文/原浩

一、网络安全等级保护制度的法规一环

《网络安全法》明确以网络安全等级保护制度作为维护网络与数据安全的基础制度。2019年底,《信息安全技术 网络安全等级保护基本要求》(GB/T22239—2019)作为配套标准正式实施,但用以衔接法律与标准的中间层——《网络安全等级保护条例》在经历2018年的一次公开征求意见后,尚处于预备制定状态。

随着《网络安全法》《数据安全法》和其他配套制度的日益建立完善,以及网络安全等级保护制度体系在行业和地方的深入开展,《网络安全等级保护条例》如无与时俱进的适应性的规划,势必对制定的必要性、条款因应的周延性等形成挑战。

二、网络与数据安全监管机制的协调与协同

《网络安全法》《数据安全法》《个人信息保护法》等建立的网信、公安、工信协调分工机制,在国家数据局设立后面临进一步的权责明确和重构。

随着网络与数据安全的基础法律制度逐步制定、实施,上述相关机构进行了多年执法实践,在“认领”和“竞争”中逐渐理清和打磨出了一些边界,但在涉及数字政府等行政机关时仍然存在所谓职责真空或无法触及的问题,典型的如以“处分”为实现形式的法律责任可能产生责任“逃逸”和无法统一监管秩序的问题,以及在职能授权、多层委托、共同委托、行政协议等具体实际中如何界定和区分网络(数据)安全保护义务与责任等等。“国家数据管理部门在具体承担数据管理工作中履行相应的网络数据安全职责”如何实现、与其他监管机构的权利挤兑、可信数据空间中的职责安排等等都亟待顶层规划和能力传导。

三、关键信息基础设施与重要数据关系

《网络安全法》《关键信息基础设施安全保护条例》等确立了重要性原则上的关键信息基础设施保护制度,《数据安全法》《网络数据安全管理条例》构建了重要数据的安全保护体系,两者在制度设计上分别指向设施设备安全和数据信息安全,但又在运维中作为载体与内容构成密不可分的统一整体。

未来如何理解诸如“关键信息基础设施中运行的并非都是重要数据,非关键信息基础设施中的重要数据如何识别和保护”问题,可能是行业、领域和地方识别重要数据困惑的症结所在,涉及工作秘密、数据跨境等规则的连锁反应,OECD将此两类合并为“重要活动”,是否妥当,是否有更好机制,需要持续更新认识和弹性立法技术。

四、网络安全信息共享的效能发掘

《网络安全法》提出网络安全信息共享理念和制度建设愿景,一些国家,如美国2015年的《网络安全信息共享法》(CISA)》也已经运转多年。但实务中可能会简单化为安全漏洞的通报、安全事件报告和发布,且在范围、时间、影响上存在大量争议,网络和数据安全信息未能发挥其预警、预判、风险分担和最小化等功效。

网络安全信息共享的设计有其充分的法理分析和经济学理论支持,共享形式上不仅仅体现为信息、数据的单向流动,内容上也已经不局限于漏洞、计算机病毒、网络攻击、网络侵入等“原始”网络安全信息。网络安全信息共享的内涵尚未充分挖掘,以漏洞和事件管理两头为抓手的制度建设,以及贯穿始终的网络安全从业人员的定性等技术问题也远未完成。

五、数据分类分级的定性

从《网络安全法》提出“数据分类”作为一项措施,到《数据安全法》将数据分类分级作为一项完整的基础性制度,对数据分类分级的认识实现了重大更新。在《数据安全法》下,数据分类分级保护是一项基本制度和目录化呈现,用以实现对数据资产的识别,和基于重要性原则的管理和保护。

这一认识更新意味着所有的安全技术措施和管理制度都需要基于完成数据分类分级的前置动作后方能进行。未进行数据分类分级,任何的安全技术措施和管理制度都可能只是空洞形式,而没有具体指向。进一步而言,数据分类分级也是数据资产管理和后续资产入表的必须动作。建立和完善相对成熟的数据分类分级制度,将在安全和发展的辩证关系上发挥基础性价值。

六、在网络安全等级保护制度下内生其他评估制度

《信息安全技术 网络安全等级保护基本要求》(GB/T22239—2019,及其前身2008年《信息安全技术 信息系统安全等级保护基本要求》)与其他同时期的安全标准类似,采用了“通用+扩展”和“一到五级”的架构,本质上是安全标准的分类分级,这一弹性设计意味着可以将后续的包括密码应用安全性评估(“密评”)、关键信息基础设施安全检测评估、重要数据安全年度风险评估等制度纳入其中,实现基于监管对象量身订造的度量和评价。

显然,这一目标的实现不仅要求《网络安全等级保护条例》整体谋划,也意味着现有相对固定并已经趋于复杂化的相关标准的根本性调整。

七、供应链安全认知与条款激活

将包含有数字要素的产品、服务作为监管对象,实现对相关上下游主体的供应链安全监管是近年来全球网络与数据监管的一大特点。以《网络弹性法案》为例,欧盟围绕产品和服务的市场监管颇有心得。《关键信息基础设施安全保护条例》注意到了这一趋势,并通过网络安全审查的方式做出回应,《网络数据安全管理条例》更是敏锐地发掘了不同主体的供应链安全权利和义务。但总体上,这些条款规定仍相对零散,远未实现对供应链安全风险的包容——部分原因在于供应链关系的绵长,以及对任一单点供应链风险认识的不足,同时也没有通过最直接、最有效的合同方式进行供应关系的权责分配。更重要的是,由于缺乏调动上下文形成可进行供应链角度审视的体系,因而无法实现对安全事件主体的准确穿透、溯源和追责。

以《网络数据安全管理条例》实施为契机,区分不同主体的上下游供应链关系,制定和推广供应链安全条款,并在政府采购合同等中进行适度的强制性设定和穿透(如检查、审计条款),应是未来激活沉睡法条,与形成基于主体的节点化监管和基于供应链的持续性监管相辅相成的目标方向。

八、选择性法律适用的对齐与取舍

《网络安全法》修正试图“有机衔接”并解决与《个人信息保护法》《数据安全法》等的对齐问题,但如果完全整齐划一则意味着立法资源的重复,也会加剧不同监管机构的竞争性执法。本质上这是监管机构职责分工在法律适用和法律责任中的冲突体现,未来在《治安管理处罚法》修订后可能进一步加剧。但另一方面,对执法机构和法律责任设计上的适当“冗余”也并非绝对不可行。新近的执法案例表明,不同执法机构基于相同或不同法律法规,可以有不同的执法理念和量化考虑,并体现了不同的执法效果——有些效果可能是意想不到的,有些则是刻意和必要的。

另外,《个人信息保护法》第五十条“个人信息处理者拒绝个人行使权利的请求的,个人可以依法向人民法院提起诉讼”仍然存在不同法院的不同理解,地域差异影响同案同判的一致性。联合国《打击网络犯罪公约》对缔约国转移个人数据提出了制度期待,对国家监察委员会、法院、检察院、外交部、公安部、国家安全部、司法部的跨部门解释与协同意味着额外挑战。

九、安全法与行政法的关系

除了法理上和部门法上对安全法与行政法等之间的关系需要更为深刻和持续的观察讨论外,网络与数据安全法最为直接的行政法问题是《网络安全法》实施后的各种可诉性,以及依据《网络安全法》《数据安全法》的行政复议和诉讼问题——本文不再展开。

十、安全法适用于新技术、新应用

在2025年国务院立法计划将“人工智能法”调整为“推进人工智能健康发展立法工作”的背景下,如何解释现有法律和最大化效用,以适配人工智能等新技术、新应用的发展,是面向技术未来的安全法需要勇于迎接的最大问题。《生成式人工智能服务管理暂行办法》是局限于生成式模型的暂行性规定;《人工智能安全治理框架2.0》、《生成式人工智能服务安全应急响应指南》等体现了应对人工智能风险的努力,但其上位无法对位《网络安全法》《数据安全法》,导致指引有余、规范不足;《人工智能生成合成内容标识办法》的科学性、可用性则面临技术发展的挑战。

更为紧迫的是,人工智能并非安全法所需要面对的唯一问题,稳定币作为兼具金融和技术属性的新应用、增强现实(AR/VR)、具身智能等快速迭代的新技术势必要求安全法在不断挖掘自身价值的同时,寻求与伦理、社会、心理等学科的深度交叉和复合演进,而这也将深刻影响和改变安全法的面貌,冲击当前网络与数据安全的两分法体系。

面对网络与数据安全法律的诸多问题,2025年9月人大常委会再次对《网络安全法(修正草案)》征求公众意见,体现出法治革新的敏锐感和紧迫性,也需要社会各界破除桎梏禁忌、持续贡献智慧。修正后的《网络安全法》于2025年10月28日通过,并将于2026年1月1日正式施行。中国信息安全法律大会专家委员会拟于2025年11月27-28日在京召开第十五届年度盛会,就网络与数据安全议题展开全方位研讨。

*文章所涉观点内容谨代表作者本人

声明:本文来自苏州信息安全法学所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。