《网络安全标识管理办法（征求意见稿）》的创新与完善

构建产品网络安全的可信身份证

——《网络安全标识管理办法（征求意见稿）》的创新与完善

　　《网络安全标识管理办法（征求意见稿）》通过分级分类标识、市场化引导、全链条监管，进一步提升具有联网功能产品的网络安全能力，保护消费者权益，维护网络安全和公共利益，为产业高质量发展与网络安全保障提供新的制度工具。

　　11月21日，国家互联网信息办公室、工业和信息化部发布《网络安全标识管理办法（征求意见稿）》（以下简称《征求意见稿》），面向社会公开征求意见。意见反馈截止时间为12月6日。

　　《征求意见稿》通过分级分类标识、市场化引导、全链条监管三大机制，进一步提升具有联网功能产品的网络安全能力，保护消费者权益，维护网络安全和公共利益。作为我国系统性构建网络安全标识制度的规范性文件，《征求意见稿》坚持“自愿参与、政府引导、市场主导”原则，将产品安全能力分为基础级（一星）、增强级（二星）、领先级（三星）三个等级，通过“一码溯源”实现透明化管理，为产业高质量发展与网络安全保障提供新的制度工具。

　　主要亮点：三大创新构建科学治理体系

　　分级分类，精准匹配产品安全需求。《征求意见稿》第五条明确规定，网络安全标识按能力从低到高分为基础级、增强级、领先级三个等级，每个等级对应差异化的安全要求：一是基础级（一星），需满足国家标准基本要求，如无弱口令或通用默认口令、建立漏洞管理机制、保持软件更新等，是产品安全的底线；二是增强级（二星）：要求达到国内先进水平，需在基础级之上实现更完善的安全防护（如数据加密、访问控制等）；三是领先级（三星）：需达到国际先进水平，并通过渗透性测试验证能够具备抵御高级别攻击的能力，是产品安全的标杆。与此同时，《征求意见稿》要求采用产品目录管理模式，由网信办和工信部分批公布实施目录，首批涵盖智能家居、智能终端等联网产品。依照《征求意见稿》第六条的规定，标识内容需包含生产者名称、规格型号、等级、有效期、检测机构、标准编号及备案信息码，消费者扫码即可获取检测报告、关键指标等信息，实现“一码溯源”的透明化管理。

　　市场化协同，激发企业自主提升动力。《征求意见稿》要求坚持自愿参与原则，通过市场机制引导企业主动提升自身安全能力：在检测环节，企业可自主选择自有实验室（需提供能力证明）或第三方资质机构检测，领先级产品还需委托第三方进行渗透性测试；在备案环节，通过中国电子技术标准化研究院的备案平台线上提交材料，备案机构在10个工作日内完成形式审查并公告；在市场引导环节，鼓励消费者优先选用带标识产品，通过市场需求倒逼企业升级。这种模式既尊重企业自主权，又通过透明化的标识信息让市场发挥资源配置作用，可有效平衡安全与发展。

　　全链条监管，筑牢责任追溯防线。《征求意见稿》构建了“事前备案—事中监督—事后追责”的全链条监管体系：一是事前备案，严格审核检测报告、符合性声明等材料，确保标识与产品能力一致。二是事中监督，网信办、工信部及地方网信部门、通信管理局负责日常监督检查。三是事后追责，明确撤销备案情形，如《征求意见稿》第十四条规定，材料造假、标识不符的将被撤销备案；第十五条规定，对伪造标识的企业，撤销备案且1年内不受理其申请；第十六条规定，对出具虚假报告的检测机构，1年内不采信其结果。此外，《征求意见稿》第十八条还要求检测过程中发现漏洞需按《网络产品安全漏洞管理规定》报告，以实现漏洞的快速响应与修复。

　　面临问题：制度落地需破解三大挑战

　　制度衔接与跨部门协同性有待提高。一是与现有法规的衔接需细化。《征求意见稿》第二十条规定，网络关键设备和网络安全专用产品不列入目录，但标识制度与现有管理如何协同？比如，《征求意见稿》如何与2025年新修订的网络安全法第二十五条规定的强制性认证衔接？现有规定未明确，这可能导致监管重叠或空白。二是跨部门协同机制待明确。《征求意见稿》第四条规定，由网信办和工信部共同负责网络安全标识管理工作，分批制定公布《实施网络安全标识的产品目录》，明确每类产品的具体实施规则和依据的国家标准或技术文件，但基层网信部门与通信管理局的日常监管如何分工？此外，《征求意见稿》第十三条提到地方监督，但未细化信息共享、联合执法流程，可能影响监管效率。

　　标准体系与检测能力适配待提升。一是实施规则需加快细化。《征求意见稿》第五条要求对每类产品的实施规则确定等级要求，但首批目录的具体规则尚未发布，企业难以明确检测方向。二是检测机构能力需规范。领先级产品需要渗透性测试，但《征求意见稿》未明确具备该能力的机构资质标准，可能导致检测结果的权威性不足。三是国际标准衔接需加强。《征求意见稿》第五条提到借鉴其他国家和地区经验，但如何将国际先进标准融入我国等级要求，尚未有具体路径。

　　实施保障机制落地性待强化。一是备案平台功能需完善。《征求意见稿》第八条提到备案平台，但未明确是否具备异议处理、实时查询等功能，若企业对备案结果有异议，缺乏快速反馈渠道。二是基层执法能力需提升。基层网信和通信管理局缺乏专业检测工具，如识别伪造标识的技术手段，难以有效开展监督。三是公众参与渠道需拓宽。《征求意见稿》第十七条提到举报机制，但未建立奖励制度，难以激发公众参与积极性；对消费者的标识认知教育也未提及，可能影响市场引导效果。

　　完善建议：推动制度从“框架”到“落地”

　　强化制度衔接与跨部门协同。一是在《征求意见稿》附则中增设衔接条款，明确网络关键设备与专用产品的标识管理例外规则，建立与现有强制性认证的互认机制。二是建立网信、工信、市场监管等跨部门联合监管机制，细化地方网信部门与通信管理局的分工与合作方式，如定期联合检查、信息共享等，以提升监管协同效率。

　　加快标准体系与检测能力建设。一是尽快出台首批产品的实施规则，明确各等级的具体技术指标，如领先级渗透性测试的具体方法。二是规范检测机构资质，建立渗透性测试机构的认证清单，确保检测结果的权威性。三是建立标准动态更新机制，定期评估国际标准发展趋势，将先进技术要求融入我国等级标准。

　　提升实施保障与公众参与效能。一是完善备案平台功能，增加异议处理模块，如明确企业可在线提交申诉，提供实时查询功能，如消费者可查标识的有效性。二是加强基层执法能力，为地方部门配备扫码验证工具、组织专业培训。三是建立举报奖励制度，如给予举报人罚款金额相应比例的奖励；开展“网络安全标识”宣传活动，通过图解、漫画、短剧、讲座等方式普及标识意义，提升公众的认知度和参与度。

　　《征求意见稿》作为我国网络安全领域的重要制度创新，为产品安全能力识别和提升提供了清晰的路径。通过细化制度衔接、加快标准建设、强化实施保障，其有望成为推动产业高质量发展、保障网络安全的重要抓手。期待社会各界积极建言献策，共同完善这一制度，让网络安全标识真正成为消费者放心的“安全盾牌”，企业竞争的“质量名片”。

　　（作者单位：中国人民公安大学法学院/数据法学研究院）