歐盟網絡安全立法近期進展及對中國的啟示

文/劉金瑞

歐盟網絡安全立法近期進展及對中國的啟示

文/劉金瑞

隨著網絡犯罪、網絡間諜、網絡盜竊甚至網絡恐怖主義等威脅不斷涌現，各國紛紛加大了網絡安全治理和立法的力度。2016年7月，歐盟最終正式通過了“確保歐盟統一、高水平網絡與信息系統安全之相關措施的指令”（Network and Information Security Directive，以下簡稱NIS指令）。該指令于2016年8月8日正式生效，將在之后的21個月轉化為歐盟成員國的國內法。該指令是歐盟建立數字單一市場的重要舉措之一，是歐盟層面第一部綜合性網絡安全立法。本文對該指令做一梳理分析，在此基礎上提出完善我國網絡安全法治的思考建議。

歐盟網絡與信息安全指令的主要內容

NIS指令所界定的“網絡和信息系統安全”是指“在一定可信水平下，網絡與信息系統抵抗破壞其所存儲、傳輸、處理之數據或者相關服務的可用性、真實性、完整性或者保密性行為的能力”。該指令建立的歐盟網絡安全法治框架包括以下內容：

1．歐盟各國必須制定自身的網絡與信息安全國家戰略

NIS指令要求每個成員國都要制定自己的網絡與信息系統安全國家戰略（以下簡稱NIS國家戰略），以實現和維護高水平的網絡與信息系統安全。指令要求NIS國家戰略應該包括以下內容：（1）網絡與信息系統安全國家戰略的目標和重點任務；（2）達成這些目標和重點任務的治理框架，包括政府機構以及其他相關主體的角色和責任；（3）認定防范、應對以及恢復的相關措施，包括公共部門與私營部門之間的合作；（4）明確與NIS國家戰略有關的教育、意識提升以及培訓計劃；（5）與NIS國家戰略有關的研究與發展計劃；（6）認定風險的風險評估計劃；（7）實施NIS國家戰略所涉主體的清單。

成員國應當確定一個或者多個主管機構來負責監督NIS指令在本國的實施，但應指定一個主管機構作為單一的“聯絡點”，負責聯絡其他成員國主管機構以及根據指令各國都必須建立計算機安全事件響應團隊（CSIRT）。和主管機構一樣，成員國可以建立多個計算機安全事件響應團隊。網絡和信息系統安全的主管機構、聯絡機構和計算機安全事件響應團隊需要共同協作來落實NIS指令規定的法律職責。

2．增強歐盟各國之間的網絡安全戰略合作和跨境協作

為了便于歐盟成員國之間戰略合作與信息共享、增進各國的互相信任，NIS指令要求建立一個網絡安全協作體，該協作體由成員國代表、歐盟委員會和歐盟網絡與信息安全局（ENISA）組成。協作體的主要職能在于：為計算機安全事件響應團隊網絡的活動提供指導，交流網絡安全最佳實踐和風險信息，討論網絡安全相關具體標準和技術細則，等等。每隔一年半，協作體應當完成一份報告，以評估戰略合作中積累的經驗。除了網絡安全協作體之外，NIS指令還要求建立計算機安全事件響應團隊網絡，以增強歐盟各成員國在具體網絡安全事件處置和網絡安全風險信息交流等操作層面的合作。NIS指令不僅建立了成員國之間的合作框架，還鼓勵歐盟與其他國家或者國際組織達成國際協議，允許和組織這些國家或者國際組織參與歐盟網絡安全協作體的部分活動。但是此種國際協議應該考慮確保數據得到充分保護的必要。

3．建立計算機安全事件響應團隊并建立歐盟合作網絡

NIS指令要求建立計算機安全事件響應團隊網絡，由各國計算機安全事件響應團隊的代表和歐盟計算機應急響應團隊（CERT-EU）構成。各國計算機安全事件響應團隊的職責在于：監測全國范圍的網絡安全事件，向相關利益方提供網絡安全風險和事件預警、警報、通知和信息傳播，應對網絡安全事件，提供動態的風險事件分析和態勢感知，參與歐盟層面的計算機安全事件響應團隊網絡。

在各國響應團隊基礎上建立起來的歐盟計算機安全事件響應團隊網絡，其職責在于網絡安全事件信息交換、為成員國處置跨境安全事件提供支持、探索和認定進一步業務合作的形式等。每隔一年半，歐盟計算機安全事件響應團隊網絡應當向協作體提交一份報告，以評估業務合作中積累的經驗。

4．區分基本服務運營者和數字服務提供者，分別予以監管

NIS指令除了在成員國層面提出網絡安全具體要求之外，還將納入監管的數字市場主體分為“基本服務運營者”和“數字服務提供者”兩類，分別賦予不同的監管義務。所謂的“基本服務運營者”（operators of essential services）是指“提供維續關鍵社會活動和／或經濟活動基本服務的主體，這種服務的提供依賴于網絡和信息系統，網絡安全事件會對服務的提供造成重大的破壞性影響”。所謂的“數字服務提供者”包括在線市場、 在線搜索引擎、云計算服務的提供者。

基本服務運營者是指運營重點為下列領域的公共或私營主體：能源（電力、石油及天然氣）；運輸（陸運、鐵路、航空及水運）；銀行；金融市場基礎設施；醫療衛生領域（公共及私人）；飲用水供應及分配；數字基礎設施（互聯網交換點，域名系統（DNS）服務提供商及頂級域名注冊）。

根據NIS指令的規定，基本服務運營者和數字服務提供者都應履行以下義務：一是應當采取適當的和成比例的技術和組織措施來管理網絡安全風險，鑒于技術水平現狀，這些措施應當確保一定程度的安全并且對于所面臨的風險是適當的；二是應當采取適當的措施防止和最小化網絡安全事件的影響，以確保這些服務的持續性；三是應當向主管機構或計算機安全事件響應團隊及時報告具有較大影響的網絡安全事件。

但NIS指令對基本服務運營者和數字服務提供者規定了不同的程度的義務要求和責任要求，相對而言對數字服務提供者施以“輕監管”。比如判斷數字服務提供者是否履行網絡安全風險管理義務，應考慮以下因素：系統和設施的安全、安全事件處置、業務持續性管理、監查測試以及國際標準遵循。

5．針對不同主體建立不同程度的網絡安全事件報告制度

NIS指令對于基本服務運營者和數字服務提供者規定了不同程度的網絡安全事件報告制度。對于基本服務運營者而言，向主管機構或計算機安全事件響應團隊及時報告的是對其“服務持續性具有重大影響的”網絡安全事件，此時判斷網絡安全事件是否造成重大影響應考慮以下因素：（1）受影響的用戶數量；（2）該事件的持續時間；（3）該事件所影響區域的地理范圍。

對于數字服務提供者而言，向主管機構或計算機安全事件響應團隊及時報告的是對其“服務提供具有實質影響的”網絡安全事件，此時判斷網絡安全事件是否造成實質影響應考慮以下因素：（1）受影響的用戶數量；（2）該事件的持續時間；（3）該事件所影響區域的地理范圍；（4）對所提供的服務運行的破壞程度；（5）對經濟和社會活動的影響程度。同樣是貫徹“輕監管”的思路，NIS指令明確規定成員國不得對數字服務提供者施加其他更嚴格的安全或通知要求。

為了鼓勵基本服務運營者和數字服務提供者報告網絡安全事件的積極性，NIS指令明確規定不得加重報告主體的法律責任。除了網絡安全事件信息之外，主管部門為了監督法律義務的履行，可以要求基本服務運營者和數字服務提供者提供用于評估網絡安全的相關信息或證據。

此外，對于沒有被認定為基本服務運營者和數字服務提供者的其他主體，可以在自愿的基礎上向主管部門報告重大網絡安全事件。各成員國建立的自愿報告制度，不得使自愿報告主體因報告行為而處于任何不利地位。

6．鼓勵產業發展，將小微企業排除在監管范圍之外

近些年來歐盟一直積極鼓勵相關領域小微中企業的發展，NIS指令繼續堅持了確保網絡安全和鼓勵產業發展相平衡的原則。NIS指令實際上并沒有對納入監管范圍的主體施加強制性的網絡安全標準，考慮到指令規定被監管者的義務是“采取適當的和成比例的技術和組織措施來管理網絡安全風險”，具體實施的監管標準往往是依靠網絡安全行業最佳實踐來確定。為了鼓勵小微企業的發展，NIS指令明確規定對于數字服務提供者的網絡和信息系統安全監管義務不適用小微企業。

需要指出的是，歐盟網絡安全立法注意了不同法律規范的職能分工和統籌安排，對于個人數據保護、電子商務、一般的網絡犯罪等內容也都由相應的歐盟指令予以規制，并不適用NIS指令的規定。

歐盟網絡安全立法對我國的啟示與借鑒

我國通過《網絡安全法》基本建立了網絡安全的法治框架，但這一基本法治框架亟待制定相關配套制度予以進一步落實完善。在借鑒歐盟網絡安全立法經驗的基礎上，提出以下完善我國網絡安全法治的思考和建議。

1．制定網絡安全國家行動計劃和體系化的立法計劃

歐盟NIS指令明確要求各國制定自身的網絡與信息安全國家戰略，并對戰略應包括的內容作出了列舉規定，從歐盟各國的實踐看，往往會制定網絡安全國家行動計劃予以細化落實。我國頒布的《國家網絡空間安全戰略》，明確了我國網絡安全的重大目標、基本原則和戰略任務，既是我國網絡安全治理工作的經驗總結，也是我國未來政策立法的綱領性文件。但與歐盟NIS指令規定和歐盟各國戰略相比來看，我國的戰略缺乏對政府部門和相關主體任務職責和行動路線圖的具體規定。雖然一定的保密性有利于安全目標的達成，但還是建議在戰略實施層面制定國家網絡安全行動計劃并適度公開，這樣既能在國際上保持一定的透明防止他國戰略誤判，也有利于在國內凝集各界力量確保國家戰略和政策立法的貫徹實施。

從歐盟網絡安全立法看，注重了不同立法的統籌規劃，歐盟NIS指令主要涉及維護網絡與信息系統安全，而個人信息保護、電子商務、一般的網絡犯罪等由其他條例、指令予以規范。實際上，網絡安全立法涉及了社會生活的多個領域，包括網絡犯罪、隱私權保護、電子商務、電子政務、內容管制、技術標準等等，內容多樣復雜，需要戰略性的布局和體系化的設計。例如，我國《網絡安全法》第四章對個人信息保護作出了較為詳細的規定，而之前《刑法》《消費者保護法》等法律法規也有類似的規定，當前主張專門制定《個人信息保護法》的呼聲也比較高，那么在落實執行相關規定時要注重不同法律法規之間的協調。建議在制定后續立法時注重體系化設計，避免造成立法資源浪費和人為的法律適用混亂。

2．分類監管信息系統并突出保護關鍵信息基礎設施

不同于美國將關鍵基礎設施作為網絡安全立法的核心保護對象，歐盟NIS指令將納入監管范圍的網絡信息系統區分為“基本服務運營者”和“數字服務提供者”兩類。歐盟的“基本服務運營者”與美國“關鍵基礎設施”的界定相似，后者是指“對于美國來說至關重要的物理的或虛擬的系統和資產，一旦其能力喪失或遭到破壞，就會削弱國家安全、國家經濟安全、國家公眾健康與安全之一或者這些重要領域的任何組合”，涉及通信、金融服務、政府設施、交通系統、能源等16個領域。

歐盟NIS指令對“基本服務運營者”和“數字服務提供者”規定了不同的監管義務，對于基本服務提供者予以重點監管，實際上對關鍵信息基礎設施予以重點保護。我國《網絡安全法》采納了“關鍵信息基礎設施”的概念，建立了保護其運行安全的基本制度框架，并規定具體范圍和安全保護辦法由國務院制定。對于亟待制定的《關鍵信息基礎設施安全保護條例》應該進一步完善相關規定，切實落實對關鍵信息基礎設施的特別保護，建議條例明確規定以下內容：關鍵信息基礎設施涉及的不同領域及相應的主管部門；明確分行業分領域保護計劃的制定主體和程序；進一步明確關鍵信息基礎設施和網絡安全等級保護制度的關系，區別保護關鍵信息基礎設施和一般信息系統；運營者采購網絡產品和服務的國家安全審查辦法；個人信息和重要數據向境外傳輸的安全評估辦法等。

3． 建立網絡安全信息共享機制以應對網絡安全威脅

歐盟NIS指令通過建立計算機安全事件響應團隊和確立網絡安全事件報告義務，構建了網絡安全信息共享機制以應對網絡安全威脅。其中各成員國指定的計算機安全事件響應團隊和歐盟計算機應急響應團隊組成了歐盟層面的計算機安全事件響應團隊網絡。為了鼓勵基本服務運營者和數字服務提供者履行報告義務的積極性，NIS指令明確規定不得加重報告主體的法律責任，對于非納入監管的其他主體，各國可以建立自愿報告制度。

我國《網絡安全法》第39條規定“促進有關部門、關鍵信息基礎設施的運營者以及有關研究機構、網絡安全服務機構等之間的網絡安全信息共享”；第25條規定網絡運營者應“按照規定向有關主管部門報告”網絡安全事件；第51條規定“國家建立網絡安全監測預警和信息通報制度”。建議在制定相關配套規定時明確以下內容：規定網絡安全信息共享的體制機制，尤其是負責網絡安全信息交換的具體主管部門；明確不同主體不同的網絡安全事件報告義務，例如對于關鍵信息基礎設施運營者可以考慮規定強制性的報告義務，而對于其他一般重要的信息系統運營者可以規定自愿報告的制度；為了激勵私主體與政府共享網絡安全信息，可以規定豁免私主體因共享安全信息而可能承擔的法律責任，并規定政府不得將這些信息作為對分享主體監管和執法的不利證據；規定網絡安全監測預警和信息通報的負責部門和具體程序。

4． 審慎確定監管范圍以平衡安全和產業發展的關系

歐盟NIS指令尤其注重平衡維護網絡安全與促進產業發展的關系，對于在線市場、在線搜索引擎、云計算服務等數字服務提供者規定了“輕監管”，采用事后監管措施，發現未能達到監管要求時僅要求其采取補救措施；并沒有對納入監管范圍的主體施加強制性的網絡安全標準，具體實施的監管標準往往是依靠網絡安全行業最佳實踐來確定；明確將小微企業排除在監管范圍之外。

我國《網絡安全法》的貫徹落實也應堅持安全與發展并重的原則，其中最核心的問題就是如何確定“關鍵信息基礎設施”的保護范圍。建議緊扣我國“關鍵信息基礎設施”的定義，以“嚴重危害國家安全、國計民生、公共利益”作為限定標準，審慎劃定關鍵信息基礎設施尤其是私營關鍵信息基礎設施的范圍，將與我國國家安全無關的一般的商業信息系統排除在監管范圍之外。為了強化私營主體的責任、真正實現維護網絡安全，不同于歐盟的規定，建議對事關國家安全而被認定為關鍵信息基礎設施的私營信息系統運營者賦予強制性的監管義務，并制定強制性的監管標準；但可以規定只要這些私營運營者遵循了法定義務和強制標準，可以減輕或免除因此而產生的法律責任。例如，對于遵守監管標準的私營關鍵基礎設施運營者，可以考慮規定其信息系統被惡意攻擊而導致大規模數據泄露時，可只向消費者承擔補償性賠償責任，而非承擔懲罰性賠償責任。

【作者單位：中國法學會法治研究所；摘自《汕頭大學學報》（人文社會科學版）2017年第1期；原題為《歐盟網絡安全立法最新進展及其意義》】