劉金瑞

歐盟網(wǎng)絡(luò)安全立法最新進(jìn)展及其意義①

劉金瑞

歐盟一直高度重視網(wǎng)絡(luò)安全政策和立法，2016年通過了網(wǎng)絡(luò)與信息安全指令，主要內(nèi)容包括：各國必須制定網(wǎng)絡(luò)與信息安全國家戰(zhàn)略；增強(qiáng)各國之間的戰(zhàn)略合作和跨境協(xié)作；建立計(jì)算機(jī)安全事件響應(yīng)團(tuán)隊(duì)并建立歐盟合作網(wǎng)絡(luò)；區(qū)分基本服務(wù)運(yùn)營者和數(shù)字服務(wù)提供者分別予以監(jiān)管；確立網(wǎng)絡(luò)安全事件報(bào)告制度；平衡網(wǎng)絡(luò)安全與產(chǎn)業(yè)發(fā)展的關(guān)系。借鑒歐盟經(jīng)驗(yàn)，對完善我國網(wǎng)絡(luò)安全法治提出以下建議：一是制定網(wǎng)絡(luò)安全國家行動(dòng)計(jì)劃和體系化的立法計(jì)劃；二是分類監(jiān)管信息系統(tǒng)并突出保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施；三是建立網(wǎng)絡(luò)安全信息共享機(jī)制以應(yīng)對網(wǎng)絡(luò)安全威脅；四是審慎確定監(jiān)管范圍以平衡網(wǎng)絡(luò)安全和產(chǎn)業(yè)發(fā)展的關(guān)系。

網(wǎng)絡(luò)安全法；歐盟網(wǎng)絡(luò)與信息安全指令；基本服務(wù)運(yùn)營者；網(wǎng)絡(luò)安全事件報(bào)告；關(guān)鍵信息基礎(chǔ)設(shè)施

劉金瑞中國法學(xué)會法治研究所助理研究員，清華大學(xué)法學(xué)博士，研究方向?yàn)榫W(wǎng)絡(luò)法、信息法和民法。

信息通信技術(shù)的革命性進(jìn)展，使得交通、電力、電信、供水、金融及政府服務(wù)等基礎(chǔ)設(shè)施的運(yùn)營越來越依靠網(wǎng)絡(luò)信息系統(tǒng)。然而，互相連接、互相依賴的網(wǎng)絡(luò)信息系統(tǒng)極易被攻擊而陷入癱瘓，流動(dòng)在網(wǎng)絡(luò)空間的信息數(shù)據(jù)也極易被攔截、竊取和破壞，從而引發(fā)了網(wǎng)絡(luò)安全這一全球性議題。隨著網(wǎng)絡(luò)犯罪、網(wǎng)絡(luò)間諜、網(wǎng)絡(luò)盜竊甚至網(wǎng)絡(luò)恐怖主義等威脅不斷涌現(xiàn)，各國紛紛加大了網(wǎng)絡(luò)安全治理和立法的力度。2016年是全球網(wǎng)絡(luò)安全立法進(jìn)程中的重要一年，我國和歐盟、美國等國紛紛頒行了一系列重要立法，在全球范圍基本確立了網(wǎng)絡(luò)安全的法治框架。本文主要對歐盟網(wǎng)絡(luò)安全立法尤其是2016年通過的《網(wǎng)絡(luò)與信息安全指令》做一梳理分析，在此基礎(chǔ)上提出完善我國網(wǎng)絡(luò)安全法治的思考建議。

一、歐盟網(wǎng)絡(luò)安全政策立法發(fā)展的基本歷程

歐盟早在21世紀(jì)之初就認(rèn)識到網(wǎng)絡(luò)和信息安全領(lǐng)域的重要性，2001年提出了有關(guān)“網(wǎng)絡(luò)和信息安全”的建議。②Network and Information Security：Proposal for A European Policy Approach，COM(2001) 298.2004年設(shè)立了歐盟網(wǎng)絡(luò)和信息安全局（ENISA），以幫助歐盟委員會、各成員國和產(chǎn)業(yè)界應(yīng)對和解決網(wǎng)絡(luò)信息安全問題。該局的主要任務(wù)包括：1.收集和分析歐洲網(wǎng)絡(luò)安全事件和風(fēng)險(xiǎn)的數(shù)據(jù)；2.推動(dòng)風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)管理以增強(qiáng)應(yīng)對信息安全威脅的能力；3.具體執(zhí)行泛歐洲網(wǎng)絡(luò)行動(dòng)；4.支持各成員國計(jì)算機(jī)應(yīng)急響應(yīng)團(tuán)隊(duì)(Computer Emergency Response Team)的合作；5.提升信息安全領(lǐng)域不同參與者的安全意識和相互協(xié)作能力。①Establishing the European Network and Information Security Agency, REGULATION（EC）No 460/200．

歐盟網(wǎng)絡(luò)和信息安全局成立之后，歐盟對網(wǎng)絡(luò)與信息安全領(lǐng)域更加重視，不斷制定頒行重要的政策和立法：2006年，通過了《確保信息社會安全戰(zhàn)略》，②A strategy for a Secure Information Society-"Dialogue, partnership and empowerment", COM（2006）251．提出建立網(wǎng)絡(luò)信息安全多方磋商對話機(jī)制，增強(qiáng)公共部門、私營部門和私人用戶的合作；2008年頒布了《歐盟關(guān)鍵基礎(chǔ)設(shè)施認(rèn)定、指定以及評估強(qiáng)化其保護(hù)必要性的指令》，③Identi fication and designation of European critical infrastructures and the assessment of the need to improve their protection，DIRECTIVE 2008/114/EC．提出了保護(hù)歐盟關(guān)鍵基礎(chǔ)設(shè)施的初步計(jì)劃；2009年發(fā)布了保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施的建議④Critical Information Infrastructure Protection："Protecting Europe from large scale cyber-attacks and disruptions: enhancing preparedness, security and resilience", COM (2009) 149．并修訂了《電子通信指令》，⑤Amending Directives 2002/21/EC on a common regulatory framework for electronic communications networks and services，2002/19/EC on access to, and interconnection of， electronic communications networks and associated facilities, and 2002/20/EC on the authorisation of electronic communications networks and services，DIRECTIVE 2009/140/EC.以應(yīng)對大規(guī)模網(wǎng)絡(luò)攻擊的威脅和電子通信網(wǎng)絡(luò)服務(wù)的新變化；2011年發(fā)布《保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施——面向全球網(wǎng)絡(luò)安全的成就和下一步行動(dòng)》，⑥Critical Information Infrastructure Protection: "Achievements and next steps: towards global cyber-security", COM（2011）163.進(jìn)一步部署了歐盟層面的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)計(jì)劃。

2013年，歐盟發(fā)布了《歐盟網(wǎng)絡(luò)安全戰(zhàn)略：開放、安全和可靠的網(wǎng)絡(luò)空間》，提出要增強(qiáng)網(wǎng)絡(luò)恢復(fù)力、有效減少網(wǎng)絡(luò)犯罪、制訂歐盟網(wǎng)絡(luò)防御政策、發(fā)展網(wǎng)絡(luò)安全產(chǎn)業(yè)和技術(shù)以及建立歐盟統(tǒng)一的網(wǎng)絡(luò)空間國際政策等。⑦Cybersecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace，JOIN (2013) 1.同年，歐盟通過了規(guī)制“信息系統(tǒng)攻擊行為”的指令，要求成員國強(qiáng)化網(wǎng)絡(luò)犯罪規(guī)制，在各國立法中增加懲處網(wǎng)絡(luò)犯罪的規(guī)定，以應(yīng)對日益嚴(yán)峻的大規(guī)模網(wǎng)絡(luò)攻擊。⑧Directive 2013/40/EU of the European Parliament and of the Council of 12 August 2013 on attacks against information systems and replacing Council Framework Decision 2005/222/JHA, OJL345, 23.12.2008, p75-82．2015年，《歐洲安全議程（2015－2020）》⑨The European Agenda on Security, COM (2015) 185 final.發(fā)布，進(jìn)一步深化了歐盟網(wǎng)絡(luò)安全戰(zhàn)略的框架。2016年7月5日，歐盟委員會公布了《強(qiáng)化歐洲網(wǎng)絡(luò)恢復(fù)系統(tǒng)與培養(yǎng)競爭性和創(chuàng)新性網(wǎng)絡(luò)安全產(chǎn)業(yè)》的通報(bào)（communication），提出要建立網(wǎng)絡(luò)安全公私伙伴關(guān)系。⑩Strengthening Europe's Cyber Resilience System and Fostering a Competitive and Innovative Cybersecurity Industry, COM (2016) 410 final．通報(bào)（communication）是歐盟委員會為起草法案征求意見的一種形式。

隨著歐盟網(wǎng)絡(luò)安全戰(zhàn)略政策的成熟，歐盟自2013年開始推動(dòng)網(wǎng)絡(luò)安全的綜合性立法計(jì)劃，由歐盟委員會和歐盟外交和安全高級政策代表于當(dāng)年2月提出了“確保歐盟統(tǒng)一、高水平網(wǎng)絡(luò)與信息系統(tǒng)安全之相關(guān)措施的指令”（Network and Information Security Directive，以下簡稱NIS指令）建議。?Proposal for a directive of the European Parliament and of the Council concerning measures to ensure a high common level of network and information security across the Union, COM (2013) 48.斯諾登事件爆出后，該指令的立法進(jìn)程加快，歐盟議會（European Parliament）和歐盟理事會（European Council）于2015年12月7日就該指令達(dá)成共識。2016年5月17日，歐盟理事會通過NIS指令；2016年7月6日，歐盟議會正式通過了該指令。?2Directive(EU)2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union, OJ L 194, 19.7.2016, p1-30.

NIS指令于2016年8月8日正式生效，歐盟成員國必須在此后的21個(gè)月內(nèi)將該指令轉(zhuǎn)換為國內(nèi)法。該指令是歐盟建立數(shù)字單一市場（digital single market）的重要舉措之一，是歐盟層面第一部綜合性網(wǎng)絡(luò)安全立法，提出了在歐盟確保統(tǒng)一、高水平網(wǎng)絡(luò)與信息系統(tǒng)安全的基本法治框架。

二、歐盟網(wǎng)絡(luò)與信息安全指令的主要內(nèi)容

NIS指令所界定的“網(wǎng)絡(luò)和信息系統(tǒng)安全”是指“在一定可信水平下，網(wǎng)絡(luò)與信息系統(tǒng)抵抗破壞其所存儲、傳輸、處理之?dāng)?shù)據(jù)或者相關(guān)服務(wù)的可用性、真實(shí)性、完整性或者保密性行為的能力?！雹貼IS Directive, Art.4．該指令建立的歐盟網(wǎng)絡(luò)安全法治框架包括以下內(nèi)容：

（一）歐盟各國必須制定自身的網(wǎng)絡(luò)與信息安全國家戰(zhàn)略

NIS指令要求每個(gè)成員國都要制定自己的網(wǎng)絡(luò)與信息系統(tǒng)安全國家戰(zhàn)略（以下簡稱NIS國家戰(zhàn)略），以實(shí)現(xiàn)和維護(hù)高水平的網(wǎng)絡(luò)與信息系統(tǒng)安全。指令要求NIS國家戰(zhàn)略應(yīng)該包括以下內(nèi)容：

1.網(wǎng)絡(luò)與信息系統(tǒng)安全國家戰(zhàn)略的目標(biāo)和重點(diǎn)任務(wù)；2.達(dá)成這些目標(biāo)和重點(diǎn)任務(wù)的治理框架，包括政府機(jī)構(gòu)以及其他相關(guān)主體的角色和責(zé)任；3.認(rèn)定防范、應(yīng)對以及恢復(fù)的相關(guān)措施，包括公共部門與私營部門之間的合作；4.明確與網(wǎng)絡(luò)與信息系統(tǒng)安全國家戰(zhàn)略有關(guān)的教育、意識提升以及培訓(xùn)計(jì)劃；5.與網(wǎng)絡(luò)與信息系統(tǒng)安全國家戰(zhàn)略有關(guān)的研究與發(fā)展計(jì)劃；6.認(rèn)定風(fēng)險(xiǎn)的風(fēng)險(xiǎn)評估計(jì)劃；7.實(shí)施網(wǎng)絡(luò)與信息系統(tǒng)安全國家戰(zhàn)略所涉主體的清單。②NIS Directive, Art.7．

成員國應(yīng)當(dāng)確定一個(gè)或者多個(gè)主管機(jī)構(gòu)來負(fù)責(zé)監(jiān)督NIS指令在本國的實(shí)施，也就是說指令既允許成員國對不同行業(yè)確定不同的主管機(jī)構(gòu)，也允許確定一個(gè)主管機(jī)構(gòu)負(fù)責(zé)所有的行業(yè)。但不管確定是一個(gè)還是多個(gè)主管機(jī)構(gòu)，每個(gè)成員國都必須指定一個(gè)主管機(jī)構(gòu)作為單一的“聯(lián)絡(luò)點(diǎn)”（single point of contact），負(fù)責(zé)聯(lián)絡(luò)其他成員國主管機(jī)構(gòu)以及根據(jù)指令各國都必須建立的計(jì)算機(jī)安全事件響應(yīng)團(tuán)隊(duì)（Computer Security Incident Response Team，簡稱CSIRT）。③NIS Directive, Art.8．

和主管機(jī)構(gòu)一樣，成員國可以建立多個(gè)計(jì)算機(jī)安全事件響應(yīng)團(tuán)隊(duì)。網(wǎng)絡(luò)和信息系統(tǒng)安全的主管機(jī)構(gòu)、聯(lián)絡(luò)機(jī)構(gòu)和計(jì)算機(jī)安全事件響應(yīng)團(tuán)隊(duì)需要共同協(xié)作來落實(shí)NIS指令規(guī)定的法律職責(zé)。

（二）增強(qiáng)歐盟各國之間的網(wǎng)絡(luò)安全戰(zhàn)略合作和跨境協(xié)作

為了便利歐盟成員國之間戰(zhàn)略合作與信息共享、增進(jìn)各國的互相信任，NIS指令要求建立一個(gè)網(wǎng)絡(luò)安全協(xié)作體（Cooperation Group），該協(xié)作體由成員國代表、歐盟委員會和歐盟網(wǎng)絡(luò)與信息安全局（ENISA）組成。協(xié)作體的主要職能在于：為計(jì)算機(jī)安全事件響應(yīng)團(tuán)隊(duì)網(wǎng)絡(luò)（CSIRTs network）的活動(dòng)提供指導(dǎo)，交流網(wǎng)絡(luò)安全最佳實(shí)踐和風(fēng)險(xiǎn)信息，討論網(wǎng)絡(luò)安全相關(guān)具體標(biāo)準(zhǔn)和技術(shù)細(xì)則，討論NIS相關(guān)實(shí)踐、教育計(jì)劃和培訓(xùn)成效包括歐盟網(wǎng)絡(luò)與信息安全局（ENISA）所開展的工作等等。每隔一年半，協(xié)作體應(yīng)當(dāng)完成一份報(bào)告，以評估戰(zhàn)略合作中積累的經(jīng)驗(yàn)。④NIS Directive, Art.11．

除了網(wǎng)絡(luò)安全協(xié)作體之外，NIS指令還要求建立計(jì)算機(jī)安全事件響應(yīng)團(tuán)隊(duì)網(wǎng)絡(luò)（CSIRTs network），⑤詳見下文所述。以增強(qiáng)歐盟各成員國在具體網(wǎng)絡(luò)安全事件處置和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)信息交流等操作層面的合作。

NIS指令不僅建立了成員國之間的合作框架，還鼓勵(lì)歐盟與其他國家或者國際組織達(dá)成國際協(xié)議，允許和組織這些國家或者國際組織參與歐盟網(wǎng)絡(luò)安全協(xié)作體的部分活動(dòng)。但是此種國際協(xié)議應(yīng)該考慮確保數(shù)據(jù)得到充分保護(hù)（adequate protection）的必要性。⑥NIS Directive, Art.13．

（三）建立計(jì)算機(jī)安全事件響應(yīng)團(tuán)隊(duì)并建立歐盟合作網(wǎng)絡(luò)

NIS指令要求建立計(jì)算機(jī)安全事件響應(yīng)團(tuán)隊(duì)網(wǎng)絡(luò)（CSIRTs network），由各國計(jì)算機(jī)安全事件響應(yīng)團(tuán)隊(duì)的代表和歐盟計(jì)算機(jī)應(yīng)急響應(yīng)團(tuán)隊(duì)（Computer Emergency Response Team，CERTEU）構(gòu)成。各國計(jì)算機(jī)安全事件響應(yīng)團(tuán)隊(duì)的職責(zé)在于：監(jiān)測全國范圍的網(wǎng)絡(luò)安全事件，向相關(guān)利益方提供網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和事件預(yù)警、警報(bào)、通知和信息傳播，應(yīng)對網(wǎng)絡(luò)安全事件，提供動(dòng)態(tài)的風(fēng)險(xiǎn)事件分析和態(tài)勢感知，參與歐盟層面的計(jì)算機(jī)安全事件響應(yīng)團(tuán)隊(duì)網(wǎng)絡(luò)（CSIRTs network）。①NIS Directive, Art.9，Annex I point (2)．

在各國響應(yīng)團(tuán)隊(duì)基礎(chǔ)上建立起來的歐盟計(jì)算機(jī)安全事件響應(yīng)團(tuán)隊(duì)網(wǎng)絡(luò)（CSIRTs network），其職責(zé)在于網(wǎng)絡(luò)安全事件信息交換、為成員國處置跨境安全事件提供支持、探索和認(rèn)定進(jìn)一步業(yè)務(wù)合作的形式等。每隔一年半，歐盟計(jì)算機(jī)安全事件響應(yīng)團(tuán)隊(duì)網(wǎng)絡(luò)應(yīng)當(dāng)向協(xié)作體提交一份報(bào)告，以評估業(yè)務(wù)合作中積累的經(jīng)驗(yàn)。②NIS Directive, Art.12．

（四）區(qū)分基本服務(wù)運(yùn)營者和數(shù)字服務(wù)提供者分別予以監(jiān)管

NIS指令除了在成員國層面提出網(wǎng)絡(luò)安全具體要求之外，還將納入監(jiān)管的數(shù)字市場主體分為“基本服務(wù)運(yùn)營者”和“數(shù)字服務(wù)提供者”兩類，分別賦予不同的監(jiān)管義務(wù)。所謂的“基本服務(wù)運(yùn)營者”(operators of essential services)是指“提供維續(xù)關(guān)鍵社會活動(dòng)和／或經(jīng)濟(jì)活動(dòng)基本服務(wù)的主體，這種服務(wù)的提供依賴于網(wǎng)絡(luò)和信息系統(tǒng)，網(wǎng)絡(luò)安全事件會對服務(wù)的提供造成重大的破壞性影響?！雹跱IS Directive, Art.5．所謂的“數(shù)字服務(wù)提供者”包括在線市場、在線搜索引擎、云計(jì)算服務(wù)的提供者。

基本服務(wù)運(yùn)營者是指運(yùn)營重點(diǎn)為下列領(lǐng)域的公共或私營主體：能源（電力、石油及天然氣）、運(yùn)輸（陸運(yùn)、鐵路、航空及水運(yùn)）、銀行、金融市場基礎(chǔ)設(shè)施；醫(yī)療衛(wèi)生領(lǐng)域（公共及私人）、飲用水供應(yīng)及分配、數(shù)字基礎(chǔ)設(shè)施（互聯(lián)網(wǎng)交換點(diǎn)，域名系統(tǒng)（DNS）服務(wù)提供商及頂級域名注冊）。④NIS Directive, Art.4 point (4), Annex II．

根據(jù)NIS指令的規(guī)定，基本服務(wù)運(yùn)營者和數(shù)字服務(wù)提供者都應(yīng)履行以下義務(wù)：一是應(yīng)當(dāng)采取適當(dāng)?shù)暮统杀壤募夹g(shù)和組織措施來管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，鑒于技術(shù)水平現(xiàn)狀，這些措施應(yīng)當(dāng)確保一定程度的安全并且對于所面臨的風(fēng)險(xiǎn)是適當(dāng)?shù)模欢菓?yīng)當(dāng)采取適當(dāng)?shù)拇胧┓乐购妥钚』W(wǎng)絡(luò)安全事件的影響，以確保這些服務(wù)的持續(xù)性；三是應(yīng)當(dāng)向主管機(jī)構(gòu)或計(jì)算機(jī)安全事件響應(yīng)團(tuán)隊(duì)及時(shí)報(bào)告具有較大影響的網(wǎng)絡(luò)安全事件。⑤NIS Directive, Art.14，Art.16．

但NIS指令對基本服務(wù)運(yùn)營者和數(shù)字服務(wù)提供者規(guī)定了不同的程度的義務(wù)要求和責(zé)任要求，相對而言對數(shù)字服務(wù)提供者施以“輕監(jiān)管”。比如判斷數(shù)字服務(wù)提供者是否履行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理義務(wù)，應(yīng)考慮以下因素：系統(tǒng)和設(shè)施的安全、安全事件處置、業(yè)務(wù)持續(xù)性管理、監(jiān)查測試以及國際標(biāo)準(zhǔn)遵循。再如對于是否達(dá)到監(jiān)管要求，主管機(jī)構(gòu)對于數(shù)字服務(wù)提供者規(guī)定一般是采用事后監(jiān)管措施，發(fā)現(xiàn)未能達(dá)到監(jiān)管要求時(shí)僅是要求其采取補(bǔ)救措施；⑥NIS Directive, Art.17.而對于基本服務(wù)提供者，主管機(jī)構(gòu)的監(jiān)督職權(quán)不只限于事后監(jiān)管，也可以采用事前和事中監(jiān)管，發(fā)現(xiàn)未能達(dá)到監(jiān)管要求時(shí)可以對其處以有約束力的命令（binding instructions）予以糾正。⑦NIS Directive, Art.15.

（五）針對不同主體建立不同程度的網(wǎng)絡(luò)安全事件報(bào)告制度

NIS指令對于基本服務(wù)運(yùn)營者和數(shù)字服務(wù)提供者規(guī)定了不同程度的網(wǎng)絡(luò)安全事件報(bào)告制度。對于基本服務(wù)運(yùn)營者而言，向主管機(jī)構(gòu)或計(jì)算機(jī)安全事件響應(yīng)團(tuán)隊(duì)及時(shí)報(bào)告的是對其“服務(wù)持續(xù)性具有重大影響的”網(wǎng)絡(luò)安全事件，此時(shí)判斷網(wǎng)絡(luò)安全事件是否造成重大影響應(yīng)考慮以下因素：1.受影響的用戶數(shù)量；2.該事件的持續(xù)時(shí)間；3.該事件所影響區(qū)域的地理范圍。⑧NIS Directive, Art.14.

對于數(shù)字服務(wù)提供者而言，向主管機(jī)構(gòu)或計(jì)算機(jī)安全事件響應(yīng)團(tuán)隊(duì)及時(shí)報(bào)告的是對其“服務(wù)提供具有實(shí)質(zhì)影響的”網(wǎng)絡(luò)安全事件，此時(shí)判斷網(wǎng)絡(luò)安全事件是否造成實(shí)質(zhì)影響應(yīng)考慮以下因素：1.受影響的用戶數(shù)量；2.該事件的持續(xù)時(shí)間；3.該事件所影響區(qū)域的地理范圍；4.對所提供的服務(wù)運(yùn)行的破壞程度；5.對經(jīng)濟(jì)和社會活動(dòng)的影響程度。同樣是貫徹“輕監(jiān)管”的思路，NIS指令明確規(guī)定成員國不得對數(shù)字服務(wù)提供者施加其他更嚴(yán)格的安全或通知要求。①NIS Directive, Art. 16.

為了鼓勵(lì)基本服務(wù)運(yùn)營者和數(shù)字服務(wù)提供者報(bào)告網(wǎng)絡(luò)安全事件的積極性，NIS指令明確規(guī)定不得加重報(bào)告主體的法律責(zé)任。除了網(wǎng)絡(luò)安全事件信息之外，主管部門為了監(jiān)督法律義務(wù)的履行，可以要求基本服務(wù)運(yùn)營者和數(shù)字服務(wù)提供者提供用于評估網(wǎng)絡(luò)安全的相關(guān)信息或證據(jù)。

此外，對于沒有被認(rèn)定為基本服務(wù)運(yùn)營者和數(shù)字服務(wù)提供者的其他主體，可以在自愿的基礎(chǔ)上向主管部門報(bào)告對其服務(wù)持續(xù)性造成重大影響的網(wǎng)絡(luò)安全事件。各成員國建立的自愿報(bào)告制度，不得使自愿報(bào)告主體因報(bào)告行為而處于任何不利地位。②NIS Directive, Art. 20.

（六）鼓勵(lì)產(chǎn)業(yè)發(fā)展尤其是將小微企業(yè)排除在監(jiān)管范圍之外

近些年來歐盟一直積極鼓勵(lì)相關(guān)領(lǐng)域小微中企業(yè)的發(fā)展，NIS指令繼續(xù)堅(jiān)持了確保網(wǎng)絡(luò)安全和鼓勵(lì)產(chǎn)業(yè)發(fā)展相平衡的原則。為了在整個(gè)歐盟實(shí)現(xiàn)基礎(chǔ)服務(wù)運(yùn)營者和數(shù)字服務(wù)提供者監(jiān)管要求的趨同實(shí)施，NIS指令規(guī)定不得強(qiáng)制或者歧視性支持某一特定類型技術(shù)的使用，鼓勵(lì)采用歐盟或者國際所認(rèn)可的安全標(biāo)準(zhǔn)和技術(shù)細(xì)則；歐盟網(wǎng)絡(luò)與信息安全局（ENISA）負(fù)責(zé)會同成員國擬定相關(guān)技術(shù)領(lǐng)域和既有標(biāo)準(zhǔn)的建議和指南。③NIS Directive, Art. 19.

該規(guī)定實(shí)際上并沒有對納入監(jiān)管范圍的主體施加強(qiáng)制性的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，考慮到指令規(guī)定被監(jiān)管者的義務(wù)是“采取適當(dāng)?shù)暮统杀壤募夹g(shù)和組織措施來管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)”，具體實(shí)施的監(jiān)管標(biāo)準(zhǔn)往往是依靠網(wǎng)絡(luò)安全行業(yè)最佳實(shí)踐來確定。指令規(guī)定了歐盟網(wǎng)絡(luò)安全協(xié)作體負(fù)責(zé)交流網(wǎng)絡(luò)安全最佳實(shí)踐和風(fēng)險(xiǎn)信息，并與歐盟相關(guān)標(biāo)準(zhǔn)化組織討論上述安全標(biāo)準(zhǔn)和技術(shù)細(xì)則。④NIS Directive, Art. 11.

為了鼓勵(lì)小微企業(yè)的發(fā)展，NIS指令明確規(guī)定對于數(shù)字服務(wù)提供者的網(wǎng)絡(luò)和信息系統(tǒng)安全監(jiān)管義務(wù)不適用小微企業(yè)。⑤NIS Directive, Art. 16.根據(jù)歐盟委員會建議的界定，所謂的小型企業(yè)是指員工人數(shù)在10－50人之間，且年?duì)I業(yè)額或資產(chǎn)總額在200萬－1000萬歐元之間的企業(yè)；所謂的微型企業(yè)是員工人數(shù)在10人以下，且年?duì)I業(yè)額或資產(chǎn)總額在200萬歐元以下的企業(yè)。⑥Commission Recommendation of 6 May 2003 concerning the de finition of micro，small and medium-sized enterprises（noti fied under document number C(2003)1422), OJ L 124，20.5.2003，pp.36-41.就在NIS指令通過的前一天，歐盟委員會公布了《強(qiáng)化歐洲網(wǎng)絡(luò)恢復(fù)系統(tǒng)與培養(yǎng)競爭性和創(chuàng)新性網(wǎng)絡(luò)安全產(chǎn)業(yè)》的通報(bào)，該通報(bào)明確指出要增加對中小企業(yè)（SEM）的投資支持，并且通過簽訂合同建立網(wǎng)絡(luò)安全公私伙伴關(guān)系。⑦Strengthening Europe's Cyber Resilience System and Fostering a Competitive and Innovative Cybersecurity Industry, COM (2016) 410 final.

需要指出的是，歐盟網(wǎng)絡(luò)安全立法注意了不同法律規(guī)范的職能分工和統(tǒng)籌安排。根據(jù)NIS指令的規(guī)定，指令本身并不涉及個(gè)人信息處理，個(gè)人信息保護(hù)制度主要依據(jù)是《1995年個(gè)人數(shù)據(jù)保護(hù)指令》，⑧Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data, OJ L 281,23.11.95.但該指令近期已被2016年4月通過的《一般數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，簡稱GDPR）⑨Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/ EC(General Data Protection Regulation), OJ L 119, 4.5.2016, p.1-88.取代。此外，對于電子商務(wù)、一般的網(wǎng)絡(luò)犯罪等內(nèi)容也都由相應(yīng)的歐盟指令予以規(guī)制，并不適用NIS指令的規(guī)定。

NIS指令于2016年8月8日正式生效，歐盟成員國必須在此后的21個(gè)月內(nèi)將該指令轉(zhuǎn)換為國內(nèi)法。對于已有網(wǎng)絡(luò)安全立法的歐盟國家，例如德國2009年通過了《加強(qiáng)聯(lián)邦信息技術(shù)安全法》并于2015年進(jìn)行了修正，只需要在已有法律基礎(chǔ)上作出修正以滿足指令要求即可。但對于尚未有具體網(wǎng)絡(luò)安全立法的國家，如英國、荷蘭等，需要制定新的國內(nèi)法規(guī)則來滿足指令的要求。

三、歐盟網(wǎng)絡(luò)安全立法對中國的啟示與借鑒

近年來，面對嚴(yán)峻的網(wǎng)絡(luò)安全形勢，中國不斷重視和加快制定網(wǎng)絡(luò)安全相關(guān)政策和立法。2015年7月1日通過的《國家安全法》第25條明確規(guī)定要“實(shí)現(xiàn)網(wǎng)絡(luò)和信息核心技術(shù)、關(guān)鍵基礎(chǔ)設(shè)施和重要領(lǐng)域信息系統(tǒng)及數(shù)據(jù)的安全可控?！?016年11月7日，全國人大常委會通過了《網(wǎng)絡(luò)安全法》，這是中國網(wǎng)絡(luò)安全領(lǐng)域第一部綜合性立法。2016年12月27日，國家互聯(lián)網(wǎng)信息辦公室正式發(fā)布了《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》，闡明我國關(guān)于網(wǎng)絡(luò)空間發(fā)展和安全的基本目標(biāo)、主要立場和重大部署。

隨著這些政策和立法的相繼出臺，我國基本建立了網(wǎng)絡(luò)安全的法治框架，但這一基本法治框架亟待制定相關(guān)配套法律法規(guī)予以進(jìn)一步落實(shí)完善。在借鑒歐盟網(wǎng)絡(luò)安全立法經(jīng)驗(yàn)的基礎(chǔ)上，提出以下完善中國網(wǎng)絡(luò)安全法治的思考和建議。

（一）制定網(wǎng)絡(luò)安全國家行動(dòng)計(jì)劃和體系化的立法計(jì)劃

歐盟NIS指令明確要求各國制定自身的網(wǎng)絡(luò)與信息安全國家戰(zhàn)略，并對戰(zhàn)略應(yīng)包括的內(nèi)容作出了列舉規(guī)定，不僅包括國家的戰(zhàn)略目標(biāo)和重點(diǎn)任務(wù)，也包括達(dá)成這些目標(biāo)和任務(wù)的治理框架，這一治理框架主要是指政府相關(guān)部門及相關(guān)主體的任務(wù)和職責(zé)。對此，從歐盟各國的實(shí)踐看，往往會制定網(wǎng)絡(luò)安全國家行動(dòng)計(jì)劃予以細(xì)化落實(shí)。中國頒布的《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》，明確了中國網(wǎng)絡(luò)安全的重大目標(biāo)、基本原則和戰(zhàn)略任務(wù)，既是中國網(wǎng)絡(luò)安全治理工作的經(jīng)驗(yàn)總結(jié)，也是中國未來政策立法的綱領(lǐng)性文件。但與歐盟NIS指令規(guī)定和歐盟各國戰(zhàn)略相比來看，中國的戰(zhàn)略缺乏對政府部門和相關(guān)主體任務(wù)職責(zé)和行動(dòng)路線圖的具體規(guī)定。雖然一定的保密性有利于安全目標(biāo)的達(dá)成，但還是建議在戰(zhàn)略實(shí)施層面制定國家網(wǎng)絡(luò)安全行動(dòng)計(jì)劃并適度公開，這樣既能在國際上保持一定的透明防止他國戰(zhàn)略誤判，也有利于在國內(nèi)凝集各界力量確保國家戰(zhàn)略和政策立法的貫徹實(shí)施。

歐盟網(wǎng)絡(luò)安全立法，注重不同立法的統(tǒng)籌規(guī)劃，歐盟NIS指令主要涉及維護(hù)網(wǎng)絡(luò)與信息系統(tǒng)安全，而個(gè)人信息保護(hù)、電子商務(wù)、一般的網(wǎng)絡(luò)犯罪等由其他條例、指令予以規(guī)范。實(shí)際上，網(wǎng)絡(luò)安全立法涉及了社會生活的多個(gè)領(lǐng)域，包括網(wǎng)絡(luò)犯罪、隱私權(quán)保護(hù)、電子商務(wù)、電子政務(wù)、內(nèi)容管制、技術(shù)標(biāo)準(zhǔn)等等，內(nèi)容多樣復(fù)雜，需要戰(zhàn)略性的布局和體系化的設(shè)計(jì)。例如，中國《網(wǎng)絡(luò)安全法》第四章對個(gè)人信息保護(hù)作出了較為詳細(xì)的規(guī)定，而之前《刑法》、《消費(fèi)者保護(hù)法》等法律法規(guī)也有類似的規(guī)定，當(dāng)前主張專門制定《個(gè)人信息保護(hù)法》的呼聲也比較高，那么在落實(shí)執(zhí)行相關(guān)規(guī)定時(shí)要注重不同法律法規(guī)之間的協(xié)調(diào)。建議在后續(xù)立法時(shí)注重體系化設(shè)計(jì)，避免造成立法資源浪費(fèi)和人為的法律適用混亂。

（二）分類監(jiān)管信息系統(tǒng)并突出保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施

不同于美國將關(guān)鍵基礎(chǔ)設(shè)施作為網(wǎng)絡(luò)安全立法的核心保護(hù)對象，①關(guān)于美國的相關(guān)立法規(guī)定，參見劉金瑞：《美國網(wǎng)絡(luò)安全立法近期進(jìn)展及對我國的啟示》，《暨南學(xué)報(bào)（哲學(xué)社會科學(xué)版）》2014年第2期。歐盟NIS指令將納入監(jiān)管范圍的網(wǎng)絡(luò)信息系統(tǒng)區(qū)分為“基本服務(wù)運(yùn)營者”和“數(shù)字服務(wù)提供者”兩類。所謂的“基本服務(wù)運(yùn)營者”是指提供維續(xù)關(guān)鍵社會活動(dòng)或經(jīng)濟(jì)活動(dòng)基本服務(wù)的主體，涉及能源、運(yùn)輸、銀行、金融、醫(yī)療衛(wèi)生等多個(gè)領(lǐng)域。這和美國“關(guān)鍵基礎(chǔ)設(shè)施”的界定相似，美國所謂的“關(guān)鍵基礎(chǔ)設(shè)施”是指“對于美國來說至關(guān)重要的物理的或虛擬的系統(tǒng)和資產(chǎn)，一旦其能力喪失或遭到破壞，就會削弱國家安全、國家經(jīng)濟(jì)安全、國家公眾健康與安全之一或者這些重要領(lǐng)域的任何組合”，①USA PATRIOT Act，Title X，Sec．1016．Critical Infrastructures Protection Act of 2001，42 USC § 5195c.涉及通信、金融服務(wù)、政府設(shè)施、交通系統(tǒng)、能源等16個(gè)領(lǐng)域。②Presidential Policy Directive 21：Critical Infrastructure Security and Resilience，F(xiàn)ebruary 19，2013，http://www.fas.org/ irp/offdocs/ppd/ppd-21.pdf, last visited on Jan.17, 2017.

歐盟NIS指令對“基本服務(wù)運(yùn)營者”和“數(shù)字服務(wù)提供者”規(guī)定了不同的監(jiān)管義務(wù)，對于基本服務(wù)提供者予以重點(diǎn)監(jiān)管，實(shí)際上對關(guān)鍵信息基礎(chǔ)設(shè)施予以重點(diǎn)保護(hù)。我國《網(wǎng)絡(luò)安全法》采納了“關(guān)鍵信息基礎(chǔ)設(shè)施”的概念，建立了保護(hù)其運(yùn)行安全的基本制度框架，并規(guī)定具體范圍和安全保護(hù)辦法由國務(wù)院制定。對于亟待制定的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》③該條例已經(jīng)納入國務(wù)院2016年立法工作計(jì)劃的研究項(xiàng)目，可以預(yù)見將會成為國務(wù)院2017年立法工作的重點(diǎn)任務(wù)。應(yīng)該進(jìn)一步完善相關(guān)規(guī)定，切實(shí)落實(shí)對關(guān)鍵信息基礎(chǔ)設(shè)施的特別保護(hù)，建議條例明確規(guī)定以下內(nèi)容：關(guān)鍵信息基礎(chǔ)設(shè)施涉及的不同領(lǐng)域及相應(yīng)的主管部門；明確分行業(yè)分領(lǐng)域保護(hù)計(jì)劃的制定主體和程序；進(jìn)一步明確關(guān)鍵信息基礎(chǔ)設(shè)施和網(wǎng)絡(luò)安全等級保護(hù)制度的關(guān)系，區(qū)別保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施和一般信息系統(tǒng)；運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)的國家安全審查辦法；個(gè)人信息和重要數(shù)據(jù)向境外傳輸?shù)陌踩u估辦法等。

（三）建立網(wǎng)絡(luò)安全信息共享機(jī)制以應(yīng)對網(wǎng)絡(luò)安全威脅

歐盟NIS指令通過建立計(jì)算機(jī)安全事件響應(yīng)團(tuán)隊(duì)和確立網(wǎng)絡(luò)安全事件報(bào)告義務(wù)，構(gòu)建了網(wǎng)絡(luò)安全信息共享機(jī)制以應(yīng)對網(wǎng)絡(luò)安全威脅。其中各成員國指定的計(jì)算機(jī)安全事件響應(yīng)團(tuán)隊(duì)和歐盟計(jì)算機(jī)應(yīng)急響應(yīng)團(tuán)隊(duì)組成了歐盟層面的計(jì)算機(jī)安全事件響應(yīng)團(tuán)隊(duì)網(wǎng)絡(luò)（CSIRTs network），規(guī)定基本服務(wù)運(yùn)營者有義務(wù)報(bào)告對其服務(wù)持續(xù)性造成重大影響的網(wǎng)絡(luò)安全事件，數(shù)字服務(wù)提供者有義務(wù)報(bào)告對其服務(wù)提供具有實(shí)質(zhì)影響的網(wǎng)絡(luò)安全事件。為了提高基本服務(wù)運(yùn)營者和數(shù)字服務(wù)提供者履行報(bào)告義務(wù)的積極性，NIS指令明確規(guī)定不得加重報(bào)告主體的法律責(zé)任，對于非納入監(jiān)管的其他主體，各國可以建立自愿報(bào)告制度但不得使自愿報(bào)告主體因報(bào)告行為而陷入法律上的不利地位。

中國《網(wǎng)絡(luò)安全法》第39條規(guī)定“促進(jìn)有關(guān)部門、關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者以及有關(guān)研究機(jī)構(gòu)、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)等之間的網(wǎng)絡(luò)安全信息共享”；第25條規(guī)定網(wǎng)絡(luò)運(yùn)營者應(yīng)“按照規(guī)定向有關(guān)主管部門報(bào)告”網(wǎng)絡(luò)安全事件；第51條規(guī)定“國家建立網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報(bào)制度”。建議在制定相關(guān)配套規(guī)定時(shí)明確以下內(nèi)容：規(guī)定網(wǎng)絡(luò)安全共享的體制機(jī)制，尤其是負(fù)責(zé)網(wǎng)絡(luò)安全信息交換的具體主管部門；明確不同主體不同的網(wǎng)絡(luò)安全事件報(bào)告義務(wù)，例如對于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者可以考慮規(guī)定強(qiáng)制性的報(bào)告義務(wù)，而對于其他一般并不重要的信息系統(tǒng)運(yùn)營者可以規(guī)定自愿報(bào)告的制度；為了激勵(lì)私主體與政府共享網(wǎng)絡(luò)安全信息，可以規(guī)定豁免私主體因共享安全信息而可能承擔(dān)的法律責(zé)任，并規(guī)定政府不得將這些信息作為對分享主體監(jiān)管和執(zhí)法的不利證據(jù)；規(guī)定網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報(bào)的負(fù)責(zé)部門和具體程序。

（四）審慎確定監(jiān)管范圍以平衡安全和產(chǎn)業(yè)發(fā)展的關(guān)系

歐盟NIS指令尤其注重平衡維護(hù)網(wǎng)絡(luò)安全與促進(jìn)產(chǎn)業(yè)發(fā)展的關(guān)系，對于在線市場、在線搜索引擎、云計(jì)算服務(wù)等數(shù)字服務(wù)提供者規(guī)定了“輕監(jiān)管”，采用事后監(jiān)管措施，發(fā)現(xiàn)未能達(dá)到監(jiān)管要求時(shí)僅要求其采取補(bǔ)救措施；并沒有對納入監(jiān)管范圍的主體施加強(qiáng)制性的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，具體實(shí)施的監(jiān)管標(biāo)準(zhǔn)往往是依靠網(wǎng)絡(luò)安全行業(yè)最佳實(shí)踐來確定；明確將小微企業(yè)排除在監(jiān)管范圍之外。

中國《網(wǎng)絡(luò)安全法》的貫徹落實(shí)也應(yīng)堅(jiān)持安全與發(fā)展并重的原則，其中最核心的問題就是如何確定“關(guān)鍵信息基礎(chǔ)設(shè)施”的保護(hù)范圍。建議緊扣中國“關(guān)鍵信息基礎(chǔ)設(shè)施”的定義，以“嚴(yán)重危害國家安全、國計(jì)民生、公共利益”作為限定標(biāo)準(zhǔn)，審慎劃定關(guān)鍵信息基礎(chǔ)設(shè)施尤其是私營關(guān)鍵信息基礎(chǔ)設(shè)施的范圍，①參見劉金瑞：《我國網(wǎng)絡(luò)關(guān)鍵基礎(chǔ)設(shè)施立法的基本思路和制度建構(gòu)》，《環(huán)球法律評論》2016年第5期。將與中國國家安全無關(guān)的一般的商業(yè)信息系統(tǒng)排除在監(jiān)管范圍之外。為了強(qiáng)化私營主體的責(zé)任、真正實(shí)現(xiàn)維護(hù)網(wǎng)絡(luò)安全，不同于歐盟的規(guī)定，建議對事關(guān)國家安全而被認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施的私營信息系統(tǒng)運(yùn)營者賦予強(qiáng)制性的監(jiān)管義務(wù)，并制定強(qiáng)制性的監(jiān)管標(biāo)準(zhǔn)；可以規(guī)定只要這些私營運(yùn)營者履行法定義務(wù)和遵循強(qiáng)制標(biāo)準(zhǔn)，可以減輕或免除因此而產(chǎn)生的法律責(zé)任。例如，對于遵守監(jiān)管標(biāo)準(zhǔn)的私營關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營者，可以考慮規(guī)定其信息系統(tǒng)被惡意攻擊而導(dǎo)致大規(guī)模數(shù)據(jù)泄露時(shí)，運(yùn)營者可只向消費(fèi)者承擔(dān)補(bǔ)償性賠償責(zé)任，而非承擔(dān)懲罰性賠償責(zé)任。

（責(zé)任編輯：李曉暉）

The Recent Legislation of Cybersecurity in the European Union and its Enlightenment to China

LIU Jin-rui

European Union has adopted a set of policies and legislations on network and information security, and finally passed the Network and Information Security(NIS)Directive in 2016.This directive provides: a national strategy on NIS of each Member State; cooperation among Member States; Computer Security Incident Response Teams (CSIRTs) and CSIRTs network; obligations for“operators of essential services” and “digital service providers”; cybersecurity incident noti fication; balance between cybersecurity and industry development. Based on these experiences, the proposals for our legislation are as follows: formulating national cybersecurity action plan and systematic legislation plan; setting up the regulation framework of typed information systems focused on critical information infrastructure (CII); establishing the mechanism of cybersecurity information sharing to address cyber threats; defining private CII deliberatively to balance cybersecurity safeguard and industry development.

cybersecurity law; Network and Information Security (NIS) Directive of European Union; operators of essential services; cybersecurity incident notification; critical information infrastructure

G20

A

① 本文系國家社會科學(xué)基金特別委托項(xiàng)目“大數(shù)據(jù)時(shí)代依法治國戰(zhàn)略”（15@ZH012）和中國法學(xué)會2016年度研究課題“我國關(guān)鍵基礎(chǔ)設(shè)施保護(hù)立法研究”（CLS（2016）D44）的階段性成果。