近日，全国人大公布了《中华人民共和国网络安全法（草案）》（简称《网络安全法草案》）二次审议稿，并向全国征求意见。该草案公布后，引发了社会各界的关注和热议，各方面纷纷以自己的方式向全国人大提出建议和意见。网络安全法有哪些特别值得关注的内容呢？对于企业的经营行为又会有哪些影响呢？本文作者选择其中较为重要和对企业经营具有直接影响的问题进行评述。

一、网络空间纳入主权范畴

由于互联网的发展总体上属于新生事物，虽然网络得到了飞速发展，但是与传统的主权原则、政治制度、财产权法律制度等相对成熟的人类文明制度相比，人们对于网络的诸多制度和原则依然处于摸索阶段。网络不是简单的复制线下世界的规则，但也不能完全脱离传统规则。

由于网络传播的无形性、迅捷性，网络信号和数据使得物理空间、边界、国界概念淡化，网络空间似乎成为一个失去传统地域束缚，甚至是国界束缚的范畴。

虽然网络具有广域性的特征，甚至网络上的信息传播在事实上也已经跨越了国界的限制，甚至主权国家对于网络信息的跨境传播也缺乏必要的制约措施和法律依据。但是可以预见的是，主权国家、经济实体、族群利益的概念也许会在一定程度上随着经济全球化和信息全球化传播的趋势而淡化，但在可以预见的未来，这些概念并不会随着网络的发展而消失。因此，网络主权概念在人们进一步理性思考互联网带来的信息自由化的同时，反而成为一个值得关注的问题，并逐渐被一些国家所接受。

《网络安全法草案》即体现了网络主权的原则。该草案第一条开宗明义的规定：“为了保障网络安全，维护网络空间主权和国家安全、社会公共利益、保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，制定本法。”该条款是继《国家安全法》提出“网络空间主权”后，又一部在全国人大的立法层面提出了“网络空间主权”的法律文件，将虚拟的网络空间进一步纳入主权管辖范畴。

二、公民个人信息成为主权保护的重要内容

除了宏观的网络空间主权和网络空间安全外，《网络安全法草案》制度关注的是，将公民个人信息作为国家网络空间主权保护的重要内容。这一点，是对《国家安全法》所确定的“维护国家网络空间主权”原则的进一步具体化。

《网络安全法草案》第三十五条规定：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的公民个人信息和重要业务数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”。锦天城律师认为，这一规定，确定了以下三个具体原则：

1、个人信息跨境限制原则

关键信息基础设施的运营者在中华人民共和国境内开展业务所收集的公民个人信息及重要业务数据，属于主权管制的范畴。也就是说，个人信息及重要业务数据，不再简单的归入民事财产或商业资产范围，而是同时受到主权规则的规制。

2、服务器境内化原则

本条特别强调信息和数据的境内存储，这意味着存储上述信息和数据的服务期应位于中华人民共和国境内。虽然信息可以全球传递，但是相关经营者在法律上将负有将信息和数据存储于物理上归属于中国境内的存储设备。

3、关键信息和数据跨境流动的审核原则

对于因为业务需要而向境外提供的，由国家网信部门及国务院相关部门制定办法进行安全评估。

三、跨国企业的应对之策

对于个人信息和业务数据境内存放及跨境限制的法律规则，一旦全国人大审议通过，则跨国企业将面临数据“切断”的法律后果。即，跨国获取的数据，不仅不会成为“大数据”应用的财富，还将面临数据保存、数据迁移的国家安全审查。锦天城律师认为，跨国企业需要在以下几个方面考虑应对策略：

1、密切关注“关键信息基础设施” 运营者名录

《网络安全法草案》第三十五条限制的是“关键信息基础设施运营者”。根据《网络安全法草案》第二十九条规定：“一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施实行重点保护”。而关键基础设施的具体范围由国务院制定。据此，网络运营者应关注国务院的相关规则，对于其身份是否属于关键信息基础设施运营者进行判断，以确定是否适合于第三十五条的限制。

2、物理存储空间放置在中国境内

对于存放数据的服务器或者其他备份存储设备，应严格遵循物理位置位于中国境内的原则，且数据在物理上与境外的关联机构服务器、存储设备隔离。

3、建立严格的内部数据安全管理制度

对于纳入中国网络空间主权管理范围的上述信息和数据，严格实行数据安全管理和数据传输管制制度，在获得相关部门安全评估之前，严禁内部任何人员实施数据传输。

《网络安全法》是《国家安全法》在网络空间的延伸，也是效力层级较高且具有很强国家强制力色彩的法律。

网络很难划清国界，但是服务器和数据却可以有国界，并且可以纳入主权管辖范畴。对于需要跨境使用数据的企业而言，应审慎对待《网络安全法草案》所带来的法律风险，并以合理、合法的措施提升自身因数据应用而带来的商业利益。