网络安全合规就是避免违反网络安全有关的法律、法规、规章、合同义务以及任何安全要求,标准在网络安全合规工作中扮演着重要的角色。
一、标准在网络安全合规体系中的地位作用
网络安全合规体系包括网络安全有关的法律、法规、规章、其他规范性文件、及合同义务等,网络安全合规体系的如下图所示。考虑到合同义务取决于合同约定,范围限于合同相关的各方,因此,这里合规体系只关注法律、法规和标准。
法律有广义、狭义两种理解。广义上讲,法律泛指一切规范性文件;狭义上,法律指由享有立法权的立法机关行使国家立法权,依照法定程序制定、修改并颁布,并由国家强制力保证实施的基本法律和普通法律总称。我国最高权力机关全国人民代表大会和全国人民代表大会常务委员会行使国家立法权,立法通过后,由国家主席签署主席令予以公布。在网络安全合规体系中,法律的级别是最高的,适用最广,下位法规不得与法律相违背。法律的效力低于宪法,不能同宪法相抵触。
我国的网络安全相关法律,如《中华人民共和国网络安全法》、《中华人民共和国密码法》、《中华人民共和国电子签名法》、《中华人民共和国电子商务法》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《全国人民代表大会常务委员会关于维护互联网安全的决定》等。另外,我们还应密切关注即将出台的重要网络安全相关法律,如《中华人民共和国数据安全法(征求意见中)》、《中华人民共和国个人信息保护法(立法中)》等。
(2)法规
法规是法令、条例、规则和章程等法定文件的总称,包括行政法规、行政规章、地方性法规、规范性文件、政策性文件等。
行政法规
行政法规是国务院为领导和管理国家各项行政工作,根据宪法和法律,并且按照《行政法规制定程序条例》的规定而制定的各类法规的总称。行政法规的制定主体是国务院,行政法规根据宪法和法律的授权制定、行政法规必须经过法定程序制定、行政法规具有法的效力。行政法规一般以条例、办法、实施细则、规定等形式。发布行政法规需要国务院总理签署国务院令,其效力次于法律、高于部门规章和地方法规。
网络安全相关行政法规,如《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国电信条例》、《计算机软件保护条例》,《计算机信息网络国际联网安全保护管理办法》,《互联网信息服务管理办法》、《网络安全等级保护条例》(征求意见稿)、《关键信息基础设施安全保护条例》(征求意见稿)等。
行政规章
行政规章指国务院各部委以及各省、自治区、直辖市的人民政府和省、自治区的人民政府所在地的市以及设区市的人民政府根据宪法、法律和行政法规等制定和发布的规范性文件。国务院各部委制定的称为部门行政规章,其余的称为地方行政规章。规章的名称一般称“规定”、“办法”,但不得称“条例”。
网络安全相关行政规章,如《网络安全审查办法》、《网络信息内容生态治理规定》、《互联网新闻信息服务管理规定》、《儿童个人信息网络保护规定》、《电信和互联网用户个人信息保护规定》、《外国机构在中国境内提供金融信息服务管理规定》、《数据安全管理办法》(征求意见稿)等
地方性法规
地方性法规是指法定的地方国家权力机关依照法定的权限,在不同宪法、法律和行政法规相抵触的前提下,制定和颁布的在本行政区域范围内实施的规范性文件。
网络安全相关地方性法规,如《贵州省大数据发展应用促进条例》、《深圳经济特区数据条例(征求意见稿)》等。
规范性文件
狭义上的规范性文件是指除政府规章外,行政机关及法律、法规授权的具有管理公共事务职能的组织,在法定职权范围内依照法定程序制定并公开发布的针对不特定的多数人和特定事项,涉及或者影响公民、法人或者其他组织权利义务,在本行政区域或其管理范围内具有普遍约束力,在一定时间内相对稳定、能够反复适用的行政措施、决定、命令等行政规范文件的总称。由于这类行政规范性文件数量多,涉及面广,是行政管理权和行政强制力的体现,直接关系到公共利益、社会秩序和公民的切身利益,因而日益受到公众的关注。
网络安全相关规范性文件,如《微博客信息服务管理规定》、《互联网群组信息服务管理规定》、《移动互联网应用程序信息服务管理规定》等。
政策性文件
政策性文件是指国家政权机关、政党组织和其他社会政治集团以权威形式标准化地规定在一定的历史时期内,应该达到的奋斗目标、遵循的行动原则、完成的明确任务、实行的工作方式、采取的一般步骤和具体措施的文件。如通知、实施方案等
网络安全相关的政策性文件,如《关于印发
(3)标准
标准是为了在一定的范围内获得最佳秩序,经协商一致制定并由公认机构批准,共同使用的和重复使用的一种规范性文件。国家标准分为强制性国家标准和推荐性国家标准,行业标准、地方标准、团体标准等都是推荐性标准。
强制性国家标准
强制性国家标准是法律行政法规规定强制执行的国家标准,国家把保障人身健康和生命财产安全、国家安全、生态环境安全、以及满足经济社会管理基本需要等方面的技术要求制定强制性标准。强制性标准具有法属性的特点,属于技术法规。
网络安全相关强制性国家标准很少,如GB 17859-1999《计算机信息系统安全保护等级划分准则》。
推荐性国家标准
推荐性国家标准是指生产、交换、使用等方面,通过经济手段或市场调节而自愿采用的国家标准,企业在使用中可以参照执行。推荐性标准起草、发布都是经过优选、简化、统一、协调,具有先进性、科学性、通用性、合理性。推荐性标准不具有法属性的特点,属于技术文件,不具有强制执行的功能。
推荐性国家标准在标准体系中占大部分,网络安全相关推荐性标准,如《网络安全等级保护定级指南》(GB/T22240-2020),《网络安全等级保护基本要求》(GB/T22239-2019),《个人信息安全规范》(GB/T35273-2020)、《信息系统密码应用基本要求》(征求意见稿)等。
(4)地位作用
约束力递减
法律、法规和标准在合规体系中的地位不同,法律的效力最高、法规其次、标准最低。
强制性标准具有强制的约束力,类似于法规文件。尽管“推荐性标准一旦纳入指令性文件,将具有相应的行政约束力”,但作为标准体系主体的推荐性标准本身是没有强制的约束力。
操作性递增
法律、法规、标准操作性不同,一般来说,法律、法规和标准的操作性是递增的。法律层次最高、适用范围最广,一般是原则性的条款,可操作性不强。支撑法律实施的各类法规文件,在对象的针对性、要求的具体性、监督的完善性方面都比法律强,因而可操作性更强,更不论我国强大的行政系统和传统。
而标准是关于某一具体标准化对象的专门技术文件,可操作性最强。标准的这种可操作性对于合规体系中的法律、法规支撑作用非常重要。例如,近日中国信息安全研究院副院长左晓栋在“数据安全合规:确定性与不确定性”的主题演讲中提到,《中华人民共和国网络安全法》首次提到了“重要数据”的概念,然后《数据安全法(征求意见稿)》、《网络安全审查办法》、《数据安全管理办法(征求意见稿)》均提及”重要数据“,但什么是重要数据、如何识别重要数据缺乏可操作性。因而,业界对2020年已立项的国家标准《重要数据识别指南》翘首以待。
尽管作为标准体系主体的推荐性标准是自愿采用,没有强制的合规约束力,但推荐性标准存在以下合规效力提升的情景:
(1) 法律法规引用的推荐性标准,在法律法规规定的范围内标准必须执行
在国家技术监督局(现国家质量监督检验检疫总局)令第12号《中华人民共和国标准化法条文解释》第三章第十四条第三款规定“推荐性标准一旦纳入指令性文件,将具有相应的行政约束力。”类似的,强制性标准引用的推荐性标准,在强制性标准适用的范围内标准必须执行。
(2)合同中引用的推荐性标准,在合同约定的范围内标准必须执行
推荐性国家标准一经接受并采用,或各方商定同意纳入合同中,就成为各方必须共同遵守的技术依据,具有法律上的约束性。
(3)企业自我声明符合推荐性标准的,必须执行标准
企业不管使用的是推荐性国家标准还是企业标准,一旦在产品上明示,或获得认证并标示认证标志销售的产品,就应强制执行该标准。
(4)与法律法规保持一致,是事实上的合规指南
尽管标准是推荐性标准,但标准的制定目的就是支撑上位法规,标准在要求上与上位法规保持一致,是事实上的合规指南,标准合规效力提升,如《网络安全等级保护定级指南》(GB/T22240-2020),《个人信息安全规范》(GB/T35273-2020)。
=关于强制性国家标准和推荐性国家标准=
《中华人民共和国标准化法》(2017年11月4日修订)第二条:国家标准分为强制性标准、推荐性标准。截至2019 年 12 月底,国家标准共38347项,其中强制性标准 2131 项(占比5.56%),推荐性标准 36216 项(占比94.44%),推荐性标准在标准体系中占大部分——引自《中国标准化发展年度报告2019》。
强制性国家标准是法律行政法规规定强制执行的国家标准,国家把保障人身健康和生命财产安全、国家安全、生态环境安全、以及满足经济社会管理基本需要等方面的技术要求制定强制性标准。
推荐性国家标准是指生产、交换、使用等方面,通过经济手段或市场调节而自愿采用的国家标准,企业在使用中可以参照执行。推荐性标准起草、发布都是经过优选、简化、统一、协调,具有先进性、科学性、通用性、合理性。
强制性标准和推荐性标准区别如下:
(1)编号不一样
国家标准的编号由国家标准的代号、国家标准发布的顺序号和国家标准发布的年号构成,GB代号表示的是强制性国家标准,GB/T代号推荐性国家标准。
(2)范围不一样
强制性国家标准是保障人身健康和生命财产安全、国家安全、生态环境安全、以及满足经济社会管理基本需要的标准;推荐性国标是通过经济手段或市场调节而自愿采用的国家标准。
(3)意义不一样
强制性国家标准具有法律层面的意义,推荐性国家标准则没有。
强制性标准是计划经济的产物,强制性国家标准的精简和推荐性国家标准体系的完善,是我国市场经济断发展和对外开放不断深入的必然要求。国务院2015年3月11日印发关于《深化标准化工作改革方案》的通知,2016年1月30日,国务院办公厅《关于印发<强制性标准整合精简工作方案>的通知》。改革措施包括“整合精简强制性标准”:
在标准体系上,逐步将现行强制性国家标准、行业标准和地方标准整合为强制性国家标准;
在标准范围上,将强制性国家标准严格限定在保障人身健康和生命财产安全、国家安全、生态环境安全和满足社会经济管理基本要求的范围之内。
在标准管理上,强制性国家标准由国务院批准发布或授权批准发布,强化依据强制性国家标准开展监督检查和行政执法,免费向社会公开强制性国家标准文本。