《網絡安全等級保護條例(征求意見稿)》之重點解讀
作者:吳衛明、李榮榮 2018-08-27作為《網絡安全法》的重要配套規則,2018年6月27日,公安部發布了《網絡安全等級保護條例(征求意見稿)》(以下簡稱“《等保條例》”),共計七十三條,分為八章,主要內容包括總則、支持與保障、網絡的安全保護、涉密網絡的安全保護、密碼管理、監督管理、法律責任、附則等。
2017年6月1日生效的《網絡安全法》關于網絡安全等級保護制度的規定為第二十一條(網絡運行安全)、第三十一條(關鍵信息基礎設施的運行安全)、第五十九條(法律責任),前述條款只籠統規定網絡運營者應按照網絡安全等級保護制度的要求履行安全保護義務,以及未履行安全保護義務的法律責任,但尚未出臺前述網絡安全等級保護的配套制度。《網絡安全法》開始實施后,《網絡安全等級保護測評機構的管理辦法》(公信安〔2018〕765號)于今年3月23日生效,國家信息安全等級保護工作協調小組辦公室于今年7月20日正式發布了《全國等級保護測評機構推薦目錄》,其他關于網絡安全等級保護制度的零星規定散見于司法部、國家稅務總局、人民銀行、水利部辦公廳等部委出臺的規范性文件中,缺少網絡安全等級保護制度的系統性、可操作性規定,而公安部(網絡安全等級保護工作的主管機關)出臺的《等保條例》成為《網絡安全法》關于網絡安全等級保護制度“落地執行”的關鍵性法律法規。
一、網絡安全等級保護的法律法規體系
《網絡安全法》從法律層面正式確立了“網絡安全等級保護”,該制度的前身為“信息系統安全等級保護”,從以下時間軸可見網絡安全等級保護法律法規體系的發展進程:
《網絡安全等級保護條例(征求意見稿)》第二條第二款規定:“前款所稱 ‘網絡’是指由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統”。《計算機信息系統安全保護條例(2011修訂)》第二條規定:“本條例所稱的計算機信息系統,是指由計算機及其相關的和配套的設備、設施(含網絡)構成的,按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統。”根據前述規定,“網絡”相較于“計算機信息系統”而言,還包括“其他信息終端”。 由“信息系統”變更為“網絡”不單單是字面上的區別,而是互聯網時代迭代技術升級在法律層面上的映射,涉及個人信息采集、使用的系統不僅僅包括計算機和類計算機信息系統,而且還包含云計算平臺、物聯網、移動互聯技術的信息系統等新技術、新應用。
二、首次提出“三同步”原則
《等保條例》第四條第二款規定:“網絡運營者在網絡建設過程中,應當同步規劃、同步建設、同步運行網絡安全保護、保密和密碼保護措施。”根據該條規定,在正式開展業務之初,網絡運營者即應開始同步“規劃”、“建設”或“運行”網絡安全保護等措施,如涉及保密的,還應同步實施“保密”和“密碼保護”兩項措施。
同時,根據《等保條例》第十六條規定,在前述“規劃設計階段”,網絡運營者就應當確定網絡的安全保護等級,這就意味著,在正式開展業務之前,網絡運營者就應當向主管部門申請網絡定級手續,后續發生網絡功能等重大變化時,應履行相應網絡的安全保護等級變更手續。
三、劃定主管部門的職責分工
根據《等保條例》第五條規定,網絡安全等級保護工作的各主管部門職責分工具體如下:
1、中央網絡安全和信息化領導機構
指中央網絡安全和信息化委員會,根據《深化黨和國家機構改革方案》相關規定,中央網絡安全和信息化委員會為原中央網絡安全和信息化領導小組于2018年3月更改后的機構,辦事機構為中央網絡安全和信息化委員會辦公室,負責網絡安全登記保護工作等相關領域的頂層設計、總體布局、統籌協調、整體推進、督促落實。
2、國家網信部門
指國家互聯網信息辦公室,根據《網絡安全法》相關規定,除了統籌協調網絡安全等級保護工作外,國家互聯網信息辦公室的統籌協調職能還包括:(1)統籌協調有關部門對關鍵信息基礎設施的安全保護采取相關措施;(2)統籌協調有關部門加強網絡安全信息收集、分析和通報工作,按照規定統一發布網絡安全監測預警信息;(3)統籌協調有關部門建立健全網絡安全風險評估和應急工作機制,制定網絡安全事件應急預案,并定期組織演練。
3、網絡安全等級保護工作的主管機關(公安部)
公安部負責制定非涉密網絡安全等級測評機構和安全建設機構具體管理辦法,對網絡運營者不履行《等保條例》的行為,有權采取責令改正、警告、沒收違法所得,罰款、停業整頓、通知發證機關吊銷相關業務許可證或者吊銷營業執照等行政處罰措施。實踐中,各地公安部門也是網絡安全等級定級備案的審核機關,并出具網絡安全登記保護備案證明文件。
4、國家保密行政管理部門
即國家保密局,負責網絡安全等級保護工作中有關保密工作的監督管理,按照《等保條例》第三十五條規定,此處“保密工作”涉及國家秘密,分為絕密級、機密級和秘密級,但并不包含商業秘密或個人隱私等。
5、國家密碼管理部門
即國家密碼管理局,負責網絡安全等級保護工作中有關密碼管理工作的監督管理,按照《等保條例》第五章“密碼管理”規定,此處“秘密管理工作”不僅僅包含上述涉及國家秘密的涉密網絡,還包括非涉密網絡。另外,根據《信息安全等級保護管理辦法》、《信息安全等級保護商用密碼管理辦法》等規定,國家密碼管理部門還負責信息安全等級保護商用密碼測評機構的審批。
《等保條例》未明確規定國務院其他管理部門的具體名稱,但根據《等保條例》第九條規定,國務院其他管理部門還包括國務院標準化行政管理部門(即國家標準化管理委員會)。該部門有權組織制定網絡安全等級保護的國家標準、行業標準,目前該部門已經發布或處于征求意見稿階段的網絡安全等級保護方面的國家標準包括《信息安全技術 網絡安全等級保護定級指南》征求意見稿、《信息安全技術 網絡安全等級保護設計技術要求 第1部分:通用設計要求》征求意見稿等共計5個部分、《信息安全技術 信息系統安全等級保護測評要求》(標準號:GB/T 28448-2012)、《信息安全技術 信息系統安全等級保護測評過程指南》(標準號:GB/T 28449-2012)等。
四、明確網絡安全等級的劃定標準
根據《等保條例》第三章“網絡的安全保護”規定,網絡安全等級以網絡在國家安全、經濟建設、社會生活中的重要程度為劃定標準,網絡安全保護等級分為五個等級,具體如下:
網絡安全保護等級(共五級) | |||
劃定因素 安全等級 | 一旦受到破壞會對相關公民、法人和其他組織的合法權益造成損害的嚴重程度 | 對國家安全、社會秩序和公共利益的危害程度 | 網絡類型 |
第一級 | 損害 | 不會危害 | 一般網絡 |
第二級 | 嚴重損害 | 對社會秩序和公共利益危害/不會危害國家安全 | |
第三級 | 特別嚴重損害 | 嚴重危害 | 重要網絡 |
第四級 | —— | 社會秩序和公共利益特別嚴重危害/對國家安全造成嚴重危害 | 特別重要網絡 |
第五級 | —— | 對國家安全造成特別嚴重危害 | 極其重要網絡 |
《等保條例》關于網絡安全保護等級的劃定標準基本沿襲了《信息安全等級保護管理辦法》(公通字〔2007〕43號,下稱“《等保辦法》”)關于信息系統安全等級劃分的規定,但相對于《等保辦法》,《等保條例》的劃定標準更加明確,具體而言:
(1)《等保條例》明確了各個級別項下的網絡類型,從第一級到第五級分別為一般網絡、重要網絡、特別重要網絡、及其重要網絡,而《等保辦法》只規定了對公民、法人和其他組織的合法權益造成損害或者對國家造成損害的嚴重程度。
(2)《等保辦法》項下的第三級并未規定系統受到破壞后對公民、法人和其他組織的合法權益造成損害的嚴重程度,《等保條例》明確將對公民、法人和其他組織的合法權益造成嚴重損害的情形規定為第三級。
(3)《等保條例》的劃定標準添加了關于保護網絡使用者數據的規定,《等保條例》第十五條規定:“根據網絡……或者數據被篡改、泄露、丟失、損毀后,對國家安全、社會秩序、公共利益以及相關公民、法人和其他組織的合法權益的危害程度等因素”,而《等保辦法》的劃定標準并未考慮數據保護方面的因素,從上述細微變化可窺見,國家層面對公民、法人和其他組織等主體的信息(數據)保護越來越重視。
五、區分不同等級網絡運營者的安全保護義務
根據《等保條例》第二十條~第三十四條的規定,不同等級的網絡運營者應履行的安全保護義務亦不同,現歸納如下:
不同等級網絡運營者的安全保護義務 | ||
所有等級的網絡運營者 | 一般安全保護義務 (第二十條) | 確定網絡安全等級保護工作責任人,建立網絡安全等級保護工作責任制等 |
自查工作 (第二十五條) | 每年對本單位落實網絡安全等級保護制度情況和網絡安全狀況至少開展一次自查 | |
數據和信息安全保護 (第三十一條) | 建立并落實重要數據和個人信息安全保護制度、建立異地備份恢復等技術措施等 | |
新技術新應用風險管控(第三十三條) | 采取措施,管控云計算等新技術、新應用帶來的安全風險,消除安全隱患 | |
第三級以上網絡的運營者 | 特殊安全保護義務 (第二十一條) | 對網絡安全管理負責人和關鍵崗位的人員進行安全背景審查,落實持證上崗制度等 |
等級測評 (第二十三條) | 每年開展一次網絡安全等級測評,并將測評結果等向公安機構報告 | |
產品服務采購使用的安全要求 (第二十八條) | 應當采用與其安全保護等級相適應的網絡產品和服務等 | |
技術維護要求 (第二十九條) | 應當在境內實施技術維護,不得境外遠程技術維護 | |
監測預警和信息通報 (第三十條) | 建立健全網絡安全監測預警和信息通報制度,向同級公安機關和行業主管部門報送監測預警信息,報告網絡安全事件 | |
應急處置要求 (第三十二條) | 制定網絡安全應急預案,定期開展網絡安全應急演練等 | |
新建的第二級 網絡 | 上線檢測 (第二十二條第一款) | 按照網絡安全等級保護有關標準規范進行測試 |
新建的第三級以上網絡 | 上線檢測 (第二十二條第二款) | 委托網絡安全等級測評機構按照網絡安全等級保護有關標準規范進行等級測評 |
《網絡安全法》籠統規定了網絡運營者的安全保護義務,在《網絡安全法》的基礎上,《等保條例》區別了不同級別網絡運營者應履行的相應安全保護義務,且網絡運營者的安全保護義務內容更加詳細,具體而言:
(1)《等保條例》關于所有等級網絡運營者的一般安全保護義務內容基本吸納了《網絡安全法》第二十一條關于安全保護義務條款,同時,還規定網絡運營者應當落實身份識別、防范惡意代碼感染傳播、防范網絡入侵攻擊的管理和技術措施,落實聯網備案和用戶真實身份查驗等責任,落實機房安全管理、設備和介質安全管理、網絡安全管理等制度,落實個人信息保護措施,落實違法信息發現、阻斷、消除等措施,落實防范違法信息大量傳播、違法犯罪證據滅失等措施等。
(2)《等保條例》為第三級以上網絡運營者創設了新的安全保護義務內容,主要包括上述表格中產品服務采購使用的安全保護要求,以及技術維護要求等。需要注意的是,《網絡安全法》只規定了關鍵信息基礎設施的網絡運營者應在“境內儲存”收集和產生的個人信息和重要數據,但未規定“技術維護”環節的要求,《等保條例》第二十九條明確規定第三級以上的網絡運營者應在 “境內實施技術維護”,那么,《等保條例》生效后,關鍵信息基礎設施的網絡運營者如果同時被定級為第三級以上的,還應履行在“境內實施技術維護”義務。因業務需要,確需進行境外遠程技術維護的,應履行網絡安全評估義務,但《等保條例》并未規定網絡安全評估義務的程序、主管部門、評估標準等內容,同《網絡安全法》關于向境外提供個人信息和數據進行安全評估規定的現狀,“境外實施技術維護”同樣尚需相關主管部門出臺規定予以規范。
六、落實保密、密碼管理主管部門等的管理和處罰權限
1、落實保密、密碼管理主管部門等的管理權限
《等保條例》第四章“涉密網絡的安全保護”專章規定了涉密網絡運營者的網絡定級、方案審查論證、建設管理、測評審查和風險評估、預警通告等義務,保密管理部門負有監督管理涉密網絡運營者履行前述義務的職責。《等保條例》第五章“密碼管理”專章規定了網絡運營者的涉密網絡密碼保護、非涉密網絡密碼保護、密碼安全管理責任,其中,涉密網絡的密碼產品應經密碼管理部門批準,第三級以上非涉密網絡的評估結果應同時向所在地設區市的密碼管理部門備案。
《網絡安全法》涉及保密、密碼管理的條款為第七十七條,該條籠統規定了國家秘密信息網絡的運行安全保護還應當遵守保密法律、行政法規的規定。相較于《網絡安全法》,《等保條例》不僅在“總則”明確規定了保密、密碼管理部門在網絡安全等級保護工作方面的職責分工,而且專章規定了保密、密碼管理部門的具體管理權限。
2、落實保密、密碼管理主管部門等的處罰權限
《網絡安全法》第六章“法律責任”只明確規定公安機關有權做出行政處罰措施,并未規定除公安機關以外的某個具體主管機關有權處罰網絡運營者,如以第六十四條為例,網絡運營者侵害個人信息依法得到保護的權利的,由相關主管機關對網絡運營者處以警告、沒收違法所得、處違法所得一倍以上十倍以下罰款、責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照等行政處罰措施,但并不明確此處“相關主管機關”到底是哪個主管機關,容易導致相關主管機關的執法力度大打折扣。
《等保條例》第六十五條明確規定,除公安機關外,網信部門還有權對違反數據安全和個人信息保護要求的網絡運營者處以責令改正等行政處罰措施。《等保條例》第六十八條明確規定,除公安機關外,保密行政管理部門、密碼管理部門按照職責分工,對違反該條例有關保密管理和密碼管理規定的網絡運營者處以責令改正、警告等行政處罰措施。所以,依據《行政處罰法》關于設定行政處罰權限的規定,《網絡安全法》為保密行政管理部門、密碼管理部門等主管機關設定了行政處罰的權限,但《等保條例》在《網絡安全法》(即法律)規定的范圍內對前述行政處罰的行為、種類、幅度做出了進一步具體規定,《網絡安全法》關于保密、密碼管理主管部門的行政處罰權限至此予以落實。例如,公安三所網絡安全法律研究中心于2018年7月6日公布了《網絡安全等級保護執法案例匯總》,從公布的執法案例可以看出,做出行政處罰措施的主管機關均為主管公安機關,如淮南執業技術學院系統未采取重要數據備份和加密措施,致使系統存儲千名學生身份信息泄露,做出行政處罰措施的主管機關為安徽省淮南市公安網安支隊。如按照《等保條例》第六十五條關于“違反數據安全和個人信息保護要求”的規定,當地網信部門也有權對淮南執業技術學院予以行政處罰。
七、總結
《等保條例》進一步明確了《網絡安全法》關于網絡安全等級保護工作的條款,也基本沿襲了《等保辦法》、《網絡安全等級保護定級指南》等關于信息安全等級保護工作的內容,《等保條例》目前尚處于征求意見階段,系統規定了網絡安全等級保護工作的主管部門、各個不同等級網絡運營者的安全保護義務及其法律責任、備案定級的程序等,生效后的《等保條例》將成為我國網絡安全等級保護工作的“綱領性”法律法規。
注:本文僅作為學術研究之用,不代表監管的意見,也不屬于法律意見或操作指導。任何對本文觀點的引用,均不代表作者的任何操作指導,作者不承擔任何法律責任。
