这两个战略开启了我国网络空间治理的全新范式,巩固和强化了网安法构建的由内而外、自上到下的原则和政策,为我国网络安全相关政策和配套法律的出台指明了方向,有助于继续深入推进网络主权保障、关键信息基础设施保护、个人信息保护、国家安全审查等方面的法律构建。
二、配套规定出台:有效衔接网安法构筑的制度和规则
网安法从运行安全、信息安全和事件应对三个维度立体化、全方位保护网络安全。相关部门正制定或出台相应的下位法与之配套,切实保障网安法的可操作性,避免流于表面化。
在网络运行安全方面,网络安全审查和关键信息基础设施保护制度是下位法制定的重点。网安法第35条规定应该对可能影响国家安全的关键信息基础设施的网络产品和服务进行国家安全审查,该条已在国家互联网信息办公室2017年5月2日发布的《网络产品和服务安全审查办法(试行)》中进行了具体规定,该规定是首个正式生效的网安法重要配套规定,并已于6月1日同步施行。该办法旨在提高网络产品和服务安全可控水平,防范供应链安全风险。根据该办法,关系国家安全和公共利益的信息系统使用的重要网络产品和服务以及关键信息基础设施运营者采购的网络产品和服务,可能影响国家安全的,都要经过网络安全审查;网络安全审查重点在于网络产品和服务的安全性、可控性。
信息安全等级保护制度是国家对基础信息网络和重要信息系统实施重点保护的关键措施。我国的信息安全等级保护工作初步实现了标准化、规范化,但是仍呈现体系不完善、重点不突出、保护效果不佳、保护对象不完整等问题。网安法第21条提出国家实行网络安全等级保护制度,第31条进一步要求关键信息基础设施要落实国家安全等级保护制度,突出保护重点,是深化信息安全等级保护制度、保护国家关键信息基础设施和大数据安全的迫切需要。为落实网安法第21条和第31条的规定,必须科学合理地推动网络安全等级保护制度的演进与变革,构建和完善等级保护2.0制度体系。