歐盟網絡安全立法最新進展及其意義①

劉金瑞

歐盟網絡安全立法最新進展及其意義①

劉金瑞

歐盟一直高度重視網絡安全政策和立法，2016年通過了網絡與信息安全指令，主要內容包括：各國必須制定網絡與信息安全國家戰略；增強各國之間的戰略合作和跨境協作；建立計算機安全事件響應團隊并建立歐盟合作網絡；區分基本服務運營者和數字服務提供者分別予以監管；確立網絡安全事件報告制度；平衡網絡安全與產業發展的關系。借鑒歐盟經驗，對完善我國網絡安全法治提出以下建議：一是制定網絡安全國家行動計劃和體系化的立法計劃；二是分類監管信息系統并突出保護關鍵信息基礎設施；三是建立網絡安全信息共享機制以應對網絡安全威脅；四是審慎確定監管范圍以平衡網絡安全和產業發展的關系。

網絡安全法；歐盟網絡與信息安全指令；基本服務運營者；網絡安全事件報告；關鍵信息基礎設施

劉金瑞中國法學會法治研究所助理研究員，清華大學法學博士，研究方向為網絡法、信息法和民法。

信息通信技術的革命性進展，使得交通、電力、電信、供水、金融及政府服務等基礎設施的運營越來越依靠網絡信息系統。然而，互相連接、互相依賴的網絡信息系統極易被攻擊而陷入癱瘓，流動在網絡空間的信息數據也極易被攔截、竊取和破壞，從而引發了網絡安全這一全球性議題。隨著網絡犯罪、網絡間諜、網絡盜竊甚至網絡恐怖主義等威脅不斷涌現，各國紛紛加大了網絡安全治理和立法的力度。2016年是全球網絡安全立法進程中的重要一年，我國和歐盟、美國等國紛紛頒行了一系列重要立法，在全球范圍基本確立了網絡安全的法治框架。本文主要對歐盟網絡安全立法尤其是2016年通過的《網絡與信息安全指令》做一梳理分析，在此基礎上提出完善我國網絡安全法治的思考建議。

一、歐盟網絡安全政策立法發展的基本歷程

歐盟早在21世紀之初就認識到網絡和信息安全領域的重要性，2001年提出了有關“網絡和信息安全”的建議。②Network and Information Security：Proposal for A European Policy Approach，COM(2001) 298.2004年設立了歐盟網絡和信息安全局（ENISA），以幫助歐盟委員會、各成員國和產業界應對和解決網絡信息安全問題。該局的主要任務包括：1.收集和分析歐洲網絡安全事件和風險的數據；2.推動風險評估和風險管理以增強應對信息安全威脅的能力；3.具體執行泛歐洲網絡行動；4.支持各成員國計算機應急響應團隊(Computer Emergency Response Team)的合作；5.提升信息安全領域不同參與者的安全意識和相互協作能力。①Establishing the European Network and Information Security Agency, REGULATION（EC）No 460/200．

歐盟網絡和信息安全局成立之后，歐盟對網絡與信息安全領域更加重視，不斷制定頒行重要的政策和立法：2006年，通過了《確保信息社會安全戰略》，②A strategy for a Secure Information Society-"Dialogue, partnership and empowerment", COM（2006）251．提出建立網絡信息安全多方磋商對話機制，增強公共部門、私營部門和私人用戶的合作；2008年頒布了《歐盟關鍵基礎設施認定、指定以及評估強化其保護必要性的指令》，③Identi fication and designation of European critical infrastructures and the assessment of the need to improve their protection，DIRECTIVE 2008/114/EC．提出了保護歐盟關鍵基礎設施的初步計劃；2009年發布了保護關鍵信息基礎設施的建議④Critical Information Infrastructure Protection："Protecting Europe from large scale cyber-attacks and disruptions: enhancing preparedness, security and resilience", COM (2009) 149．并修訂了《電子通信指令》，⑤Amending Directives 2002/21/EC on a common regulatory framework for electronic communications networks and services，2002/19/EC on access to, and interconnection of， electronic communications networks and associated facilities, and 2002/20/EC on the authorisation of electronic communications networks and services，DIRECTIVE 2009/140/EC.以應對大規模網絡攻擊的威脅和電子通信網絡服務的新變化；2011年發布《保護關鍵信息基礎設施——面向全球網絡安全的成就和下一步行動》，⑥Critical Information Infrastructure Protection: "Achievements and next steps: towards global cyber-security", COM（2011）163.進一步部署了歐盟層面的關鍵信息基礎設施保護計劃。

2013年，歐盟發布了《歐盟網絡安全戰略：開放、安全和可靠的網絡空間》，提出要增強網絡恢復力、有效減少網絡犯罪、制訂歐盟網絡防御政策、發展網絡安全產業和技術以及建立歐盟統一的網絡空間國際政策等。⑦Cybersecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace，JOIN (2013) 1.同年，歐盟通過了規制“信息系統攻擊行為”的指令，要求成員國強化網絡犯罪規制，在各國立法中增加懲處網絡犯罪的規定，以應對日益嚴峻的大規模網絡攻擊。⑧Directive 2013/40/EU of the European Parliament and of the Council of 12 August 2013 on attacks against information systems and replacing Council Framework Decision 2005/222/JHA, OJL345, 23.12.2008, p75-82．2015年，《歐洲安全議程（2015－2020）》⑨The European Agenda on Security, COM (2015) 185 final.發布，進一步深化了歐盟網絡安全戰略的框架。2016年7月5日，歐盟委員會公布了《強化歐洲網絡恢復系統與培養競爭性和創新性網絡安全產業》的通報（communication），提出要建立網絡安全公私伙伴關系。⑩Strengthening Europe's Cyber Resilience System and Fostering a Competitive and Innovative Cybersecurity Industry, COM (2016) 410 final．通報（communication）是歐盟委員會為起草法案征求意見的一種形式。

隨著歐盟網絡安全戰略政策的成熟，歐盟自2013年開始推動網絡安全的綜合性立法計劃，由歐盟委員會和歐盟外交和安全高級政策代表于當年2月提出了“確保歐盟統一、高水平網絡與信息系統安全之相關措施的指令”（Network and Information Security Directive，以下簡稱NIS指令）建議。?Proposal for a directive of the European Parliament and of the Council concerning measures to ensure a high common level of network and information security across the Union, COM (2013) 48.斯諾登事件爆出后，該指令的立法進程加快，歐盟議會（European Parliament）和歐盟理事會（European Council）于2015年12月7日就該指令達成共識。2016年5月17日，歐盟理事會通過NIS指令；2016年7月6日，歐盟議會正式通過了該指令。?2Directive(EU)2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union, OJ L 194, 19.7.2016, p1-30.

NIS指令于2016年8月8日正式生效，歐盟成員國必須在此后的21個月內將該指令轉換為國內法。該指令是歐盟建立數字單一市場（digital single market）的重要舉措之一，是歐盟層面第一部綜合性網絡安全立法，提出了在歐盟確保統一、高水平網絡與信息系統安全的基本法治框架。

二、歐盟網絡與信息安全指令的主要內容

NIS指令所界定的“網絡和信息系統安全”是指“在一定可信水平下，網絡與信息系統抵抗破壞其所存儲、傳輸、處理之數據或者相關服務的可用性、真實性、完整性或者保密性行為的能力。”①NIS Directive, Art.4．該指令建立的歐盟網絡安全法治框架包括以下內容：

（一）歐盟各國必須制定自身的網絡與信息安全國家戰略

NIS指令要求每個成員國都要制定自己的網絡與信息系統安全國家戰略（以下簡稱NIS國家戰略），以實現和維護高水平的網絡與信息系統安全。指令要求NIS國家戰略應該包括以下內容：

1.網絡與信息系統安全國家戰略的目標和重點任務；2.達成這些目標和重點任務的治理框架，包括政府機構以及其他相關主體的角色和責任；3.認定防范、應對以及恢復的相關措施，包括公共部門與私營部門之間的合作；4.明確與網絡與信息系統安全國家戰略有關的教育、意識提升以及培訓計劃；5.與網絡與信息系統安全國家戰略有關的研究與發展計劃；6.認定風險的風險評估計劃；7.實施網絡與信息系統安全國家戰略所涉主體的清單。②NIS Directive, Art.7．

成員國應當確定一個或者多個主管機構來負責監督NIS指令在本國的實施，也就是說指令既允許成員國對不同行業確定不同的主管機構，也允許確定一個主管機構負責所有的行業。但不管確定是一個還是多個主管機構，每個成員國都必須指定一個主管機構作為單一的“聯絡點”（single point of contact），負責聯絡其他成員國主管機構以及根據指令各國都必須建立的計算機安全事件響應團隊（Computer Security Incident Response Team，簡稱CSIRT）。③NIS Directive, Art.8．

和主管機構一樣，成員國可以建立多個計算機安全事件響應團隊。網絡和信息系統安全的主管機構、聯絡機構和計算機安全事件響應團隊需要共同協作來落實NIS指令規定的法律職責。

（二）增強歐盟各國之間的網絡安全戰略合作和跨境協作

為了便利歐盟成員國之間戰略合作與信息共享、增進各國的互相信任，NIS指令要求建立一個網絡安全協作體（Cooperation Group），該協作體由成員國代表、歐盟委員會和歐盟網絡與信息安全局（ENISA）組成。協作體的主要職能在于：為計算機安全事件響應團隊網絡（CSIRTs network）的活動提供指導，交流網絡安全最佳實踐和風險信息，討論網絡安全相關具體標準和技術細則，討論NIS相關實踐、教育計劃和培訓成效包括歐盟網絡與信息安全局（ENISA）所開展的工作等等。每隔一年半，協作體應當完成一份報告，以評估戰略合作中積累的經驗。④NIS Directive, Art.11．

除了網絡安全協作體之外，NIS指令還要求建立計算機安全事件響應團隊網絡（CSIRTs network），⑤詳見下文所述。以增強歐盟各成員國在具體網絡安全事件處置和網絡安全風險信息交流等操作層面的合作。

NIS指令不僅建立了成員國之間的合作框架，還鼓勵歐盟與其他國家或者國際組織達成國際協議，允許和組織這些國家或者國際組織參與歐盟網絡安全協作體的部分活動。但是此種國際協議應該考慮確保數據得到充分保護（adequate protection）的必要性。⑥NIS Directive, Art.13．

（三）建立計算機安全事件響應團隊并建立歐盟合作網絡

NIS指令要求建立計算機安全事件響應團隊網絡（CSIRTs network），由各國計算機安全事件響應團隊的代表和歐盟計算機應急響應團隊（Computer Emergency Response Team，CERTEU）構成。各國計算機安全事件響應團隊的職責在于：監測全國范圍的網絡安全事件，向相關利益方提供網絡安全風險和事件預警、警報、通知和信息傳播，應對網絡安全事件，提供動態的風險事件分析和態勢感知，參與歐盟層面的計算機安全事件響應團隊網絡（CSIRTs network）。①NIS Directive, Art.9，Annex I point (2)．

在各國響應團隊基礎上建立起來的歐盟計算機安全事件響應團隊網絡（CSIRTs network），其職責在于網絡安全事件信息交換、為成員國處置跨境安全事件提供支持、探索和認定進一步業務合作的形式等。每隔一年半，歐盟計算機安全事件響應團隊網絡應當向協作體提交一份報告，以評估業務合作中積累的經驗。②NIS Directive, Art.12．

（四）區分基本服務運營者和數字服務提供者分別予以監管

NIS指令除了在成員國層面提出網絡安全具體要求之外，還將納入監管的數字市場主體分為“基本服務運營者”和“數字服務提供者”兩類，分別賦予不同的監管義務。所謂的“基本服務運營者”(operators of essential services)是指“提供維續關鍵社會活動和／或經濟活動基本服務的主體，這種服務的提供依賴于網絡和信息系統，網絡安全事件會對服務的提供造成重大的破壞性影響。”③NIS Directive, Art.5．所謂的“數字服務提供者”包括在線市場、在線搜索引擎、云計算服務的提供者。

基本服務運營者是指運營重點為下列領域的公共或私營主體：能源（電力、石油及天然氣）、運輸（陸運、鐵路、航空及水運）、銀行、金融市場基礎設施；醫療衛生領域（公共及私人）、飲用水供應及分配、數字基礎設施（互聯網交換點，域名系統（DNS）服務提供商及頂級域名注冊）。④NIS Directive, Art.4 point (4), Annex II．

根據NIS指令的規定，基本服務運營者和數字服務提供者都應履行以下義務：一是應當采取適當的和成比例的技術和組織措施來管理網絡安全風險，鑒于技術水平現狀，這些措施應當確保一定程度的安全并且對于所面臨的風險是適當的；二是應當采取適當的措施防止和最小化網絡安全事件的影響，以確保這些服務的持續性；三是應當向主管機構或計算機安全事件響應團隊及時報告具有較大影響的網絡安全事件。⑤NIS Directive, Art.14，Art.16．

但NIS指令對基本服務運營者和數字服務提供者規定了不同的程度的義務要求和責任要求，相對而言對數字服務提供者施以“輕監管”。比如判斷數字服務提供者是否履行網絡安全風險管理義務，應考慮以下因素：系統和設施的安全、安全事件處置、業務持續性管理、監查測試以及國際標準遵循。再如對于是否達到監管要求，主管機構對于數字服務提供者規定一般是采用事后監管措施，發現未能達到監管要求時僅是要求其采取補救措施；⑥NIS Directive, Art.17.而對于基本服務提供者，主管機構的監督職權不只限于事后監管，也可以采用事前和事中監管，發現未能達到監管要求時可以對其處以有約束力的命令（binding instructions）予以糾正。⑦NIS Directive, Art.15.

（五）針對不同主體建立不同程度的網絡安全事件報告制度

NIS指令對于基本服務運營者和數字服務提供者規定了不同程度的網絡安全事件報告制度。對于基本服務運營者而言，向主管機構或計算機安全事件響應團隊及時報告的是對其“服務持續性具有重大影響的”網絡安全事件，此時判斷網絡安全事件是否造成重大影響應考慮以下因素：1.受影響的用戶數量；2.該事件的持續時間；3.該事件所影響區域的地理范圍。⑧NIS Directive, Art.14.

對于數字服務提供者而言，向主管機構或計算機安全事件響應團隊及時報告的是對其“服務提供具有實質影響的”網絡安全事件，此時判斷網絡安全事件是否造成實質影響應考慮以下因素：1.受影響的用戶數量；2.該事件的持續時間；3.該事件所影響區域的地理范圍；4.對所提供的服務運行的破壞程度；5.對經濟和社會活動的影響程度。同樣是貫徹“輕監管”的思路，NIS指令明確規定成員國不得對數字服務提供者施加其他更嚴格的安全或通知要求。①NIS Directive, Art. 16.

為了鼓勵基本服務運營者和數字服務提供者報告網絡安全事件的積極性，NIS指令明確規定不得加重報告主體的法律責任。除了網絡安全事件信息之外，主管部門為了監督法律義務的履行，可以要求基本服務運營者和數字服務提供者提供用于評估網絡安全的相關信息或證據。

此外，對于沒有被認定為基本服務運營者和數字服務提供者的其他主體，可以在自愿的基礎上向主管部門報告對其服務持續性造成重大影響的網絡安全事件。各成員國建立的自愿報告制度，不得使自愿報告主體因報告行為而處于任何不利地位。②NIS Directive, Art. 20.

（六）鼓勵產業發展尤其是將小微企業排除在監管范圍之外

近些年來歐盟一直積極鼓勵相關領域小微中企業的發展，NIS指令繼續堅持了確保網絡安全和鼓勵產業發展相平衡的原則。為了在整個歐盟實現基礎服務運營者和數字服務提供者監管要求的趨同實施，NIS指令規定不得強制或者歧視性支持某一特定類型技術的使用，鼓勵采用歐盟或者國際所認可的安全標準和技術細則；歐盟網絡與信息安全局（ENISA）負責會同成員國擬定相關技術領域和既有標準的建議和指南。③NIS Directive, Art. 19.

該規定實際上并沒有對納入監管范圍的主體施加強制性的網絡安全標準，考慮到指令規定被監管者的義務是“采取適當的和成比例的技術和組織措施來管理網絡安全風險”，具體實施的監管標準往往是依靠網絡安全行業最佳實踐來確定。指令規定了歐盟網絡安全協作體負責交流網絡安全最佳實踐和風險信息，并與歐盟相關標準化組織討論上述安全標準和技術細則。④NIS Directive, Art. 11.

為了鼓勵小微企業的發展，NIS指令明確規定對于數字服務提供者的網絡和信息系統安全監管義務不適用小微企業。⑤NIS Directive, Art. 16.根據歐盟委員會建議的界定，所謂的小型企業是指員工人數在10－50人之間，且年營業額或資產總額在200萬－1000萬歐元之間的企業；所謂的微型企業是員工人數在10人以下，且年營業額或資產總額在200萬歐元以下的企業。⑥Commission Recommendation of 6 May 2003 concerning the de finition of micro，small and medium-sized enterprises（noti fied under document number C(2003)1422), OJ L 124，20.5.2003，pp.36-41.就在NIS指令通過的前一天，歐盟委員會公布了《強化歐洲網絡恢復系統與培養競爭性和創新性網絡安全產業》的通報，該通報明確指出要增加對中小企業（SEM）的投資支持，并且通過簽訂合同建立網絡安全公私伙伴關系。⑦Strengthening Europe's Cyber Resilience System and Fostering a Competitive and Innovative Cybersecurity Industry, COM (2016) 410 final.

需要指出的是，歐盟網絡安全立法注意了不同法律規范的職能分工和統籌安排。根據NIS指令的規定，指令本身并不涉及個人信息處理，個人信息保護制度主要依據是《1995年個人數據保護指令》，⑧Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data, OJ L 281,23.11.95.但該指令近期已被2016年4月通過的《一般數據保護條例》（General Data Protection Regulation，簡稱GDPR）⑨Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/ EC(General Data Protection Regulation), OJ L 119, 4.5.2016, p.1-88.取代。此外，對于電子商務、一般的網絡犯罪等內容也都由相應的歐盟指令予以規制，并不適用NIS指令的規定。

NIS指令于2016年8月8日正式生效，歐盟成員國必須在此后的21個月內將該指令轉換為國內法。對于已有網絡安全立法的歐盟國家，例如德國2009年通過了《加強聯邦信息技術安全法》并于2015年進行了修正，只需要在已有法律基礎上作出修正以滿足指令要求即可。但對于尚未有具體網絡安全立法的國家，如英國、荷蘭等，需要制定新的國內法規則來滿足指令的要求。

三、歐盟網絡安全立法對中國的啟示與借鑒

近年來，面對嚴峻的網絡安全形勢，中國不斷重視和加快制定網絡安全相關政策和立法。2015年7月1日通過的《國家安全法》第25條明確規定要“實現網絡和信息核心技術、關鍵基礎設施和重要領域信息系統及數據的安全可控。”2016年11月7日，全國人大常委會通過了《網絡安全法》，這是中國網絡安全領域第一部綜合性立法。2016年12月27日，國家互聯網信息辦公室正式發布了《國家網絡空間安全戰略》，闡明我國關于網絡空間發展和安全的基本目標、主要立場和重大部署。

隨著這些政策和立法的相繼出臺，我國基本建立了網絡安全的法治框架，但這一基本法治框架亟待制定相關配套法律法規予以進一步落實完善。在借鑒歐盟網絡安全立法經驗的基礎上，提出以下完善中國網絡安全法治的思考和建議。

（一）制定網絡安全國家行動計劃和體系化的立法計劃

歐盟NIS指令明確要求各國制定自身的網絡與信息安全國家戰略，并對戰略應包括的內容作出了列舉規定，不僅包括國家的戰略目標和重點任務，也包括達成這些目標和任務的治理框架，這一治理框架主要是指政府相關部門及相關主體的任務和職責。對此，從歐盟各國的實踐看，往往會制定網絡安全國家行動計劃予以細化落實。中國頒布的《國家網絡空間安全戰略》，明確了中國網絡安全的重大目標、基本原則和戰略任務，既是中國網絡安全治理工作的經驗總結，也是中國未來政策立法的綱領性文件。但與歐盟NIS指令規定和歐盟各國戰略相比來看，中國的戰略缺乏對政府部門和相關主體任務職責和行動路線圖的具體規定。雖然一定的保密性有利于安全目標的達成，但還是建議在戰略實施層面制定國家網絡安全行動計劃并適度公開，這樣既能在國際上保持一定的透明防止他國戰略誤判，也有利于在國內凝集各界力量確保國家戰略和政策立法的貫徹實施。

歐盟網絡安全立法，注重不同立法的統籌規劃，歐盟NIS指令主要涉及維護網絡與信息系統安全，而個人信息保護、電子商務、一般的網絡犯罪等由其他條例、指令予以規范。實際上，網絡安全立法涉及了社會生活的多個領域，包括網絡犯罪、隱私權保護、電子商務、電子政務、內容管制、技術標準等等，內容多樣復雜，需要戰略性的布局和體系化的設計。例如，中國《網絡安全法》第四章對個人信息保護作出了較為詳細的規定，而之前《刑法》、《消費者保護法》等法律法規也有類似的規定，當前主張專門制定《個人信息保護法》的呼聲也比較高，那么在落實執行相關規定時要注重不同法律法規之間的協調。建議在后續立法時注重體系化設計，避免造成立法資源浪費和人為的法律適用混亂。

（二）分類監管信息系統并突出保護關鍵信息基礎設施

不同于美國將關鍵基礎設施作為網絡安全立法的核心保護對象，①關于美國的相關立法規定，參見劉金瑞：《美國網絡安全立法近期進展及對我國的啟示》，《暨南學報（哲學社會科學版）》2014年第2期。歐盟NIS指令將納入監管范圍的網絡信息系統區分為“基本服務運營者”和“數字服務提供者”兩類。所謂的“基本服務運營者”是指提供維續關鍵社會活動或經濟活動基本服務的主體，涉及能源、運輸、銀行、金融、醫療衛生等多個領域。這和美國“關鍵基礎設施”的界定相似，美國所謂的“關鍵基礎設施”是指“對于美國來說至關重要的物理的或虛擬的系統和資產，一旦其能力喪失或遭到破壞，就會削弱國家安全、國家經濟安全、國家公眾健康與安全之一或者這些重要領域的任何組合”，①USA PATRIOT Act，Title X，Sec．1016．Critical Infrastructures Protection Act of 2001，42 USC § 5195c.涉及通信、金融服務、政府設施、交通系統、能源等16個領域。②Presidential Policy Directive 21：Critical Infrastructure Security and Resilience，February 19，2013，http://www.fas.org/ irp/offdocs/ppd/ppd-21.pdf, last visited on Jan.17, 2017.

歐盟NIS指令對“基本服務運營者”和“數字服務提供者”規定了不同的監管義務，對于基本服務提供者予以重點監管，實際上對關鍵信息基礎設施予以重點保護。我國《網絡安全法》采納了“關鍵信息基礎設施”的概念，建立了保護其運行安全的基本制度框架，并規定具體范圍和安全保護辦法由國務院制定。對于亟待制定的《關鍵信息基礎設施安全保護條例》③該條例已經納入國務院2016年立法工作計劃的研究項目，可以預見將會成為國務院2017年立法工作的重點任務。應該進一步完善相關規定，切實落實對關鍵信息基礎設施的特別保護，建議條例明確規定以下內容：關鍵信息基礎設施涉及的不同領域及相應的主管部門；明確分行業分領域保護計劃的制定主體和程序；進一步明確關鍵信息基礎設施和網絡安全等級保護制度的關系，區別保護關鍵信息基礎設施和一般信息系統；運營者采購網絡產品和服務的國家安全審查辦法；個人信息和重要數據向境外傳輸的安全評估辦法等。

（三）建立網絡安全信息共享機制以應對網絡安全威脅

歐盟NIS指令通過建立計算機安全事件響應團隊和確立網絡安全事件報告義務，構建了網絡安全信息共享機制以應對網絡安全威脅。其中各成員國指定的計算機安全事件響應團隊和歐盟計算機應急響應團隊組成了歐盟層面的計算機安全事件響應團隊網絡（CSIRTs network），規定基本服務運營者有義務報告對其服務持續性造成重大影響的網絡安全事件，數字服務提供者有義務報告對其服務提供具有實質影響的網絡安全事件。為了提高基本服務運營者和數字服務提供者履行報告義務的積極性，NIS指令明確規定不得加重報告主體的法律責任，對于非納入監管的其他主體，各國可以建立自愿報告制度但不得使自愿報告主體因報告行為而陷入法律上的不利地位。

中國《網絡安全法》第39條規定“促進有關部門、關鍵信息基礎設施的運營者以及有關研究機構、網絡安全服務機構等之間的網絡安全信息共享”；第25條規定網絡運營者應“按照規定向有關主管部門報告”網絡安全事件；第51條規定“國家建立網絡安全監測預警和信息通報制度”。建議在制定相關配套規定時明確以下內容：規定網絡安全共享的體制機制，尤其是負責網絡安全信息交換的具體主管部門；明確不同主體不同的網絡安全事件報告義務，例如對于關鍵信息基礎設施運營者可以考慮規定強制性的報告義務，而對于其他一般并不重要的信息系統運營者可以規定自愿報告的制度；為了激勵私主體與政府共享網絡安全信息，可以規定豁免私主體因共享安全信息而可能承擔的法律責任，并規定政府不得將這些信息作為對分享主體監管和執法的不利證據；規定網絡安全監測預警和信息通報的負責部門和具體程序。

（四）審慎確定監管范圍以平衡安全和產業發展的關系

歐盟NIS指令尤其注重平衡維護網絡安全與促進產業發展的關系，對于在線市場、在線搜索引擎、云計算服務等數字服務提供者規定了“輕監管”，采用事后監管措施，發現未能達到監管要求時僅要求其采取補救措施；并沒有對納入監管范圍的主體施加強制性的網絡安全標準，具體實施的監管標準往往是依靠網絡安全行業最佳實踐來確定；明確將小微企業排除在監管范圍之外。

中國《網絡安全法》的貫徹落實也應堅持安全與發展并重的原則，其中最核心的問題就是如何確定“關鍵信息基礎設施”的保護范圍。建議緊扣中國“關鍵信息基礎設施”的定義，以“嚴重危害國家安全、國計民生、公共利益”作為限定標準，審慎劃定關鍵信息基礎設施尤其是私營關鍵信息基礎設施的范圍，①參見劉金瑞：《我國網絡關鍵基礎設施立法的基本思路和制度建構》，《環球法律評論》2016年第5期。將與中國國家安全無關的一般的商業信息系統排除在監管范圍之外。為了強化私營主體的責任、真正實現維護網絡安全，不同于歐盟的規定，建議對事關國家安全而被認定為關鍵信息基礎設施的私營信息系統運營者賦予強制性的監管義務，并制定強制性的監管標準；可以規定只要這些私營運營者履行法定義務和遵循強制標準，可以減輕或免除因此而產生的法律責任。例如，對于遵守監管標準的私營關鍵基礎設施運營者，可以考慮規定其信息系統被惡意攻擊而導致大規模數據泄露時，運營者可只向消費者承擔補償性賠償責任，而非承擔懲罰性賠償責任。

（責任編輯：李曉暉）

The Recent Legislation of Cybersecurity in the European Union and its Enlightenment to China

LIU Jin-rui

European Union has adopted a set of policies and legislations on network and information security, and finally passed the Network and Information Security(NIS)Directive in 2016.This directive provides: a national strategy on NIS of each Member State; cooperation among Member States; Computer Security Incident Response Teams (CSIRTs) and CSIRTs network; obligations for“operators of essential services” and “digital service providers”; cybersecurity incident noti fication; balance between cybersecurity and industry development. Based on these experiences, the proposals for our legislation are as follows: formulating national cybersecurity action plan and systematic legislation plan; setting up the regulation framework of typed information systems focused on critical information infrastructure (CII); establishing the mechanism of cybersecurity information sharing to address cyber threats; defining private CII deliberatively to balance cybersecurity safeguard and industry development.

cybersecurity law; Network and Information Security (NIS) Directive of European Union; operators of essential services; cybersecurity incident notification; critical information infrastructure

G20

A

① 本文系國家社會科學基金特別委托項目“大數據時代依法治國戰略”（15@ZH012）和中國法學會2016年度研究課題“我國關鍵基礎設施保護立法研究”（CLS（2016）D44）的階段性成果。