郑颖　刘轩

摘 要：当前，中国政府网络信息安全面临严峻挑战。在网络信息安全监管领域，中国远远落后于发达国家。试从制度层面出发，对中国政府网络信息安全监管法治现状及发展路径进行探析。

关键词：网络信息安全；监管；安全等级；信息保密

中图分类号：D92 文献标志码：A 文章编号：1673-291X（2014）34-0321-02

2014年是中国接入国际互联网20周年。随着网络的发展，在带给我们便利的同时，中国政府网络信息安全也面临严峻挑战，在网络信息安全监管领域中国远远落后于发达国家。习近平总书记在对中共十八届三中全会《决定》的说明中明确表示，“面对互联网技术和应用飞速发展，现行管理体制存在明显弊端，多头管理、职能交叉、权责不一、效率不高。”因此，《决定》明确提出，要加大依法管理网络力度，完善互联网管理领导体制。网络信息安全监管主要体现在两个方面：一是技术层面管理，二是制度层面管理。试从制度层面出发，对中国政府地方网络信息安全监管法治现状及发展路径进行探析。

一、中国地方政府网络信息安全监管法治现状

（一）中国行政立法中网络信息安全审查制度已初步建立但地方制度尚不完善

据统计，中国现行行政立法中涉及网络审查监管的部门规章有16部，从责任主体上看，基本上涵盖了所有应用互联网的对象。从网络审查监管要禁止的内容来看，主要以保障国家安全和公共利益为主。但是在操作层面，相关行政立法层次相对较低，未制定统一立法。法规内容缺乏对审查监管标准和审查监管手段的制约和规范，没有对行政机关实施具体行政行为发生错误时的法律救济规定。大部分地方政府尚未出台网络信息安全审查监管方面的实施细则。国家互联网信息办公室2014年5月22日宣布，中国即将推出网络安全审查制度，但网络安全审查制度不涉及信息内容安全，与内容审查无关。中国在网络安全审查方面才刚刚起步，在网络安全方面仍存在很多漏洞，必须进一步健全网络信息内容审查制度。

（二）中国网络信息安全等级保护制度已建但地方政府具体工作尚未展开

实行信息安全等级保护是国际上通行的做法。中国1994年《中华人民共和国计算机信息系统安全保护条例》规定，“计算机信息系统实行安全等级保护，安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定”。2003年年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》也明确指出 “抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。但在实践运行中，当前中国各个地方都缺乏网络信息安全专业管理组织，信息系统安全建设、安全等级监管缺乏依据和标准，尤其在基层，责任单位安全保护措施和安全制度不完善，地方政府监管措施不到位，难以避免部分网络遭受到国内外黑客以及情报机构的攻击。

（三）中国网络信息保密制度建设成效明显但基层运行还存在不少问题

2010年全国人常委会修订通过《中华人民共和国保守国家秘密法》，要求相关部门加强计算机信息系统保密管理综合保障，严格规范涉密信息系统使用管理，同时强化网络泄密法律责任。此外，还制定了《计算机信息系统保密管理暂行规定》、《计算机信息系统国际联网保密管理规定》、《互联网信息服务管理办法》、《中华人民共和国电信条例》、《全国人大常委会关于维护互联网安全的决定》、《网络运行与网络安全》等法规进行规范。但是，当前中国关于网络信息保密法律立法尚不完善，对网络信息保密工作实践中也存在很多问题。主要有基层业务人员信息安全保密意识淡薄，应用现代科技开展信息保密的经验和方法欠缺；一些机关单位保密制度形同一纸空文，违规问题还不同程度存在；一些机关单位网络定性不准，安全保密技术防护不力，硬件设施建设跟不上；责任追究不到位，没有真正起到震慑和教育作用；缺乏统一的网络信息安全保密管理职能部门，缺少协同工作机制等。

二、构建中国地方政府信息网络安全监管体系法治路径思考

中国要建立完善的信息网络安全保护体系，必须在既考虑国情又借鉴他国经验的基础上进行全面立法，严格执法，健全各项工作机制，不断完善地方政府信息网络安全监管体系建设。

（一）积极推进信息安全制度建设，严格地方政府信息网络安全管理

1.认真落实信息安全管理责任制。各级政府涉及信息管理职能部门单位应成立信息安全专职机构，负责信息系统络建设、信息安全保护等日常运行管理工作。各级政府应出台相关制度，明确各级责任部门和工作岗位职责。各单位还可以根据自身的特点制定一系列的规章制度，如定期备份重要资料，规定办公计算机不得随意安装来路不明的软件等。

2.严格网络信息安全管理制度。一是加强人员管理。各单位应建立人员安全管理制度，对相关人员加强网络安全保密新知识、操作规程、保密规定和新技术培训，要明确不同岗位的不同权限，严防人为事故的发生。二是严格执行机房安全管理制度。各单位需制定规章条例，加强机房进出人员管理和日常监控制度，做好防火防盗，保证机房安全。三是建立计算机系统建设采购制度。各单位应通过公开招标等方式，择优选用计算机系统服务，提高系统建设的质量。

3.构建网络信息安全系统运行及维护机制。一是地方政府各部门单位应建立日常信息安全监测和预警机制，确保重要计算机信息系统的实体安全、运行安全和数据安全，最大限度地减轻信息安全突发公共事件的危害。二是应建立健全分级负责的安全事件报告和响应处理程序。各单位需做好日常管理和应急处置工作，根据安全事件分类和分级进行不同的上报程序，开展不同的响应处理。

4.协调网络信息安全监管相关部门职能。目前政府监管网络与信息安全的机构有公安部门、国家安全局、信息产业部（厅）和保密局等，各省市也成立了网络与信息安全协调小组，负责协调。但实践中各部门之间缺乏有效的交流协作机制。因此，各地方政府有必要将网络与信息安全协调小组建成固定信息交流平台，组织定期会议，为各有权机关提供交流意见，为信息安全产业提供技术咨询服务，及时掌握信息安全动态等等。endprint

5.加强网络信息安全社会宣传教育。地方各级政府与网民、社会组织、行业协会应形成合力：一要加强高等院校与科研机构、信息技术企业合作，共同探索信息安全保密人才培养机制。二要依托学历教育平台以及党校、行政学院、干部学院、保密学院等各类教学资源，把网络信息安全保密教育纳入国家教育体系。三要开展全民信息安全教育。如设立国家信息安全周、安全月等，培育网络安全文化和全民信息安全保护意识。

（二）加快完善网络信息安全等级保护协调工作机制

1.成立统一网络信息安全等级保护协调领导机构。在保障网络信息安全中，国家要承担起统一组织领导的职能，中央应专门成立等级保护协调领导机构，地方各级政府成立相应等级保护专门机构，规范信息化安全等级建设。

2.有效推进信息安全定级、评估和整改工作。中国的等级保护国家标准和行业标准已有 50 多个，等级保护标准体系已初步形成。地方政府各部门应做好以下重点工作：一是信息安全责任部门认真制定等级测评工作计划，全面开展整改。二是地方政府应保证等级测评工作经费优先拨付，协调财政部门保障整改经费保障。三是地方信息安全主管部门积极开展信息安全等级测评。四是公安等部门认真开展信息安全等级保护监督检查。

3.加快地方网络信息安全标准化建设。在中国尚未制定统一基本法的情况下，地方政府可以先行研究制定政府信息安全管理、个人信息保护等地方性管理办法，明确并落实企事业单位和社会组织维护信息安全的法律责任。充分发挥社会力量，行业组织应加快制定完善新一代信息技术在重点领域的应用标准。

（三）加强地方政府网络信息安全保密管理制度

1.加强硬件设施监管力度。一是严格移动存储设备使用制度。由于大多数国家涉及国家秘密的数据多使用移动存储设备，近年移动存储安全事故频发，因此各级政府必须加强对移动设备存储使用的管理，以防止泄密事故的发生。二是建立专用涉密计算机机房。各单位应将涉密信息系统的机房与普通机房隔离，设备和终端存放在安全可靠的地方。定期巡检维护，及时发现和排除安全隐患，保证涉密信息系统的正常运行。三是处理秘密级、机密级信息的系统中心机房，应当采用有效的电子门禁系统，并安装电视监视系统，配备警卫进行保护。

2.对涉密应用系统及信息实施隔离保护。各级政府应对涉密信息进行网络隔离，各单位建立官方网站应严格区分外网与内网，将涉密信息严格控制在内部封闭网络。在与互联网相连的信息设备上，不存储、处理和传递国家秘密信息，切实减少通过互联网的攻击渠道。

3.强化网络信息安全保密管理。一是各单位应做好网络日常监控工作，加强对上网信息的保密检查，发现涉密信息，及时采取补救措施。二是强化涉密网络分级保护管理。要全面完成涉密网络测评审批，严格上网信息登记制度和保密审查制度。落实定期安全风险评估要求，落实涉密网络系统管理员、安全保密管理员、安全审计员持证上岗制度，确保建设和使用安全保密。三是强化新技术新应用的安全保密管理。做好技术跟进、政策跟进、监管跟进，有效防范新技术新应用对涉密信息、涉密设备、涉密场所保密管理带来的新威胁。

参考文献：

[1] 张舒，艾小川.构筑国家信息安全的“防火墙”[J].中国西部科技，2013，（9）：87-90.

[2] 李雅文，李长喜.互联网立法若干问题研究[J].北京邮电大学学报（社会科学版），2013，（8）：13-17.

[3] 邓伟玲.开展信息安全等级保护工作应建立安全保护机制[J].电子信息与计算机科学，2013，（7）：14-15.

[4] 谢海兵，陈刚.论政府对网络言论自由的审查监管[J].法治博览，2013，（8）：143.

[5] 林东岱，刘峰.美国信息安全保密体系初探[J].保密科学技术，2012，（9）：6-13.

[6] 李春华，万其刚.国外网络信息立法情况综述[J].中国人大，2012，（20）：47-49.

[责任编辑 陈 鹤]endprint