《网络安全标识管理办法》跳出传统以事后处置为主的安全监管逻辑,转而以前端能力建设与市场机制引导为核心抓手,通过可视化、可核验的安全能力信息供给,推动联网产品安全能力整体跃升,引导消费选择向高安全水平集聚。
由国家互联网信息办公室、工业和信息化部、公安部联合制定的《网络安全标识管理办法》(以下简称《管理办法》),将于7月1日起正式施行。这是我国首次针对具有互联网联网功能的产品,专门建立网络安全标识与备案管理制度。作为统筹发展和安全战略部署的重要组成部分,《管理办法》跳出传统以事后处置为主的安全监管逻辑,转而以前端能力建设与市场机制引导为核心抓手,通过可视化、可核验的安全能力信息供给,推动联网产品安全能力整体跃升,引导消费选择向高安全水平集聚。从制度设计到治理逻辑,《管理办法》均体现出鲜明的系统性与前瞻性。
网络安全领域长期存在的深层难题之一,是安全能力高低对于普通消费者而言几乎不可感知。生产者拥有充分的产品安全信息,而消费者、采购方却缺乏有效手段加以甄别,由此造成市场信息严重不对称。在此背景下,高安全投入企业难以获得相应的市场溢价,低安全水平产品则可能在价格竞争中反占优势,劣币驱逐良币的风险长期存在。《管理办法》以网络安全标识为信息桥梁,从根本上回应了这一问题。《管理办法》将网络安全标识界定为“能够反映产品本身网络安全能力水平的信息标识”,并要求标识涵盖生产者名称、规格型号、能力等级等核心要素;消费者、采购方及监管部门扫码即可获取检测报告、关键指标与符合性声明等详细信息。这一设计使各方主体能够在同一信息基础上理解和核验产品的网络安全实际水平,使安全能力差异从“隐性”变为“显性”,为理性消费决策与规范市场治理提供可操作、可核查的客观依据,从而在制度层面重塑市场竞争秩序。
单一标准往往难以兼顾行业底线与发展引领的双重目标。《管理办法》设置基础级、增强级、领先级三档网络安全能力水平,分别对应一星、二星、三星标识,形成层次分明的激励结构。基础级要求产品满足相关国家标准的基本安全要求,确立全行业不可逾越的安全底线;增强级与领先级则分别指向同类产品的先进水平与领先水平,其中三星级还要求通过渗透性测试方法,实证产品抵御高级别网络攻击的能力,代表行业标杆。三级梯度设计的制度价值在于,它同时发挥了“底线约束”与“正向激励”两重功能:一方面,基础级覆盖要求夯实了联网产品的安全底座,防止低安全水平产品在市场上无序扩张;另一方面,高星级标识构成可被市场识别的信誉载体,为愿意投入更高安全成本的企业提供差异化竞争优势。这种将强制性底线与激励性引导有机融合的机制设计,有助于在全行业形成“达标是义务、提升有回报”的良性生态,推动产业整体安全水平持续向上跃升。
联网产品种类繁多,网络风险态势持续演变,任何静态的“一刀切”管理模式都难以持续有效。《管理办法》采取产品目录管理制度,由三部门分批制定并公布《实施网络安全标识的产品目录》,同时针对每类具体产品制定实施规则,在规则中明确安全要求、标识样式、有效期及所依据的国家标准或技术文件。这一制度结构具有两方面优势。其一是精准性,逐类产品制定实施规则,能够将抽象的安全原则转化为与具体产品风险特征相适配的操作规范,避免“粗线条”管理带来的适用偏差。其二是灵活性,目录的动态扩展机制使监管范围能够随新兴联网产品的涌现和网络威胁格局的变化而适时调整,在保持整体监管框架稳定性的同时,为新技术、新业态预留充足的制度适应空间。两者结合,使《管理办法》兼具原则稳定与实践弹性。
《管理办法》明确,网络安全标识管理工作坚持统筹发展和安全,产品生产者依自愿原则参与,并鼓励消费者优先选用标注网络安全标识的产品。这一制度选择具有深刻的治理逻辑,在尊重市场主体自主决策空间的前提下,通过消费侧引导形成倒逼机制,激励生产者主动提升产品安全能力,积极申请标识认证,将安全能力内化为市场竞争力的组成部分,最终实现政府监管与市场机制的协同共振。为保障制度有效落地,《管理办法》同步建立了完善的监督管理体系。在监督架构上,形成中央统筹与地方协同相结合的格局,国家互联网信息办公室、工业和信息化部、公安部负责组织开展对标识备案和使用情况的监督检查,地方网信部门、通信管理局、公安机关承担属地监督职责,并强化横向信息共享。在责任机制上,实行分类分层处置,对备案材料弄虚作假、标识与实际网络安全能力不符、标识样式不符合规定等情形,依法撤销备案并予以公告;对生产者伪造、冒用标识或从事虚假宣传,以及检测机构伪造检测结果、出具虚假检测报告的,在撤销备案并公告的基础上,分别采取自公告之日起一年内不再受理备案或不再采信检测结果等加重措施,以严格的法律责任护航制度公信力。
联网产品的网络安全,事关数字经济健康发展,事关亿万用户切身利益,更事关国家网络空间安全的整体稳固。《管理办法》以市场化信息工具激活安全提升的内生动力,以分级制度构建梯度竞争格局,以动态目录实现精准敏捷治理,为联网产品网络安全能力持续跃升提供了系统性的制度支撑。随着《管理办法》深入贯彻落实,必将推动形成“安全有价值、提升有动力”的产业生态,为网络强国建设筑牢坚实基础。
(作者为中国法学会网络与信息法学研究会副会长)
