《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例(征求意見(jiàn)稿)》之重點(diǎn)解讀
作者:吳衛(wèi)明、李榮榮 2018-08-27作為《網(wǎng)絡(luò)安全法》的重要配套規(guī)則,2018年6月27日,公安部發(fā)布了《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例(征求意見(jiàn)稿)》(以下簡(jiǎn)稱“《等保條例》”),共計(jì)七十三條,分為八章,主要內(nèi)容包括總則、支持與保障、網(wǎng)絡(luò)的安全保護(hù)、涉密網(wǎng)絡(luò)的安全保護(hù)、密碼管理、監(jiān)督管理、法律責(zé)任、附則等。
2017年6月1日生效的《網(wǎng)絡(luò)安全法》關(guān)于網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的規(guī)定為第二十一條(網(wǎng)絡(luò)運(yùn)行安全)、第三十一條(關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全)、第五十九條(法律責(zé)任),前述條款只籠統(tǒng)規(guī)定網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求履行安全保護(hù)義務(wù),以及未履行安全保護(hù)義務(wù)的法律責(zé)任,但尚未出臺(tái)前述網(wǎng)絡(luò)安全等級(jí)保護(hù)的配套制度。《網(wǎng)絡(luò)安全法》開(kāi)始實(shí)施后,《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)的管理辦法》(公信安〔2018〕765號(hào))于今年3月23日生效,國(guó)家信息安全等級(jí)保護(hù)工作協(xié)調(diào)小組辦公室于今年7月20日正式發(fā)布了《全國(guó)等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦目錄》,其他關(guān)于網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的零星規(guī)定散見(jiàn)于司法部、國(guó)家稅務(wù)總局、人民銀行、水利部辦公廳等部委出臺(tái)的規(guī)范性文件中,缺少網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的系統(tǒng)性、可操作性規(guī)定,而公安部(網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的主管機(jī)關(guān))出臺(tái)的《等保條例》成為《網(wǎng)絡(luò)安全法》關(guān)于網(wǎng)絡(luò)安全等級(jí)保護(hù)制度“落地執(zhí)行”的關(guān)鍵性法律法規(guī)。
一、網(wǎng)絡(luò)安全等級(jí)保護(hù)的法律法規(guī)體系
《網(wǎng)絡(luò)安全法》從法律層面正式確立了“網(wǎng)絡(luò)安全等級(jí)保護(hù)”,該制度的前身為“信息系統(tǒng)安全等級(jí)保護(hù)”,從以下時(shí)間軸可見(jiàn)網(wǎng)絡(luò)安全等級(jí)保護(hù)法律法規(guī)體系的發(fā)展進(jìn)程:
《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例(征求意見(jiàn)稿)》第二條第二款規(guī)定:“前款所稱 ‘網(wǎng)絡(luò)’是指由計(jì)算機(jī)或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M(jìn)行收集、存儲(chǔ)、傳輸、交換、處理的系統(tǒng)”。《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例(2011修訂)》第二條規(guī)定:“本條例所稱的計(jì)算機(jī)信息系統(tǒng),是指由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的,按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)。”根據(jù)前述規(guī)定,“網(wǎng)絡(luò)”相較于“計(jì)算機(jī)信息系統(tǒng)”而言,還包括“其他信息終端”。 由“信息系統(tǒng)”變更為“網(wǎng)絡(luò)”不單單是字面上的區(qū)別,而是互聯(lián)網(wǎng)時(shí)代迭代技術(shù)升級(jí)在法律層面上的映射,涉及個(gè)人信息采集、使用的系統(tǒng)不僅僅包括計(jì)算機(jī)和類(lèi)計(jì)算機(jī)信息系統(tǒng),而且還包含云計(jì)算平臺(tái)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)技術(shù)的信息系統(tǒng)等新技術(shù)、新應(yīng)用。
二、首次提出“三同步”原則
《等保條例》第四條第二款規(guī)定:“網(wǎng)絡(luò)運(yùn)營(yíng)者在網(wǎng)絡(luò)建設(shè)過(guò)程中,應(yīng)當(dāng)同步規(guī)劃、同步建設(shè)、同步運(yùn)行網(wǎng)絡(luò)安全保護(hù)、保密和密碼保護(hù)措施。”根據(jù)該條規(guī)定,在正式開(kāi)展業(yè)務(wù)之初,網(wǎng)絡(luò)運(yùn)營(yíng)者即應(yīng)開(kāi)始同步“規(guī)劃”、“建設(shè)”或“運(yùn)行”網(wǎng)絡(luò)安全保護(hù)等措施,如涉及保密的,還應(yīng)同步實(shí)施“保密”和“密碼保護(hù)”兩項(xiàng)措施。
同時(shí),根據(jù)《等保條例》第十六條規(guī)定,在前述“規(guī)劃設(shè)計(jì)階段”,網(wǎng)絡(luò)運(yùn)營(yíng)者就應(yīng)當(dāng)確定網(wǎng)絡(luò)的安全保護(hù)等級(jí),這就意味著,在正式開(kāi)展業(yè)務(wù)之前,網(wǎng)絡(luò)運(yùn)營(yíng)者就應(yīng)當(dāng)向主管部門(mén)申請(qǐng)網(wǎng)絡(luò)定級(jí)手續(xù),后續(xù)發(fā)生網(wǎng)絡(luò)功能等重大變化時(shí),應(yīng)履行相應(yīng)網(wǎng)絡(luò)的安全保護(hù)等級(jí)變更手續(xù)。
三、劃定主管部門(mén)的職責(zé)分工
根據(jù)《等保條例》第五條規(guī)定,網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的各主管部門(mén)職責(zé)分工具體如下:
1、中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)機(jī)構(gòu)
指中央網(wǎng)絡(luò)安全和信息化委員會(huì),根據(jù)《深化黨和國(guó)家機(jī)構(gòu)改革方案》相關(guān)規(guī)定,中央網(wǎng)絡(luò)安全和信息化委員會(huì)為原中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組于2018年3月更改后的機(jī)構(gòu),辦事機(jī)構(gòu)為中央網(wǎng)絡(luò)安全和信息化委員會(huì)辦公室,負(fù)責(zé)網(wǎng)絡(luò)安全登記保護(hù)工作等相關(guān)領(lǐng)域的頂層設(shè)計(jì)、總體布局、統(tǒng)籌協(xié)調(diào)、整體推進(jìn)、督促落實(shí)。
2、國(guó)家網(wǎng)信部門(mén)
指國(guó)家互聯(lián)網(wǎng)信息辦公室,根據(jù)《網(wǎng)絡(luò)安全法》相關(guān)規(guī)定,除了統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)安全等級(jí)保護(hù)工作外,國(guó)家互聯(lián)網(wǎng)信息辦公室的統(tǒng)籌協(xié)調(diào)職能還包括:(1)統(tǒng)籌協(xié)調(diào)有關(guān)部門(mén)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)采取相關(guān)措施;(2)統(tǒng)籌協(xié)調(diào)有關(guān)部門(mén)加強(qiáng)網(wǎng)絡(luò)安全信息收集、分析和通報(bào)工作,按照規(guī)定統(tǒng)一發(fā)布網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警信息;(3)統(tǒng)籌協(xié)調(diào)有關(guān)部門(mén)建立健全網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估和應(yīng)急工作機(jī)制,制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,并定期組織演練。
3、網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的主管機(jī)關(guān)(公安部)
公安部負(fù)責(zé)制定非涉密網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)機(jī)構(gòu)和安全建設(shè)機(jī)構(gòu)具體管理辦法,對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者不履行《等保條例》的行為,有權(quán)采取責(zé)令改正、警告、沒(méi)收違法所得,罰款、停業(yè)整頓、通知發(fā)證機(jī)關(guān)吊銷(xiāo)相關(guān)業(yè)務(wù)許可證或者吊銷(xiāo)營(yíng)業(yè)執(zhí)照等行政處罰措施。實(shí)踐中,各地公安部門(mén)也是網(wǎng)絡(luò)安全等級(jí)定級(jí)備案的審核機(jī)關(guān),并出具網(wǎng)絡(luò)安全登記保護(hù)備案證明文件。
4、國(guó)家保密行政管理部門(mén)
即國(guó)家保密局,負(fù)責(zé)網(wǎng)絡(luò)安全等級(jí)保護(hù)工作中有關(guān)保密工作的監(jiān)督管理,按照《等保條例》第三十五條規(guī)定,此處“保密工作”涉及國(guó)家秘密,分為絕密級(jí)、機(jī)密級(jí)和秘密級(jí),但并不包含商業(yè)秘密或個(gè)人隱私等。
5、國(guó)家密碼管理部門(mén)
即國(guó)家密碼管理局,負(fù)責(zé)網(wǎng)絡(luò)安全等級(jí)保護(hù)工作中有關(guān)密碼管理工作的監(jiān)督管理,按照《等保條例》第五章“密碼管理”規(guī)定,此處“秘密管理工作”不僅僅包含上述涉及國(guó)家秘密的涉密網(wǎng)絡(luò),還包括非涉密網(wǎng)絡(luò)。另外,根據(jù)《信息安全等級(jí)保護(hù)管理辦法》、《信息安全等級(jí)保護(hù)商用密碼管理辦法》等規(guī)定,國(guó)家密碼管理部門(mén)還負(fù)責(zé)信息安全等級(jí)保護(hù)商用密碼測(cè)評(píng)機(jī)構(gòu)的審批。
《等保條例》未明確規(guī)定國(guó)務(wù)院其他管理部門(mén)的具體名稱,但根據(jù)《等保條例》第九條規(guī)定,國(guó)務(wù)院其他管理部門(mén)還包括國(guó)務(wù)院標(biāo)準(zhǔn)化行政管理部門(mén)(即國(guó)家標(biāo)準(zhǔn)化管理委員會(huì))。該部門(mén)有權(quán)組織制定網(wǎng)絡(luò)安全等級(jí)保護(hù)的國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn),目前該部門(mén)已經(jīng)發(fā)布或處于征求意見(jiàn)稿階段的網(wǎng)絡(luò)安全等級(jí)保護(hù)方面的國(guó)家標(biāo)準(zhǔn)包括《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》征求意見(jiàn)稿、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)設(shè)計(jì)技術(shù)要求 第1部分:通用設(shè)計(jì)要求》征求意見(jiàn)稿等共計(jì)5個(gè)部分、《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》(標(biāo)準(zhǔn)號(hào):GB/T 28448-2012)、《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》(標(biāo)準(zhǔn)號(hào):GB/T 28449-2012)等。
四、明確網(wǎng)絡(luò)安全等級(jí)的劃定標(biāo)準(zhǔn)
根據(jù)《等保條例》第三章“網(wǎng)絡(luò)的安全保護(hù)”規(guī)定,網(wǎng)絡(luò)安全等級(jí)以網(wǎng)絡(luò)在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度為劃定標(biāo)準(zhǔn),網(wǎng)絡(luò)安全保護(hù)等級(jí)分為五個(gè)等級(jí),具體如下:
網(wǎng)絡(luò)安全保護(hù)等級(jí)(共五級(jí)) | |||
劃定因素 安全等級(jí) | 一旦受到破壞會(huì)對(duì)相關(guān)公民、法人和其他組織的合法權(quán)益造成損害的嚴(yán)重程度 | 對(duì)國(guó)家安全、社會(huì)秩序和公共利益的危害程度 | 網(wǎng)絡(luò)類(lèi)型 |
第一級(jí) | 損害 | 不會(huì)危害 | 一般網(wǎng)絡(luò) |
第二級(jí) | 嚴(yán)重?fù)p害 | 對(duì)社會(huì)秩序和公共利益危害/不會(huì)危害國(guó)家安全 | |
第三級(jí) | 特別嚴(yán)重?fù)p害 | 嚴(yán)重危害 | 重要網(wǎng)絡(luò) |
第四級(jí) | —— | 社會(huì)秩序和公共利益特別嚴(yán)重危害/對(duì)國(guó)家安全造成嚴(yán)重危害 | 特別重要網(wǎng)絡(luò) |
第五級(jí) | —— | 對(duì)國(guó)家安全造成特別嚴(yán)重危害 | 極其重要網(wǎng)絡(luò) |
《等保條例》關(guān)于網(wǎng)絡(luò)安全保護(hù)等級(jí)的劃定標(biāo)準(zhǔn)基本沿襲了《信息安全等級(jí)保護(hù)管理辦法》(公通字〔2007〕43號(hào),下稱“《等保辦法》”)關(guān)于信息系統(tǒng)安全等級(jí)劃分的規(guī)定,但相對(duì)于《等保辦法》,《等保條例》的劃定標(biāo)準(zhǔn)更加明確,具體而言:
(1)《等保條例》明確了各個(gè)級(jí)別項(xiàng)下的網(wǎng)絡(luò)類(lèi)型,從第一級(jí)到第五級(jí)分別為一般網(wǎng)絡(luò)、重要網(wǎng)絡(luò)、特別重要網(wǎng)絡(luò)、及其重要網(wǎng)絡(luò),而《等保辦法》只規(guī)定了對(duì)公民、法人和其他組織的合法權(quán)益造成損害或者對(duì)國(guó)家造成損害的嚴(yán)重程度。
(2)《等保辦法》項(xiàng)下的第三級(jí)并未規(guī)定系統(tǒng)受到破壞后對(duì)公民、法人和其他組織的合法權(quán)益造成損害的嚴(yán)重程度,《等保條例》明確將對(duì)公民、法人和其他組織的合法權(quán)益造成嚴(yán)重?fù)p害的情形規(guī)定為第三級(jí)。
(3)《等保條例》的劃定標(biāo)準(zhǔn)添加了關(guān)于保護(hù)網(wǎng)絡(luò)使用者數(shù)據(jù)的規(guī)定,《等保條例》第十五條規(guī)定:“根據(jù)網(wǎng)絡(luò)……或者數(shù)據(jù)被篡改、泄露、丟失、損毀后,對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及相關(guān)公民、法人和其他組織的合法權(quán)益的危害程度等因素”,而《等保辦法》的劃定標(biāo)準(zhǔn)并未考慮數(shù)據(jù)保護(hù)方面的因素,從上述細(xì)微變化可窺見(jiàn),國(guó)家層面對(duì)公民、法人和其他組織等主體的信息(數(shù)據(jù))保護(hù)越來(lái)越重視。
五、區(qū)分不同等級(jí)網(wǎng)絡(luò)運(yùn)營(yíng)者的安全保護(hù)義務(wù)
根據(jù)《等保條例》第二十條~第三十四條的規(guī)定,不同等級(jí)的網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)履行的安全保護(hù)義務(wù)亦不同,現(xiàn)歸納如下:
不同等級(jí)網(wǎng)絡(luò)運(yùn)營(yíng)者的安全保護(hù)義務(wù) | ||
所有等級(jí)的網(wǎng)絡(luò)運(yùn)營(yíng)者 | 一般安全保護(hù)義務(wù) (第二十條) | 確定網(wǎng)絡(luò)安全等級(jí)保護(hù)工作責(zé)任人,建立網(wǎng)絡(luò)安全等級(jí)保護(hù)工作責(zé)任制等 |
自查工作 (第二十五條) | 每年對(duì)本單位落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度情況和網(wǎng)絡(luò)安全狀況至少開(kāi)展一次自查 | |
數(shù)據(jù)和信息安全保護(hù) (第三十一條) | 建立并落實(shí)重要數(shù)據(jù)和個(gè)人信息安全保護(hù)制度、建立異地備份恢復(fù)等技術(shù)措施等 | |
新技術(shù)新應(yīng)用風(fēng)險(xiǎn)管控(第三十三條) | 采取措施,管控云計(jì)算等新技術(shù)、新應(yīng)用帶來(lái)的安全風(fēng)險(xiǎn),消除安全隱患 | |
第三級(jí)以上網(wǎng)絡(luò)的運(yùn)營(yíng)者 | 特殊安全保護(hù)義務(wù) (第二十一條) | 對(duì)網(wǎng)絡(luò)安全管理負(fù)責(zé)人和關(guān)鍵崗位的人員進(jìn)行安全背景審查,落實(shí)持證上崗制度等 |
等級(jí)測(cè)評(píng) (第二十三條) | 每年開(kāi)展一次網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng),并將測(cè)評(píng)結(jié)果等向公安機(jī)構(gòu)報(bào)告 | |
產(chǎn)品服務(wù)采購(gòu)使用的安全要求 (第二十八條) | 應(yīng)當(dāng)采用與其安全保護(hù)等級(jí)相適應(yīng)的網(wǎng)絡(luò)產(chǎn)品和服務(wù)等 | |
技術(shù)維護(hù)要求 (第二十九條) | 應(yīng)當(dāng)在境內(nèi)實(shí)施技術(shù)維護(hù),不得境外遠(yuǎn)程技術(shù)維護(hù) | |
監(jiān)測(cè)預(yù)警和信息通報(bào) (第三十條) | 建立健全網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度,向同級(jí)公安機(jī)關(guān)和行業(yè)主管部門(mén)報(bào)送監(jiān)測(cè)預(yù)警信息,報(bào)告網(wǎng)絡(luò)安全事件 | |
應(yīng)急處置要求 (第三十二條) | 制定網(wǎng)絡(luò)安全應(yīng)急預(yù)案,定期開(kāi)展網(wǎng)絡(luò)安全應(yīng)急演練等 | |
新建的第二級(jí) 網(wǎng)絡(luò) | 上線檢測(cè) (第二十二條第一款) | 按照網(wǎng)絡(luò)安全等級(jí)保護(hù)有關(guān)標(biāo)準(zhǔn)規(guī)范進(jìn)行測(cè)試 |
新建的第三級(jí)以上網(wǎng)絡(luò) | 上線檢測(cè) (第二十二條第二款) | 委托網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)機(jī)構(gòu)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)有關(guān)標(biāo)準(zhǔn)規(guī)范進(jìn)行等級(jí)測(cè)評(píng) |
《網(wǎng)絡(luò)安全法》籠統(tǒng)規(guī)定了網(wǎng)絡(luò)運(yùn)營(yíng)者的安全保護(hù)義務(wù),在《網(wǎng)絡(luò)安全法》的基礎(chǔ)上,《等保條例》區(qū)別了不同級(jí)別網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)履行的相應(yīng)安全保護(hù)義務(wù),且網(wǎng)絡(luò)運(yùn)營(yíng)者的安全保護(hù)義務(wù)內(nèi)容更加詳細(xì),具體而言:
(1)《等保條例》關(guān)于所有等級(jí)網(wǎng)絡(luò)運(yùn)營(yíng)者的一般安全保護(hù)義務(wù)內(nèi)容基本吸納了《網(wǎng)絡(luò)安全法》第二十一條關(guān)于安全保護(hù)義務(wù)條款,同時(shí),還規(guī)定網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)落實(shí)身份識(shí)別、防范惡意代碼感染傳播、防范網(wǎng)絡(luò)入侵攻擊的管理和技術(shù)措施,落實(shí)聯(lián)網(wǎng)備案和用戶真實(shí)身份查驗(yàn)等責(zé)任,落實(shí)機(jī)房安全管理、設(shè)備和介質(zhì)安全管理、網(wǎng)絡(luò)安全管理等制度,落實(shí)個(gè)人信息保護(hù)措施,落實(shí)違法信息發(fā)現(xiàn)、阻斷、消除等措施,落實(shí)防范違法信息大量傳播、違法犯罪證據(jù)滅失等措施等。
(2)《等保條例》為第三級(jí)以上網(wǎng)絡(luò)運(yùn)營(yíng)者創(chuàng)設(shè)了新的安全保護(hù)義務(wù)內(nèi)容,主要包括上述表格中產(chǎn)品服務(wù)采購(gòu)使用的安全保護(hù)要求,以及技術(shù)維護(hù)要求等。需要注意的是,《網(wǎng)絡(luò)安全法》只規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)在“境內(nèi)儲(chǔ)存”收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù),但未規(guī)定“技術(shù)維護(hù)”環(huán)節(jié)的要求,《等保條例》第二十九條明確規(guī)定第三級(jí)以上的網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)在 “境內(nèi)實(shí)施技術(shù)維護(hù)”,那么,《等保條例》生效后,關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)運(yùn)營(yíng)者如果同時(shí)被定級(jí)為第三級(jí)以上的,還應(yīng)履行在“境內(nèi)實(shí)施技術(shù)維護(hù)”義務(wù)。因業(yè)務(wù)需要,確需進(jìn)行境外遠(yuǎn)程技術(shù)維護(hù)的,應(yīng)履行網(wǎng)絡(luò)安全評(píng)估義務(wù),但《等保條例》并未規(guī)定網(wǎng)絡(luò)安全評(píng)估義務(wù)的程序、主管部門(mén)、評(píng)估標(biāo)準(zhǔn)等內(nèi)容,同《網(wǎng)絡(luò)安全法》關(guān)于向境外提供個(gè)人信息和數(shù)據(jù)進(jìn)行安全評(píng)估規(guī)定的現(xiàn)狀,“境外實(shí)施技術(shù)維護(hù)”同樣尚需相關(guān)主管部門(mén)出臺(tái)規(guī)定予以規(guī)范。
六、落實(shí)保密、密碼管理主管部門(mén)等的管理和處罰權(quán)限
1、落實(shí)保密、密碼管理主管部門(mén)等的管理權(quán)限
《等保條例》第四章“涉密網(wǎng)絡(luò)的安全保護(hù)”專章規(guī)定了涉密網(wǎng)絡(luò)運(yùn)營(yíng)者的網(wǎng)絡(luò)定級(jí)、方案審查論證、建設(shè)管理、測(cè)評(píng)審查和風(fēng)險(xiǎn)評(píng)估、預(yù)警通告等義務(wù),保密管理部門(mén)負(fù)有監(jiān)督管理涉密網(wǎng)絡(luò)運(yùn)營(yíng)者履行前述義務(wù)的職責(zé)。《等保條例》第五章“密碼管理”專章規(guī)定了網(wǎng)絡(luò)運(yùn)營(yíng)者的涉密網(wǎng)絡(luò)密碼保護(hù)、非涉密網(wǎng)絡(luò)密碼保護(hù)、密碼安全管理責(zé)任,其中,涉密網(wǎng)絡(luò)的密碼產(chǎn)品應(yīng)經(jīng)密碼管理部門(mén)批準(zhǔn),第三級(jí)以上非涉密網(wǎng)絡(luò)的評(píng)估結(jié)果應(yīng)同時(shí)向所在地設(shè)區(qū)市的密碼管理部門(mén)備案。
《網(wǎng)絡(luò)安全法》涉及保密、密碼管理的條款為第七十七條,該條籠統(tǒng)規(guī)定了國(guó)家秘密信息網(wǎng)絡(luò)的運(yùn)行安全保護(hù)還應(yīng)當(dāng)遵守保密法律、行政法規(guī)的規(guī)定。相較于《網(wǎng)絡(luò)安全法》,《等保條例》不僅在“總則”明確規(guī)定了保密、密碼管理部門(mén)在網(wǎng)絡(luò)安全等級(jí)保護(hù)工作方面的職責(zé)分工,而且專章規(guī)定了保密、密碼管理部門(mén)的具體管理權(quán)限。
2、落實(shí)保密、密碼管理主管部門(mén)等的處罰權(quán)限
《網(wǎng)絡(luò)安全法》第六章“法律責(zé)任”只明確規(guī)定公安機(jī)關(guān)有權(quán)做出行政處罰措施,并未規(guī)定除公安機(jī)關(guān)以外的某個(gè)具體主管機(jī)關(guān)有權(quán)處罰網(wǎng)絡(luò)運(yùn)營(yíng)者,如以第六十四條為例,網(wǎng)絡(luò)運(yùn)營(yíng)者侵害個(gè)人信息依法得到保護(hù)的權(quán)利的,由相關(guān)主管機(jī)關(guān)對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者處以警告、沒(méi)收違法所得、處違法所得一倍以上十倍以下罰款、責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷(xiāo)相關(guān)業(yè)務(wù)許可證或者吊銷(xiāo)營(yíng)業(yè)執(zhí)照等行政處罰措施,但并不明確此處“相關(guān)主管機(jī)關(guān)”到底是哪個(gè)主管機(jī)關(guān),容易導(dǎo)致相關(guān)主管機(jī)關(guān)的執(zhí)法力度大打折扣。
《等保條例》第六十五條明確規(guī)定,除公安機(jī)關(guān)外,網(wǎng)信部門(mén)還有權(quán)對(duì)違反數(shù)據(jù)安全和個(gè)人信息保護(hù)要求的網(wǎng)絡(luò)運(yùn)營(yíng)者處以責(zé)令改正等行政處罰措施。《等保條例》第六十八條明確規(guī)定,除公安機(jī)關(guān)外,保密行政管理部門(mén)、密碼管理部門(mén)按照職責(zé)分工,對(duì)違反該條例有關(guān)保密管理和密碼管理規(guī)定的網(wǎng)絡(luò)運(yùn)營(yíng)者處以責(zé)令改正、警告等行政處罰措施。所以,依據(jù)《行政處罰法》關(guān)于設(shè)定行政處罰權(quán)限的規(guī)定,《網(wǎng)絡(luò)安全法》為保密行政管理部門(mén)、密碼管理部門(mén)等主管機(jī)關(guān)設(shè)定了行政處罰的權(quán)限,但《等保條例》在《網(wǎng)絡(luò)安全法》(即法律)規(guī)定的范圍內(nèi)對(duì)前述行政處罰的行為、種類(lèi)、幅度做出了進(jìn)一步具體規(guī)定,《網(wǎng)絡(luò)安全法》關(guān)于保密、密碼管理主管部門(mén)的行政處罰權(quán)限至此予以落實(shí)。例如,公安三所網(wǎng)絡(luò)安全法律研究中心于2018年7月6日公布了《網(wǎng)絡(luò)安全等級(jí)保護(hù)執(zhí)法案例匯總》,從公布的執(zhí)法案例可以看出,做出行政處罰措施的主管機(jī)關(guān)均為主管公安機(jī)關(guān),如淮南執(zhí)業(yè)技術(shù)學(xué)院系統(tǒng)未采取重要數(shù)據(jù)備份和加密措施,致使系統(tǒng)存儲(chǔ)千名學(xué)生身份信息泄露,做出行政處罰措施的主管機(jī)關(guān)為安徽省淮南市公安網(wǎng)安支隊(duì)。如按照《等保條例》第六十五條關(guān)于“違反數(shù)據(jù)安全和個(gè)人信息保護(hù)要求”的規(guī)定,當(dāng)?shù)鼐W(wǎng)信部門(mén)也有權(quán)對(duì)淮南執(zhí)業(yè)技術(shù)學(xué)院予以行政處罰。
七、總結(jié)
《等保條例》進(jìn)一步明確了《網(wǎng)絡(luò)安全法》關(guān)于網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的條款,也基本沿襲了《等保辦法》、《網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》等關(guān)于信息安全等級(jí)保護(hù)工作的內(nèi)容,《等保條例》目前尚處于征求意見(jiàn)階段,系統(tǒng)規(guī)定了網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的主管部門(mén)、各個(gè)不同等級(jí)網(wǎng)絡(luò)運(yùn)營(yíng)者的安全保護(hù)義務(wù)及其法律責(zé)任、備案定級(jí)的程序等,生效后的《等保條例》將成為我國(guó)網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的“綱領(lǐng)性”法律法規(guī)。
注:本文僅作為學(xué)術(shù)研究之用,不代表監(jiān)管的意見(jiàn),也不屬于法律意見(jiàn)或操作指導(dǎo)。任何對(duì)本文觀點(diǎn)的引用,均不代表作者的任何操作指導(dǎo),作者不承擔(dān)任何法律責(zé)任。
