来源:中国信息产业网
近日,欧盟立法机构正式通过首部网络安全法《网络与信息系统安全指令》,旨在加强基础服务运营者、数字服务提供者的网络与信息系统安全,要求这两者履行网络风险管理、网络安全事故应对与通知等义务。此外,该法要求成员国制定网络安全国家战略,要求加强成员国间合作与国际合作,要求在网络安全技术研发方面加大资金投入与支持力度。不久前,全国人大公布了《中华人民共和国网络安全法(草案)》二次审议稿,并向全国征求意见,引发了社会各界的关注和热议。那么,欧盟网络安全法能给我国带来哪些启示呢?
继欧盟理事会于2016年5月17日一读通过《网络与信息系统安全指令》(NIS指令)之后,欧盟议会于7月6日二读通过该指令,这意味着欧盟立法机构历经三年,最终正式采纳NIS指令。
作为欧盟数字单一市场一系列举措的重要组成部分,NIS指令是欧盟第一部网络安全法,其目的在于,在欧盟范围内实现统一的、高水平的网络与信息系统安全。在NIS指令中,网络与信息系统安全是指网络与信息系统有能力抵抗针对经由这些网络与信息系统存储、传输、处理、提供的信息或者相关服务的可用性、真实性、完整性或者保密性等采取的破坏措施。NIS指令将于本月生效,之后,成员国必须于21个月之内将其转化为国内法。
作为欧盟首部网络安全法,NIS指令明确了欧盟关于网络安全的顶层制度设计,确立网络安全国家战略,强调合作与多方参与,确立网络安全事故通知与信息分享机制,对数字服务提供者采取轻监管思路,避免过度监管对互联网行业发展产生不利影响。
对我国网络安全立法的启示
当前,我国正在制定网络安全法,欧盟等已经率先出台网络安全法,其中一些制度安排值得借鉴和学习。
——网络安全法应立足“网络与信息系统安全”为核心,避免制度泛化
目前“网络安全”概念众说纷纭,但从NIS指令中看,其主要指的是“网络与信息系统安全”,并不包括内容安全等。我国的网络安全法草案,除了关于网络与信息系统安全的规定,还大幅度涉及个人信息保护、违法网络信息治理等制度,内容涵盖非常广泛。因此,个人是否有权要求互联网企业删除、更正其个人信息,互联网企业是否有义务发现、处理违法网络信息等是否需要在网络安全法中涉及值得商榷。
以个人信息保护方面制度为例,目前草案简单赋予用户要求删除、更正个人信息的权利,而不加以任何限制,可能导致该项权利被滥用,网络运营者会承担过多的处理请求,即使网络运营者加大人财物的投入,恐难以满足用户的现实需求,对我国互联网产业产生不利影响。
——建立行之有效的网络安全事故通知与信息分享机制
欧盟的《网络与信息系统安全指令》建立了网络安全信息分享机制。针对基础服务运营者或称关键服务运营者以及部分数字服务提供者施加了向主管机构通报具有重大影响的网络安全事故的义务。
我国网络安全法草案第24条则规定了网络运营者向主管机构报告网络安全事件的义务。不仅如此,第21条要求网络服务提供者将其产品、服务存在的安全缺陷、漏洞等风险告知用户以及主管机构。
其中,网络服务提供者将其产品、服务存在的安全缺陷、漏洞等风险告知用户以及主管机构规定值得商榷。通常而言,产品、服务处于不断升级完善过程中,没有绝对完美的产品与服务,否则就不会存在产品迭代。因此,应在具有重大风险时企业告知用户及主管机构,否则将过重义务加于企业。
总体而言,我国网络安全法应以“网络与信息系统安全”为核心,避免制度泛化,审慎考虑网络实名制等制度,避免给行业发展带来过度负担。同时推动制度与国际接轨,真正成为网络安全的法治保障。
欧盟网安新法的核心内容
欧盟层面:增进成员国间合作与国际合作
为了增进成员国之间的战略合作与信息共享,NIS指令要求设立一个合作团体,主要发挥四大作用:制定工作计划;指导网络安全相关工作开展;分享网络安全风险等信息以及最佳实践;总结并报告工作经验。该合作团体由成员国代表、欧盟委员会、欧盟网络与信息安全局组成。此外,NIS指令要求设立一个计算机安全事故响应组,以促进操作层面的合作,同时加强网络安全领域的国际合作。
成员国层面:制定网络安全国家战略
NIS指令要求各成员国制定网络安全国家战略,在其中应当明确战略目标、合理政策以及监管措施。该战略应当包括下列内容:战略目标和重点工作;实现这些目标和重点工作的治理框架,包括政府机构以及其他相关参与者的角色和责任;明确相关的应对、防范以及恢复措施,包括政府机构与私营部门之间的合作;与网络安全国家战略有关的教育以及意识增强、培养项目;与网络安全国家战略有关的研究与发展计划;相关风险评估计划;实施网络安全国家战略的多方参与者。在具体制度安排方面,NIS指令要求成员国确定至少一个主管机构,负责监督并实施NIS指令;确定至少一个联络处,进行网络安全相关合作事宜;确定至少一个计算机安全事故响应组(CSIRT),负责国家层面的网络安全事故监测,就网络安全风险和事故向相关利益方提供早期预警、警报、通知、信息传递等,应对网络安全事故,以及提供动态的网络安全风险和事故分析。
系统层面:明确网络风险管理
NIS指令适用于基础服务运营者的网络与信息系统。根据NIS指令第4条,网络与信息系统包括:2002/21/EC指令中界定的电子通信网络;按照某一程序自动化处理数字数据的设备、一组关联设备或者一组相互连接的设备:对上述要素进行存储、处理、检索或者传输的数字数据,目的在于运作、使用、保护以及维护这些数据。
基础服务包括能源、交通、银行业、金融市场基础设施、健康产业、饮用水供给、数字基础设施。根据NIS指令第5条,基础服务运营者的认定标准有三个:所提供的服务对于重要的社会、经济活动是必需的;该服务的提供依赖于网络与信息系统;一旦发生网络安全事故,将对该服务的提供产生重大的破坏性影响。
根据NIS指令第14条,基础服务运营者需要履行三项义务:第一,应当采取适当的技术和组织措施管理网络安全风险,这些措施应当确保一定程度的网络安全;第二,应当采取恰当的措施防止、削弱网络安全事故的影响;第三,应当将具有重大影响的网络安全事故通知主管机构。
在确定网络安全事故的影响的重大程度时,基础服务运营者应当考虑下列三项因素:受影响的用户数量;该事故的持续时间;该事故波及的区域范围。此外,为了监督基础服务运营者履行义务,主管机构可以要求基础服务运营者提供用于评估网络安全的信息,提供证据证明其已经采取了有效的安全政策。
NIS指令同时适用于部分数字服务提供者的网络与信息系统。这些数字服务包括网上市场、网络搜索引擎以及云计算。数字服务提供者亦需履行三项义务:第一,数字服务提供者应当采取适当的技术和组织措施管理网络安全风险,所采取的措施应当确保一定程度的网络安全;第二,应当采取措施防止、削弱网络安全事故的影响;第三,应当将具有实质影响的网络安全事故通知主管机构。
在确定某个网络安全事故是否具有实质影响时,这些数字服务提供者应当考虑下列五项因素:受影响的用户数量;事故的持续时间;事故波及的区域范围;对所提供的服务的破坏程度;对经济和社会活动的影响程度。此外,为了监督数字服务提供者履行义务,主管机构可以对未达到要求的数字服务提供者采取措施,可以要求其提供用于评估网络安全的信息并采取补救措施。
