《网络安全等级保护条例》迎新进展！

2025 年 5 月 14 日，国务院将《网络安全等级保护条例》纳入立法预备清单，标志着我国网络安全法律体系建设进入新阶段。这一进展距离 2018年6月27日，公安部发布《网络安全等级保护条例（征求意见稿）》已近 7 年，反映了我国网络安全治理在法治化、体系化方向上的深化。以下从立法背景、制度升级、实践意义等方面展开分析：

一、立法背景与历史进程

1.制度溯源

网络安全等级保护制度自 1994 年《计算机信息系统安全保护条例》提出雏形，历经 2007 年《信息安全等级保护管理办法》确立框架、2017 年《网络安全法》将其上升为国家基本制度，逐步形成 “分等级保护、分等级监管” 的体系。2019 年等保 2.0 标准发布后，保护范围扩展至云计算、物联网、工业控制系统等新技术领域，并引入 “一个中心、三重防护” 的主动防御理念。

2.从政策到立法的演进

2018 年公安部发布的征求意见稿首次以行政法规形式系统整合等级保护制度，但受限于技术发展和治理需求变化，未正式出台。此次国务院将其纳入立法计划，既是对原有制度的法治化固化，也是应对当前网络安全威胁复杂化的必然选择。例如，2024 年网络安全等级保护工作会议强调 “实战化、体系化、常态化” 要求，需通过立法明确动态防护、可信计算等技术标准。

二、制度升级与核心内容

1.法律层级提升与体系完善

此前等级保护制度主要依赖部门规章和标准规范，缺乏高位阶法律支撑。条例的制定将填补这一空白，与《网络安全法》《数据安全法》《个人信息保护法》形成互补，构建 “基础法律 + 行政法规 + 标准规范” 的立体化体系。例如，《网络数据安全管理条例》（2024 年）已对数据分类分级、跨境流动等作出细化规定，条例的出台将进一步明确等级保护与数据安全的协同机制。

2.责任义务的细化与强化

运营者主体责任：明确网络运营者在定级备案、安全建设、等级测评等环节的具体义务，如第三级以上网络需每年开展测评并提交报告，关键信息基础设施运营者需落实供应链安全管理。

监管部门职责：厘清公安、网信、行业主管部门的分工，建立跨部门协同机制。例如，公安机关负责备案审核和监督检查，行业主管部门需制定行业定级指南并组织风险评估。

法律责任：参考《网络安全法》修订方向，可能引入 “情节特别严重” 的处罚层级，对拒不整改的企业处以高额罚款或从业禁止，强化执法威慑力。

3.技术要求的动态化与适应性

覆盖新技术场景：针对云计算、人工智能等新兴领域，可能新增动态防护、零信任架构等要求，解决传统静态防护的局限性。

密码与可信计算：强调密码技术在等级保护中的核心作用，要求第三级以上网络同步开展密码应用安全性评估，推动可信验证机制落地。

数据安全衔接：与《数据安全法》联动，将重要数据保护纳入等级保护框架，要求运营者建立数据分类分级制度并实施风险评估。

三、实践意义与社会影响

1.合规要求的全面升级

企业影响：企业需重新评估现有网络架构，特别是关键信息基础设施运营者，需加强供应链安全管理和数据跨境流动合规性。例如，广州等地已将等级测评费用纳入政务信息化项目预算，未落实测评的项目不予立项。

行业规范：金融、能源等重点行业需根据条例细化行业标准，推动安全防护从 “合规驱动” 向 “风险驱动” 转型。