在此问题上，我国已经颁布了一些相应的法律。2012年，我国颁布《全国人大关于加强网络信息保护的决定》；2013年，工信部颁布《电信和互联网个人信息保护规定》，《信息安全技术公共及商用服务信息系统个人信息保护指南》正式实施；目前，工信部正在制定《电信和互联网服务用户个人信息保护技术要求》等系列标准。总体而言个人信息保护制度已经初步形成，是否还要在网络安全法中再继续规范一遍也值得考虑。

事实上，个人信息保护制度与网络安全制度在某种程度是冲突的。如个人信息保护制度要求在服务结束后尽快删除个人信息，而网络安全角度则需要个人信息保留越长越好。

　　关键基础设施如何过渡到关键信息基础设施？

这份草案提出，国家对提供公共通信、广播电视传输等服务的基础信息网络，能源、交通、水利、金融等重要行业和供电、供水、供气、医疗卫生、社会保障等公共服务领域的重要信息系统，军事网络，设区的市级以上国家机关等政务网络，用户数量众多的网络服务提供者所有或者管理的网络和系统(以下称关键信息基础设施)，实行重点保护。这里诞生一个新概念，即“关键信息基础设施”。

从美国立法情况来看，仅有关键基础设施概念，并没有关键信息基础设施的概念。根据美国国土安全局官方解释，关键基础设施指任何资产或网络系统，无论是物理设备或虚拟的(系统)，只要其失常或者损毁将对美国的安全、国家经济安全或国民公共健康健全造成严重损害，都将视为关键基础设施。2014年2月，美国白宫发布《促进关键基础设施网络安全机制》。这份文件主要包括三个方面内容：机制核心，机制蓝图，以及机制执行分级。其中，机制核心列出了在关键基础设施领域常见的网络安全活动，相应的标准和最佳范例等，目的在于促进机构内部不同层级之间(包括高级行政层面和日常运营层面)关于网络安全信息的沟通。这份文件指出，关键基础设施社群通过信息技术或者工业控制系统对基础设施功能运行提供支撑服务，对于技术及通信的依靠，IT技术的互连接性及工业控制系统加剧了基础设施的脆弱性并增加了潜在运行风险。例如，工业控制系统和信息技术中产生的数据正广泛应用于提供关键服务，支持商业决策，网络安全事故的潜在影响对于相关组织商业、资产、健康及个人安全、环境等影响都需要考虑。

由此可见，美国是定义了“关键基础设施”，随后指出关键基础设施社群通过信息技术手段或者工业控制系统对基础设施功能运行提供支撑服务。因此强调了关键基础设施的网络安全问题。我国草案中并没有明确定义“关键基础设施”，如何过渡到“关键信息基础设施”值得讨论。

　　建议

建议网络安全法内容与附则中网络安全定义保持一致。即网络安全，是指通过采取必要措施，防范对网络的攻击、入侵、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络存储、传输、处理信息的完整性、保密性、可用性的能力。据此定义，网络安全主要指网络运行方面安全。而目前草案中大篇幅的个人信息保护内容应删除，包括第三十七条，公民发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。此类内容并不属于网络安全范畴，而属于个人信息保护法的范畴，可在个人信息保护立法中涉及。

建议细化数据存储本地化要求。这份草案第三十一条规定，关键信息基础设施的运营者应当在中华人民共和国境内存储在运营中收集和产生的公民个人信息等重要数据；因业务需要，确需在境外存储或者向境外的组织或者个人提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。从国际经验来看，目前仅俄罗斯一项最新法律规定所有收集俄罗斯公民信息的互联网公司都应当将这些数据存储在俄罗斯国内，该立法将于2016年实施。但在实践中，由于互联网的互联互通及全球性，这一规定很难实施，且会对产业带来相应损失。今年巴西曾在相关立法草案提出数据存储本地化要求，但经过激烈争论，最终删除了该规定。当前草案关于网络数据的概念极为广泛，网络数据是指通过网络收集、存储、传输、处理和产生的各种电子数据，此种概念各国立法并没有先例。目前即使俄罗斯的立法也仅规定个人数据的本地化，因此，建议立法对于数据限定明确范围，细化数据存储本地化要求。

建议将用户数量众多的网络服务提供者所有或者管理的网络和系统纳入关键信息基础设施的内容再加斟酌。主要原因在于，关键信息基础设施概念需明确，目前用语模糊，可能所有的网站都可被纳入关键基础设施并施加相应义务。

此外，目前草案在预留众多立法接口，相关概念的统一性及一致性等方面都需要进一步推敲。

(责任编辑：安博涛)