對于6月1日即將施行的《網(wǎng)絡安全法》，互聯(lián)網(wǎng)以及大數(shù)據(jù)行業(yè)企業(yè)關心更多的是新法將會給其業(yè)務帶來的影響。而隨著前幾天肆虐全球的WannaCry病毒事件的發(fā)酵，網(wǎng)絡安全問題似乎已經(jīng)上升為全民議題，《網(wǎng)絡安全法》更是成為熱議話題。作為專注于數(shù)據(jù)信息行業(yè)法律研究和服務的團隊，在《網(wǎng)絡安全法》即將實施的這一周時間，我們團隊將每天一篇重磅推出針對互聯(lián)網(wǎng)以及大數(shù)據(jù)行業(yè)企業(yè)的系列文章：大數(shù)據(jù)企業(yè)應當了解的《網(wǎng)絡安全法》。今天是第四篇：網(wǎng)絡安全等級保護制度。

《網(wǎng)絡安全法》第二十一條

國家實行網(wǎng)絡安全等級保護制度。網(wǎng)絡運營者應當按照網(wǎng)絡安全等級保護制度的要求，履行下列安全保護義務，保障網(wǎng)絡免受干擾、破壞或者未經(jīng)授權的訪問，防止網(wǎng)絡數(shù)據(jù)泄露或者被竊取、篡改：

（一）制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡安全負責人，落實網(wǎng)絡安全保護責任；

（二）采取防范計算機病毒和網(wǎng)絡攻擊、網(wǎng)絡侵入等危害網(wǎng)絡安全行為的技術措施；

（三）采取監(jiān)測、記錄網(wǎng)絡運行狀態(tài)、網(wǎng)絡安全事件的技術措施，并按照規(guī)定留存相關的網(wǎng)絡日志不少于六個月；

（四）采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施；

（五）法律、行政法規(guī)規(guī)定的其他義務。

《網(wǎng)絡安全法》第三十一條

國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網(wǎng)絡安全等級保護制度的基礎上，實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。

國家鼓勵關鍵信息基礎設施以外的網(wǎng)絡運營者自愿參與關鍵信息基礎設施保護體系。

《網(wǎng)絡安全法》的發(fā)布，標志著網(wǎng)絡安全保護將進入有法可依的2.0時代，整部法律用第三章共十九條的整章篇幅，規(guī)定了網(wǎng)絡運營者必須履行的一系列保護“網(wǎng)絡運行安全”方面的要求和義務，而作為其核心內(nèi)容之一的網(wǎng)絡安全等級保護制度成了行業(yè)熱議的話題。

在此之前，我國已有信息安全等級保護標準以及分級保護標準，等級保護標準主要用于政府、央企等對國家和社會具有影響系統(tǒng)的安全防護，分級保護標準主要用于涉密系統(tǒng)中的信息防泄露，但網(wǎng)絡空間安全保護一直以來監(jiān)管相對空白。近年來發(fā)生的互聯(lián)網(wǎng)信息泄露事件愈演愈烈，網(wǎng)絡安全等級保護制度的出臺將為網(wǎng)絡空間保駕護航。

然而，近期我們團隊在與網(wǎng)絡安全行業(yè)企業(yè)溝通交流中發(fā)現(xiàn)，大多數(shù)網(wǎng)絡安全企業(yè)及數(shù)據(jù)信息企業(yè)都將網(wǎng)絡安全等級保護制度理解成了現(xiàn)有的信息安全等級保護制度，這篇文章就將從與信息安全等級保護制度對比的角度，揭開《網(wǎng)絡安全法》中網(wǎng)絡安全等級保護制度的面紗。

網(wǎng)絡安全等級保護

網(wǎng)絡安全等級保護制度規(guī)定于《網(wǎng)絡安全法》的第二十一條，要求網(wǎng)絡運營者應當按照網(wǎng)絡安全等級保護制度，履行相應安全保護義務，保障網(wǎng)絡免受干擾、破壞或者未經(jīng)授權的訪問，防止網(wǎng)絡數(shù)據(jù)泄露或者被竊取、篡改。第二十一條規(guī)定的安全保護義務如下：

?    制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡安全負責人，落實網(wǎng)絡安全保護責任；

?    采取防范計算機病毒和網(wǎng)絡攻擊、網(wǎng)絡侵入等危害網(wǎng)絡安全行為的技術措施；

?    采取監(jiān)測、記錄網(wǎng)絡運行狀態(tài)、網(wǎng)絡安全事件的技術措施，并按照規(guī)定留存相關的網(wǎng)絡日志不少于六個月；

?    采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施；

?    法律、行政法規(guī)規(guī)定的其他義務。

此外，《網(wǎng)絡安全法》第三十一條還規(guī)定，對于“關鍵信息基礎設施”，要在網(wǎng)絡安全等級保護制度的基礎上實行重點保護。

我們須注意以下幾點：

1、主體

網(wǎng)絡運營者，即網(wǎng)絡的所有者、管理者和網(wǎng)絡服務提供者。具體解讀請參考我們團隊本系列文章《團隊原創(chuàng)|《網(wǎng)絡安全法》系列解讀之（一）大數(shù)據(jù)企業(yè)，你是不是“網(wǎng)絡運營者”》。

2、實施依據(jù)

實施依據(jù)為網(wǎng)絡安全等級保護制度，目前尚未出臺，但根據(jù)《網(wǎng)絡安全法（草案）》“網(wǎng)絡安全等級保護的具體辦法由國務院規(guī)定”的提法，后續(xù)應該會有配套的法規(guī)出臺。網(wǎng)絡運營者中的網(wǎng)絡服務提供者，以互聯(lián)網(wǎng)信息服務為例，按照現(xiàn)有法律，經(jīng)營性即有償互聯(lián)網(wǎng)信息服務的提供者需要申領ICP證，而非經(jīng)營性即無償服務的提供者只需進行ICP備案。前者例如一家電商企業(yè)網(wǎng)站，后者例如某一企業(yè)的官方宣傳網(wǎng)站。

實踐中，電商企業(yè)網(wǎng)站和企業(yè)網(wǎng)站在收集、使用、儲存用戶個人信息、網(wǎng)絡安全事件概率、面臨的遭受攻擊或數(shù)據(jù)泄露的風險程度、所需要的安全防護措施等各個方面存在顯著區(qū)別，若要求二者在《網(wǎng)絡安全法》項下承擔完全同等網(wǎng)絡安全保護義務，顯然是不合理的，這也是第二十一條在要求網(wǎng)絡運營者履行網(wǎng)絡運行安全保護義務之前加上“按照網(wǎng)絡安全等級保護制度的要求”這一條件的原因。

因此，對于任何屬于“網(wǎng)絡服務提供者”范疇的企業(yè)來說，進一步關注網(wǎng)絡安全等級保護制度的后續(xù)立法就顯得尤為重要。

3、監(jiān)管部門

根據(jù)《網(wǎng)絡安全法》第八條規(guī)定：“國家網(wǎng)信部門負責統(tǒng)籌協(xié)調(diào)網(wǎng)絡安全工作和相關監(jiān)督管理工作。國務院電信主管部門、公安部門和其他有關機關依照本法和有關法律、行政法規(guī)的規(guī)定，在各自職責范圍內(nèi)負責網(wǎng)絡安全保護和監(jiān)督管理工作。縣級以上地方人民政府有關部門的網(wǎng)絡安全保護和監(jiān)督管理職責，按照國家有關規(guī)定確定。”由此可見，國家網(wǎng)絡信息安全辦公室為主要監(jiān)管部門。

4、主要內(nèi)容

包括了內(nèi)控制度及技術措施兩個方面，這也提示了所有數(shù)據(jù)信息企業(yè)除了在技術層面做好安全保護措施外，也應當在法律層面制定一系列內(nèi)控制度和操作規(guī)程。

綜上，網(wǎng)絡安全等級保護制度是由《網(wǎng)絡安全法》首次提出的，針對所有網(wǎng)絡運營者的，由國家網(wǎng)信辦負責監(jiān)管的系列措施的總稱，其具體的劃分標準、評測要求及實施辦法均待后續(xù)法規(guī)的細化規(guī)定。

信息安全等級保護制度

1994年國務院頒布的《中華人民共和國計算機信息系統(tǒng)安全保護條例》規(guī)定：計算機信息系統(tǒng)實行安全等級保護，安全等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關部門制定。

1999年9月13日國家發(fā)布《計算機信息系統(tǒng)安全保護等級劃分準則》。2003年中央辦公廳、國務院辦公廳轉(zhuǎn)發(fā)《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā) [2003]27 號）明確指出，“要重點保護基礎信息網(wǎng)絡和關系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級保護制度，制定信息安全等級保護的管理辦法和技術指南”。 2007年6月，公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室制定了《信息安全等級保護管理辦法》，明確了信息安全等級保護的具體要求。

由此可見，信息安全等級保護制度規(guī)定于《信息安全等級保護管理辦法》，由公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室聯(lián)合發(fā)布。

1、主體

主體為信息系統(tǒng)運營、使用單位。信息系統(tǒng)主要指以下系統(tǒng)：

(1)國家事務處理信息系統(tǒng)（黨政機關辦公系統(tǒng)）；

(2)金融、稅務、工商、海關、能源、交通運輸、社會保障、教育等基礎設施的信息系統(tǒng)；

(3)國防工業(yè)企業(yè)、科研等單位的信息系統(tǒng)；

(4)公用通信、廣播電視傳輸?shù)然A信息網(wǎng)絡中的計算機信息系統(tǒng)；

(5)互聯(lián)網(wǎng)網(wǎng)絡管理中心、關鍵節(jié)點、重要網(wǎng)站以及重要應用系統(tǒng)；

(6)其他領域的重要信息系統(tǒng)。

2、實施依據(jù) 

實施依據(jù)為《信息系統(tǒng)安全等級保護實施指南》，《信息安全等級保護管理辦法》規(guī)定：信息系統(tǒng)運營、使用單位依據(jù)本辦法和《信息系統(tǒng)安全等級保護定級指南》確定信息系統(tǒng)的安全保護等級。

3、監(jiān)管部門

監(jiān)管部門主要為公安機關，《信息安全等級保護管理辦法》第十九條規(guī)定：“信息系統(tǒng)運營、使用單位應當接受公安機關、國家指定的專門部門的安全監(jiān)督、檢查、指導”。此處的國家制定的專門部門包括國家保密工作部門和國家密碼工作管理部門。

4、主要內(nèi)容

信息系統(tǒng)的安全保護等級按照信息系統(tǒng)受到破壞后，對公民、法人和其他組織的合法權益，對社會秩序和公共利益，對國家安全造成損害的程度分為五級，對于等級劃分、保護措施、評測機構、監(jiān)管方式均有完善的規(guī)定。

綜上，網(wǎng)絡安全保護制度與現(xiàn)行的信息安全保護制度在主體、實施依據(jù)、監(jiān)管部門、規(guī)定內(nèi)容的各方面都存在區(qū)別。

結(jié)語

《網(wǎng)絡安全法》第二十一條是我國在法律層面上首次提出“網(wǎng)絡安全等級保護制度”這一概念，但《網(wǎng)絡安全法》并未進一步闡明該制度的內(nèi)涵，也未說明該制度的具體等級劃分標準及實施辦法。與此相關的是，在《網(wǎng)絡安全法》出臺之前，我國已通過相關法規(guī)確立了信息安全等級保護制度，對包含網(wǎng)絡在內(nèi)的計算機信息系統(tǒng)實施共分五級的安全保護，這項制度在涉及網(wǎng)絡安全的范圍內(nèi)，與《網(wǎng)絡安全法》確立的網(wǎng)絡安全等級保護制度存在著重疊部分。

鑒于《網(wǎng)絡安全法》的規(guī)定尚不明確，我們目前暫無法判斷網(wǎng)絡安全等級保護制度與信息安全等級保護制度之間的具體關系，在關于網(wǎng)絡安全等級保護制度的細化法規(guī)出臺之前，我們建議相關企業(yè)參照信息安全等級保護制度的規(guī)定對企業(yè)進行合規(guī)審查整改，畢竟網(wǎng)絡安全等級保護制度已經(jīng)上升為法律層面上的強制性義務。

作者：

觀韜中茂（上海）律師事務所

王渝偉 首席數(shù)據(jù)官聯(lián)盟專家組成員 首席數(shù)據(jù)官聯(lián)盟首席律師

吳丹君 首席數(shù)據(jù)官聯(lián)盟專家組成員 首席數(shù)據(jù)官聯(lián)盟首席律師

來源：數(shù)據(jù)猿