第四节 监督管理与法律责任

一、监督管理

《网络安全法》第八条确定了我国网络安全整体的监督管理体制，即国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。县级以上地方人民政府有关部门的网络安全保护和监督管理职责，按照国家有关规定确定。

在“有关法律、行政法规的规定”上，1994年国务院第147号令《计算机信息系统安全保护条例》第九条明确“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”，首次以国家行政法规形式确立了信息安全等级保护制度的法律地位。2003年中国共产党中央委员会办公厅（以下简称“中办”）、中华人民共和国国务院办公厅（以下简称“国办”）转发的《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）中明确提出“实行信息安全等级保护”, “要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”等意见。2003年8月，在上届国家网络与信息安全协调小组办公室制定的贯彻落实27号文件的工作安排中，明确将实行信息安全等级保护工作交由公安部牵头，并要求公安部会同有关部门研究提出实行信息安全等级保护的意见。2004年7月召开的国家网络与信息安全协调小组第三次会议上，原则同意了公安部提出的《关于信息安全等级保护工作的实施意见》，责成公安部商有关部门联合印发。2004年9月15日，公安部、国家保密局、国家密码管理委员会、国务院信息化工作办公室向各地有关部门联合下发了《关于印发〈关于信息安全等级保护工作的实施意见〉的通知》（公通字[2004]66号）。在2008年国务院“三定”方案中，进一步规定了公安部十一局监督、检查、指导信息安全等级保护工作的职能。

这些法规和政策性文件的制定，确立了信息安全等级保护制度的法律地位，明确了实行信息安全等级保护是我国信息安全保障工作中一项重要制度和措施，赋予了公安机关牵头负责信息安全等级保护工作监督管理的职责。因此，公安机关将依据《网络安全法》、《人民警察法》、《计算机信息系统安全保护条例》等法律、行政法规的规定，负责等级保护的监督管理，继续实施等级保护工作部署和组织情况、信息系统安全等级保护定级备案情况、信息安全设施建设情况和信息安全整改情况、信息安全管理制度建立和落实情况、信息安全产品选择和使用情况、聘请测评机构开展技术测评工作情况、定期自查情况等具体工作。

总体来说，《网络安全法》确立了国家网信部门统筹协调，电信主管部门、公安部门等在各自职责范围内负责的管理体制，使得在包括网络安全等级保护等制度设计的落实层面应注意协调现有主管部门和整体管理体制之间的关系，充分发挥已有管理经验和行政资源，科学管理，提高行政效率。

二、法律责任

违反网络安全等级保护责任的法律责任主要体现为《网络安全法》第五十九条，即网络运营者不履行本法第二十一条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。

由此可见，承担网络安全等级保护责任的主体不仅包括网络运营者，还包括直接负责的主管人员，处罚方式包括责令改正后警告和罚款。其中责令改正警告属于未造成危害后果的前置条件，拒不改正后进一步做出罚款处罚；在网络运营者不履行安全保护义务导致危害网络安全后果的情形下，可直接做出罚款处罚。

《网络安全法》实施之后，网络安全执法行为逐渐走向常态。从目前的执法情况来看，部分属于违反网络安全等级制度的处罚案例，这在一定程度上反映了《网络安全法》中规定的网络安全等级制度在实践中尚未得到很好的贯彻和落实。案例中违反网络安全等级保护的行为，包括未按规定进行网络安全等级的定级备案与等级测评、未留存网络日志、未对危害网络安全的行为采取技术防范措施等。具体的执法案例如表5-4所示。

表5-4 网络安全等级保护制度执法案例汇总