自《中華人民共和國網絡安全法（草案）》(簡稱“《草案》”)公布，并征求社會意見以來，社會各界人士積極展開討論獻計獻策。

網康科技高級產品市場經理侯漢書在接受賽迪網采訪時就提出，《草案》中第25條對“關鍵信息基礎設施”的定義有些不妥。“將‘用戶眾多的網絡服務提供者所有或者管理的網絡和系統’也歸為關鍵信息基礎設施，有些過于寬泛了”。比如大型的電子商務網站，或者大型論壇、社交網站，可能有幾百萬甚至上千萬的注冊用戶，肯定符合“用戶眾多”這個標準了，但如果這類網站出現了嚴重的運行安全問題，除了大范圍泄露用戶敏感信息的情況外，只能說會對用戶的日常生活帶來不便，但還不至于影響國計民生。“因此，對這類網站與能源、交通、金融等網站采取同級別的管理措施，顯然沒有必要。”

《草案》中對關鍵信息基礎設施的安全防護方面所作出的規定，基本涵蓋了安全防護的全方面，但遺漏了對目前已建成網絡的防護措施。《草案》通過后，新建網絡時需要同步規劃、同步建設、同步使用安全防護措施，但根據“法不溯及既往”的原則，無法強制要求已建成網絡也要滿足相關的技術要求。新舊網絡往往是協同工作的，這可能導致技術標準相對落后的已建成舊網絡成為安全風險的引入點。

“《草案》對關鍵信息基礎設施安全規定所面臨的最大難題，我認為是《草案》沒有明確國家執法機關對關鍵信息基礎設施保護工作的監管職責。”侯漢書認為，草案第25條到33條提到的都是關鍵信息基礎設施運營者的義務，但運營者是否落實了這些法定義務？由誰來監督監管？如果運營者拒不執行法定義務，由誰來督促或強制執行？《草案》的第六章列出了一些懲罰措施，但將執法主體籠統的說為“有關主管部門”，這顯然缺少法律行為應有的明確性和嚴謹性。

《草案》第32條部分提到“關鍵信息基礎設施的運營者應當自行或者委托專業機構對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估”。侯漢書表示，目前國內已有多家檢測機構可以執行相關的檢測評估，但各個檢測機構之間的結果還沒有實現互通互認。舉個例子，如果希望入圍電信網絡的關鍵信息基礎設施建設，就必須要通過工信部組織的相關測評，此時即使其有合格的第三方檢測機構所出具的檢測報告，電信運營商是否認還是個問題。因此專業第三方檢測機構的地位就顯得十分尷尬：首先，如何確保其檢測結果的中立性和客觀性，其次，如何讓關鍵信息基礎設施的主管部門認可其檢測結果。從目前我國的國情看，關鍵信息基礎設施網絡主要集中在電信、金融、政府、軍隊等部門，而這些部門都有自己的檢測標準，“這必將導致獨立的第三方檢測機構中看不中用的尷尬地位。”

對于關鍵信息基礎設施運營者安全性改進是否應該有完成時間表的問題，侯漢書回答說“時間表是必須有的，否則無限期拖延下去，就等于沒有推進這件事情。不過這里又回到剛才的問題上來了，《草案》中沒有明確關鍵信息基礎設施運營者的監管或執法主體，導致是否能夠按照時間表推進成了運營者的自主行為。因此，明確法案中多處提到的‘有關主管部門’比制定時間表更有現實意義。”

安全預警信息的通報方面，侯漢書建議參考現在所執行的等級保護制度，根據預警級別和影響范圍向相應的群體通報。如果不加區分的向社會全體成員通報所有的安全預警信息，可能會造成不必要的恐慌。

《草案》第46條所述，“國家網信部門協調有關部門建立健全網絡安全應急工作機制，制定網絡安全事件應急預案，并定期組織演練”，其中所提演練的目的就是檢驗安全預案有效性的最佳手段。比如，對于銀行系統，可以通過模擬分行數據庫服務器遭受物理破壞的場景來檢驗銀行的災備和恢復預案是否有效。

侯漢書表示，網絡社會是現實社會的延展，網絡秩序也屬于公共秩序，網絡空間的管理應納入社會管理的范疇。只要理清楚了這個道理，就很容易理解《草案》所提“對網絡通信采取限制等臨時措施”，現實社會中可以實施的突發事件管控措施，也同樣適用于網絡空間。“至于啟動網絡通訊管控措施的條件，可以參考我國現行的《中華人民共和國突發事件應對法》中的相關規定。”

在采訪的最后侯漢書對《草案》提出了兩點建議。

首先，希望立法機構能夠明確《草案》的定位，到底是綜合法還是專門法。從總則部分看，草案定位更趨向于綜合法，對其他各種具體法律起歸納、總結和指導作用，“用我的理解是網絡安全界的‘憲法’。”但草案的第六章又包括多達十幾條的具體處罰細則，小至5000元的罰款，導致草案更像是“網絡安全運營管理條例”，這與草案應起到的指導作用是相背離的。綜合法就應定位于上位法，做好頂層設計和戰略規劃，具體的執行和處罰等措施應由具體執行部門去制定細則。

“其次，我在上面的采訪中多次提到了《草案》的法律主體不明確的問題，這里我愿意再次重申這個問題，因為這對我們安全企業有非常重要的現實意義。我所說的法律主體，既包括執法主體，也包括被執法主體。”《草案》中所提到的“有關主管部門”，很可能就是安全企業的執法部門。不明確這些部門的職權范圍——也就是李克強總理常說的“權力清單”——就可能出現多部門齊抓共管的“九龍治水”局面，對企業增加額外的負擔；同樣，不明確安全企業的法定義務范圍和安全責任界限，也可能會導致企業被任意執法的情況。