第四節 監督管理與法律責任

一、監督管理

《網絡安全法》第八條確定了我國網絡安全整體的監督管理體制，即國家網信部門負責統籌協調網絡安全工作和相關監督管理工作。國務院電信主管部門、公安部門和其他有關機關依照本法和有關法律、行政法規的規定，在各自職責范圍內負責網絡安全保護和監督管理工作。縣級以上地方人民政府有關部門的網絡安全保護和監督管理職責，按照國家有關規定確定。

在“有關法律、行政法規的規定”上，1994年國務院第147號令《計算機信息系統安全保護條例》第九條明確“計算機信息系統實行安全等級保護，安全等級的劃分標準和安全等級保護的具體辦法，由公安部會同有關部門制定”，首次以國家行政法規形式確立了信息安全等級保護制度的法律地位。2003年中國共產黨中央委員會辦公廳（以下簡稱“中辦”）、中華人民共和國國務院辦公廳（以下簡稱“國辦”）轉發的《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發[2003]27號）中明確提出“實行信息安全等級保護”, “要重點保護基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統，抓緊建立信息安全等級保護制度，制定信息安全等級保護的管理辦法和技術指南”等意見。2003年8月，在上屆國家網絡與信息安全協調小組辦公室制定的貫徹落實27號文件的工作安排中，明確將實行信息安全等級保護工作交由公安部牽頭，并要求公安部會同有關部門研究提出實行信息安全等級保護的意見。2004年7月召開的國家網絡與信息安全協調小組第三次會議上，原則同意了公安部提出的《關于信息安全等級保護工作的實施意見》，責成公安部商有關部門聯合印發。2004年9月15日，公安部、國家保密局、國家密碼管理委員會、國務院信息化工作辦公室向各地有關部門聯合下發了《關于印發〈關于信息安全等級保護工作的實施意見〉的通知》（公通字[2004]66號）。在2008年國務院“三定”方案中，進一步規定了公安部十一局監督、檢查、指導信息安全等級保護工作的職能。

這些法規和政策性文件的制定，確立了信息安全等級保護制度的法律地位，明確了實行信息安全等級保護是我國信息安全保障工作中一項重要制度和措施，賦予了公安機關牽頭負責信息安全等級保護工作監督管理的職責。因此，公安機關將依據《網絡安全法》、《人民警察法》、《計算機信息系統安全保護條例》等法律、行政法規的規定，負責等級保護的監督管理，繼續實施等級保護工作部署和組織情況、信息系統安全等級保護定級備案情況、信息安全設施建設情況和信息安全整改情況、信息安全管理制度建立和落實情況、信息安全產品選擇和使用情況、聘請測評機構開展技術測評工作情況、定期自查情況等具體工作。

總體來說，《網絡安全法》確立了國家網信部門統籌協調，電信主管部門、公安部門等在各自職責范圍內負責的管理體制，使得在包括網絡安全等級保護等制度設計的落實層面應注意協調現有主管部門和整體管理體制之間的關系，充分發揮已有管理經驗和行政資源，科學管理，提高行政效率。

二、法律責任

違反網絡安全等級保護責任的法律責任主要體現為《網絡安全法》第五十九條，即網絡運營者不履行本法第二十一條規定的網絡安全保護義務的，由有關主管部門責令改正，給予警告；拒不改正或導致危害網絡安全等后果的，處一萬元以上十萬元以下罰款，對直接負責的主管人員處五千元以上五萬元以下罰款。

由此可見，承擔網絡安全等級保護責任的主體不僅包括網絡運營者，還包括直接負責的主管人員，處罰方式包括責令改正后警告和罰款。其中責令改正警告屬于未造成危害后果的前置條件，拒不改正后進一步做出罰款處罰；在網絡運營者不履行安全保護義務導致危害網絡安全后果的情形下，可直接做出罰款處罰。

《網絡安全法》實施之后，網絡安全執法行為逐漸走向常態。從目前的執法情況來看，部分屬于違反網絡安全等級制度的處罰案例，這在一定程度上反映了《網絡安全法》中規定的網絡安全等級制度在實踐中尚未得到很好的貫徹和落實。案例中違反網絡安全等級保護的行為，包括未按規定進行網絡安全等級的定級備案與等級測評、未留存網絡日志、未對危害網絡安全的行為采取技術防范措施等。具體的執法案例如表5-4所示。

表5-4 網絡安全等級保護制度執法案例匯總