一、立法定位：网络安全管理的基础性“保障法”

　　科学的立法定位是搭建立法框架与设计立法制度的前提条件。立法定位对于法的结构确定起着引导作用，为法的具体制度设计提供法理上的判断依据。
第一，该法是网络安全管理的法律。《网络安全法》与《国家安全法》《反恐怖主义法》《刑法》《保密法》《治安管理处罚法》《关于加强网络信息保护的决定》《关于维护互联网安全的决定》《计算机信息系统安全保护条例》《互联网信息服务管理办法》等法律法规共同组成我国网络安全管理的法律体系。因此，需做好网络安全法与不同法律之间的衔接，在网络安全管理之外的领域也应尽量减少立法交叉与重复。

第二，该法是基础性法律。
第三，该法是安全保障法。

二、立法架构：“防御、控制与惩治”三位一体

为实现基础性法律的“保障”功能，网络安全法需确立“防御、控制与惩治”三位一体的立法架构，以“防御和控制”性的法律规范替代传统单纯“惩治”性的刑事法律规范，从多方主体参与综合治理的层面，明确各方主体在预警与监测、网络安全事件的应急与响应、控制与恢复等环节中的过程控制要求，防御、控制、合理分配安全风险，惩治网络空间违法犯罪和恐怖活动。

三、制度设计：网络安全的关键控制节点

《网络安全法》关注的安全类型是网络运行安全和网络信息安全。网络运行安全分别从系统安全、产品和服务安全、数据安全以及网络安全监测评估等方面设立制度。网络信息安全规定了个人信息保护制度和违法有害信息的发现处置制度。法律制度设计基本能够涵盖网络安全中的关键控制节点，体系较为完备。除了网络安全等级保护、个人信息保护、违法有害信息处置等成熟的制度规定外，产品和服务强制检测认证制度、关键信息基础设施保护制度、国家安全审查制度等都具有相当的前瞻性，成为该法的亮点。从制度具体内容来看，部分规范性内容较为细化，打破了传统“原则性思路”的束缚，具有较强的可操作性。

以及网络关键设备和网络安全专用产品认证、关键信息基础设施运营者网络产品和服务采购的安全审查、关键信息基础设施运营者信息/数据境内存储、关键信息基础设施运营者信息/数据境外提供安全评估、关键信息基础设施运营者年度风险检测评估、网络可信身份管理、建设运营网络或服务的网络安全保障、网络安全事件应急预案/处置、漏洞等网络安全信息发布、网络信息内容管理、网络安全人员背景审查和从业禁止、网络安全教育和培训、数据留存和协助执法等制度。可以看出，一部切合网络安全战略，关注技术、管理与规范的网络安全保障基本法，由十多套（部）配套制度共筑框架的法律体系已悄然成型。

四、重中之重：关键信息基础设施安全保护办法

第一，《网络安全法》中明确界定了关键信息基础设施概念的本质，即“一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益”，并规定关键信息基础设施的具体范围由国务院另行制定。这表明，作为网络安全领域的基本法，应当尽可能确保网络安全法的稳定性而不宜进行过于细化的条款设定这一立法需求。而关键信息基础设施的范围将基于国家安全和社会运行的风险评估进行不断调整，即其认定范围遵循动态调整机制。

　　第二，关键信息基础设施安全保护办法是《网络安全法》中预留接口的下位法，也是法律中唯一明确规定“由国务院制定”的行政法规。我国关键信息基础设施法律制度在法律调整的社会关系及调整对象上更具复杂性。政治、法律传统等国情的差异导致我国关键信息基础设施保护制度的构建不能简单照搬外国的经验，应坚持国内经验总结和国外经验借鉴，建立符合我国国情且具有较强可操作性的关键信息基础设施保护制度，同时也科学合理地推动网络安全等级保护制度的演进与变革，有效融合等级保护评测和关键信息基础设施的风险评估等，实现制度间的互补和融合，降低关键信息基础设施运营者的守法成本和行政执法成本。

　　第三，为了鼓励网络运营者自愿参与国家关键信息基础设施保护体系，促进网络运营者、专业机构和政府有关部门之间的网络安全信息共享，并加强对这些信息的保护，《网络安全法》规定，“国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系；国家网信部门和有关部门在关键信息基础设施保护中取得的信息，只能用于维护网络安全的需要，不得用于其他用途。”这在一定程度上鼓励了网络运营者，尤其是承担重要社会职能的网络运营者能够利用其自有的技术能力和资源优势更加积极地投入关键信息基础设施保护的工作中，促进政府和企业双方共同保障关键信息基础设施安全运行。