《网络安全法》草案三审稿与二审稿的若干对比和分析

笔者对照草案三审稿与二审稿的全文，将以下几处值得关注的变化特别列出，并加以个人解读，供各位参考和讨论：

1. 三审稿中第十二条，禁止利用网络从事的行为列举中，明确增加了“煽动分裂国家、破坏国家统一”的内容，使得《反分裂国家法》在网络安全场景中获得明确执行依据，此处变动应该原本就属于《网络安全法》的立法原意范围，三审稿中的这处修改似为拾遗补缺。

2. 第十三条专门为“未成年人保护”而添加，但是该条位置处于“总则”，且在第六章“法律责任”中并未有对应罚则，因此似无法直接援引作为违法处罚依据，如果发生违反该条行为，则将仍需主要依据《刑法》和《未成年人保护法》等判定处罚。

3. 第二十二条第一款增加规定了网络产品和服务提供商发现产品缺陷和漏洞后，应“按照规定及时告知用户“并向有关主管部门报告，表明其他相关规定中应该也有“及时告知用户”强制要求，即未履行其他相关规定中的法定告知义务也将直接构成《网络安全法》第二十二条第一款的违反。

4. 第二十二条第三款，将保护个人信息的义务从“收集”个人信息的产品和服务扩大为“涉及”个人信息的产品和服务，对此笔者的解读是，“收集”的法律涵义容易被狭义解读为主观上具有收集意图和客观上形成收集结果的含义，而“涉及”一词则包含了所有“接触”个人信息的行为，由此可见三审稿进一步扩大了对个人信息保护义务的适用范围。

5. 第二十三条规定了关键设备和安全产品经认证和检测后方可销售“或提供”，仅仅增加了“提供”一个词，但其中蕴含的立法意图却十分深刻：针对互联网上纷繁复杂的商业模式尤其是有些产品本身可能是由供应商“免费”提供的，不构成一般意义上的“销售”，第二十三条的该等规定无疑表明，不论设备和产品本身是否收费，提供者均应符合第二十三条之法定要求。

6. 第三十条限定了网信部门和有关部门获取信息后的用途“只能用于维护网络安全的需要”，这一条草案的最新修改变化是将适用范围从原来的“在关键信息基础设施保护中获取的信息”修改扩展为“在履行网络安全保护职责中获取的信息”，更为准确且有利于防止网络安全部门职权滥用。

7. 第三十一条的最新修改中列举了“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务”七个具体的行业和领域，对于界定什么是”关键信息基础设施“做出了清楚了的界定，在原先的概念定义方式之上增加了实际界定时的可操作性。

8. 第四十二条关于禁止网络运营者泄露个人信息的规定中，也有一处细微的修改，将”公民信息安全“改为”个人信息安全“，表明了个人信息安全保护覆盖的范围不仅仅为中国公民，这在二审稿中已经明确也在草案全文中做了修改，三审稿在此处和其他几处做了进一步的拾遗补缺，改正了剩余的几处不一致用词，统一为“个人信息”而非“公民信息”。

9. 第四十三条原本规定了个人有权提出删除和更正的权利，在最新的三审稿里，进一步增加规定了网络运营者相应的义务“应当采取措施予以删除或更正”。

10. 第四十六条为新增条款，增加规定了任何个人和组织不得设立用于实时诈骗等违法犯罪活动的网站和通讯群组以及不得利用网络发布与实施诈骗等违法犯罪活动有关的信息，此条显然是针对近期媒体爆出的“电信诈骗”案件而所做的特别立法举措。相应地，第六章“法律责任”部分，三审稿也增加了一条(第六十七条)，对于设立网站实施前述第四十六条禁止行为，尚不构成犯罪的，单独规定了罚则，构成了《网络安全法》项下独立执法依据。

11. 第四十八条规定的是电子信息发送服务提供者和应用软件下载服务提供者“应当履行安全管理义务”，“知道”用户有发布和传输法律法规禁止信息的，应当停止服务、消除信息以及保存记录、报告部门。和二审稿的“发现”相比，三审稿的“知道”的触发标准更低、对服务提供者的义务规定也更严格了，不论是否自我发现，只要对于违法信息存在知悉(knowledge)，即触发法定的停止服务等义务。

12. 三审稿的第六十三条关于违反第二十七条(网络“黑客”)受到治安管理处罚的人员，特意和受到刑事处罚的人员区分开来，前者五年内“禁入”网络安全管理和网络运营关键岗位，而后者则终身禁入。这一条的修改体现了人性化的考量，符合“罪刑相适应原则”（“黑客”如果改造好了也是可以为我所用嘛）。

13. 第七十三条对于将网络安全执法部门履行职责所获信息用于其他用途的行为，专门规定需对直接负责的主管人员和其他直接责任人员依法予以处分，进一步防止执法部门滥用职权、在网络安全执法过程中侵犯个人信息。

14. 第七十五条是专门针对境外个人和组织的违规行为增加的罚则，体现了《网络安全法》也具有一定的域外管辖效力：但凡侵害结果在我国，不论侵害人和侵害行为发生地是否在我国，《网络安全法》均有权管辖。