从《网络安全等级保护条例（征求意见稿）》 看等保1.0到等保2.0的重要变化

数据隐私和网络安全

专栏

作者：冯坚坚  张波

重要变化一：核心法律依据的效力位阶提高

等保1.0的核心法律依据是由公安部、国家保密局、国家密码管理局、国务院信息化工作办公室共同制定、发布的《信息安全等级保护管理办法》（以下简称《管理办法》），而根据《管理办法》第一条可知，该办法主要是根据《计算机信息系统安全保护条例》制定的。

而等保2.0的核心法律依据则是本文写就时处于征求意见状态、即将出台的《网络安全等级保护条例》以及已于2017年6月生效实施的《网络安全法》，而根据《征求意见稿》第一条可知，《网络安全等级保护条例》主要是依据《网络安全法》《保守国家秘密法》制定的。

根据《立法法》第八十条，国务院各部、委员会、中国人民银行、审计署和具有行政管理职能的直属机构，可以根据法律和国务院的行政法规、决定、命令，在本部门的权限范围内，制定规章。根据《规章制定程序条例》第七条，规章的名称一般称“规定”、“办法”，但不得称“条例”。

而根据《立法法》第六十五条、第六十七条，国务院根据宪法和法律，制定行政法规，行政法规由国务院有关部门或者国务院法制机构具体负责起草。根据《行政法规制定程序条例》第五条、第十一条，行政法规的名称一般称“条例”，也可以称“规定”、“办法”等。国务院各部门和地方人民政府制定的规章不得称“条例”。行政法规由国务院组织起草。国务院年度立法工作计划确定行政法规由国务院的一个部门或者几个部门具体负责起草工作，也可以确定由国务院法制机构起草或者组织起草。

结合以上法律规定和当时的发文机构，我们可以看出等保1.0的核心法律依据《管理办法》为规章，其制定的主要法律依据《计算机信息系统安全保护条例》为行政法规；而等保2.0的核心法律依据中的《网络安全法》毫无疑问属于法律，而另一核心法律依据，由公安部发布并征求意见的《网络安全等级保护条例》属于由公安部会同其他有关部门起草的行政法规，其制定的法律依据《网络安全法》《保守国家秘密法》则均为法律。无论是从核心法律依据本身的效力位阶，还是其制定的法律依据的效力位阶，等保2.0均高于等保1.0（详见下图比对）。

重要变化二：统一领导机构的出现，网信部门具备更大的影响力，支持保障和监督管理更为明确

在等保1.0的监管体系中，根据《管理办法》第三条，公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。但是，《管理办法》未在支持保障及监督管理方面进行明确、详细的规定。

而根据《征求意见稿》，我们可以发现如下几个显著变化：

1、在各个主管部门之上，出现了一个地位超然的统一领导机构，即中央网络安全和信息化领导机构。我们理解，此处的“中央网络安全和信息化领导机构”即指“中央网络安全和信息化委员会”，为中共中央直属议事协调机构。2018年3月，中共中央印发了《深化党和国家机构改革方案》(以下简称“《改革方案》”)，根据《改革方案》内容，“中央网络安全和信息化领导小组”改为“中央网络安全和信息化委员会”。而中央网络安全和信息化委员会的领导成员情况为，中共中央总书记、国家主席、中央军委主席习近平担任主任；李克强，王沪宁任副主任。

2、在等保1.0中负责等级保护工作部门间协调的国务院信息化工作办公室，原为国家信息化领导小组的办事机构。在《管理办法》出台不久后（2008年3月），国务院信息化工作办公室不再保留，国家信息化领导小组的具体工作也由工信部承担。而在此次《征求意见稿》中，我们可以发现，国家网信部门成为了网络安全等级保护工作的统筹协调部门，而“协调”的重要性排序从《管理办法》的末位跃升至公安部门之前，紧随中央网络安全和信息化领导机构之后且与其同列第一款之中。从这一排序的微妙变化，我们可以推断在未来网络安全等级保护工作中，国家网信部门将具备更大的影响力。

3、在网络安全等级保护制度的支持保障方面，《征求意见稿》相较于《管理办法》作出了更为明确的规定。根据《征求意见稿》，各级人民政府应根据《网络安全等级保护条例》的要求，将网络安全等级保护制度实施纳入信息化工作总体规划，统筹推进；鼓励扶持网络安全等级保护重点工程和项目，支持网络安全等级保护技术的研究开发和应用，推广安全可信的网络产品和服务；将网络安全等级保护工作纳入绩效考核评价、社会治安综合治理考核等；加强网络安全等级保护制度的宣传教育，提升社会公众的网络安全防范意识。

4、在主管部门的监督管理职责方面，《征求意见稿》相较于《管理办法》也作出了更为明确的规定。根据《征求意见稿》，县级以上公安机关应实行网络安全相关监督管理（对第三级以上网络运营者按照网络安全等级保护制度落实网络基础设施安全、网络运行安全和数据安全保护责任义务，实行重点监督管理），进行安全检查，并对网络安全风险隐患进行处置；保密行政管理部门负责对涉密网络的安全保护工作进行监督管理，负责对非涉密网络的失泄密行为的监管；密码管理部门负责对网络安全等级保护工作中的密码管理进行监督管理，监督检查网络运营者对网络的密码配备、使用、管理和密码评估情况（重要涉密信息系统每两年至少开展一次监督检查）。而且，省级以上人民政府公安部门、保密行政管理部门、密码管理部门在履行网络安全等级保护监督管理职责中，发现网络存在较大安全风险隐患或者发生安全事件的，可以约谈网络运营者的法定代表人、主要负责人及其行业主管部门。

重要变化三：保护对象的变化，以及实际监管范围的扩大

等保1.0体系下，在2004年由公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室共同发布的《关于信息安全等级保护工作的实施意见》（以下简称《实施意见》）中明确，信息安全等级保护的主要保护对象为“信息安全”和“信息系统安全”；而在2007年发布的《管理办法》中明确，信息安全等级保护主要是对信息系统分等级实行安全保护。“信息系统”在《实施意见》中的定义为“由计算机及其相关和配套的设备、设施构成的，按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络”。显然，等保1.0的保护对象已经无法适应新时期下的网络安全新形势、新变化以及新技术、新应用的发展。 在《网络安全法》出台后，我们已经发现等级保护从原来的“信息安全等级保护”变成了“网络安全等级保护”，等保1.0升级等保2.0的说法由此产生。在《征求意见稿》中我们可以进一步看到，“网络”的定义为“指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统”，较原来的“信息系统”有了扩大；同时《征求意见稿》明确，网络安全等级保护工作的重点保护对象为涉及国家安全、国计民生、社会公共利益的网络的基础设施安全、运行安全和数据安全。由此我们不难看出，等保2.0中的“网络安全保护”，不仅仅是将安全保护对象由“信息系统”扩大到“网络”这样的范围变化，同时还强调了“基础设施安全”、“运行安全”和“数据安全”的维度。 此外，《管理办法》在《网络安全法》出台以前，由于法律责任规定所限，实际只能对第三级以上信息系统运营、使用单位具有一定的约束效力，但是在以《网络安全法》和未来《网络安全等级保护条例》为基础的等保2.0制度下，所有网络运营者都将受到网络安全等级保护制度的约束，并有相应的法律责任予以威慑，其中第二级以上网络的运营者将面临更为实质性的监督管理，等级保护制度的实际监管范围大为拓宽。

重要变化四：等级分类的界定有所调整

方便阅读，我们分别为等保1.0和等保2.0制作了等级分类的定级要素表格，从表格比对中可以清晰的看出等级分类的调整变化。 

等保1.0的等级分类和定级要素：

等保2.0的等级分类和定级要素：（以《征求意见稿》为基础）

重要变化五：法律责任实质化，责任范围有所扩大，约谈制度写入条款

根据《管理办法》第四十条规定： “第三级以上信息系统运营、使用单位违反本办法规定，有下列行为之一的，由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正；逾期不改正的，给予警告，并向其上级主管部门通报情况，建议对其直接负责的主管人员和其他直接责任人员予以处理，并及时反馈处理结果： 

（一） 未按本办法规定备案、审批的；

（二） 未按本办法规定落实安全管理制度、措施的；

（三） 未按本办法规定开展系统安全状况检查的；

（四） 未按本办法规定开展系统安全技术测评的；

（五） 接到整改通知后，拒不整改的；

（六） 未按本办法规定选择使用信息安全产品和测评机构的；

（七） 未按本办法规定如实提供有关文件和证明材料的；

（八） 违反保密管理规定的；

（九） 违反密码管理规定的；

（十） 违反本办法其他规定的。 

违反前款规定，造成严重损害的，由相关部门依照有关法律、法规予以处理。 

从上述规定不难看出，在《网络安全法》尚未出台时，《管理办法》的法律责任条款几乎可以用“苍白无力”来形容，加之《管理办法》的效力位阶偏低，无法引起企业的重视。直到《网络安全法》生效后，这一局面才得到改观，原因是《网络安全法》第二十一条和第五十九条为公安部门的执法和行政处罚提供了法律依据，所以从2017年下半年开始，我们才看到了大量由公安部门针对未履行等保义务的网络运营者的行政执法和行政处罚案例，等保制度才开始引起企业的重视。

而《征求意见稿》以行政法规的效力位阶出现，同时法律责任条款部分大大增强。《征求意见稿》从“违反安全保护义务”、“违反技术维护要求”、“违反数据安全和个人信息保护要求”、“违反网络安全服务责任”、“违反执法协助义务”、“违反保密和密码管理责任”、“监管部门渎职责任”和“法律竞和处理”共八个方面对网络安全等级保护涉及的法律责任进行了详细规定。通过对比可以看出，在等保2.0体系下，网络安全等级保护法律责任实质化的同时，责任范围也有所扩大。

此外，《征求意见稿》也将目前政府部门广为采用的“约谈制度”写入条款，其第六十二条【网络安全约谈制度】规定：“省级以上人民政府公安部门、保密行政管理部门、密码管理部门在履行网络安全等级保护监督管理职责中，发现网络存在较大安全风险隐患或者发生安全事件的，可以约谈网络运营者的法定代表人、主要负责人及其行业主管部门。” 

后记：

除了上述重要变化之外，《征求意见稿》对于网络安全等级保护的各项要求、工作流程、涉密网络、密码管理等方面做出了非常细致的规定。考虑到《网络安全等级保护条例》正式版较《征求意见稿》的内容还会有所变化，我们未做进一步的分析解读，读者可通过我们另行制作的“《网络安全等级保护条例（征求意见稿）》与《信息安全等级保护管理办法》的条款比对表”做更深入的了解。

本专栏往期文章

1. 《网络安全法》的出台改变了什么？——条文解析企业的网络安全义务和法律合规新需求

2. 您的公司有数据保护官了吗？

3. 个人信息安全——“用户同意”之浅析

4. 记账理财APP的个人信息合规挑战

5. GDPR之“用户数据可携权”评析（一）——认识“用户数据可携权”

6. GDPR之“用户数据可携权”评析（二）——“用户数据可携权”实务运用的若干问题

7. GDPR之“用户数据可携权”评析（三）——“数据可携权”视角下的数据之争

8. 网安法第37条背景下的境外证据开示与数据出境问题
9. 对“数据共享合法化”的分析与思考系列之一：以《关于欧洲企业间数据共享的研究》为起点

10. 对“数据共享合法化”的分析与思考 系列之二 ——欧盟B2B数据共享的案例研究

11. 对“数据共享合法化”的分析与思考 系列之三 ——欧盟B2B数据共享的案例研究

12. 银行业金融机构数据治理中的个人信息保护

合伙人

021-2613 6221

feng.jianjian@jingtian.com

竞天公诚律师事务所合伙人。

冯坚坚律师的执业领域主要专注于网络安全合规、反垄断调查及反垄断合规咨询。冯律师是上海市律师协会互联网业务研究委员会委员，曾任阿里巴巴特色中国训练营讲师，长期为众多大型跨国企业、大型互联网科技企业提供法律服务，对于互联网新技术与商业模式有独到而深刻的理解。

自2016年开始，冯律师及其团队为大量客户提供了有关网络安全法相关的合规咨询服务，并从2017年网络安全法生效实施后，协助客户应对与网络安全合规有关的政府检查和调查，在公司的网络安全合规和调查应对上积累了丰富的经验。

律师

021-2613 6299

zhang.bo@jingtian.com

张律师是竞天公诚网络安全与数据隐私团队律师，执业领域为数据隐私与网络安全合规、劳动人事争议、商事诉讼仲裁、境内外投资并购等相关领域。

张律师2013年毕业于华东政法大学，取得法律硕士学位。在加入竞天公诚之前，张律师曾先后工作于某知名日本商社关联公司和一家领先的中国律师事务所。

张律师的工作语言是中文、日文、英文。

声明 DISCLAIMER

本文观点仅供参考，不可视为竞天公诚律师事务所及其律师对有关问题出具的正式法律意见。如您有任何法律问题或需要法律意见，请与本所联系。

This article is for your reference only and not to be deemed as formal legal advice given by Jingtian & Gongcheng or its lawyers. Please contact us directly for formal legal advice or further discussion about the relevant issues.