曹建峰   腾讯研究院研究员

  李  正   腾讯研究院助理研究员
  2016年7月6日,欧盟立法机构正式通过首部网络安全法《网络与信息系统安全指令》,旨在加强基础服务运营者、数字服务提供者的网络与信息系统之安全,要求这两者履行网络风险管理、网络安全事故应对与通知等义务。此外,该法要求成员国制定网络安全国家战略,要求加强成员国间合作与国际合作,要求在网络安全技术研发方面加大资金投入与支持力度。
  欧盟立法致力实现统一的、高水平的网络与信息系统安全
  继欧盟理事会于2016年5月17日一读通过《网络与信息系统安全指令》(简称NIS指令)之后,欧盟议会于7月6日二读通过该指令,这意味着欧盟立法机构历经三年,最终正式采纳NIS指令。
  作为欧盟数字单一市场一系列举措的重要组成部分,NIS指令是欧盟第一部网络安全法,其目的在于,在欧盟范围内实现统一的、高水平的网络与信息系统安全。在NIS指令中,网络与信息系统安全是指,网络与信息系统有能力抵抗针对经由这些网络与信息系统存储、传输、处理、提供的信息或者相关服务的可用性、真实性、完整性或者保密性等采取的破坏措施。NIS指令将于2016年8月生效,之后,成员国必须于21个月之内将其转化为国内法。
  《网络与信息系统安全指令》核心内容
  作为欧盟首部网络安全法,NIS指令明确了欧盟关于网络安全的顶层制度设计。
  第一,确立网络安全国家战略;网络故障、网络攻击、网络犯罪等网络安全事故日益频发,严重影响日益依赖于网络的社会经济,在这样的背景下,网络安全的重要性不言而喻;据ENISA统计,在过去一年,网络安全事故激增38%,至少18%的欧盟企业经历过一次网络安全事故;因此,将网络安全上升为国家战略是欧盟的一个当务之急。
  第二,强调合作与多方参与;NIS指令确立了多层次的合作框架,包括成员国之间的合作、国际层面的合作以及政府机构与私营部门之间的合作,从而整合各方资源,着力提升欧盟对网络安全威胁和事故的应对能力。
  第三,确立网络安全事故通知与信息分享机制;此前通过的《一般数据保护条例》(General Data Protection Regulation)规定互联网企业负担个人数据泄露的通知义务,NIS指令采取类似的思路,规定基础服务运营者和数字服务提供者需要向这个结果通知特定的网络主管机构,并通过信息分享提高欧盟整体对网络安全威胁和事故的响应、应对能力。
  第四,对数字服务提供者采取轻监管思路,避免过度监管对互联网行业发展产生不利影响;一方面,成员国不得针对数字服务提供者施加其他更为严格的安全和通知义务;另一方面,主管机构仅在有证据证明数字服务提供者未履行义务时才开展监管活动。
  对我国网络安全立法的启示
  当前,我国正在制定网络安全法,欧盟等已经率先出台网络安全法,其中一些制度安排值得借鉴和学习。
  (一)网络安全法应立足“网络与信息系统安全”为核心,避免制度泛化
  目前“网络安全”概念众说纷纭,但从NIS指令中看,其主要指的是“网络与信息系统安全”,并不包括内容安全等。我国的网络安全法草案,除了关于网络与信息系统安全的规定,还大幅度涉及个人信息保护、违法网络信息治理等制度,内容涵盖非常广泛。因此,个人是否有权要求互联网企业删除、更正其个人信息,互联网企业是否有义务发现、处理违法网络信息等是否需要在网络安全法中涉及值得商榷。
  以个人信息保护方面制度为例,目前草案简单赋予用户要求删除、更正个人信息的权利,而不加以任何限制,可能导致该项权利被滥用、网络运营者会承担过多的处理请求,即使网络运营者加大人、财、物的投入,恐难以满足用户的现实需求,对我国互联网产业产生不利影响。
  (二)审慎考虑全面网络实名制问题
  从NIS指令并没有涉及实名制问题,可以看出实名制并不是网络安全立法的核心内容。而我国网络安全法草案第23条规定了网络实名制,不仅要求基础电信服务实名,而且要求信息发布、即时通讯等OTT服务实名,意即实行前所未有的广泛的网络实名制。
  实名制对于网络安全的作用一直以来存在争议。比如,韩国的《实名认证法》曾经一度针对访问量超过10万的网站强制推行网络实名制,但这不仅未能有效遏制网上侵犯性言论,反而使用户隐私数据面临着前所未有的安全风险,用户隐私数据泄露事故不断发生,甚至引发网络安全危机,最终不得不废除。
  此外,实名制在具体实施过程中困难重重。单以手机实名制为例,我国从2009开始启动,历经强制要求新用户实名、合理引导老用户补登记、强制要求老用户补登记(暂停+停止服务)等多个阶段,但至今仍未实现。即时通信等用户数量巨大,拥有海量的存量用户,且实名验证渠道匮乏,实践中难以有效落实。因此,网络安全立法中应审慎考虑全面实名的问题。
  (三)建立行之有效的网络安全事故通知与信息分享机制
  欧盟的《网络与信息系统安全指令》建立了网络安全信息分享机制。针对基础服务运营者(或称关键服务运营者)以及部分数字服务提供者施加了向主管机构通报具有重大影响的网络安全事故的义务。
  我国网络安全法草案第24条则规定了网络运营者向主管机构报告网络安全事件的义务。不仅如此,第21条要求网络服务提供者将其产品、服务存在的安全缺陷、漏洞等风险告知用户以及主管机构。
  其中,网络服务提供者将其产品、服务存在的安全缺陷、漏洞等风险告知用户以及主管机构规定值得商榷。通常而言,产品、服务处于不断升级完善过程中,没有绝对完美的产品与服务,否则就不会存在产品迭代。因此,应在具有重大风险时企业告知用户及主管机构,否则将过重义务加于企业。
  总体而言,我国网络安全法应以“网络与信息系统安全”为核心,避免制度泛化,审慎考虑网络实名制等制度,避免给行业发展带来过度负担。同时推动制度与国际接轨,真正成为网络安全的法治保障。
  █ 附件:
  NIS指令主要包括三个层面的规定。
  (一)成员国层面:制定网络安全国家战略,提高网络安全能力
  NIS指令要求成员国制定网络安全国家战略,在其中应当明确战略目标、合理政策以及监管措施。该战略应当包括下列内容:(1)战略目标和重点工作;(2)实现这些目标和重点工作的治理框架,包括政府机构以及其他相关参与者的角色和责任;(3)明确相关的应对、防范以及恢复措施,包括政府机构与私营部门之间的合作;(4)与网络安全国家战略有关的教育以及意识增强、培养项目;(5)与网络安全国家战略有关的研究与发展计划;(6)相关风险评估计划;(7)实施网络安全国家战略的多方参与者。
  在具体制度安排方面,NIS指令要求成员国确定至少一个主管机构,负责监督并实施NIS指令;确定至少一个联络处,进行网络安全相关合作事宜;确定至少一个计算机安全事故响应组(Computer Security Incident Response Team,简称CSIRT),负责国家层面的网络安全事故监测,就网络安全风险和事故向相关利益方提供早期预警、警报、通知、信息传递等,应对网络安全事故,以及提供动态的网络安全风险和事故分析。
  (二)欧盟层面:增进成员国间合作与国际合作
  为了增进成员国之间的战略合作与信息共享,NIS指令要求设立一个合作团体,主要发挥四大作用:(1)制定工作计划;(2)指导网络安全相关工作开展;(3)分享网络安全风险等信息以及最佳实践;(4)总结并报告工作经验。该合作团体由成员国代表、欧盟委员会、欧盟网络与信息安全局(ENISA)组成。此外,NIS指令要求设立一个CSIRT国家网络,以促进操作层面的合作,同时加强网络安全领域的国际合作。
  (三)网络与信息系统安全层面:明确网络风险管理与网络安全事故应对、通知等义务
  1.NIS指令的适用对象之一:基础服务运营者
  NIS指令适用于基础服务运营者(operators of essential services)的网络与信息系统(network and information systems)。根据NIS指令第4条,网络与信息系统包括:(1)2002/21/EC指令中界定的电子通信网络;(2)按照某一程序自动化处理数字数据(digital data)的设备、一组关联设备或者一组相互连接的设备:(3)由(1)和(2)中所述要素进行存储、处理、检索或者传输的数字数据,目的在于运作、使用、保护以及维护这些数据。网络安全风险是指,对网络与信息系统安全造成潜在不利影响的合理可识别的情况或者事故。网络安全事故是指,对网络与信息系统安全产生了现实的不利影响的事故。
  基础服务包括能源(电、油、汽)、交通(空运、铁路、水运、公路)、银行业、金融市场基础设施、健康产业(医疗设施,包括医院以及私人诊所)、饮用水供给、数字基础设施(包括IXP、DNS服务提供者、顶级域名注册)。根据NIS指令第5条,基础服务运营者的认定标准有三:(1)所提供的服务对于重要的社会、经济活动是必需的;(2)该服务的提供依赖于网络与信息系统;(3)一旦发生网络安全事故,将对该服务的提供产生重大的破坏性影响。
  根据NIS指令第14条,基础服务运营者需要履行三项义务:
  第一,应当采取适当的技术和组织措施管理网络安全风险,这些措施应当确保一定程度的网络安全;
  第二,应当采取恰当的措施防止、削弱网络安全事故的影响;
  第三,应当将具有重大影响的网络安全事故通知主管机构。在确定网络安全事故的影响的重大程度时,应当考虑下列三项因素:(1)受影响的用户数量;(2)该事故的持续时间;(3该事故波及的区域范围。
  此外,为了监督基础服务运营者履行义务,主管机构可以要求基础服务运营者提供用于评估网络安全的信息,提供证据证明其已经采取了有效的安全政策。
  2.NIS指令的适用对象之二:数字服务提供者
  NIS指令同时适用于部分数字服务提供者(digital service providers)的网络与信息系统。这些数字服务包括网上市场、网络搜索引擎以及云计算。
  数字服务提供者亦需履行三项义务:
  第一,数字服务提供者应当采取适当的技术和组织措施管理网络安全风险,所采取的措施应当确保一定程度的网络安全;
  第二,应当采取措施防止、削弱网络安全事故的影响;
  第三,应当将具有实质影响的网络安全事故通知主管机构。在确定某个网络安全事故是否具有实质影响时,应当考虑下列五项因素:(1)受影响的用户数量;(2)事故的持续时间;(3)事故波及的区域范围;(4)对所提供的服务的破坏程度;(5)对经济和社会活动的影响程度。
  此外,为了监督数字服务提供者履行义务,主管机构可以对未达到要求的数字服务提供者采取措施,可以要求其提供用于评估网络安全的信息并采取补救措施。
  3.豁免小微企业以及网上市场、网络搜索引擎、云计算之外的数字服务提供者
  根据NIS指令,符合豁免要求的实体可以在自愿的基础上,将具有重大影响的网络安全事故通知主管机构,并且该实体不因通知而负担任何义务。