歐盟《網(wǎng)絡(luò)與信息系統(tǒng)安全指令》的主要內(nèi)容與立法啟示
——兼評《網(wǎng)絡(luò)安全法》相關(guān)立法條款

王肅之

（武漢大學(xué)法學(xué)院，湖北武漢 430072）

歐盟《網(wǎng)絡(luò)與信息系統(tǒng)安全指令》的主要內(nèi)容與立法啟示
——兼評《網(wǎng)絡(luò)安全法》相關(guān)立法條款

王肅之

（武漢大學(xué)法學(xué)院，湖北武漢 430072）

歐盟《網(wǎng)絡(luò)與信息系統(tǒng)安全指令》是第一部歐盟層面的網(wǎng)絡(luò)安全立法，其在內(nèi)容上包括一般規(guī)定、網(wǎng)絡(luò)與信息系統(tǒng)安全國家框架、跨國合作、基本服務(wù)運(yùn)營者與數(shù)字服務(wù)提供者的網(wǎng)絡(luò)與信息系統(tǒng)安全等。該指令與《網(wǎng)絡(luò)安全法》在一般規(guī)定、國家框架與跨國合作、網(wǎng)絡(luò)運(yùn)營者等方面存在較大的不同。該指令中關(guān)于術(shù)語體系、網(wǎng)絡(luò)安全戰(zhàn)略、事件應(yīng)對機(jī)構(gòu)、國際合作、網(wǎng)絡(luò)運(yùn)營者等方面的規(guī)定對于我國網(wǎng)絡(luò)安全立法均有較強(qiáng)啟示意義。

網(wǎng)絡(luò)與信息系統(tǒng)安全指令；網(wǎng)絡(luò)安全法；內(nèi)容比較；啟示借鑒

隨著信息化網(wǎng)絡(luò)化的發(fā)展，互聯(lián)網(wǎng)時代在帶來利益與便捷的同時，也不可避免地伴生風(fēng)險與脆弱，網(wǎng)絡(luò)安全問題日益成為一個世界性的命題與難題。為了應(yīng)對網(wǎng)絡(luò)安全的嚴(yán)峻形勢，各國紛紛出臺專門的網(wǎng)絡(luò)安全立法來推動和指導(dǎo)網(wǎng)絡(luò)安全治理。歐盟于2016年7月出臺了第一部歐盟層面的網(wǎng)絡(luò)安全立法——《網(wǎng)絡(luò)與信息系統(tǒng)安全指令》，對于歐盟乃至世界的網(wǎng)絡(luò)安全治理都有著特殊的意義。而我國也于2016年11月7日通過了網(wǎng)絡(luò)領(lǐng)域的基礎(chǔ)性法律——《網(wǎng)絡(luò)安全法》。歐盟的這一立法在結(jié)構(gòu)與內(nèi)容上有何特點(diǎn)？與我國的《網(wǎng)絡(luò)安全法》有何不同又有何啟示？值得深入研究。

1 歐盟《網(wǎng)絡(luò)與信息系統(tǒng)安全指令》的主要內(nèi)容

在信息社會中任何人和物都在某種程度在技術(shù)上相互聯(lián)系［1］。在過去的20年中，歐洲國家面臨著與美國同樣的挑戰(zhàn)——網(wǎng)絡(luò)安全［2］。2013年歐洲委員會制定了《歐盟網(wǎng)絡(luò)安全戰(zhàn)略：一個開放、安全、可靠的網(wǎng)絡(luò)空間》［3］。進(jìn)一步的戰(zhàn)略舉措將包括提升認(rèn)識水平、發(fā)展有關(guān)網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)內(nèi)部市場、加大研究與發(fā)展投資以及加緊對抗網(wǎng)絡(luò)犯罪［4］。2016年7月，歐洲議會全體會議正式通過了《網(wǎng)絡(luò)與信息系統(tǒng)安全指令》（Directive on Security of Network and Information Systems，以下簡稱“《指令》”）?！吨噶睢芬馕吨鴼W盟正在逐步地向著對其有效管理而探索實(shí)踐［5］。歐盟《指令》全文共七章二十七條，其包括了歐盟網(wǎng)絡(luò)與信息系統(tǒng)安全有關(guān)的多重內(nèi)容，主要包括以下幾個方面：

1.1 一般規(guī)定

一般規(guī)定的內(nèi)容主要規(guī)定在第一章“一般規(guī)定”中，主要對于《指令》的主要問題、適用范圍與協(xié)調(diào)原則、核心術(shù)語與表述作了較為細(xì)致的規(guī)定。

第一，主要問題?！吨噶睢返谝粭l第一款即指出，《指令》規(guī)定了確保歐盟高水平的網(wǎng)絡(luò)與信息安全的相關(guān)措施，以促進(jìn)內(nèi)部市場的運(yùn)行。第二款明確指出了《指令》所主要解決的五個問題：規(guī)定國家義務(wù)、創(chuàng)建合作組織、建立計(jì)算機(jī)安全事件響應(yīng)小組網(wǎng)絡(luò)、規(guī)定服務(wù)提供者義務(wù)、指派國家相關(guān)部門。

第二，適用范圍與協(xié)調(diào)原則。由于《指令》是在歐盟層面公布的，涉及歐盟諸多成員國，需要對于適用范圍與協(xié)調(diào)原則作出規(guī)定，以保證《指令》的有效實(shí)施。關(guān)于適用范圍，《指令》先是在第一條第三款、第四款就不適用《指令》的情形以及《指令》與相關(guān)立法的效力問題作出規(guī)定，繼而在第五款至第七款中就一些具體適用范圍作出規(guī)定。此外，《指令》第二條就個人數(shù)據(jù)的問題指出，有關(guān)個人數(shù)據(jù)的處理問題適用歐盟其他相關(guān)的立法。

關(guān)于協(xié)調(diào)原則，《指令》第三條規(guī)定了最低限度的協(xié)調(diào)原則，即《指令》所規(guī)定的有關(guān)義務(wù)只是最低義務(wù)，但是成員國可以設(shè)置比《指令》更高的義務(wù)水平來保護(hù)網(wǎng)絡(luò)與信息系統(tǒng)安全。

第三，核心術(shù)語與表述?！吨噶睢吠怀龅囊粋€特色就是對于相關(guān)的核心術(shù)語作了全面細(xì)致的規(guī)定，并對關(guān)鍵問題作了詳細(xì)的闡述，以保證《指令》的理解與適用，主要包括三個層面：

其一，基本術(shù)語的全面界定?！吨噶睢返谒臈l在界定網(wǎng)絡(luò)與信息系統(tǒng)的基礎(chǔ)上，指出“網(wǎng)絡(luò)與信息系統(tǒng)安全是指，在一定的置信水平下，網(wǎng)絡(luò)與信息系統(tǒng)抵御任何危害存儲、傳輸或處理的數(shù)據(jù)可用性、真實(shí)性、完整性和機(jī)密性的，或者網(wǎng)絡(luò)和信息系統(tǒng)提供或傳遞相關(guān)服務(wù)的行為能力?！崩^而對網(wǎng)絡(luò)與信息系統(tǒng)安全的國家戰(zhàn)略、基本服務(wù)運(yùn)營者、數(shù)字服務(wù)、數(shù)字服務(wù)提供者、事件、事件處理、風(fēng)險、代表、標(biāo)準(zhǔn)、規(guī)范、互聯(lián)網(wǎng)交換點(diǎn)、域名系統(tǒng)、域名服務(wù)提供者、頂級域名注冊機(jī)構(gòu)、網(wǎng)上市場、網(wǎng)上搜索引擎、云計(jì)算服務(wù)等術(shù)語作了全面的界定，為《指令》的理解與適用奠定了基礎(chǔ)。

其二，特殊主體的詳細(xì)規(guī)定?！吨噶睢返谖鍡l對于基本服務(wù)運(yùn)營者作出詳細(xì)的規(guī)定，重申基本服務(wù)運(yùn)營者的認(rèn)定應(yīng)當(dāng)參照《指令》的附件二，并在第二款詳細(xì)地規(guī)定了成員國識別基本服務(wù)運(yùn)營者的標(biāo)準(zhǔn)，包括社會經(jīng)濟(jì)層面、與網(wǎng)絡(luò)信息系統(tǒng)相關(guān)的層面與網(wǎng)絡(luò)安全事件的影響層面。此外，還對各國基本服務(wù)運(yùn)營者的認(rèn)定、審查、識別等方面的義務(wù)與程序作出了決定。

其三，關(guān)鍵表述的特別厘定。《指令》第六條對于第五條提及的“顯著的破壞性影響”作了細(xì)致的闡釋，指出各成員國在認(rèn)定時應(yīng)當(dāng)考慮用戶人數(shù)、行業(yè)獨(dú)立性、程度和時間、市場份額、區(qū)域擴(kuò)散、服務(wù)重要性等跨部門因素。該條還指出，在考慮這一問題時，成員國也應(yīng)酌情考慮特定行業(yè)因素。

1.2 網(wǎng)絡(luò)與信息系統(tǒng)安全國家框架

關(guān)于網(wǎng)絡(luò)與信息系統(tǒng)安全國家框架的內(nèi)容主要規(guī)定在《指令》第二章“網(wǎng)絡(luò)與信息系統(tǒng)安全的國家框架”中，主要包括網(wǎng)絡(luò)與信息系統(tǒng)安全的國家戰(zhàn)略、聯(lián)絡(luò)點(diǎn)與響應(yīng)小組、國家層面的協(xié)作。

第一，網(wǎng)絡(luò)與信息系統(tǒng)安全的國家戰(zhàn)略?！吨噶睢返谄邨l規(guī)定，“每個成員國應(yīng)當(dāng)出臺規(guī)定戰(zhàn)略目標(biāo)、合適政策、監(jiān)管措施的網(wǎng)絡(luò)與信息系統(tǒng)安全國家戰(zhàn)略，以便實(shí)現(xiàn)和保持高水平的網(wǎng)絡(luò)和信息系統(tǒng)安全，并且至少包括附件二規(guī)定的行業(yè)類別和附件三規(guī)定的服務(wù)類別。”并特別指出有關(guān)網(wǎng)絡(luò)與信息系統(tǒng)安全的國家戰(zhàn)略應(yīng)當(dāng)特別解決目標(biāo)和重點(diǎn)、治理框架、預(yù)防和應(yīng)對措施、安全教育與訓(xùn)練、研究與發(fā)展計(jì)劃的指示、風(fēng)險評估計(jì)劃與參與者名錄等問題。此外，還規(guī)定了成員國在網(wǎng)絡(luò)與信息系統(tǒng)安全的國家戰(zhàn)略問題上向歐洲網(wǎng)絡(luò)與信息安全局請求援助的權(quán)利以及在三個月內(nèi)通報其戰(zhàn)略的義務(wù)。

第二，聯(lián)絡(luò)點(diǎn)與響應(yīng)小組。早在《2013/40/EU號指令》中，響應(yīng)的機(jī)制主要包括接觸點(diǎn)與信息共享、運(yùn)營商協(xié)助兩個方面［6］。《指令》對此作了進(jìn)一步的規(guī)定。聯(lián)絡(luò)點(diǎn)與響應(yīng)小組都是一國關(guān)于網(wǎng)絡(luò)與信息系統(tǒng)安全特定機(jī)構(gòu)，《指令》分別對其作出規(guī)定。《指令》第八條規(guī)定了國家主管部門和聯(lián)絡(luò)點(diǎn)，指出“每個成員國應(yīng)當(dāng)指派一個或多個網(wǎng)絡(luò)與信息系統(tǒng)安全的主管部門，其管理范圍至少包括附件二規(guī)定的行業(yè)類別和附件三規(guī)定的服務(wù)類別?！辈⑶颐總€成員國應(yīng)當(dāng)指定一個“單一聯(lián)絡(luò)點(diǎn)”，通過其行使聯(lián)絡(luò)職能來確保與其他成員國及其有關(guān)部門、《指令》第十一條規(guī)定的合作組織、《指令》第十二條規(guī)定的CSIRTs網(wǎng)絡(luò)之間的跨境合作。此外，該條還規(guī)定了聯(lián)絡(luò)點(diǎn)的監(jiān)管問題、資源問題、咨詢問題與程序問題。

《指令》第九條規(guī)定了計(jì)算機(jī)安全事件響應(yīng)小組，指出“每個成員國應(yīng)當(dāng)指派一個或多個能夠遵守附件一中（1）的要求的計(jì)算機(jī)安全事件響應(yīng)小組，管理范圍至少包括附件二規(guī)定的行業(yè)類別和附件三規(guī)定的服務(wù)類別，并且能夠依照清晰明確的程序?qū)︼L(fēng)險與事件處理負(fù)責(zé)?！贝送?，該條還規(guī)定了計(jì)算機(jī)安全事件響應(yīng)小組的管理、資源保障、基礎(chǔ)設(shè)施、信息通報與請求協(xié)助等事項(xiàng)。

第三，國家層面的協(xié)作?！吨噶睢返谑畻l規(guī)定了國家層面的協(xié)作，指出“一國的單一聯(lián)絡(luò)點(diǎn)和計(jì)算機(jī)安全事件響應(yīng)小組應(yīng)當(dāng)獨(dú)立于主管部門，并且在履行《指令》規(guī)定的義務(wù)過程中進(jìn)行協(xié)作”。此外，該條還具體規(guī)定了與之相關(guān)的對《指令》的遵守義務(wù)以及對相關(guān)事項(xiàng)的報告義務(wù)。

1.3 網(wǎng)絡(luò)與信息系統(tǒng)安全的跨國合作

關(guān)于網(wǎng)絡(luò)與信息系統(tǒng)安全跨國合作的內(nèi)容主要規(guī)定在《指令》第三章“合作”中，主要包括合作組織、計(jì)算機(jī)安全事件響應(yīng)小組網(wǎng)絡(luò)和國際合作聯(lián)盟三部分。

第一，合作組織?！吨噶睢返谑粭l第一款規(guī)定，“為了支持和促進(jìn)成員國之間的戰(zhàn)略合作和信息交流，發(fā)展信賴和信任，在歐盟范圍實(shí)現(xiàn)更高水平的網(wǎng)絡(luò)和信息系統(tǒng)安全，因此建立合作組織?！辈⑶液献餍〗M應(yīng)當(dāng)執(zhí)行《指令》規(guī)定的兩年一度的規(guī)劃任務(wù)。繼而，該條規(guī)定了合作組織的成員構(gòu)成和具體任務(wù)，以及合作組織的評價報告制度、程序性要求等問題。

第二，計(jì)算機(jī)安全事件響應(yīng)小組網(wǎng)絡(luò)?！吨噶睢返谑l第一款規(guī)定，“為了促進(jìn)成員國之間信賴和信任的發(fā)展，促成迅速和有效的行動合作，因此建立國家層面的計(jì)算機(jī)安全事件響應(yīng)小組。”繼而，該條規(guī)定了小組網(wǎng)絡(luò)的成員組成、主要任務(wù)、評估報告制度、議事規(guī)則制度。

第三，國際合作聯(lián)盟。《指令》第十三條規(guī)定，“依照《歐洲聯(lián)盟運(yùn)作條約》第二百一十八條，歐盟可以同第三國或國際組織締結(jié)國際條約，允許并且組織其參與合作組織的一些行動。這些條約應(yīng)當(dāng)考慮到給予數(shù)據(jù)充分保護(hù)的必要性?！边@一規(guī)定，明確了合作組織在與歐盟成員國之外的主體合作問題上的基本原則，有利于推動合作組織國際合作的開展。

1.4 基本服務(wù)運(yùn)營者與數(shù)字服務(wù)提供者的網(wǎng)絡(luò)與信息系統(tǒng)安全

《指令》第四章、第五章分別就基本服務(wù)運(yùn)營者與數(shù)字服務(wù)提供者的網(wǎng)絡(luò)與信息系統(tǒng)安全作了專門的規(guī)定，而且均圍繞安全要求與事件通知、實(shí)施與執(zhí)行兩個方面展開（第十八條專門就數(shù)字服務(wù)提供者的管轄問題作出規(guī)定）。

第一，安全要求與事件通知。就基本服務(wù)運(yùn)營者的安全要求與事件通知，《指令》第十四條第一款規(guī)定，“成員國應(yīng)當(dāng)確?；痉?wù)運(yùn)營者采取合適和適當(dāng)?shù)募夹g(shù)與有組織的措施來管理其運(yùn)營中的網(wǎng)絡(luò)與信息系統(tǒng)安全風(fēng)險?？紤]到相應(yīng)的技術(shù)水平，這些措施應(yīng)當(dāng)確保與風(fēng)險相適應(yīng)的網(wǎng)絡(luò)與信息系統(tǒng)安全?！痹摋l還就成員國的保證義務(wù)、對服務(wù)連續(xù)性的保障、事件判斷的參考因素、對其他成員國的通知、公眾告知、合作組織的指導(dǎo)等問題作了規(guī)定。

就數(shù)字服務(wù)提供者的安全要求與事件通知，《指令》第十六條第一款規(guī)定，“成員國應(yīng)當(dāng)確保數(shù)字服務(wù)提供者采取合適和適當(dāng)?shù)募夹g(shù)與有組織的措施來管理其在歐盟內(nèi)部提供的、附件三所列舉的服務(wù)的網(wǎng)絡(luò)與信息系統(tǒng)安全風(fēng)險。考慮到相應(yīng)的技術(shù)水平，這些措施應(yīng)當(dāng)確保與風(fēng)險相適應(yīng)的網(wǎng)絡(luò)與信息系統(tǒng)安全，”并且應(yīng)當(dāng)考慮相關(guān)因素。該條還就成員國的保證義務(wù)、對服務(wù)連續(xù)性的保障、事件判斷的參考因素、通知義務(wù)的分配、對其他成員國的通知、公共利益問題等作了規(guī)定。

第二，實(shí)施與執(zhí)行。就基本服務(wù)運(yùn)營者的實(shí)施與執(zhí)行，《指令》第十五條第一款規(guī)定，“成員國應(yīng)當(dāng)確保主管部門有必需的權(quán)力與手段來評估基本服務(wù)運(yùn)營者對于第十四條義務(wù)的遵守情況以及由此給網(wǎng)絡(luò)與信息系統(tǒng)安全帶來的影響?！痹摋l還規(guī)定了主管部門上述權(quán)力的范圍、缺陷糾正的權(quán)力、與數(shù)據(jù)保護(hù)機(jī)關(guān)的協(xié)作問題。

就數(shù)字服務(wù)提供者的實(shí)施與執(zhí)行，《指令》第十七條第一款規(guī)定，“在采取監(jiān)督措施后，如果有證據(jù)證明數(shù)字服務(wù)提供者沒有遵照第十六條的要求，成員國在必要的情況下應(yīng)當(dāng)確保主管部門采取行動。如果其他成員國也接受了服務(wù)，這些證據(jù)也應(yīng)當(dāng)提交給其主管部門?！痹摋l還規(guī)定了主管部門上述權(quán)力的范圍和與其他成員國的協(xié)作。

第三，數(shù)字服務(wù)提供者的管轄問題。《指令》第十八條還就數(shù)字服務(wù)提供者的管轄權(quán)作了專門規(guī)定，指出數(shù)字服務(wù)提供者的總部或者主要營業(yè)機(jī)構(gòu)在成員國內(nèi)時，應(yīng)該被認(rèn)為處于成員國的管轄之下。此外，該條還規(guī)定歐盟以外數(shù)字服務(wù)提供者的代表制度以及這一制度的限制規(guī)定。

除了上述主要內(nèi)容之外，第六章則是規(guī)定了標(biāo)準(zhǔn)化和自愿通知制度，就與基本服務(wù)運(yùn)營者與數(shù)字服務(wù)提供者相關(guān)的技術(shù)規(guī)范的標(biāo)準(zhǔn)化與（網(wǎng)絡(luò)安全）事件的自愿通知作了規(guī)定。

2 歐盟《網(wǎng)絡(luò)與信息系統(tǒng)安全指令》與《網(wǎng)絡(luò)安全法》相關(guān)條款的比較

網(wǎng)絡(luò)安全是一個世界性的問題，美國已經(jīng)出臺《2015年網(wǎng)絡(luò)安全法案》，全面維護(hù)網(wǎng)絡(luò)安全，我國也于近期通過了《網(wǎng)絡(luò)安全法》。同為大陸法系國家，歐盟《指令》與我國《網(wǎng)絡(luò)安全法》各有特色，對其進(jìn)行比較研究對于我國網(wǎng)絡(luò)安全立法具有重要意義。

2.1 關(guān)于一般規(guī)定的比較

歐盟《指令》的總則規(guī)定稱為“一般規(guī)定”，我國《網(wǎng)絡(luò)安全法》中的一般規(guī)定稱為“總則”，均規(guī)定于第一章（其中基本術(shù)語的定義《網(wǎng)絡(luò)安全法》置于附則）。二者均對于立法目的、適用范圍等問題作了規(guī)定，但也存在較大的區(qū)別：

第一，法律的效力不同。歐盟就網(wǎng)絡(luò)安全問題頒布了很多立法文件，具體在形式上，它們分別表現(xiàn)為決議、指令、協(xié)議、決定、公約、條例、宣言、建議、戰(zhàn)略規(guī)劃［7］。指令不具有直接的法律效力，而是需要成員國經(jīng)由本國法律體系予以轉(zhuǎn)化適用，所以《指令》第一章第三條規(guī)定了最低限度的協(xié)調(diào)原則，并且在正文很多條款中注明了成員國完成《指令》義務(wù)的期限。甚至于對網(wǎng)絡(luò)服務(wù)提供者的效力也有一定局限——許多互聯(lián)網(wǎng)巨頭總部并不在歐洲，它們沒有義務(wù)聽從歐盟的指令［8］?！毒W(wǎng)絡(luò)安全法》則是由我國立法機(jī)關(guān)制定的國內(nèi)法，從法律效力而言，《網(wǎng)絡(luò)安全法》具有更直接的法律效力。

第二，規(guī)制范圍不同。歐盟《指令》圍繞網(wǎng)絡(luò)與信息系統(tǒng)安全展開，規(guī)定網(wǎng)絡(luò)與信息系統(tǒng)安全的國家框架、合作、服務(wù)提供等問題，并沒有對于信息安全作出專門的規(guī)定，甚至其第二條明確指出，有關(guān)個人數(shù)據(jù)的處理適用其他法律文件。《網(wǎng)絡(luò)安全法》則不同，其第四章用較大篇幅規(guī)定了“網(wǎng)絡(luò)信息安全”，特別是對于網(wǎng)絡(luò)運(yùn)營者對于個人信息的保護(hù)作了規(guī)定。也就是說，歐盟對于網(wǎng)絡(luò)與信息系統(tǒng)安全和數(shù)據(jù)安全是采取分別立法的形式，而我國的《網(wǎng)絡(luò)安全法》不但規(guī)定網(wǎng)絡(luò)與信息系統(tǒng)安全，也涉及信息安全。

第三，術(shù)語闡釋詳略不同。歐盟《指令》第四條對于其涉及到的各種相關(guān)術(shù)語，第五條、第六條對于基本服務(wù)運(yùn)營者和“顯著的破壞性影響”均進(jìn)行了全面細(xì)致的闡述。有利于歐盟各成員國正確地理解和適用《指令》?！毒W(wǎng)絡(luò)安全法》僅是在附則第七十六條對于網(wǎng)絡(luò)、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)運(yùn)營者、網(wǎng)絡(luò)數(shù)據(jù)、個人信息作出界定，并未就該法其他出現(xiàn)的諸如關(guān)鍵信息基礎(chǔ)設(shè)施等進(jìn)行細(xì)致的界定，對于網(wǎng)絡(luò)運(yùn)營者等術(shù)語的界定也較為籠統(tǒng)。在這一點(diǎn)上，《網(wǎng)絡(luò)安全法》確實(shí)顯得粗糙和單薄，難以為正確地理解和適用提供有效的支撐。

第四，行為指引條款的設(shè)置不同。歐盟《指令》并不是某個國家的國內(nèi)立法，而是歐盟層面指令，其實(shí)際上是設(shè)置了網(wǎng)絡(luò)與信息系統(tǒng)安全的最低標(biāo)準(zhǔn)，而且其規(guī)制的對象是歐盟各成員國，不存在指引行為的作用（這也可以在《指令》第三條及其他相關(guān)規(guī)定中顯示出來），所以并沒有設(shè)置具有指引性質(zhì)的條文。《網(wǎng)絡(luò)安全法》作為我國國內(nèi)立法，具有指引、預(yù)測、評價等作用，在總則中規(guī)定了諸多的行為指引條款，如第三條、第四條、第五條、第六條、第七條對于國家行為的指引，第九條、第十條對于網(wǎng)絡(luò)運(yùn)營者行為的指引，等等。這些行為指引條款，充分體現(xiàn)了我國網(wǎng)絡(luò)安全立法的特色與重點(diǎn)，應(yīng)該予以肯定。

2.2 關(guān)于國家框架與跨國合作的比較

歐盟《指令》第二章規(guī)定了網(wǎng)絡(luò)與信息系統(tǒng)安全的國家框架，第三章規(guī)定了合作?！毒W(wǎng)絡(luò)安全法》第二章規(guī)定了網(wǎng)絡(luò)安全支持與促進(jìn)，第三章規(guī)定了網(wǎng)絡(luò)運(yùn)行安全，沒有對合作問題作出規(guī)定，二者具有較大區(qū)別。

第一，關(guān)于網(wǎng)絡(luò)安全國家戰(zhàn)略的規(guī)定詳略不同。歐盟《指令》第七條首先明確了網(wǎng)絡(luò)與信息系統(tǒng)安全的國家戰(zhàn)略的基本定位，繼而較為詳細(xì)地列舉了該國家戰(zhàn)略需要解決的具體問題，包括應(yīng)當(dāng)特別解決目標(biāo)和重點(diǎn)、治理框架、預(yù)防和應(yīng)對措施、安全教育與訓(xùn)練、研究與發(fā)展計(jì)劃的指示、風(fēng)險評估計(jì)劃與參與者名錄等問題?！毒W(wǎng)絡(luò)安全法》中有關(guān)網(wǎng)絡(luò)安全國家戰(zhàn)略的規(guī)定則較為簡略，即“國家制定并不斷完善網(wǎng)絡(luò)安全戰(zhàn)略，明確保障網(wǎng)絡(luò)安全的基本要求和主要目標(biāo)，提出重點(diǎn)領(lǐng)域的網(wǎng)絡(luò)安全政策、工作任務(wù)和措施”。形成這樣的差異與法律文件的性質(zhì)有重要關(guān)系，《指令》系歐盟層面出臺的法律文件，旨在引導(dǎo)成員國，因而對于國家戰(zhàn)略規(guī)定較為詳細(xì)，而《網(wǎng)絡(luò)安全法》一旦通過則為國內(nèi)法，而且根據(jù)我國的實(shí)際情況，可以通過出臺專門的行政文件來完成這一工作。

第二，對于網(wǎng)絡(luò)安全國家管理和（網(wǎng)絡(luò)安全）事件處理的方式不同。歐盟《指令》第八條、第九條分別對國家主管部門和聯(lián)絡(luò)點(diǎn)、計(jì)算機(jī)安全事件響應(yīng)小組作出規(guī)定，明確各成員國需要建立（唯一）聯(lián)絡(luò)點(diǎn)和計(jì)算機(jī)安全事件響應(yīng)小組，并且對于相關(guān)的管理、資源保障、咨詢、信息通報等事項(xiàng)作了具體規(guī)定，突出了建立這兩個單獨(dú)機(jī)構(gòu)在網(wǎng)絡(luò)安全國家管理中的地位?！毒W(wǎng)絡(luò)安全法》則是以網(wǎng)絡(luò)安全管理（以及監(jiān)測預(yù)警與應(yīng)急處置）事項(xiàng)為重心，在第二章“網(wǎng)絡(luò)安全支持與促進(jìn)”、第三章“網(wǎng)絡(luò)運(yùn)行安全”、第五章“監(jiān)測預(yù)警與應(yīng)急處置”中就具體工作作出規(guī)定，均未規(guī)定成立專門的機(jī)構(gòu)或者部門來預(yù)防和應(yīng)對網(wǎng)絡(luò)安全事件。雖然《網(wǎng)絡(luò)安全法》所規(guī)定的各個事項(xiàng)有其必要意義，但是《指令》對于專門機(jī)構(gòu)的規(guī)定也有其參考意義。

第三，對于國際合作的認(rèn)識不同。歐盟《指令》第三章“合作”專門規(guī)定了國際合作的問題，包括合作組織、計(jì)算機(jī)安全事件響應(yīng)小組網(wǎng)絡(luò)、國際合作聯(lián)盟，并且特別對合作組織與計(jì)算機(jī)安全事件響應(yīng)小組網(wǎng)絡(luò)作了詳細(xì)的規(guī)定，特別是對于合作組織與計(jì)算機(jī)安全事件響應(yīng)小組網(wǎng)絡(luò)的具體任務(wù)作了清晰的列舉，此外也對評價報告制度等相關(guān)內(nèi)容作了規(guī)定?！毒W(wǎng)絡(luò)安全法》則沒有對國際合作專門作出規(guī)定，不但沒有設(shè)置專門的章節(jié)，甚至沒有設(shè)置專門的條文，只有第七條概括地提出積極開展相關(guān)交流合作。然而，網(wǎng)絡(luò)安全是一個世界性的問題，國際合作在網(wǎng)絡(luò)安全領(lǐng)域顯得更為重要，在這一問題上《指令》的規(guī)定確有其合理之處。

2.3 關(guān)于網(wǎng)絡(luò)運(yùn)營者規(guī)定的比較

歐盟《指令》第四章、第五章分別就基本服務(wù)運(yùn)營者與數(shù)字服務(wù)提供者的網(wǎng)絡(luò)與信息系統(tǒng)安全事項(xiàng)作出規(guī)定?！毒W(wǎng)絡(luò)安全法》并沒有專門設(shè)置章節(jié)對網(wǎng)絡(luò)運(yùn)營者（網(wǎng)絡(luò)運(yùn)營者）作出規(guī)定，相關(guān)規(guī)定散見于各章節(jié)中。不僅體例上，在內(nèi)容上也具有較大的區(qū)別。

第一，關(guān)于網(wǎng)絡(luò)運(yùn)營者的范圍理解不同。歐盟《指令》僅規(guī)制基本服務(wù)運(yùn)營者與數(shù)字服務(wù)提供者，而且分別于附件二、附件三限制了基本服務(wù)運(yùn)營者與數(shù)字服務(wù)提供者的范圍，并非規(guī)制所有的網(wǎng)絡(luò)運(yùn)營者?！毒W(wǎng)絡(luò)安全法》只是寫明規(guī)制“網(wǎng)絡(luò)運(yùn)營者”，并且概括地規(guī)定“網(wǎng)絡(luò)運(yùn)營者，是指網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者”。雖然根據(jù)《指令》附件三的內(nèi)容，其所規(guī)定的數(shù)字服務(wù)提供者可以理解為《網(wǎng)絡(luò)安全法》中的網(wǎng)絡(luò)運(yùn)營者，但是附件二中的基本服務(wù)運(yùn)營者多為基本公共服務(wù)提供者，只是網(wǎng)絡(luò)安全與其服務(wù)的連續(xù)性具有關(guān)聯(lián)。但是在信息化網(wǎng)絡(luò)化的當(dāng)今，互聯(lián)網(wǎng)包括網(wǎng)絡(luò)安全已經(jīng)和各行業(yè)相關(guān)聯(lián)，對于諸如能源、交通等領(lǐng)域的網(wǎng)絡(luò)安全，是否應(yīng)從網(wǎng)絡(luò)安全立法的角度予以考慮？這也正是《指令》帶給我們的思考。

第二，關(guān)于網(wǎng)絡(luò)運(yùn)營者的義務(wù)內(nèi)容規(guī)定不同。歐盟《指令》對基本服務(wù)運(yùn)營者與數(shù)字服務(wù)提供者主要規(guī)定了兩方面內(nèi)容：安全要求與事件通知、實(shí)施與執(zhí)行?！毒W(wǎng)絡(luò)安全法》則是對于網(wǎng)絡(luò)運(yùn)營者的義務(wù)作了細(xì)致全面的規(guī)定，包括遵守義務(wù)、網(wǎng)絡(luò)安全等級保護(hù)制度的落實(shí)、網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案、技術(shù)支持和協(xié)助、部門合作、用戶信息保護(hù)、必要技術(shù)措施、法律責(zé)任等多個方面。在內(nèi)容上，顯然《網(wǎng)絡(luò)安全法》關(guān)于網(wǎng)絡(luò)運(yùn)營者義務(wù)的規(guī)制范圍更為全面，但是《指令》的內(nèi)容則較為細(xì)致，如對服務(wù)連續(xù)性的保障、事件判斷的參考因素、通知義務(wù)的分配、對其他成員國的通知、公共利益等問題的規(guī)定也有可供借鑒之處。

第三，關(guān)于網(wǎng)絡(luò)運(yùn)營者的管轄規(guī)定不同。歐盟《指令》第十八條專門規(guī)定了數(shù)字服務(wù)提供者的管轄問題，甚至還規(guī)定了對于數(shù)字服務(wù)提供者不屬于歐盟境內(nèi)成員國時的代表制度。《網(wǎng)絡(luò)安全法》則根本沒有規(guī)定網(wǎng)絡(luò)運(yùn)營者的管轄問題。出現(xiàn)這種區(qū)別并不難理解，歐盟的《指令》是指向歐盟的成員國的，主要是提出要求，如何根據(jù)本國法律進(jìn)行轉(zhuǎn)化依各成員國情況而定，而我國本身具有專門的訴訟法律，只要合適地將網(wǎng)絡(luò)運(yùn)營者的管轄問題納入相應(yīng)的訴訟法律即可。

3 歐盟《網(wǎng)絡(luò)與信息系統(tǒng)安全指令》對我國網(wǎng)絡(luò)安全立法的啟示

雖然《網(wǎng)絡(luò)安全法》在行為指引條款、網(wǎng)絡(luò)安全事件的監(jiān)測預(yù)警與應(yīng)急處置、網(wǎng)絡(luò)服務(wù)提供者的義務(wù)設(shè)置等方面較為科學(xué)，但是歐盟《指令》許多內(nèi)容的設(shè)計(jì)頗具特色，對于我國網(wǎng)絡(luò)安全立法具有很強(qiáng)的借鑒意義。

3.1 構(gòu)建完善的術(shù)語體系

應(yīng)當(dāng)借鑒《指令》，規(guī)定更為完善的術(shù)語體系?！毒W(wǎng)絡(luò)安全法》僅對網(wǎng)絡(luò)、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)運(yùn)營者、網(wǎng)絡(luò)數(shù)據(jù)、個人信息作出定義，對于其他該法涉及的諸如關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)信息安全、網(wǎng)絡(luò)安全事件等術(shù)語均未作出必要的界定，不利于該法的理解與適用。應(yīng)借鑒《指令》第四條對于（網(wǎng)絡(luò)安全）事件的界定，從任何對于網(wǎng)絡(luò)安全具有現(xiàn)實(shí)不利影響的活動層面予以界定。同時參考《指令》第四條對于網(wǎng)絡(luò)與信息系統(tǒng)等術(shù)語的界定，對于關(guān)鍵信息基礎(chǔ)設(shè)施作出符合通常理解又契合《網(wǎng)絡(luò)安全法》內(nèi)容的恰當(dāng)界定。此外，網(wǎng)絡(luò)信息安全也有必要進(jìn)行獨(dú)立的界定，因?yàn)榫W(wǎng)絡(luò)信息安全包括但是不限于個人信息安全，還涉及非法信息的傳輸?shù)刃畔踩珕栴}，應(yīng)該進(jìn)行全面科學(xué)的界定，必要時可參考?xì)W盟《一般數(shù)據(jù)保護(hù)條例》的相關(guān)內(nèi)容。

3.2 明確我國網(wǎng)絡(luò)安全戰(zhàn)略的具體內(nèi)容

應(yīng)在相關(guān)立法中更具體地規(guī)定我國網(wǎng)絡(luò)安全戰(zhàn)略的具體內(nèi)容。目前的《網(wǎng)絡(luò)安全法》將網(wǎng)絡(luò)安全戰(zhàn)略的內(nèi)容規(guī)定在總則第四條，也明確了要“提出重點(diǎn)領(lǐng)域的網(wǎng)絡(luò)安全政策、工作任務(wù)和措施”，但是未具體地予以明確?！吨噶睢返谄邨l較為清楚地明確規(guī)定了網(wǎng)絡(luò)與信息系統(tǒng)安全的國家戰(zhàn)略任務(wù)及其相關(guān)問題，值得借鑒。應(yīng)當(dāng)借鑒《指令》的經(jīng)驗(yàn)，在相關(guān)立法中對于我國網(wǎng)絡(luò)安全戰(zhàn)略的布局、任務(wù)予以具體化，明確我國加強(qiáng)網(wǎng)絡(luò)安全建設(shè)的重點(diǎn)任務(wù)和優(yōu)先目標(biāo)，并且輔之以相應(yīng)的舉措。

3.3 設(shè)置專門的網(wǎng)絡(luò)安全事件應(yīng)對機(jī)構(gòu)

《網(wǎng)絡(luò)安全法》中除了應(yīng)規(guī)定網(wǎng)絡(luò)安全管理的具體職責(zé)之外，也有必要就應(yīng)急響應(yīng)等事項(xiàng)規(guī)定獨(dú)立的網(wǎng)絡(luò)安全事件應(yīng)對機(jī)構(gòu)?！毒W(wǎng)絡(luò)安全法》第五章“監(jiān)測預(yù)警與應(yīng)急處置”更多的是側(cè)重通報、措施、預(yù)案、臨時措施等應(yīng)對處理角度進(jìn)行規(guī)定，并沒有規(guī)定設(shè)置獨(dú)立的網(wǎng)絡(luò)安全事件監(jiān)測預(yù)警與應(yīng)急處置機(jī)構(gòu)。《指令》第九條清楚地規(guī)定了計(jì)算機(jī)安全事件響應(yīng)小組的相關(guān)內(nèi)容，值得借鑒。而且，就網(wǎng)絡(luò)安全事項(xiàng)設(shè)置專門的機(jī)構(gòu)也是我國現(xiàn)實(shí)的做法。2014年2月27日，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立，其主要目標(biāo)之一就是“推動國家網(wǎng)絡(luò)安全和信息化法治建設(shè)，不斷增強(qiáng)安全保障能力”，各地相關(guān)部門也都成立了網(wǎng)絡(luò)安全的專門管理機(jī)構(gòu)。在網(wǎng)絡(luò)安全事件風(fēng)險與危害日漸突出的背景下，在相關(guān)立法中借鑒歐盟做法規(guī)定專門的應(yīng)對機(jī)構(gòu)，正當(dāng)其時。

3.4 重視維護(hù)網(wǎng)絡(luò)安全的國際合作

應(yīng)該在《網(wǎng)絡(luò)安全法》中就國際合作問題作出專門的規(guī)定?！毒W(wǎng)絡(luò)安全法》并未就網(wǎng)絡(luò)安全的國際合作問題作出專門規(guī)定，《指令》則在第三章“合作”中全面地規(guī)定了合作組織、計(jì)算機(jī)安全事件響應(yīng)小組網(wǎng)絡(luò)、國際合作聯(lián)盟。網(wǎng)絡(luò)安全是一個世界性的難題，網(wǎng)絡(luò)安全的保護(hù)也需要世界各國相互合作共同努力，這一共識應(yīng)當(dāng)為各國立法所肯定，歐盟《指令》的做法頗具借鑒意義。而且，國內(nèi)類似的立法已經(jīng)有就國際合作問題作出規(guī)定的先例。《反恐怖主義法》第七章“國際合作”就反恐怖主義國際合作的立場、相關(guān)職權(quán)、司法協(xié)助、合作任務(wù)、合作證據(jù)等問題作了詳細(xì)的規(guī)定，有利于加深與其他國家的合作，共同打擊恐怖主義活動。我國同樣也應(yīng)該立足國際視野，借鑒和參考《指令》中的相關(guān)條款，對于我國網(wǎng)絡(luò)安全國際合作問題作出規(guī)定。

3.5 明確網(wǎng)絡(luò)運(yùn)營者的范圍與層次

應(yīng)該在相關(guān)立法中明確規(guī)定《網(wǎng)絡(luò)安全法》中規(guī)定的網(wǎng)絡(luò)運(yùn)營者的范圍與層次?！吨噶睢凡坏诘谒臈l規(guī)定了基本服務(wù)運(yùn)營者、數(shù)字服務(wù)提供者的概念，在第四章、第五章分別規(guī)定了其義務(wù)，還在附件二、附件三中詳細(xì)規(guī)定了《指令》規(guī)制的基本服務(wù)運(yùn)營者、數(shù)字服務(wù)提供者的具體范圍，這樣的思路值得我國網(wǎng)絡(luò)安全立法予以借鑒。而且，在網(wǎng)絡(luò)運(yùn)營者的范圍上，也應(yīng)注意到信息化網(wǎng)絡(luò)化的背景下，原有社會基本服務(wù)向網(wǎng)絡(luò)服務(wù)轉(zhuǎn)變的現(xiàn)實(shí)，參考《指令》合理界定網(wǎng)絡(luò)運(yùn)營者的范圍。此外，隨著網(wǎng)絡(luò)社會的發(fā)展，網(wǎng)絡(luò)運(yùn)營者的范圍不斷擴(kuò)大，其網(wǎng)絡(luò)運(yùn)營規(guī)模與能力各不相同，承擔(dān)的義務(wù)水平也應(yīng)當(dāng)有所區(qū)別。如《網(wǎng)絡(luò)安全法》使用了“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者”的表述，并且設(shè)置了特定的義務(wù)，但是就其范圍并沒有作出明確的規(guī)定，易于導(dǎo)致規(guī)定執(zhí)行的混亂。但是，網(wǎng)絡(luò)運(yùn)營者的范圍與層次這樣的問題又不宜在《網(wǎng)絡(luò)安全法》中直接作出規(guī)定，可以在《網(wǎng)絡(luò)安全法實(shí)施條例》以及其他相關(guān)法律文件中予以明確，從而恰當(dāng)、有效地規(guī)制和引導(dǎo)網(wǎng)絡(luò)運(yùn)營者履行網(wǎng)絡(luò)安全義務(wù)。

［1］FREITAS PM F，GON ALVESN.Illegal Access to Information Systems and the Directive 2013/40/ EU［J］.International Review of Law Computers& Technology，2015，29（1）:53.

［2］ILVES L K，EVANS T J，CILLUFFO F J，et al. European Union and NATO Global Cybersecurity Challenges:A Way Forward［J］.Prism Security Studies Journal，2016，6（2）:127-128.

［3］SHACKELFORD S J，CRAIG A N.Beyond the New“Digital Divide”:Analyzing the Evolving Role of National Governments in Internet Governance and Enhancing Cybersecurity［J］. Stanford Journal of International Law，2014，50（1）:156.

［4］RICHARD TAUWHARE.Improving Cybersecurity in the European Union:the Network and Information Security Directive［J］.Journal of Internet Law，2016，19（12）:4.

［5］BARRINHA A.Cybersecurity in the European Union.Resilience and Adaptability in Governance policy［J］.European Security，2016，25（3）:388.

［6］張濤，王玥，黃道麗.信息系統(tǒng)安全治理框架:歐盟的經(jīng)驗(yàn)與啟示：基于網(wǎng)絡(luò)攻擊的視角［J］.情報雜志，2016（08）:20.

［7］林麗枚.歐盟網(wǎng)絡(luò)空間安全政策法規(guī)體系研究［J］.信息安全與通信保密，2015，24（4）:30.

［8］陳旸.歐盟網(wǎng)絡(luò)安全戰(zhàn)略解讀［J］.國際研究參考，2013（05）:36.

責(zé)任編輯 朱文婷

10.14180/j.cnki.1004-0544.2017.06.032

D97（196.2）

A

1004-0544（2017）06-0177-06

國家社會科學(xué)基金重點(diǎn)項(xiàng)目（13AFX010）；武漢大學(xué)自主科研項(xiàng)目（人文社會科學(xué)）（2017QN010）；中央高?；究蒲袠I(yè)務(wù)費(fèi)專項(xiàng)資金資助。

王肅之（1990-），男，河北石家莊人，武漢大學(xué)法學(xué)院博士研究生。