王肃之

（武汉大学法学院，湖北武汉 430072）

欧盟《网络与信息系统安全指令》的主要内容与立法启示
——兼评《网络安全法》相关立法条款

王肃之

（武汉大学法学院，湖北武汉 430072）

欧盟《网络与信息系统安全指令》是第一部欧盟层面的网络安全立法，其在内容上包括一般规定、网络与信息系统安全国家框架、跨国合作、基本服务运营者与数字服务提供者的网络与信息系统安全等。该指令与《网络安全法》在一般规定、国家框架与跨国合作、网络运营者等方面存在较大的不同。该指令中关于术语体系、网络安全战略、事件应对机构、国际合作、网络运营者等方面的规定对于我国网络安全立法均有较强启示意义。

网络与信息系统安全指令；网络安全法；内容比较；启示借鉴

随着信息化网络化的发展，互联网时代在带来利益与便捷的同时，也不可避免地伴生风险与脆弱，网络安全问题日益成为一个世界性的命题与难题。为了应对网络安全的严峻形势，各国纷纷出台专门的网络安全立法来推动和指导网络安全治理。欧盟于2016年7月出台了第一部欧盟层面的网络安全立法——《网络与信息系统安全指令》，对于欧盟乃至世界的网络安全治理都有着特殊的意义。而我国也于2016年11月7日通过了网络领域的基础性法律——《网络安全法》。欧盟的这一立法在结构与内容上有何特点？与我国的《网络安全法》有何不同又有何启示？值得深入研究。

1 欧盟《网络与信息系统安全指令》的主要内容

在信息社会中任何人和物都在某种程度在技术上相互联系［1］。在过去的20年中，欧洲国家面临着与美国同样的挑战——网络安全［2］。2013年欧洲委员会制定了《欧盟网络安全战略：一个开放、安全、可靠的网络空间》［3］。进一步的战略举措将包括提升认识水平、发展有关网络安全产品和服务内部市场、加大研究与发展投资以及加紧对抗网络犯罪［4］。2016年7月，欧洲议会全体会议正式通过了《网络与信息系统安全指令》（Directive on Security of Network and Information Systems，以下简称“《指令》”）。《指令》意味着欧盟正在逐步地向着对其有效管理而探索实践［5］。欧盟《指令》全文共七章二十七条，其包括了欧盟网络与信息系统安全有关的多重内容，主要包括以下几个方面：

1.1 一般规定

一般规定的内容主要规定在第一章“一般规定”中，主要对于《指令》的主要问题、适用范围与协调原则、核心术语与表述作了较为细致的规定。

第一，主要问题。《指令》第一条第一款即指出，《指令》规定了确保欧盟高水平的网络与信息安全的相关措施，以促进内部市场的运行。第二款明确指出了《指令》所主要解决的五个问题：规定国家义务、创建合作组织、建立计算机安全事件响应小组网络、规定服务提供者义务、指派国家相关部门。

第二，适用范围与协调原则。由于《指令》是在欧盟层面公布的，涉及欧盟诸多成员国，需要对于适用范围与协调原则作出规定，以保证《指令》的有效实施。关于适用范围，《指令》先是在第一条第三款、第四款就不适用《指令》的情形以及《指令》与相关立法的效力问题作出规定，继而在第五款至第七款中就一些具体适用范围作出规定。此外，《指令》第二条就个人数据的问题指出，有关个人数据的处理问题适用欧盟其他相关的立法。

关于协调原则，《指令》第三条规定了最低限度的协调原则，即《指令》所规定的有关义务只是最低义务，但是成员国可以设置比《指令》更高的义务水平来保护网络与信息系统安全。

第三，核心术语与表述。《指令》突出的一个特色就是对于相关的核心术语作了全面细致的规定，并对关键问题作了详细的阐述，以保证《指令》的理解与适用，主要包括三个层面：

其一，基本术语的全面界定。《指令》第四条在界定网络与信息系统的基础上，指出“网络与信息系统安全是指，在一定的置信水平下，网络与信息系统抵御任何危害存储、传输或处理的数据可用性、真实性、完整性和机密性的，或者网络和信息系统提供或传递相关服务的行为能力。”继而对网络与信息系统安全的国家战略、基本服务运营者、数字服务、数字服务提供者、事件、事件处理、风险、代表、标准、规范、互联网交换点、域名系统、域名服务提供者、顶级域名注册机构、网上市场、网上搜索引擎、云计算服务等术语作了全面的界定，为《指令》的理解与适用奠定了基础。

其二，特殊主体的详细规定。《指令》第五条对于基本服务运营者作出详细的规定，重申基本服务运营者的认定应当参照《指令》的附件二，并在第二款详细地规定了成员国识别基本服务运营者的标准，包括社会经济层面、与网络信息系统相关的层面与网络安全事件的影响层面。此外，还对各国基本服务运营者的认定、审查、识别等方面的义务与程序作出了决定。

其三，关键表述的特别厘定。《指令》第六条对于第五条提及的“显著的破坏性影响”作了细致的阐释，指出各成员国在认定时应当考虑用户人数、行业独立性、程度和时间、市场份额、区域扩散、服务重要性等跨部门因素。该条还指出，在考虑这一问题时，成员国也应酌情考虑特定行业因素。

1.2 网络与信息系统安全国家框架

关于网络与信息系统安全国家框架的内容主要规定在《指令》第二章“网络与信息系统安全的国家框架”中，主要包括网络与信息系统安全的国家战略、联络点与响应小组、国家层面的协作。

第一，网络与信息系统安全的国家战略。《指令》第七条规定，“每个成员国应当出台规定战略目标、合适政策、监管措施的网络与信息系统安全国家战略，以便实现和保持高水平的网络和信息系统安全，并且至少包括附件二规定的行业类别和附件三规定的服务类别。”并特别指出有关网络与信息系统安全的国家战略应当特别解决目标和重点、治理框架、预防和应对措施、安全教育与训练、研究与发展计划的指示、风险评估计划与参与者名录等问题。此外，还规定了成员国在网络与信息系统安全的国家战略问题上向欧洲网络与信息安全局请求援助的权利以及在三个月内通报其战略的义务。

第二，联络点与响应小组。早在《2013/40/EU号指令》中，响应的机制主要包括接触点与信息共享、运营商协助两个方面［6］。《指令》对此作了进一步的规定。联络点与响应小组都是一国关于网络与信息系统安全特定机构，《指令》分别对其作出规定。《指令》第八条规定了国家主管部门和联络点，指出“每个成员国应当指派一个或多个网络与信息系统安全的主管部门，其管理范围至少包括附件二规定的行业类别和附件三规定的服务类别。”并且每个成员国应当指定一个“单一联络点”，通过其行使联络职能来确保与其他成员国及其有关部门、《指令》第十一条规定的合作组织、《指令》第十二条规定的CSIRTs网络之间的跨境合作。此外，该条还规定了联络点的监管问题、资源问题、咨询问题与程序问题。

《指令》第九条规定了计算机安全事件响应小组，指出“每个成员国应当指派一个或多个能够遵守附件一中（1）的要求的计算机安全事件响应小组，管理范围至少包括附件二规定的行业类别和附件三规定的服务类别，并且能够依照清晰明确的程序对风险与事件处理负责。”此外，该条还规定了计算机安全事件响应小组的管理、资源保障、基础设施、信息通报与请求协助等事项。

第三，国家层面的协作。《指令》第十条规定了国家层面的协作，指出“一国的单一联络点和计算机安全事件响应小组应当独立于主管部门，并且在履行《指令》规定的义务过程中进行协作”。此外，该条还具体规定了与之相关的对《指令》的遵守义务以及对相关事项的报告义务。

1.3 网络与信息系统安全的跨国合作

关于网络与信息系统安全跨国合作的内容主要规定在《指令》第三章“合作”中，主要包括合作组织、计算机安全事件响应小组网络和国际合作联盟三部分。

第一，合作组织。《指令》第十一条第一款规定，“为了支持和促进成员国之间的战略合作和信息交流，发展信赖和信任，在欧盟范围实现更高水平的网络和信息系统安全，因此建立合作组织。”并且合作小组应当执行《指令》规定的两年一度的规划任务。继而，该条规定了合作组织的成员构成和具体任务，以及合作组织的评价报告制度、程序性要求等问题。

第二，计算机安全事件响应小组网络。《指令》第十二条第一款规定，“为了促进成员国之间信赖和信任的发展，促成迅速和有效的行动合作，因此建立国家层面的计算机安全事件响应小组。”继而，该条规定了小组网络的成员组成、主要任务、评估报告制度、议事规则制度。

第三，国际合作联盟。《指令》第十三条规定，“依照《欧洲联盟运作条约》第二百一十八条，欧盟可以同第三国或国际组织缔结国际条约，允许并且组织其参与合作组织的一些行动。这些条约应当考虑到给予数据充分保护的必要性。”这一规定，明确了合作组织在与欧盟成员国之外的主体合作问题上的基本原则，有利于推动合作组织国际合作的开展。

1.4 基本服务运营者与数字服务提供者的网络与信息系统安全

《指令》第四章、第五章分别就基本服务运营者与数字服务提供者的网络与信息系统安全作了专门的规定，而且均围绕安全要求与事件通知、实施与执行两个方面展开（第十八条专门就数字服务提供者的管辖问题作出规定）。

第一，安全要求与事件通知。就基本服务运营者的安全要求与事件通知，《指令》第十四条第一款规定，“成员国应当确保基本服务运营者采取合适和适当的技术与有组织的措施来管理其运营中的网络与信息系统安全风险。考虑到相应的技术水平，这些措施应当确保与风险相适应的网络与信息系统安全。”该条还就成员国的保证义务、对服务连续性的保障、事件判断的参考因素、对其他成员国的通知、公众告知、合作组织的指导等问题作了规定。

就数字服务提供者的安全要求与事件通知，《指令》第十六条第一款规定，“成员国应当确保数字服务提供者采取合适和适当的技术与有组织的措施来管理其在欧盟内部提供的、附件三所列举的服务的网络与信息系统安全风险。考虑到相应的技术水平，这些措施应当确保与风险相适应的网络与信息系统安全，”并且应当考虑相关因素。该条还就成员国的保证义务、对服务连续性的保障、事件判断的参考因素、通知义务的分配、对其他成员国的通知、公共利益问题等作了规定。

第二，实施与执行。就基本服务运营者的实施与执行，《指令》第十五条第一款规定，“成员国应当确保主管部门有必需的权力与手段来评估基本服务运营者对于第十四条义务的遵守情况以及由此给网络与信息系统安全带来的影响。”该条还规定了主管部门上述权力的范围、缺陷纠正的权力、与数据保护机关的协作问题。

就数字服务提供者的实施与执行，《指令》第十七条第一款规定，“在采取监督措施后，如果有证据证明数字服务提供者没有遵照第十六条的要求，成员国在必要的情况下应当确保主管部门采取行动。如果其他成员国也接受了服务，这些证据也应当提交给其主管部门。”该条还规定了主管部门上述权力的范围和与其他成员国的协作。

第三，数字服务提供者的管辖问题。《指令》第十八条还就数字服务提供者的管辖权作了专门规定，指出数字服务提供者的总部或者主要营业机构在成员国内时，应该被认为处于成员国的管辖之下。此外，该条还规定欧盟以外数字服务提供者的代表制度以及这一制度的限制规定。

除了上述主要内容之外，第六章则是规定了标准化和自愿通知制度，就与基本服务运营者与数字服务提供者相关的技术规范的标准化与（网络安全）事件的自愿通知作了规定。

2 欧盟《网络与信息系统安全指令》与《网络安全法》相关条款的比较

网络安全是一个世界性的问题，美国已经出台《2015年网络安全法案》，全面维护网络安全，我国也于近期通过了《网络安全法》。同为大陆法系国家，欧盟《指令》与我国《网络安全法》各有特色，对其进行比较研究对于我国网络安全立法具有重要意义。

2.1 关于一般规定的比较

欧盟《指令》的总则规定称为“一般规定”，我国《网络安全法》中的一般规定称为“总则”，均规定于第一章（其中基本术语的定义《网络安全法》置于附则）。二者均对于立法目的、适用范围等问题作了规定，但也存在较大的区别：

第一，法律的效力不同。欧盟就网络安全问题颁布了很多立法文件，具体在形式上，它们分别表现为决议、指令、协议、决定、公约、条例、宣言、建议、战略规划［7］。指令不具有直接的法律效力，而是需要成员国经由本国法律体系予以转化适用，所以《指令》第一章第三条规定了最低限度的协调原则，并且在正文很多条款中注明了成员国完成《指令》义务的期限。甚至于对网络服务提供者的效力也有一定局限——许多互联网巨头总部并不在欧洲，它们没有义务听从欧盟的指令［8］。《网络安全法》则是由我国立法机关制定的国内法，从法律效力而言，《网络安全法》具有更直接的法律效力。

第二，规制范围不同。欧盟《指令》围绕网络与信息系统安全展开，规定网络与信息系统安全的国家框架、合作、服务提供等问题，并没有对于信息安全作出专门的规定，甚至其第二条明确指出，有关个人数据的处理适用其他法律文件。《网络安全法》则不同，其第四章用较大篇幅规定了“网络信息安全”，特别是对于网络运营者对于个人信息的保护作了规定。也就是说，欧盟对于网络与信息系统安全和数据安全是采取分别立法的形式，而我国的《网络安全法》不但规定网络与信息系统安全，也涉及信息安全。

第三，术语阐释详略不同。欧盟《指令》第四条对于其涉及到的各种相关术语，第五条、第六条对于基本服务运营者和“显著的破坏性影响”均进行了全面细致的阐述。有利于欧盟各成员国正确地理解和适用《指令》。《网络安全法》仅是在附则第七十六条对于网络、网络安全、网络运营者、网络数据、个人信息作出界定，并未就该法其他出现的诸如关键信息基础设施等进行细致的界定，对于网络运营者等术语的界定也较为笼统。在这一点上，《网络安全法》确实显得粗糙和单薄，难以为正确地理解和适用提供有效的支撑。

第四，行为指引条款的设置不同。欧盟《指令》并不是某个国家的国内立法，而是欧盟层面指令，其实际上是设置了网络与信息系统安全的最低标准，而且其规制的对象是欧盟各成员国，不存在指引行为的作用（这也可以在《指令》第三条及其他相关规定中显示出来），所以并没有设置具有指引性质的条文。《网络安全法》作为我国国内立法，具有指引、预测、评价等作用，在总则中规定了诸多的行为指引条款，如第三条、第四条、第五条、第六条、第七条对于国家行为的指引，第九条、第十条对于网络运营者行为的指引，等等。这些行为指引条款，充分体现了我国网络安全立法的特色与重点，应该予以肯定。

2.2 关于国家框架与跨国合作的比较

欧盟《指令》第二章规定了网络与信息系统安全的国家框架，第三章规定了合作。《网络安全法》第二章规定了网络安全支持与促进，第三章规定了网络运行安全，没有对合作问题作出规定，二者具有较大区别。

第一，关于网络安全国家战略的规定详略不同。欧盟《指令》第七条首先明确了网络与信息系统安全的国家战略的基本定位，继而较为详细地列举了该国家战略需要解决的具体问题，包括应当特别解决目标和重点、治理框架、预防和应对措施、安全教育与训练、研究与发展计划的指示、风险评估计划与参与者名录等问题。《网络安全法》中有关网络安全国家战略的规定则较为简略，即“国家制定并不断完善网络安全战略，明确保障网络安全的基本要求和主要目标，提出重点领域的网络安全政策、工作任务和措施”。形成这样的差异与法律文件的性质有重要关系，《指令》系欧盟层面出台的法律文件，旨在引导成员国，因而对于国家战略规定较为详细，而《网络安全法》一旦通过则为国内法，而且根据我国的实际情况，可以通过出台专门的行政文件来完成这一工作。

第二，对于网络安全国家管理和（网络安全）事件处理的方式不同。欧盟《指令》第八条、第九条分别对国家主管部门和联络点、计算机安全事件响应小组作出规定，明确各成员国需要建立（唯一）联络点和计算机安全事件响应小组，并且对于相关的管理、资源保障、咨询、信息通报等事项作了具体规定，突出了建立这两个单独机构在网络安全国家管理中的地位。《网络安全法》则是以网络安全管理（以及监测预警与应急处置）事项为重心，在第二章“网络安全支持与促进”、第三章“网络运行安全”、第五章“监测预警与应急处置”中就具体工作作出规定，均未规定成立专门的机构或者部门来预防和应对网络安全事件。虽然《网络安全法》所规定的各个事项有其必要意义，但是《指令》对于专门机构的规定也有其参考意义。

第三，对于国际合作的认识不同。欧盟《指令》第三章“合作”专门规定了国际合作的问题，包括合作组织、计算机安全事件响应小组网络、国际合作联盟，并且特别对合作组织与计算机安全事件响应小组网络作了详细的规定，特别是对于合作组织与计算机安全事件响应小组网络的具体任务作了清晰的列举，此外也对评价报告制度等相关内容作了规定。《网络安全法》则没有对国际合作专门作出规定，不但没有设置专门的章节，甚至没有设置专门的条文，只有第七条概括地提出积极开展相关交流合作。然而，网络安全是一个世界性的问题，国际合作在网络安全领域显得更为重要，在这一问题上《指令》的规定确有其合理之处。

2.3 关于网络运营者规定的比较

欧盟《指令》第四章、第五章分别就基本服务运营者与数字服务提供者的网络与信息系统安全事项作出规定。《网络安全法》并没有专门设置章节对网络运营者（网络运营者）作出规定，相关规定散见于各章节中。不仅体例上，在内容上也具有较大的区别。

第一，关于网络运营者的范围理解不同。欧盟《指令》仅规制基本服务运营者与数字服务提供者，而且分别于附件二、附件三限制了基本服务运营者与数字服务提供者的范围，并非规制所有的网络运营者。《网络安全法》只是写明规制“网络运营者”，并且概括地规定“网络运营者，是指网络的所有者、管理者和网络服务提供者”。虽然根据《指令》附件三的内容，其所规定的数字服务提供者可以理解为《网络安全法》中的网络运营者，但是附件二中的基本服务运营者多为基本公共服务提供者，只是网络安全与其服务的连续性具有关联。但是在信息化网络化的当今，互联网包括网络安全已经和各行业相关联，对于诸如能源、交通等领域的网络安全，是否应从网络安全立法的角度予以考虑？这也正是《指令》带给我们的思考。

第二，关于网络运营者的义务内容规定不同。欧盟《指令》对基本服务运营者与数字服务提供者主要规定了两方面内容：安全要求与事件通知、实施与执行。《网络安全法》则是对于网络运营者的义务作了细致全面的规定，包括遵守义务、网络安全等级保护制度的落实、网络安全事件应急预案、技术支持和协助、部门合作、用户信息保护、必要技术措施、法律责任等多个方面。在内容上，显然《网络安全法》关于网络运营者义务的规制范围更为全面，但是《指令》的内容则较为细致，如对服务连续性的保障、事件判断的参考因素、通知义务的分配、对其他成员国的通知、公共利益等问题的规定也有可供借鉴之处。

第三，关于网络运营者的管辖规定不同。欧盟《指令》第十八条专门规定了数字服务提供者的管辖问题，甚至还规定了对于数字服务提供者不属于欧盟境内成员国时的代表制度。《网络安全法》则根本没有规定网络运营者的管辖问题。出现这种区别并不难理解，欧盟的《指令》是指向欧盟的成员国的，主要是提出要求，如何根据本国法律进行转化依各成员国情况而定，而我国本身具有专门的诉讼法律，只要合适地将网络运营者的管辖问题纳入相应的诉讼法律即可。

3 欧盟《网络与信息系统安全指令》对我国网络安全立法的启示

虽然《网络安全法》在行为指引条款、网络安全事件的监测预警与应急处置、网络服务提供者的义务设置等方面较为科学，但是欧盟《指令》许多内容的设计颇具特色，对于我国网络安全立法具有很强的借鉴意义。

3.1 构建完善的术语体系

应当借鉴《指令》，规定更为完善的术语体系。《网络安全法》仅对网络、网络安全、网络运营者、网络数据、个人信息作出定义，对于其他该法涉及的诸如关键信息基础设施、网络信息安全、网络安全事件等术语均未作出必要的界定，不利于该法的理解与适用。应借鉴《指令》第四条对于（网络安全）事件的界定，从任何对于网络安全具有现实不利影响的活动层面予以界定。同时参考《指令》第四条对于网络与信息系统等术语的界定，对于关键信息基础设施作出符合通常理解又契合《网络安全法》内容的恰当界定。此外，网络信息安全也有必要进行独立的界定，因为网络信息安全包括但是不限于个人信息安全，还涉及非法信息的传输等信息安全问题，应该进行全面科学的界定，必要时可参考欧盟《一般数据保护条例》的相关内容。

3.2 明确我国网络安全战略的具体内容

应在相关立法中更具体地规定我国网络安全战略的具体内容。目前的《网络安全法》将网络安全战略的内容规定在总则第四条，也明确了要“提出重点领域的网络安全政策、工作任务和措施”，但是未具体地予以明确。《指令》第七条较为清楚地明确规定了网络与信息系统安全的国家战略任务及其相关问题，值得借鉴。应当借鉴《指令》的经验，在相关立法中对于我国网络安全战略的布局、任务予以具体化，明确我国加强网络安全建设的重点任务和优先目标，并且辅之以相应的举措。

3.3 设置专门的网络安全事件应对机构

《网络安全法》中除了应规定网络安全管理的具体职责之外，也有必要就应急响应等事项规定独立的网络安全事件应对机构。《网络安全法》第五章“监测预警与应急处置”更多的是侧重通报、措施、预案、临时措施等应对处理角度进行规定，并没有规定设置独立的网络安全事件监测预警与应急处置机构。《指令》第九条清楚地规定了计算机安全事件响应小组的相关内容，值得借鉴。而且，就网络安全事项设置专门的机构也是我国现实的做法。2014年2月27日，中央网络安全和信息化领导小组成立，其主要目标之一就是“推动国家网络安全和信息化法治建设，不断增强安全保障能力”，各地相关部门也都成立了网络安全的专门管理机构。在网络安全事件风险与危害日渐突出的背景下，在相关立法中借鉴欧盟做法规定专门的应对机构，正当其时。

3.4 重视维护网络安全的国际合作

应该在《网络安全法》中就国际合作问题作出专门的规定。《网络安全法》并未就网络安全的国际合作问题作出专门规定，《指令》则在第三章“合作”中全面地规定了合作组织、计算机安全事件响应小组网络、国际合作联盟。网络安全是一个世界性的难题，网络安全的保护也需要世界各国相互合作共同努力，这一共识应当为各国立法所肯定，欧盟《指令》的做法颇具借鉴意义。而且，国内类似的立法已经有就国际合作问题作出规定的先例。《反恐怖主义法》第七章“国际合作”就反恐怖主义国际合作的立场、相关职权、司法协助、合作任务、合作证据等问题作了详细的规定，有利于加深与其他国家的合作，共同打击恐怖主义活动。我国同样也应该立足国际视野，借鉴和参考《指令》中的相关条款，对于我国网络安全国际合作问题作出规定。

3.5 明确网络运营者的范围与层次

应该在相关立法中明确规定《网络安全法》中规定的网络运营者的范围与层次。《指令》不但在第四条规定了基本服务运营者、数字服务提供者的概念，在第四章、第五章分别规定了其义务，还在附件二、附件三中详细规定了《指令》规制的基本服务运营者、数字服务提供者的具体范围，这样的思路值得我国网络安全立法予以借鉴。而且，在网络运营者的范围上，也应注意到信息化网络化的背景下，原有社会基本服务向网络服务转变的现实，参考《指令》合理界定网络运营者的范围。此外，随着网络社会的发展，网络运营者的范围不断扩大，其网络运营规模与能力各不相同，承担的义务水平也应当有所区别。如《网络安全法》使用了“关键信息基础设施的运营者”的表述，并且设置了特定的义务，但是就其范围并没有作出明确的规定，易于导致规定执行的混乱。但是，网络运营者的范围与层次这样的问题又不宜在《网络安全法》中直接作出规定，可以在《网络安全法实施条例》以及其他相关法律文件中予以明确，从而恰当、有效地规制和引导网络运营者履行网络安全义务。

［1］FREITAS PM F，GON ALVESN.Illegal Access to Information Systems and the Directive 2013/40/ EU［J］.International Review of Law Computers& Technology，2015，29（1）:53.

［2］ILVES L K，EVANS T J，CILLUFFO F J，et al. European Union and NATO Global Cybersecurity Challenges:A Way Forward［J］.Prism Security Studies Journal，2016，6（2）:127-128.

［3］SHACKELFORD S J，CRAIG A N.Beyond the New“Digital Divide”:Analyzing the Evolving Role of National Governments in Internet Governance and Enhancing Cybersecurity［J］. Stanford Journal of International Law，2014，50（1）:156.

［4］RICHARD TAUWHARE.Improving Cybersecurity in the European Union:the Network and Information Security Directive［J］.Journal of Internet Law，2016，19（12）:4.

［5］BARRINHA A.Cybersecurity in the European Union.Resilience and Adaptability in Governance policy［J］.European Security，2016，25（3）:388.

［6］张涛，王玥，黄道丽.信息系统安全治理框架:欧盟的经验与启示：基于网络攻击的视角［J］.情报杂志，2016（08）:20.

［7］林丽枚.欧盟网络空间安全政策法规体系研究［J］.信息安全与通信保密，2015，24（4）:30.

［8］陈旸.欧盟网络安全战略解读［J］.国际研究参考，2013（05）:36.

责任编辑 朱文婷

10.14180/j.cnki.1004-0544.2017.06.032

D97（196.2）

A

1004-0544（2017）06-0177-06

国家社会科学基金重点项目（13AFX010）；武汉大学自主科研项目（人文社会科学）（2017QN010）；中央高校基本科研业务费专项资金资助。

王肃之（1990-），男，河北石家庄人，武汉大学法学院博士研究生。