王肅之

（武漢大學法學院，湖北武漢 430072）

歐盟《網(wǎng)絡與信息系統(tǒng)安全指令》的主要內(nèi)容與立法啟示
——兼評《網(wǎng)絡安全法》相關立法條款

王肅之

（武漢大學法學院，湖北武漢 430072）

歐盟《網(wǎng)絡與信息系統(tǒng)安全指令》是第一部歐盟層面的網(wǎng)絡安全立法，其在內(nèi)容上包括一般規(guī)定、網(wǎng)絡與信息系統(tǒng)安全國家框架、跨國合作、基本服務運營者與數(shù)字服務提供者的網(wǎng)絡與信息系統(tǒng)安全等。該指令與《網(wǎng)絡安全法》在一般規(guī)定、國家框架與跨國合作、網(wǎng)絡運營者等方面存在較大的不同。該指令中關于術語體系、網(wǎng)絡安全戰(zhàn)略、事件應對機構、國際合作、網(wǎng)絡運營者等方面的規(guī)定對于我國網(wǎng)絡安全立法均有較強啟示意義。

網(wǎng)絡與信息系統(tǒng)安全指令；網(wǎng)絡安全法；內(nèi)容比較；啟示借鑒

隨著信息化網(wǎng)絡化的發(fā)展，互聯(lián)網(wǎng)時代在帶來利益與便捷的同時，也不可避免地伴生風險與脆弱，網(wǎng)絡安全問題日益成為一個世界性的命題與難題。為了應對網(wǎng)絡安全的嚴峻形勢，各國紛紛出臺專門的網(wǎng)絡安全立法來推動和指導網(wǎng)絡安全治理。歐盟于2016年7月出臺了第一部歐盟層面的網(wǎng)絡安全立法——《網(wǎng)絡與信息系統(tǒng)安全指令》，對于歐盟乃至世界的網(wǎng)絡安全治理都有著特殊的意義。而我國也于2016年11月7日通過了網(wǎng)絡領域的基礎性法律——《網(wǎng)絡安全法》。歐盟的這一立法在結構與內(nèi)容上有何特點？與我國的《網(wǎng)絡安全法》有何不同又有何啟示？值得深入研究。

1 歐盟《網(wǎng)絡與信息系統(tǒng)安全指令》的主要內(nèi)容

在信息社會中任何人和物都在某種程度在技術上相互聯(lián)系［1］。在過去的20年中，歐洲國家面臨著與美國同樣的挑戰(zhàn)——網(wǎng)絡安全［2］。2013年歐洲委員會制定了《歐盟網(wǎng)絡安全戰(zhàn)略：一個開放、安全、可靠的網(wǎng)絡空間》［3］。進一步的戰(zhàn)略舉措將包括提升認識水平、發(fā)展有關網(wǎng)絡安全產(chǎn)品和服務內(nèi)部市場、加大研究與發(fā)展投資以及加緊對抗網(wǎng)絡犯罪［4］。2016年7月，歐洲議會全體會議正式通過了《網(wǎng)絡與信息系統(tǒng)安全指令》（Directive on Security of Network and Information Systems，以下簡稱“《指令》”）?！吨噶睢芬馕吨鴼W盟正在逐步地向著對其有效管理而探索實踐［5］。歐盟《指令》全文共七章二十七條，其包括了歐盟網(wǎng)絡與信息系統(tǒng)安全有關的多重內(nèi)容，主要包括以下幾個方面：

1.1 一般規(guī)定

一般規(guī)定的內(nèi)容主要規(guī)定在第一章“一般規(guī)定”中，主要對于《指令》的主要問題、適用范圍與協(xié)調(diào)原則、核心術語與表述作了較為細致的規(guī)定。

第一，主要問題?！吨噶睢返谝粭l第一款即指出，《指令》規(guī)定了確保歐盟高水平的網(wǎng)絡與信息安全的相關措施，以促進內(nèi)部市場的運行。第二款明確指出了《指令》所主要解決的五個問題：規(guī)定國家義務、創(chuàng)建合作組織、建立計算機安全事件響應小組網(wǎng)絡、規(guī)定服務提供者義務、指派國家相關部門。

第二，適用范圍與協(xié)調(diào)原則。由于《指令》是在歐盟層面公布的，涉及歐盟諸多成員國，需要對于適用范圍與協(xié)調(diào)原則作出規(guī)定，以保證《指令》的有效實施。關于適用范圍，《指令》先是在第一條第三款、第四款就不適用《指令》的情形以及《指令》與相關立法的效力問題作出規(guī)定，繼而在第五款至第七款中就一些具體適用范圍作出規(guī)定。此外，《指令》第二條就個人數(shù)據(jù)的問題指出，有關個人數(shù)據(jù)的處理問題適用歐盟其他相關的立法。

關于協(xié)調(diào)原則，《指令》第三條規(guī)定了最低限度的協(xié)調(diào)原則，即《指令》所規(guī)定的有關義務只是最低義務，但是成員國可以設置比《指令》更高的義務水平來保護網(wǎng)絡與信息系統(tǒng)安全。

第三，核心術語與表述。《指令》突出的一個特色就是對于相關的核心術語作了全面細致的規(guī)定，并對關鍵問題作了詳細的闡述，以保證《指令》的理解與適用，主要包括三個層面：

其一，基本術語的全面界定?！吨噶睢返谒臈l在界定網(wǎng)絡與信息系統(tǒng)的基礎上，指出“網(wǎng)絡與信息系統(tǒng)安全是指，在一定的置信水平下，網(wǎng)絡與信息系統(tǒng)抵御任何危害存儲、傳輸或處理的數(shù)據(jù)可用性、真實性、完整性和機密性的，或者網(wǎng)絡和信息系統(tǒng)提供或傳遞相關服務的行為能力?！崩^而對網(wǎng)絡與信息系統(tǒng)安全的國家戰(zhàn)略、基本服務運營者、數(shù)字服務、數(shù)字服務提供者、事件、事件處理、風險、代表、標準、規(guī)范、互聯(lián)網(wǎng)交換點、域名系統(tǒng)、域名服務提供者、頂級域名注冊機構、網(wǎng)上市場、網(wǎng)上搜索引擎、云計算服務等術語作了全面的界定，為《指令》的理解與適用奠定了基礎。

其二，特殊主體的詳細規(guī)定?！吨噶睢返谖鍡l對于基本服務運營者作出詳細的規(guī)定，重申基本服務運營者的認定應當參照《指令》的附件二，并在第二款詳細地規(guī)定了成員國識別基本服務運營者的標準，包括社會經(jīng)濟層面、與網(wǎng)絡信息系統(tǒng)相關的層面與網(wǎng)絡安全事件的影響層面。此外，還對各國基本服務運營者的認定、審查、識別等方面的義務與程序作出了決定。

其三，關鍵表述的特別厘定。《指令》第六條對于第五條提及的“顯著的破壞性影響”作了細致的闡釋，指出各成員國在認定時應當考慮用戶人數(shù)、行業(yè)獨立性、程度和時間、市場份額、區(qū)域擴散、服務重要性等跨部門因素。該條還指出，在考慮這一問題時，成員國也應酌情考慮特定行業(yè)因素。

1.2 網(wǎng)絡與信息系統(tǒng)安全國家框架

關于網(wǎng)絡與信息系統(tǒng)安全國家框架的內(nèi)容主要規(guī)定在《指令》第二章“網(wǎng)絡與信息系統(tǒng)安全的國家框架”中，主要包括網(wǎng)絡與信息系統(tǒng)安全的國家戰(zhàn)略、聯(lián)絡點與響應小組、國家層面的協(xié)作。

第一，網(wǎng)絡與信息系統(tǒng)安全的國家戰(zhàn)略?！吨噶睢返谄邨l規(guī)定，“每個成員國應當出臺規(guī)定戰(zhàn)略目標、合適政策、監(jiān)管措施的網(wǎng)絡與信息系統(tǒng)安全國家戰(zhàn)略，以便實現(xiàn)和保持高水平的網(wǎng)絡和信息系統(tǒng)安全，并且至少包括附件二規(guī)定的行業(yè)類別和附件三規(guī)定的服務類別?！辈⑻貏e指出有關網(wǎng)絡與信息系統(tǒng)安全的國家戰(zhàn)略應當特別解決目標和重點、治理框架、預防和應對措施、安全教育與訓練、研究與發(fā)展計劃的指示、風險評估計劃與參與者名錄等問題。此外，還規(guī)定了成員國在網(wǎng)絡與信息系統(tǒng)安全的國家戰(zhàn)略問題上向歐洲網(wǎng)絡與信息安全局請求援助的權利以及在三個月內(nèi)通報其戰(zhàn)略的義務。

第二，聯(lián)絡點與響應小組。早在《2013/40/EU號指令》中，響應的機制主要包括接觸點與信息共享、運營商協(xié)助兩個方面［6］?！吨噶睢穼Υ俗髁诉M一步的規(guī)定。聯(lián)絡點與響應小組都是一國關于網(wǎng)絡與信息系統(tǒng)安全特定機構，《指令》分別對其作出規(guī)定。《指令》第八條規(guī)定了國家主管部門和聯(lián)絡點，指出“每個成員國應當指派一個或多個網(wǎng)絡與信息系統(tǒng)安全的主管部門，其管理范圍至少包括附件二規(guī)定的行業(yè)類別和附件三規(guī)定的服務類別?！辈⑶颐總€成員國應當指定一個“單一聯(lián)絡點”，通過其行使聯(lián)絡職能來確保與其他成員國及其有關部門、《指令》第十一條規(guī)定的合作組織、《指令》第十二條規(guī)定的CSIRTs網(wǎng)絡之間的跨境合作。此外，該條還規(guī)定了聯(lián)絡點的監(jiān)管問題、資源問題、咨詢問題與程序問題。

《指令》第九條規(guī)定了計算機安全事件響應小組，指出“每個成員國應當指派一個或多個能夠遵守附件一中（1）的要求的計算機安全事件響應小組，管理范圍至少包括附件二規(guī)定的行業(yè)類別和附件三規(guī)定的服務類別，并且能夠依照清晰明確的程序?qū)︼L險與事件處理負責?！贝送?，該條還規(guī)定了計算機安全事件響應小組的管理、資源保障、基礎設施、信息通報與請求協(xié)助等事項。

第三，國家層面的協(xié)作。《指令》第十條規(guī)定了國家層面的協(xié)作，指出“一國的單一聯(lián)絡點和計算機安全事件響應小組應當獨立于主管部門，并且在履行《指令》規(guī)定的義務過程中進行協(xié)作”。此外，該條還具體規(guī)定了與之相關的對《指令》的遵守義務以及對相關事項的報告義務。

1.3 網(wǎng)絡與信息系統(tǒng)安全的跨國合作

關于網(wǎng)絡與信息系統(tǒng)安全跨國合作的內(nèi)容主要規(guī)定在《指令》第三章“合作”中，主要包括合作組織、計算機安全事件響應小組網(wǎng)絡和國際合作聯(lián)盟三部分。

第一，合作組織。《指令》第十一條第一款規(guī)定，“為了支持和促進成員國之間的戰(zhàn)略合作和信息交流，發(fā)展信賴和信任，在歐盟范圍實現(xiàn)更高水平的網(wǎng)絡和信息系統(tǒng)安全，因此建立合作組織?！辈⑶液献餍〗M應當執(zhí)行《指令》規(guī)定的兩年一度的規(guī)劃任務。繼而，該條規(guī)定了合作組織的成員構成和具體任務，以及合作組織的評價報告制度、程序性要求等問題。

第二，計算機安全事件響應小組網(wǎng)絡?！吨噶睢返谑l第一款規(guī)定，“為了促進成員國之間信賴和信任的發(fā)展，促成迅速和有效的行動合作，因此建立國家層面的計算機安全事件響應小組?！崩^而，該條規(guī)定了小組網(wǎng)絡的成員組成、主要任務、評估報告制度、議事規(guī)則制度。

第三，國際合作聯(lián)盟?！吨噶睢返谑龡l規(guī)定，“依照《歐洲聯(lián)盟運作條約》第二百一十八條，歐盟可以同第三國或國際組織締結國際條約，允許并且組織其參與合作組織的一些行動。這些條約應當考慮到給予數(shù)據(jù)充分保護的必要性?！边@一規(guī)定，明確了合作組織在與歐盟成員國之外的主體合作問題上的基本原則，有利于推動合作組織國際合作的開展。

1.4 基本服務運營者與數(shù)字服務提供者的網(wǎng)絡與信息系統(tǒng)安全

《指令》第四章、第五章分別就基本服務運營者與數(shù)字服務提供者的網(wǎng)絡與信息系統(tǒng)安全作了專門的規(guī)定，而且均圍繞安全要求與事件通知、實施與執(zhí)行兩個方面展開（第十八條專門就數(shù)字服務提供者的管轄問題作出規(guī)定）。

第一，安全要求與事件通知。就基本服務運營者的安全要求與事件通知，《指令》第十四條第一款規(guī)定，“成員國應當確?；痉者\營者采取合適和適當?shù)募夹g與有組織的措施來管理其運營中的網(wǎng)絡與信息系統(tǒng)安全風險?？紤]到相應的技術水平，這些措施應當確保與風險相適應的網(wǎng)絡與信息系統(tǒng)安全?！痹摋l還就成員國的保證義務、對服務連續(xù)性的保障、事件判斷的參考因素、對其他成員國的通知、公眾告知、合作組織的指導等問題作了規(guī)定。

就數(shù)字服務提供者的安全要求與事件通知，《指令》第十六條第一款規(guī)定，“成員國應當確保數(shù)字服務提供者采取合適和適當?shù)募夹g與有組織的措施來管理其在歐盟內(nèi)部提供的、附件三所列舉的服務的網(wǎng)絡與信息系統(tǒng)安全風險?？紤]到相應的技術水平，這些措施應當確保與風險相適應的網(wǎng)絡與信息系統(tǒng)安全，”并且應當考慮相關因素。該條還就成員國的保證義務、對服務連續(xù)性的保障、事件判斷的參考因素、通知義務的分配、對其他成員國的通知、公共利益問題等作了規(guī)定。

第二，實施與執(zhí)行。就基本服務運營者的實施與執(zhí)行，《指令》第十五條第一款規(guī)定，“成員國應當確保主管部門有必需的權力與手段來評估基本服務運營者對于第十四條義務的遵守情況以及由此給網(wǎng)絡與信息系統(tǒng)安全帶來的影響?！痹摋l還規(guī)定了主管部門上述權力的范圍、缺陷糾正的權力、與數(shù)據(jù)保護機關的協(xié)作問題。

就數(shù)字服務提供者的實施與執(zhí)行，《指令》第十七條第一款規(guī)定，“在采取監(jiān)督措施后，如果有證據(jù)證明數(shù)字服務提供者沒有遵照第十六條的要求，成員國在必要的情況下應當確保主管部門采取行動。如果其他成員國也接受了服務，這些證據(jù)也應當提交給其主管部門?！痹摋l還規(guī)定了主管部門上述權力的范圍和與其他成員國的協(xié)作。

第三，數(shù)字服務提供者的管轄問題?！吨噶睢返谑藯l還就數(shù)字服務提供者的管轄權作了專門規(guī)定，指出數(shù)字服務提供者的總部或者主要營業(yè)機構在成員國內(nèi)時，應該被認為處于成員國的管轄之下。此外，該條還規(guī)定歐盟以外數(shù)字服務提供者的代表制度以及這一制度的限制規(guī)定。

除了上述主要內(nèi)容之外，第六章則是規(guī)定了標準化和自愿通知制度，就與基本服務運營者與數(shù)字服務提供者相關的技術規(guī)范的標準化與（網(wǎng)絡安全）事件的自愿通知作了規(guī)定。

2 歐盟《網(wǎng)絡與信息系統(tǒng)安全指令》與《網(wǎng)絡安全法》相關條款的比較

網(wǎng)絡安全是一個世界性的問題，美國已經(jīng)出臺《2015年網(wǎng)絡安全法案》，全面維護網(wǎng)絡安全，我國也于近期通過了《網(wǎng)絡安全法》。同為大陸法系國家，歐盟《指令》與我國《網(wǎng)絡安全法》各有特色，對其進行比較研究對于我國網(wǎng)絡安全立法具有重要意義。

2.1 關于一般規(guī)定的比較

歐盟《指令》的總則規(guī)定稱為“一般規(guī)定”，我國《網(wǎng)絡安全法》中的一般規(guī)定稱為“總則”，均規(guī)定于第一章（其中基本術語的定義《網(wǎng)絡安全法》置于附則）。二者均對于立法目的、適用范圍等問題作了規(guī)定，但也存在較大的區(qū)別：

第一，法律的效力不同。歐盟就網(wǎng)絡安全問題頒布了很多立法文件，具體在形式上，它們分別表現(xiàn)為決議、指令、協(xié)議、決定、公約、條例、宣言、建議、戰(zhàn)略規(guī)劃［7］。指令不具有直接的法律效力，而是需要成員國經(jīng)由本國法律體系予以轉(zhuǎn)化適用，所以《指令》第一章第三條規(guī)定了最低限度的協(xié)調(diào)原則，并且在正文很多條款中注明了成員國完成《指令》義務的期限。甚至于對網(wǎng)絡服務提供者的效力也有一定局限——許多互聯(lián)網(wǎng)巨頭總部并不在歐洲，它們沒有義務聽從歐盟的指令［8］?！毒W(wǎng)絡安全法》則是由我國立法機關制定的國內(nèi)法，從法律效力而言，《網(wǎng)絡安全法》具有更直接的法律效力。

第二，規(guī)制范圍不同。歐盟《指令》圍繞網(wǎng)絡與信息系統(tǒng)安全展開，規(guī)定網(wǎng)絡與信息系統(tǒng)安全的國家框架、合作、服務提供等問題，并沒有對于信息安全作出專門的規(guī)定，甚至其第二條明確指出，有關個人數(shù)據(jù)的處理適用其他法律文件。《網(wǎng)絡安全法》則不同，其第四章用較大篇幅規(guī)定了“網(wǎng)絡信息安全”，特別是對于網(wǎng)絡運營者對于個人信息的保護作了規(guī)定。也就是說，歐盟對于網(wǎng)絡與信息系統(tǒng)安全和數(shù)據(jù)安全是采取分別立法的形式，而我國的《網(wǎng)絡安全法》不但規(guī)定網(wǎng)絡與信息系統(tǒng)安全，也涉及信息安全。

第三，術語闡釋詳略不同。歐盟《指令》第四條對于其涉及到的各種相關術語，第五條、第六條對于基本服務運營者和“顯著的破壞性影響”均進行了全面細致的闡述。有利于歐盟各成員國正確地理解和適用《指令》?！毒W(wǎng)絡安全法》僅是在附則第七十六條對于網(wǎng)絡、網(wǎng)絡安全、網(wǎng)絡運營者、網(wǎng)絡數(shù)據(jù)、個人信息作出界定，并未就該法其他出現(xiàn)的諸如關鍵信息基礎設施等進行細致的界定，對于網(wǎng)絡運營者等術語的界定也較為籠統(tǒng)。在這一點上，《網(wǎng)絡安全法》確實顯得粗糙和單薄，難以為正確地理解和適用提供有效的支撐。

第四，行為指引條款的設置不同。歐盟《指令》并不是某個國家的國內(nèi)立法，而是歐盟層面指令，其實際上是設置了網(wǎng)絡與信息系統(tǒng)安全的最低標準，而且其規(guī)制的對象是歐盟各成員國，不存在指引行為的作用（這也可以在《指令》第三條及其他相關規(guī)定中顯示出來），所以并沒有設置具有指引性質(zhì)的條文?！毒W(wǎng)絡安全法》作為我國國內(nèi)立法，具有指引、預測、評價等作用，在總則中規(guī)定了諸多的行為指引條款，如第三條、第四條、第五條、第六條、第七條對于國家行為的指引，第九條、第十條對于網(wǎng)絡運營者行為的指引，等等。這些行為指引條款，充分體現(xiàn)了我國網(wǎng)絡安全立法的特色與重點，應該予以肯定。

2.2 關于國家框架與跨國合作的比較

歐盟《指令》第二章規(guī)定了網(wǎng)絡與信息系統(tǒng)安全的國家框架，第三章規(guī)定了合作?！毒W(wǎng)絡安全法》第二章規(guī)定了網(wǎng)絡安全支持與促進，第三章規(guī)定了網(wǎng)絡運行安全，沒有對合作問題作出規(guī)定，二者具有較大區(qū)別。

第一，關于網(wǎng)絡安全國家戰(zhàn)略的規(guī)定詳略不同。歐盟《指令》第七條首先明確了網(wǎng)絡與信息系統(tǒng)安全的國家戰(zhàn)略的基本定位，繼而較為詳細地列舉了該國家戰(zhàn)略需要解決的具體問題，包括應當特別解決目標和重點、治理框架、預防和應對措施、安全教育與訓練、研究與發(fā)展計劃的指示、風險評估計劃與參與者名錄等問題?！毒W(wǎng)絡安全法》中有關網(wǎng)絡安全國家戰(zhàn)略的規(guī)定則較為簡略，即“國家制定并不斷完善網(wǎng)絡安全戰(zhàn)略，明確保障網(wǎng)絡安全的基本要求和主要目標，提出重點領域的網(wǎng)絡安全政策、工作任務和措施”。形成這樣的差異與法律文件的性質(zhì)有重要關系，《指令》系歐盟層面出臺的法律文件，旨在引導成員國，因而對于國家戰(zhàn)略規(guī)定較為詳細，而《網(wǎng)絡安全法》一旦通過則為國內(nèi)法，而且根據(jù)我國的實際情況，可以通過出臺專門的行政文件來完成這一工作。

第二，對于網(wǎng)絡安全國家管理和（網(wǎng)絡安全）事件處理的方式不同。歐盟《指令》第八條、第九條分別對國家主管部門和聯(lián)絡點、計算機安全事件響應小組作出規(guī)定，明確各成員國需要建立（唯一）聯(lián)絡點和計算機安全事件響應小組，并且對于相關的管理、資源保障、咨詢、信息通報等事項作了具體規(guī)定，突出了建立這兩個單獨機構在網(wǎng)絡安全國家管理中的地位?！毒W(wǎng)絡安全法》則是以網(wǎng)絡安全管理（以及監(jiān)測預警與應急處置）事項為重心，在第二章“網(wǎng)絡安全支持與促進”、第三章“網(wǎng)絡運行安全”、第五章“監(jiān)測預警與應急處置”中就具體工作作出規(guī)定，均未規(guī)定成立專門的機構或者部門來預防和應對網(wǎng)絡安全事件。雖然《網(wǎng)絡安全法》所規(guī)定的各個事項有其必要意義，但是《指令》對于專門機構的規(guī)定也有其參考意義。

第三，對于國際合作的認識不同。歐盟《指令》第三章“合作”專門規(guī)定了國際合作的問題，包括合作組織、計算機安全事件響應小組網(wǎng)絡、國際合作聯(lián)盟，并且特別對合作組織與計算機安全事件響應小組網(wǎng)絡作了詳細的規(guī)定，特別是對于合作組織與計算機安全事件響應小組網(wǎng)絡的具體任務作了清晰的列舉，此外也對評價報告制度等相關內(nèi)容作了規(guī)定。《網(wǎng)絡安全法》則沒有對國際合作專門作出規(guī)定，不但沒有設置專門的章節(jié)，甚至沒有設置專門的條文，只有第七條概括地提出積極開展相關交流合作。然而，網(wǎng)絡安全是一個世界性的問題，國際合作在網(wǎng)絡安全領域顯得更為重要，在這一問題上《指令》的規(guī)定確有其合理之處。

2.3 關于網(wǎng)絡運營者規(guī)定的比較

歐盟《指令》第四章、第五章分別就基本服務運營者與數(shù)字服務提供者的網(wǎng)絡與信息系統(tǒng)安全事項作出規(guī)定。《網(wǎng)絡安全法》并沒有專門設置章節(jié)對網(wǎng)絡運營者（網(wǎng)絡運營者）作出規(guī)定，相關規(guī)定散見于各章節(jié)中。不僅體例上，在內(nèi)容上也具有較大的區(qū)別。

第一，關于網(wǎng)絡運營者的范圍理解不同。歐盟《指令》僅規(guī)制基本服務運營者與數(shù)字服務提供者，而且分別于附件二、附件三限制了基本服務運營者與數(shù)字服務提供者的范圍，并非規(guī)制所有的網(wǎng)絡運營者?！毒W(wǎng)絡安全法》只是寫明規(guī)制“網(wǎng)絡運營者”，并且概括地規(guī)定“網(wǎng)絡運營者，是指網(wǎng)絡的所有者、管理者和網(wǎng)絡服務提供者”。雖然根據(jù)《指令》附件三的內(nèi)容，其所規(guī)定的數(shù)字服務提供者可以理解為《網(wǎng)絡安全法》中的網(wǎng)絡運營者，但是附件二中的基本服務運營者多為基本公共服務提供者，只是網(wǎng)絡安全與其服務的連續(xù)性具有關聯(lián)。但是在信息化網(wǎng)絡化的當今，互聯(lián)網(wǎng)包括網(wǎng)絡安全已經(jīng)和各行業(yè)相關聯(lián)，對于諸如能源、交通等領域的網(wǎng)絡安全，是否應從網(wǎng)絡安全立法的角度予以考慮？這也正是《指令》帶給我們的思考。

第二，關于網(wǎng)絡運營者的義務內(nèi)容規(guī)定不同。歐盟《指令》對基本服務運營者與數(shù)字服務提供者主要規(guī)定了兩方面內(nèi)容：安全要求與事件通知、實施與執(zhí)行。《網(wǎng)絡安全法》則是對于網(wǎng)絡運營者的義務作了細致全面的規(guī)定，包括遵守義務、網(wǎng)絡安全等級保護制度的落實、網(wǎng)絡安全事件應急預案、技術支持和協(xié)助、部門合作、用戶信息保護、必要技術措施、法律責任等多個方面。在內(nèi)容上，顯然《網(wǎng)絡安全法》關于網(wǎng)絡運營者義務的規(guī)制范圍更為全面，但是《指令》的內(nèi)容則較為細致，如對服務連續(xù)性的保障、事件判斷的參考因素、通知義務的分配、對其他成員國的通知、公共利益等問題的規(guī)定也有可供借鑒之處。

第三，關于網(wǎng)絡運營者的管轄規(guī)定不同。歐盟《指令》第十八條專門規(guī)定了數(shù)字服務提供者的管轄問題，甚至還規(guī)定了對于數(shù)字服務提供者不屬于歐盟境內(nèi)成員國時的代表制度?！毒W(wǎng)絡安全法》則根本沒有規(guī)定網(wǎng)絡運營者的管轄問題。出現(xiàn)這種區(qū)別并不難理解，歐盟的《指令》是指向歐盟的成員國的，主要是提出要求，如何根據(jù)本國法律進行轉(zhuǎn)化依各成員國情況而定，而我國本身具有專門的訴訟法律，只要合適地將網(wǎng)絡運營者的管轄問題納入相應的訴訟法律即可。

3 歐盟《網(wǎng)絡與信息系統(tǒng)安全指令》對我國網(wǎng)絡安全立法的啟示

雖然《網(wǎng)絡安全法》在行為指引條款、網(wǎng)絡安全事件的監(jiān)測預警與應急處置、網(wǎng)絡服務提供者的義務設置等方面較為科學，但是歐盟《指令》許多內(nèi)容的設計頗具特色，對于我國網(wǎng)絡安全立法具有很強的借鑒意義。

3.1 構建完善的術語體系

應當借鑒《指令》，規(guī)定更為完善的術語體系?！毒W(wǎng)絡安全法》僅對網(wǎng)絡、網(wǎng)絡安全、網(wǎng)絡運營者、網(wǎng)絡數(shù)據(jù)、個人信息作出定義，對于其他該法涉及的諸如關鍵信息基礎設施、網(wǎng)絡信息安全、網(wǎng)絡安全事件等術語均未作出必要的界定，不利于該法的理解與適用。應借鑒《指令》第四條對于（網(wǎng)絡安全）事件的界定，從任何對于網(wǎng)絡安全具有現(xiàn)實不利影響的活動層面予以界定。同時參考《指令》第四條對于網(wǎng)絡與信息系統(tǒng)等術語的界定，對于關鍵信息基礎設施作出符合通常理解又契合《網(wǎng)絡安全法》內(nèi)容的恰當界定。此外，網(wǎng)絡信息安全也有必要進行獨立的界定，因為網(wǎng)絡信息安全包括但是不限于個人信息安全，還涉及非法信息的傳輸?shù)刃畔踩珕栴}，應該進行全面科學的界定，必要時可參考歐盟《一般數(shù)據(jù)保護條例》的相關內(nèi)容。

3.2 明確我國網(wǎng)絡安全戰(zhàn)略的具體內(nèi)容

應在相關立法中更具體地規(guī)定我國網(wǎng)絡安全戰(zhàn)略的具體內(nèi)容。目前的《網(wǎng)絡安全法》將網(wǎng)絡安全戰(zhàn)略的內(nèi)容規(guī)定在總則第四條，也明確了要“提出重點領域的網(wǎng)絡安全政策、工作任務和措施”，但是未具體地予以明確。《指令》第七條較為清楚地明確規(guī)定了網(wǎng)絡與信息系統(tǒng)安全的國家戰(zhàn)略任務及其相關問題，值得借鑒。應當借鑒《指令》的經(jīng)驗，在相關立法中對于我國網(wǎng)絡安全戰(zhàn)略的布局、任務予以具體化，明確我國加強網(wǎng)絡安全建設的重點任務和優(yōu)先目標，并且輔之以相應的舉措。

3.3 設置專門的網(wǎng)絡安全事件應對機構

《網(wǎng)絡安全法》中除了應規(guī)定網(wǎng)絡安全管理的具體職責之外，也有必要就應急響應等事項規(guī)定獨立的網(wǎng)絡安全事件應對機構?！毒W(wǎng)絡安全法》第五章“監(jiān)測預警與應急處置”更多的是側重通報、措施、預案、臨時措施等應對處理角度進行規(guī)定，并沒有規(guī)定設置獨立的網(wǎng)絡安全事件監(jiān)測預警與應急處置機構?！吨噶睢返诰艞l清楚地規(guī)定了計算機安全事件響應小組的相關內(nèi)容，值得借鑒。而且，就網(wǎng)絡安全事項設置專門的機構也是我國現(xiàn)實的做法。2014年2月27日，中央網(wǎng)絡安全和信息化領導小組成立，其主要目標之一就是“推動國家網(wǎng)絡安全和信息化法治建設，不斷增強安全保障能力”，各地相關部門也都成立了網(wǎng)絡安全的專門管理機構。在網(wǎng)絡安全事件風險與危害日漸突出的背景下，在相關立法中借鑒歐盟做法規(guī)定專門的應對機構，正當其時。

3.4 重視維護網(wǎng)絡安全的國際合作

應該在《網(wǎng)絡安全法》中就國際合作問題作出專門的規(guī)定?！毒W(wǎng)絡安全法》并未就網(wǎng)絡安全的國際合作問題作出專門規(guī)定，《指令》則在第三章“合作”中全面地規(guī)定了合作組織、計算機安全事件響應小組網(wǎng)絡、國際合作聯(lián)盟。網(wǎng)絡安全是一個世界性的難題，網(wǎng)絡安全的保護也需要世界各國相互合作共同努力，這一共識應當為各國立法所肯定，歐盟《指令》的做法頗具借鑒意義。而且，國內(nèi)類似的立法已經(jīng)有就國際合作問題作出規(guī)定的先例。《反恐怖主義法》第七章“國際合作”就反恐怖主義國際合作的立場、相關職權、司法協(xié)助、合作任務、合作證據(jù)等問題作了詳細的規(guī)定，有利于加深與其他國家的合作，共同打擊恐怖主義活動。我國同樣也應該立足國際視野，借鑒和參考《指令》中的相關條款，對于我國網(wǎng)絡安全國際合作問題作出規(guī)定。

3.5 明確網(wǎng)絡運營者的范圍與層次

應該在相關立法中明確規(guī)定《網(wǎng)絡安全法》中規(guī)定的網(wǎng)絡運營者的范圍與層次。《指令》不但在第四條規(guī)定了基本服務運營者、數(shù)字服務提供者的概念，在第四章、第五章分別規(guī)定了其義務，還在附件二、附件三中詳細規(guī)定了《指令》規(guī)制的基本服務運營者、數(shù)字服務提供者的具體范圍，這樣的思路值得我國網(wǎng)絡安全立法予以借鑒。而且，在網(wǎng)絡運營者的范圍上，也應注意到信息化網(wǎng)絡化的背景下，原有社會基本服務向網(wǎng)絡服務轉(zhuǎn)變的現(xiàn)實，參考《指令》合理界定網(wǎng)絡運營者的范圍。此外，隨著網(wǎng)絡社會的發(fā)展，網(wǎng)絡運營者的范圍不斷擴大，其網(wǎng)絡運營規(guī)模與能力各不相同，承擔的義務水平也應當有所區(qū)別。如《網(wǎng)絡安全法》使用了“關鍵信息基礎設施的運營者”的表述，并且設置了特定的義務，但是就其范圍并沒有作出明確的規(guī)定，易于導致規(guī)定執(zhí)行的混亂。但是，網(wǎng)絡運營者的范圍與層次這樣的問題又不宜在《網(wǎng)絡安全法》中直接作出規(guī)定，可以在《網(wǎng)絡安全法實施條例》以及其他相關法律文件中予以明確，從而恰當、有效地規(guī)制和引導網(wǎng)絡運營者履行網(wǎng)絡安全義務。

［1］FREITAS PM F，GON ALVESN.Illegal Access to Information Systems and the Directive 2013/40/ EU［J］.International Review of Law Computers& Technology，2015，29（1）:53.

［2］ILVES L K，EVANS T J，CILLUFFO F J，et al. European Union and NATO Global Cybersecurity Challenges:A Way Forward［J］.Prism Security Studies Journal，2016，6（2）:127-128.

［3］SHACKELFORD S J，CRAIG A N.Beyond the New“Digital Divide”:Analyzing the Evolving Role of National Governments in Internet Governance and Enhancing Cybersecurity［J］. Stanford Journal of International Law，2014，50（1）:156.

［4］RICHARD TAUWHARE.Improving Cybersecurity in the European Union:the Network and Information Security Directive［J］.Journal of Internet Law，2016，19（12）:4.

［5］BARRINHA A.Cybersecurity in the European Union.Resilience and Adaptability in Governance policy［J］.European Security，2016，25（3）:388.

［6］張濤，王玥，黃道麗.信息系統(tǒng)安全治理框架:歐盟的經(jīng)驗與啟示：基于網(wǎng)絡攻擊的視角［J］.情報雜志，2016（08）:20.

［7］林麗枚.歐盟網(wǎng)絡空間安全政策法規(guī)體系研究［J］.信息安全與通信保密，2015，24（4）:30.

［8］陳旸.歐盟網(wǎng)絡安全戰(zhàn)略解讀［J］.國際研究參考，2013（05）:36.

責任編輯 朱文婷

10.14180/j.cnki.1004-0544.2017.06.032

D97（196.2）

A

1004-0544（2017）06-0177-06

國家社會科學基金重點項目（13AFX010）；武漢大學自主科研項目（人文社會科學）（2017QN010）；中央高校基本科研業(yè)務費專項資金資助。

王肅之（1990-），男，河北石家莊人，武漢大學法學院博士研究生。