文/劉金瑞

歐盟網(wǎng)絡(luò)安全立法近期進(jìn)展及對(duì)中國的啟示

文/劉金瑞

隨著網(wǎng)絡(luò)犯罪、網(wǎng)絡(luò)間諜、網(wǎng)絡(luò)盜竊甚至網(wǎng)絡(luò)恐怖主義等威脅不斷涌現(xiàn)，各國紛紛加大了網(wǎng)絡(luò)安全治理和立法的力度。2016年7月，歐盟最終正式通過了“確保歐盟統(tǒng)一、高水平網(wǎng)絡(luò)與信息系統(tǒng)安全之相關(guān)措施的指令”（Network and Information Security Directive，以下簡稱NIS指令）。該指令于2016年8月8日正式生效，將在之后的21個(gè)月轉(zhuǎn)化為歐盟成員國的國內(nèi)法。該指令是歐盟建立數(shù)字單一市場的重要舉措之一，是歐盟層面第一部綜合性網(wǎng)絡(luò)安全立法。本文對(duì)該指令做一梳理分析，在此基礎(chǔ)上提出完善我國網(wǎng)絡(luò)安全法治的思考建議。

歐盟網(wǎng)絡(luò)與信息安全指令的主要內(nèi)容

NIS指令所界定的“網(wǎng)絡(luò)和信息系統(tǒng)安全”是指“在一定可信水平下，網(wǎng)絡(luò)與信息系統(tǒng)抵抗破壞其所存儲(chǔ)、傳輸、處理之?dāng)?shù)據(jù)或者相關(guān)服務(wù)的可用性、真實(shí)性、完整性或者保密性行為的能力”。該指令建立的歐盟網(wǎng)絡(luò)安全法治框架包括以下內(nèi)容：

1．歐盟各國必須制定自身的網(wǎng)絡(luò)與信息安全國家戰(zhàn)略

NIS指令要求每個(gè)成員國都要制定自己的網(wǎng)絡(luò)與信息系統(tǒng)安全國家戰(zhàn)略（以下簡稱NIS國家戰(zhàn)略），以實(shí)現(xiàn)和維護(hù)高水平的網(wǎng)絡(luò)與信息系統(tǒng)安全。指令要求NIS國家戰(zhàn)略應(yīng)該包括以下內(nèi)容：（1）網(wǎng)絡(luò)與信息系統(tǒng)安全國家戰(zhàn)略的目標(biāo)和重點(diǎn)任務(wù)；（2）達(dá)成這些目標(biāo)和重點(diǎn)任務(wù)的治理框架，包括政府機(jī)構(gòu)以及其他相關(guān)主體的角色和責(zé)任；（3）認(rèn)定防范、應(yīng)對(duì)以及恢復(fù)的相關(guān)措施，包括公共部門與私營部門之間的合作；（4）明確與NIS國家戰(zhàn)略有關(guān)的教育、意識(shí)提升以及培訓(xùn)計(jì)劃；（5）與NIS國家戰(zhàn)略有關(guān)的研究與發(fā)展計(jì)劃；（6）認(rèn)定風(fēng)險(xiǎn)的風(fēng)險(xiǎn)評(píng)估計(jì)劃；（7）實(shí)施NIS國家戰(zhàn)略所涉主體的清單。

成員國應(yīng)當(dāng)確定一個(gè)或者多個(gè)主管機(jī)構(gòu)來負(fù)責(zé)監(jiān)督NIS指令在本國的實(shí)施，但應(yīng)指定一個(gè)主管機(jī)構(gòu)作為單一的“聯(lián)絡(luò)點(diǎn)”，負(fù)責(zé)聯(lián)絡(luò)其他成員國主管機(jī)構(gòu)以及根據(jù)指令各國都必須建立計(jì)算機(jī)安全事件響應(yīng)團(tuán)隊(duì)（CSIRT）。和主管機(jī)構(gòu)一樣，成員國可以建立多個(gè)計(jì)算機(jī)安全事件響應(yīng)團(tuán)隊(duì)。網(wǎng)絡(luò)和信息系統(tǒng)安全的主管機(jī)構(gòu)、聯(lián)絡(luò)機(jī)構(gòu)和計(jì)算機(jī)安全事件響應(yīng)團(tuán)隊(duì)需要共同協(xié)作來落實(shí)NIS指令規(guī)定的法律職責(zé)。

2．增強(qiáng)歐盟各國之間的網(wǎng)絡(luò)安全戰(zhàn)略合作和跨境協(xié)作

為了便于歐盟成員國之間戰(zhàn)略合作與信息共享、增進(jìn)各國的互相信任，NIS指令要求建立一個(gè)網(wǎng)絡(luò)安全協(xié)作體，該協(xié)作體由成員國代表、歐盟委員會(huì)和歐盟網(wǎng)絡(luò)與信息安全局（ENISA）組成。協(xié)作體的主要職能在于：為計(jì)算機(jī)安全事件響應(yīng)團(tuán)隊(duì)網(wǎng)絡(luò)的活動(dòng)提供指導(dǎo)，交流網(wǎng)絡(luò)安全最佳實(shí)踐和風(fēng)險(xiǎn)信息，討論網(wǎng)絡(luò)安全相關(guān)具體標(biāo)準(zhǔn)和技術(shù)細(xì)則，等等。每隔一年半，協(xié)作體應(yīng)當(dāng)完成一份報(bào)告，以評(píng)估戰(zhàn)略合作中積累的經(jīng)驗(yàn)。除了網(wǎng)絡(luò)安全協(xié)作體之外，NIS指令還要求建立計(jì)算機(jī)安全事件響應(yīng)團(tuán)隊(duì)網(wǎng)絡(luò)，以增強(qiáng)歐盟各成員國在具體網(wǎng)絡(luò)安全事件處置和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)信息交流等操作層面的合作。NIS指令不僅建立了成員國之間的合作框架，還鼓勵(lì)歐盟與其他國家或者國際組織達(dá)成國際協(xié)議，允許和組織這些國家或者國際組織參與歐盟網(wǎng)絡(luò)安全協(xié)作體的部分活動(dòng)。但是此種國際協(xié)議應(yīng)該考慮確保數(shù)據(jù)得到充分保護(hù)的必要。

3．建立計(jì)算機(jī)安全事件響應(yīng)團(tuán)隊(duì)并建立歐盟合作網(wǎng)絡(luò)

NIS指令要求建立計(jì)算機(jī)安全事件響應(yīng)團(tuán)隊(duì)網(wǎng)絡(luò)，由各國計(jì)算機(jī)安全事件響應(yīng)團(tuán)隊(duì)的代表和歐盟計(jì)算機(jī)應(yīng)急響應(yīng)團(tuán)隊(duì)（CERT-EU）構(gòu)成。各國計(jì)算機(jī)安全事件響應(yīng)團(tuán)隊(duì)的職責(zé)在于：監(jiān)測(cè)全國范圍的網(wǎng)絡(luò)安全事件，向相關(guān)利益方提供網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和事件預(yù)警、警報(bào)、通知和信息傳播，應(yīng)對(duì)網(wǎng)絡(luò)安全事件，提供動(dòng)態(tài)的風(fēng)險(xiǎn)事件分析和態(tài)勢(shì)感知，參與歐盟層面的計(jì)算機(jī)安全事件響應(yīng)團(tuán)隊(duì)網(wǎng)絡(luò)。

在各國響應(yīng)團(tuán)隊(duì)基礎(chǔ)上建立起來的歐盟計(jì)算機(jī)安全事件響應(yīng)團(tuán)隊(duì)網(wǎng)絡(luò)，其職責(zé)在于網(wǎng)絡(luò)安全事件信息交換、為成員國處置跨境安全事件提供支持、探索和認(rèn)定進(jìn)一步業(yè)務(wù)合作的形式等。每隔一年半，歐盟計(jì)算機(jī)安全事件響應(yīng)團(tuán)隊(duì)網(wǎng)絡(luò)應(yīng)當(dāng)向協(xié)作體提交一份報(bào)告，以評(píng)估業(yè)務(wù)合作中積累的經(jīng)驗(yàn)。

4．區(qū)分基本服務(wù)運(yùn)營者和數(shù)字服務(wù)提供者，分別予以監(jiān)管

NIS指令除了在成員國層面提出網(wǎng)絡(luò)安全具體要求之外，還將納入監(jiān)管的數(shù)字市場主體分為“基本服務(wù)運(yùn)營者”和“數(shù)字服務(wù)提供者”兩類，分別賦予不同的監(jiān)管義務(wù)。所謂的“基本服務(wù)運(yùn)營者”（operators of essential services）是指“提供維續(xù)關(guān)鍵社會(huì)活動(dòng)和／或經(jīng)濟(jì)活動(dòng)基本服務(wù)的主體，這種服務(wù)的提供依賴于網(wǎng)絡(luò)和信息系統(tǒng)，網(wǎng)絡(luò)安全事件會(huì)對(duì)服務(wù)的提供造成重大的破壞性影響”。所謂的“數(shù)字服務(wù)提供者”包括在線市場、 在線搜索引擎、云計(jì)算服務(wù)的提供者。

基本服務(wù)運(yùn)營者是指運(yùn)營重點(diǎn)為下列領(lǐng)域的公共或私營主體：能源（電力、石油及天然氣）；運(yùn)輸（陸運(yùn)、鐵路、航空及水運(yùn)）；銀行；金融市場基礎(chǔ)設(shè)施；醫(yī)療衛(wèi)生領(lǐng)域（公共及私人）；飲用水供應(yīng)及分配；數(shù)字基礎(chǔ)設(shè)施（互聯(lián)網(wǎng)交換點(diǎn)，域名系統(tǒng)（DNS）服務(wù)提供商及頂級(jí)域名注冊(cè)）。

根據(jù)NIS指令的規(guī)定，基本服務(wù)運(yùn)營者和數(shù)字服務(wù)提供者都應(yīng)履行以下義務(wù)：一是應(yīng)當(dāng)采取適當(dāng)?shù)暮统杀壤募夹g(shù)和組織措施來管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，鑒于技術(shù)水平現(xiàn)狀，這些措施應(yīng)當(dāng)確保一定程度的安全并且對(duì)于所面臨的風(fēng)險(xiǎn)是適當(dāng)?shù)?；二是?yīng)當(dāng)采取適當(dāng)?shù)拇胧┓乐购妥钚』W(wǎng)絡(luò)安全事件的影響，以確保這些服務(wù)的持續(xù)性；三是應(yīng)當(dāng)向主管機(jī)構(gòu)或計(jì)算機(jī)安全事件響應(yīng)團(tuán)隊(duì)及時(shí)報(bào)告具有較大影響的網(wǎng)絡(luò)安全事件。

但NIS指令對(duì)基本服務(wù)運(yùn)營者和數(shù)字服務(wù)提供者規(guī)定了不同的程度的義務(wù)要求和責(zé)任要求，相對(duì)而言對(duì)數(shù)字服務(wù)提供者施以“輕監(jiān)管”。比如判斷數(shù)字服務(wù)提供者是否履行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理義務(wù)，應(yīng)考慮以下因素：系統(tǒng)和設(shè)施的安全、安全事件處置、業(yè)務(wù)持續(xù)性管理、監(jiān)查測(cè)試以及國際標(biāo)準(zhǔn)遵循。

5．針對(duì)不同主體建立不同程度的網(wǎng)絡(luò)安全事件報(bào)告制度

NIS指令對(duì)于基本服務(wù)運(yùn)營者和數(shù)字服務(wù)提供者規(guī)定了不同程度的網(wǎng)絡(luò)安全事件報(bào)告制度。對(duì)于基本服務(wù)運(yùn)營者而言，向主管機(jī)構(gòu)或計(jì)算機(jī)安全事件響應(yīng)團(tuán)隊(duì)及時(shí)報(bào)告的是對(duì)其“服務(wù)持續(xù)性具有重大影響的”網(wǎng)絡(luò)安全事件，此時(shí)判斷網(wǎng)絡(luò)安全事件是否造成重大影響應(yīng)考慮以下因素：（1）受影響的用戶數(shù)量；（2）該事件的持續(xù)時(shí)間；（3）該事件所影響區(qū)域的地理范圍。

對(duì)于數(shù)字服務(wù)提供者而言，向主管機(jī)構(gòu)或計(jì)算機(jī)安全事件響應(yīng)團(tuán)隊(duì)及時(shí)報(bào)告的是對(duì)其“服務(wù)提供具有實(shí)質(zhì)影響的”網(wǎng)絡(luò)安全事件，此時(shí)判斷網(wǎng)絡(luò)安全事件是否造成實(shí)質(zhì)影響應(yīng)考慮以下因素：（1）受影響的用戶數(shù)量；（2）該事件的持續(xù)時(shí)間；（3）該事件所影響區(qū)域的地理范圍；（4）對(duì)所提供的服務(wù)運(yùn)行的破壞程度；（5）對(duì)經(jīng)濟(jì)和社會(huì)活動(dòng)的影響程度。同樣是貫徹“輕監(jiān)管”的思路，NIS指令明確規(guī)定成員國不得對(duì)數(shù)字服務(wù)提供者施加其他更嚴(yán)格的安全或通知要求。

為了鼓勵(lì)基本服務(wù)運(yùn)營者和數(shù)字服務(wù)提供者報(bào)告網(wǎng)絡(luò)安全事件的積極性，NIS指令明確規(guī)定不得加重報(bào)告主體的法律責(zé)任。除了網(wǎng)絡(luò)安全事件信息之外，主管部門為了監(jiān)督法律義務(wù)的履行，可以要求基本服務(wù)運(yùn)營者和數(shù)字服務(wù)提供者提供用于評(píng)估網(wǎng)絡(luò)安全的相關(guān)信息或證據(jù)。

此外，對(duì)于沒有被認(rèn)定為基本服務(wù)運(yùn)營者和數(shù)字服務(wù)提供者的其他主體，可以在自愿的基礎(chǔ)上向主管部門報(bào)告重大網(wǎng)絡(luò)安全事件。各成員國建立的自愿報(bào)告制度，不得使自愿報(bào)告主體因報(bào)告行為而處于任何不利地位。

6．鼓勵(lì)產(chǎn)業(yè)發(fā)展，將小微企業(yè)排除在監(jiān)管范圍之外

近些年來歐盟一直積極鼓勵(lì)相關(guān)領(lǐng)域小微中企業(yè)的發(fā)展，NIS指令繼續(xù)堅(jiān)持了確保網(wǎng)絡(luò)安全和鼓勵(lì)產(chǎn)業(yè)發(fā)展相平衡的原則。NIS指令實(shí)際上并沒有對(duì)納入監(jiān)管范圍的主體施加強(qiáng)制性的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，考慮到指令規(guī)定被監(jiān)管者的義務(wù)是“采取適當(dāng)?shù)暮统杀壤募夹g(shù)和組織措施來管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)”，具體實(shí)施的監(jiān)管標(biāo)準(zhǔn)往往是依靠網(wǎng)絡(luò)安全行業(yè)最佳實(shí)踐來確定。為了鼓勵(lì)小微企業(yè)的發(fā)展，NIS指令明確規(guī)定對(duì)于數(shù)字服務(wù)提供者的網(wǎng)絡(luò)和信息系統(tǒng)安全監(jiān)管義務(wù)不適用小微企業(yè)。

需要指出的是，歐盟網(wǎng)絡(luò)安全立法注意了不同法律規(guī)范的職能分工和統(tǒng)籌安排，對(duì)于個(gè)人數(shù)據(jù)保護(hù)、電子商務(wù)、一般的網(wǎng)絡(luò)犯罪等內(nèi)容也都由相應(yīng)的歐盟指令予以規(guī)制，并不適用NIS指令的規(guī)定。

歐盟網(wǎng)絡(luò)安全立法對(duì)我國的啟示與借鑒

我國通過《網(wǎng)絡(luò)安全法》基本建立了網(wǎng)絡(luò)安全的法治框架，但這一基本法治框架亟待制定相關(guān)配套制度予以進(jìn)一步落實(shí)完善。在借鑒歐盟網(wǎng)絡(luò)安全立法經(jīng)驗(yàn)的基礎(chǔ)上，提出以下完善我國網(wǎng)絡(luò)安全法治的思考和建議。

1．制定網(wǎng)絡(luò)安全國家行動(dòng)計(jì)劃和體系化的立法計(jì)劃

歐盟NIS指令明確要求各國制定自身的網(wǎng)絡(luò)與信息安全國家戰(zhàn)略，并對(duì)戰(zhàn)略應(yīng)包括的內(nèi)容作出了列舉規(guī)定，從歐盟各國的實(shí)踐看，往往會(huì)制定網(wǎng)絡(luò)安全國家行動(dòng)計(jì)劃予以細(xì)化落實(shí)。我國頒布的《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》，明確了我國網(wǎng)絡(luò)安全的重大目標(biāo)、基本原則和戰(zhàn)略任務(wù)，既是我國網(wǎng)絡(luò)安全治理工作的經(jīng)驗(yàn)總結(jié)，也是我國未來政策立法的綱領(lǐng)性文件。但與歐盟NIS指令規(guī)定和歐盟各國戰(zhàn)略相比來看，我國的戰(zhàn)略缺乏對(duì)政府部門和相關(guān)主體任務(wù)職責(zé)和行動(dòng)路線圖的具體規(guī)定。雖然一定的保密性有利于安全目標(biāo)的達(dá)成，但還是建議在戰(zhàn)略實(shí)施層面制定國家網(wǎng)絡(luò)安全行動(dòng)計(jì)劃并適度公開，這樣既能在國際上保持一定的透明防止他國戰(zhàn)略誤判，也有利于在國內(nèi)凝集各界力量確保國家戰(zhàn)略和政策立法的貫徹實(shí)施。

從歐盟網(wǎng)絡(luò)安全立法看，注重了不同立法的統(tǒng)籌規(guī)劃，歐盟NIS指令主要涉及維護(hù)網(wǎng)絡(luò)與信息系統(tǒng)安全，而個(gè)人信息保護(hù)、電子商務(wù)、一般的網(wǎng)絡(luò)犯罪等由其他條例、指令予以規(guī)范。實(shí)際上，網(wǎng)絡(luò)安全立法涉及了社會(huì)生活的多個(gè)領(lǐng)域，包括網(wǎng)絡(luò)犯罪、隱私權(quán)保護(hù)、電子商務(wù)、電子政務(wù)、內(nèi)容管制、技術(shù)標(biāo)準(zhǔn)等等，內(nèi)容多樣復(fù)雜，需要戰(zhàn)略性的布局和體系化的設(shè)計(jì)。例如，我國《網(wǎng)絡(luò)安全法》第四章對(duì)個(gè)人信息保護(hù)作出了較為詳細(xì)的規(guī)定，而之前《刑法》《消費(fèi)者保護(hù)法》等法律法規(guī)也有類似的規(guī)定，當(dāng)前主張專門制定《個(gè)人信息保護(hù)法》的呼聲也比較高，那么在落實(shí)執(zhí)行相關(guān)規(guī)定時(shí)要注重不同法律法規(guī)之間的協(xié)調(diào)。建議在制定后續(xù)立法時(shí)注重體系化設(shè)計(jì)，避免造成立法資源浪費(fèi)和人為的法律適用混亂。

2．分類監(jiān)管信息系統(tǒng)并突出保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施

不同于美國將關(guān)鍵基礎(chǔ)設(shè)施作為網(wǎng)絡(luò)安全立法的核心保護(hù)對(duì)象，歐盟NIS指令將納入監(jiān)管范圍的網(wǎng)絡(luò)信息系統(tǒng)區(qū)分為“基本服務(wù)運(yùn)營者”和“數(shù)字服務(wù)提供者”兩類。歐盟的“基本服務(wù)運(yùn)營者”與美國“關(guān)鍵基礎(chǔ)設(shè)施”的界定相似，后者是指“對(duì)于美國來說至關(guān)重要的物理的或虛擬的系統(tǒng)和資產(chǎn)，一旦其能力喪失或遭到破壞，就會(huì)削弱國家安全、國家經(jīng)濟(jì)安全、國家公眾健康與安全之一或者這些重要領(lǐng)域的任何組合”，涉及通信、金融服務(wù)、政府設(shè)施、交通系統(tǒng)、能源等16個(gè)領(lǐng)域。

歐盟NIS指令對(duì)“基本服務(wù)運(yùn)營者”和“數(shù)字服務(wù)提供者”規(guī)定了不同的監(jiān)管義務(wù)，對(duì)于基本服務(wù)提供者予以重點(diǎn)監(jiān)管，實(shí)際上對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施予以重點(diǎn)保護(hù)。我國《網(wǎng)絡(luò)安全法》采納了“關(guān)鍵信息基礎(chǔ)設(shè)施”的概念，建立了保護(hù)其運(yùn)行安全的基本制度框架，并規(guī)定具體范圍和安全保護(hù)辦法由國務(wù)院制定。對(duì)于亟待制定的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》應(yīng)該進(jìn)一步完善相關(guān)規(guī)定，切實(shí)落實(shí)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的特別保護(hù)，建議條例明確規(guī)定以下內(nèi)容：關(guān)鍵信息基礎(chǔ)設(shè)施涉及的不同領(lǐng)域及相應(yīng)的主管部門；明確分行業(yè)分領(lǐng)域保護(hù)計(jì)劃的制定主體和程序；進(jìn)一步明確關(guān)鍵信息基礎(chǔ)設(shè)施和網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的關(guān)系，區(qū)別保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施和一般信息系統(tǒng)；運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)的國家安全審查辦法；個(gè)人信息和重要數(shù)據(jù)向境外傳輸?shù)陌踩u(píng)估辦法等。

3． 建立網(wǎng)絡(luò)安全信息共享機(jī)制以應(yīng)對(duì)網(wǎng)絡(luò)安全威脅

歐盟NIS指令通過建立計(jì)算機(jī)安全事件響應(yīng)團(tuán)隊(duì)和確立網(wǎng)絡(luò)安全事件報(bào)告義務(wù)，構(gòu)建了網(wǎng)絡(luò)安全信息共享機(jī)制以應(yīng)對(duì)網(wǎng)絡(luò)安全威脅。其中各成員國指定的計(jì)算機(jī)安全事件響應(yīng)團(tuán)隊(duì)和歐盟計(jì)算機(jī)應(yīng)急響應(yīng)團(tuán)隊(duì)組成了歐盟層面的計(jì)算機(jī)安全事件響應(yīng)團(tuán)隊(duì)網(wǎng)絡(luò)。為了鼓勵(lì)基本服務(wù)運(yùn)營者和數(shù)字服務(wù)提供者履行報(bào)告義務(wù)的積極性，NIS指令明確規(guī)定不得加重報(bào)告主體的法律責(zé)任，對(duì)于非納入監(jiān)管的其他主體，各國可以建立自愿報(bào)告制度。

我國《網(wǎng)絡(luò)安全法》第39條規(guī)定“促進(jìn)有關(guān)部門、關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者以及有關(guān)研究機(jī)構(gòu)、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)等之間的網(wǎng)絡(luò)安全信息共享”；第25條規(guī)定網(wǎng)絡(luò)運(yùn)營者應(yīng)“按照規(guī)定向有關(guān)主管部門報(bào)告”網(wǎng)絡(luò)安全事件；第51條規(guī)定“國家建立網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度”。建議在制定相關(guān)配套規(guī)定時(shí)明確以下內(nèi)容：規(guī)定網(wǎng)絡(luò)安全信息共享的體制機(jī)制，尤其是負(fù)責(zé)網(wǎng)絡(luò)安全信息交換的具體主管部門；明確不同主體不同的網(wǎng)絡(luò)安全事件報(bào)告義務(wù)，例如對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者可以考慮規(guī)定強(qiáng)制性的報(bào)告義務(wù)，而對(duì)于其他一般重要的信息系統(tǒng)運(yùn)營者可以規(guī)定自愿報(bào)告的制度；為了激勵(lì)私主體與政府共享網(wǎng)絡(luò)安全信息，可以規(guī)定豁免私主體因共享安全信息而可能承擔(dān)的法律責(zé)任，并規(guī)定政府不得將這些信息作為對(duì)分享主體監(jiān)管和執(zhí)法的不利證據(jù)；規(guī)定網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警和信息通報(bào)的負(fù)責(zé)部門和具體程序。

4． 審慎確定監(jiān)管范圍以平衡安全和產(chǎn)業(yè)發(fā)展的關(guān)系

歐盟NIS指令尤其注重平衡維護(hù)網(wǎng)絡(luò)安全與促進(jìn)產(chǎn)業(yè)發(fā)展的關(guān)系，對(duì)于在線市場、在線搜索引擎、云計(jì)算服務(wù)等數(shù)字服務(wù)提供者規(guī)定了“輕監(jiān)管”，采用事后監(jiān)管措施，發(fā)現(xiàn)未能達(dá)到監(jiān)管要求時(shí)僅要求其采取補(bǔ)救措施；并沒有對(duì)納入監(jiān)管范圍的主體施加強(qiáng)制性的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，具體實(shí)施的監(jiān)管標(biāo)準(zhǔn)往往是依靠網(wǎng)絡(luò)安全行業(yè)最佳實(shí)踐來確定；明確將小微企業(yè)排除在監(jiān)管范圍之外。

我國《網(wǎng)絡(luò)安全法》的貫徹落實(shí)也應(yīng)堅(jiān)持安全與發(fā)展并重的原則，其中最核心的問題就是如何確定“關(guān)鍵信息基礎(chǔ)設(shè)施”的保護(hù)范圍。建議緊扣我國“關(guān)鍵信息基礎(chǔ)設(shè)施”的定義，以“嚴(yán)重危害國家安全、國計(jì)民生、公共利益”作為限定標(biāo)準(zhǔn)，審慎劃定關(guān)鍵信息基礎(chǔ)設(shè)施尤其是私營關(guān)鍵信息基礎(chǔ)設(shè)施的范圍，將與我國國家安全無關(guān)的一般的商業(yè)信息系統(tǒng)排除在監(jiān)管范圍之外。為了強(qiáng)化私營主體的責(zé)任、真正實(shí)現(xiàn)維護(hù)網(wǎng)絡(luò)安全，不同于歐盟的規(guī)定，建議對(duì)事關(guān)國家安全而被認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施的私營信息系統(tǒng)運(yùn)營者賦予強(qiáng)制性的監(jiān)管義務(wù)，并制定強(qiáng)制性的監(jiān)管標(biāo)準(zhǔn)；但可以規(guī)定只要這些私營運(yùn)營者遵循了法定義務(wù)和強(qiáng)制標(biāo)準(zhǔn)，可以減輕或免除因此而產(chǎn)生的法律責(zé)任。例如，對(duì)于遵守監(jiān)管標(biāo)準(zhǔn)的私營關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營者，可以考慮規(guī)定其信息系統(tǒng)被惡意攻擊而導(dǎo)致大規(guī)模數(shù)據(jù)泄露時(shí)，可只向消費(fèi)者承擔(dān)補(bǔ)償性賠償責(zé)任，而非承擔(dān)懲罰性賠償責(zé)任。

【作者單位：中國法學(xué)會(huì)法治研究所；摘自《汕頭大學(xué)學(xué)報(bào)》（人文社會(huì)科學(xué)版）2017年第1期；原題為《歐盟網(wǎng)絡(luò)安全立法最新進(jìn)展及其意義》】