重要变化一:核心法律依据的效力位阶提高
等保1.0的核心法律依据是由公安部、国家保密局、国家密码管理局、国务院信息化工作办公室共同制定、发布的《信息安全等级保护管理办法》(以下简称《管理办法》),而根据《管理办法》第一条可知,该办法主要是根据《计算机信息系统安全保护条例》制定的。
而等保2.0的核心法律依据则是本文写就时处于征求意见状态、即将出台的《网络安全等级保护条例》以及已于2017年6月生效实施的《网络安全法》,而根据《征求意见稿》第一条可知,《网络安全等级保护条例》主要是依据《网络安全法》《保守国家秘密法》制定的。
根据《立法法》第八十条,国务院各部、委员会、中国人民银行、审计署和具有行政管理职能的直属机构,可以根据法律和国务院的行政法规、决定、命令,在本部门的权限范围内,制定规章。根据《规章制定程序条例》第七条,规章的名称一般称“规定”、“办法”,但不得称“条例”。
而根据《立法法》第六十五条、第六十七条,国务院根据宪法和法律,制定行政法规,行政法规由国务院有关部门或者国务院法制机构具体负责起草。根据《行政法规制定程序条例》第五条、第十一条,行政法规的名称一般称“条例”,也可以称“规定”、“办法”等。国务院各部门和地方人民政府制定的规章不得称“条例”。行政法规由国务院组织起草。国务院年度立法工作计划确定行政法规由国务院的一个部门或者几个部门具体负责起草工作,也可以确定由国务院法制机构起草或者组织起草。
结合以上法律规定和当时的发文机构,我们可以看出等保1.0的核心法律依据《管理办法》为规章,其制定的主要法律依据《计算机信息系统安全保护条例》为行政法规;而等保2.0的核心法律依据中的《网络安全法》毫无疑问属于法律,而另一核心法律依据,由公安部发布并征求意见的《网络安全等级保护条例》属于由公安部会同其他有关部门起草的行政法规,其制定的法律依据《网络安全法》《保守国家秘密法》则均为法律。无论是从核心法律依据本身的效力位阶,还是其制定的法律依据的效力位阶,等保2.0均高于等保1.0(详见下图比对)。
核心法律依据及效力位阶
核心法律依据的主要制定依据及效力位阶
等保1.0
《信息安全等级保护管理办法》
(规章)
《计算机信息系统安全保护条例》
(行政法规)
等保2.0
《网络安全等级保护条例》
《网络安全法》
(行政法规、法律)
《保守国家秘密法》
(法律)
重要变化二:统一领导机构的出现,网信部门具备更大的影响力,支持保障和监督管理更为明确
在等保1.0的监管体系中,根据《管理办法》第三条,公安机关负责信息安全等级保护工作的监督、检查、指导。国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。但是,《管理办法》未在支持保障及监督管理方面进行明确、详细的规定。
而根据《征求意见稿》,我们可以发现如下几个显著变化:
1、在各个主管部门之上,出现了一个地位超然的统一领导机构,即中央网络安全和信息化领导机构。我们理解,此处的“中央网络安全和信息化领导机构”即指“中央网络安全和信息化委员会”,为中共中央直属议事协调机构。2018年3月,中共中央印发了《深化党和国家机构改革方案》(以下简称“《改革方案》”),根据《改革方案》内容,“中央网络安全和信息化领导小组”改为“中央网络安全和信息化委员会”。而中央网络安全和信息化委员会的领导成员情况为,中共中央总书记、国家主席、中央军委主席习近平担任主任;李克强,王沪宁任副主任。
2、在等保1.0中负责等级保护工作部门间协调的国务院信息化工作办公室,原为国家信息化领导小组的办事机构。在《管理办法》出台不久后(2008年3月),国务院信息化工作办公室不再保留,国家信息化领导小组的具体工作也由工信部承担。而在此次《征求意见稿》中,我们可以发现,国家网信部门成为了网络安全等级保护工作的统筹协调部门,而“协调”的重要性排序从《管理办法》的末位跃升至公安部门之前,紧随中央网络安全和信息化领导机构之后且与其同列第一款之中。从这一排序的微妙变化,我们可以推断在未来网络安全等级保护工作中,国家网信部门将具备更大的影响力。
3、在网络安全等级保护制度的支持保障方面,《征求意见稿》相较于《管理办法》作出了更为明确的规定。根据《征求意见稿》,各级人民政府应根据《网络安全等级保护条例》的要求,将网络安全等级保护制度实施纳入信息化工作总体规划,统筹推进;鼓励扶持网络安全等级保护重点工程和项目,支持网络安全等级保护技术的研究开发和应用,推广安全可信的网络产品和服务;将网络安全等级保护工作纳入绩效考核评价、社会治安综合治理考核等;加强网络安全等级保护制度的宣传教育,提升社会公众的网络安全防范意识。
重要变化三:保护对象的变化,以及实际监管范围的扩大
重要变化四:等级分类的界定有所调整
方便阅读,我们分别为等保1.0和等保2.0制作了等级分类的定级要素表格,从表格比对中可以清晰的看出等级分类的调整变化。
等保1.0的等级分类和定级要素:
等保2.0的等级分类和定级要素:(以《征求意见稿》为基础)
重要变化五:法律责任实质化,责任范围有所扩大,约谈制度写入条款
根据《管理办法》第四十条规定:“第三级以上信息系统运营、使用单位违反本办法规定,有下列行为之一的,由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正;逾期不改正的,给予警告,并向其上级主管部门通报情况,建议对其直接负责的主管人员和其他直接责任人员予以处理,并及时反馈处理结果:
(一)未按本办法规定备案、审批的;
(二)未按本办法规定落实安全管理制度、措施的;
(三)未按本办法规定开展系统安全状况检查的;
(四)未按本办法规定开展系统安全技术测评的;
(五)接到整改通知后,拒不整改的;
(六)未按本办法规定选择使用信息安全产品和测评机构的;
(七)未按本办法规定如实提供有关文件和证明材料的;
(八)违反保密管理规定的;
(九)违反密码管理规定的;
(十)违反本办法其他规定的。
从上述规定不难看出,在《网络安全法》尚未出台时,《管理办法》的法律责任条款几乎可以用“苍白无力”来形容,加之《管理办法》的效力位阶偏低,无法引起企业的重视。直到《网络安全法》生效后,这一局面才得到改观,原因是《网络安全法》第二十一条和第五十九条为公安部门的执法和行政处罚提供了法律依据,所以从2017年下半年开始,我们才看到了大量由公安部门针对未履行等保义务的网络运营者的行政执法和行政处罚案例,等保制度才开始引起企业的重视。
而《征求意见稿》以行政法规的效力位阶出现,同时法律责任条款部分大大增强。《征求意见稿》从“违反安全保护义务”、“违反技术维护要求”、“违反数据安全和个人信息保护要求”、“违反网络安全服务责任”、“违反执法协助义务”、“违反保密和密码管理责任”、“监管部门渎职责任”和“法律竞和处理”共八个方面对网络安全等级保护涉及的法律责任进行了详细规定。通过对比可以看出,在等保2.0体系下,网络安全等级保护法律责任实质化的同时,责任范围也有所扩大。
此外,《征求意见稿》也将目前政府部门广为采用的“约谈制度”写入条款,其第六十二条【网络安全约谈制度】规定:“省级以上人民政府公安部门、保密行政管理部门、密码管理部门在履行网络安全等级保护监督管理职责中,发现网络存在较大安全风险隐患或者发生安全事件的,可以约谈网络运营者的法定代表人、主要负责人及其行业主管部门。”
后记:
除了上述重要变化之外,《征求意见稿》对于网络安全等级保护的各项要求、工作流程、涉密网络、密码管理等方面做出了非常细致的规定。考虑到《网络安全等级保护条例》正式版较《征求意见稿》的内容还会有所变化,我们未做进一步的分析解读,读者可通过我们另行制作的“《网络安全等级保护条例(征求意见稿)》与《信息安全等级保护管理办法》的条款比对表”做更深入的了解。