就一宁波网络数据行政处罚案例谈在建中交付前的等级保护责任问题

等级保护前面，看到宁波网信公众号发布的文章，以《》为标题，做了转载。在宁波网信公众号关于这次处罚描述中，我们看到责任单位存在以下几项违法事实：未落实网络安全等级保护制度、未建立健全全流程数据安全管理制度、未采取有效的技术措施和其他必要措施保障数据安全、未在开展数据处理活动时加强数据安全缺陷、漏洞等风险监测等未履行数据安全保护义务的违法行为。

我们知道《网络安全法》明确了“国家实行网络安全等级保护制度”，《数据安全法》规定“应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务”。基于这个前提，我们简单探讨一下“在建中交付前”关于等级保护工作落实的一些责任问题。

我们回到等级保护工作的五个规定动作，定级、备案、建设整改、等级测评、监督检查。其中，前四个规定动作是作为网络运营者必须落实的合规义务，而第五个规定动作“监督检查”贯穿前四个规定动作。如图所示，我们简化了定级备案表示，不影响理解。

那么参考《等级保护实施指南》，我们再去看，又细分为等级保护对象定级与备案、总体安全规划、安全设计与实施、安全运行与维护和应急响应与保障、定级对象终止。

由图，可知网络安全等级保护制度对网络安全的要求，是网络或者信息系统安全的全生存周期的要求。那么，我们结合以前提到的2004年发布的66号文，关于开展等级保护原则看。等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督。四大原则：明确责任，共同保护；依照标准，自行保护；同步建设，动态调整；指导监督，重点保护。

也就是说，等级保护的“建设、管理、监督”都需要遵循四个原则去开展。那么结合《网络安全等级保护实施指南》我们看到，对原则做了些许调整，描述为：安全等级保护的核心是将等级保护对象划分等级,按标准进行建设、管理和监督。安全等级保护实施过程中应遵循以下基本原则:

自主保护原则

等级保护对象运营、使用单位及其主管部门按照国家相关法规和标准,自主确定等级保护对象的安全保护等级,自行组织实施安全保护。

重点保护原则

根据等级保护对象的重要程度、业务特点,通过划分不同安全保护等级的等级保护对象，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的等级保护对象。

同步建设原则

等级保护对象在新建、改建、扩建时应同步规划和设计安全方案，投入一定比例的资金建设网络安全设施，保障网络安全与信息化建设相适应。

动态调整原则

应跟踪定级对象的变化情况，调整安全保护措施。由于定级对象的应用类型、范围等条件的变化及其他原因，安全保护等级需要变更的,应根据等级保护的管理规范和技术标准的要求,重新确定定级对象的安全保护等级，根据其安全保护等级的调整情况,重新实施安全保护。

根据等级保护工作原则及《网络安全等级保护实施指南》，这里面引出三个主体，一是作为信息系统的运营、使用单位；二是网络安全服务机构；三是网络安全产品供应商。

作为信息系统的运营、使用单位就是案例中的这个化工企业需要：负责依照国家网络安全等级保护的管理规范和技术标准，确定其等级保护对象的安全保护等级，有主管部门的，应报其主管部门审核批准；根据已经确定的安全保护等级，到公安机关办理备案手线，按照国家网络安全等级保护管理规范和技术标准，进行等级保护对象安全保护的规划设计；使用符合国家有关规定，满足等级保护对象安全保护等级需求的信息技术产品和网络安全产品，开展安全建设或者改建工作；制定、落实各项安全管理制度，定期对等级保护对象的安全状况、安全保护制度及措施的落实情况进行自查，选择符合国家相关规定的等级测评机构,定期进行等级测评；制定不同等级网络安全事件的响应、处置预案，对网络安全事件分等级进行应急处置。

作为网络安全服务机构也就是案例中的服务机构需要：负责根据运营、使用单位的委托，依照国家网络安全等级保护的管理规范和技术标准，协助运营、使用单位完成等级保护的相关工作，包括确定其等级保护对象的安全保护等级、进行安全需求分析、安全总体规划、实施安全建设和安全改造、提供服务支撑平台等。

作为网络安全产品供应商需要：负责按照国家网络安全等级保护的管理规范和技术标准，开发符合等护相关要求的网络安全产品，接受安全测评；按照等级保护相关要求销售网络安全产品并提供相关服务。

在这里作为责任主体、直接责任主体信息系统的运营、使用单位需要按照有关法律法规及国家标准要求开展网络安全等级保护工作，其中涉及对网络安全服务机构出具的方案的可执行以及方案落实等方面的管控与监督等，发现问题及时纠正，也就是“动态调整”；而作为网络安全服务机构作为被委托方负责的是协助运营、使用单位完成等级保护的相关工作，所以承担工作以“委托协议”或者“合同”作为重要约束条件，承担对应的法律法规责任。产品供应商则对其提供的产品，是否满足等级保护要求负责，在此与网络安全服务机构一样，需要通过“合同”来履行对应责任义务。

同时，在网络安全等级保护工作中，还涉及主管部门、测评机构等。根据报道来看，信息系统还未到测评阶段，故与测评机构无关，测评机构在此过程中还未入场，无需承担任何责任，就算是已经入场，也无需承担责任；对于主管部门，是否履职尽责，做到了监管职责，这个在报道中未提及。

由于未落实等级保护制度，自然在数据安全方面也会存在众多违法违规情况。鉴于法律规定，该单位就算数据安全方面工作开展了，未发生数据被窃取事件，一样因为未按照等级保护制度要求全面开展网络安全工作，一样处于一个违法状态。那么，结合现在报道，我们看到前期应未开展定级、备案等工作，那么后期测评报告中自然存在许多失分项。而且很多资料是根据项目进度产生的，有时间的一维性。后期，再补充已经无实际意义，只是落一个“资料造假”罢了。

领导可以不关注过程，但是人人都不关注过程，就是不负责任的；领导不关心过程，但是也要为过程负责，在实施过程中一旦发生网络安全事件，轻则行政处罚，还有《党委（党组）网络安全工作责任制实施办法》以及法律法规追责，追主要责任和直接责任。好比买粮食的不需要考虑粮食咋生长出来的，但是种粮食的人就需要考虑浇水、施肥、除虫、收割、晾晒，去满足他的自然规律，切莫到时找收割机师傅要粮食产量！