【网络安全】《网络犯罪防治法（征求意见稿）》对测评机构责任边界与工作合规的核心影响

《网络犯罪防治法（征求意见稿）》对测评机构责任边界与工作合规的核心影响

一、法律框架与责任边界

《网络犯罪防治法（征求意见稿）》的出台，标志着对网络安全等级保护测评机构的监管进入了新的阶段。该法草案将测评机构的核心业务活动——特别是网络漏洞扫描与渗透测试——直接置于网络犯罪防治的监管视野之下，构建了以行政许可为前置、以备案报备为过程义务、以严厉罚则为保障的全新法律框架，并清晰地划定了机构的合规红线与违法责任边界。

（一）全新的行政许可与授权框架：业务开展的前提

法案为测评机构的漏洞探测与渗透测试活动设立了分级、强制的行政许可或授权门槛，这是开展相关业务的法律起点。

• • 分级批准要求
  根据草案第二十五条，测评活动必须根据目标网络的安全等级获得相应层级的批准或授权：
• • 针对第三级（含）以上网络：必须获得省级以上网信部门或公安机关的批准，或获得行业主管部门或网络运营者的授权。
• • 针对第二级（含）以下网络：必须获得设区的市级以上网信部门或公安机关的批准，或获得行业主管部门、运营者的授权。
• • 统一的事前报告义务无论依据上述哪种合法途径开展活动，均须在活动实施五个工作日前向县级以上公安机关报告（法律、行政法规另有规定的除外）。此条款确立了 “批准/授权 + 事前报告”的双重程序性要求，显著加强了对高风险技术活动的过程监管。

（二）测评机构作为服务提供者的特定义务体系

除业务活动准入管制外，法案明确将测评机构界定为“以营利为目的提供漏洞探测、渗透性测试等服务的机构”及“网络安全产品、服务提供者”，并赋予其一系列特定义务：

• • 强制备案义务（第四十五条）：应向设区的市级以上公安机关备案。
• • 关键信息报备义务（第四十六条）：应向公安机关报备用于网络漏洞探测、渗透性测试的IP地址、域名等信息。
• • 授权核验与威胁报告义务（第四十六条）：若提供众测平台服务，应核验授权证明文件；应及时向公安机关、网信部门报告所发现的重大威胁情报和程序样本。

（三）明确且严厉的法律责任边界

违反上述框架与义务，将触发明确的法律责任。法案第六章“法律责任”为测评机构划定了清晰的违法边界与惩处尺度。

1. 1. 针对未履行特定义务的处罚（第六十条）

• • 责令改正，给予警告、通报批评，或处 5万元以上50万元以下罚款；
• • 情节严重的，处 50万元以上500万元以下罚款，并可责令暂停相关业务、停业整顿、关闭网站或吊销证照；
• • 对直接负责的主管和其他责任人员处 1万元以上20万元以下罚款。

• • 责令暂停业务、停业整顿、吊销证照，并处 违法所得一倍以上十倍以下罚款；
• • 没有违法所得或不足5万元的，处 50万元以下罚款；
• • 情节严重的，可由公安机关并处 15日以下拘留。

• • 民事责任：因过错导致他人被网络犯罪侵害造成损失的，依法承担民事责任（第六十三条）。
• • 公益诉讼：不履行网络犯罪防治义务，损害公共利益或众多个人权益的，可能面临人民检察院或有关组织提起的公益诉讼（第六十四条）。
• • 信用惩戒：相关行政处罚信息将依法记入信用档案（第六十二条）。
• • 刑事衔接：违法行为构成犯罪的，依法追究刑事责任。

（四）与传统等级保护法规的责任关系

《网络犯罪防治法（征求意见稿）》构建的责任体系，与《网络安全等级保护条例》等现有法规中关于测评机构的责任规定并存且形成互补。新法侧重于从“防治网络犯罪”角度对测评业务活动进行规制，特别强化了行政许可、过程备案、信息报备等程序性义务，并将违法责任与高额经济处罚、业务资格剥夺直接挂钩，实质上为测评机构增设了更为严格和具体的合规维度。机构在运营中需同时满足两部法律（法规）的复合性要求，责任边界因此被显著拓宽和压实。

二、规范授权流程要求

承接前述法律授权要求，测评机构必须将“取得有效授权”从法律文本落实到具体操作中，构建一套严谨、可追溯、全闭环的规范授权流程。该流程不仅是满足法律合规的底线，更是控制自身操作风险、保障测试活动安全有序的核心。

（一）构建多层级书面授权体系

在正式开展任何漏洞扫描或渗透测试活动前，必须通过系列法律文书构筑坚实的授权基础：

• • 基础授权：委托测评协议总纲性文件，明确工作目标、范围、人员、计划、责任等。
• • 法律约束：保密协议强制性文件，规定信息归属、引用与公开限制、违约责任等。
• • 操作许可：现场测评授权书直接授权依据，需在测试开始前签署，并应配合系统备份与应急预案。

（二）明确并遵循内外双重审批路径

授权不仅来自客户单位，还需遵循其内部管理制度，并接受行业主管部门监督：

• • 客户内部审批流程：测评活动应获得被测评单位内部相应主管部门或责任人的书面批准。
• • 方案专项评审与确认：详细测评方案需经双方技术评审并签字确认。
• • 行业主管部门监督：关键行业测评过程可能接受行业主管部门的同步监督检查。

（三）依照标准化步骤获取与执行授权

授权流程需按照等级保护测评的标准阶段分步实施：

（四）确保授权内容的明确性与可执行性

有效授权应具体、明确，协商内容通常包括：

• • 测试时间：避开业务高峰期；
• • 测试环境：优先选择模拟/仿真环境；
• • 网络接入点：明确接入位置与路径；
• • 人员与权限配合：明确配合人员及所需安全权限。

（五）严格遵循规范的操作流程执行测试

以漏洞扫描为例，规范操作流程包括：

• • 工具准备：使用合规工具，更新至最新漏洞库；
• • 策略优化：限制扫描强度、定制扫描插件与端口、谨慎使用暴力猜解；
• • 证据留存：规范填写测评记录，保管原始结果；
• • 现场还原：测试结束后立即清理临时数据并恢复环境。

三、漏洞发现后的报告与处置机制

基于前述授权与保密框架，测评机构在发现漏洞后，其报告与处置行为必须严格遵循法定流程，将技术发现转化为合规行动。

1. 报告义务：双轨制时限与责任分层

测评机构直接向服务委托方（网络运营者）报告，并明确自身与运营者的责任边界。

• • 向委托单位的直接报告义务：
• • 过程性报告：测试中定期或及时向系统管理员或管理部门报告进展与漏洞情况。
• • 最终正式报告：出具网络安全等级测评报告，客观描述安全问题、分析风险、提出整改建议。
• • 委托单位向监管部门的报告义务（运营者为法定义务主体）：

2. 紧急处置程序：以运营者为主体的应急响应

发现重大高危漏洞时，测评机构应作为技术发现者、信息通报者和应急支持者：

• • 立即通报与预警：向被测评单位正式技术通报漏洞详情、危害与紧急性。
• • 促使运营者启动应急预案：运营者应依据《网络安全法》等立即启动应急预案。
• • 支持采取技术措施：提供建议，协助实施临时缓解（隔离、关闭端口）或永久修复（打补丁、改配置）。
• • 保护现场与记录证据：协助保护日志、进程等信息以备溯源。
• • 整改验证：应要求进行复测，确认风险消除。

3. 信息通报机制：多层级协同的保密传递

漏洞信息流转遵循层级与保密纪律：

• • 对内通报路径：运营者 → 公安机关/行业主管部门 → 网信部门/上级机关。
• • 对外保密纪律：测评机构严禁非法使用或擅自向社会公众、非授权第三方披露漏洞细节，否则可能承担法律责任。

4. 报告格式规范：统一模板与结构化内容

• • 严格使用统一模板：依据最新版《网络安全等级测评报告模板》编制。
• • 内容结构化要求：
• • 问题汇总与风险分析：按“相关性、严重性、高发性”评估风险；
• • 详细记录附录：漏洞扫描结果、渗透测试记录置于专门附录；
• • 针对性整改建议：提出具体可落地的技术与管理措施。
• • 报告签署与归档：经内部评审并签字批准，形成完整证据链。

总结测评机构必须将技术发现无缝嵌入 “对内报告 → 支持应急 → 规范上报 → 严格保密” 的法律与合规流程中。任何环节的迟滞、疏漏或越界，均可能引发行政处罚、民事索赔乃至刑事追究的复合风险。