• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

      歐盟《網(wǎng)絡(luò)與信息系統(tǒng)安全指令》的主要內(nèi)容與立法啟示
      ——兼評《網(wǎng)絡(luò)安全法》相關(guān)立法條款

      2017-11-23 10:39:44王肅之
      理論月刊 2017年6期
      關(guān)鍵詞:運(yùn)營者服務(wù)提供者成員國

      王肅之

      (武漢大學(xué)法學(xué)院,湖北武漢 430072)

      歐盟《網(wǎng)絡(luò)與信息系統(tǒng)安全指令》的主要內(nèi)容與立法啟示
      ——兼評《網(wǎng)絡(luò)安全法》相關(guān)立法條款

      王肅之

      (武漢大學(xué)法學(xué)院,湖北武漢 430072)

      歐盟《網(wǎng)絡(luò)與信息系統(tǒng)安全指令》是第一部歐盟層面的網(wǎng)絡(luò)安全立法,其在內(nèi)容上包括一般規(guī)定、網(wǎng)絡(luò)與信息系統(tǒng)安全國家框架、跨國合作、基本服務(wù)運(yùn)營者與數(shù)字服務(wù)提供者的網(wǎng)絡(luò)與信息系統(tǒng)安全等。該指令與《網(wǎng)絡(luò)安全法》在一般規(guī)定、國家框架與跨國合作、網(wǎng)絡(luò)運(yùn)營者等方面存在較大的不同。該指令中關(guān)于術(shù)語體系、網(wǎng)絡(luò)安全戰(zhàn)略、事件應(yīng)對機(jī)構(gòu)、國際合作、網(wǎng)絡(luò)運(yùn)營者等方面的規(guī)定對于我國網(wǎng)絡(luò)安全立法均有較強(qiáng)啟示意義。

      網(wǎng)絡(luò)與信息系統(tǒng)安全指令;網(wǎng)絡(luò)安全法;內(nèi)容比較;啟示借鑒

      隨著信息化網(wǎng)絡(luò)化的發(fā)展,互聯(lián)網(wǎng)時代在帶來利益與便捷的同時,也不可避免地伴生風(fēng)險與脆弱,網(wǎng)絡(luò)安全問題日益成為一個世界性的命題與難題。為了應(yīng)對網(wǎng)絡(luò)安全的嚴(yán)峻形勢,各國紛紛出臺專門的網(wǎng)絡(luò)安全立法來推動和指導(dǎo)網(wǎng)絡(luò)安全治理。歐盟于2016年7月出臺了第一部歐盟層面的網(wǎng)絡(luò)安全立法——《網(wǎng)絡(luò)與信息系統(tǒng)安全指令》,對于歐盟乃至世界的網(wǎng)絡(luò)安全治理都有著特殊的意義。而我國也于2016年11月7日通過了網(wǎng)絡(luò)領(lǐng)域的基礎(chǔ)性法律——《網(wǎng)絡(luò)安全法》。歐盟的這一立法在結(jié)構(gòu)與內(nèi)容上有何特點(diǎn)?與我國的《網(wǎng)絡(luò)安全法》有何不同又有何啟示?值得深入研究。

      1 歐盟《網(wǎng)絡(luò)與信息系統(tǒng)安全指令》的主要內(nèi)容

      在信息社會中任何人和物都在某種程度在技術(shù)上相互聯(lián)系[1]。在過去的20年中,歐洲國家面臨著與美國同樣的挑戰(zhàn)——網(wǎng)絡(luò)安全[2]。2013年歐洲委員會制定了《歐盟網(wǎng)絡(luò)安全戰(zhàn)略:一個開放、安全、可靠的網(wǎng)絡(luò)空間》[3]。進(jìn)一步的戰(zhàn)略舉措將包括提升認(rèn)識水平、發(fā)展有關(guān)網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)內(nèi)部市場、加大研究與發(fā)展投資以及加緊對抗網(wǎng)絡(luò)犯罪[4]。2016年7月,歐洲議會全體會議正式通過了《網(wǎng)絡(luò)與信息系統(tǒng)安全指令》(Directive on Security of Network and Information Systems,以下簡稱“《指令》”)?!吨噶睢芬馕吨鴼W盟正在逐步地向著對其有效管理而探索實(shí)踐[5]。歐盟《指令》全文共七章二十七條,其包括了歐盟網(wǎng)絡(luò)與信息系統(tǒng)安全有關(guān)的多重內(nèi)容,主要包括以下幾個方面:

      1.1 一般規(guī)定

      一般規(guī)定的內(nèi)容主要規(guī)定在第一章“一般規(guī)定”中,主要對于《指令》的主要問題、適用范圍與協(xié)調(diào)原則、核心術(shù)語與表述作了較為細(xì)致的規(guī)定。

      第一,主要問題?!吨噶睢返谝粭l第一款即指出,《指令》規(guī)定了確保歐盟高水平的網(wǎng)絡(luò)與信息安全的相關(guān)措施,以促進(jìn)內(nèi)部市場的運(yùn)行。第二款明確指出了《指令》所主要解決的五個問題:規(guī)定國家義務(wù)、創(chuàng)建合作組織、建立計(jì)算機(jī)安全事件響應(yīng)小組網(wǎng)絡(luò)、規(guī)定服務(wù)提供者義務(wù)、指派國家相關(guān)部門。

      第二,適用范圍與協(xié)調(diào)原則。由于《指令》是在歐盟層面公布的,涉及歐盟諸多成員國,需要對于適用范圍與協(xié)調(diào)原則作出規(guī)定,以保證《指令》的有效實(shí)施。關(guān)于適用范圍,《指令》先是在第一條第三款、第四款就不適用《指令》的情形以及《指令》與相關(guān)立法的效力問題作出規(guī)定,繼而在第五款至第七款中就一些具體適用范圍作出規(guī)定。此外,《指令》第二條就個人數(shù)據(jù)的問題指出,有關(guān)個人數(shù)據(jù)的處理問題適用歐盟其他相關(guān)的立法。

      關(guān)于協(xié)調(diào)原則,《指令》第三條規(guī)定了最低限度的協(xié)調(diào)原則,即《指令》所規(guī)定的有關(guān)義務(wù)只是最低義務(wù),但是成員國可以設(shè)置比《指令》更高的義務(wù)水平來保護(hù)網(wǎng)絡(luò)與信息系統(tǒng)安全。

      第三,核心術(shù)語與表述?!吨噶睢吠怀龅囊粋€特色就是對于相關(guān)的核心術(shù)語作了全面細(xì)致的規(guī)定,并對關(guān)鍵問題作了詳細(xì)的闡述,以保證《指令》的理解與適用,主要包括三個層面:

      其一,基本術(shù)語的全面界定?!吨噶睢返谒臈l在界定網(wǎng)絡(luò)與信息系統(tǒng)的基礎(chǔ)上,指出“網(wǎng)絡(luò)與信息系統(tǒng)安全是指,在一定的置信水平下,網(wǎng)絡(luò)與信息系統(tǒng)抵御任何危害存儲、傳輸或處理的數(shù)據(jù)可用性、真實(shí)性、完整性和機(jī)密性的,或者網(wǎng)絡(luò)和信息系統(tǒng)提供或傳遞相關(guān)服務(wù)的行為能力?!崩^而對網(wǎng)絡(luò)與信息系統(tǒng)安全的國家戰(zhàn)略、基本服務(wù)運(yùn)營者、數(shù)字服務(wù)、數(shù)字服務(wù)提供者、事件、事件處理、風(fēng)險、代表、標(biāo)準(zhǔn)、規(guī)范、互聯(lián)網(wǎng)交換點(diǎn)、域名系統(tǒng)、域名服務(wù)提供者、頂級域名注冊機(jī)構(gòu)、網(wǎng)上市場、網(wǎng)上搜索引擎、云計(jì)算服務(wù)等術(shù)語作了全面的界定,為《指令》的理解與適用奠定了基礎(chǔ)。

      其二,特殊主體的詳細(xì)規(guī)定?!吨噶睢返谖鍡l對于基本服務(wù)運(yùn)營者作出詳細(xì)的規(guī)定,重申基本服務(wù)運(yùn)營者的認(rèn)定應(yīng)當(dāng)參照《指令》的附件二,并在第二款詳細(xì)地規(guī)定了成員國識別基本服務(wù)運(yùn)營者的標(biāo)準(zhǔn),包括社會經(jīng)濟(jì)層面、與網(wǎng)絡(luò)信息系統(tǒng)相關(guān)的層面與網(wǎng)絡(luò)安全事件的影響層面。此外,還對各國基本服務(wù)運(yùn)營者的認(rèn)定、審查、識別等方面的義務(wù)與程序作出了決定。

      其三,關(guān)鍵表述的特別厘定。《指令》第六條對于第五條提及的“顯著的破壞性影響”作了細(xì)致的闡釋,指出各成員國在認(rèn)定時應(yīng)當(dāng)考慮用戶人數(shù)、行業(yè)獨(dú)立性、程度和時間、市場份額、區(qū)域擴(kuò)散、服務(wù)重要性等跨部門因素。該條還指出,在考慮這一問題時,成員國也應(yīng)酌情考慮特定行業(yè)因素。

      1.2 網(wǎng)絡(luò)與信息系統(tǒng)安全國家框架

      關(guān)于網(wǎng)絡(luò)與信息系統(tǒng)安全國家框架的內(nèi)容主要規(guī)定在《指令》第二章“網(wǎng)絡(luò)與信息系統(tǒng)安全的國家框架”中,主要包括網(wǎng)絡(luò)與信息系統(tǒng)安全的國家戰(zhàn)略、聯(lián)絡(luò)點(diǎn)與響應(yīng)小組、國家層面的協(xié)作。

      第一,網(wǎng)絡(luò)與信息系統(tǒng)安全的國家戰(zhàn)略?!吨噶睢返谄邨l規(guī)定,“每個成員國應(yīng)當(dāng)出臺規(guī)定戰(zhàn)略目標(biāo)、合適政策、監(jiān)管措施的網(wǎng)絡(luò)與信息系統(tǒng)安全國家戰(zhàn)略,以便實(shí)現(xiàn)和保持高水平的網(wǎng)絡(luò)和信息系統(tǒng)安全,并且至少包括附件二規(guī)定的行業(yè)類別和附件三規(guī)定的服務(wù)類別。”并特別指出有關(guān)網(wǎng)絡(luò)與信息系統(tǒng)安全的國家戰(zhàn)略應(yīng)當(dāng)特別解決目標(biāo)和重點(diǎn)、治理框架、預(yù)防和應(yīng)對措施、安全教育與訓(xùn)練、研究與發(fā)展計(jì)劃的指示、風(fēng)險評估計(jì)劃與參與者名錄等問題。此外,還規(guī)定了成員國在網(wǎng)絡(luò)與信息系統(tǒng)安全的國家戰(zhàn)略問題上向歐洲網(wǎng)絡(luò)與信息安全局請求援助的權(quán)利以及在三個月內(nèi)通報其戰(zhàn)略的義務(wù)。

      第二,聯(lián)絡(luò)點(diǎn)與響應(yīng)小組。早在《2013/40/EU號指令》中,響應(yīng)的機(jī)制主要包括接觸點(diǎn)與信息共享、運(yùn)營商協(xié)助兩個方面[6]。《指令》對此作了進(jìn)一步的規(guī)定。聯(lián)絡(luò)點(diǎn)與響應(yīng)小組都是一國關(guān)于網(wǎng)絡(luò)與信息系統(tǒng)安全特定機(jī)構(gòu),《指令》分別對其作出規(guī)定。《指令》第八條規(guī)定了國家主管部門和聯(lián)絡(luò)點(diǎn),指出“每個成員國應(yīng)當(dāng)指派一個或多個網(wǎng)絡(luò)與信息系統(tǒng)安全的主管部門,其管理范圍至少包括附件二規(guī)定的行業(yè)類別和附件三規(guī)定的服務(wù)類別?!辈⑶颐總€成員國應(yīng)當(dāng)指定一個“單一聯(lián)絡(luò)點(diǎn)”,通過其行使聯(lián)絡(luò)職能來確保與其他成員國及其有關(guān)部門、《指令》第十一條規(guī)定的合作組織、《指令》第十二條規(guī)定的CSIRTs網(wǎng)絡(luò)之間的跨境合作。此外,該條還規(guī)定了聯(lián)絡(luò)點(diǎn)的監(jiān)管問題、資源問題、咨詢問題與程序問題。

      《指令》第九條規(guī)定了計(jì)算機(jī)安全事件響應(yīng)小組,指出“每個成員國應(yīng)當(dāng)指派一個或多個能夠遵守附件一中(1)的要求的計(jì)算機(jī)安全事件響應(yīng)小組,管理范圍至少包括附件二規(guī)定的行業(yè)類別和附件三規(guī)定的服務(wù)類別,并且能夠依照清晰明確的程序?qū)︼L(fēng)險與事件處理負(fù)責(zé)?!贝送?,該條還規(guī)定了計(jì)算機(jī)安全事件響應(yīng)小組的管理、資源保障、基礎(chǔ)設(shè)施、信息通報與請求協(xié)助等事項(xiàng)。

      第三,國家層面的協(xié)作?!吨噶睢返谑畻l規(guī)定了國家層面的協(xié)作,指出“一國的單一聯(lián)絡(luò)點(diǎn)和計(jì)算機(jī)安全事件響應(yīng)小組應(yīng)當(dāng)獨(dú)立于主管部門,并且在履行《指令》規(guī)定的義務(wù)過程中進(jìn)行協(xié)作”。此外,該條還具體規(guī)定了與之相關(guān)的對《指令》的遵守義務(wù)以及對相關(guān)事項(xiàng)的報告義務(wù)。

      1.3 網(wǎng)絡(luò)與信息系統(tǒng)安全的跨國合作

      關(guān)于網(wǎng)絡(luò)與信息系統(tǒng)安全跨國合作的內(nèi)容主要規(guī)定在《指令》第三章“合作”中,主要包括合作組織、計(jì)算機(jī)安全事件響應(yīng)小組網(wǎng)絡(luò)和國際合作聯(lián)盟三部分。

      第一,合作組織?!吨噶睢返谑粭l第一款規(guī)定,“為了支持和促進(jìn)成員國之間的戰(zhàn)略合作和信息交流,發(fā)展信賴和信任,在歐盟范圍實(shí)現(xiàn)更高水平的網(wǎng)絡(luò)和信息系統(tǒng)安全,因此建立合作組織?!辈⑶液献餍〗M應(yīng)當(dāng)執(zhí)行《指令》規(guī)定的兩年一度的規(guī)劃任務(wù)。繼而,該條規(guī)定了合作組織的成員構(gòu)成和具體任務(wù),以及合作組織的評價報告制度、程序性要求等問題。

      第二,計(jì)算機(jī)安全事件響應(yīng)小組網(wǎng)絡(luò)?!吨噶睢返谑l第一款規(guī)定,“為了促進(jìn)成員國之間信賴和信任的發(fā)展,促成迅速和有效的行動合作,因此建立國家層面的計(jì)算機(jī)安全事件響應(yīng)小組。”繼而,該條規(guī)定了小組網(wǎng)絡(luò)的成員組成、主要任務(wù)、評估報告制度、議事規(guī)則制度。

      第三,國際合作聯(lián)盟。《指令》第十三條規(guī)定,“依照《歐洲聯(lián)盟運(yùn)作條約》第二百一十八條,歐盟可以同第三國或國際組織締結(jié)國際條約,允許并且組織其參與合作組織的一些行動。這些條約應(yīng)當(dāng)考慮到給予數(shù)據(jù)充分保護(hù)的必要性?!边@一規(guī)定,明確了合作組織在與歐盟成員國之外的主體合作問題上的基本原則,有利于推動合作組織國際合作的開展。

      1.4 基本服務(wù)運(yùn)營者與數(shù)字服務(wù)提供者的網(wǎng)絡(luò)與信息系統(tǒng)安全

      《指令》第四章、第五章分別就基本服務(wù)運(yùn)營者與數(shù)字服務(wù)提供者的網(wǎng)絡(luò)與信息系統(tǒng)安全作了專門的規(guī)定,而且均圍繞安全要求與事件通知、實(shí)施與執(zhí)行兩個方面展開(第十八條專門就數(shù)字服務(wù)提供者的管轄問題作出規(guī)定)。

      第一,安全要求與事件通知。就基本服務(wù)運(yùn)營者的安全要求與事件通知,《指令》第十四條第一款規(guī)定,“成員國應(yīng)當(dāng)確?;痉?wù)運(yùn)營者采取合適和適當(dāng)?shù)募夹g(shù)與有組織的措施來管理其運(yùn)營中的網(wǎng)絡(luò)與信息系統(tǒng)安全風(fēng)險??紤]到相應(yīng)的技術(shù)水平,這些措施應(yīng)當(dāng)確保與風(fēng)險相適應(yīng)的網(wǎng)絡(luò)與信息系統(tǒng)安全?!痹摋l還就成員國的保證義務(wù)、對服務(wù)連續(xù)性的保障、事件判斷的參考因素、對其他成員國的通知、公眾告知、合作組織的指導(dǎo)等問題作了規(guī)定。

      就數(shù)字服務(wù)提供者的安全要求與事件通知,《指令》第十六條第一款規(guī)定,“成員國應(yīng)當(dāng)確保數(shù)字服務(wù)提供者采取合適和適當(dāng)?shù)募夹g(shù)與有組織的措施來管理其在歐盟內(nèi)部提供的、附件三所列舉的服務(wù)的網(wǎng)絡(luò)與信息系統(tǒng)安全風(fēng)險。考慮到相應(yīng)的技術(shù)水平,這些措施應(yīng)當(dāng)確保與風(fēng)險相適應(yīng)的網(wǎng)絡(luò)與信息系統(tǒng)安全,”并且應(yīng)當(dāng)考慮相關(guān)因素。該條還就成員國的保證義務(wù)、對服務(wù)連續(xù)性的保障、事件判斷的參考因素、通知義務(wù)的分配、對其他成員國的通知、公共利益問題等作了規(guī)定。

      第二,實(shí)施與執(zhí)行。就基本服務(wù)運(yùn)營者的實(shí)施與執(zhí)行,《指令》第十五條第一款規(guī)定,“成員國應(yīng)當(dāng)確保主管部門有必需的權(quán)力與手段來評估基本服務(wù)運(yùn)營者對于第十四條義務(wù)的遵守情況以及由此給網(wǎng)絡(luò)與信息系統(tǒng)安全帶來的影響?!痹摋l還規(guī)定了主管部門上述權(quán)力的范圍、缺陷糾正的權(quán)力、與數(shù)據(jù)保護(hù)機(jī)關(guān)的協(xié)作問題。

      就數(shù)字服務(wù)提供者的實(shí)施與執(zhí)行,《指令》第十七條第一款規(guī)定,“在采取監(jiān)督措施后,如果有證據(jù)證明數(shù)字服務(wù)提供者沒有遵照第十六條的要求,成員國在必要的情況下應(yīng)當(dāng)確保主管部門采取行動。如果其他成員國也接受了服務(wù),這些證據(jù)也應(yīng)當(dāng)提交給其主管部門?!痹摋l還規(guī)定了主管部門上述權(quán)力的范圍和與其他成員國的協(xié)作。

      第三,數(shù)字服務(wù)提供者的管轄問題。《指令》第十八條還就數(shù)字服務(wù)提供者的管轄權(quán)作了專門規(guī)定,指出數(shù)字服務(wù)提供者的總部或者主要營業(yè)機(jī)構(gòu)在成員國內(nèi)時,應(yīng)該被認(rèn)為處于成員國的管轄之下。此外,該條還規(guī)定歐盟以外數(shù)字服務(wù)提供者的代表制度以及這一制度的限制規(guī)定。

      除了上述主要內(nèi)容之外,第六章則是規(guī)定了標(biāo)準(zhǔn)化和自愿通知制度,就與基本服務(wù)運(yùn)營者與數(shù)字服務(wù)提供者相關(guān)的技術(shù)規(guī)范的標(biāo)準(zhǔn)化與(網(wǎng)絡(luò)安全)事件的自愿通知作了規(guī)定。

      2 歐盟《網(wǎng)絡(luò)與信息系統(tǒng)安全指令》與《網(wǎng)絡(luò)安全法》相關(guān)條款的比較

      網(wǎng)絡(luò)安全是一個世界性的問題,美國已經(jīng)出臺《2015年網(wǎng)絡(luò)安全法案》,全面維護(hù)網(wǎng)絡(luò)安全,我國也于近期通過了《網(wǎng)絡(luò)安全法》。同為大陸法系國家,歐盟《指令》與我國《網(wǎng)絡(luò)安全法》各有特色,對其進(jìn)行比較研究對于我國網(wǎng)絡(luò)安全立法具有重要意義。

      2.1 關(guān)于一般規(guī)定的比較

      歐盟《指令》的總則規(guī)定稱為“一般規(guī)定”,我國《網(wǎng)絡(luò)安全法》中的一般規(guī)定稱為“總則”,均規(guī)定于第一章(其中基本術(shù)語的定義《網(wǎng)絡(luò)安全法》置于附則)。二者均對于立法目的、適用范圍等問題作了規(guī)定,但也存在較大的區(qū)別:

      第一,法律的效力不同。歐盟就網(wǎng)絡(luò)安全問題頒布了很多立法文件,具體在形式上,它們分別表現(xiàn)為決議、指令、協(xié)議、決定、公約、條例、宣言、建議、戰(zhàn)略規(guī)劃[7]。指令不具有直接的法律效力,而是需要成員國經(jīng)由本國法律體系予以轉(zhuǎn)化適用,所以《指令》第一章第三條規(guī)定了最低限度的協(xié)調(diào)原則,并且在正文很多條款中注明了成員國完成《指令》義務(wù)的期限。甚至于對網(wǎng)絡(luò)服務(wù)提供者的效力也有一定局限——許多互聯(lián)網(wǎng)巨頭總部并不在歐洲,它們沒有義務(wù)聽從歐盟的指令[8]?!毒W(wǎng)絡(luò)安全法》則是由我國立法機(jī)關(guān)制定的國內(nèi)法,從法律效力而言,《網(wǎng)絡(luò)安全法》具有更直接的法律效力。

      第二,規(guī)制范圍不同。歐盟《指令》圍繞網(wǎng)絡(luò)與信息系統(tǒng)安全展開,規(guī)定網(wǎng)絡(luò)與信息系統(tǒng)安全的國家框架、合作、服務(wù)提供等問題,并沒有對于信息安全作出專門的規(guī)定,甚至其第二條明確指出,有關(guān)個人數(shù)據(jù)的處理適用其他法律文件。《網(wǎng)絡(luò)安全法》則不同,其第四章用較大篇幅規(guī)定了“網(wǎng)絡(luò)信息安全”,特別是對于網(wǎng)絡(luò)運(yùn)營者對于個人信息的保護(hù)作了規(guī)定。也就是說,歐盟對于網(wǎng)絡(luò)與信息系統(tǒng)安全和數(shù)據(jù)安全是采取分別立法的形式,而我國的《網(wǎng)絡(luò)安全法》不但規(guī)定網(wǎng)絡(luò)與信息系統(tǒng)安全,也涉及信息安全。

      第三,術(shù)語闡釋詳略不同。歐盟《指令》第四條對于其涉及到的各種相關(guān)術(shù)語,第五條、第六條對于基本服務(wù)運(yùn)營者和“顯著的破壞性影響”均進(jìn)行了全面細(xì)致的闡述。有利于歐盟各成員國正確地理解和適用《指令》?!毒W(wǎng)絡(luò)安全法》僅是在附則第七十六條對于網(wǎng)絡(luò)、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)運(yùn)營者、網(wǎng)絡(luò)數(shù)據(jù)、個人信息作出界定,并未就該法其他出現(xiàn)的諸如關(guān)鍵信息基礎(chǔ)設(shè)施等進(jìn)行細(xì)致的界定,對于網(wǎng)絡(luò)運(yùn)營者等術(shù)語的界定也較為籠統(tǒng)。在這一點(diǎn)上,《網(wǎng)絡(luò)安全法》確實(shí)顯得粗糙和單薄,難以為正確地理解和適用提供有效的支撐。

      第四,行為指引條款的設(shè)置不同。歐盟《指令》并不是某個國家的國內(nèi)立法,而是歐盟層面指令,其實(shí)際上是設(shè)置了網(wǎng)絡(luò)與信息系統(tǒng)安全的最低標(biāo)準(zhǔn),而且其規(guī)制的對象是歐盟各成員國,不存在指引行為的作用(這也可以在《指令》第三條及其他相關(guān)規(guī)定中顯示出來),所以并沒有設(shè)置具有指引性質(zhì)的條文。《網(wǎng)絡(luò)安全法》作為我國國內(nèi)立法,具有指引、預(yù)測、評價等作用,在總則中規(guī)定了諸多的行為指引條款,如第三條、第四條、第五條、第六條、第七條對于國家行為的指引,第九條、第十條對于網(wǎng)絡(luò)運(yùn)營者行為的指引,等等。這些行為指引條款,充分體現(xiàn)了我國網(wǎng)絡(luò)安全立法的特色與重點(diǎn),應(yīng)該予以肯定。

      2.2 關(guān)于國家框架與跨國合作的比較

      歐盟《指令》第二章規(guī)定了網(wǎng)絡(luò)與信息系統(tǒng)安全的國家框架,第三章規(guī)定了合作?!毒W(wǎng)絡(luò)安全法》第二章規(guī)定了網(wǎng)絡(luò)安全支持與促進(jìn),第三章規(guī)定了網(wǎng)絡(luò)運(yùn)行安全,沒有對合作問題作出規(guī)定,二者具有較大區(qū)別。

      第一,關(guān)于網(wǎng)絡(luò)安全國家戰(zhàn)略的規(guī)定詳略不同。歐盟《指令》第七條首先明確了網(wǎng)絡(luò)與信息系統(tǒng)安全的國家戰(zhàn)略的基本定位,繼而較為詳細(xì)地列舉了該國家戰(zhàn)略需要解決的具體問題,包括應(yīng)當(dāng)特別解決目標(biāo)和重點(diǎn)、治理框架、預(yù)防和應(yīng)對措施、安全教育與訓(xùn)練、研究與發(fā)展計(jì)劃的指示、風(fēng)險評估計(jì)劃與參與者名錄等問題?!毒W(wǎng)絡(luò)安全法》中有關(guān)網(wǎng)絡(luò)安全國家戰(zhàn)略的規(guī)定則較為簡略,即“國家制定并不斷完善網(wǎng)絡(luò)安全戰(zhàn)略,明確保障網(wǎng)絡(luò)安全的基本要求和主要目標(biāo),提出重點(diǎn)領(lǐng)域的網(wǎng)絡(luò)安全政策、工作任務(wù)和措施”。形成這樣的差異與法律文件的性質(zhì)有重要關(guān)系,《指令》系歐盟層面出臺的法律文件,旨在引導(dǎo)成員國,因而對于國家戰(zhàn)略規(guī)定較為詳細(xì),而《網(wǎng)絡(luò)安全法》一旦通過則為國內(nèi)法,而且根據(jù)我國的實(shí)際情況,可以通過出臺專門的行政文件來完成這一工作。

      第二,對于網(wǎng)絡(luò)安全國家管理和(網(wǎng)絡(luò)安全)事件處理的方式不同。歐盟《指令》第八條、第九條分別對國家主管部門和聯(lián)絡(luò)點(diǎn)、計(jì)算機(jī)安全事件響應(yīng)小組作出規(guī)定,明確各成員國需要建立(唯一)聯(lián)絡(luò)點(diǎn)和計(jì)算機(jī)安全事件響應(yīng)小組,并且對于相關(guān)的管理、資源保障、咨詢、信息通報等事項(xiàng)作了具體規(guī)定,突出了建立這兩個單獨(dú)機(jī)構(gòu)在網(wǎng)絡(luò)安全國家管理中的地位?!毒W(wǎng)絡(luò)安全法》則是以網(wǎng)絡(luò)安全管理(以及監(jiān)測預(yù)警與應(yīng)急處置)事項(xiàng)為重心,在第二章“網(wǎng)絡(luò)安全支持與促進(jìn)”、第三章“網(wǎng)絡(luò)運(yùn)行安全”、第五章“監(jiān)測預(yù)警與應(yīng)急處置”中就具體工作作出規(guī)定,均未規(guī)定成立專門的機(jī)構(gòu)或者部門來預(yù)防和應(yīng)對網(wǎng)絡(luò)安全事件。雖然《網(wǎng)絡(luò)安全法》所規(guī)定的各個事項(xiàng)有其必要意義,但是《指令》對于專門機(jī)構(gòu)的規(guī)定也有其參考意義。

      第三,對于國際合作的認(rèn)識不同。歐盟《指令》第三章“合作”專門規(guī)定了國際合作的問題,包括合作組織、計(jì)算機(jī)安全事件響應(yīng)小組網(wǎng)絡(luò)、國際合作聯(lián)盟,并且特別對合作組織與計(jì)算機(jī)安全事件響應(yīng)小組網(wǎng)絡(luò)作了詳細(xì)的規(guī)定,特別是對于合作組織與計(jì)算機(jī)安全事件響應(yīng)小組網(wǎng)絡(luò)的具體任務(wù)作了清晰的列舉,此外也對評價報告制度等相關(guān)內(nèi)容作了規(guī)定?!毒W(wǎng)絡(luò)安全法》則沒有對國際合作專門作出規(guī)定,不但沒有設(shè)置專門的章節(jié),甚至沒有設(shè)置專門的條文,只有第七條概括地提出積極開展相關(guān)交流合作。然而,網(wǎng)絡(luò)安全是一個世界性的問題,國際合作在網(wǎng)絡(luò)安全領(lǐng)域顯得更為重要,在這一問題上《指令》的規(guī)定確有其合理之處。

      2.3 關(guān)于網(wǎng)絡(luò)運(yùn)營者規(guī)定的比較

      歐盟《指令》第四章、第五章分別就基本服務(wù)運(yùn)營者與數(shù)字服務(wù)提供者的網(wǎng)絡(luò)與信息系統(tǒng)安全事項(xiàng)作出規(guī)定?!毒W(wǎng)絡(luò)安全法》并沒有專門設(shè)置章節(jié)對網(wǎng)絡(luò)運(yùn)營者(網(wǎng)絡(luò)運(yùn)營者)作出規(guī)定,相關(guān)規(guī)定散見于各章節(jié)中。不僅體例上,在內(nèi)容上也具有較大的區(qū)別。

      第一,關(guān)于網(wǎng)絡(luò)運(yùn)營者的范圍理解不同。歐盟《指令》僅規(guī)制基本服務(wù)運(yùn)營者與數(shù)字服務(wù)提供者,而且分別于附件二、附件三限制了基本服務(wù)運(yùn)營者與數(shù)字服務(wù)提供者的范圍,并非規(guī)制所有的網(wǎng)絡(luò)運(yùn)營者?!毒W(wǎng)絡(luò)安全法》只是寫明規(guī)制“網(wǎng)絡(luò)運(yùn)營者”,并且概括地規(guī)定“網(wǎng)絡(luò)運(yùn)營者,是指網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者”。雖然根據(jù)《指令》附件三的內(nèi)容,其所規(guī)定的數(shù)字服務(wù)提供者可以理解為《網(wǎng)絡(luò)安全法》中的網(wǎng)絡(luò)運(yùn)營者,但是附件二中的基本服務(wù)運(yùn)營者多為基本公共服務(wù)提供者,只是網(wǎng)絡(luò)安全與其服務(wù)的連續(xù)性具有關(guān)聯(lián)。但是在信息化網(wǎng)絡(luò)化的當(dāng)今,互聯(lián)網(wǎng)包括網(wǎng)絡(luò)安全已經(jīng)和各行業(yè)相關(guān)聯(lián),對于諸如能源、交通等領(lǐng)域的網(wǎng)絡(luò)安全,是否應(yīng)從網(wǎng)絡(luò)安全立法的角度予以考慮?這也正是《指令》帶給我們的思考。

      第二,關(guān)于網(wǎng)絡(luò)運(yùn)營者的義務(wù)內(nèi)容規(guī)定不同。歐盟《指令》對基本服務(wù)運(yùn)營者與數(shù)字服務(wù)提供者主要規(guī)定了兩方面內(nèi)容:安全要求與事件通知、實(shí)施與執(zhí)行?!毒W(wǎng)絡(luò)安全法》則是對于網(wǎng)絡(luò)運(yùn)營者的義務(wù)作了細(xì)致全面的規(guī)定,包括遵守義務(wù)、網(wǎng)絡(luò)安全等級保護(hù)制度的落實(shí)、網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案、技術(shù)支持和協(xié)助、部門合作、用戶信息保護(hù)、必要技術(shù)措施、法律責(zé)任等多個方面。在內(nèi)容上,顯然《網(wǎng)絡(luò)安全法》關(guān)于網(wǎng)絡(luò)運(yùn)營者義務(wù)的規(guī)制范圍更為全面,但是《指令》的內(nèi)容則較為細(xì)致,如對服務(wù)連續(xù)性的保障、事件判斷的參考因素、通知義務(wù)的分配、對其他成員國的通知、公共利益等問題的規(guī)定也有可供借鑒之處。

      第三,關(guān)于網(wǎng)絡(luò)運(yùn)營者的管轄規(guī)定不同。歐盟《指令》第十八條專門規(guī)定了數(shù)字服務(wù)提供者的管轄問題,甚至還規(guī)定了對于數(shù)字服務(wù)提供者不屬于歐盟境內(nèi)成員國時的代表制度。《網(wǎng)絡(luò)安全法》則根本沒有規(guī)定網(wǎng)絡(luò)運(yùn)營者的管轄問題。出現(xiàn)這種區(qū)別并不難理解,歐盟的《指令》是指向歐盟的成員國的,主要是提出要求,如何根據(jù)本國法律進(jìn)行轉(zhuǎn)化依各成員國情況而定,而我國本身具有專門的訴訟法律,只要合適地將網(wǎng)絡(luò)運(yùn)營者的管轄問題納入相應(yīng)的訴訟法律即可。

      3 歐盟《網(wǎng)絡(luò)與信息系統(tǒng)安全指令》對我國網(wǎng)絡(luò)安全立法的啟示

      雖然《網(wǎng)絡(luò)安全法》在行為指引條款、網(wǎng)絡(luò)安全事件的監(jiān)測預(yù)警與應(yīng)急處置、網(wǎng)絡(luò)服務(wù)提供者的義務(wù)設(shè)置等方面較為科學(xué),但是歐盟《指令》許多內(nèi)容的設(shè)計(jì)頗具特色,對于我國網(wǎng)絡(luò)安全立法具有很強(qiáng)的借鑒意義。

      3.1 構(gòu)建完善的術(shù)語體系

      應(yīng)當(dāng)借鑒《指令》,規(guī)定更為完善的術(shù)語體系?!毒W(wǎng)絡(luò)安全法》僅對網(wǎng)絡(luò)、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)運(yùn)營者、網(wǎng)絡(luò)數(shù)據(jù)、個人信息作出定義,對于其他該法涉及的諸如關(guān)鍵信息基礎(chǔ)設(shè)施、網(wǎng)絡(luò)信息安全、網(wǎng)絡(luò)安全事件等術(shù)語均未作出必要的界定,不利于該法的理解與適用。應(yīng)借鑒《指令》第四條對于(網(wǎng)絡(luò)安全)事件的界定,從任何對于網(wǎng)絡(luò)安全具有現(xiàn)實(shí)不利影響的活動層面予以界定。同時參考《指令》第四條對于網(wǎng)絡(luò)與信息系統(tǒng)等術(shù)語的界定,對于關(guān)鍵信息基礎(chǔ)設(shè)施作出符合通常理解又契合《網(wǎng)絡(luò)安全法》內(nèi)容的恰當(dāng)界定。此外,網(wǎng)絡(luò)信息安全也有必要進(jìn)行獨(dú)立的界定,因?yàn)榫W(wǎng)絡(luò)信息安全包括但是不限于個人信息安全,還涉及非法信息的傳輸?shù)刃畔踩珕栴},應(yīng)該進(jìn)行全面科學(xué)的界定,必要時可參考?xì)W盟《一般數(shù)據(jù)保護(hù)條例》的相關(guān)內(nèi)容。

      3.2 明確我國網(wǎng)絡(luò)安全戰(zhàn)略的具體內(nèi)容

      應(yīng)在相關(guān)立法中更具體地規(guī)定我國網(wǎng)絡(luò)安全戰(zhàn)略的具體內(nèi)容。目前的《網(wǎng)絡(luò)安全法》將網(wǎng)絡(luò)安全戰(zhàn)略的內(nèi)容規(guī)定在總則第四條,也明確了要“提出重點(diǎn)領(lǐng)域的網(wǎng)絡(luò)安全政策、工作任務(wù)和措施”,但是未具體地予以明確?!吨噶睢返谄邨l較為清楚地明確規(guī)定了網(wǎng)絡(luò)與信息系統(tǒng)安全的國家戰(zhàn)略任務(wù)及其相關(guān)問題,值得借鑒。應(yīng)當(dāng)借鑒《指令》的經(jīng)驗(yàn),在相關(guān)立法中對于我國網(wǎng)絡(luò)安全戰(zhàn)略的布局、任務(wù)予以具體化,明確我國加強(qiáng)網(wǎng)絡(luò)安全建設(shè)的重點(diǎn)任務(wù)和優(yōu)先目標(biāo),并且輔之以相應(yīng)的舉措。

      3.3 設(shè)置專門的網(wǎng)絡(luò)安全事件應(yīng)對機(jī)構(gòu)

      《網(wǎng)絡(luò)安全法》中除了應(yīng)規(guī)定網(wǎng)絡(luò)安全管理的具體職責(zé)之外,也有必要就應(yīng)急響應(yīng)等事項(xiàng)規(guī)定獨(dú)立的網(wǎng)絡(luò)安全事件應(yīng)對機(jī)構(gòu)?!毒W(wǎng)絡(luò)安全法》第五章“監(jiān)測預(yù)警與應(yīng)急處置”更多的是側(cè)重通報、措施、預(yù)案、臨時措施等應(yīng)對處理角度進(jìn)行規(guī)定,并沒有規(guī)定設(shè)置獨(dú)立的網(wǎng)絡(luò)安全事件監(jiān)測預(yù)警與應(yīng)急處置機(jī)構(gòu)。《指令》第九條清楚地規(guī)定了計(jì)算機(jī)安全事件響應(yīng)小組的相關(guān)內(nèi)容,值得借鑒。而且,就網(wǎng)絡(luò)安全事項(xiàng)設(shè)置專門的機(jī)構(gòu)也是我國現(xiàn)實(shí)的做法。2014年2月27日,中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立,其主要目標(biāo)之一就是“推動國家網(wǎng)絡(luò)安全和信息化法治建設(shè),不斷增強(qiáng)安全保障能力”,各地相關(guān)部門也都成立了網(wǎng)絡(luò)安全的專門管理機(jī)構(gòu)。在網(wǎng)絡(luò)安全事件風(fēng)險與危害日漸突出的背景下,在相關(guān)立法中借鑒歐盟做法規(guī)定專門的應(yīng)對機(jī)構(gòu),正當(dāng)其時。

      3.4 重視維護(hù)網(wǎng)絡(luò)安全的國際合作

      應(yīng)該在《網(wǎng)絡(luò)安全法》中就國際合作問題作出專門的規(guī)定?!毒W(wǎng)絡(luò)安全法》并未就網(wǎng)絡(luò)安全的國際合作問題作出專門規(guī)定,《指令》則在第三章“合作”中全面地規(guī)定了合作組織、計(jì)算機(jī)安全事件響應(yīng)小組網(wǎng)絡(luò)、國際合作聯(lián)盟。網(wǎng)絡(luò)安全是一個世界性的難題,網(wǎng)絡(luò)安全的保護(hù)也需要世界各國相互合作共同努力,這一共識應(yīng)當(dāng)為各國立法所肯定,歐盟《指令》的做法頗具借鑒意義。而且,國內(nèi)類似的立法已經(jīng)有就國際合作問題作出規(guī)定的先例。《反恐怖主義法》第七章“國際合作”就反恐怖主義國際合作的立場、相關(guān)職權(quán)、司法協(xié)助、合作任務(wù)、合作證據(jù)等問題作了詳細(xì)的規(guī)定,有利于加深與其他國家的合作,共同打擊恐怖主義活動。我國同樣也應(yīng)該立足國際視野,借鑒和參考《指令》中的相關(guān)條款,對于我國網(wǎng)絡(luò)安全國際合作問題作出規(guī)定。

      3.5 明確網(wǎng)絡(luò)運(yùn)營者的范圍與層次

      應(yīng)該在相關(guān)立法中明確規(guī)定《網(wǎng)絡(luò)安全法》中規(guī)定的網(wǎng)絡(luò)運(yùn)營者的范圍與層次?!吨噶睢凡坏诘谒臈l規(guī)定了基本服務(wù)運(yùn)營者、數(shù)字服務(wù)提供者的概念,在第四章、第五章分別規(guī)定了其義務(wù),還在附件二、附件三中詳細(xì)規(guī)定了《指令》規(guī)制的基本服務(wù)運(yùn)營者、數(shù)字服務(wù)提供者的具體范圍,這樣的思路值得我國網(wǎng)絡(luò)安全立法予以借鑒。而且,在網(wǎng)絡(luò)運(yùn)營者的范圍上,也應(yīng)注意到信息化網(wǎng)絡(luò)化的背景下,原有社會基本服務(wù)向網(wǎng)絡(luò)服務(wù)轉(zhuǎn)變的現(xiàn)實(shí),參考《指令》合理界定網(wǎng)絡(luò)運(yùn)營者的范圍。此外,隨著網(wǎng)絡(luò)社會的發(fā)展,網(wǎng)絡(luò)運(yùn)營者的范圍不斷擴(kuò)大,其網(wǎng)絡(luò)運(yùn)營規(guī)模與能力各不相同,承擔(dān)的義務(wù)水平也應(yīng)當(dāng)有所區(qū)別。如《網(wǎng)絡(luò)安全法》使用了“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者”的表述,并且設(shè)置了特定的義務(wù),但是就其范圍并沒有作出明確的規(guī)定,易于導(dǎo)致規(guī)定執(zhí)行的混亂。但是,網(wǎng)絡(luò)運(yùn)營者的范圍與層次這樣的問題又不宜在《網(wǎng)絡(luò)安全法》中直接作出規(guī)定,可以在《網(wǎng)絡(luò)安全法實(shí)施條例》以及其他相關(guān)法律文件中予以明確,從而恰當(dāng)、有效地規(guī)制和引導(dǎo)網(wǎng)絡(luò)運(yùn)營者履行網(wǎng)絡(luò)安全義務(wù)。

      [1]FREITAS PM F,GON ALVESN.Illegal Access to Information Systems and the Directive 2013/40/ EU[J].International Review of Law Computers& Technology,2015,29(1):53.

      [2]ILVES L K,EVANS T J,CILLUFFO F J,et al. European Union and NATO Global Cybersecurity Challenges:A Way Forward[J].Prism Security Studies Journal,2016,6(2):127-128.

      [3]SHACKELFORD S J,CRAIG A N.Beyond the New“Digital Divide”:Analyzing the Evolving Role of National Governments in Internet Governance and Enhancing Cybersecurity[J]. Stanford Journal of International Law,2014,50(1):156.

      [4]RICHARD TAUWHARE.Improving Cybersecurity in the European Union:the Network and Information Security Directive[J].Journal of Internet Law,2016,19(12):4.

      [5]BARRINHA A.Cybersecurity in the European Union.Resilience and Adaptability in Governance policy[J].European Security,2016,25(3):388.

      [6]張濤,王玥,黃道麗.信息系統(tǒng)安全治理框架:歐盟的經(jīng)驗(yàn)與啟示:基于網(wǎng)絡(luò)攻擊的視角[J].情報雜志,2016(08):20.

      [7]林麗枚.歐盟網(wǎng)絡(luò)空間安全政策法規(guī)體系研究[J].信息安全與通信保密,2015,24(4):30.

      [8]陳旸.歐盟網(wǎng)絡(luò)安全戰(zhàn)略解讀[J].國際研究參考,2013(05):36.

      責(zé)任編輯 朱文婷

      10.14180/j.cnki.1004-0544.2017.06.032

      D97(196.2)

      A

      1004-0544(2017)06-0177-06

      國家社會科學(xué)基金重點(diǎn)項(xiàng)目(13AFX010);武漢大學(xué)自主科研項(xiàng)目(人文社會科學(xué))(2017QN010);中央高?;究蒲袠I(yè)務(wù)費(fèi)專項(xiàng)資金資助。

      王肅之(1990-),男,河北石家莊人,武漢大學(xué)法學(xué)院博士研究生。

      猜你喜歡
      運(yùn)營者服務(wù)提供者成員國
      公眾號再增視頻號入口
      綜藝報(2021年21期)2021-08-28 14:13:19
      網(wǎng)絡(luò)服務(wù)提供者的侵權(quán)責(zé)任研究
      法制博覽(2020年11期)2020-11-30 03:36:52
      歐盟敦促成員國更多地采用病蟲害綜合防治措施
      論網(wǎng)絡(luò)服務(wù)提供者刑事責(zé)任的歸責(zé)模式一一以拒不履行網(wǎng)絡(luò)安全管理義務(wù)罪為切入點(diǎn)
      網(wǎng)絡(luò)運(yùn)營者不得泄露個人信息
      論網(wǎng)絡(luò)服務(wù)提供者的侵權(quán)責(zé)任
      法制博覽(2017年16期)2017-01-28 00:01:59
      鏈接:網(wǎng)絡(luò)運(yùn)營者不得泄露其收集的個人信息
      網(wǎng)絡(luò)服務(wù)提供者第三方責(zé)任的立法審視
      湖湘論壇(2015年4期)2015-12-01 09:30:16
      亞投行意向創(chuàng)始成員國增至46個
      什么是意向創(chuàng)始成員國?(答讀者問)
      滦平县| 合肥市| 汤阴县| 平罗县| 巴彦淖尔市| 长治市| 海南省| 吉林省| 南召县| 根河市| 澄城县| 专栏| 蒲城县| 常熟市| 永福县| 遂川县| 宜阳县| 普兰县| 宣武区| 平谷区| 三江| 科技| 囊谦县| 滦平县| 棋牌| 满洲里市| 公主岭市| 巴彦县| 若羌县| 玛多县| 榕江县| 大渡口区| 柏乡县| 清新县| 黔西县| 新丰县| 翁源县| 玉门市| 柘荣县| 秦皇岛市| 满城县|