网络安全法(草案)公开征求意见工作在不断推进，从草案中公布的相关内容以及国外的先进经验来看，这份立法的涉及内容、关键信息基础的界定以及是否需要大篇幅涉及个人信息保护内容等三个问题值得斟酌。

　　涉及内容是否需要无所不包？

网络安全的概念众说纷纭，归纳看来可以分三个层面来定义：第一层面指网络层面的安全，主要涉及网络设施等；第二层面的安全包括网络层面的安全及信息内容的安全，如违法有害信息处理等；第三层面的网络安全主要是网络空间的安全，既包括第一及第二层面，又包括其他因网络引起的安全，如反恐、网络诈骗等网络犯罪等。这三个层面的概念由小到大，依次递进。

从国际经验来看，美国没有统一的综合性网络安全法。网络安全主要由一系列的州和联邦法规，以及特殊行业立法实现。目前美国50多个州法直接或间接对网络安全予以规定，并且在内容上主要强调的是网络层面的安全，包括关键基础设施的网络安全等。

需要指出的是，美国部分立法中也出现“信息安全”字样，但其含义与我国立法中信息安全并不一致。我国的信息安全更强调内容安全，而美国的信息安全指的是保护信息及信息系统免于非授权访问、使用、泄露、干扰、修改或破坏以保障信息的完整性、秘密性及可用性。在《联邦信息安全现代化法案》中，该概念与网络安全并没有实质区别，只是表述不同。

另外，反恐及网络犯罪等内容各国通常在其他立法中进行规定，而非网络安全法。如近年英国通过的《反恐及安全法案》，要求互联网服务提供商和移动运营商保存用户IP地址并应向监管机构要求提交等。

从我国的网络安全法草案中“重点对网络自身的安全作出制度性安排，同时在信息内容方面也作出相应的规范性规定，从网络设备设施安全、网络运行安全、网络数据安全、网络信息安全等方面建立和完善相关制度”的内容可以看出，我国要立的是一部综合性的、无所不包的网络安全法，涵盖网络层面安全、信息安全，甚至整个网络空间安全。

网络安全的概念界定也是立法的核心问题。当前草案指出，网络安全是指通过采取必要措施，防范对网络的攻击、入侵、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络存储、传输、处理信息的完整性、保密性、可用性的能力，但立法内容远远大于此概念，尤其大篇幅阐述个人信息保护，这点需要斟酌。

　　个人信息保护是否还需浓墨重彩？

个人信息保护是网络时代的重要法律问题，但是否需要在网络安全法中占据大量篇幅值得商榷。

当前世界各国个人信息保护立法无非两种模式，欧盟模式和美国模式，即统一立法与分散立法模式。欧盟各成员国有专门的《个人数据保护法》，美国并没有统一的个人数据保护法，而是分散在各行业立法中，例如《健康保险可携带性和责任法案》、《金融服务现代化法案》、《公平准确信用交易法案》、《儿童线上隐私保护法案》等。纵观欧美两种模式，个人信息保护立法或通过专门的《个人信息保护法》解决，或通过各行业分散的立法解决，均没有通过统一的网络安全立法来解决个人信息保护问题。

(责任编辑：安博涛)