刘金瑞

欧盟网络安全立法最新进展及其意义①

刘金瑞

欧盟一直高度重视网络安全政策和立法，2016年通过了网络与信息安全指令，主要内容包括：各国必须制定网络与信息安全国家战略；增强各国之间的战略合作和跨境协作；建立计算机安全事件响应团队并建立欧盟合作网络；区分基本服务运营者和数字服务提供者分别予以监管；确立网络安全事件报告制度；平衡网络安全与产业发展的关系。借鉴欧盟经验，对完善我国网络安全法治提出以下建议：一是制定网络安全国家行动计划和体系化的立法计划；二是分类监管信息系统并突出保护关键信息基础设施；三是建立网络安全信息共享机制以应对网络安全威胁；四是审慎确定监管范围以平衡网络安全和产业发展的关系。

网络安全法；欧盟网络与信息安全指令；基本服务运营者；网络安全事件报告；关键信息基础设施

刘金瑞中国法学会法治研究所助理研究员，清华大学法学博士，研究方向为网络法、信息法和民法。

信息通信技术的革命性进展，使得交通、电力、电信、供水、金融及政府服务等基础设施的运营越来越依靠网络信息系统。然而，互相连接、互相依赖的网络信息系统极易被攻击而陷入瘫痪，流动在网络空间的信息数据也极易被拦截、窃取和破坏，从而引发了网络安全这一全球性议题。随着网络犯罪、网络间谍、网络盗窃甚至网络恐怖主义等威胁不断涌现，各国纷纷加大了网络安全治理和立法的力度。2016年是全球网络安全立法进程中的重要一年，我国和欧盟、美国等国纷纷颁行了一系列重要立法，在全球范围基本确立了网络安全的法治框架。本文主要对欧盟网络安全立法尤其是2016年通过的《网络与信息安全指令》做一梳理分析，在此基础上提出完善我国网络安全法治的思考建议。

一、欧盟网络安全政策立法发展的基本历程

欧盟早在21世纪之初就认识到网络和信息安全领域的重要性，2001年提出了有关“网络和信息安全”的建议。②Network and Information Security：Proposal for A European Policy Approach，COM(2001) 298.2004年设立了欧盟网络和信息安全局（ENISA），以帮助欧盟委员会、各成员国和产业界应对和解决网络信息安全问题。该局的主要任务包括：1.收集和分析欧洲网络安全事件和风险的数据；2.推动风险评估和风险管理以增强应对信息安全威胁的能力；3.具体执行泛欧洲网络行动；4.支持各成员国计算机应急响应团队(Computer Emergency Response Team)的合作；5.提升信息安全领域不同参与者的安全意识和相互协作能力。①Establishing the European Network and Information Security Agency, REGULATION（EC）No 460/200．

欧盟网络和信息安全局成立之后，欧盟对网络与信息安全领域更加重视，不断制定颁行重要的政策和立法：2006年，通过了《确保信息社会安全战略》，②A strategy for a Secure Information Society-"Dialogue, partnership and empowerment", COM（2006）251．提出建立网络信息安全多方磋商对话机制，增强公共部门、私营部门和私人用户的合作；2008年颁布了《欧盟关键基础设施认定、指定以及评估强化其保护必要性的指令》，③Identi fication and designation of European critical infrastructures and the assessment of the need to improve their protection，DIRECTIVE 2008/114/EC．提出了保护欧盟关键基础设施的初步计划；2009年发布了保护关键信息基础设施的建议④Critical Information Infrastructure Protection："Protecting Europe from large scale cyber-attacks and disruptions: enhancing preparedness, security and resilience", COM (2009) 149．并修订了《电子通信指令》，⑤Amending Directives 2002/21/EC on a common regulatory framework for electronic communications networks and services，2002/19/EC on access to, and interconnection of， electronic communications networks and associated facilities, and 2002/20/EC on the authorisation of electronic communications networks and services，DIRECTIVE 2009/140/EC.以应对大规模网络攻击的威胁和电子通信网络服务的新变化；2011年发布《保护关键信息基础设施——面向全球网络安全的成就和下一步行动》，⑥Critical Information Infrastructure Protection: "Achievements and next steps: towards global cyber-security", COM（2011）163.进一步部署了欧盟层面的关键信息基础设施保护计划。

2013年，欧盟发布了《欧盟网络安全战略：开放、安全和可靠的网络空间》，提出要增强网络恢复力、有效减少网络犯罪、制订欧盟网络防御政策、发展网络安全产业和技术以及建立欧盟统一的网络空间国际政策等。⑦Cybersecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace，JOIN (2013) 1.同年，欧盟通过了规制“信息系统攻击行为”的指令，要求成员国强化网络犯罪规制，在各国立法中增加惩处网络犯罪的规定，以应对日益严峻的大规模网络攻击。⑧Directive 2013/40/EU of the European Parliament and of the Council of 12 August 2013 on attacks against information systems and replacing Council Framework Decision 2005/222/JHA, OJL345, 23.12.2008, p75-82．2015年，《欧洲安全议程（2015－2020）》⑨The European Agenda on Security, COM (2015) 185 final.发布，进一步深化了欧盟网络安全战略的框架。2016年7月5日，欧盟委员会公布了《强化欧洲网络恢复系统与培养竞争性和创新性网络安全产业》的通报（communication），提出要建立网络安全公私伙伴关系。⑩Strengthening Europe's Cyber Resilience System and Fostering a Competitive and Innovative Cybersecurity Industry, COM (2016) 410 final．通报（communication）是欧盟委员会为起草法案征求意见的一种形式。

随着欧盟网络安全战略政策的成熟，欧盟自2013年开始推动网络安全的综合性立法计划，由欧盟委员会和欧盟外交和安全高级政策代表于当年2月提出了“确保欧盟统一、高水平网络与信息系统安全之相关措施的指令”（Network and Information Security Directive，以下简称NIS指令）建议。⑪Proposal for a directive of the European Parliament and of the Council concerning measures to ensure a high common level of network and information security across the Union, COM (2013) 48.斯诺登事件爆出后，该指令的立法进程加快，欧盟议会（European Parliament）和欧盟理事会（European Council）于2015年12月7日就该指令达成共识。2016年5月17日，欧盟理事会通过NIS指令；2016年7月6日，欧盟议会正式通过了该指令。⑫2Directive(EU)2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union, OJ L 194, 19.7.2016, p1-30.

NIS指令于2016年8月8日正式生效，欧盟成员国必须在此后的21个月内将该指令转换为国内法。该指令是欧盟建立数字单一市场（digital single market）的重要举措之一，是欧盟层面第一部综合性网络安全立法，提出了在欧盟确保统一、高水平网络与信息系统安全的基本法治框架。

二、欧盟网络与信息安全指令的主要内容

NIS指令所界定的“网络和信息系统安全”是指“在一定可信水平下，网络与信息系统抵抗破坏其所存储、传输、处理之数据或者相关服务的可用性、真实性、完整性或者保密性行为的能力。”①NIS Directive, Art.4．该指令建立的欧盟网络安全法治框架包括以下内容：

（一）欧盟各国必须制定自身的网络与信息安全国家战略

NIS指令要求每个成员国都要制定自己的网络与信息系统安全国家战略（以下简称NIS国家战略），以实现和维护高水平的网络与信息系统安全。指令要求NIS国家战略应该包括以下内容：

1.网络与信息系统安全国家战略的目标和重点任务；2.达成这些目标和重点任务的治理框架，包括政府机构以及其他相关主体的角色和责任；3.认定防范、应对以及恢复的相关措施，包括公共部门与私营部门之间的合作；4.明确与网络与信息系统安全国家战略有关的教育、意识提升以及培训计划；5.与网络与信息系统安全国家战略有关的研究与发展计划；6.认定风险的风险评估计划；7.实施网络与信息系统安全国家战略所涉主体的清单。②NIS Directive, Art.7．

成员国应当确定一个或者多个主管机构来负责监督NIS指令在本国的实施，也就是说指令既允许成员国对不同行业确定不同的主管机构，也允许确定一个主管机构负责所有的行业。但不管确定是一个还是多个主管机构，每个成员国都必须指定一个主管机构作为单一的“联络点”（single point of contact），负责联络其他成员国主管机构以及根据指令各国都必须建立的计算机安全事件响应团队（Computer Security Incident Response Team，简称CSIRT）。③NIS Directive, Art.8．

和主管机构一样，成员国可以建立多个计算机安全事件响应团队。网络和信息系统安全的主管机构、联络机构和计算机安全事件响应团队需要共同协作来落实NIS指令规定的法律职责。

（二）增强欧盟各国之间的网络安全战略合作和跨境协作

为了便利欧盟成员国之间战略合作与信息共享、增进各国的互相信任，NIS指令要求建立一个网络安全协作体（Cooperation Group），该协作体由成员国代表、欧盟委员会和欧盟网络与信息安全局（ENISA）组成。协作体的主要职能在于：为计算机安全事件响应团队网络（CSIRTs network）的活动提供指导，交流网络安全最佳实践和风险信息，讨论网络安全相关具体标准和技术细则，讨论NIS相关实践、教育计划和培训成效包括欧盟网络与信息安全局（ENISA）所开展的工作等等。每隔一年半，协作体应当完成一份报告，以评估战略合作中积累的经验。④NIS Directive, Art.11．

除了网络安全协作体之外，NIS指令还要求建立计算机安全事件响应团队网络（CSIRTs network），⑤详见下文所述。以增强欧盟各成员国在具体网络安全事件处置和网络安全风险信息交流等操作层面的合作。

NIS指令不仅建立了成员国之间的合作框架，还鼓励欧盟与其他国家或者国际组织达成国际协议，允许和组织这些国家或者国际组织参与欧盟网络安全协作体的部分活动。但是此种国际协议应该考虑确保数据得到充分保护（adequate protection）的必要性。⑥NIS Directive, Art.13．

（三）建立计算机安全事件响应团队并建立欧盟合作网络

NIS指令要求建立计算机安全事件响应团队网络（CSIRTs network），由各国计算机安全事件响应团队的代表和欧盟计算机应急响应团队（Computer Emergency Response Team，CERTEU）构成。各国计算机安全事件响应团队的职责在于：监测全国范围的网络安全事件，向相关利益方提供网络安全风险和事件预警、警报、通知和信息传播，应对网络安全事件，提供动态的风险事件分析和态势感知，参与欧盟层面的计算机安全事件响应团队网络（CSIRTs network）。①NIS Directive, Art.9，Annex I point (2)．

在各国响应团队基础上建立起来的欧盟计算机安全事件响应团队网络（CSIRTs network），其职责在于网络安全事件信息交换、为成员国处置跨境安全事件提供支持、探索和认定进一步业务合作的形式等。每隔一年半，欧盟计算机安全事件响应团队网络应当向协作体提交一份报告，以评估业务合作中积累的经验。②NIS Directive, Art.12．

（四）区分基本服务运营者和数字服务提供者分别予以监管

NIS指令除了在成员国层面提出网络安全具体要求之外，还将纳入监管的数字市场主体分为“基本服务运营者”和“数字服务提供者”两类，分别赋予不同的监管义务。所谓的“基本服务运营者”(operators of essential services)是指“提供维续关键社会活动和／或经济活动基本服务的主体，这种服务的提供依赖于网络和信息系统，网络安全事件会对服务的提供造成重大的破坏性影响。”③NIS Directive, Art.5．所谓的“数字服务提供者”包括在线市场、在线搜索引擎、云计算服务的提供者。

基本服务运营者是指运营重点为下列领域的公共或私营主体：能源（电力、石油及天然气）、运输（陆运、铁路、航空及水运）、银行、金融市场基础设施；医疗卫生领域（公共及私人）、饮用水供应及分配、数字基础设施（互联网交换点，域名系统（DNS）服务提供商及顶级域名注册）。④NIS Directive, Art.4 point (4), Annex II．

根据NIS指令的规定，基本服务运营者和数字服务提供者都应履行以下义务：一是应当采取适当的和成比例的技术和组织措施来管理网络安全风险，鉴于技术水平现状，这些措施应当确保一定程度的安全并且对于所面临的风险是适当的；二是应当采取适当的措施防止和最小化网络安全事件的影响，以确保这些服务的持续性；三是应当向主管机构或计算机安全事件响应团队及时报告具有较大影响的网络安全事件。⑤NIS Directive, Art.14，Art.16．

但NIS指令对基本服务运营者和数字服务提供者规定了不同的程度的义务要求和责任要求，相对而言对数字服务提供者施以“轻监管”。比如判断数字服务提供者是否履行网络安全风险管理义务，应考虑以下因素：系统和设施的安全、安全事件处置、业务持续性管理、监查测试以及国际标准遵循。再如对于是否达到监管要求，主管机构对于数字服务提供者规定一般是采用事后监管措施，发现未能达到监管要求时仅是要求其采取补救措施；⑥NIS Directive, Art.17.而对于基本服务提供者，主管机构的监督职权不只限于事后监管，也可以采用事前和事中监管，发现未能达到监管要求时可以对其处以有约束力的命令（binding instructions）予以纠正。⑦NIS Directive, Art.15.

（五）针对不同主体建立不同程度的网络安全事件报告制度

NIS指令对于基本服务运营者和数字服务提供者规定了不同程度的网络安全事件报告制度。对于基本服务运营者而言，向主管机构或计算机安全事件响应团队及时报告的是对其“服务持续性具有重大影响的”网络安全事件，此时判断网络安全事件是否造成重大影响应考虑以下因素：1.受影响的用户数量；2.该事件的持续时间；3.该事件所影响区域的地理范围。⑧NIS Directive, Art.14.

对于数字服务提供者而言，向主管机构或计算机安全事件响应团队及时报告的是对其“服务提供具有实质影响的”网络安全事件，此时判断网络安全事件是否造成实质影响应考虑以下因素：1.受影响的用户数量；2.该事件的持续时间；3.该事件所影响区域的地理范围；4.对所提供的服务运行的破坏程度；5.对经济和社会活动的影响程度。同样是贯彻“轻监管”的思路，NIS指令明确规定成员国不得对数字服务提供者施加其他更严格的安全或通知要求。①NIS Directive, Art. 16.

为了鼓励基本服务运营者和数字服务提供者报告网络安全事件的积极性，NIS指令明确规定不得加重报告主体的法律责任。除了网络安全事件信息之外，主管部门为了监督法律义务的履行，可以要求基本服务运营者和数字服务提供者提供用于评估网络安全的相关信息或证据。

此外，对于没有被认定为基本服务运营者和数字服务提供者的其他主体，可以在自愿的基础上向主管部门报告对其服务持续性造成重大影响的网络安全事件。各成员国建立的自愿报告制度，不得使自愿报告主体因报告行为而处于任何不利地位。②NIS Directive, Art. 20.

（六）鼓励产业发展尤其是将小微企业排除在监管范围之外

近些年来欧盟一直积极鼓励相关领域小微中企业的发展，NIS指令继续坚持了确保网络安全和鼓励产业发展相平衡的原则。为了在整个欧盟实现基础服务运营者和数字服务提供者监管要求的趋同实施，NIS指令规定不得强制或者歧视性支持某一特定类型技术的使用，鼓励采用欧盟或者国际所认可的安全标准和技术细则；欧盟网络与信息安全局（ENISA）负责会同成员国拟定相关技术领域和既有标准的建议和指南。③NIS Directive, Art. 19.

该规定实际上并没有对纳入监管范围的主体施加强制性的网络安全标准，考虑到指令规定被监管者的义务是“采取适当的和成比例的技术和组织措施来管理网络安全风险”，具体实施的监管标准往往是依靠网络安全行业最佳实践来确定。指令规定了欧盟网络安全协作体负责交流网络安全最佳实践和风险信息，并与欧盟相关标准化组织讨论上述安全标准和技术细则。④NIS Directive, Art. 11.

为了鼓励小微企业的发展，NIS指令明确规定对于数字服务提供者的网络和信息系统安全监管义务不适用小微企业。⑤NIS Directive, Art. 16.根据欧盟委员会建议的界定，所谓的小型企业是指员工人数在10－50人之间，且年营业额或资产总额在200万－1000万欧元之间的企业；所谓的微型企业是员工人数在10人以下，且年营业额或资产总额在200万欧元以下的企业。⑥Commission Recommendation of 6 May 2003 concerning the de finition of micro，small and medium-sized enterprises（noti fied under document number C(2003)1422), OJ L 124，20.5.2003，pp.36-41.就在NIS指令通过的前一天，欧盟委员会公布了《强化欧洲网络恢复系统与培养竞争性和创新性网络安全产业》的通报，该通报明确指出要增加对中小企业（SEM）的投资支持，并且通过签订合同建立网络安全公私伙伴关系。⑦Strengthening Europe's Cyber Resilience System and Fostering a Competitive and Innovative Cybersecurity Industry, COM (2016) 410 final.

需要指出的是，欧盟网络安全立法注意了不同法律规范的职能分工和统筹安排。根据NIS指令的规定，指令本身并不涉及个人信息处理，个人信息保护制度主要依据是《1995年个人数据保护指令》，⑧Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data, OJ L 281,23.11.95.但该指令近期已被2016年4月通过的《一般数据保护条例》（General Data Protection Regulation，简称GDPR）⑨Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/ EC(General Data Protection Regulation), OJ L 119, 4.5.2016, p.1-88.取代。此外，对于电子商务、一般的网络犯罪等内容也都由相应的欧盟指令予以规制，并不适用NIS指令的规定。

NIS指令于2016年8月8日正式生效，欧盟成员国必须在此后的21个月内将该指令转换为国内法。对于已有网络安全立法的欧盟国家，例如德国2009年通过了《加强联邦信息技术安全法》并于2015年进行了修正，只需要在已有法律基础上作出修正以满足指令要求即可。但对于尚未有具体网络安全立法的国家，如英国、荷兰等，需要制定新的国内法规则来满足指令的要求。

三、欧盟网络安全立法对中国的启示与借鉴

近年来，面对严峻的网络安全形势，中国不断重视和加快制定网络安全相关政策和立法。2015年7月1日通过的《国家安全法》第25条明确规定要“实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控。”2016年11月7日，全国人大常委会通过了《网络安全法》，这是中国网络安全领域第一部综合性立法。2016年12月27日，国家互联网信息办公室正式发布了《国家网络空间安全战略》，阐明我国关于网络空间发展和安全的基本目标、主要立场和重大部署。

随着这些政策和立法的相继出台，我国基本建立了网络安全的法治框架，但这一基本法治框架亟待制定相关配套法律法规予以进一步落实完善。在借鉴欧盟网络安全立法经验的基础上，提出以下完善中国网络安全法治的思考和建议。

（一）制定网络安全国家行动计划和体系化的立法计划

欧盟NIS指令明确要求各国制定自身的网络与信息安全国家战略，并对战略应包括的内容作出了列举规定，不仅包括国家的战略目标和重点任务，也包括达成这些目标和任务的治理框架，这一治理框架主要是指政府相关部门及相关主体的任务和职责。对此，从欧盟各国的实践看，往往会制定网络安全国家行动计划予以细化落实。中国颁布的《国家网络空间安全战略》，明确了中国网络安全的重大目标、基本原则和战略任务，既是中国网络安全治理工作的经验总结，也是中国未来政策立法的纲领性文件。但与欧盟NIS指令规定和欧盟各国战略相比来看，中国的战略缺乏对政府部门和相关主体任务职责和行动路线图的具体规定。虽然一定的保密性有利于安全目标的达成，但还是建议在战略实施层面制定国家网络安全行动计划并适度公开，这样既能在国际上保持一定的透明防止他国战略误判，也有利于在国内凝集各界力量确保国家战略和政策立法的贯彻实施。

欧盟网络安全立法，注重不同立法的统筹规划，欧盟NIS指令主要涉及维护网络与信息系统安全，而个人信息保护、电子商务、一般的网络犯罪等由其他条例、指令予以规范。实际上，网络安全立法涉及了社会生活的多个领域，包括网络犯罪、隐私权保护、电子商务、电子政务、内容管制、技术标准等等，内容多样复杂，需要战略性的布局和体系化的设计。例如，中国《网络安全法》第四章对个人信息保护作出了较为详细的规定，而之前《刑法》、《消费者保护法》等法律法规也有类似的规定，当前主张专门制定《个人信息保护法》的呼声也比较高，那么在落实执行相关规定时要注重不同法律法规之间的协调。建议在后续立法时注重体系化设计，避免造成立法资源浪费和人为的法律适用混乱。

（二）分类监管信息系统并突出保护关键信息基础设施

不同于美国将关键基础设施作为网络安全立法的核心保护对象，①关于美国的相关立法规定，参见刘金瑞：《美国网络安全立法近期进展及对我国的启示》，《暨南学报（哲学社会科学版）》2014年第2期。欧盟NIS指令将纳入监管范围的网络信息系统区分为“基本服务运营者”和“数字服务提供者”两类。所谓的“基本服务运营者”是指提供维续关键社会活动或经济活动基本服务的主体，涉及能源、运输、银行、金融、医疗卫生等多个领域。这和美国“关键基础设施”的界定相似，美国所谓的“关键基础设施”是指“对于美国来说至关重要的物理的或虚拟的系统和资产，一旦其能力丧失或遭到破坏，就会削弱国家安全、国家经济安全、国家公众健康与安全之一或者这些重要领域的任何组合”，①USA PATRIOT Act，Title X，Sec．1016．Critical Infrastructures Protection Act of 2001，42 USC § 5195c.涉及通信、金融服务、政府设施、交通系统、能源等16个领域。②Presidential Policy Directive 21：Critical Infrastructure Security and Resilience，February 19，2013，http://www.fas.org/ irp/offdocs/ppd/ppd-21.pdf, last visited on Jan.17, 2017.

欧盟NIS指令对“基本服务运营者”和“数字服务提供者”规定了不同的监管义务，对于基本服务提供者予以重点监管，实际上对关键信息基础设施予以重点保护。我国《网络安全法》采纳了“关键信息基础设施”的概念，建立了保护其运行安全的基本制度框架，并规定具体范围和安全保护办法由国务院制定。对于亟待制定的《关键信息基础设施安全保护条例》③该条例已经纳入国务院2016年立法工作计划的研究项目，可以预见将会成为国务院2017年立法工作的重点任务。应该进一步完善相关规定，切实落实对关键信息基础设施的特别保护，建议条例明确规定以下内容：关键信息基础设施涉及的不同领域及相应的主管部门；明确分行业分领域保护计划的制定主体和程序；进一步明确关键信息基础设施和网络安全等级保护制度的关系，区别保护关键信息基础设施和一般信息系统；运营者采购网络产品和服务的国家安全审查办法；个人信息和重要数据向境外传输的安全评估办法等。

（三）建立网络安全信息共享机制以应对网络安全威胁

欧盟NIS指令通过建立计算机安全事件响应团队和确立网络安全事件报告义务，构建了网络安全信息共享机制以应对网络安全威胁。其中各成员国指定的计算机安全事件响应团队和欧盟计算机应急响应团队组成了欧盟层面的计算机安全事件响应团队网络（CSIRTs network），规定基本服务运营者有义务报告对其服务持续性造成重大影响的网络安全事件，数字服务提供者有义务报告对其服务提供具有实质影响的网络安全事件。为了提高基本服务运营者和数字服务提供者履行报告义务的积极性，NIS指令明确规定不得加重报告主体的法律责任，对于非纳入监管的其他主体，各国可以建立自愿报告制度但不得使自愿报告主体因报告行为而陷入法律上的不利地位。

中国《网络安全法》第39条规定“促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享”；第25条规定网络运营者应“按照规定向有关主管部门报告”网络安全事件；第51条规定“国家建立网络安全监测预警和信息通报制度”。建议在制定相关配套规定时明确以下内容：规定网络安全共享的体制机制，尤其是负责网络安全信息交换的具体主管部门；明确不同主体不同的网络安全事件报告义务，例如对于关键信息基础设施运营者可以考虑规定强制性的报告义务，而对于其他一般并不重要的信息系统运营者可以规定自愿报告的制度；为了激励私主体与政府共享网络安全信息，可以规定豁免私主体因共享安全信息而可能承担的法律责任，并规定政府不得将这些信息作为对分享主体监管和执法的不利证据；规定网络安全监测预警和信息通报的负责部门和具体程序。

（四）审慎确定监管范围以平衡安全和产业发展的关系

欧盟NIS指令尤其注重平衡维护网络安全与促进产业发展的关系，对于在线市场、在线搜索引擎、云计算服务等数字服务提供者规定了“轻监管”，采用事后监管措施，发现未能达到监管要求时仅要求其采取补救措施；并没有对纳入监管范围的主体施加强制性的网络安全标准，具体实施的监管标准往往是依靠网络安全行业最佳实践来确定；明确将小微企业排除在监管范围之外。

中国《网络安全法》的贯彻落实也应坚持安全与发展并重的原则，其中最核心的问题就是如何确定“关键信息基础设施”的保护范围。建议紧扣中国“关键信息基础设施”的定义，以“严重危害国家安全、国计民生、公共利益”作为限定标准，审慎划定关键信息基础设施尤其是私营关键信息基础设施的范围，①参见刘金瑞：《我国网络关键基础设施立法的基本思路和制度建构》，《环球法律评论》2016年第5期。将与中国国家安全无关的一般的商业信息系统排除在监管范围之外。为了强化私营主体的责任、真正实现维护网络安全，不同于欧盟的规定，建议对事关国家安全而被认定为关键信息基础设施的私营信息系统运营者赋予强制性的监管义务，并制定强制性的监管标准；可以规定只要这些私营运营者履行法定义务和遵循强制标准，可以减轻或免除因此而产生的法律责任。例如，对于遵守监管标准的私营关键基础设施运营者，可以考虑规定其信息系统被恶意攻击而导致大规模数据泄露时，运营者可只向消费者承担补偿性赔偿责任，而非承担惩罚性赔偿责任。

（责任编辑：李晓晖）

The Recent Legislation of Cybersecurity in the European Union and its Enlightenment to China

LIU Jin-rui

European Union has adopted a set of policies and legislations on network and information security, and finally passed the Network and Information Security(NIS)Directive in 2016.This directive provides: a national strategy on NIS of each Member State; cooperation among Member States; Computer Security Incident Response Teams (CSIRTs) and CSIRTs network; obligations for“operators of essential services” and “digital service providers”; cybersecurity incident noti fication; balance between cybersecurity and industry development. Based on these experiences, the proposals for our legislation are as follows: formulating national cybersecurity action plan and systematic legislation plan; setting up the regulation framework of typed information systems focused on critical information infrastructure (CII); establishing the mechanism of cybersecurity information sharing to address cyber threats; defining private CII deliberatively to balance cybersecurity safeguard and industry development.

cybersecurity law; Network and Information Security (NIS) Directive of European Union; operators of essential services; cybersecurity incident notification; critical information infrastructure

G20

A

① 本文系国家社会科学基金特别委托项目“大数据时代依法治国战略”（15@ZH012）和中国法学会2016年度研究课题“我国关键基础设施保护立法研究”（CLS（2016）D44）的阶段性成果。