信息巡查機制和公眾舉報平台，及時清理違法違規信息。重慶等地重視加強網絡內容建設，積極創作優秀網絡作品，做強網上正面宣傳。

（五）加強個人信息保護，打擊侵犯用戶信息安全違法犯罪

全面落實網絡接入(網站備案和域名�IP地址)、固定電話、移動電話實名制辦理要求，凡用戶不提供真實信息的，運營者不再為其提供相關服務。五年來，組織電信企業對3億多未實名的老用戶進行補登記，對拒不補登記的1000余萬用戶依法暫停提供服務。為確保用戶信息安全，有關部門指導各網絡運營單位進一步強化了內控管理制度，要求對批量導出、復制、銷毀信息等重大操作的申請、使用和有效期實行嚴格管理，從工作流程上防止用戶信息的批量泄露。河南省加強對保存用戶信息關鍵系統的安全防護，提升防止黑客攻擊能力。針對侵犯用戶個人信息犯罪高發態勢，公安部部署開展專項打擊行動，在31個省(區、市)和新疆生產建設兵團公安機關建立了反詐騙中心，統籌協調打擊利用公民個人信息實施的電信網絡詐騙犯罪，近兩年，共偵破侵犯個人信息犯罪相關案件3700余起，抓獲犯罪嫌疑人11000余名。2014年至2017年9月，全國法院共審理利用網絡侵犯公民個人信息犯罪案件1529件，取得了較好的法律效果和社會效果。

（六）加大支持力度，推進網絡安全核心技術創新

為落實網絡安全法“扶持重點網絡安全技術產業和項目，支持網絡安全技術的研究開發和利用”等要求，科技部會同國家互聯網信息辦公室共同編制了專項研究計劃，立足網絡空間安全發展現狀，圍繞提高我國關鍵信息基礎設施和數據安全的防護能力、支撐網絡空間可信管理和數字資產保護、提升網絡空間防護能力等目標，確立若干重點研究方向。為了加大對網絡安全技術研究開發和應用的支持，科技部、工業和信息化部等部門，在“十三五”國家重點研發計劃中優先啟動了“網絡空間安全重點專項”，投入國撥經費13.84億元，系統部署了47項研究任務，力爭到2020年，基本形成自主可控的網絡空間安全核心技術體系。另外，在“科技創新2030——重大項目”中，也將優先安排一批網絡空間安全重大研究項目，為提升我國信息監管、泄密竊密防范、網絡防御等提供技術支持。教育部創新網絡安全人才培養模式，增設了網絡空間安全一級學科，與有關部門共同下發了《關於加強網絡安全學科建設和人才培養的意見》，啟動了一流網絡安全學院建設示范項目，為網絡安全技術創新提供人才支持。

三、工作中存在的困難和問題

從檢查情況看，各地在貫徹實施“一法一決定”、維護網絡安全方面還存在一些困難和問題。

（一）網絡安全意識亟待增強

許多關鍵信息基礎設施運營單位對網絡安全的重要性認識不到位，認為受到網絡攻擊只是小概率事件，對可能受到的網絡攻擊的危害性缺乏認知。在信息化方面“重建設、輕安全﹔重使用、輕防護”，缺乏主動防御意識，不願在安全防護方面進行必要投入﹔在處理業務信息系統可用性和安全性的關系時，往往更重視可用性，在二者有沖突時，往往會降低安全性要求。不少地方政府和部門領導干部不能從國家安全的高度認識網絡安全，沒有把網絡安全工作列入本級政府和部門工作重要議程，或者只是口頭上重視，“說起來重要，干起來次要，忙起來不要”。社會公眾網絡安全意識總體不強，“萬人調查報告”顯示，有55.4%的受訪者認為，他們身邊的許多人缺乏網絡安全意識，對網絡安全“知其然不知其所以然”。

（二）網絡安全基礎建設總體薄弱

一是網絡安全態勢感知平台建設滯后。網絡安全風險具有很強的隱蔽性，感知安全態勢是做好網絡安全最基本最基礎的工作。維護網絡安全，首先要知道風險在哪裡，是什麼樣的風險，什麼時候發生風險。但不少省份尚未啟動網絡安全態勢感知平台建設，不能實現對重要信息系統網絡安全風險的全天候實時、動態監測。二是容災備份體系建設總體滯后。不少關系國計民生的關鍵信息基礎設施運營單位沒有按照法律規定對重要數據進行異地容災備份，而僅僅採取了一些簡單的數據備份措施，有的甚至尚未進行過容災備份，不能有效應對重大網絡安全風險。在有些省份，多數重要信息系統未按法律要求進行異地容災備份。三是重要工業控制企業的設備和控制系統國產化程度有待提高。一些重要工控企業對外國技術依賴嚴重，不僅生產控制系統由國外公司建設，配套的網絡及安全設備也採用國外產品，網絡及安全設備的配置由外方人員操控，企業內部人員甚至不掌握安全設備配置和管理權限。在有的省份，重要工控企業的生產控制系統國產化率不足20%。四是應急預案流於形式。有的網絡安全應急預案側重於設備設施障礙的排除，針對網絡攻擊、信息泄露等網絡空間安全事件的內容較少﹔有的應急預案缺乏可操作性﹔有的應急預案長期未修訂，已不能應對當下的網絡安全事件﹔許多單位由於應急演練相關條件不足，未真正舉行過應急演練﹔不少地方和行業用於解決網絡安全問題的經費不足，發現了問題后，往往因經費缺乏不能及時解決。

（三）網絡安全風險和隱患突出

為了解網絡運行情況，執法檢查組委托中國信息安全測評中心對隨機選取的120個關鍵信息基礎設施(60個門戶網站和60個業務系統)進行了遠程滲透測試和漏洞掃描。該中心出具的報告顯示，本次遠程測試的120個關鍵信息基礎設施中，共存在30個安全漏洞，包括高危漏洞13個，其中某省級部門互聯網監管綜合平台存在越權上傳、越權下載、越權刪除文件等3個高危漏洞，嚴重威脅了系統及服務器安全，也存在嚴重的用戶信息泄露風險。遠程檢測還發現，多個設區的市政府門戶網站存在頁面被篡改風險。執法檢查組現場抽查時發現，許多單位沒有依照法律規定留存網絡日志，這可能導致發生網絡安全事件時無法及時進行追溯和處置﹔有的單位從未對重要信息系統進行風險評估，對可能面臨的網絡安全態勢缺乏認知。檢查還發現，在許多單位，內網和專網安全建設沒有引起足夠重視，有的單位對內網系統未部署任何安全防護設施，長期不進行漏洞掃描，存在重大網絡安全隱患。隨著各地區各領域信息化建設的推進，各行業各領域數據化、在線化、遠程化趨勢更加明顯，對網絡安全提出了更高要求。

（四）用戶個人信息保護工作形勢嚴峻

“萬人調查報告”顯示，“一法一決定”關於用戶個人信息保護的多項制度落實得並不理想：有52.1%的受訪者認為，法律關於“網絡服務提供者和其他企業事業單位在業務活動中收集、使用公民個人電子信息，必須明示收集、使用信息的目的、方式和范圍”的規定執行得不好或者一般﹔有49.6%的受訪者曾遇到過度收集用戶信息現象，其中18.3%的受訪者經常遇到過度採集用戶信息現象﹔有61.2%的人遇到過有關企業利用自己的優勢地位強制收集、使用用戶信息，如果不接受就不能使用該產品或接受服務的“霸王條款”﹔有52.5%的人認為執法部門保護用戶信息的成效一般或者不好，不少人反映，在發現本人信息被泄露或者被濫用后，舉報難、投訴難、立案難現象比較普遍。許多受訪者反映，當前免費應用程序普遍存在過度收集用戶信息、侵犯個人隱私問題，但幾乎沒有受到任何監管和依法懲處。檢查發現，有的互聯網公司和公共服務部門存儲了大量公民個人信息，但安防技術嚴重滯后，容易被不法分子竊取和盜用。一些單位內控制度不完善或不落實，少數“內鬼”為牟取不法利益鋌而走險，致使用戶信息大批量泄露。當前在一些地方，利用網絡非法採集、竊取、販賣和利用用戶信息已形成黑色產業鏈。從公安部門近期破獲的案件看，用戶信息泄露呈現渠道多、竊取違法行為成本低、追查難度大等特點，而且違法分子使用的手段不斷升級，因用戶信息泄露引發的“精准詐騙”案件增多，給人民群眾財產安全造成嚴重危害。

（五）網絡安全執法體制有待進一步理順

網絡安全監管“九龍治水”現象仍然存在，權責不清、各自為戰、執法推諉、效率低下等問題尚未有效解決，法律賦予網信部門的統籌協調職能履行不夠順暢。一些地方網絡信息安全多頭管理問題比較突出，但在發生信息泄露、濫用用戶個人信息等信息安全事件后，用戶又經常遇到投訴無門、部門之間推諉扯皮的問題。“萬人調查報告”顯示，有18.9%的受訪者反映，在遇到網絡安全問題后，他們不知該向哪個部門舉報和投訴，即使舉報了也往往不予處理或者沒有結果。參加座談的多數網絡運營單位反映，行政執法過程中存在不同執法部門對同一單位、同一事項重復檢查且檢查標准不一等問題，不同法律實施主管機關採集的數據還不能實現“互聯互通”，經常給網絡運營商增加額外負擔。不少人認為，如果不能合理定位，准確厘清部門之間的職責，等級保護制度和關鍵信息基礎設施保護制度落實過程中也會產生執法不協調問題。另外，檢查發現，城市軌道交通控制系統等工控系統網絡安全管理責任邊界不清，運營單位落實網絡安全責任制存在困難﹔通信行業監管和行政執法力量嚴重不足，執法力量與當前網絡安全事件頻發多發的嚴峻形勢不相適應。

（六）網絡安全法配套法規有待完善

不少單位反映，作為網絡安全管理方面的基礎性法律，網絡安全法不少內容還只是原則性規定，真正“落地”還有賴於配套制度的完善。比如，網絡安全法雖然對數據安全和利用作了規定，但現實中數據運用比較復雜，數據脫敏標准、企業間數據共享規則等，仍然需要有關法規規章予以明確﹔網絡安全法僅明確了關鍵信息基礎設施運營者數據出境需進行評估，但其他網絡運營者掌握的重要數據出境是否進行安全評估，尚待進一步明確。關鍵信息基礎設施保護制度是網絡安全法一項重要制度，但對於什麼是關鍵信息基礎設施、關鍵信息基礎設施認定的標准和程序等，目前認識尚不一致，需要配套法規予以明確。關鍵信息基礎設施如何進行年度檢測評估、網絡運營者和管理部門如何統一發布網絡安全預警信息、如何扶持網絡安全自主知識產權等，也有待於配套法規規章予以明確。

（七）網絡安全人才短缺

參與調查的10370人中，有超過69%的受訪者認為，所在單位或者熟悉的人中，能夠熟練從事網絡安全防護的專業技術人才較少，無法滿足現實需要，其中有21.6%的受訪者認為所在單位基本上無人熟悉網絡安全防護技術。從檢查的情況看，不管是經濟發達地區還是相對落后地區，網絡安全技術人才都比較匱乏，現有的網絡運營單位技術人才多側重於系統使用、操作維護，對網絡安全風險的監控、應急處置和綜合防護能力不足，難以適應保障網絡安全的需要。有的關鍵信息基礎設施核心業務系統雖然安裝了防護系統，但由於缺乏高水平的安全技術人才，不能對安全軟件進行升級和打補丁，從而使網絡安全防護產品難以有效發揮作用。不少政府門戶網站沒有專門的網絡安全技術人才，網站管理人員沒有接受過系統的網絡安全技能培訓。另外，網絡安全主管部門專業人才也明顯不足。受到編制、職務、薪資等因素制約，許多地方網信、公安、通信管理、工信等單位往往招不到或留不住專業技術人才，一線執法人員的專業素養和技能難以勝任網絡運行安全常態化監管執法職責。

四、幾點建議

根據檢查情況，檢查組對進一步貫徹實施“一法一決定”提出以下建議。

（一）進一步提高對網絡安全重要性的認識

在信息時代，網絡空間已經成為繼陸地、海洋、天空、外層空間之外，人類活動的第五空間，成為國家利益的新邊疆和世界各主要國家戰略博弈的新領域，網絡安全對國家安全牽一發而動全身，已成為基礎性、全局性的國家安全問題。黨的十九大報告強調，網絡安全等非傳統安全是人類面臨的共同挑戰之一，要堅持總體國家安全觀，以人民安全為宗旨，以政治安全為根本，統籌外部安全和內部安全、國土安全和國民安全、傳統安全和非傳統安全、自身安全和共同安全，完善國家安全制度體系，加強國家安全能力建設。要進一步深化對新形勢下加強網絡安全工作重要性的認識，不斷增強貫徹落實網絡安全法等法律法規的緊迫感和自覺性。法律實施主管機關和其他相關單位要結合工作實際，進一步加大對網絡安全法的宣傳培訓力度，不僅讓廣大網絡運營商、關鍵信息基礎設施運營單位的相關人員能夠熟知法律內容，還要以喜聞樂見的方式加強對社會公眾的宣傳，讓廣大公眾認識到網絡安全與自身的密切關系，增強全社會的網絡安全意識。

（二）正確處理安全和發展的關系

習近平總書記強調指出，網絡安全和信息化是相輔相成的。安全是發展的前提，發展是安全的保障，安全和發展要同步推進。要充分認識到互聯網在國家管理、經濟發展和社會治理中的作用，繼續推進電子政務、電子商務、新型智慧型城市建設，不斷推進技術融合、業務融合、數據融合，打通經濟社會發展的信息“大動脈”。要按照網絡安全法“堅持網絡安全與信息化發展並重”的要求，堅持一手抓網絡和信息化發展，一手抓網絡安全，“兩手抓，兩手都要硬”。對於網絡安全，既要重視傳統的信息安全和意識形態安全，營造風清氣正、正能量充沛的網絡空間，也要高度重視攻防能力提升，有效防范網絡攻擊，切實維護網絡信息系統安全。要科學制定不同行業、不同單位的網絡安全標准，認真研究解決有些單位提出的“網絡安全合規成本過高”的問題。鼓勵和支持網絡安全產業的發展，發揮社會力量的作用，提供安全的產品和服務。

（三）加快完善網絡安全法配套法規規章

要加快《關鍵信息基礎設施安全保護條例》《網絡安全等級保護條例》的立法進程，對實踐中大家普遍感覺難以把握的問題，如什麼是關鍵信息基礎設施、如何認定關鍵信息基礎設施等作出明確規定，並對等級保護制度和關鍵信息基礎設施保護制度落實過程中的部門職責進一步予以明確。網信、工信、公安等部門要盡快制定配套規章或者文件，細化法律中個人信息和重要數據出境安全評估、網絡數據管理、網絡安全監測預警和信息通報、網絡安全審查、網絡安全認証和安全檢測結果互認等制度。此前已制定的一些行政法規和部門規章也應根據網絡安全法的要求以及法律實施中遇到的新情況新問題，及時予以修改完善。根據防范和打擊網絡違法犯罪的需要，加強互聯網刑事立法，研究制定網絡違法犯罪防治法，推動網絡違法犯罪行政處罰與刑事處罰的有效銜接。

（四）著力提升網絡安全防護能力

一是加快網絡安全態勢感知平台建設。要整合各部門資源，建立統一的全天候網絡安全感知平台，以更好地發現風險、感知風險，進而構建統一高效的網絡安全風險發現機制、報告機制、情報共享機制、研判處置機制，准確把握網絡安全風險發生的規律、動向、趨勢。二是依法組織開展風險評估。要盡快完善網絡安全風險評估機制，加強對金融、能源、交通等重要行業和領域的評估，根據評估情況，適時調整網絡安全工作方案和保護措施。三是定期組織應急演練。組織關鍵信息基礎設施運營單位定期進行應急演練，使事關國家安全、關系國計民生的重要信息系統能夠有效應對有組織的高強度網絡攻擊。四是要認真落實法律要求，加快關鍵信息基礎設施數據的容災備份建設，並定期開展災備效果驗証，提升信息系統的抗災、減災和恢復能力。要督促網絡運營單位認真落實法律規定，依法留存網絡日志。五是要加強網絡安全保密保障體系建設，提升網絡安全保密裝備能力，推進網絡安全保密技術保障基礎設施建設。六是要大力推進國產化替代工程。加大技術研發力度，逐步提高重要工業企業信息控制系統的國產化率，提升關鍵信息基礎設施和網絡安全設備的自主可控能力。

（五）進一步加大用戶個人信息保護力度

一是要加快個人信息保護法立法進程。通過專門立法，明確網絡運營者收集用戶信息的原則、程序，明確其對收集到的信息的保密和保護義務，不當使用、保護不力應當承擔的責任，以及監督檢查和評估措施。二是加強安全防護。強化數據安全監管手段建設，實施數據資源分級分類管理，推動大數據場景下的數據防竊密、防篡改、防泄露等安全技術的研發和部署。三是要認真研究用戶實名制的范圍和方式，堅決避免信息採集主體過多、實名登記事項過濫問題。各地區各單位對某一事項實施實名登記制度，應當有明確的法律依據。要改進實名信息採集方式，減少實名信息採集的內容。四是加大監督檢查力度。建立第三方評估機制，督促網絡運營和公共服務單位嚴格依法收集用戶信息，建立健全內部管理制度，有效降低“內鬼”竊密風險。五是進一步加大打擊力度。公安機關要加大對網絡攻擊、網絡詐騙、網絡有害信息等違法犯罪活動的打擊力度，切斷網絡犯罪利益鏈條，持續形成高壓態勢，落實法律保護公民個人信息的規定，使廣大公民的合法權益免受侵害。六是要完善投訴受理機制。研究建立統一高效的用戶信息安全事件投訴受理機制，為用戶投訴、舉報提供便利，維護人民群眾合法權益。

（六）強化網絡安全工作統籌協調

網絡安全工作涉及領域多、范圍廣、任務重、難度大，系統性、整體性、協同性很強。應對復雜的網絡安全態勢，必須做到統一謀劃、統一部署、統一標准、統一推進。要不斷完善網絡執法協作機制，盡快健全適應網絡特點的規范化執法體系。要落實網絡安全法相關規定，加強網絡安全執法隊伍和執法能力建設，強化網信部門的統籌協調職責，明確各職能部門的權責界限和接口，形成網信、工信、公安、保密等各部門協調聯動機制，既要防止職能交叉、多頭管理，又要避免執法推責、管理空白，不斷提高執法效率，有效維護網絡空間的安全。考慮到互聯網跨區域性強、地域邊界不明顯的特點，要健全完善網絡安全異地執法協作機制，實現區域之間執法聯動。還要破除部門利益，打通數據和信息壁壘，減少重復建設，建立共享數據平台，切實做到不同部門收集的數據能夠共享，提高網絡安全防范能力。

（七）加快網絡安全人才隊伍建設

網絡安全是技術更新最快的領域之一，網絡空間的競爭，歸根到底是人才的競爭﹔建設網絡強國，最關鍵的資源是人才。要高度重視網絡安全人才培養工作，不僅要培養精通信息系統使用和維護的技術人才，還要培養大批能夠開展網絡安全風險監控、應急處置和綜合防護的人才，從而滿足網絡安全法實施提出的要求。要進一步加強網絡安全學科建設，優化師資隊伍結構，改革人才培養模式，培養更多滿足實踐需要的應用型人才。要鼓勵網絡和信息化人才發展體制機制改革先行先試，研究建立網絡安全特殊人才培養、管理和激勵制度，加大對網絡安全高端人才、緊缺人才的培養、引進和支持力度，使黨政機關、關鍵信息基礎設施運營單位能夠招得進、用得好、留得住精通網絡安全技術的“高、精、尖”專業人才。

當前，互聯網已深度融入經濟發展和社會生活的方方面面，深刻改變著人們的生產和生活方式。我們要認真學習、全面貫徹黨的十九大精神特別是習近平新時代中國特色社會主義思想，進一步提高政治站位，牢固樹立正確的網絡安全觀，進一步增強貫徹實施法律的緊迫感和自覺性，推進“一法一決定”各項制度全面落實，切實維護網絡空間主權和人民群眾切身利益，為決勝全面建成小康社會、奪取新時代中國特色社會主義偉大勝利、實現中華民族偉大復興的中國夢提供堅強保障。

以上報告，請審議。