等保2.0来袭！重磅解读《网络安全等级保护条例（征求意见稿）》

2018年6月27日，公安部正式发布《网络安全等级保护条例（征求意见稿）》（以下称“《等保条例》”），标志着《网络安全法》（以下称“《网安法》”）第二十一条所确立的网络安全等级保护制度有了具体的实施依据与有力抓手。《等保条例》共八章七十三条，包括总则、支持与保障、网络的安全保护、涉密网络的安全保护、密码管理、监督管理、法律责任和附则。相较于2007年实施的《信息安全等级保护管理办法》（以下称“《等保办法》”）所确立的等级保护1.0体系，《等保条例》在国家支持、定级备案、密码管理等多个方面进行了更新与完善，适应了现阶段网络安全的新形势、新变化以及新技术、新应用发展的要求，标志着等级保护正式迈入2.0时代。

《等保条例》的具体规定

法律效力位阶

《等保办法》由公安部、国家保密局、国家密码管理局、国务院信息工作办公室共同发布，作为等保1.0体系的核心规定，其法律效力为部门规范性文件。另根据《等保办法》第一条规定，其制定依据为国务院行政法规《计算机信息系统安全保护条例》。

《等保条例》虽尚在征求意见稿阶段，根据《行政法规制定程序条例》第五条，行政法规的名称一般称“条例”，国务院各部门和地方人民政府制定的规章不得称“条例”，因此，《等保条例》应当属于行政法规范畴。此外，《等保条例》第一条规定了其制定依据为《网安法》与《保守国家秘密法》。

 综上可知，《等保办法》为依据行政法规制定的部门规范性文件，而《等保条例》则属于依据国家法律制定的行政法规，显然，无论是自身法律效力亦或法律依据的效力位阶，等保2.0均优于等保1.0。

等级保护的适用范围

对于适用范围，《等保条例》概括性地规定为适用于网络运营者在我国境内建设、运营、维护、使用网络，开展网络安全等级保护以及监督管理工作，而个人及家庭自建自用的网络除外，内容较为简略。今年1月19日，全国信息安全标准化技术委员会发布了《信息安全技术 网络安全等级保护定级指南（征求意见稿）》（以下称“《定级指南》”），为等保的具体适用提供了指引。

等保1.0体系中，《等保办法》在第十条明确提到信息系统运营、使用单位应当依据本办法和《信息系统安全等级保护定级指南》（以下称“《信息指南》”）确定信息系统的安全保护等级。因此，《定级指南》的出台很大程度上得益于《信息指南》的已有规定。

 相比《信息指南》将等级保护的对象笼统地定义为信息安全等级保护工作直接作用的具体的信息和信息系统[1]，《定级指南》细化了网络安全等级保护制度定级对象的具体范围，主要包括基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等多个系统平台[2]。另外，作为定级对象的网络还应当满足三个基本特征：第一，具有确定的主要安全责任主体；第二，承载相对独立的业务应用；第三，包含相互关联的多个资源[3]。

 根据《定级指南》，定级对象在满足上述基本特征后仍需遵循相关要求。对于电信网、广播电视传输网、互联网等基础信息网络，应分别依据服务类型、服务地域和安全责任主体等因素将其划分为不同的定级对象，而跨省业务专网既可以作为一个整体定级，也可根据区域划分为若干对象定级。对于工业控制系统，应将现场采集/执行、现场控制和过程控制等要素应作为一个整体对象定级，而生产管理要素可以单独定级。对于云计算平台，则应区分为服务提供方与租户方，各自分别作为定级对象。对于物联网，虽然其包括感知、网络传输和处理应用等多种特征因素，但仍应将以上要素作为一个整体的定级对象，各要素并不单独定级。采用移动互联技术的网络与物联网类似，应将移动终端、移动应用、无线网络等要素与相关有线网络业务系统作为整体对象定级。对于大数据，除安全责任主体相同的平台和应用可以整体定级外，应单独定级。

网络等级

《等保条例》继受了《等保办法》所确立的五级安全保护等级体系，但进一步强化了对公民、法人和其他组织合法权益的保护。《等保办法》并未在主文中规定当遭受破坏后会对公民、法人和其他组织合法权益产生特别严重损害的信息系统应当如何定级，《信息指南》仅在之后定级要素与安保等级关系的表格中显示上述信息系统应列为第二级[4]，而《等保条例》则进行了相应修改，当等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害时，相应系统应当定为第三级保护对象。具体等级划分请参照以下表格：

等保1.0体系下定级要素与安全保护等级的关系

等保2.0体系下定级要素与完全保护等级的关系

网络安全保护义务

《等保办法》第五条规定信息系统的运营、使用单位应当依照该办法及其相关标准规范履行信息安全等级保护的义务和责任，但并未明确对应的义务。作为《网安法》配套法规的《等保条例》则沿袭了《网安法》已有的规定，就网络运营者的一般和特殊安全保护义务、网络产品和服务采购、应急预案制定等进行了详细的规定。

 对于安全保护义务，除《网安法》第二十一条已经明确的内容外，一般网络运营者还应：一、建立安全管理和技术保护制度，建立人员管理、教育培训、系统安全建设、系统安全运维等制度；二、落实机房安全管理、设备和介质安全管理、网络安全管理等制度，制定操作规范和工作流程；三、在收集使用和处理个人信息时采取保护措施防止其泄露、损毁、篡改、窃取、丢失和滥用；四、落实违法信息发现、阻断、消除等措施，落实防范违法信息大量传播、违法犯罪证据灭失等措施；五、落实违法信息发现、阻断、消除等措施，防范违法信息大量传播和违法犯罪证据的灭失。第三级以上的网络运营者除上述义务外，还应当着重落实网络安全管理负责人、关键岗位技术人员的安全背景审查和持证上岗制度，同时定期开展等级测评制度。

 对于网络产品和服务采购，网络运营者应当采购、使用符合国家法律法规和有关标准规范要求的网络产品和服务，第三级以上网络运营者应当采用与其安全保护等级相适应的网络产品和服务，对重要部位使用的网络产品，还应当委托专业测评机构进行专项测试。2017年6月1日生效的《网络关键设备和网络安全专用产品目录（第一批）》与国家认监委等四部门于今年3月15日发布的《承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录（第一批）》对网络运营者使用的网络产品的要求进行了详细的规定，因此建议网络运营者在采购网络产品和服务要求供应商提供专业机构出具的安全认证或检测证书，以减少运营法律风险。

 对于应急预案的制定，第三级以上网络的运营者应当按照国家有关规定，制定网络安全应急预案，定期开展网络安全应急演练。除及时记录并留存事件数据信息，向公安机关和行业主管部门报告外，网络运营者还应当为重大网络安全事件处置和恢复提供支持和协助。根据工信部《公共互联网网络安全突发事件应急预案》，报告网络安全事件信息时，还应当说明事件发生时间、初步判定的影响范围和危害、已采取的应急处置措施和有关建议等。

结语

作为保障《网安法》所确立网络安全等级保护制度落地的重要配套法规之一，《等保条例》的出台使得网络运营者落实等保工作有了切实可行的依据。特别是在监督管理方面，《等保条例》第六十二条将目前各地网信部门广泛使用的约谈作为一项制度确立下来，公安和密保部门发现网络存在较大安全风险隐患或者发生安全事件的，可以约谈网络运营者的法定代表人、主要负责人及其行业主管部门。此外，《等保条例》也对网安等保制度中的个人信息保护、定级备案流程、涉密网络管理、网络密码保护等方面业做了较为详尽的规定。关于网络安全等级保护制度的详细解读，可参考我们《网安法》解读系列文章。

注释：

[1] 《信息安全技术 信息系统安全等级保护定级指南》3.1等级保护对象

[2] 《信息安全技术 网络安全等级保护定级指南（征求意见稿）》3.1等级保护对象

[3] 《信息安全技术 网络安全等级保护定级指南（征求意见稿）》5.1 a) b) c)

[4] 《信息安全技术 信息系统安全等级保护定级指南》4.3定级要素与等级的关系 表1 定级要素与安全保护等级的关系

本文仅为我们对相关法律法规的一般解读，不能作为正式法律意见和建议，如果您有特定的问题，请与观韬中茂律师事务所联系咨询事宜。

作者简介：吴丹君律师，观韬中茂上海办公室合伙人，首席数据官联盟专家组成员及法律顾问、深圳市大数据研究与应用协会法律专家。吴律师专注于互联网、数据信息领域的法律服务，包括网络安全、数据信息管理保护、隐私保护体系建设、数据公开等，为多家国有企业、跨国企业以及互联网大数据企业提供网络安全、数据合规法律服务。吴律师的执业领域为互联网|数据信息、兼并收购、外商直接投资、酒店等，曾多次就互联网法院、共享单车等互联网热点事件接受《中国青年报》《中国企业报》等媒体采访报道，其撰写的四十余篇数据合规专业法律文章被知名互联网媒体广泛转载。

作者简介：周天一律师助理，毕业于西南政法大学，法学学士。专注于数据信息领域的法律服务，执业领域为数据合规、公司业务、兼并收购、争议解决等。

吴丹君

合伙人

观韬中茂上海办公室

电话：（86-21）3135 9919 

传真：（86-21）3135 9929

电子邮箱：wudj@guantao.com

 周 天 一

律师助理

观韬中茂上海办公室

电话：（86-21）3135 9919 

传真：（86-21）3135 9929

电子邮箱：zhouty@guantao.com