文/刘金瑞

欧盟网络安全立法近期进展及对中国的启示

文/刘金瑞

随着网络犯罪、网络间谍、网络盗窃甚至网络恐怖主义等威胁不断涌现，各国纷纷加大了网络安全治理和立法的力度。2016年7月，欧盟最终正式通过了“确保欧盟统一、高水平网络与信息系统安全之相关措施的指令”（Network and Information Security Directive，以下简称NIS指令）。该指令于2016年8月8日正式生效，将在之后的21个月转化为欧盟成员国的国内法。该指令是欧盟建立数字单一市场的重要举措之一，是欧盟层面第一部综合性网络安全立法。本文对该指令做一梳理分析，在此基础上提出完善我国网络安全法治的思考建议。

欧盟网络与信息安全指令的主要内容

NIS指令所界定的“网络和信息系统安全”是指“在一定可信水平下，网络与信息系统抵抗破坏其所存储、传输、处理之数据或者相关服务的可用性、真实性、完整性或者保密性行为的能力”。该指令建立的欧盟网络安全法治框架包括以下内容：

1．欧盟各国必须制定自身的网络与信息安全国家战略

NIS指令要求每个成员国都要制定自己的网络与信息系统安全国家战略（以下简称NIS国家战略），以实现和维护高水平的网络与信息系统安全。指令要求NIS国家战略应该包括以下内容：（1）网络与信息系统安全国家战略的目标和重点任务；（2）达成这些目标和重点任务的治理框架，包括政府机构以及其他相关主体的角色和责任；（3）认定防范、应对以及恢复的相关措施，包括公共部门与私营部门之间的合作；（4）明确与NIS国家战略有关的教育、意识提升以及培训计划；（5）与NIS国家战略有关的研究与发展计划；（6）认定风险的风险评估计划；（7）实施NIS国家战略所涉主体的清单。

成员国应当确定一个或者多个主管机构来负责监督NIS指令在本国的实施，但应指定一个主管机构作为单一的“联络点”，负责联络其他成员国主管机构以及根据指令各国都必须建立计算机安全事件响应团队（CSIRT）。和主管机构一样，成员国可以建立多个计算机安全事件响应团队。网络和信息系统安全的主管机构、联络机构和计算机安全事件响应团队需要共同协作来落实NIS指令规定的法律职责。

2．增强欧盟各国之间的网络安全战略合作和跨境协作

为了便于欧盟成员国之间战略合作与信息共享、增进各国的互相信任，NIS指令要求建立一个网络安全协作体，该协作体由成员国代表、欧盟委员会和欧盟网络与信息安全局（ENISA）组成。协作体的主要职能在于：为计算机安全事件响应团队网络的活动提供指导，交流网络安全最佳实践和风险信息，讨论网络安全相关具体标准和技术细则，等等。每隔一年半，协作体应当完成一份报告，以评估战略合作中积累的经验。除了网络安全协作体之外，NIS指令还要求建立计算机安全事件响应团队网络，以增强欧盟各成员国在具体网络安全事件处置和网络安全风险信息交流等操作层面的合作。NIS指令不仅建立了成员国之间的合作框架，还鼓励欧盟与其他国家或者国际组织达成国际协议，允许和组织这些国家或者国际组织参与欧盟网络安全协作体的部分活动。但是此种国际协议应该考虑确保数据得到充分保护的必要。

3．建立计算机安全事件响应团队并建立欧盟合作网络

NIS指令要求建立计算机安全事件响应团队网络，由各国计算机安全事件响应团队的代表和欧盟计算机应急响应团队（CERT-EU）构成。各国计算机安全事件响应团队的职责在于：监测全国范围的网络安全事件，向相关利益方提供网络安全风险和事件预警、警报、通知和信息传播，应对网络安全事件，提供动态的风险事件分析和态势感知，参与欧盟层面的计算机安全事件响应团队网络。

在各国响应团队基础上建立起来的欧盟计算机安全事件响应团队网络，其职责在于网络安全事件信息交换、为成员国处置跨境安全事件提供支持、探索和认定进一步业务合作的形式等。每隔一年半，欧盟计算机安全事件响应团队网络应当向协作体提交一份报告，以评估业务合作中积累的经验。

4．区分基本服务运营者和数字服务提供者，分别予以监管

NIS指令除了在成员国层面提出网络安全具体要求之外，还将纳入监管的数字市场主体分为“基本服务运营者”和“数字服务提供者”两类，分别赋予不同的监管义务。所谓的“基本服务运营者”（operators of essential services）是指“提供维续关键社会活动和／或经济活动基本服务的主体，这种服务的提供依赖于网络和信息系统，网络安全事件会对服务的提供造成重大的破坏性影响”。所谓的“数字服务提供者”包括在线市场、 在线搜索引擎、云计算服务的提供者。

基本服务运营者是指运营重点为下列领域的公共或私营主体：能源（电力、石油及天然气）；运输（陆运、铁路、航空及水运）；银行；金融市场基础设施；医疗卫生领域（公共及私人）；饮用水供应及分配；数字基础设施（互联网交换点，域名系统（DNS）服务提供商及顶级域名注册）。

根据NIS指令的规定，基本服务运营者和数字服务提供者都应履行以下义务：一是应当采取适当的和成比例的技术和组织措施来管理网络安全风险，鉴于技术水平现状，这些措施应当确保一定程度的安全并且对于所面临的风险是适当的；二是应当采取适当的措施防止和最小化网络安全事件的影响，以确保这些服务的持续性；三是应当向主管机构或计算机安全事件响应团队及时报告具有较大影响的网络安全事件。

但NIS指令对基本服务运营者和数字服务提供者规定了不同的程度的义务要求和责任要求，相对而言对数字服务提供者施以“轻监管”。比如判断数字服务提供者是否履行网络安全风险管理义务，应考虑以下因素：系统和设施的安全、安全事件处置、业务持续性管理、监查测试以及国际标准遵循。

5．针对不同主体建立不同程度的网络安全事件报告制度

NIS指令对于基本服务运营者和数字服务提供者规定了不同程度的网络安全事件报告制度。对于基本服务运营者而言，向主管机构或计算机安全事件响应团队及时报告的是对其“服务持续性具有重大影响的”网络安全事件，此时判断网络安全事件是否造成重大影响应考虑以下因素：（1）受影响的用户数量；（2）该事件的持续时间；（3）该事件所影响区域的地理范围。

对于数字服务提供者而言，向主管机构或计算机安全事件响应团队及时报告的是对其“服务提供具有实质影响的”网络安全事件，此时判断网络安全事件是否造成实质影响应考虑以下因素：（1）受影响的用户数量；（2）该事件的持续时间；（3）该事件所影响区域的地理范围；（4）对所提供的服务运行的破坏程度；（5）对经济和社会活动的影响程度。同样是贯彻“轻监管”的思路，NIS指令明确规定成员国不得对数字服务提供者施加其他更严格的安全或通知要求。

为了鼓励基本服务运营者和数字服务提供者报告网络安全事件的积极性，NIS指令明确规定不得加重报告主体的法律责任。除了网络安全事件信息之外，主管部门为了监督法律义务的履行，可以要求基本服务运营者和数字服务提供者提供用于评估网络安全的相关信息或证据。

此外，对于没有被认定为基本服务运营者和数字服务提供者的其他主体，可以在自愿的基础上向主管部门报告重大网络安全事件。各成员国建立的自愿报告制度，不得使自愿报告主体因报告行为而处于任何不利地位。

6．鼓励产业发展，将小微企业排除在监管范围之外

近些年来欧盟一直积极鼓励相关领域小微中企业的发展，NIS指令继续坚持了确保网络安全和鼓励产业发展相平衡的原则。NIS指令实际上并没有对纳入监管范围的主体施加强制性的网络安全标准，考虑到指令规定被监管者的义务是“采取适当的和成比例的技术和组织措施来管理网络安全风险”，具体实施的监管标准往往是依靠网络安全行业最佳实践来确定。为了鼓励小微企业的发展，NIS指令明确规定对于数字服务提供者的网络和信息系统安全监管义务不适用小微企业。

需要指出的是，欧盟网络安全立法注意了不同法律规范的职能分工和统筹安排，对于个人数据保护、电子商务、一般的网络犯罪等内容也都由相应的欧盟指令予以规制，并不适用NIS指令的规定。

欧盟网络安全立法对我国的启示与借鉴

我国通过《网络安全法》基本建立了网络安全的法治框架，但这一基本法治框架亟待制定相关配套制度予以进一步落实完善。在借鉴欧盟网络安全立法经验的基础上，提出以下完善我国网络安全法治的思考和建议。

1．制定网络安全国家行动计划和体系化的立法计划

欧盟NIS指令明确要求各国制定自身的网络与信息安全国家战略，并对战略应包括的内容作出了列举规定，从欧盟各国的实践看，往往会制定网络安全国家行动计划予以细化落实。我国颁布的《国家网络空间安全战略》，明确了我国网络安全的重大目标、基本原则和战略任务，既是我国网络安全治理工作的经验总结，也是我国未来政策立法的纲领性文件。但与欧盟NIS指令规定和欧盟各国战略相比来看，我国的战略缺乏对政府部门和相关主体任务职责和行动路线图的具体规定。虽然一定的保密性有利于安全目标的达成，但还是建议在战略实施层面制定国家网络安全行动计划并适度公开，这样既能在国际上保持一定的透明防止他国战略误判，也有利于在国内凝集各界力量确保国家战略和政策立法的贯彻实施。

从欧盟网络安全立法看，注重了不同立法的统筹规划，欧盟NIS指令主要涉及维护网络与信息系统安全，而个人信息保护、电子商务、一般的网络犯罪等由其他条例、指令予以规范。实际上，网络安全立法涉及了社会生活的多个领域，包括网络犯罪、隐私权保护、电子商务、电子政务、内容管制、技术标准等等，内容多样复杂，需要战略性的布局和体系化的设计。例如，我国《网络安全法》第四章对个人信息保护作出了较为详细的规定，而之前《刑法》《消费者保护法》等法律法规也有类似的规定，当前主张专门制定《个人信息保护法》的呼声也比较高，那么在落实执行相关规定时要注重不同法律法规之间的协调。建议在制定后续立法时注重体系化设计，避免造成立法资源浪费和人为的法律适用混乱。

2．分类监管信息系统并突出保护关键信息基础设施

不同于美国将关键基础设施作为网络安全立法的核心保护对象，欧盟NIS指令将纳入监管范围的网络信息系统区分为“基本服务运营者”和“数字服务提供者”两类。欧盟的“基本服务运营者”与美国“关键基础设施”的界定相似，后者是指“对于美国来说至关重要的物理的或虚拟的系统和资产，一旦其能力丧失或遭到破坏，就会削弱国家安全、国家经济安全、国家公众健康与安全之一或者这些重要领域的任何组合”，涉及通信、金融服务、政府设施、交通系统、能源等16个领域。

欧盟NIS指令对“基本服务运营者”和“数字服务提供者”规定了不同的监管义务，对于基本服务提供者予以重点监管，实际上对关键信息基础设施予以重点保护。我国《网络安全法》采纳了“关键信息基础设施”的概念，建立了保护其运行安全的基本制度框架，并规定具体范围和安全保护办法由国务院制定。对于亟待制定的《关键信息基础设施安全保护条例》应该进一步完善相关规定，切实落实对关键信息基础设施的特别保护，建议条例明确规定以下内容：关键信息基础设施涉及的不同领域及相应的主管部门；明确分行业分领域保护计划的制定主体和程序；进一步明确关键信息基础设施和网络安全等级保护制度的关系，区别保护关键信息基础设施和一般信息系统；运营者采购网络产品和服务的国家安全审查办法；个人信息和重要数据向境外传输的安全评估办法等。

3． 建立网络安全信息共享机制以应对网络安全威胁

欧盟NIS指令通过建立计算机安全事件响应团队和确立网络安全事件报告义务，构建了网络安全信息共享机制以应对网络安全威胁。其中各成员国指定的计算机安全事件响应团队和欧盟计算机应急响应团队组成了欧盟层面的计算机安全事件响应团队网络。为了鼓励基本服务运营者和数字服务提供者履行报告义务的积极性，NIS指令明确规定不得加重报告主体的法律责任，对于非纳入监管的其他主体，各国可以建立自愿报告制度。

我国《网络安全法》第39条规定“促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享”；第25条规定网络运营者应“按照规定向有关主管部门报告”网络安全事件；第51条规定“国家建立网络安全监测预警和信息通报制度”。建议在制定相关配套规定时明确以下内容：规定网络安全信息共享的体制机制，尤其是负责网络安全信息交换的具体主管部门；明确不同主体不同的网络安全事件报告义务，例如对于关键信息基础设施运营者可以考虑规定强制性的报告义务，而对于其他一般重要的信息系统运营者可以规定自愿报告的制度；为了激励私主体与政府共享网络安全信息，可以规定豁免私主体因共享安全信息而可能承担的法律责任，并规定政府不得将这些信息作为对分享主体监管和执法的不利证据；规定网络安全监测预警和信息通报的负责部门和具体程序。

4． 审慎确定监管范围以平衡安全和产业发展的关系

欧盟NIS指令尤其注重平衡维护网络安全与促进产业发展的关系，对于在线市场、在线搜索引擎、云计算服务等数字服务提供者规定了“轻监管”，采用事后监管措施，发现未能达到监管要求时仅要求其采取补救措施；并没有对纳入监管范围的主体施加强制性的网络安全标准，具体实施的监管标准往往是依靠网络安全行业最佳实践来确定；明确将小微企业排除在监管范围之外。

我国《网络安全法》的贯彻落实也应坚持安全与发展并重的原则，其中最核心的问题就是如何确定“关键信息基础设施”的保护范围。建议紧扣我国“关键信息基础设施”的定义，以“严重危害国家安全、国计民生、公共利益”作为限定标准，审慎划定关键信息基础设施尤其是私营关键信息基础设施的范围，将与我国国家安全无关的一般的商业信息系统排除在监管范围之外。为了强化私营主体的责任、真正实现维护网络安全，不同于欧盟的规定，建议对事关国家安全而被认定为关键信息基础设施的私营信息系统运营者赋予强制性的监管义务，并制定强制性的监管标准；但可以规定只要这些私营运营者遵循了法定义务和强制标准，可以减轻或免除因此而产生的法律责任。例如，对于遵守监管标准的私营关键基础设施运营者，可以考虑规定其信息系统被恶意攻击而导致大规模数据泄露时，可只向消费者承担补偿性赔偿责任，而非承担惩罚性赔偿责任。

【作者单位：中国法学会法治研究所；摘自《汕头大学学报》（人文社会科学版）2017年第1期；原题为《欧盟网络安全立法最新进展及其意义》】