×

打开微信,扫一扫二维码
订阅我们的微信公众号

首页 锦天城概况 专业领域 行业领域 专业人员 全球网络 新闻资讯 出版刊物 加入我们 联系我们 订阅下载 锦天城二十周年 CN EN JP
首页 > 出版刊物 > 专业文章 > 《网络安全等级保护条例(征求意见稿)》之重点解读

《网络安全等级保护条例(征求意见稿)》之重点解读

作者:吴卫明、李荣荣 2018-08-277232
[摘要]作为《网络安全法》的重要配套规则,2018年6月27日,公安部发布了《网络安全等级保护条例(征求意见稿)》(以下简称“《等保条例》”),共计七十三条,分为八章,主要内容包括总则、支持与保障、网络的安全保护、涉密网络的安全保护、密码管理、监督管理、法律责任、附则等。

作为《网络安全法》的重要配套规则,2018年6月27日,公安部发布了《网络安全等级保护条例(征求意见稿)》(以下简称“《等保条例》”),共计七十三条,分为八章,主要内容包括总则、支持与保障、网络的安全保护、涉密网络的安全保护、密码管理、监督管理、法律责任、附则等。


2017年6月1日生效的《网络安全法》关于网络安全等级保护制度的规定为第二十一条(网络运行安全)、第三十一条(关键信息基础设施的运行安全)、第五十九条(法律责任),前述条款只笼统规定网络运营者应按照网络安全等级保护制度的要求履行安全保护义务,以及未履行安全保护义务的法律责任,但尚未出台前述网络安全等级保护的配套制度。《网络安全法》开始实施后,《网络安全等级保护测评机构的管理办法》(公信安〔2018〕765号)于今年3月23日生效,国家信息安全等级保护工作协调小组办公室于今年7月20日正式发布了《全国等级保护测评机构推荐目录》,其他关于网络安全等级保护制度的零星规定散见于司法部、国家税务总局、人民银行、水利部办公厅等部委出台的规范性文件中,缺少网络安全等级保护制度的系统性、可操作性规定,而公安部(网络安全等级保护工作的主管机关)出台的《等保条例》成为《网络安全法》关于网络安全等级保护制度“落地执行”的关键性法律法规。


一、网络安全等级保护的法律法规体系


《网络安全法》从法律层面正式确立了“网络安全等级保护”,该制度的前身为“信息系统安全等级保护”,从以下时间轴可见网络安全等级保护法律法规体系的发展进程:


《网络安全等级保护条例(征求意见稿)》第二条第二款规定:“前款所称 ‘网络’是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统”。《计算机信息系统安全保护条例(2011修订)》第二条规定:“本条例所称的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。”根据前述规定,“网络”相较于“计算机信息系统”而言,还包括“其他信息终端”。 由“信息系统”变更为“网络”不单单是字面上的区别,而是互联网时代迭代技术升级在法律层面上的映射,涉及个人信息采集、使用的系统不仅仅包括计算机和类计算机信息系统,而且还包含云计算平台、物联网、移动互联技术的信息系统等新技术、新应用。


二、首次提出“三同步”原则


《等保条例》第四条第二款规定:“网络运营者在网络建设过程中,应当同步规划、同步建设、同步运行网络安全保护、保密和密码保护措施。”根据该条规定,在正式开展业务之初,网络运营者即应开始同步“规划”、“建设”或“运行”网络安全保护等措施,如涉及保密的,还应同步实施“保密”和“密码保护”两项措施。


同时,根据《等保条例》第十六条规定,在前述“规划设计阶段”,网络运营者就应当确定网络的安全保护等级,这就意味着,在正式开展业务之前,网络运营者就应当向主管部门申请网络定级手续,后续发生网络功能等重大变化时,应履行相应网络的安全保护等级变更手续。


三、划定主管部门的职责分工


根据《等保条例》第五条规定,网络安全等级保护工作的各主管部门职责分工具体如下:


1、中央网络安全和信息化领导机构


指中央网络安全和信息化委员会,根据《深化党和国家机构改革方案》相关规定,中央网络安全和信息化委员会为原中央网络安全和信息化领导小组于2018年3月更改后的机构,办事机构为中央网络安全和信息化委员会办公室,负责网络安全登记保护工作等相关领域的顶层设计、总体布局、统筹协调、整体推进、督促落实。


2、国家网信部门


指国家互联网信息办公室,根据《网络安全法》相关规定,除了统筹协调网络安全等级保护工作外,国家互联网信息办公室的统筹协调职能还包括:(1)统筹协调有关部门对关键信息基础设施的安全保护采取相关措施;(2)统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息;(3)统筹协调有关部门建立健全网络安全风险评估和应急工作机制,制定网络安全事件应急预案,并定期组织演练。


3、网络安全等级保护工作的主管机关(公安部)


公安部负责制定非涉密网络安全等级测评机构和安全建设机构具体管理办法,对网络运营者不履行《等保条例》的行为,有权采取责令改正、警告、没收违法所得,罚款、停业整顿、通知发证机关吊销相关业务许可证或者吊销营业执照等行政处罚措施。实践中,各地公安部门也是网络安全等级定级备案的审核机关,并出具网络安全登记保护备案证明文件。


4、国家保密行政管理部门


即国家保密局,负责网络安全等级保护工作中有关保密工作的监督管理,按照《等保条例》第三十五条规定,此处“保密工作”涉及国家秘密,分为绝密级、机密级和秘密级,但并不包含商业秘密或个人隐私等。


5、国家密码管理部门


即国家密码管理局,负责网络安全等级保护工作中有关密码管理工作的监督管理,按照《等保条例》第五章“密码管理”规定,此处“秘密管理工作”不仅仅包含上述涉及国家秘密的涉密网络,还包括非涉密网络。另外,根据《信息安全等级保护管理办法》、《信息安全等级保护商用密码管理办法》等规定,国家密码管理部门还负责信息安全等级保护商用密码测评机构的审批。


《等保条例》未明确规定国务院其他管理部门的具体名称,但根据《等保条例》第九条规定,国务院其他管理部门还包括国务院标准化行政管理部门(即国家标准化管理委员会)。该部门有权组织制定网络安全等级保护的国家标准、行业标准,目前该部门已经发布或处于征求意见稿阶段的网络安全等级保护方面的国家标准包括《信息安全技术 网络安全等级保护定级指南》征求意见稿、《信息安全技术 网络安全等级保护设计技术要求 第1部分:通用设计要求》征求意见稿等共计5个部分、《信息安全技术 信息系统安全等级保护测评要求》(标准号:GB/T 28448-2012)、《信息安全技术 信息系统安全等级保护测评过程指南》(标准号:GB/T 28449-2012)等。


四、明确网络安全等级的划定标准


根据《等保条例》第三章“网络的安全保护”规定,网络安全等级以网络在国家安全、经济建设、社会生活中的重要程度为划定标准,网络安全保护等级分为五个等级,具体如下:


网络安全保护等级(共五级)

       划定因素


安全等级

一旦受到破坏会对相关公民、法人和其他组织的合法权益造成损害的严重程度

对国家安全、社会秩序和公共利益的危害程度

网络类型

第一级

损害

不会危害



一般网络


第二级

严重损害

对社会秩序和公共利益危害/不会危害国家安全

第三级

特别严重损害

严重危害

重要网络

第四级

——

社会秩序和公共利益特别严重危害/对国家安全造成严重危害

特别重要网络

第五级

——

对国家安全造成特别严重危害

极其重要网络


《等保条例》关于网络安全保护等级的划定标准基本沿袭了《信息安全等级保护管理办法》(公通字〔2007〕43号,下称“《等保办法》”)关于信息系统安全等级划分的规定,但相对于《等保办法》,《等保条例》的划定标准更加明确,具体而言:


(1)《等保条例》明确了各个级别项下的网络类型,从第一级到第五级分别为一般网络、重要网络、特别重要网络、及其重要网络,而《等保办法》只规定了对公民、法人和其他组织的合法权益造成损害或者对国家造成损害的严重程度。


(2)《等保办法》项下的第三级并未规定系统受到破坏后对公民、法人和其他组织的合法权益造成损害的严重程度,《等保条例》明确将对公民、法人和其他组织的合法权益造成严重损害的情形规定为第三级。


(3)《等保条例》的划定标准添加了关于保护网络使用者数据的规定,《等保条例》第十五条规定:“根据网络……或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素”,而《等保办法》的划定标准并未考虑数据保护方面的因素,从上述细微变化可窥见,国家层面对公民、法人和其他组织等主体的信息(数据)保护越来越重视。


五、区分不同等级网络运营者的安全保护义务


根据《等保条例》第二十条~第三十四条的规定,不同等级的网络运营者应履行的安全保护义务亦不同,现归纳如下:


不同等级网络运营者的安全保护义务

所有等级的网络运营者

一般安全保护义务

(第二十条)

确定网络安全等级保护工作责任人,建立网络安全等级保护工作责任制等

自查工作

(第二十五条)

每年对本单位落实网络安全等级保护制度情况和网络安全状况至少开展一次自查

数据和信息安全保护

(第三十一条)

建立并落实重要数据和个人信息安全保护制度、建立异地备份恢复等技术措施等

新技术新应用风险管控(第三十三条)

采取措施,管控云计算等新技术、新应用带来的安全风险,消除安全隐患

第三级以上网络的运营者

特殊安全保护义务

(第二十一条)

对网络安全管理负责人和关键岗位的人员进行安全背景审查,落实持证上岗制度等

等级测评

(第二十三条)

每年开展一次网络安全等级测评,并将测评结果等向公安机构报告

产品服务采购使用的安全要求

(第二十八条)

应当采用与其安全保护等级相适应的网络产品和服务等

技术维护要求

(第二十九条)

应当在境内实施技术维护,不得境外远程技术维护

监测预警和信息通报

(第三十条)

建立健全网络安全监测预警和信息通报制度,向同级公安机关和行业主管部门报送监测预警信息,报告网络安全事件

应急处置要求

(第三十二条)

制定网络安全应急预案,定期开展网络安全应急演练等

新建的第二级

网络

上线检测

(第二十二条第一款)

按照网络安全等级保护有关标准规范进行测试

新建的第三级以上网络

上线检测

(第二十二条第二款)

委托网络安全等级测评机构按照网络安全等级保护有关标准规范进行等级测评


《网络安全法》笼统规定了网络运营者的安全保护义务,在《网络安全法》的基础上,《等保条例》区别了不同级别网络运营者应履行的相应安全保护义务,且网络运营者的安全保护义务内容更加详细,具体而言:


(1)《等保条例》关于所有等级网络运营者的一般安全保护义务内容基本吸纳了《网络安全法》第二十一条关于安全保护义务条款,同时,还规定网络运营者应当落实身份识别、防范恶意代码感染传播、防范网络入侵攻击的管理和技术措施,落实联网备案和用户真实身份查验等责任,落实机房安全管理、设备和介质安全管理、网络安全管理等制度,落实个人信息保护措施,落实违法信息发现、阻断、消除等措施,落实防范违法信息大量传播、违法犯罪证据灭失等措施等。


(2)《等保条例》为第三级以上网络运营者创设了新的安全保护义务内容,主要包括上述表格中产品服务采购使用的安全保护要求,以及技术维护要求等。需要注意的是,《网络安全法》只规定了关键信息基础设施的网络运营者应在“境内储存”收集和产生的个人信息和重要数据,但未规定“技术维护”环节的要求,《等保条例》第二十九条明确规定第三级以上的网络运营者应在 “境内实施技术维护”,那么,《等保条例》生效后,关键信息基础设施的网络运营者如果同时被定级为第三级以上的,还应履行在“境内实施技术维护”义务。因业务需要,确需进行境外远程技术维护的,应履行网络安全评估义务,但《等保条例》并未规定网络安全评估义务的程序、主管部门、评估标准等内容,同《网络安全法》关于向境外提供个人信息和数据进行安全评估规定的现状,“境外实施技术维护”同样尚需相关主管部门出台规定予以规范。


六、落实保密、密码管理主管部门等的管理和处罚权限


1、落实保密、密码管理主管部门等的管理权限


《等保条例》第四章“涉密网络的安全保护”专章规定了涉密网络运营者的网络定级、方案审查论证、建设管理、测评审查和风险评估、预警通告等义务,保密管理部门负有监督管理涉密网络运营者履行前述义务的职责。《等保条例》第五章“密码管理”专章规定了网络运营者的涉密网络密码保护、非涉密网络密码保护、密码安全管理责任,其中,涉密网络的密码产品应经密码管理部门批准,第三级以上非涉密网络的评估结果应同时向所在地设区市的密码管理部门备案。


《网络安全法》涉及保密、密码管理的条款为第七十七条,该条笼统规定了国家秘密信息网络的运行安全保护还应当遵守保密法律、行政法规的规定。相较于《网络安全法》,《等保条例》不仅在“总则”明确规定了保密、密码管理部门在网络安全等级保护工作方面的职责分工,而且专章规定了保密、密码管理部门的具体管理权限。


2、落实保密、密码管理主管部门等的处罚权限


《网络安全法》第六章“法律责任”只明确规定公安机关有权做出行政处罚措施,并未规定除公安机关以外的某个具体主管机关有权处罚网络运营者,如以第六十四条为例,网络运营者侵害个人信息依法得到保护的权利的,由相关主管机关对网络运营者处以警告、没收违法所得、处违法所得一倍以上十倍以下罚款、责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等行政处罚措施,但并不明确此处“相关主管机关”到底是哪个主管机关,容易导致相关主管机关的执法力度大打折扣。


《等保条例》第六十五条明确规定,除公安机关外,网信部门还有权对违反数据安全和个人信息保护要求的网络运营者处以责令改正等行政处罚措施。《等保条例》第六十八条明确规定,除公安机关外,保密行政管理部门、密码管理部门按照职责分工,对违反该条例有关保密管理和密码管理规定的网络运营者处以责令改正、警告等行政处罚措施。所以,依据《行政处罚法》关于设定行政处罚权限的规定,《网络安全法》为保密行政管理部门、密码管理部门等主管机关设定了行政处罚的权限,但《等保条例》在《网络安全法》(即法律)规定的范围内对前述行政处罚的行为、种类、幅度做出了进一步具体规定,《网络安全法》关于保密、密码管理主管部门的行政处罚权限至此予以落实。例如,公安三所网络安全法律研究中心于2018年7月6日公布了《网络安全等级保护执法案例汇总》,从公布的执法案例可以看出,做出行政处罚措施的主管机关均为主管公安机关,如淮南执业技术学院系统未采取重要数据备份和加密措施,致使系统存储千名学生身份信息泄露,做出行政处罚措施的主管机关为安徽省淮南市公安网安支队。如按照《等保条例》第六十五条关于“违反数据安全和个人信息保护要求”的规定,当地网信部门也有权对淮南执业技术学院予以行政处罚。


七、总结


《等保条例》进一步明确了《网络安全法》关于网络安全等级保护工作的条款,也基本沿袭了《等保办法》、《网络安全等级保护定级指南》等关于信息安全等级保护工作的内容,《等保条例》目前尚处于征求意见阶段,系统规定了网络安全等级保护工作的主管部门、各个不同等级网络运营者的安全保护义务及其法律责任、备案定级的程序等,生效后的《等保条例》将成为我国网络安全等级保护工作的“纲领性”法律法规。

 


注:本文仅作为学术研究之用,不代表监管的意见,也不属于法律意见或操作指导。任何对本文观点的引用,均不代表作者的任何操作指导,作者不承担任何法律责任。