在上一期文章中，笔者从网安法的概要、规范主体和重要制度三个方面展开论述，对网安法的基本内容进行了总结，本期文章笔者将尽可能对网安法施行后全国层面主要配套规范加以归纳，展现网安法实施四周年的过程中在规则建立方面所做出的主要努力。

网安法被定位为网络安全领域的基础性法律。所谓基础性，笔者认为体现在其存在的意义不局限于解决网络安全领域的某个具体问题，更在于为解决既存问题或潜在问题提供解决原则或思维倾向，故而网安法的条文多以原则性表述为主，以保证在具体适用过程中的弹性。而针对具体问题则更倚仗于网安法相关的法律法规、规章及规范性文件以及标准等特定领域、不同业态的配套规范，因此配套规范的制定、实施和完善对于网安法的“精准落地”尤为关键。结合我国网络安全法律体系的实际，以下笔者将从配套立法及配套标准两个方面对网安法施行以来所制定的相关配套规范进行大致梳理。

一、配套立法

我国网络安全法律体系中，全国层面的法律规范可划分为法律、行政法规、部门规章、部门规范性文件四个层级。从相关立法实践来看，网安法施行这四年中，针对网络安全特定领域、不同业态的配套立法正在不断推进，但也表现出进度不一的状态，特别是在一些亟待明晰或解决的领域内，诸如目前企业较为重视的关键信息基础设施的识别和管理、个人信息和重要数据出境等方面，配套立法尚在推进中，给有关规范主体在具体的理解和适用上带来一定影响。而从制定主体出发，除全国人大常委会负责制定特定领域法律之外，国家互联网信息办公室、公安部、工业和信息化部在其职权范围内开展行政法规草案以及部门规章、部门规范性文件的制定工作；其他部门则多采取单独或与上述部门共同发布部门规章、部门规范性文件的形式实现牵涉本部门主管领域的配套立法工作。

1.法律（含草案）

2.行政法规（含征求意见稿）

3.部门规章（含征求意见稿）

4.部门规范性文件（含征求意见稿）

二、配套标准

除了上述的配套立法外，尤其需要注意的是各种类型的标准。从目前来看，可以说以国家标准的形式落实法条的理念已在实践中得到落实。“安全保障，技术为基，标准先行”，可以说标准蕴含量化规范与技术指标双重因素。从规范的维度，标准的制定和实施依托于国家有关的政策法规，反过来又推进政策法规的落地实施；从技术的维度，标准的优势在于其定性与定量，通过标准可以实现规范技术运用和引导行业技术发展之效果，从而在保障网络安全的末端发挥更多作用。因此企业对与自身密切相关的配套标准的把握程度，客观上也将影响自身合规性。

网安法第15条规定：“国家建立和完善网络安全标准体系。国务院标准化行政主管部门和国务院其他有关部门根据各自的职责，组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。”该条旨在打造覆盖我国网络全域，深入各行各业，国家标准与行业标准相辅相成的网络安全标准体系，而2016年发布的《关于加强国家网络安全标准化工作的若干意见》也提出：“全国信息安全标准化技术委员会（以下简称“信安标委”）在国家标准委的领导下，在中央网信办的统筹协调和有关网络安全主管部门的支持下，对网络安全国家标准进行统一技术归口，统一组织申报、送审和报批。”可见涉及网络安全的国家标准的立改废层面，信安标委起到了至关重要的作用。

网安法施行以来，信安标委一直忙碌于配套标准的制定工作。据资料显示，截至2020年3月15日，信安标委归口管理的网络安全国家标准已发布322项，逐步建立了以基础、技术、管理、测评为基本类型，以产品与服务、网络与通信、数据与信息、新技术应用等为规范对象和发展方向的多维度立体化网络安全国家标准体系框架。而在数据安全与个人信息保护、关键信息基础设施保护、网络安全等级保护、系统安全评估、产品安全检测与认证、网络安全管理体系等重点领域，配合着相关配套立法及中央网信办领导的专项执法活动，也正不断推进。

值得注意的是，当前信安标委所发布的多为国家推荐性标准，依据《标准化法》的规定，“国家鼓励采用推荐性标准”，因此在实践中很多企业，特别是传统非互联网行业的网络运营者对于是否应该严格遵循该等推荐性标准的要求常抱有困惑。虽然在网络安全领域大量采用推荐性标准可以使标准的适用保持弹性和空间，符合我国“以标准先行先试”的特色；但由于推荐性标准本质上仍属于企业自愿采用的范畴，这就给企业在是否遵循和适用的选择上带来疑惑。

应当明确的是，即使推荐性标准本身被冠以“推荐性”的名称，但并不意味着所有情形下推荐性标准均为自愿采用，推荐性标准在下列几种情形下即存在强制适用的可能性。

一是推荐性标准被法律、法规、规章或规范性文件、强制性标准、依法设立的各种许可或资质要求吸纳或引用的，在执行该等法律法规等时，则应强制适用推荐性标准。二是在交易双方约定或者企业自主承诺执行推荐性标准，此时推荐性标准则变为对企业的强制性要求。三是在交易双方未明确产品的标准时，根据《民法典》第511条之规定，交易双方对标的的质量要求不明确的，在没有强制性国家标准的，则应按照推荐性国家标准履行。

恰巧网安法对于网络安全标准的表述也值得回味。无论是第10条亦或是第22条的表述均为“国家标准的强制性要求”，易言之可理解为无论强制性标准亦或是推荐性标准，如在其具体适用过程中体现出强制性的要求，则均应严格执行，那么就不能排除目前网安法体系下众多推荐性标准强制适用的可能性。例如网安法第21条要求网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，而结合目前等级保护层面，无论是实施指南、基本要求或是设计技术要求等均为推荐性标准。但即使如此，由于网安法对网络运营者施加了义务，是否就意味着网络运营者需要严格遵循等级保护制度下的各项推荐性标准，至少笔者认为答案是肯定的。

为了解除企业在推进网络安全建设中的疑虑，对于网安法配套标准，笔者认为在内容较为完善，已逐渐形成标准族格局和治理生态，且相对重点的领域，适当地将有关推荐性标准吸收为强制性标准，确保标准可以得到充分执行，避免制度落空。

三、小结

纵观配套规范的制定进程，从网络安全法施行伊始对互联网信息服务的集中立法，到近两年对数据安全、个人信息保护配套规范的加速制定，可以发现配套规范一方面在于为特定时期重点治理领域提供执法依据和保障，另一方面顺应时代发展和国际趋势，为新技术和新业态的发展提供指引，虽然在各具体领域内进度不一，但日前国务院发布的2021年立法工作计划中涉及网络安全领域的《关键信息基础设施安全保护条例》以及《数据安全管理条例》赫然在列，制定较为迟滞的领域也正在迎头赶上，彰显出我国建立和完善以网安法为基石的网络安全法律体系之决心。当然，网安法的最终落地，自离不开主管机关在现实执法中对其具体的适用。网安法施行的四年里，网信机关、公安机关、工信部门等开展执法活动日趋普遍，执法案例不断丰富，这为业界开展实务研讨积攒了众多素材。在下一期文章中，笔者将对网安执法状况进行综述，并选取部分典型案例加以简析，敬请各位期待。

[i] 诸如《家用视听商品修理更换退货责任规定 》要求说明书应按照GB 5296.1编制，虽然该标准2017年转为推荐性，但被规章引用后对视听商品仍有强制约束力。