本文作者谢永江，北京邮电大学互联网治理与法律研究中心常务副主任、中国科技法学会常务理事、中国网络空间安全协会理事。原标题为《《网络安全法》明确了网络运营者的网络信息安全义务》，对网络运营者的网络信息安全义务进行了深入分析。

　　编者按：《网络安全法》是我国网络空间第一部基本，它强化了我国网络空间主权的战略意义与监管的范畴，其中第9条总括性地规定了网络运营者的网络安全义务。同时，《网络安全法》第21条、第24条、第40—44条、第47条、48条、第49条，以及《刑法》第286条均对网络运营者的网络信息安全义务进行了规定。未来，网络网络运营者责任重大。

　　网络运营者，特别是大型互联网企业，拥有海量的用户，是网络社会最重要的节点，也是实施网络治理的关键主体。我国在网络政策上主张“谁接入，谁负责”、“谁运营，谁负责”，一直强调网络运营者的“主体责任”，要求网络运营者对其运营的网站和提供的网络产品和服务承担安全义务。《网络安全法》则在法律层面将网络运营者的网络信息安全义务和责任法定化。

　　在网络领域，网络运营者比普通企业通常需要承担更多的安全义务，这主要是因为在网络领域，政府监管存在一定失灵现象。

　　（第一）具有众多用户的网络平台往往是一个网络社会，网民通过平台进行各项社会活动，客观上需要进行有效的管理，防止非法信息和社会风险的传播和扩散。

　　（第二）网络空间信息技术和应用日新月异，法律和政府管理手段难以及时跟进。

　　（第三）政府和企业之间存在信息不对称。在网络信息时代，政府对信息控制的能力在削弱。与传统领域由政府掌握更多的管理信息不同，政府对网络空间的管理需要更多的技术支持和数据支持，但相关先进技术和海量数据往往由互联网企业掌握，政府缺乏有效管理所必须的技术和数据，反而要求助作为被管理对象的网络运营者提供帮助和支持，形成管理困境。

　　（第四）如果由政府出资来开发行政管理所必须的技术，收集、分析行政管理所必须的数据，即使能做到，成本也将是非常巨大的，将增加纳税人的负担。如果由网络运营者来分担一部分管理责任，则具有效率。

　　（第五）在网络空间，信息发布非常便捷，信息传播非常迅速，违法损害后果常常被网络放大，待到政府事后处理，损害已经造成，难以挽回。因此政府的事后处理是缺乏效率的，而事前预防和事中监督都需要技术和数据支持，这对网络运营者来讲，则较为容易做到。

　　因此，在网络空间需要重新配置政府、社会、企业的责任，政府根据“谁接入，谁负责”、“谁经营，谁负责”和“责权利相一致”的原则，将一部分管理职责“下放”给网络运营者和行业协会，是一种更有效率的做法，从宏观上来讲，不会过分增加企业和社会负担。

　　《网络安全法》基于共同治理的原则，明确了网络运营者所应承担的网络信息安全义务。我国《网络安全法》第9条总括性地规定了网络运营者的网络安全义务，即：网络运营者开展经营和服务活动，必须遵守法律、行政法规，尊重社会公德，遵守商业道德，诚实信用，履行网络安全保护义务，接受政府和社会的监督，承担社会责任。在分则章节中进一步细化了的网络运营者的网络信息安全义务，具体包括：

　　网络运营者通常是通过公司章程、用户协议、网络管理制度等对网络平台、用户进行管理。网络运营者要落实安全管理责任，首先就需要建立健全内部安全管理制度。《网络安全法》第21条规定，网络运营者应当制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任。

　　建立用户身份信息制度有助于构建诚信的网络空间。《网络安全法》第24条规定，网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。

　　网络运营者对其平台上的信息负有管理义务。《网络安全法》第47条规定，网络运营者应当加强对其用户发布的信息的管理。信息管理手段包括对网上公共信息进行巡查。工信部《通信短信息服务管理规定》、公安部《互联网危险物品信息发布管理规定》、国信办《互联网信息搜索服务管理规定》等规定均要求网络服务提供者对公共信息进行实时巡查。

　　网络运营者在运营中会收集大量的个人信息，保障个人信息安全是网络运营者的基本义务。《网络安全法》第40—44条对网络运营者的个人信息保护义务做了较为具体的规定。

　　网络运营者发现其用户发布的违法信息，应当立即进行处置。《网络安全法》第47条规定，网络运营者发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告。

　　网络空间的管理和安全维护依赖于对各类信息的分析、挖掘。《网络安全法》第21条规定网络运营者应当留存网络日志不少于六个月。网络日志包括用户日志和系统日志。用户日志和系统日志中的信息应满足维护网络安全和监督检查的需要。

　　网络运营者建立网络信息安全投诉、举报制度后，应及时受理并处理有关网信息安全的投诉和举报。《网络安全法》第49条规定，网络运营者应当建立网络信息安全投诉、举报制度，公布投诉、举报方式等信息，及时受理并处理有关网络信息安全的投诉和举报。

　　网络运营者应当将违法信息和信息安全事件向有关主管部门报告。《网络安全法》第47、48条规定，网络运营者、电子信息发送服务提供者和应用软件下载服务提供者发现法律、行政法规禁止发布或者传输的信息的，应当保存有关记录，并向有关主管部门报告。当发生网络安全事件时，网络运营者也应当向有关主管部门报告。《网络安全法》第42条第2款规定，在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

　　网络运营者对有关部门依法实施的监督检查，应当予以配合。《网络安全法》第49条规定，网络运营者对网信部门和有关部门依法实施的监督检查，应当予以配合。

　　《网络安全法》规定的以上义务，还需要通过法规、规章进一步具体化。当《网络安全法》和有关法规对网络运营者的网络信息安全义务有了明确规定之后，《刑法》第286条之一规定的“拒不履行信息网络安全管理义务罪”才具有操作性。