網(wǎng)絡(luò)安全等級保護(hù)制度實施效果研究

李新發(fā) 楊立凡

摘 要：2017年《中華人民共和國網(wǎng)絡(luò)安全法》出臺之后，國家有關(guān)法律法規(guī)和文件中將“信息安全”調(diào)整為“網(wǎng)絡(luò)安全”，將“信息安全等級保護(hù)制度”調(diào)整為“網(wǎng)絡(luò)安全等級保護(hù)制度”。在國家網(wǎng)絡(luò)安全領(lǐng)域，該制度即是一項基本政策和方法，也成為是一項法律制度，具有重要法律意義。本文通過分析該制度的實施成效及不足，提出及時出臺配套規(guī)定、加強法律宣傳、加大監(jiān)督和執(zhí)法力度，并結(jié)合地方實際情況創(chuàng)新法律實施理念，構(gòu)建信息系統(tǒng)集約化管理機制和專項資金保障，使實施資源得到優(yōu)化配置，節(jié)約實施成本，達(dá)到實施效果最大化。

關(guān)鍵詞：等級保護(hù)；法律制度；實施研究

中圖分類號：DF3 文獻(xiàn)標(biāo)識碼：A 文章編號：1003-1332（2020）04-0100-05

國家在網(wǎng)絡(luò)安全領(lǐng)域一直通過等級保護(hù)制度來不斷提升信息系統(tǒng)特別是關(guān)鍵信息基礎(chǔ)設(shè)施的安全防護(hù)能力，該制度作為基本政策和方法在保障國家網(wǎng)絡(luò)安全方面發(fā)揮著重要作用。2017年出臺的《網(wǎng)絡(luò)安全法》在第21條明確規(guī)定國家實行網(wǎng)絡(luò)安全等級保護(hù)制度，這是國家以基本法律形式來確立網(wǎng)絡(luò)安全等級保護(hù)制度。那么《網(wǎng)絡(luò)安全法》實施以來，網(wǎng)絡(luò)安全等級保護(hù)制度的實施效果如何？所謂法律實施是指將法律規(guī)定付諸實踐，把文字的規(guī)定變?yōu)閷嶋H行動，是具體的實施主體實施法的行為。亞里士多德提出的法治論中，法律實施是其中重要的構(gòu)成要素：“法治的含義包含制定出臺良法，并且嚴(yán)格實施該法律”[1]199。要使一部法律的制定具有意義，只有將其實施在具體實際社會生活中，它的作用才會展現(xiàn)出來。習(xí)近平總書記指出：“如果有了法律而不實施、束之高閣，或者實施不力、做表面文章，那制定再多法律也無濟于事”?！毒W(wǎng)絡(luò)安全法》規(guī)定的網(wǎng)絡(luò)安全等級保護(hù)制度也是這樣的。本文將以湖北省宜昌市為例，對網(wǎng)絡(luò)安全等級保護(hù)制度的貫徹落實情況進(jìn)行實證調(diào)查， 進(jìn)一步闡明該制度的法律規(guī)定及其意義，分析該制度在實施過程中的成效及問題，在此基礎(chǔ)上提出完善網(wǎng)絡(luò)安全等級保護(hù)制度的建議。

一、網(wǎng)絡(luò)安全等級保護(hù)制度的法律規(guī)定及其意義

我國第一次提出等級保護(hù)制度是在1994年，當(dāng)年出臺的《中華人民共和國計算機信息系統(tǒng)安全保護(hù)條例》（國務(wù)院令第147號）第9條規(guī)定“計算機信息系統(tǒng)實行安全等級保護(hù)，安全等級的劃分標(biāo)準(zhǔn)和安全等級保護(hù)的具體辦法，由公安部會同有關(guān)部門制定”。我國提出該制度從時間上要早于美國等國家正式提出關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度（美國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度（CIIP）形成的標(biāo)志是1996年7月15日發(fā)布的第13010號行政令和1998年第63號總統(tǒng)令（PDD63）《克林頓政府對關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的政策》）[2]。2007年國務(wù)院信息化工作辦公室、公安部、國家密碼管理局、國家保密局等四部門聯(lián)合出臺《信息安全等級保護(hù)管理辦法》（公通字[2007]43號），要求在全國范圍實施信息安全等級保護(hù)制度。一直以來，我國有關(guān)等級保護(hù)制度的法律法規(guī)和文件中通常采用“信息安全”這個關(guān)鍵詞?！毒W(wǎng)絡(luò)安全法》出臺之后，國家有關(guān)法律法規(guī)和文件中將“信息安全”修改為“網(wǎng)絡(luò)安全”，將原來使用的“信息安全等級保護(hù)制度”調(diào)整為“網(wǎng)絡(luò)安全等級保護(hù)制度”。

網(wǎng)絡(luò)安全等級保護(hù)制度目的是確保網(wǎng)絡(luò)安全，保護(hù)對象包含各網(wǎng)絡(luò)運營者的專有網(wǎng)絡(luò)數(shù)據(jù)及公開網(wǎng)絡(luò)數(shù)據(jù)和存儲、傳輸、處理這些數(shù)據(jù)的信息系統(tǒng)、云平臺、物聯(lián)網(wǎng)、工控系統(tǒng)等，要求是對這些保護(hù)對象分等級實行安全保護(hù)、對這些保護(hù)對象中使用的信息安全產(chǎn)品按等級實行管理、對這些保護(hù)對象中發(fā)生的網(wǎng)絡(luò)安全事件分等級開展響應(yīng)和處置。根據(jù)這些保護(hù)對象的重要程度等因素，保護(hù)等級由低到高分為第一級、第二級、第三級、第四級、第五級。網(wǎng)絡(luò)安全等級保護(hù)制度有5個工作環(huán)節(jié)：定級、備案、等級測評、建設(shè)整改和監(jiān)督檢查，前4項工作由各網(wǎng)絡(luò)運營者負(fù)責(zé)、監(jiān)督檢查由公安網(wǎng)安部門負(fù)責(zé)。

網(wǎng)絡(luò)安全等級保護(hù)制度是國家網(wǎng)絡(luò)安全方面的基本政策和方略，是現(xiàn)行網(wǎng)絡(luò)安全領(lǐng)域的一項重要法律制度，筆者認(rèn)為其意義體現(xiàn)在：保障國家利益、社會利益、集體利益及公民個人利益，預(yù)防網(wǎng)絡(luò)安全風(fēng)險，拓寬實施對象維度，履行法律義務(wù)。

（一）保障利益

隨著信息化進(jìn)程的全面加快，全社會對基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的依賴程度越來越高，一旦信息系統(tǒng)發(fā)生安全故障，將嚴(yán)重影響其保障服務(wù)的順利進(jìn)行；如果遭遇網(wǎng)絡(luò)入侵攻擊，將導(dǎo)致系統(tǒng)數(shù)據(jù)或信息被竊取、被篡改，或系統(tǒng)不能正常運行。而信息系統(tǒng)的功能往往涉及國家利益、社會利益、集體利益及公民個人利益。從利益這一維度，國家通過實行網(wǎng)絡(luò)安全等級保護(hù)制度來保障電子政務(wù)、水、電、交通、金融等關(guān)鍵信息基礎(chǔ)設(shè)施的平穩(wěn)運行，保障公民個人信息、資金等安全保管，保障國家利益、社會利益、集體利益及公民個人利益不受侵犯。

（二）預(yù)防風(fēng)險

網(wǎng)絡(luò)安全等級保護(hù)制度的實施，首先是查找網(wǎng)絡(luò)運營者的信息系統(tǒng)與國家法律規(guī)定、安全標(biāo)準(zhǔn)之間存在的差距，明確當(dāng)前網(wǎng)絡(luò)安全方面存在的風(fēng)險和隱患，再有針對性地開展安全整改，消除風(fēng)險和隱患，提升信息系統(tǒng)的安全防護(hù)能力，防止遭受各種網(wǎng)絡(luò)攻擊、發(fā)生網(wǎng)絡(luò)安全事件。從安全風(fēng)險這一維度，網(wǎng)絡(luò)安全等級保護(hù)制度旨在消除信息系統(tǒng)安全隱患，提升安全防護(hù)能力，預(yù)防可能發(fā)生的網(wǎng)絡(luò)安全風(fēng)險，避免信息系統(tǒng)帶病上線，將安全隱患消除在萌芽狀態(tài)，防止出現(xiàn)無法挽回的嚴(yán)重后果。

（三）體系發(fā)展

隨著社會的發(fā)展， 網(wǎng)絡(luò)應(yīng)用的外延在不斷擴展， 出現(xiàn)了云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等新領(lǐng)域， 之前的等級保護(hù)制度已不能適應(yīng)，因此《網(wǎng)絡(luò)安全法》確定了網(wǎng)絡(luò)安全等級保護(hù)制度。除傳統(tǒng)的基礎(chǔ)網(wǎng)絡(luò)、信息系統(tǒng)外，網(wǎng)絡(luò)安全等級保護(hù)制度把云平臺、大數(shù)據(jù)、物聯(lián)網(wǎng)、工控系統(tǒng)、互聯(lián)網(wǎng)企業(yè)等納入實施范疇中。從保護(hù)對象這一維度，網(wǎng)絡(luò)安全等級保護(hù)制度是在不斷發(fā)展，其保護(hù)體系將隨著互聯(lián)網(wǎng)的發(fā)展而發(fā)展豐富。

（四）履行義務(wù)

網(wǎng)絡(luò)安全等級保護(hù)制度是國家網(wǎng)絡(luò)安全方面的基本法律要求，在工作實踐中也將該制度是否實行作為衡量網(wǎng)絡(luò)運營者網(wǎng)絡(luò)安全工作好壞的一個重要標(biāo)準(zhǔn)。如果出現(xiàn)一些網(wǎng)絡(luò)安全事件，比如某網(wǎng)站網(wǎng)頁被篡改、用戶敏感信息被泄露等，要查明相關(guān)網(wǎng)絡(luò)運營者是否實施網(wǎng)絡(luò)安全等級保護(hù)制度，若未落實，則會以不履行法律義務(wù)來評判該網(wǎng)絡(luò)運營者的網(wǎng)絡(luò)安全工作不到位。所以在網(wǎng)絡(luò)安全方面，實施網(wǎng)絡(luò)安全等級保護(hù)制度是網(wǎng)絡(luò)運營者必須履行的首要法律義務(wù)。

二、網(wǎng)絡(luò)安全等級保護(hù)制度的實施效果現(xiàn)狀

雅維茨曾指出：“法的實現(xiàn)是法的存在、作用，是法執(zhí)行主要社會職能的特殊方式。如果制定的法律規(guī)定不能在人們和他們的組織的活動中、在社會關(guān)系中得到實現(xiàn)的話，那法就什么也不是?！盵3]170張文顯也提出，良法的構(gòu)成要件之一就是法律實施良好[4]22。古今中外的法學(xué)家分別從各個維度說明了法律實施的重要性，法的實施就是法的生命所在，就是達(dá)到制定法律目的和實現(xiàn)法律價值的必經(jīng)之路。特別是中國特色社會主義法律體系建成后，法律實施比法律制定更重要，法律制定的意義、目的只有通過法律實施才能實現(xiàn)。在黨的十八屆四中全會上，對強化我國法律實施又提出明確要求，“法律的生命力和法律的權(quán)威都在于法律實施”。對于網(wǎng)絡(luò)安全等級保護(hù)制度的實施效果問題，筆者以湖北省宜昌市為例，通過實地調(diào)研、獲取實證數(shù)據(jù)、比較法、分析法等工作方法，發(fā)現(xiàn)《網(wǎng)絡(luò)安全法》實施以來，湖北省宜昌市在網(wǎng)絡(luò)安全等級保護(hù)制度的實施過程中取得了一定成效，同時也存在一些實施不足的問題。

（一）取得的實施成效

一是以網(wǎng)絡(luò)安全宣傳周、網(wǎng)絡(luò)安全專題培訓(xùn)、執(zhí)法檢查等活動為載體，采取講座授課、新聞媒體、LED屏展示、資料發(fā)放、溝通交流等多種方式，對網(wǎng)絡(luò)安全等級保護(hù)制度的法律規(guī)定、工作內(nèi)容、工作方法等進(jìn)行廣泛宣傳。目前，宜昌市及各縣市區(qū)均成立領(lǐng)導(dǎo)機構(gòu)，在不斷落實網(wǎng)絡(luò)安全等級保護(hù)制度。

二是各部門積極想辦法，爭取市委市政府的重視，采取多種方式推動全市的網(wǎng)絡(luò)安全等級保護(hù)工作。如市委將網(wǎng)絡(luò)安全工作納入全市社會治安綜治治理考核的重要內(nèi)容，每年由市公安局對各縣市區(qū)、各個綜治成員單位的網(wǎng)絡(luò)安全等級保護(hù)工作進(jìn)行考核；市公安局聯(lián)合市衛(wèi)計委等部門出臺專門文件，明確要求本行業(yè)內(nèi)的信息系統(tǒng)開展網(wǎng)絡(luò)安全等級保護(hù)工作；市政府成立“宜昌市信息安全等級保護(hù)暨網(wǎng)絡(luò)與信息安全信息通報協(xié)調(diào)小組”，對全市的等級保護(hù)工作提供協(xié)調(diào)保障。

三是通過具體實施，目前全市已定級備案的信息系統(tǒng)有348個，其中二級288個、三級60個，開展等級測評和建設(shè)整改310次，全市的網(wǎng)絡(luò)安全等級保護(hù)工作位列全省前列，有力推動宜昌市網(wǎng)絡(luò)安全防護(hù)能力提升。

（二）存在“四個不到位”的實施問題

一是定級備案不到位。部分網(wǎng)絡(luò)運營者不知曉網(wǎng)絡(luò)安全等級保護(hù)制度的法律要求，回避是否需要定級備案、如何開展定級備案等問題。這主要表現(xiàn)在全市的信息系統(tǒng)數(shù)量大于備案的348個，說明還有些網(wǎng)絡(luò)運營者的信息系統(tǒng)沒有開展定級備案工作；定級備案的流程有自主定級、專家評審、主管部門審批等，部分網(wǎng)絡(luò)運營者有主管部門，但其定級備案的時候沒有經(jīng)過主管部門審批這個環(huán)節(jié)；提交備案的資料不全，部分網(wǎng)絡(luò)運營者缺少網(wǎng)絡(luò)拓補圖、管理制度、網(wǎng)絡(luò)安全產(chǎn)品銷售許可證等資料；部分網(wǎng)絡(luò)運營者的信息系統(tǒng)發(fā)生變更后沒有及時重新備案。

二是等級測評不到位。從已備案信息系統(tǒng)的數(shù)量分析，測評率未達(dá)到100%，與法律規(guī)定的要求差距很大。究其原因，有的網(wǎng)絡(luò)運營者不愿意開展等級測評，有的是因為資金問題。按照法律規(guī)定，網(wǎng)絡(luò)運營者應(yīng)聘請具有資質(zhì)的第三方等級測評機構(gòu)對信息系統(tǒng)開展等級測評，這里必然涉及資金費用。有的網(wǎng)絡(luò)運營者年度可使用的資金有限，其會將資金投入到人員工資、核心業(yè)務(wù)成本等方面來維持單位運轉(zhuǎn)，很難投入資金開展等級測評；已備案信息系統(tǒng)中有85%涉及財政資金使用問題，有的網(wǎng)絡(luò)運營者認(rèn)為財政資金使用流程復(fù)雜，另外如果沒有進(jìn)行財政預(yù)算的就很難解決等級測評資金來源。還有的網(wǎng)絡(luò)運營者是先測評再備案，其未完全遵循等級測評流程，應(yīng)該是定級備案后再進(jìn)行等級測評。

三是安全整改不到位。安全整改流程未完全得到遵循，網(wǎng)絡(luò)運營者應(yīng)該是先開展等級測評，根據(jù)等級測評的結(jié)果有針對性制定安全整改方案，再按照方案要求開展安全整改，而有的網(wǎng)絡(luò)運營者是先進(jìn)行安全整改活動，然后開展等級測評；有的網(wǎng)絡(luò)運營者未重視安全整改，只是出了問題后才添置網(wǎng)絡(luò)安全設(shè)備，整改一部分，而不是系統(tǒng)的按照要求進(jìn)行安全整改；安全整改也涉及資金費用，有的網(wǎng)絡(luò)運營者制定整改方案的依據(jù)不是測評結(jié)果，而是依據(jù)可使用的資金數(shù)額。

四是監(jiān)督不到位。主要表現(xiàn)在：內(nèi)部監(jiān)督缺失，各級黨委（黨組）履行網(wǎng)絡(luò)安全的主體責(zé)任，其主要負(fù)責(zé)人是網(wǎng)絡(luò)安全的第一責(zé)任人，對網(wǎng)絡(luò)安全等級保護(hù)制度的實施應(yīng)履行監(jiān)督責(zé)任，但少數(shù)網(wǎng)絡(luò)運營者的主要負(fù)責(zé)人對于此項工作的不履行或者不到位情況沒有及時督促整改到位；行業(yè)主管部門監(jiān)督缺失，各個行業(yè)主管部門對本行業(yè)內(nèi)、本系統(tǒng)內(nèi)的網(wǎng)絡(luò)安全工作負(fù)有主管責(zé)任，促使行業(yè)內(nèi)各個單位實施網(wǎng)絡(luò)安全等級保護(hù)制度，但宜昌市部分行業(yè)主管部門沒有履行主管責(zé)任，對行業(yè)內(nèi)網(wǎng)絡(luò)安全等級保護(hù)制度的實施沒有采取有效措施；外部監(jiān)督缺失，各級公安機關(guān)網(wǎng)絡(luò)安全保衛(wèi)部門應(yīng)通過執(zhí)法手段來督促轄區(qū)內(nèi)各網(wǎng)絡(luò)運營者落實網(wǎng)絡(luò)安全等級保護(hù)制度，但全市的網(wǎng)絡(luò)安全執(zhí)法工作只停留在檢查上，各級公安機關(guān)網(wǎng)絡(luò)安全保衛(wèi)部門沒有對不實施網(wǎng)絡(luò)安全等級保護(hù)制度的違法行為實施查處，導(dǎo)致制度落實的外部監(jiān)督力度缺失。

三、網(wǎng)絡(luò)安全等級保護(hù)制度的實施對策

魏德士認(rèn)為，法律實施的目標(biāo)旨在實現(xiàn)實然效力和應(yīng)然效力、道德效力的統(tǒng)一。他提出法的效力應(yīng)分為三種：一是實然效力（“現(xiàn)實”效力），如果法律規(guī)范得到真正的遵守，那么法就存在；二是應(yīng)然效力（“法律”效力），法律規(guī)范本身應(yīng)當(dāng)有效，因為它是由國家制定并實施的；三是道德效力（認(rèn)可效力或確信效力或接受），它是指人們遵守法律的道德基礎(chǔ)，如果法律規(guī)范是出于法律確信而被人們自愿遵守，那么它就具有道德效力。魏德士提出，努力實現(xiàn)這三種法的效力統(tǒng)一才是法律實施的理想目標(biāo)[5]。實施不足導(dǎo)致的直接后果就是法律被弱化。具體到網(wǎng)絡(luò)安全等級保護(hù)制度的實施不足，就會使該制度的成文規(guī)則遭到實施主體的冷處理或者有意規(guī)避，致使制度的法律規(guī)則被擱置，失去法律意義。如何確保網(wǎng)絡(luò)安全等級保護(hù)制度得到有效實施、達(dá)到價值目標(biāo)？筆者認(rèn)為應(yīng)從規(guī)則完善、主體守法、強化監(jiān)督、行政處罰入手，并對信息系統(tǒng)實行集約化管理，使實施資源得到優(yōu)化配置，節(jié)約實施成本，達(dá)到實施效果最大化。

（一）完善網(wǎng)絡(luò)安全等級保護(hù)制度的配套規(guī)定

《網(wǎng)絡(luò)安全法》規(guī)定的網(wǎng)絡(luò)安全等級保護(hù)制度沒有配套的相關(guān)規(guī)則，在實務(wù)中，還是執(zhí)行2007年《信息安全等級保護(hù)管理辦法》的規(guī)定，難以及時覆蓋一些新出現(xiàn)的社會領(lǐng)域。而且《網(wǎng)絡(luò)安全法》關(guān)于該制度的規(guī)定具有一定的抽象性，未規(guī)定新形勢下的定級備案、等級測評、建設(shè)整改、監(jiān)督檢查等具體環(huán)節(jié)，給實務(wù)操作帶來影響。缺少配套規(guī)則且抽象的成文規(guī)則往往存在實施不足的問題。這就迫切需要國家及時出臺配套網(wǎng)絡(luò)安全等級保護(hù)條例和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例等相關(guān)規(guī)定，對如何開展定級備案、等級測評、建設(shè)整改、監(jiān)督檢查等環(huán)節(jié)進(jìn)行具體規(guī)定。

（二）實施主體自覺遵守網(wǎng)絡(luò)安全等級保護(hù)制度的規(guī)定

隨著“互聯(lián)網(wǎng)+”、信息化、大數(shù)據(jù)的不斷發(fā)展，網(wǎng)絡(luò)已經(jīng)成為國家各行各業(yè)、社會生產(chǎn)生活環(huán)境的重要構(gòu)成，在帶來許多機遇的同時，也面臨著網(wǎng)絡(luò)攻擊、病毒入侵、系統(tǒng)癱瘓、信息泄露等新的挑戰(zhàn)，因此網(wǎng)絡(luò)安全等級保護(hù)工作任務(wù)也將越來越艱巨。在網(wǎng)絡(luò)安全等級保護(hù)實施過程中，具體負(fù)責(zé)網(wǎng)絡(luò)安全的信息科長很想推動該制度的實施，但在向單位領(lǐng)導(dǎo)匯報時就被擱置，因為領(lǐng)導(dǎo)沒有意識到這項工作的重要性，沒能引起領(lǐng)導(dǎo)的重視；也有些網(wǎng)絡(luò)運營者的領(lǐng)導(dǎo)對該制度的落實也只停留在口頭上。這說明有些網(wǎng)絡(luò)安全等級保護(hù)制度的實施主體不愿意遵守國家法律法規(guī)的規(guī)定。法律實施在形式角度上，是需要實施主體的遵守或落實法律規(guī)范；在實質(zhì)角度上，首先是實施主體內(nèi)心接受、愿意遵守法律規(guī)范，再轉(zhuǎn)化成其具體落實行為。主體是法律實施的核心。實施的核心問題是解決人們依法而為的動力機制問題[6]。筆者認(rèn)為，應(yīng)該加強網(wǎng)絡(luò)安全等級保護(hù)制度的宣貫，特別是向各網(wǎng)絡(luò)運營者的領(lǐng)導(dǎo)宣貫此項工作的重要性，讓領(lǐng)導(dǎo)重視網(wǎng)絡(luò)安全等級保護(hù)制度，并明白網(wǎng)絡(luò)安全的主體責(zé)任。使實施主體意志與法律意志保持一致，這樣才能確保各級領(lǐng)導(dǎo)和具體負(fù)責(zé)人從內(nèi)心接受、愿意遵守，到行為上自覺落實網(wǎng)絡(luò)安全等級保護(hù)制度。

（三）加強對網(wǎng)絡(luò)安全等級保護(hù)制度實施的監(jiān)督

法律是公民集體意志的體現(xiàn)，具有某種程度的共識基礎(chǔ)。因此，法律應(yīng)全方位、持續(xù)性地得到實施。法律實施肯定要反對選擇性執(zhí)行，這就需要全面持續(xù)穩(wěn)定開展監(jiān)督活動。對網(wǎng)絡(luò)安全等級保護(hù)制度的實施應(yīng)實行多元化監(jiān)督機制：一是內(nèi)部監(jiān)督，各網(wǎng)絡(luò)運營者的主要領(lǐng)導(dǎo)要肩負(fù)起網(wǎng)絡(luò)安全的主體責(zé)任，把網(wǎng)絡(luò)安全等級保護(hù)制度的落實情況抓在手上，隨時進(jìn)行督辦，確保制度的實施；二是行業(yè)主管監(jiān)督，各行業(yè)主管部門要肩負(fù)網(wǎng)絡(luò)安全的主管責(zé)任，督促本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò)運營者遵守法律規(guī)定，落實網(wǎng)絡(luò)安全等級保護(hù)制度；三是機構(gòu)監(jiān)督，各級網(wǎng)絡(luò)安全與信息化工作領(lǐng)導(dǎo)機構(gòu)要充分發(fā)揮領(lǐng)導(dǎo)協(xié)調(diào)作用，督促本轄區(qū)的網(wǎng)絡(luò)運營者落實網(wǎng)絡(luò)安全等級保護(hù)制度。監(jiān)督手段也要多元化的：一是威懾效應(yīng)，對不實行網(wǎng)絡(luò)安全等級保護(hù)制度的網(wǎng)絡(luò)運營者在一定范圍內(nèi)進(jìn)行通報，公示于眾，以此來增強其守法，并對其他網(wǎng)絡(luò)運營者起到威懾作用；二是輻射效應(yīng)，在一定范圍內(nèi)集中精力推行網(wǎng)絡(luò)安全等級保護(hù)制度，確實解決信息系統(tǒng)安全問題，通過這種正面影響來輻射到周邊區(qū)域或同行，帶動其他網(wǎng)絡(luò)運營者實施網(wǎng)絡(luò)安全等級保護(hù)制度；三是上級通知與法律兼容，在我國現(xiàn)有體制下，上級主管部門的通知能夠?qū)Ψ蓪嵤┢鸬胶艽蟮拇龠M(jìn)作用，有的網(wǎng)絡(luò)運營者經(jīng)常會問“上級有沒有通知要求”，因此主管部門根據(jù)法律要求下發(fā)通知，要求本區(qū)域、本行業(yè)的網(wǎng)絡(luò)運營者實施網(wǎng)絡(luò)安全等級保護(hù)制度，與法律規(guī)定同時發(fā)力。

（四）對不履行網(wǎng)絡(luò)安全等級保護(hù)制度的違法行為實施行政處罰

意大利法學(xué)家韋基奧曾提出，“哪里沒有強制，哪里就沒有法律”，從邏輯上來說法律和強制力是兩個具有必然聯(lián)系的概念[7]18。法律能夠得到正常運行不是簡單地靠人們的自律與大眾的說教，在要求人們自覺遵守法律規(guī)范的同時，還必須以強制力作為法律實施的重要保障。在網(wǎng)絡(luò)安全等級保護(hù)制度的法律實施過程中，必須要有國家強制力來保障，各級公安機關(guān)網(wǎng)絡(luò)安全保衛(wèi)部門應(yīng)當(dāng)加大執(zhí)法檢查力度，對不履行網(wǎng)絡(luò)安全等級保護(hù)制度的違法行為依法進(jìn)行行政處罰，通過行政強制手段來促使網(wǎng)絡(luò)安全等級保護(hù)制度的實施。

（五）對信息系統(tǒng)實行集約化管理

實施主體要達(dá)到合乎法律的行為標(biāo)準(zhǔn)往往也要承擔(dān)一定的成本，而法律實施應(yīng)遵從效益實施原則，即在實施過程中必須選擇乃至創(chuàng)造成本更小、收益更大的實施途徑、做法和方式，合理配置各項實施資源以最大程度提高收益，使法律實施凈收益趨于最大化[6]。該原則目的在于降低實施主體的成本、提升實施主體的收益，要求努力建立和維系激勵相容的法律實施機制，從而形成科學(xué)有效的實施動力。網(wǎng)絡(luò)安全等級保護(hù)工作涉及網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全、系統(tǒng)建設(shè)、系統(tǒng)運維等多方面，如果其中的某方面或幾方面達(dá)不到標(biāo)準(zhǔn)要求，就是信息系統(tǒng)的安全隱患。而宜昌市有的網(wǎng)絡(luò)運營者信息科長對本單位信息系統(tǒng)的安全狀況很是擔(dān)憂，要么系統(tǒng)建設(shè)不合格、要么運維跟不上去、要么安全管理力量配備不夠等問題，但又要對存在安全隱患的信息系統(tǒng)進(jìn)行堅守，所以感覺到安全壓力大、責(zé)任大。全市很多網(wǎng)絡(luò)運營者都建有自己的機房，但符合等級保護(hù)要求的不多，這樣分散管理明顯存在弊端。因此，建議構(gòu)建集約化管理機制，即對全市的信息系統(tǒng)分塊實行集約化管理，由各地政府設(shè)立網(wǎng)絡(luò)安全管理中心，并成立專門的運維管理團隊，負(fù)責(zé)對機房內(nèi)的信息系統(tǒng)進(jìn)行維護(hù)管理。除具有安全保護(hù)能力外各網(wǎng)絡(luò)運營者將信息系統(tǒng)托管到該處進(jìn)行集中安全管理。托管行為不改變各網(wǎng)絡(luò)運營者的主體責(zé)任，只是在安全管理上實行集約化管理，由專門團隊對信息系統(tǒng)的安全管理活動進(jìn)行統(tǒng)一規(guī)劃、統(tǒng)一設(shè)計、統(tǒng)一管理、統(tǒng)一實施，避免分散管理，節(jié)約管理成本，提高網(wǎng)絡(luò)安全管理能力。同時構(gòu)建專項資金保障機制，解決信息系統(tǒng)等級測評和建設(shè)整改中的資金費用問題。為了使網(wǎng)絡(luò)安全等級保護(hù)制度得到很好的實施，各地政府對等級測評和建設(shè)整改工作進(jìn)行統(tǒng)籌安排，每年設(shè)立專項網(wǎng)絡(luò)安全資金，明確一個部門負(fù)責(zé)專項資金的管理，對由財政經(jīng)費保障的信息系統(tǒng)按等級來統(tǒng)一確定等級測評資金標(biāo)準(zhǔn)，統(tǒng)一聘請有資質(zhì)的等級測評機構(gòu)、統(tǒng)一建設(shè)整改工作的實施把關(guān)、統(tǒng)一進(jìn)行資金結(jié)算。這樣就解決了由財政經(jīng)費保障信息系統(tǒng)的等級測評和建設(shè)整改工作的資金來源、價格不統(tǒng)一等問題。

結(jié)語

本文以網(wǎng)絡(luò)安全等級保護(hù)制度的法律實施為主題進(jìn)行研究，闡明該制度的法律要求及意義，并以湖北省宜昌市為視野指出了該制度的法律實施效果，指出法律實施不足是網(wǎng)絡(luò)安全工作的最大隱患。為了確實將網(wǎng)絡(luò)安全等級保護(hù)制度貫徹實施到位，不僅要及時出臺配套規(guī)定、加強法律宣傳、加大監(jiān)督和執(zhí)法力度，還要結(jié)合地方實際情況創(chuàng)新法律實施理念，構(gòu)建信息系統(tǒng)集約化管理機制和專項資金保障，節(jié)約實施成本，實行法律效果和社會效果的統(tǒng)一。

注 釋：

[1] [古希臘]亞里士多德：《政治學(xué)》，吳壽彭譯，商務(wù)印書，1965年。

[2] 顧偉：《美國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)與中國等級保護(hù)制度的比較研究及啟示》，《電子政務(wù)》，2015年07期。

[3] [蘇聯(lián)]雅維茨：《法的一般理論——哲學(xué)和社會問題》，朱景文譯，遼寧人民出版社，1986年。

[4] 張文顯：《習(xí)近平法治思想研究（中）——習(xí)近平法治思想的一般理論》，《法制與社會發(fā)展》，2016年第5期。

[5] [德]魏德士著：《法理學(xué)》，丁曉春、吳越譯，法律出版社，2013年。

[6] 王紅霞：《論法律實施的一般特性與基本原則——基于法理思維和實踐理性的分析》，《法制與社會發(fā)展》，2018年第4期。

[7] 劉星：《法律“強制力”觀念的弱化——當(dāng)代西方法理學(xué)的本體論變革》，《外國法譯評》，1995年第3期。

責(zé)任編輯：楊軍會

文字校對：郭 婷

基金項目：國家社科基金“認(rèn)罪認(rèn)罰從寬處罰機制研究”（16BFX069）。

作者簡介：李新發(fā)（1981-），男，湖北宜都人，三峽大學(xué)法學(xué)與公共管理學(xué)院2018級碩士研究生，研究方向：訴訟與非訴訟糾紛解決制度；楊立凡（1973-），男，湖南臨澧人，宜昌市人民檢察院法律政策研究室主任，四級高級檢察官，研究方向：檢察制度、訴訟制度。