2016-07-11
中国信息通信研究院CAICT
今年7月6日,欧洲议会通过了《网络与信息安全指令》,欧盟层面的首部网络安全法案正式出台。指令以提升成员国网络安全保障能力及增进欧盟层面的协作为主线,并为“关键服务经营者”及“数字服务提供者”规定了采取网络安全保障措施及通报重大安全事件的义务。指令旨在增进欧盟层面网络安全治理的整体能力,维护安全可信的网络环境,保障经济社会生活的稳定性,为欧盟数字化内部市场及数字经济的发展保驾护航。2016年7月,欧洲议会全体会议正式通过了《网络与信息安全指令》,此系首部欧盟层面的网络与信息安全法案,在欧盟网络安全战略与实践中具有里程碑式意义。指令全称为《保障欧洲层面高水平的网络与信息安全的指令》(以下简称“指令”),其出台基于迫切的现实需要。首先,网络攻击及网络犯罪引发的威胁日益严峻。当前欧盟及全球面临的网络攻击日益猖獗,规模不断扩大,加之欧洲经济社会生活对网络服务的高度依赖,网络安全事件造成的损失巨大;与此同时,网络犯罪层出不穷,对此的监管捉襟见肘,网络空间成为大规模有组织犯罪的温床。其次,欧盟层面网络安全保障的整体能力亟待提升。欧盟各成员国网络安全保障能力参差不齐,协作机制不完善,严重阻碍欧盟整体的网络安全保障能力。网络空间无国界,尤其是跨国跨境业务的开展使得网络威胁突破一国范围,因此必须在欧盟层面强化协作,加强统筹管理和优化布局,克服成员国各自为政的碎片化治理局面。指令旨在监督成员国在欧盟范围内建立有效的信息共享和统一的网络安全协作机制,增强抵御网络攻击的能力,维护网络空间的稳定性,保障经济社会生活的持续运行,提升消费者对网络服务的信心及信任,助力欧盟内部市场及数字经济的长足发展。《网络与信息安全指令》是在欧盟网络安全整体战略的大背景下提出的。欧盟委员会于2013年2月颁布《欧盟网络与信息安全战略》,并随战略同时发布了作为其核心法律提案的指令草案。指令草案于2014年3月经欧洲议会通过,2015年12月欧洲议会、欧盟理事会与欧盟委员会就指令规定达成实质性合意,并于今年7月获欧洲议会全体会议正式通过。指令正式文本将很快由官方发布,并于发布20日后生效,预期于今年8月正式生效。指令的性质决定了其不能在成员国直接适用,成员国须在指令颁布后21个月内将其转化为国内法,并另有6个月的期限划定其所涉及的主体范围。指令要求欧盟成员国和欧盟层面提升网络安全能力及加强协作,并规定了经营关键基础设施的私营企业义务,如造成重大影响的网络安全事件必须向主管机构通报等。鉴于指令的核心内容体现在成员国、欧盟和私营企业三个层面,以下将以此为主线加以逐一分析。[1]鉴于成员国网络安全保障状况的差异直接影响欧洲整体的网络安防水平,为提升成员国基本保障能力,指令规定了成员国层面的义务。第一,制定国家层面的网络与信息安全战略。各国在指令通过后的一年内须制定各自的网络安全国家战略,明确网络安全领域的战略目标以及相应的政策措施,以指导具体操作。第二,成立网络与信息安全主管机构。各国必须设立或指定(一个或多个)国内职能机构[2],负责落实、执行指令各项要求;与此同时,建立网络和信息系统安全领域的“单点联络机构”(singlepoint of contact)[3],负责在成员国主管机构、其他成员国相关机构间的联络与协作,同时主管机构须将收到的安全事件通报传达给单点联络机构。第三,组建计算机安全事件响应工作组[4](CSIRTs,以下简称“应急工作组”),各国可将其设立在主管机构之内,负责依照固定的流程处置各类安全事件与风险。[5]指令规定在各成员国之间设置“协同工作组”[6]以支持和促进成员国间的合作与情报交换,提升各方的机制性信任水平;在此基础上,指令进一步要求建立“计算机安全事件响应工作组网络”[7],从而在操作层面确保各成员国在处理网络安全事件与风险情报共享环节迅速、有效的协作,提升网络安全事件的快速响应及处置能力。指令规定了“关键服务经营者”和“数字服务提供商”两类主体的义务。首先,对于“关键服务经营者”(operator of essentialservices)[8],即在“一国经济社会中占据重要地位”的领域如能源、运输、银行、金融市场基础设施、医疗、水务、数字化基础设施的经营者,指令规定了识别上述经营者的三项标准,并要求其确保“与引发风险程度相当”的网络和信息系统安全,保障风险应对能力和经营持续性,并规定了根据安全风险应采取的三方面管理措施[9]以及向主管国家机构通报安全事件的义务。根据指令规定,关键服务经营者必须将重大安全事件通报本国网络与信息安全相关主管机构[10]。指令并未规定何以构成应当通报的重大事件的范围,而是提供了三项评估标准[11]。其次,对于“数字服务提供商”(digital service provider),即在线市场提供商、云计算服务提供商以及搜索引擎提供商等,指令同样要求其采取三方面措施确保“与引发风险程度相当”的网络和信息系统安全,并同样规定了重大安全事件的通报义务,同时提供了构成应当进行重大事件通报的五项评估标准[12]。此外笔者认为尤其值得注意的是,相较于去年12月发布的指令文本对“关键服务经营者”与“数字服务提供商”二者义务规定的显著差异,例如确保“高水平”(前者)与“一般水平”(后者)的安全保障、“强制性”(前者)与“自愿性”(后者)的安全事件通报要求[13]、将中小企业排除出适用范围(后者)等等,此次正式签署的指令大大弱化了此二者间义务的程度化区分——除强调双方均应“根据相应的风险程度”设置安全保障措施、以及是否应当进行安全事件通报的评估标准(后者较前者多了两项标准)之外,他处的义务要求几乎无表述上的差别,不失为指令最大的遗憾之处。第一,指令规范了欧盟层面的网络与信息安全的顶层设计。指令的规定虽然尚不尽完善,但其作为欧盟网络与信息安全的第一部全面性法案,具有里程碑式意义,规范了欧盟层面网络与信息安全治理的顶层设计,是迈向欧盟整体协作的关键一步。指令以强化能力建设与提升合作水平为制度设计的核心,通过机制性规定促进欧盟层面网络安全治理能力的整体提升,以更好地应对网络安全威胁。虽然各方曾就适用主体的范围,以及指令内容仅涉及整体战略还是就具体操作做出规定等问题展开激烈讨论,然而由于欧盟成员国在网络安全领域具有广泛的共识与共同利益,各国政府皆把网络安全视为优先任务,推动了指令的最终顺利出台。第二,指令是欧盟网络安全整体战略中的一环。鉴于指令的篇幅和牵涉范围有限,无法对欧盟网络安全层面做全面规定,其内容应当置于网络安全的整体战略中加以解读。除指令规定的内容外,欧盟在网络安全观、网络空间治理理念、网络安全战略规范体系、监管机构体系、标准认证体系、关键基础设施建设、公私协作模式、科研开发投入、文化顶层设计、安全意识培养、对外战略和国际话语权等方面,均在健全完善与稳步推进。第一,整合各方监管资源,增进欧盟层面联动协作。指令着重处理成员国与欧盟层面的关系,强调在欧盟机构与成员国间、成员国与成员国间建立多层次、立体化的协作框架,通过建立网络安全治理的专门机构,以及流程化、动态化的协作机制,转变欧盟网络安全监管的割裂化局面,扫除成员国间的监管障碍及壁垒,提升欧盟整体层面对网络安全威胁的应对能力及成效。第二,促进多方利益主体参与,强调私营企业的核心地位。指令处理的另一大关系是公私关系。私营企业位于网络安全的第一线,对网络安全事件敏感度高,与此同时在网络和信息安全保障方面占据核心资源和关键地位,指令注重明确各利益相关者的功能定位,为私营企业规定网络安全保障义务,注重发展公私协作伙伴关系,构建多方参与、多元治理的局面。第三, 规定安全事件通报机制[14],扩大通报主体适用范围。安全事件通报义务是指令的一大亮点,此规定在欧盟层面并非首度出现,此前的《电子隐私权保护指令》(2002/58/EC)与《通用数据保护条例》(GDPR)中已有相关规定,但前述法案只适用于电信公司及个人信息控制者。指令大幅拓展了适用范围,规定银行、能源、运输、医疗等关键领域的经营者也必须履行安全事件通报义务。鉴于网络威胁的扩张及加剧,从全球范围看,国家内部及国家间的网络威胁情报共享机制势必得到强化。第四,限制对行业的过度监管,保障内部市场及数字经济的发展。应当指出的是,指令推出的动机是为欧盟数字化内部市场保驾护航。为迎接数字经济发展机遇,欧盟推出“数字化议程”,制定数字化内部市场战略,以实现对内推动经济增长,拉动就业水平,对外提升自身产业的竞争力,同时突破美国互联网巨头在欧洲市场的垄断地位。由此出发,指令的规定鲜明地体现出适当性原则,注重防范以网络安全为名对行业发展加以过度限制。在适用对象上,指令突出强调“关键服务经营者”与“数字服务提供商”应根据自身安全风险等级履行相应管理义务。在义务规定上,指令仅规定了采取安全措施和安全事件通报两项新义务,并未涉及查询源代码、本地化存储及强制解密等争议性内容,[15]根据相应的安全风险确定履行义务的程度,对于促进数字化单一市场发展,提升欧盟数字产业的对外竞争力具有重要意义。如前所述,欧盟各成员国在网络安全层面的法律与实践参差不齐,如德国、法国、英国业已制定及推行了本国的网络安全战略和法案,建立了网络安全应急工作组等监管执行机构,因而无需做出大幅变动就已符合指令要求。然而与此同时,仍有部分成员国的网络安全顶层设计、法律框架和监管体系尚不健全,安全能力及协作水平的提升仍然任重道远。就欧盟层面而言,安全管控资源的统筹协调尚需时日,在未解决资源散乱的局面前,势必遭遇效率低下的状况。与此同时,国别差异严重的欧盟缺少一个绝对权威,共同协作之名往往流于形式,最终责任还是落在各个成员国身上。总而言之,实现指令的美好愿景、在欧盟层面进行真正意义的网络安全密切协作与监管整合仍面临重重困境。第一,加强顶层设计,健全治理体系。当前,我国已推出《网络安全法》草案,网络安全立法与监管全面推进,然而应当认识到立法只是网络空间安全治理体系中的一个环节。就整体而言,我国网络安全的顶层设计和宏观战略尚未形成,应及时制定国家层面的网络安全战略,明确我国加强网络安全建设的重点任务和优先目标,进行风险研判、战略资源运用、安全政策机制等方面的规划部署;与此同时建立完善相应的配套监管措施、标准认证体系等,形成从战略、政策到法规、监管的完整网络安全治理体系。第二,增进企业参与,实现多元共治。政府应充分认识到企业在国家网络安全建设中的核心地位,大力调动企业参与治理的积极性;同时提升企业责任意识,为企业增设安全风险管控及安全事件通报等义务,强化关键基础设施运营者的安全管理义务,促进企业与政府间的信息共享与协同共治,;建立完善公私协作伙伴关系,健全多元利益主体参与的机制,推动网络安全由“监管”向“治理”的理念转变,实现多元共治和互利共赢。第三,把握监管尺度,助力产业发展。政府在充分保障网络安全的同时,亦应合理把握监管尺度,为行业发展留出空间,避免过度监管对行业发展造成阻碍,进而影响国家安全保障的水平;与此同时加强安全领域的研发投入,激发安全产业自主创新的积极性,大力推动安全人才培养,助力我国网络安全行业竞争力的提升及长足发展。“ [1]由于指令的正式文件尚未颁布,笔者本文主要依据为欧盟委员会同日(7月6日)发布的MEMO/16/2422号备忘录(Fact Sheet) ,http://europa.eu/rapid/press-release_MEMO-16-2422_en.htm#_3._Risk_management,并参考欧盟三机构于去年12月发布的达成实质合意的指令文本,特此声明。[2] 指令规定可选定现有的机构,也可设立新机构。[3]“单点联络机构”为草案修订过程中的新增内容,指令规定其可与主管机构重叠。“单点联络”的概念由《内部市场服务业指令》首先提出,强调提供便利的信息获取及共享渠道,提倡一次性集中提供所有信息,以减少搜索及获取信息的困难,解决信息不对称的问题。[4]英文全称为ComputerSecurity Incidents Response Teams。[5]指令在附件一中详细阐述了应急工作组应履行的职能要求及工作任务。[6]英文全称为CooperationGroup,由欧盟委员会派驻秘书长。[7]英文名称为CSIRTs Network,由欧盟网络与信息安全局(ENISA)派驻秘书长。[8]关键服务经营者具体涵盖领域有:能源(电力、石油、天然气等)、运输(航空、铁路、水运与陆运等)、银行(信贷机构等)、金融市场基础设施(交易所与交易对手等)、医疗(医疗服务提供者等)、水务(饮用水供应与分销商等)、数字化基础设施(包括互联网交换基站、域名系统服务提供商与顶级域名登记等)等。草案最初规定为“市场经营者”(market operators)。此外,草案要求成员国在指令颁布后27各月内确立关键服务经营者清单。[10]通报内容详细程度应确保主管机构足以评估其跨境影响及后果。若牵涉到受到影响的其他国家,主管机构应及时告知。主管机构同时可征询经营者意见后告知公众。[11]即:受影响的用户数量、事件持续的时间、事件扩散的区域。[12]即:受影响的用户数量、事件持续的时间、事件扩散的区域、服务中断的程度、对经济社会活动的影响。[13]去年12月发布的指令文本规定,数字服务提供商的事件通报义务是非强制性的,并且指出成员国在安全保障措施或通报义务方面不得对其施以其他强制性要求。[14] 安全事件通报机制起源于美国,美国新近又通过了备受争议的《网络安全威胁情报共享法案》(CISA)。[15]然而应当指出,指令并不排除既有其他法律的规定,如新出台的《通用数据保护条例》(GDPR)对处理个人信息的经营者采取了严格的规定。 范为,中国信息通信研究院互联网法律研究中心助理研究员。研究专长为个人信息保护、网络信息安全、数据权属与数据治理等。北京大学法学院硕士,曾留学德国洪堡大学及台湾政治大学等专门从事个人信息保护研究与实务工作,北京大学信息管理系大数据方向在职班在读。国际隐私专家协会六重认证专家—信息技术、企业信息管理、政府信息管理、美国法、欧盟法、加拿大法方向(全球前20,非美国国家唯一),ISO 27001信息系统安全主任审核员,《数据流通行业自律公约》(2.0版本)主笔。联系方式:fanwei@caict.ac.cn。