《網絡安全法》五周年: 網絡安全頂層規劃及法律法規逐步完善
《中華人民共和國網絡安全法》于2017年6月1日正式施行,是我國第一部全面規范網絡空間安全管理方面問題的基礎性法律,是依法治網、化解網絡風險的法律重器,為我國有效應對網絡安全威脅和風險、全方位保障網絡安全提供了上位法依據。
《網絡安全法》施行五年來,在習近平總書記關于網絡強國重要思想指引下,我國網絡空間安全立法不斷推進,目前已經形成了包括《網絡安全法》《數據安全法》和《個人信息保護法》等三部基本法律為綱的治理框架,在此基礎上不斷完善《信息安全等級保護管理辦法》《關鍵信息基礎設施安全保護條例》《網絡安全審查辦法》等,網絡安全行業迎來頂層規劃及法律法規的逐步完善。
網絡安全法律、法規相繼出臺
網絡安全等級保護制度2.0
2019年12月1日正式施行
為適應新技術的發展,解決云計算、物聯網、移動互聯和工控領域信息系統的等級保護工作的需要,由公安部牽頭組織開展了信息技術新領域等級保護重點標準申報國家標準的工作,等級保護正式進入2.0時代。 等保2.0的發布,是對除傳統信息系統之外的新型網絡系統安全防護能力提升的有效補充,是貫徹落實《網絡安全法》、實現國家網絡安全戰略目標的基礎。 實施多年的網絡安全等級保護從1.0跨入2.0時代,在我國實行網絡安全等級保護制度過程中具有里程碑意義。
《中華人民共和國數據安全法》
2021年9月1日正式施行
《數據安全法》作為我國數據安全領域的首部基礎性法律,也是國家安全領域的一部重要法律,標志著我國數據安全保障、數據開發利用和產業發展全面進入法治化軌道。 《數據安全法》作為數據安全領域最高位階的專門法,與《網絡安全法》共同完善了《國家安全法》框架下的安全治理法律體系。 《數據安全法》基于總體國家安全觀,將數據主權納入國家主權范疇,并進一步將數據要素的發展與安全統籌起來,為我國的數字化轉型,構建數字經濟、數字政府、數字社會提供法治保障。
《關鍵信息基礎設施安全保護條例》
202 1年9月1日正式施行
《關鍵信息基礎設施安全保護條例》作為《網絡安全法》的重要配套法規,立足工作落實,為關鍵信息基礎設施安全保護工作開展提供系統性的指引。 關鍵信息基礎設施是經濟社會運行的神經中樞,是網絡安全的重中之重,《條例》的發布,劃定了關鍵信息基礎設施的范圍,明確了運營者、保護工作部門以及有關網絡安全職能部門的職責,為開展關鍵信息基礎設施供應鏈安全工作提供了制度保障。
《網絡產品安全漏洞管理規定》
2021年9月1日正式施行
根據《網絡安全法》關于漏洞管理有關要求,工業和信息化部、國家互聯網信息辦公室、公安部聯合制定《網絡產品安全漏洞管理規定》,主要目的是維護國家網絡安全,保護網絡產品和重要網絡系統的安全穩定運行; 規范漏洞發現、報告、修補和發布等行為,明確網絡產品提供者、網絡運營者以及從事漏洞發現、收集、發布等活動的組織或個人等各類主體的責任和義務; 鼓勵各類主體發揮各自技術和機制優勢開展漏洞發現、收集、發布等相關工作。
《中華人民共和國個人信息保護法》
2021年11月1日正式施 行
《個人信息保護法》作為個人信息保護領域的基礎性法律,其出臺解決了個人信息層面法律法規散亂不成體系的問題,與《網絡安全法》《數據安全法》《密碼法》共同構建了我國的數據治理立法框架。 《個人信息保護法》理清了個人信息、敏感個人信息、個人信息處理者、自動化決策、去標識化、匿名化的基本概念,從適用范圍、個人信息處理的基本原則、個人信息及敏感個人信息處理規則、個人信息跨境傳輸規則、個人信息保護領域各參與主體的職責與權力以及法律責任等方面對個人信息保護進行了全面規定,建立起個人信息保護領域的基本制度體系。
新版《網絡安全審查辦法》
2022年2月15日正式施行
國家互聯網信息辦公室會同國家發展改革委、公安部、工業和信息化部等十三個部門聯合發布的新《網絡安全審查辦法》于2022年2月15日正式施行。《 辦法》指出,網絡安全審查堅持防范網絡安全風險與促進先進技術應用相結合、過程公正透明與知識產權保護相結合、事前審查與持續監管相結合、企業承諾與社會監督相結合,從產品和服務以及數據處理活動安全性、可能帶來的國家安全風險等方面進行審查。 《數據安全法》明確規定國家建立數據安全審查制度,據此對《網絡安全審查辦法》進行修訂,主要目的是進一步保障網絡安全和數據安全,維護國家安全。
配套規定出臺,
有效銜接網安法構筑的制度和規則
網安法從運行安全、信息安全和事件應對三個維度立體化、全方位保護網絡安全。相關部門制定或出臺相應的下位法與之配套,切實保障網安法的可操作性,避免流于表面化。
在網絡運行安全方面,網絡安全審查和關鍵信息基礎設施保護制度是下位法制定的重點。網安法第35條規定應該對可能影響國家安全的關鍵信息基礎設施的網絡產品和服務進行國家安全審查,該條已在國家互聯網信息辦公室2017年5月2日發布的《網絡產品和服務安全審查辦法(試行)》中進行了具體規定,該規定是首個正式生效的網安法重要配套規定。該辦法旨在提高網絡產品和服務安全可控水平,防范供應鏈安全風險。根據該辦法,關系國家安全和公共利益的信息系統使用的重要網絡產品和服務以及關鍵信息基礎設施運營者采購的網絡產品和服務,可能影響國家安全的,都要經過網絡安全審查;網絡安全審查重點在于網絡產品和服務的安全性、可控性。
信息安全等級保護制度是國家對基礎信息網絡和重要信息系統實施重點保護的關鍵措施。我國的信息安全等級保護工作初步實現了標準化、規范化,但是仍呈現體系不完善、重點不突出、保護效果不佳、保護對象不完整等問題。網安法第21條提出國家實行網絡安全等級保護制度,第31條進一步要求關鍵信息基礎設施要落實國家安全等級保護制度,突出保護重點,是深化信息安全等級保護制度、保護國家關鍵信息基礎設施和大數據安全的迫切需要。為落實網安法第21條和第31條的規定,必須科學合理地推動網絡安全等級保護制度的演進與變革,構建和完善等級保護2.0制度體系。
網安法第31條規定建立關鍵信息基礎設施保護制度,授權國務院制定關鍵信息基礎設施的具體范圍和安全保護辦法。 關鍵信息基礎設施安全保護辦法是法律中唯一明確規定“由國務院制定”的行政法規,也是網絡安全法律體系的重中之重。 在與關鍵信息基礎設施保護配套的強制性標準方面,全國信安標委2017年工作重點之一即為落實網安法要求,加快推動重點標準研制,網絡安全產品與服務、關鍵信息基礎設施保護等強制性國家標準的研究。
2021年是我國網安法律法規體系建設集中落地的一年,受益于各項政策助推,我國網安支出和防護能力有望持續提升,這將推動我國網絡安全產業的自主創新,給我國網絡安全產業發展提供新動力。《網絡安全法》施行五年以來,我國網絡安全行業邁入新的時代,在構建好頂層制度后,國內組織將進入比拼安全建設的新階段,滿足監管單位的合規要求只是最基本的要求,重能力、重效果方能取得更好的成績。
