随着物联网、云计算、大数据和移动互联网等技术的快速发展，网络空间面临的威胁类型呈现出复合化的发展趋势，以此为基础的网络威胁治理模式也亟待更新和完善。特别是全球化融合态势下，网络威胁信息成为网络防御的关键要素，及时共享和分析有价值的网络威胁信息已被视为新技术背景下提升国家整体网络安全态势感知能力的重要内容。2016年4月19日，习总书记在网络安全和信息化工作座谈会上明确提出，要全天候全方位感知网络安全态势，要建立统一高效的网络安全风险报告机制、情报共享机制、研判处置机制，准确把握网络安全风险发生的规律、动向、趋势，要建立政府和企业网络安全信息共享机制。

在立法层面，我国已逐步认识到加强网络安全信息共享对于实现网络安全保障的必要性和迫切性。《网络安全法》第三十九条第(三)款明确规定了关键信息基础设施保护领域的网络安全信息共享及其参与主体，同时，第二十九条、第三十条、第三十一条第(二)款、第五十一条分别对网络运营者之间以及行业组织内部成员之间的网络安全信息共享，政府机构使用共享信息的目的，关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系，以及建立网络安全监测预警和信息通报制度做出了原则性规定。由此可见，我国网络安全信息共享已迈入法制化轨道。

　　1、积极倡导网络运营者、行业组织内部成员之间的网络安全信息共享

《网络安全法》第二十九条明确规定国家支持网络运营者之间以及行业组织内部成员之间建立有效的网络安全保障协作机制，实际上即为企业之间或行业内部成员之间进行网络安全信息共享的一般规定。鉴于网络安全威胁的复合化发展趋势，国家鼓励并积极倡导关键信息基础设施运营者以外的网络运营者，包括网络服务提供者(ISP)和网络信息服务提供者(ICP)参与网络安全信息共享，协同保障网络运行安全，同时也为现有的点对点共享模式，行业内部的会员制共享模式等提供了法律实施接口。

　　2、概括界定了网络安全信息的范围

《网络安全法》第二十五条对网络安全信息做出了原则性规定，包括系统漏洞、计算机病毒、网络攻击、网络侵入等。上述规定的系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险都应当纳入网络安全信息共享的范围。值得注意的是，从网络安全基本法层面概括界定网络安全信息的范围，为制定相应的配套规定和网络安全信息共享指南提供了法律依据。

　　3、强化了关键信息基础设施保护领域的网络安全信息共享

《网络安全法》首次从基本法层面明确提出了“网络安全信息共享”这一术语，并在第三十九条第(三)款中明确规定了关键信息基础设施领域的网络安全信息共享参与主体包括国家网信部门、有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等。此外，《网络安全法》第五十一条明确规定了网络安全信息共享的主管机构是国家网信部门，负责协调整体网络安全信息共享事项，其职责在于加强对政府和企业之间网络安全信息收集、分析和通报工作的指导、统筹和协调，按照规定统一发布网络威胁信息。

　　4、原则性限定了政府机构对共享信息的后续使用

为了避免政府机构在网络安全信息共享的实施过程中滥用职权，不当获取、披露、存留和使用其获取的网络安全信息，《网络安全法》第三十条对此进行了限制性规定，其中要求网信部门和有关部门在履行网络安全保护职责中获取的信息，只能用于维护网络安全的需要，不得用于其他用途。例如不得用于行政执法中的证据，不得基于《政府信息公开条例》的披露义务向公众披露等，这一原则性限定与现有法律，如《行政诉讼法》、《政府信息公开条例》等能够进行有效衔接。

　　5、建立网络安全监测预警和信息通报制度

《网络安全法》第五十一条规定，国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作，按照规定统一发布网络安全监测预警信息。这一规定从组织机构建设的层面为网络安全信息共享的有效实施提供了保障。

综上所述，《网络安全法》首次从基本法层面对网络安全信息共享，尤其是关键信息基础设施安全保护领域的网络安全信息共享机制做出了原则性规定，这是深化网络安全防护体系和国家网络安全态势感知能力建设的必然要求，其目的在于增强网络空间安全防护和安全事件识别能力，加强国家整体的网络安全监测、预警、控制和应急处置能力建设。实践证明，在网络犯罪、网络间谍、网络攻击和网络恐怖主义等行为日益猖獗的形势下，增强网络安全整体态势感知能力需要进行网络安全信息共享制度的顶层设计，可以预见的是，针对网络安全信息共享实施的细化规定还将通过专门法律、配套的行政法规和技术标准予以明确。

作者简介：方婷：西安交通大学法学院博士研究生

(责任编辑：安博涛)