背景介绍：

　　伴随着信息通信技术取得革命性进展，交通、电力、电信、供水、金融及政府服务等基础设施的运营越来越依靠网络信息系统。然而，互相连接、互相依赖的网络信息系统也极易因一部分基础设施受损、被恶意攻击而整个陷入瘫痪，流动在网络空间的信息数据也极易被拦截、窃取和破坏，从而引发系统性风险。随着网络谣言、网络侵财、网络间谍甚至网络恐怖主义等威胁不断涌现，网络安全已经成为全球性议题，各国纷纷加大了网络安全治理的措施与力度。2016年是全球网络安全立法进程中的重要一年，我国和欧盟、美国等国家和地区纷纷颁行了一系列重要立法，在全球范围内基本确立了网络安全的法治框架。本报告着重对2016年欧盟、美国及我国的网络安全立法情况进行梳理与研究，并在比较分析的基础上研讨我国在未来网络安全法治层面可收获的启示。
 

　　欧盟自21世纪之初就认识到网络和信息安全领域的重要性，并不断制定颁行此领域的重要政策与立法。2001年提出了有关“网络和信息安全”的建议[1]，2004年设立了欧盟网络和信息安全局(ENISA)[2]、2006年通过了《确保信息社会安全战略》[3]、2008年颁布了《欧盟关键基础设施认定、指定以及评估强化其保护必要性的指令》[4]，2009年发布了保护关键信息基础设施的建议[5]并修订了《电子通信指令》[6]，2011年发布《保护关键信息基础设施——面向全球网络安全的成就和下一步行动》[7]，2013年发布了《欧盟网络安全战略：开放、安全和可靠的网络空间》[8]和规制“信息系统攻击”的指令[9]，2015年发布的《欧洲安全议程(2015-2020)》[10]进一步深化了欧盟网络安全战略的框架，2016年7月5日，欧盟委员会公布了《强化欧洲网络恢复系统与培养竞争性和创新性网络安全产业》的通报，要求建立网络安全公私伙伴关系。[11]

　　随着欧盟网络安全战略政策的成熟，欧盟自2013年开始推动网络安全的综合性立法计划，由欧盟委员会和欧盟外交和安全高级政策代表于当年2月提出了确保欧盟统一、高水平的“网络与信息系统安全指令”(Network and Information Security Directive，以下简称NIS指令)建议[12]。斯诺登事件爆出后，该指令的立法进程加快，欧盟议会(European Parliament)和欧盟理事会(European Council)于2015年12月7日就该指令达成共识。2016年5月17日，欧盟理事会正式通过NIS指令，2016年7月6日欧盟议会正式通过了该指令[13]。NIS指令于2016年8月8日正式生效，欧盟成员国必须在此后的21个月内将该指令转换为国内法。

　　该指令是欧盟建立数字单一市场(digital singlemarket)的重要举措之一，是欧盟层面第一部综合性网络安全立法，提出了在欧盟确保统一、高水平网络与信息系统安全的基本法治框架。该指令所界定的“网络与信息系统安全”是指“在一定可信水平下，网络与信息系统抵抗破坏其所存储、传输、处理之数据或者相关服务的可用性、真实性、完整性或者保密性行为的能力。”[14]该指令建立的欧盟网络安全法治框架包括以下内容：

　　1. 欧盟各国必须制定自身的网络与信息安全国家战略

　　NIS指令要求每个成员国都要制定自己的网络与信息系统安全国家战略(以下简称NIS国家战略)，以实现和维护高水平的网络与信息系统安全。指令要求NIS国家战略应该包括以下内容：

　　(1)网络与信息系统安全国家战略的目标和重点任务;

　　(2)达成这些目标和重点任务的治理框架，包括政府机构以及其他相关主体的角色和责任;

　　(3)认定防范、应对以及恢复的相关措施，包括公共部门与私营部门之间的合作;

　　(4)明确与网络与信息系统安全国家战略有关的教育、意识提升以及培训计划;

　　(5)与网络与信息系统安全国家战略有关的研究与发展计划;

　　(6)认定风险的风险评估计划;

　　(7)实施网络与信息系统安全国家战略所涉主体的清单。[15]

　　成员国应当确定一个或者多个主管机构来负责监督NIS指令在本国的实施，也就是说指令既允许成员国对不同行业确定不同的主管机构，也允许确定一个主管机构负责所有的行业。但不管确定是一个还是多个主管机构，每个成员国都必须指定一个主管机构作为单一的“联络点”(single point ofcontact)，负责联络其他成员国主管机构以及根据指令各国都必须建立的计算机安全事件响应团队(ComputerSecurity Incident Response Team，简称CSIRT)。[16]

　　和主管机构一样，成员国可以建立多个计算机安全事件响应团队。网络和信息系统安全的主管机构、联络机构和计算机安全事件响应团队需要共同协作来落实NIS指令规定的法律职责。

　　2. 增强欧盟各国之间的网络安全战略合作和跨境协作

　　为了便利欧盟成员国之间战略合作与信息共享、增进各国的互相信任，NIS指令要求建立一个网络安全协作体(CooperationGroup)，该协作体由成员国代表、欧盟委员会和欧盟网络与信息安全局(ENISA)组成。协作体的主要职能在于：为计算机安全事件响应团队网络(CSIRTs network)的活动提供指导，交流网络安全最佳实践和风险信息，讨论网络安全相关具体标准和技术细则，讨论NIS相关实践、教育计划和培训成效包括欧盟网络与信息安全局(ENISA)所开展的工作等等。每隔一年半，协作体应当完成一份报告，以评估战略合作中积累的经验。[17]

　　除了网络安全协作体之外，NIS指令还要求建立计算机安全事件响应团队网络(CSIRTs network)[18]，以增强欧盟各成员国在具体网络安全事件处置和网络安全风险信息交流等操作层面的合作。

　　NIS指令不仅建立了成员国之间的合作框架，还鼓励欧盟与其他国家或者国际组织达成国际协议，允许和组织这些国家或者国际组织参与欧盟网络安全协作体的部分活动。但是此种国际协议应该考虑确保数据得到充分保护(adequateprotection)的必要。[19]

　　3. 建立计算机安全事件响应团队并建立欧盟合作网络

　　NIS指令要求建立计算机安全事件响应团队网络(CSIRTs network)，由各国计算机安全事件响应团队的代表和欧盟计算机应急响应团队(ComputerEmergency Response Team，CERT-EU)构成。各国计算机安全事件响应团队的职责在于：监测全国范围的网络安全事件，向相关利益方提供网络安全风险和事件预警、警报、通知和信息传播，应对网络安全事件，提供动态的风险事件分析和态势感知，参与欧盟层面的计算机安全事件响应团队网络(CSIRTs network)。[20]

　　而欧盟计算机安全事件响应团队网络(CSIRTs network)的职责在于网络安全事件信息交换、为成员国处置跨境安全事件提供支持、探索和认定进一步业务合作的形式等。每隔一年半，欧盟计算机安全事件响应团队网络应当向协作体提交一份报告，以评估业务合作中积累的经验。[21]

　　4. 区分基本服务运营者和数字服务提供者分别予以监管

　　NIS指令除了在成员国层面提出网络安全具体要求之外，还将纳入监管的数字市场主体分为“基本服务运营者”和“数字服务提供者”两类，分别赋予不同的监管义务。所谓的“基本服务运营者”(operators of essential services)是指“提供维续关键社会活动和/或经济活动基本服务的主体，这种服务的提供依赖于网络和信息系统，网络安全事件会对服务的提供造成重大的破坏性影响。”[22]所谓的“数字服务提供者”包括在线市场、在线搜索引擎、云计算服务的提供者。

　　基本服务运营者是指运营重点为下列领域的公共或私营主体：能源(电力、石油及天然气);运输(陆运、铁路、航空及水运);银行;金融市场基础设施;医疗卫生领域(公共及私人);饮用水供应及分配;数字基础设施(互联网交换点，域名系统(DNS)服务提供商及顶级域名注册)。[23]

　　根据NIS指令的规定，基本服务运营者和数字服务提供者都应履行以下义务：一是应当采取适当的和成比例的技术和组织措施来管理网络安全风险，鉴于技术水平现况，这些措施应当确保一定程度的安全并且对于所面临的风险是适当的;二是应当采取适当的措施防止和最小化网络安全事件的影响，以确保这些服务的持续性;三是应当向主管机构或计算机安全事件响应团队及时报告具有较大影响的网络安全事件。[24]

　　但NIS指令对基本服务运营者和数字服务提供者规定了不同的程度的义务要求和责任要求，相对而言对数字服务提供者施以“轻监管”。比如判断数字服务提供者是否履行网络安全风险管理义务，应考虑以下因素：系统和设施的安全、安全事件处置、业务持续性管理、监查测试以及国际标准遵循。再如对于是否达到监管要求，主管机构对于数字服务提供者规定一般是采用事后监管措施，发现未能达到监管要求时仅是要求其采取补救措施;[25]而对于基本服务提供者，主管机构的监督职权不只限于事后监管，也可以采用事前和事中监管，发现未能达到监管要求时可以对其处以有约束力的命令(bindinginstructions)予以纠正。[26]

　　5. 针对不同主体建立不同程度的网络安全事件报告制度

　　NIS指令对于基本服务运营者和数字服务提供者规定了不同程度的网络安全事件报告制度。对于基本服务运营者而言，向主管机构或计算机安全事件响应团队及时报告的是对其“服务持续性具有重大影响的”网络安全事件，此时判断网络安全事件是否造成重大影响应考虑以下因素：(1)受影响的用户数量;(2)该事件的持续时间;(3)该事件所影响区域的地理范围。[27]

　　对于数字服务提供者而言，向主管机构或计算机安全事件响应团队及时报告的是对其“服务提供具有实质影响的”网络安全事件，此时判断网络安全事件是否造成实质影响应考虑以下因素：(1)受影响的用户数量;(2)该事件的持续时间;(3)该事件所影响区域的地理范围;(4)对所提供的服务运行的破坏程度;(5)对经济和社会活动的影响程度。同样是贯彻“轻监管”的思路，NIS指令明确规定成员国不得对数字服务提供者施加其他更严格的安全或通知要求。[28]

　　为了鼓励基本服务运营者和数字服务提供者报告网络安全事件的积极性，NIS指令明确规定不得加重报告主体的法律责任。除了网络安全事件信息之外，主管部门为了监督法律义务的履行，可以要求基本服务运营者和数字服务提供者提供用于评估网络安全的相关信息或证据。

　　此外，对于没有被认定为基本服务运营者和数字服务提供者的其他主体，可以在自愿的基础上向主管部门报告对其服务持续性造成重大影响的网络安全事件。各成员国建立的自愿报告制度，不得使自愿报告主体因报告行为而处于任何不利地位。[29]

　　6. 鼓励产业发展尤其是将小微企业排除在监管范围之外

　　近些年来欧盟一直积极鼓励相关领域小微中企业的发展，NIS指令继续坚持了确保网络安全和鼓励产业发展相平衡的原则。为了在整个欧盟实现基础服务运营者和数字服务提供者监管要求的趋同实施，NIS指令规定不得强制或者歧视性支持某一特定类型技术的使用，鼓励采用欧盟或者国际所认可的安全标准和技术细则;欧盟网络与信息安全局(ENISA)负责会同成员国拟定相关技术领域和既有标准的建议和指南。[30]

　　该规定实际上并没有对纳入监管范围的主体施加强制性的网络安全标准，考虑到指令规定被监管者的义务是“采取适当的和成比例的技术和组织措施来管理网络安全风险”，具体实施的监管标准往往是依靠网络安全行业最佳实践来确定。指令规定了欧盟网络安全协作体负责交流网络安全最佳实践和风险信息，并与欧盟相关标准化组织讨论上述安全标准和技术细则。[31]

　　为了鼓励小微企业的发展，NIS指令明确规定对于数字服务提供者的网络和信息系统安全监管义务不适用小微企业[32]。根据欧盟委员会建议的界定，所谓的小型企业是指员工人数在10-50人之间，且年营业额或资产总额在200万-1000万欧元之间的企业;所谓的微型企业是员工人数在10人以下，且年营业额或资产总额在200万欧元以下的企业。[33]

　　就在NIS指令通过的前一天，欧盟委员会公布了《强化欧洲网络恢复系统与培养竞争性和创新性网络安全产业》的通报，该通报明确指出要增加对中小企业(SEM)的投资支持，并且通过签订合同建立网络安全公私伙伴关系。[34]

　　需要指出的是，欧盟网络安全立法注意了不同法律规范的职能分工和统筹安排。根据NIS指令的规定，指令本身并不涉及个人信息处理，个人信息保护制度主要依据是《1995年个人数据保护指令》[35]，但该指令近期已被2016年4月通过的《一般数据保护条例》(General DataProtection Regulation，简称GDPR)[36]所取代。此外，对于电子商务、一般的网络犯罪等内容也都由相应的欧盟指令予以规制，并不适用NIS指令的规定。

　　NIS指令于2016年8月8日正式生效，欧盟成员国必须在此后的21个月内将该指令转换为国内法。对于已有网络安全立法的欧盟国家，例如德国2009年通过了《加强联邦信息技术安全法》并于2015年进行了修正，只需要在已有法律基础上作出修正以满足指令要求即可。但对于尚未有具体网络安全立法的国家，如英国、荷兰等，需要制定新的国内法规则来满足指令的要求。

　　[1] Network and Information Security:Proposal for A European Policy Approach, COM(2001) 298.

　　[2] Establishing the European Networkand Information Security Agency, REGULATION (EC) No 460/200; 该条例已于2010年9月30日交由欧洲理事会和欧洲议会进行修订，修订工作截至目前尚未完成。

　　[3] A strategy for a SecureInformation Society – “Dialogue, partnership and empowerment”, COM(2006) 251.

　　[4] Identification and designation ofEuropean critical infrastructures and the assessment of the need to improve theirprotection,DIRECTIVE 2008/114/EC. 该指令包括“欧盟关键基础设施保护方案”(EPCIP)，EuropeanProgramme for Critical Infrastructure Protection, COM(2006) 786.

　　[5] Critical InformationInfrastructure Protection: "Protecting Europe from large scalecyber-attacks and disruptions: enhancing preparedness, security andresilience", COM(2009) 149.

　　[6] Amending Directives 2002/21/EC ona common regulatory framework for electronic communications networks andservices, 2002/19/EC on access to, and interconnection of, electroniccommunications networks and associated facilities, and 2002/20/EC on theauthorisation of electronic communications networks and services, DIRECTIVE2009/140/EC.

　　[7] Critical InformationInfrastructure Protection: “Achievements and next steps: towards globalcyber-security”, COM(2011) 163.

　　[8] Cybersecurity Strategy of theEuropean Union: An Open, Safe and Secure Cyberspace, JOIN(2013) 1.

　　[9] Directive 2013/40/EU of theEuropean Parliament and of the Council of 12 August 2013 on attacks againstinformation systems and replacing Council Framework Decision 2005/222/JHA, OJ L345, 23.12.2008, p. 75–82.

　　[10] The European Agenda on Security, COM(2015)185 final.

　　[11] Strengthening Europe's CyberResilience System and Fostering a Competitive and Innovative CybersecurityIndustry, COM(2016) 410 final. 通报(communication)是欧盟委员会为起草法案征求意见的一种形式。

　　[12] Proposal for a directive of theEuropean Parliament and of the Council concerning measures to ensure a highcommon level of network and information security across the Union, COM(2013) 48;该指令已于2014年3月13日被欧洲议会通过，仍需其他欧盟机构决议，所以还处于立法进程中。

　　[13]Directive (EU) 2016/1148 of the EuropeanParliament and of the Council of 6 July 2016 concerning measures for a highcommon level of security of network and information systems across the Union, OJL 194, 19.7.2016, p. 1–30.

　　[14] NIS Directive, Art. 4.

　　[15] NIS Directive, Art. 7.

　　[16] NIS Directive, Art. 8.

　　[17] NIS Directive, Art. 11.

　　[18]详见下文所述。

　　[19] NIS Directive, Art. 13.

　　[20] NIS Directive, Art. 9, Annex I point (2).

　　[21] NIS Directive, Art. 12.

　　[22] NIS Directive, Art. 5.

　　[23] NIS Directive, Art. 4 point (4), Annex II.

　　[24] NIS Directive, Art. 14, Art. 16.

　　[25] NIS Directive, Art. 17.

　　[26] NIS Directive, Art. 15.

　　[27] NIS Directive, Art. 14.

　　[28] NIS Directive, Art. 16.

　　[29] NIS Directive, Art. 20.

　　[30] NIS Directive, Art. 19.

　　[31] NIS Directive, Art. 11.

　　[32] NIS Directive, Art. 16.

　　[33] Commission Recommendation of 6 May 2003concerning the definition of micro, small and medium-sized enterprises(notified under document number C(2003) 1422) , OJ L 124, 20.5.2003, pp. 36–41.

　　[34] Strengthening Europe's Cyber ResilienceSystem and Fostering a Competitive and Innovative Cybersecurity Industry, COM(2016)410 final.

　　[35] Directive 95/46/EC of the EuropeanParliament and of the Council of 24 October 1995 on the protection ofindividuals with regard to the processing of personal data and on the freemovement of such data, OJ L 281, 23.11.95.

　　[36] Regulation (EU) 2016/679 of the EuropeanParliament and of the Council of 27 April 2016 on the protection of naturalpersons with regard to the processing of personal data and on the free movementof such data, and repealing Directive 95/46/EC (General Data ProtectionRegulation), OJ L 119, 4.5.2016, p. 1–88.

(责任编辑：宋编辑)