正文共2804个字,预计阅读需8分钟
11月21日,国家互联网信息办公室发布了《网络安全标识管理办法(征求意见稿)》,工业和信息化部也发布了此《征求意见稿》,该《征求意见稿》面向社会公开征求意见,意见反馈截止时间为12月6日。
《征求意见稿》借助分级分类标识机制,通过市场化引导机制,运用全链条监管机制,进一步提升具有联网功能这一产品的网络安全能力,以此保护消费者权益,进而维护网络安全以及公共利益。《征求意见稿》是我国系统性构建网络安全标识制度的规范性文件,它坚持“自愿参与、政府引导、市场主导”原则,把产品安全能力划分成基础级(一星)、增强级(二星)、领先级(三星)三个等级,借助“一码溯源”达成透明化管理,能为产业高质量发展以及网络安全保障供给新的一种制度工具。
主要亮点:三大创新构建科学治理体系
分级分类,精准匹配产品安全需求。《征求意见稿》第五条明确进行了规定,网络安全标识依据能力从低到高被划分成基础级、增强级、领先级这三个等级,每个等级对应着差异化的安全要求,其一,基础级(一星),需要满足国家标准的基本要求,像是不存在弱口令或者通用默认口令、构建漏洞管理机制、保持软件更新等等,这是产品安全的底线,其二,增强级(二星),要求达到国内先进水平,需要在基础级之上达成更完善的安全防护,比如数据加密、访问控制等,其三,领先级(三星),需要达到国际先进水平,并且通过渗透性测试验证能够具备抵御高级别攻击的能力,这是产品安全的标杆。与此同时,《征求意见稿》提出要采用产品目录管理模式,该模式下由网信办以及工信部分批公布实施目录,其中首批目录涵盖智能家居、智能终端等联网产品。按照《征求意见稿》第六条规定,标识内容必须包括生产者名称、规格型号、等级、有效期、检测机构、标准编号以及备案信息码。消费者通过扫码能够获取检测报告、关键指标等信息,以此达成“一码溯源”的透明化管理。
市场化协同,激发企业自主提升动力。《征求意见稿》提出要秉持自愿参与原则,借由市场机制促使企业自发提高自身安全能力,于检测环节,企业能够自行挑选自有实验室(需给出能力证明)或者第三方资质机构开展检测,领先级产品还得委托第三方实施渗透性测试,在备案环节,借助中国电子技术标准化研究院的备案平台在线提交材料,备案机构在10个工作日内完成形式审查并予以公告,在市场引导环节,激励消费者率先选用带标识产品,依靠市场需求迫使企业升级。这种模式,尊重企业自主权,其通过透明化的标识信息,让市场发挥资源配置作用,如此即可有效平衡安全与发展。
实施全链条监管,以此筑牢责任追溯的防线。《征求意见稿》构建起了全链条监管体系,该体系包括“事前备案—事中监督—事后追责”:其一为事前备案,要严格审核检测报告、符合性声明等相关材料,进而确保标识与产品能力保持一致。其二是事中监督,由网信办、工信部以及地方网信部门、通信管理局肩负日常监督检查的责任。第一,三是强调事后要进行职责追究,清晰明确出会被撤销备案的具体情形,就像《征求意见稿》第十四条所制定的规定那样,要是出现材料造假、标记不符合要求的状况,那么就会被撤销备案; 第二,第十五条规定表明,对于伪造标识的企业,将会被撤销备案,并且在 1 年内不会受理其提出的申请; 第三,第十六条规定指出,针对出具虚假报告的检测机构,在 1 年内不会采信其得出的结果。 另外,《征求意见稿》第十八条更是作出要求,在检测过程中间倘若发现存在漏洞,就需要依照《网络产品安全漏洞管理规定》去进行报告,以此达成漏洞的快速响应以及修复 。
面临问题:制度落地需破解三大挑战
制度衔接以及跨部门协同性存在着有待提升的状况。其一,和现有法规的衔接需要进一步细化。《征求意见稿》第二十条有着这样的规定,网络关键设备以及网络安全专用产品并不被列入目录,然而标识制度跟现有管理究竟怎样协同呢?举例来说,《征求意见稿》与2025年新修订的网络安全法第二十五条所规定的强制性认证该如何衔接呢?现有规定并未明确阐明,这样子有可能会造成监管出现重叠或者空白的情况。其二,跨部门协同机制有待明确。第四条规定,《征求意见稿》里讲,网络安全标识管理工作由网信办与工信部一同负责,要分批去制定并且公布那个《实施网络安全标识的产品目录》,得明确每类产品具体实施规则以及所依据的国家标准或者技术文件,可是基层网信部门跟通信管理局日常监管怎么分工呢?另外,第十三条提到了地方监督,然而却没把信息共享、联合执法流程细化,这可能会对监管效率造成影响。
标准体系跟检测能力适配方面有待提升,其一,实施规则要加快进行细化,《征求意见稿》第五条规定要针对每类产品的实施规则确定等级要求,然而首批目录的具体规则还没有发布,致使企业难以明确检测方向;其二,检测机构能力需要加以规范,领先级产品需要进行渗透性测试,可是《征求意见稿》没有明确具备该能力的机构资质标准,这可能致使检测结果权威性不足;其三,国际标准衔接需要强化。《征求意见稿》第五条提及借鉴别的国家以及地区经验,然而怎样把国际先进标准融合进我国等级要求方面,还不存在具体路径。
实施保障机制的落地性有待进一步强化,其一,备案平台的功能需要加以完善,《征求意见稿》第八条提及了备案平台,然而却并未清晰明确其是否具备异议处理以及实时查询等功能,倘若企业对于备案结果存在异议,那么就会缺乏快速反馈的渠道;其二,基层执法能力需要予以提升,基层网信以及通信管理局欠缺专业的检测工具,类似识别伪造标识的技术手段,以至于难以有效地开展监督工作;其三,公众参与渠道需要进行拓宽 。《征求意见稿》第十七条讲了举报机制,然而却没有构建奖励制度,这样很难去激发公众参与的积极性,对于消费者的标识认知教育同样没有提到,这有可能会影响市场引导的效果。
完善建议:推动制度从“框架”到“落地”
切实做到强化制度相互衔接以及跨部门之间协同,首先,于《征求意见稿》附则里增添衔接方面的条款,清晰界定网络关键设备跟专用产品的标识管理例外规则,创立与现有强制性认证的互认机制,而后,构建网信、工信、市场监管等多部门联合监管机理,详细划分地方网信部门和通信管理局的分工以及合作模式,像是定期开展联合检查、进行信息共享等,以此提高监管协同效率。
加紧推进标准体系以及检测能力方面的建设,其一,要以尽快的速度推出首批产品的实施规则,清晰明确各等级所具有的具体技术指标,像是在领先级渗透性测试当中的具体方式方法。其二,要对检测机构资质实施规范运作,构建起渗透性测试机构的认证清单内容,以此来保障检测结果具备权威性。其三,要创建标准动态更新体制机制,按照定期的要求去评估国际标准发展趋向形势,把先进技术要求融入到我国等级标准里面。
提升施行保障以及公众参与效能,其一,完善备案平台功能,增添异议处置模块。比如说,明确企业能够在线提交申诉,提供实时查询该项功能,而且消费者可以查询标识的有效性。其二,加强基层执法能力水平,给地方部门配备扫码验证使用工具,组织进行专业培训。其三,构建举报奖励制度体系,像是给予举报人同罚款金额相应比例的奖励。开展“网络安全标识”这方面的宣传活动,动用图解、漫画、短剧、讲座等等方式来普及标识所具备的意义性情况,提升公众的认知程度以及参与程度。
《征求意见稿》是我国网络安全领域关键的制度创新,它给产品安全能力的识别以及提升,提供了清晰的路径 。它凭借细化制度衔接、加速标准建设、强化实施保障,有希望变成推动产业高质量发展、保障网络安全的重要手段。期望社会各界踊跃建言献策,一同完善这一制度 ,把网络安全标识切实转化为消费者放心的“安全盾牌”,身为企业竞争的“质量名片” 。
(作者单位:中国人民公安大学法学院/数据法学研究院)