网络安全的法治之盾：网络安全制度列举

网络安全制度的确立与完善对于维护国家安全、推动社会公共利益、保护个人信息安全、支持经济发展、促进法治化进程、提升全民网络安全意识、激发技术创新以及构建数字中国等方面发挥着至关重要的作用。它不仅为国家提供了防御网络攻击和犯罪的有效手段，确保了网络空间的主权和安全，还通过法律法规的制定和执行，保护了公民的个人信息不受侵犯，增强了公众对网络服务的信任。

    网络安全相关制度列举如下。

    《中华人民共和国计算机信息系统安全保护条例》（1994年国务院令第147号）第九条规定，计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法由公安部会同有关部门制定。1999年发布的GB 17859—1999《计算机信息系统安全保护等级划分准则》明确将信息系统的安全保护等级划分为五级。此后，由公安部和其他相关部门发布的《关于信息安全等级保护工作的实施意见》（公通字 [2004] 66号）、《信息安全等级保护管理办法》（公通字 [2007] 43号）、《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安 [2007] 861号）、《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安 [2009] 1429号）等一系列政策文件，对等级保护各项重点工作内容作出了规定。2017年正式实施的《网络安全法》第二十一条规定，国家实行网络安全等级保护制度，正式确立了网络安全等级保护制度成为网络安全的基本制度。

    按照《网络安全法》的要求，网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。国家网络安全等级保护坚持自主定级、自主保护的原则。网络和信息系统的安全保护等级应当根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

    网络安全等级保护工作主要包括定级、备案、建设整改、等级测评、监督检查五个环节。随着经济社会发展和技术进步，网络安全等级保护制度已进入2.0时代。网络安全等级保护制度2.0在网络安全等级保护制度1.0的基础上，实现了对新技术新应用安全保护对象和安全保护领域的全覆盖，更加突出技术思维和立体防范，注重全方位主动防御、动态防御、整体防护和精准防护，强化“一个中心，三重防护”的安全保护体系，把云计算、物联网、移动互联、工业控制系统、大数据等相关新技术新应用全部纳入保护范畴。

2．关键信息基础设施安全保护制度

    《网络安全法》第三十一条规定，国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。

《关键信息基础设施安全保护条例》第三条规定，在国家网信部门统筹协调下，国务院公安部门负责指导监督关键信息基础设施安全保护工作。国务院电信主管部门和其他有关部门依照《关键信息基础设施安全保护条例》和有关法律、行政法规的规定，在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。

    关键信息基础设施保护工作部门对本行业本领域关键信息基础设施负有安全保护责任。一是制定关键信息基础设施安全规划，明确保护目标、基本要求、工作任务、具体措施。二是建立健全网络安全监测预警制度，及时掌握关键信息基础设施运行状况、安全态势，预警通报网络安全威胁和隐患，指导做好安全防范工作。三是建立健全网络安全事件应急预案，定期组织应急演练。四是指导运营者做好网络安全事件应对处置，并根据需要组织提供技术支持与协助。五是定期组织开展网络安全检查检测，指导监督运营者及时整改安全隐患、完善安全措施。

    关键信息基础设施运营者应当在网络安全等级保护的基础上，采取技术保护措施和其他必要措施，应对网络安全事件，防范网络攻击和违法犯罪活动，保障关键信息基础设施安全稳定运行，维护数据的完整性、保密性和可用性。一是建立健全网络安全保护制度和责任制，实行“一把手负责制”，明确运营者主要负责人负总责，保障人、财、物投入。二是设置专门安全管理机构，履行安全保护职责，参与本单位与网络安全和信息化有关的决策，并对机构负责人和关键岗位人员进行安全背景审查。三是对关键信息基础设施每年进行网络安全检测和风险评估，及时整改问题并按要求向保护工作部门报送情况。四是关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时，按规定向保护工作部门、公安机关报告。五是优先采购安全可信的网络产品和服务，并与提供者签订安全保密协议；可能影响国家安全的，应当按规定通过安全审查。

3．数据安全保护制度

    近年来，随着互联网经济的蓬勃发展，国内外陆续出现了多起数据交易违规事件。《数据安全法》对从事数据交易中介服务机构的数据安全保护义务作出了明确规定，要求由数据提供方说明数据来源，中介服务机构应审核交易双方的身份，并留存审核、交易记录。从事数据交易中介服务的机构在进行个人数据的采集、共享、交易、转移等操作前应当明确告知用户，并经用户同意或取得其他合法授权。涉及特定个人权益的数据，应当禁止制作、复制、发布和传播，包括未经个人授权的可直接识别特定个人的身份数据、敏感数据和财产数据。应当确保在共享和流通过程中已经去除个人数据中可直接识别个人身份的标识，禁止在任何情况下擅自公开或向第三方提供带有可识别特定个人身份的个人数据。当然，即使是脱敏信息，也应当保障个人在数据流通过程中享有的选择、获取、更正、退出、删除等权利。

    围绕数据出境的数据安全保护义务，《数据安全法》也作出明确规定，要求关键信息基础设施运营者在境内运营中收集和产生的个人信息和重要数据应当在境内存储，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。

    针对数据安全保护工作，相关部门和重要行业也陆续部署实施了一系列重要行动。《电信和互联网行业提升网络数据安全保护能力专项行动方案》（工信厅网安 [2019] 42号）要求：一是通过集中开展数据安全合规性评估、专项治理和监督检查，督促基础电信企业和重点互联网企业强化网络数据安全全流程管理，及时整改消除重大数据泄露、滥用等安全隐患；二是基本建立行业网络数据安全保障体系，进一步完善网络数据安全制度标准体系，形成行业网络数据保护目录，制定15项以上行业网络数据安全标准规范，贯标试点企业不少于20家，基本建成行业网络数据安全管理和技术支撑平台，遴选网络数据安全技术能力创新示范项目不少于30个，有效建立基础电信企业和重点互联网企业网络数据安全管理体系。

    交通运输部印发的《交通运输领域新型基础设施建设行动方案（2021—2025年）》要求：严格落实等级保护制度，加强关键信息基础设施保护，强化态势感知能力建设，保障数据共享安全可控；建立健全数据安全保护制度，加强基础设施数据全生命周期管理和分级分类保护，落实数据容灾备份措施；推进商用密码技术应用。

4．个人信息保护制度

    网络安全制度的构建与优化是中国信息化发展战略的基石，它不仅构筑了国家网络空间安全的坚固防线，也是推动社会进步和经济发展的关键保障。网络安全制度是实现网络空间命运共同体愿景的实践路径，对于维护国家安全、促进社会和谐、保障公民权益、推动经济繁荣具有重大而深远的意义。