近日,歐盟立法機(jī)構(gòu)正式通過(guò)首部網(wǎng)絡(luò)安全法《網(wǎng)絡(luò)與信息系統(tǒng)安全指令》,旨在加強(qiáng)基礎(chǔ)服務(wù)運(yùn)營(yíng)者、數(shù)字服務(wù)提供者的網(wǎng)絡(luò)與信息系統(tǒng)安全,要求這兩者履行網(wǎng)絡(luò)風(fēng)險(xiǎn)管理、網(wǎng)絡(luò)安全事故應(yīng)對(duì)與通知等義務(wù)。此外,該法要求成員國(guó)制定網(wǎng)絡(luò)安全國(guó)家戰(zhàn)略,要求加強(qiáng)成員國(guó)間合作與國(guó)際合作,要求在網(wǎng)絡(luò)安全技術(shù)研發(fā)方面加大資金投入與支持力度。不久前,全國(guó)人大公布了《中華人民共和國(guó)網(wǎng)絡(luò)安全法(草案)》二次審議稿,并向全國(guó)征求意見(jiàn),引發(fā)了社會(huì)各界的關(guān)注和熱議。那么,歐盟網(wǎng)絡(luò)安全法能給我國(guó)帶來(lái)哪些啟示呢?
實(shí)現(xiàn)歐盟統(tǒng)一網(wǎng)信系統(tǒng)安全
繼歐盟理事會(huì)于2016年5月17日一讀通過(guò)《網(wǎng)絡(luò)與信息系統(tǒng)安全指令》(NIS指令)之后,歐盟議會(huì)于7月6日二讀通過(guò)該指令,這意味著歐盟立法機(jī)構(gòu)歷經(jīng)三年,最終正式采納NIS指令。
作為歐盟數(shù)字單一市場(chǎng)一系列舉措的重要組成部分,NIS指令是歐盟第一部網(wǎng)絡(luò)安全法,其目的在于,在歐盟范圍內(nèi)實(shí)現(xiàn)統(tǒng)一的、高水平的網(wǎng)絡(luò)與信息系統(tǒng)安全。在NIS指令中,網(wǎng)絡(luò)與信息系統(tǒng)安全是指網(wǎng)絡(luò)與信息系統(tǒng)有能力抵抗針對(duì)經(jīng)由這些網(wǎng)絡(luò)與信息系統(tǒng)存儲(chǔ)、傳輸、處理、提供的信息或者相關(guān)服務(wù)的可用性、真實(shí)性、完整性或者保密性等采取的破壞措施。NIS指令將于本月生效,之后,成員國(guó)必須于21個(gè)月之內(nèi)將其轉(zhuǎn)化為國(guó)內(nèi)法。
作為歐盟首部網(wǎng)絡(luò)安全法,NIS指令明確了歐盟關(guān)于網(wǎng)絡(luò)安全的頂層制度設(shè)計(jì),確立網(wǎng)絡(luò)安全國(guó)家戰(zhàn)略,強(qiáng)調(diào)合作與多方參與,確立網(wǎng)絡(luò)安全事故通知與信息分享機(jī)制,對(duì)數(shù)字服務(wù)提供者采取輕監(jiān)管思路,避免過(guò)度監(jiān)管對(duì)互聯(lián)網(wǎng)行業(yè)發(fā)展產(chǎn)生不利影響。
對(duì)我國(guó)網(wǎng)絡(luò)安全立法的啟示
當(dāng)前,我國(guó)正在制定網(wǎng)絡(luò)安全法,歐盟等已經(jīng)率先出臺(tái)網(wǎng)絡(luò)安全法,其中一些制度安排值得借鑒和學(xué)習(xí)。
——網(wǎng)絡(luò)安全法應(yīng)立足“網(wǎng)絡(luò)與信息系統(tǒng)安全”為核心,避免制度泛化
目前“網(wǎng)絡(luò)安全”概念眾說(shuō)紛紜,但從NIS指令中看,其主要指的是“網(wǎng)絡(luò)與信息系統(tǒng)安全”,并不包括內(nèi)容安全等。我國(guó)的網(wǎng)絡(luò)安全法草案,除了關(guān)于網(wǎng)絡(luò)與信息系統(tǒng)安全的規(guī)定,還大幅度涉及個(gè)人信息保護(hù)、違法網(wǎng)絡(luò)信息治理等制度,內(nèi)容涵蓋非常廣泛。因此,個(gè)人是否有權(quán)要求互聯(lián)網(wǎng)企業(yè)刪除、更正其個(gè)人信息,互聯(lián)網(wǎng)企業(yè)是否有義務(wù)發(fā)現(xiàn)、處理違法網(wǎng)絡(luò)信息等是否需要在網(wǎng)絡(luò)安全法中涉及值得商榷。
以個(gè)人信息保護(hù)方面制度為例,目前草案簡(jiǎn)單賦予用戶要求刪除、更正個(gè)人信息的權(quán)利,而不加以任何限制,可能導(dǎo)致該項(xiàng)權(quán)利被濫用,網(wǎng)絡(luò)運(yùn)營(yíng)者會(huì)承擔(dān)過(guò)多的處理請(qǐng)求,即使網(wǎng)絡(luò)運(yùn)營(yíng)者加大人財(cái)物的投入,恐難以滿足用戶的現(xiàn)實(shí)需求,對(duì)我國(guó)互聯(lián)網(wǎng)產(chǎn)業(yè)產(chǎn)生不利影響。
——建立行之有效的網(wǎng)絡(luò)安全事故通知與信息分享機(jī)制
歐盟的《網(wǎng)絡(luò)與信息系統(tǒng)安全指令》建立了網(wǎng)絡(luò)安全信息分享機(jī)制。針對(duì)基礎(chǔ)服務(wù)運(yùn)營(yíng)者或稱關(guān)鍵服務(wù)運(yùn)營(yíng)者以及部分?jǐn)?shù)字服務(wù)提供者施加了向主管機(jī)構(gòu)通報(bào)具有重大影響的網(wǎng)絡(luò)安全事故的義務(wù)。
我國(guó)網(wǎng)絡(luò)安全法草案第24條則規(guī)定了網(wǎng)絡(luò)運(yùn)營(yíng)者向主管機(jī)構(gòu)報(bào)告網(wǎng)絡(luò)安全事件的義務(wù)。不僅如此,第21條要求網(wǎng)絡(luò)服務(wù)提供者將其產(chǎn)品、服務(wù)存在的安全缺陷、漏洞等風(fēng)險(xiǎn)告知用戶以及主管機(jī)構(gòu)。
其中,網(wǎng)絡(luò)服務(wù)提供者將其產(chǎn)品、服務(wù)存在的安全缺陷、漏洞等風(fēng)險(xiǎn)告知用戶以及主管機(jī)構(gòu)規(guī)定值得商榷。通常而言,產(chǎn)品、服務(wù)處于不斷升級(jí)完善過(guò)程中,沒(méi)有絕對(duì)完美的產(chǎn)品與服務(wù),否則就不會(huì)存在產(chǎn)品迭代。因此,應(yīng)在具有重大風(fēng)險(xiǎn)時(shí)企業(yè)告知用戶及主管機(jī)構(gòu),否則將過(guò)重義務(wù)加于企業(yè)。
總體而言,我國(guó)網(wǎng)絡(luò)安全法應(yīng)以“網(wǎng)絡(luò)與信息系統(tǒng)安全”為核心,避免制度泛化,審慎考慮網(wǎng)絡(luò)實(shí)名制等制度,避免給行業(yè)發(fā)展帶來(lái)過(guò)度負(fù)擔(dān)。同時(shí)推動(dòng)制度與國(guó)際接軌,真正成為網(wǎng)絡(luò)安全的法治保障。