——《北京市公共服务网络与信息系统安全管理规定》简评安全问题关系到国家的根本利益，为各国政府高度重视。在信息化时代，保障hr就成为政府保证社会稳定、政治秩序良好、经济运行通畅的前提。自我国开始向信息化社会迈进以来，保障信息系统安全就成为从中央到地方、各个行业、各个地区政府主管部门信息化管理工作的重心。相关的立法和规范制定工作也就成为信息化法制建设当中十分突出的内容。《北京市公共服务网络与信息系统安全管理规定》（一下简称“管理规定”）于2005年11月15日由北京市政府颁布，从2006年起实施这部政府规章。这是国内首部针对公共服务网络信息系统安全进行规范的法规。北京在实施“新北京，新奥运”战略，奥运会和建设现代化大都市的要求都对社会公共服务设施提出很高的要求。北京地区走在时代的潮头之上，社会公共服务基础设施建设的信息化程度比较高，这也是着眼于“新北京，新奥运”战略的结果。信息化的时代背景下，对公益性的社会公共服务的信息化建设的要求与保障公共服务网络系统安全在重视程度上是一样的。安全保障措施是一种操作行为，其前提和基础是制度建设。“管理规定”的及时出台正是这种制度建设的体现。以法规的形式确立相关的安全保障，这是为经验所证明了的最有效的形式，同时也是当前依法行政要求的体现。北京市此次对涉及公共服务的网络和信息系统的安全保障做出的规范，以政府规章的效力等级，既保证了地域内的施行效力，又为法规适应信息化的动态特征而可能产生的修正和更新作好铺垫。就规范的内容而言，“管理规定”是第一部对公益性的社会公共服务设施的网络信息系统的安全进行规范的法规，开国内相关立法之先，有着极大的探索和试验的意义。国内有关hr的立法和规范制定是信息化法制建设中最先被重视起来的领域，已经走过了十余年的历程。早在1994年，国务院颁布《中华人民共和国hr信息系统安全保护条例》，对保障hr信息系统安全的原则、重点范围进行了规定。提出了建立安全等级保护制度、国际联网备案制度、案件报告制度、hr产品销售许可证制度等的立法思想。这部法规为国内各级各地政府部门的hr规范制定提供了整体框架。1997年《刑法》修订，以“扰乱公共秩序罪”的罪名归类对危害hr的行为进行了界定，首次把危害hr行为纳入到刑罚体系中。1997年由国务院批准的《hr信息网络国际联网安全保护管理办法》，强调了危害信息系统安全的行为为我国法律所禁止，违法行为要承担行政责任。1997年前后到2004年，是国内hr规范制定集中的时期。此间先后发布的有关hr的部门规章、地方性法规、地方政府规章和各类规范性文件有约60部1。如1997年的《农业部hr信息网络系统安全保密管理暂行规定》、1998年公安部、中国人民银行联合发布的《金融机构hrhr保护工作暂行规定》、2003年的《铁路hr信息系统安全保护办法》；1998年的《重庆市hr信息系统安全保护条例》，2002年的《天津市预防和控制hr病毒办法》、2003年的《广东省hr信息系统安全保护管理规定》等地方法规等等。2000年底由全国人民代表大会常务委员会通过的《关于维护互联网安全的决定》，以法律性文件的形式，明确了保障信息系统安全的主旨。2005年8月公布的《治安管理处罚法》，对危害信息系统安全的有关违法行为做出了详尽的处罚规定。北京市则早在1994年就发布了由北京市政府批准的《北京市hr信息系统病毒预防和控制管理办法》，2001年北京市委、市政府办公厅发布了《北京市党政机关hr网络与hr管理办法》，北京市信息化工作办公室和北京市公安局先后发布了多个关于hr的文件，如《北京市国家机关重大hr事件调查处理办法（试行）》等。这些保障hr的法规体现出了一些共同的特征。首先是对hr信息系统的界定都比较宽泛，即使是某些行业主管部门发布的规章，也把本主管行业内所有的hr信息系统包含在内。其次是都强调了hr信息系统运营单位必须建立起相关的安全保护制度，但是没有具体的规定。最后一个显着特征是大多确定公安部门为hr信息系统安全保护的政府管理机构，信息化管理部门负责具体的技术运作层面的管理。总体而言，在立法法规定的立法途径内发布的hr法律法规，多以宏观监管为主，通过禁止性规定、市场准入等行政许可措施达到保障安全的目的。此次《北京市公共服务网络与信息系统安全管理规定》，不但是在保障信息系统安全的内容方面有突破，在有关保障制度的具体操作上也体现出十分新颖的特征。内容正如前述是国内首部对社会公共服务设施信息网络安全进行规范的法规，在具体保障措施方面则从宏观监管、禁止性规定和市场准入的角度向政府示范、科学指导、注重操作的方向转变。在一定程度上，这是随着信息化的不断发展、其本身的客观规律不断为人们所认识而产生的必然结果，“管理规定”则在国内首次把这种进步在立法中体现出来。在这部《北京市公共服务网络与信息系统安全管理规定》中，首先对“公共服务网络与信息系统”进行了定义。需要特别强调的是“公共服务网络与信息系统”是“行政机关和企事业单位为社会提供公共服务的网络与信息系统”，包括政务、交通、医疗卫生、供水、供电、供气、供热、通信和广播电视等。可以看到，这些领域都跟普通大众日常生活密切相关，是利用公共资源的行业。这些领域政府监管的力度一般要大于普通民商事主体。在依法行政的，不宜用过多的行政法性质的法规对民商事活动进行规制，但是对于这些为公众服务、使用公共资源、涉及公共利益，就应承担起的责任，政府对这些领域的强化管理无可厚非。从这个角度看，“管理规定”的发布体现出较高的科学性。在具体内容方面，“管理规定”以法规的形式确立了许多为实践证明是切实有效安全保障措施，比起以往宏观的原则性规定，体现出了巨大的时代进步性。在立法技术层面，则更突出地显示出了人性化的特征，强调引导、示范的理念。“管理规定”第四条，具体列出了加强hr管理的工作内容，具有较强的可操作性，给当事人一种示范。接着第五条则对政府部门提出了要求，明确政府部门承担的责任。这样的行文意图明确：要求行政相对人尽到的义务，政府部门首先要履行自己的义务和职责。“管理规定”在安全措施方面的规定，相对于以往的类似法规也有很大的突破。一是明确了网络信息系统安全等级保护制度，并对具体的等级划分标准和内容做出了详尽的规定。在1994年发布的行政法规《中华人民共和国hr信息系统安全保护条例》中就已经明确了用安全等级制度保护hr的思路。但是安全等级划分的标准和具体作法，一直以来都难以确定。“管理规定”用政府规章的形式建立起安全等级的划分标准和具体内容，这是前所未有的。在安全等级制度建立的基础上，实行高等级备案制度，以便于有关部门对具体机构的hr措施实施有效的管理。“管理规定”要求建立信息系统和信息数据备份制度。这是一条在保障hr方面十分具体的规定。对信息系统和信息数据备份，是被实践证明hr保障一条有效的措施。它的作用是补救因安全事件发生而产生的数据遗失或系统停止，却仍然可以起到防患于未然的目的，这正是法规制定的诉求所在。“管理规定”把这项措施作为强制性规定，其实是引导相对人向信息化客观规律的要求靠近。“管理规定”突出之处是规定“制定网络与信息系统安全事件应急预案并定期进行演练”的制度。这项规定着眼于网络与信息系统安全事件的防范，是真正的居安思危、防患于未然的立法诉求的体现。法规规定了要建立应急预案，并要定期演练，这在行政法规中也是一个较大的突破。法规的规定是静止的，而事物却是活跃的、能动的。在立法与执法的关系方面，这是一个长久的难以破解的两难处境。“管理规定”的这一条规定，确立了动态管理的原则，围绕制定网络与信息系统安全事件应急预案并定期演练，“管理规定”又规定了网络与信息系统安全事件发生后的紧急处理制度，并通过给政府有关部门设立责任的“建立hr应急救援服务体系”的措施，来实现安全事件发生的妥善处理。这些措施的实施，完全着眼于事物的动态特征，相应的措施也是动态的、灵活的，在此基础上，有关部门对行政相对人的监管就会有明确的考核标准，政府执法也有根据，操作性很强。网络和信息系统安全是信息化时代的重大问题，会随着信息化的不断深入呈现出新的状态。《北京市公共服务网络与信息系统安全管理规定》的发布实施，吸取了几年来信息化实践方面的有益经验，捕捉到了目前已经为人所认识的信息化客观规律在上层建筑中的应用，遵从了依法行政的科学思想，在立法技术上体现出相当成熟的先进性，是国内信息化法制建设的里程碑式的事件。1 参见北京市信息化工作办公室编《信息化政策法规汇编》三卷本，2005年11月。