在酒店做WiFi合规认证的售前咨询里，有个问题几乎每个甲方都会问到：我们这套系统，按照法规到底要满足哪几条？

这个问题看起来简单，实际上能把很多做弱电集成的人问住。因为酒店WiFi合规涉及的法规不止一部，而且不同法规的要求层次不一样，监管主体不一样，执行力度也不一样。搞不清楚这些区别，方案就容易做成"大而全但哪条都没落实"。

这篇文章就做一个梳理，把酒店WiFi合规认证最常被提起的这三部法规——网络安全法、公安部82号令、等保2.0——分别要求什么、互相之间什么关系、甲方的实际执行重点在哪里，一次说清楚。

《网络安全法》：法律底线，酒店必须守

《网络安全法》是2017年正式实施的法律，从法律层面为网络安全划了底线。这部法规里跟酒店WiFi最直接相关的是第二十一条第三款：网络运营者应当采取记录、跟踪网络运行状态，监测、记录网络攻击、网络入侵、网络恐怖主义等安全事件，并按照规定留存网络日志不少于六个月。

注意几个关键词：网络运营者、留存网络日志、不少于六个月。

"网络运营者"这个定义，在法律实践中覆盖了所有提供网络服务的机构，酒店提供WiFi上网服务，属于"以向公众提供网络服务为目的"的运营者，适用该条款。这不是含糊的推断，而是有实际执法案例支撑的判断——多地公安网安部门已经依据网络安全法对酒店WiFi不合规行为开出过整改通知甚至处罚。

"留存网络日志不少于六个月"是硬性数字。实际执行中，很多地方的检查会比这个底线更严格，要求达到六个月以上。但六个月是法律明确规定的下限，低于六个月肯定不合规。在这个基础上，日志内容要能支撑"追溯到人"——不是光有访问记录，还要能关联到具体是谁。

公安部82号令：操作层面的具体要求

82号令全称是《互联网安全保护技术措施规定》，是公安部2006年发布的部门规章，2018年做过修订。这个文件是酒店WiFi合规里被引用频率最高的，因为它的要求比网络安全法更具体。

核心要求有两类：

第一类是日志留存。82号令要求互联网接入服务提供者记录并留存用户上网日志不少于60天。注意这个60天和网络安全法的六个月不矛盾——六个月约等于180天，60天是部门规章层面的底线，180天是法律层面的底线。实际操作中，两个数字都要满足，取较长者。

第二类是安全技术措施。82号令要求提供互联网上网服务的场所具备以下能力：防范网络攻击、网络入侵、网络病毒传播的技术措施；记录用户上网行为日志的能力；以及在必要时向公安机关提供相关数据的能力。第三点很关键——"必要时提供数据"，意味着酒店的系统不仅要把日志存下来，还要能在被要求时快速检索并导出。

这就是为什么现在很多招标文件里会明确写"支持公安日志上报接口"或者"支持32号令格式推送"。不是集成商拍脑袋加的，是甲方在应对82号令的具体执行要求。

等级保护2.0：分级保护，高星级和连锁酒店的进阶题

等保2.0全称是"网络安全等级保护制度2.0标准"，2019年正式实施，是网络安全法的配套标准体系。相比前两部法规，等保2.0最核心的特点是：分级。

等保2.0把信息系统分为五个安全等级，一级到五级，安全要求逐级提高。对酒店而言，大多数情况下涉及的是二级等保，少数高星级酒店或者位于重要地区的酒店可能涉及三级等保。

等保二级的日志要求主要包括：集中收集和存储系统日志；日志内容要覆盖重要用户行为和重要安全事件；日志要保留足够长的时间以支持事后分析；日志要有防篡改和备份机制。这些要求听起来比较抽象，但等保有明确的测评标准，每一项都有对应的测评点和评分规则。

等保三级的要求就复杂得多，增加了实时监控、关联分析、安全事件自动告警等内容。这类要求已经不是买一台日志服务器能解决的了，需要有完整的日志分析平台和专业的运维人员支撑。

这三部法规是什么关系

简单说，法律层面划底线，部门规章提要求，等保标准给方法论。三者的关系不是互相替代，而是层层递进：

网络安全法是法律，红线，不可突破，低于六个月留存就是违法。

82号令是部门规章，是公安网安部门执法检查的直接依据，检查时用的是82号令的条款。

等保2.0是国家标准框架，主要用于系统建设时的规划参考和测评验收，是否需要做等保取决于酒店规模和当地政策要求。

实际执行中，大多数酒店首先要满足的是82号令，因为这是公安网安部门日常检查的直接依据。如果酒店所在地有强制等保要求，或者酒店自身需要通过等保测评，那就在82号令的基础上叠加等保要求。如果酒店规模不大、没有强制等保要求、也没有收到过具体的整改通知，那82号令就是最核心的执行参考。

酒店实际执行时，合规方案怎么对标

清楚了三部法规的层次，再来看酒店在实际建设中怎么对应。

第一步，对标82号令，这是必选项。要求是：认证系统能记录用户手机号、认证时间、下线时间、IP地址、MAC地址，日志留存不少于60天，能按要求格式推送。这套能力在V7统一认证计费系统里是基础功能。

第二步，对标网络安全法，留存周期延长到六个月，同时确保日志内容能支撑"追溯到人"的能力。这不需要额外采购日志服务器，V7认证系统的内置日志模块已经可以满足。

第三步，如果酒店需要做等保测评，或者当地有更严格的网安检查标准，就需要引入日志审计系统，做更细粒度的流量记录和行为分析。这部分需要根据具体测评要求和预算做定制化方案。

有一个细节值得单独说：法规要求的"留存不少于六个月"，是指日志数据的完整性和可用性，不光是指时间跨度。见过一些酒店的日志数据虽然存了半年，但关键的字段是空的，比如IP字段只有内网地址没有公网出口地址，MAC字段完全缺失，这类日志在追溯时根本用不了，等于存了一堆废数据。所以日志的"量"要够，"质"也要够。

酒店WiFi合规，法规依据不是一部，而是三部叠加。搞清层次，对标执行，不漏项也不过量，才是最务实的合规策略。