本报简介网络安全标识分级管理的治理创新和体系效应
随着数字经济的深入发展,网络安全已成为影响社会稳定、经济发展和国家安全的重要因素。建立分级分类网络安全标识管理体系,对不同安全等级的产品实施差异化监管,既可以保障普通消费场景的基本安全需求,又能为重点领域和核心场景提供高安全能力的产品供给。
2026年4月,国家互联网信息办公室、工业和信息化部、公安部联合印发《网络安全标识管理办法》(2026年7月1日起正式施行),创新性地建立“基础级、增强级、领先级”三级分类管理体系。该制度将政府监管、市场机制和技术标准有机结合,通过分级标识传递安全信号,利用市场选择倒逼企业提升安全能力,实现了安全能力提升与产业发展的良性互动,为网络强国和数字中国建设筑牢坚实的安全基石。
5月8日,国家互联网信息办公室、工业和信息化部、公安部联合发布《消费类网联摄像头网络安全标识实施规则(征求意见稿)》及《网络安全标识 消费类网联摄像头安全要求(征求意见稿)》,并公开征求意见,将消费类网联摄像头列入上述分级管理制度先行试点的首批实施目录。当摄像头外包装上清晰印刻着蓝色标识和星星数量,网络安全便不再是晦涩的技术参数,而是人人可辨识、可监督、可追责的公共产品,其经验将为后续扩展至其他联网产品提供重要参考。从长远看,智能家居、可穿戴设备、智能汽车等更多联网产品有望逐步纳入标识管理范围,形成覆盖更广的网络安全标识体系。
从碎片化监管到体系化治理
网络安全标识分级管理制度的建立,是我国网络安全监管模式从碎片化应急响应向体系化预防治理转变的重要标志。长期以来,我国对联网产品的安全监管呈现分散化、碎片化特征。近年来,消费类网联摄像头普及率迅速攀升,但弱口令、默认密码、固件漏洞长期得不到修复等安全问题时有发生,引发社会关注。然而,针对此类产品的安全要求散见于多项标准之中,缺乏统一的准入门槛和评价体系,监管部门往往只能在安全事故发生后进行事后追责,难以实现有效的事前预防。
网络安全标识分级管理制度的建立,填补了这一制度空白。该制度构建了“自愿参与—分级检测—备案公示—市场选择”的完整治理链条。产品生产者按照自愿原则参与,通过专业检测确定安全等级,经备案机构审核后在产品外包装上标注相应星级的标识。消费者通过扫码即可查询检测报告、关键指标等详细信息,实现安全能力的透明化、可视化。该制度设计既避免了行政强制的高昂成本,又确保了治理的有效性。从制度演进角度看,这一制度创新与《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》共同构成我国数字时代安全治理的制度矩阵,为数字经济健康发展提供更坚实的法治保障。
确保能力可视化的分级治理
分级分类治理是网络安全标识管理制度的核心机理,其将抽象的网络安全概念转化为可感知、可衡量、可操作的具体指标体系。其中,基础级(一星)强调“守住安全底线”,要求产品不得存在弱口令或通用默认口令,必须建立漏洞管理机制并能够动态修复漏洞,保持软件持续更新等。增强级(二星)要求产品安全能力达到同类产品先进水平,在数据加密、异常行为监测、访问控制等方面提出更高标准。领先级(三星)要求不仅要满足更高的技术指标,还必须通过第三方机构开展的渗透性测试,验证产品抵御高级别网络攻击的实际能力。
不同安全等级的产品适用于不同的应用场景和用户群体,消费者可根据隐私保护需求、敏感程度等因素选择相应等级的产品。对产品生产者而言,分级标识为其提供了清晰的升级路径和竞争赛道,企业可根据自身技术实力和市场定位选择目标等级,通过持续提升安全能力实现品牌溢价。对监管部门而言,分级管理使有限监管资源能够向高风险领域聚焦,提高监管效能。
根据《消费类网联摄像头网络安全标识实施规则(征求意见稿)》,安全能力检测依据《网络安全标识 消费类网联摄像头安全要求(征求意见稿)》执行。该标准从物理与硬件安全、系统与软件安全、网络与通信安全、数据与个人信息安全、安全保障五个维度构建了完整的评价指标。每个单项能力均需达到相应等级要求,方可获得对应的网络安全标识。这种“多维评分、底线控制”的评价机制,既确保安全能力的全面性,又避免某一短板可能导致的系统性风险。
配套权责清晰的制度保障
检测环节是网络安全标识制度的“守门人”。需要标注一星级和二星级的产品,生产者可以利用自有检测实验室或委托第三方检测机构开展检测;标注三星级的产品则必须委托符合条件的第三方机构开展渗透性测试。对于基础级和增强级,允许具备能力的企业利用自有实验室检测。这有利于降低企业制度性成本,提高其制度参与的积极性。但为防止“既当运动员又当裁判员”的道德风险,规则还要求用于二星级检测的自有实验室必须具备中国合格评定国家认可委员会(CNAS)认可资质,认证能力范围覆盖网络安全检测相关内容。对于最高等级的三星级,则强制要求第三方渗透性测试,确保评价结果的客观性和权威性。
备案管理是连接检测与市场的中间环节。中国电子技术标准化研究院作为备案机构,承担网络安全标识备案、信息发布等工作。备案流程全部通过线上平台办理,生产者需提交检测报告、符合性声明、营业执照等七类材料。备案机构在收到完整材料后10个工作日内完成形式审查,审查通过后公告产品备案信息及标识样本。备案制度的意义在于建立“检测—备案—公示”的完整信息链条,通过信息公开实现社会监督。消费者扫描标识上的备案信息码即可查询检测报告、关键指标等详细信息。这打破信息不对称格局,使安全能力从“企业自说自话”变为“公众可验证的客观事实”。
对违规行为设定严厉的法律责任。根据《网络安全标识管理办法》,有备案材料弄虚作假、标识与实际能力不符、伪造冒用标识等行为的,备案机构应当撤销备案并公告,且自公告之日起一年内不再受理该生产者的产品备案。检测机构出具虚假报告的,同样面临一年内不被采信的惩戒。这种“一处失信、处处受限”的信用惩戒机制,显著提高违法成本。此外,地方网信部门、通信管理局、公安机关负责区域内的监督检查,发现违法行为可依法处罚并将信用记录纳入全国信用信息共享平台。通过行政监管、市场惩戒、社会监督的有机结合,形成多层次的约束体系。
构建市场驱动的良性生态
对消费者而言,在选购家用摄像头等产品时,面对商家的“安全可靠”宣传难以辨别真伪,往往易陷入价格竞争导致的“低价陷阱”,隐私泄露风险不容忽视。但是,分级标识制度的实施,使网络安全从抽象的营销话术转化为直观可辨的星级标识,消费者可根据自身需求选择相应等级的产品,扫码即可查询权威检测信息,消费决策更加透明、理性。对整个产业而言,将推动价格竞争向安全品质竞争转变。过去,消费类网联摄像头市场存在“重功能、轻安全”的现象,《网络安全标识管理办法》及配套规范、标准,将推动行业整体向规范化、高品质方向转型。头部企业可凭借技术优势率先获得高星级标识,打造差异化竞争优势;中小企业则必须对照标准补齐安全短板,否则可能面临被市场淘汰的风险。
从宏观层面看,网络安全标识分级管理制度为数字经济发展提供安全保障。随着数字经济的深入发展,联网产品日益普及,网络安全已成为影响社会稳定、经济发展和国家安全的重要因素。通过建立分级分类的安全管理体系,对不同安全等级的产品实施差异化监管,既保障普通消费场景的基本安全需求,又为重点领域和核心场景提供了高安全能力的产品供给。这一制度与国际网络安全标识实践形成呼应,将为我国企业参与国际竞争创造有利条件。
本文为北京市法学会2025年市级法学研究重点课题“公安机关服务保障营商环境问题研究”〔项目批准号:BLS(2025)A008〕的阶段性研究成果。
(作者单位:中国人民公安大学法学院、数据法学研究院)