《网络安全法》五周年: 网络安全顶层规划及法律法规逐步完善
《中华人民共和国网络安全法》于2017年6月1日正式施行,是我国第一部全面规范网络空间安全管理方面问题的基础性法律,是依法治网、化解网络风险的法律重器,为我国有效应对网络安全威胁和风险、全方位保障网络安全提供了上位法依据。
《网络安全法》施行五年来,在习近平总书记关于网络强国重要思想指引下,我国网络空间安全立法不断推进,目前已经形成了包括《网络安全法》《数据安全法》和《个人信息保护法》等三部基本法律为纲的治理框架,在此基础上不断完善《信息安全等级保护管理办法》《关键信息基础设施安全保护条例》《网络安全审查办法》等,网络安全行业迎来顶层规划及法律法规的逐步完善。
网络安全法律、法规相继出台
网络安全等级保护制度2.0
2019年12月1日正式施行
为适应新技术的发展,解决云计算、物联网、移动互联和工控领域信息系统的等级保护工作的需要,由公安部牵头组织开展了信息技术新领域等级保护重点标准申报国家标准的工作,等级保护正式进入2.0时代。 等保2.0的发布,是对除传统信息系统之外的新型网络系统安全防护能力提升的有效补充,是贯彻落实《网络安全法》、实现国家网络安全战略目标的基础。 实施多年的网络安全等级保护从1.0跨入2.0时代,在我国实行网络安全等级保护制度过程中具有里程碑意义。
《中华人民共和国数据安全法》
2021年9月1日正式施行
《数据安全法》作为我国数据安全领域的首部基础性法律,也是国家安全领域的一部重要法律,标志着我国数据安全保障、数据开发利用和产业发展全面进入法治化轨道。 《数据安全法》作为数据安全领域最高位阶的专门法,与《网络安全法》共同完善了《国家安全法》框架下的安全治理法律体系。 《数据安全法》基于总体国家安全观,将数据主权纳入国家主权范畴,并进一步将数据要素的发展与安全统筹起来,为我国的数字化转型,构建数字经济、数字政府、数字社会提供法治保障。
《关键信息基础设施安全保护条例》
202 1年9月1日正式施行
《关键信息基础设施安全保护条例》作为《网络安全法》的重要配套法规,立足工作落实,为关键信息基础设施安全保护工作开展提供系统性的指引。 关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,《条例》的发布,划定了关键信息基础设施的范围,明确了运营者、保护工作部门以及有关网络安全职能部门的职责,为开展关键信息基础设施供应链安全工作提供了制度保障。
《网络产品安全漏洞管理规定》
2021年9月1日正式施行
根据《网络安全法》关于漏洞管理有关要求,工业和信息化部、国家互联网信息办公室、公安部联合制定《网络产品安全漏洞管理规定》,主要目的是维护国家网络安全,保护网络产品和重要网络系统的安全稳定运行; 规范漏洞发现、报告、修补和发布等行为,明确网络产品提供者、网络运营者以及从事漏洞发现、收集、发布等活动的组织或个人等各类主体的责任和义务; 鼓励各类主体发挥各自技术和机制优势开展漏洞发现、收集、发布等相关工作。
《中华人民共和国个人信息保护法》
2021年11月1日正式施 行
《个人信息保护法》作为个人信息保护领域的基础性法律,其出台解决了个人信息层面法律法规散乱不成体系的问题,与《网络安全法》《数据安全法》《密码法》共同构建了我国的数据治理立法框架。 《个人信息保护法》理清了个人信息、敏感个人信息、个人信息处理者、自动化决策、去标识化、匿名化的基本概念,从适用范围、个人信息处理的基本原则、个人信息及敏感个人信息处理规则、个人信息跨境传输规则、个人信息保护领域各参与主体的职责与权力以及法律责任等方面对个人信息保护进行了全面规定,建立起个人信息保护领域的基本制度体系。
新版《网络安全审查办法》
2022年2月15日正式施行
国家互联网信息办公室会同国家发展改革委、公安部、工业和信息化部等十三个部门联合发布的新《网络安全审查办法》于2022年2月15日正式施行。《 办法》指出,网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合,从产品和服务以及数据处理活动安全性、可能带来的国家安全风险等方面进行审查。 《数据安全法》明确规定国家建立数据安全审查制度,据此对《网络安全审查办法》进行修订,主要目的是进一步保障网络安全和数据安全,维护国家安全。
配套规定出台,
有效衔接网安法构筑的制度和规则
网安法从运行安全、信息安全和事件应对三个维度立体化、全方位保护网络安全。相关部门制定或出台相应的下位法与之配套,切实保障网安法的可操作性,避免流于表面化。
在网络运行安全方面,网络安全审查和关键信息基础设施保护制度是下位法制定的重点。网安法第35条规定应该对可能影响国家安全的关键信息基础设施的网络产品和服务进行国家安全审查,该条已在国家互联网信息办公室2017年5月2日发布的《网络产品和服务安全审查办法(试行)》中进行了具体规定,该规定是首个正式生效的网安法重要配套规定。该办法旨在提高网络产品和服务安全可控水平,防范供应链安全风险。根据该办法,关系国家安全和公共利益的信息系统使用的重要网络产品和服务以及关键信息基础设施运营者采购的网络产品和服务,可能影响国家安全的,都要经过网络安全审查;网络安全审查重点在于网络产品和服务的安全性、可控性。
信息安全等级保护制度是国家对基础信息网络和重要信息系统实施重点保护的关键措施。我国的信息安全等级保护工作初步实现了标准化、规范化,但是仍呈现体系不完善、重点不突出、保护效果不佳、保护对象不完整等问题。网安法第21条提出国家实行网络安全等级保护制度,第31条进一步要求关键信息基础设施要落实国家安全等级保护制度,突出保护重点,是深化信息安全等级保护制度、保护国家关键信息基础设施和大数据安全的迫切需要。为落实网安法第21条和第31条的规定,必须科学合理地推动网络安全等级保护制度的演进与变革,构建和完善等级保护2.0制度体系。
网安法第31条规定建立关键信息基础设施保护制度,授权国务院制定关键信息基础设施的具体范围和安全保护办法。 关键信息基础设施安全保护办法是法律中唯一明确规定“由国务院制定”的行政法规,也是网络安全法律体系的重中之重。 在与关键信息基础设施保护配套的强制性标准方面,全国信安标委2017年工作重点之一即为落实网安法要求,加快推动重点标准研制,网络安全产品与服务、关键信息基础设施保护等强制性国家标准的研究。
2021年是我国网安法律法规体系建设集中落地的一年,受益于各项政策助推,我国网安支出和防护能力有望持续提升,这将推动我国网络安全产业的自主创新,给我国网络安全产业发展提供新动力。《网络安全法》施行五年以来,我国网络安全行业迈入新的时代,在构建好顶层制度后,国内组织将进入比拼安全建设的新阶段,满足监管单位的合规要求只是最基本的要求,重能力、重效果方能取得更好的成绩。
