2.5 实施过程中面临的挑战

2017年8月，为了解《网络安全法》和《全国人大常委会关于加强网络信息保护的决定》实施情况，查找问题，剖析原因，提出建议，着力推进法律实施中重点、难点问题的解决，全国人大常委会在多个省区市开展了“一法一决定”执法检查。执法检查采用委托第三方机构、检查组随机选取，在运营单位不知情的情况下完成检测的方式，检查组从网络安全意识亟待增强、网络安全基础建设总体薄弱、网络安全风险和隐患突出、用户个人信息保护工作形势严峻、网络安全执法体制有待进一步理顺、网络安全法配套法规有待完善、网络安全人才短缺等七方面总结了网络安全工作中存在的困难和问题，也从七方面提出了贯彻实施“一法一决定”的建议。这些困难和问题现在仍然存在。

2.5.1 网络安全执法体制和部门职责

检查组认为，网络安全监管“九龙治水”现象仍然存在，权责不清、各自为战、执法推诿、效率低下等问题尚未有效解决，法律赋予网信部门的统筹协调职能履行不够顺畅。一些地方网络信息安全多头管理问题比较突出，但在发生信息泄露、滥用用户个人信息等信息安全事件后，用户又经常遇到投诉无门、部门之间推诿扯皮的问题。这本来就是现状，但《网络安全法》不但没有解决这一问题，反而在“法律责任”部分使用了大量“有关主管部门”，加剧了这一矛盾，比如行政执法过程中存在不同执法部门对同一单位、同一事项重复检查且检查标准不一等问题，不同法律实施主管机关采集的数据还不能实现“互联互通”，经常给网络运营商增加额外负担。检查组特别指出，如果不能合理定位，准确厘清部门之间的职责，等级保护制度和关键信息基础设施保护制度落实过程中也会产生执法不协调问题。关键信息基础设施中80%的都是工业控制系统，工业控制系统保护要求是网络安全等级保护的扩展要求，诸如此类都需要厘清职责。

《网络安全法》的执法案例数不胜数，但现有执法案例所援引的条款在《网络安全法》中的比例偏低。换言之，现在公开报道或者网络安全厂商大量转发的《网络安全法》大量执法案例，实际上主要集中在法律的个别条款，对部门有利就执行，对厂商有利就转发，如违反《网络安全法》第二十一条，违反《网络安全法》第二十四条和第十二条。正如《网络安全法》的立法定位主要解决网络安全和信息化领域的安全问题，因此执法不仅包括网络安全等级保护，还包括关键信息基础设施安全、数据安全、互联网信息内容安全。

2.5.2 《网络安全法》配套法规和制度细则

检查组反馈，网络安全法作为网络安全管理方面的基础性法律，不少内容还只是原则性规定，真正“落地”还有赖于配套制度的完善。比如，网络安全法虽然对数据安全和利用作了规定，但现实中数据运用比较复杂，数据脱敏标准、企业间数据共享规则等，仍然需要有关法规规章予以明确；网络安全法仅明确了关键信息基础设施运营者数据出境需进行评估，但其他网络运营者掌握的重要数据出境是否进行安全评估，尚待进一步明确。关键信息基础设施保护制度是网络安全法一项重要制度，但对于什么是关键信息基础设施、关键信息基础设施认定的标准和程序等，目前认识尚不一致，需要配套法规予以明确。因此，关键信息基础设施的合规性安全也是本书尝试要梳理的议题。

问题仍然存在的核心是要解决概念和对象问题，明确说法问题。法律有滞后性，这是天然决定的。然而，信息技术应用日新月异，网络安全风险挑战快速变化，又决定了很多问题可能来不及研究。因此，在国家大的法律条款框架内，明确执法过程中说法或给出操作指南，哪怕是地方性的规定，这对网络安全类执法来讲意义重大。同时，如果某项制度在研究中或执行中就遇到了阻碍，尤其是部门之间没有取得共识，强行立法是否合适？或者出台一个细则，从基本点上先达成共识，共同推进。