网络安全等级保护制度实施效果分析

摘要：2017年《中华人民共和国网络安全法》出台之后，国家有关法律法规和文件中将“信息安全”调整为“网络安全”，将“信息安全等级保护制度”调整为“网络安全等级保护制度”。在国家网络安全领域，该制度即是一项基本政策和方法，也成为是一项法律制度，具有重要法律意义。本文通过分析该制度的实施成效及不足，提出及时出台配套规定、加强法律宣传、加大监督和执法力度，并结合地方实际情况创新法律实施理念，构建信息系统集约化管理机制和专项资金保障，使实施资源得到优化配置，节约实施成本，达到实施效果最大化。

关键词：等级保护；法律制度；实施研究

国家在网络安全领域一直通过等级保护制度来不断提升信息系统特别是关键信息基础设施的安全防护能力，该制度作为基本政策和方法在保障国家网络安全方面发挥着重要作用。2017年出台的《网络安全法》在第21条明确规定国家实行网络安全等级保护制度，这是国家以基本法律形式来确立网络安全等级保护制度。那么《网络安全法》实施以来，网络安全等级保护制度的实施效果如何？所谓法律实施是指将法律规定付诸实践，把文字的规定变为实际行动，是具体的实施主体实施法的行为。亚里士多德提出的法治论中，法律实施是其中重要的构成要素：“法治的含义包含制定出台良法，并且严格实施该法律”[1]199。要使一部法律的制定具有意义，只有将其实施在具体实际社会生活中，它的作用才会展现出来。指出：“如果有了法律而不实施、束之高阁，或者实施不力、做表面文章，那制定再多法律也无济于事”。《网络安全法》规定的网络安全等级保护制度也是这样的。本文将以湖北省宜昌市为例,对网络安全等级保护制度的贯彻落实情况进行实证调查,进一步阐明该制度的法律规定及其意义，分析该制度在实施过程中的成效及问题，在此基础上提出完善网络安全等级保护制度的建议。

一、网络安全等级保护制度的法律规定及其意义

我国第一次提出等级保护制度是在1994年，当年出台的《中华人民共和国计算机信息系统安全保护条例》（国务院令第147号）第9条规定“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。我国提出该制度从时间上要早于美国等国家正式提出关键信息基础设施保护制度（美国关键信息基础设施保护制度(CIIP)形成的标志是1996年7月15日的第13010号行政令和1998年第63号总统令(PDD63)《克林顿政府对关键基础设施保护的政策》）[2]。2007年国务院信息化工作办公室、公安部、国家密码管理局、国家保密局等四部门联合出台《信息安全等级保护管理办法》（公通字[2007]43号），要求在全国范围实施信息安全等级保护制度。一直以来，我国有关等级保护制度的法律法规和文件中通常采用“信息安全”这个关键词。《网络安全法》出台之后，国家有关法律法规和文件中将“信息安全”修改为“网络安全”，将原来使用的“信息安全等级保护制度”调整为“网络安全等级保护制度”。网络安全等级保护制度目的是确保网络安全，保护对象包含各网络运营者的专有网络数据及公开网络数据和存储、传输、处理这些数据的信息系统、云平台、物联网、工控系统等，要求是对这些保护对象分等级实行安全保护、对这些保护对象中使用的信息安全产品按等级实行管理、对这些保护对象中发生的网络安全事件分等级开展响应和处置。根据这些保护对象的重要程度等因素，保护等级由低到高分为第一级、第二级、第三级、第四级、第五级。网络安全等级保护制度有5个工作环节：定级、备案、等级测评、建设整改和监督检查，前4项工作由各网络运营者负责、监督检查由公安网安部门负责。网络安全等级保护制度是国家网络安全方面的基本政策和方略，是现行网络安全领域的一项重要法律制度，笔者认为其意义体现在：保障国家利益、社会利益、集体利益及公民个人利益，预防网络安全风险，拓宽实施对象维度，履行法律义务。（一）保障利益。随着信息化进程的全面加快，全社会对基础信息网络和重要信息系统的依赖程度越来越高，一旦信息系统发生安全故障，将严重影响其保障服务的顺利进行；如果遭遇网络入侵攻击，将导致系统数据或信息被窃取、被篡改，或系统不能正常运行。而信息系统的功能往往涉及国家利益、社会利益、集体利益及公民个人利益。从利益这一维度，国家通过实行网络安全等级保护制度来保障电子政务、水、电、交通、金融等关键信息基础设施的平稳运行，保障公民个人信息、资金等安全保管，保障国家利益、社会利益、集体利益及公民个人利益不受侵犯。（二）预防风险。网络安全等级保护制度的实施，首先是查找网络运营者的信息系统与国家法律规定、安全标准之间存在的差距，明确当前网络安全方面存在的风险和隐患，再有针对性地开展安全整改，消除风险和隐患，提升信息系统的安全防护能力，防止遭受各种网络攻击、发生网络安全事件。从安全风险这一维度，网络安全等级保护制度旨在消除信息系统安全隐患，提升安全防护能力，预防可能发生的网络安全风险，避免信息系统带病上线，将安全隐患消除在萌芽状态，防止出现无法挽回的严重后果。（三）体系发展。随着社会的发展,网络应用的外延在不断扩展,出现了云计算、大数据、物联网、工业控制系统等新领域,之前的等级保护制度已不能适应,因此《网络安全法》确定了网络安全等级保护制度。除传统的基础网络、信息系统外，网络安全等级保护制度把云平台、大数据、物联网、工控系统、互联网企业等纳入实施范畴中。从保护对象这一维度，网络安全等级保护制度是在不断发展，其保护体系将随着互联网的发展而发展丰富。（四）履行义务。网络安全等级保护制度是国家网络安全方面的基本法律要求，在工作实践中也将该制度是否实行作为衡量网络运营者网络安全工作好坏的一个重要标准。如果出现一些网络安全事件，比如某网站网页被篡改、用户敏感信息被泄露等，要查明相关网络运营者是否实施网络安全等级保护制度，若未落实，则会以不履行法律义务来评判该网络运营者的网络安全工作不到位。所以在网络安全方面，实施网络安全等级保护制度是网络运营者必须履行的首要法律义务。

二、网络安全等级保护制度的实施效果现状

雅维茨曾指出：“法的实现是法的存在、作用，是法执行主要社会职能的特殊方式。如果制定的法律规定不能在人们和他们的组织的活动中、在社会关系中得到实现的话，那法就什么也不是。”[3]170张文显也提出，良法的构成要件之一就是法律实施良好[4]22。古今中外的法学家分别从各个维度说明了法律实施的重要性，法的实施就是法的生命所在，就是达到制定法律目的和实现法律价值的必经之路。特别是中国特色社会主义法律体系建成后，法律实施比法律制定更重要，法律制定的意义、目的只有通过法律实施才能实现。在党的十八届四中全会上，对强化我国法律实施又提出明确要求，“法律的生命力和法律的权威都在于法律实施”。对于网络安全等级保护制度的实施效果问题，笔者以湖北省宜昌市为例，通过实地调研、获取实证数据、比较法、分析法等工作方法，发现《网络安全法》实施以来，湖北省宜昌市在网络安全等级保护制度的实施过程中取得了一定成效，同时也存在一些实施不足的问题。（一）取得的实施成效。一是以网络安全宣传周、网络安全专题培训、执法检查等活动为载体，采取讲座授课、新闻媒体、LED屏展示、资料发放、沟通交流等多种方式，对网络安全等级保护制度的法律规定、工作内容、工作方法等进行广泛宣传。目前，宜昌市及各县市区均成立领导机构，在不断落实网络安全等级保护制度。二是各部门积极想办法，争取市委市政府的重视，采取多种方式推动全市的网络安全等级保护工作。如市委将网络安全工作纳入全市社会治安综治治理考核的重要内容，每年由市公安局对各县市区、各个综治成员单位的网络安全等级保护工作进行考核；市公安局联合市卫计委等部门出台专门文件，明确要求本行业内的信息系统开展网络安全等级保护工作；市政府成立“宜昌市信息安全等级保护暨网络与信息安全信息通报协调小组”，对全市的等级保护工作提供协调保障。三是通过具体实施，目前全市已定级备案的信息系统有348个，其中二级288个、三级60个，开展等级测评和建设整改310次，全市的网络安全等级保护工作位列全省前列，有力推动宜昌市网络安全防护能力提升。（二）存在“四个不到位”的实施问题。一是定级备案不到位。部分网络运营者不知晓网络安全等级保护制度的法律要求，回避是否需要定级备案、如何开展定级备案等问题。这主要表现在全市的信息系统数量大于备案的348个，说明还有些网络运营者的信息系统没有开展定级备案工作；定级备案的流程有自主定级、专家评审、主管部门审批等，部分网络运营者有主管部门，但其定级备案的时候没有经过主管部门审批这个环节；提交备案的资料不全，部分网络运营者缺少网络拓补图、管理制度、网络安全产品销售许可证等资料；部分网络运营者的信息系统发生变更后没有及时重新备案。二是等级测评不到位。从已备案信息系统的数量分析，测评率未达到100%，与法律规定的要求差距很大。究其原因，有的网络运营者不愿意开展等级测评，有的是因为资金问题。按照法律规定，网络运营者应聘请具有资质的第三方等级测评机构对信息系统开展等级测评，这里必然涉及资金费用。有的网络运营者年度可使用的资金有限，其会将资金投入到人员工资、核心业务成本等方面来维持单位运转，很难投入资金开展等级测评；已备案信息系统中有85%涉及财政资金使用问题，有的网络运营者认为财政资金使用流程复杂，另外如果没有进行财政预算的就很难解决等级测评资金来源。还有的网络运营者是先测评再备案，其未完全遵循等级测评流程，应该是定级备案后再进行等级测评。三是安全整改不到位。安全整改流程未完全得到遵循，网络运营者应该是先开展等级测评，根据等级测评的结果有针对性制定安全整改方案，再按照方案要求开展安全整改，而有的网络运营者是先进行安全整改活动，然后开展等级测评；有的网络运营者未重视安全整改，只是出了问题后才添置网络安全设备，整改一部分，而不是系统的按照要求进行安全整改；安全整改也涉及资金费用，有的网络运营者制定整改方案的依据不是测评结果，而是依据可使用的资金数额。四是监督不到位。主要表现在：内部监督缺失，各级党委（党组）履行网络安全的主体责任，其主要负责人是网络安全的第一责任人，对网络安全等级保护制度的实施应履行监督责任，但少数网络运营者的主要负责人对于此项工作的不履行或者不到位情况没有及时督促整改到位；行业主管部门监督缺失，各个行业主管部门对本行业内、本系统内的网络安全工作负有主管责任，促使行业内各个单位实施网络安全等级保护制度，但宜昌市部分行业主管部门没有履行主管责任，对行业内网络安全等级保护制度的实施没有采取有效措施；外部监督缺失，各级公安机关网络安全保卫部门应通过执法手段来督促辖区内各网络运营者落实网络安全等级保护制度，但全市的网络安全执法工作只停留在检查上，各级公安机关网络安全保卫部门没有对不实施网络安全等级保护制度的违法行为实施查处，导致制度落实的外部监督力度缺失。

三、网络安全等级保护制度的实施对策

魏德士认为，法律实施的目标旨在实现实然效力和应然效力、道德效力的统一。他提出法的效力应分为三种：一是实然效力（“现实”效力），如果法律规范得到真正的遵守，那么法就存在；二是应然效力（“法律”效力），法律规范本身应当有效，因为它是由国家制定并实施的；三是道德效力（认可效力或确信效力或接受），它是指人们遵守法律的道德基础，如果法律规范是出于法律确信而被人们自愿遵守，那么它就具有道德效力。魏德士提出，努力实现这三种法的效力统一才是法律实施的理想目标[5]。实施不足导致的直接后果就是法律被弱化。具体到网络安全等级保护制度的实施不足，就会使该制度的成文规则遭到实施主体的冷处理或者有意规避，致使制度的法律规则被搁置，失去法律意义。如何确保网络安全等级保护制度得到有效实施、达到价值目标？笔者认为应从规则完善、主体守法、强化监督、行政处罚入手，并对信息系统实行集约化管理，使实施资源得到优化配置，节约实施成本，达到实施效果最大化。（一）完善网络安全等级保护制度的配套规定。《网络安全法》规定的网络安全等级保护制度没有配套的相关规则，在实务中，还是执行2007年《信息安全等级保护管理办法》的规定，难以及时覆盖一些新出现的社会领域。而且《网络安全法》关于该制度的规定具有一定的抽象性，未规定新形势下的定级备案、等级测评、建设整改、监督检查等具体环节，给实务操作带来影响。缺少配套规则且抽象的成文规则往往存在实施不足的问题。这就迫切需要国家及时出台配套网络安全等级保护条例和关键信息基础设施保护条例等相关规定，对如何开展定级备案、等级测评、建设整改、监督检查等环节进行具体规定。（二）实施主体自觉遵守网络安全等级保护制度的规定。随着“互联网+”、信息化、大数据的不断发展，网络已经成为国家各行各业、社会生产生活环境的重要构成，在带来许多机遇的同时，也面临着网络攻击、病毒入侵、系统瘫痪、信息泄露等新的挑战，因此网络安全等级保护工作任务也将越来越艰巨。在网络安全等级保护实施过程中，具体负责网络安全的信息科长很想推动该制度的实施，但在向单位领导汇报时就被搁置，因为领导没有意识到这项工作的重要性，没能引起领导的重视；也有些网络运营者的领导对该制度的落实也只停留在口头上。这说明有些网络安全等级保护制度的实施主体不愿意遵守国家法律法规的规定。法律实施在形式角度上，是需要实施主体的遵守或落实法律规范；在实质角度上，首先是实施主体内心接受、愿意遵守法律规范，再转化成其具体落实行为。主体是法律实施的核心。实施的核心问题是解决人们依法而为的动力机制问题[6]。笔者认为，应该加强网络安全等级保护制度的宣贯，特别是向各网络运营者的领导宣贯此项工作的重要性，让领导重视网络安全等级保护制度，并明白网络安全的主体责任。使实施主体意志与法律意志保持一致，这样才能确保各级领导和具体负责人从内心接受、愿意遵守，到行为上自觉落实网络安全等级保护制度。（三）加强对网络安全等级保护制度实施的监督。法律是公民集体意志的体现，具有某种程度的共识基础。因此，法律应全方位、持续性地得到实施。法律实施肯定要反对选择性执行，这就需要全面持续稳定开展监督活动。对网络安全等级保护制度的实施应实行多元化监督机制：一是内部监督，各网络运营者的主要领导要肩负起网络安全的主体责任，把网络安全等级保护制度的落实情况抓在手上，随时进行督办，确保制度的实施；二是行业主管监督，各行业主管部门要肩负网络安全的主管责任，督促本行业、本领域的网络运营者遵守法律规定，落实网络安全等级保护制度；三是机构监督，各级网络安全与信息化工作领导机构要充分发挥领导协调作用，督促本辖区的网络运营者落实网络安全等级保护制度。监督手段也要多元化的：一是威慑效应，对不实行网络安全等级保护制度的网络运营者在一定范围内进行通报，公示于众，以此来增强其守法，并对其他网络运营者起到威慑作用；二是辐射效应，在一定范围内集中精力推行网络安全等级保护制度，确实解决信息系统安全问题，通过这种正面影响来辐射到周边区域或同行，带动其他网络运营者实施网络安全等级保护制度；三是上级通知与法律兼容，在我国现有体制下，上级主管部门的通知能够对法律实施起到很大的促进作用，有的网络运营者经常会问“上级有没有通知要求”，因此主管部门根据法律要求下发通知，要求本区域、本行业的网络运营者实施网络安全等级保护制度，与法律规定同时发力。（四）对不履行网络安全等级保护制度的违法。行为实施行政处罚意大利法学家韦基奥曾提出，“哪里没有强制，哪里就没有法律”，从逻辑上来说法律和强制力是两个具有必然联系的概念[7]18。法律能够得到正常运行不是简单地靠人们的自律与大众的说教，在要求人们自觉遵守法律规范的同时，还必须以强制力作为法律实施的重要保障。在网络安全等级保护制度的法律实施过程中，必须要有国家强制力来保障，各级公安机关网络安全保卫部门应当加大执法检查力度，对不履行网络安全等级保护制度的违法行为依法进行行政处罚，通过行政强制手段来促使网络安全等级保护制度的实施。（五）对信息系统实行集约化管理。实施主体要达到合乎法律的行为标准往往也要承担一定的成本，而法律实施应遵从效益实施原则，即在实施过程中必须选择乃至创造成本更小、收益更大的实施途径、做法和方式，合理配置各项实施资源以最大程度提高收益，使法律实施净收益趋于最大化[6]。该原则目的在于降低实施主体的成本、提升实施主体的收益，要求努力建立和维系激励相容的法律实施机制，从而形成科学有效的实施动力。网络安全等级保护工作涉及网络安全、应用安全、数据安全、系统建设、系统运维等多方面，如果其中的某方面或几方面达不到标准要求，就是信息系统的安全隐患。而宜昌市有的网络运营者信息科长对本单位信息系统的安全状况很是担忧，要么系统建设不合格、要么运维跟不上去、要么安全管理力量配备不够等问题，但又要对存在安全隐患的信息系统进行坚守，所以感觉到安全压力大、责任大。全市很多网络运营者都建有自己的机房，但符合等级保护要求的不多，这样分散管理明显存在弊端。因此，建议构建集约化管理机制，即对全市的信息系统分块实行集约化管理，由各地政府设立网络安全管理中心，并成立专门的运维管理团队，负责对机房内的信息系统进行维护管理。除具有安全保护能力外各网络运营者将信息系统托管到该处进行集中安全管理。托管行为不改变各网络运营者的主体责任，只是在安全管理上实行集约化管理，由专门团队对信息系统的安全管理活动进行统一规划、统一设计、统一管理、统一实施，避免分散管理，节约管理成本，提高网络安全管理能力。同时构建专项资金保障机制，解决信息系统等级测评和建设整改中的资金费用问题。为了使网络安全等级保护制度得到很好的实施，各地政府对等级测评和建设整改工作进行统筹安排，每年设立专项网络安全资金，明确一个部门负责专项资金的管理，对由财政经费保障的信息系统按等级来统一确定等级测评资金标准，统一聘请有资质的等级测评机构、统一建设整改工作的实施把关、统一进行资金结算。这样就解决了由财政经费保障信息系统的等级测评和建设整改工作的资金来源、价格不统一等问题。

本文以网络安全等级保护制度的法律实施为主题进行研究，阐明该制度的法律要求及意义，并以湖北省宜昌市为视野指出了该制度的法律实施效果，指出法律实施不足是网络安全工作的最大隐患。为了确实将网络安全等级保护制度贯彻实施到位，不仅要及时出台配套规定、加强法律宣传、加大监督和执法力度，还要结合地方实际情况创新法律实施理念，构建信息系统集约化管理机制和专项资金保障，节约实施成本，实行法律效果和社会效果的统一。

作者:李新发 杨立凡 单位:1.三峡大学 2.市人民检察院