構建產品網絡安全的可信身份證——《網絡安全標識管理辦法（征求意見稿）》的創新與完善

核心提示：《網絡安全標識管理辦法（征求意見稿）》通過分級分類標識、市場化引導、全鏈條監管，進一步提升具有聯網功能產品的網絡安全能力，保護消費者權益，維護網絡安全和公共利益，為產業高質量發展與網絡安全保障提供新的制度工具。

武丹/制圖

作者|鄧輝

責編|薛應軍

正文共2804個字，預計閱讀需8分鐘▼

11月21日，國家互聯網信息辦公室、工業和信息化部發布《網絡安全標識管理辦法（征求意見稿）》（以下簡稱《征求意見稿》），面向社會公開征求意見。意見反饋截止時間為12月6日。

《征求意見稿》通過分級分類標識、市場化引導、全鏈條監管三大機制，進一步提升具有聯網功能產品的網絡安全能力，保護消費者權益，維護網絡安全和公共利益。作為我國系統性構建網絡安全標識制度的規范性文件，《征求意見稿》堅持“自愿參與、政府引導、市場主導”原則，將產品安全能力分為基礎級（一星）、增強級（二星）、領先級（三星）三個等級，通過“一碼溯源”實現透明化管理，為產業高質量發展與網絡安全保障提供新的制度工具。

主要亮點：三大創新構建科學治理體系

分級分類，精準匹配產品安全需求。《征求意見稿》第五條明確規定，網絡安全標識按能力從低到高分為基礎級、增強級、領先級三個等級，每個等級對應差異化的安全要求：一是基礎級（一星），需滿足國家標準基本要求，如無弱口令或通用默認口令、建立漏洞管理機制、保持軟件更新等，是產品安全的底線；二是增強級（二星）：要求達到國內先進水平，需在基礎級之上實現更完善的安全防護（如數據加密、訪問控制等）；三是領先級（三星）：需達到國際先進水平，并通過滲透性測試驗證能夠具備抵御高級別攻擊的能力，是產品安全的標桿。與此同時，《征求意見稿》要求采用產品目錄管理模式，由網信辦和工信部分批公布實施目錄，首批涵蓋智能家居、智能終端等聯網產品。依照《征求意見稿》第六條的規定，標識內容需包含生產者名稱、規格型號、等級、有效期、檢測機構、標準編號及備案信息碼，消費者掃碼即可獲取檢測報告、關鍵指標等信息，實現“一碼溯源”的透明化管理。

市場化協同，激發企業自主提升動力。《征求意見稿》要求堅持自愿參與原則，通過市場機制引導企業主動提升自身安全能力：在檢測環節，企業可自主選擇自有實驗室（需提供能力證明）或第三方資質機構檢測，領先級產品還需委托第三方進行滲透性測試；在備案環節，通過中國電子技術標準化研究院的備案平臺線上提交材料，備案機構在10個工作日內完成形式審查并公告；在市場引導環節，鼓勵消費者優先選用帶標識產品，通過市場需求倒逼企業升級。這種模式既尊重企業自主權，又通過透明化的標識信息讓市場發揮資源配置作用，可有效平衡安全與發展。

全鏈條監管，筑牢責任追溯防線。《征求意見稿》構建了“事前備案—事中監督—事后追責”的全鏈條監管體系：一是事前備案，嚴格審核檢測報告、符合性聲明等材料，確保標識與產品能力一致。二是事中監督，網信辦、工信部及地方網信部門、通信管理局負責日常監督檢查。三是事后追責，明確撤銷備案情形，如《征求意見稿》第十四條規定，材料造假、標識不符的將被撤銷備案；第十五條規定，對偽造標識的企業，撤銷備案且1年內不受理其申請；第十六條規定，對出具虛假報告的檢測機構，1年內不采信其結果。此外，《征求意見稿》第十八條還要求檢測過程中發現漏洞需按《網絡產品安全漏洞管理規定》報告，以實現漏洞的快速響應與修復。

面臨問題：制度落地需破解三大挑戰

制度銜接與跨部門協同性有待提高。一是與現有法規的銜接需細化。《征求意見稿》第二十條規定，網絡關鍵設備和網絡安全專用產品不列入目錄，但標識制度與現有管理如何協同？比如，《征求意見稿》如何與2025年新修訂的網絡安全法第二十五條規定的強制性認證銜接？現有規定未明確，這可能導致監管重疊或空白。二是跨部門協同機制待明確。《征求意見稿》第四條規定，由網信辦和工信部共同負責網絡安全標識管理工作，分批制定公布《實施網絡安全標識的產品目錄》，明確每類產品的具體實施規則和依據的國家標準或技術文件，但基層網信部門與通信管理局的日常監管如何分工？此外，《征求意見稿》第十三條提到地方監督，但未細化信息共享、聯合執法流程，可能影響監管效率。

標準體系與檢測能力適配待提升。一是實施規則需加快細化。《征求意見稿》第五條要求對每類產品的實施規則確定等級要求，但首批目錄的具體規則尚未發布，企業難以明確檢測方向。二是檢測機構能力需規范。領先級產品需要滲透性測試，但《征求意見稿》未明確具備該能力的機構資質標準，可能導致檢測結果的權威性不足。三是國際標準銜接需加強。《征求意見稿》第五條提到借鑒其他國家和地區經驗，但如何將國際先進標準融入我國等級要求，尚未有具體路徑。

實施保障機制落地性待強化。一是備案平臺功能需完善。《征求意見稿》第八條提到備案平臺，但未明確是否具備異議處理、實時查詢等功能，若企業對備案結果有異議，缺乏快速反饋渠道。二是基層執法能力需提升。基層網信和通信管理局缺乏專業檢測工具，如識別偽造標識的技術手段，難以有效開展監督。三是公眾參與渠道需拓寬。《征求意見稿》第十七條提到舉報機制，但未建立獎勵制度，難以激發公眾參與積極性；對消費者的標識認知教育也未提及，可能影響市場引導效果。

完善建議：推動制度從“框架”到“落地”

強化制度銜接與跨部門協同。一是在《征求意見稿》附則中增設銜接條款，明確網絡關鍵設備與專用產品的標識管理例外規則，建立與現有強制性認證的互認機制。二是建立網信、工信、市場監管等跨部門聯合監管機制，細化地方網信部門與通信管理局的分工與合作方式，如定期聯合檢查、信息共享等，以提升監管協同效率。

加快標準體系與檢測能力建設。一是盡快出臺首批產品的實施規則，明確各等級的具體技術指標，如領先級滲透性測試的具體方法。二是規范檢測機構資質，建立滲透性測試機構的認證清單，確保檢測結果的權威性。三是建立標準動態更新機制，定期評估國際標準發展趨勢，將先進技術要求融入我國等級標準。

提升實施保障與公眾參與效能。一是完善備案平臺功能，增加異議處理模塊，如明確企業可在線提交申訴，提供實時查詢功能，如消費者可查標識的有效性。二是加強基層執法能力，為地方部門配備掃碼驗證工具、組織專業培訓。三是建立舉報獎勵制度，如給予舉報人罰款金額相應比例的獎勵；開展“網絡安全標識”宣傳活動，通過圖解、漫畫、短劇、講座等方式普及標識意義，提升公眾的認知度和參與度。

《征求意見稿》作為我國網絡安全領域的重要制度創新，為產品安全能力識別和提升提供了清晰的路徑。通過細化制度銜接、加快標準建設、強化實施保障，其有望成為推動產業高質量發展、保障網絡安全的重要抓手。期待社會各界積極建言獻策，共同完善這一制度，讓網絡安全標識真正成為消費者放心的“安全盾牌”，企業競爭的“質量名片”。

（作者單位：中國人民公安大學法學院/數據法學研究院）