張莉

6月27日，歐盟《網(wǎng)絡(luò)安全法案》正式施行。這是繼2016年《網(wǎng)絡(luò)與信息系統(tǒng)安全指令》、2018年《一般數(shù)據(jù)保護(hù)條例》之后，歐盟推出的又一部關(guān)于網(wǎng)絡(luò)安全的重要法律文件。法案體現(xiàn)出歐盟在網(wǎng)絡(luò)安全頂層設(shè)計(jì)、制度安排、策略手段等方面的考慮和關(guān)注，尤其是法案中對(duì)于網(wǎng)絡(luò)安全職能部門歐盟網(wǎng)絡(luò)和信息安全局（ENISA）的重新定位及網(wǎng)絡(luò)安全認(rèn)證框架的設(shè)計(jì)，值得我國(guó)相關(guān)機(jī)構(gòu)研究和借鑒。

歐盟《網(wǎng)絡(luò)安全法案》的主要內(nèi)容

“前言”明確了法案出臺(tái)背景和現(xiàn)實(shí)意義?？紤]到電子通信網(wǎng)絡(luò)和服務(wù)在經(jīng)濟(jì)增長(zhǎng)中日趨重要的地位，為有效應(yīng)對(duì)各類網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，防范其對(duì)計(jì)算機(jī)系統(tǒng)、通信網(wǎng)絡(luò)、數(shù)字產(chǎn)品、服務(wù)和設(shè)備以及公民、組織和企業(yè)帶來的潛在威脅，提升歐盟整體的網(wǎng)絡(luò)安全防護(hù)水平，歐盟制定并出臺(tái)《網(wǎng)絡(luò)安全法案》。

“正文”涉及ENISA職能調(diào)整和認(rèn)證框架。正文第一、二章主要圍繞ENISA職能調(diào)整展開，法案詳細(xì)規(guī)定了ENISA的組織架構(gòu)、權(quán)責(zé)劃分、保護(hù)措施、技術(shù)手段、財(cái)政和基礎(chǔ)設(shè)施建設(shè)、提升公民網(wǎng)絡(luò)安全意識(shí)以及成員國(guó)之間的互助合作等問題。正文第三章論述了網(wǎng)絡(luò)安全認(rèn)證框架，對(duì)認(rèn)證的計(jì)劃、目標(biāo)、要素以及認(rèn)證機(jī)構(gòu)及其人員要求等事項(xiàng)進(jìn)行了詳細(xì)的規(guī)定。

“附則”規(guī)定合格評(píng)估機(jī)構(gòu)應(yīng)滿足的條件。附則主要規(guī)定了希望獲得認(rèn)證的合格評(píng)定機(jī)構(gòu)應(yīng)滿足的條件，共涉及20條要求，包括要求機(jī)構(gòu)具有法人資格，是獨(dú)立第三方機(jī)構(gòu)與被評(píng)估的ICT產(chǎn)品、服務(wù)或流程不存在利益關(guān)系，以及對(duì)進(jìn)行合格評(píng)定活動(dòng)的人員的要求等。

歐盟《網(wǎng)絡(luò)安全法案》中的亮點(diǎn)分析

進(jìn)一步完善了歐盟網(wǎng)絡(luò)安全法律體系。2016年7月6日通過的《網(wǎng)絡(luò)與信息系統(tǒng)安全指令》，是歐盟推出的首部網(wǎng)絡(luò)安全法律文件，它要求歐盟成員國(guó)制定網(wǎng)絡(luò)安全國(guó)家戰(zhàn)略，加強(qiáng)基礎(chǔ)服務(wù)運(yùn)營(yíng)者、數(shù)字服務(wù)提供者的網(wǎng)絡(luò)與信息系統(tǒng)安全，履行網(wǎng)絡(luò)風(fēng)險(xiǎn)管理、網(wǎng)絡(luò)安全事故應(yīng)對(duì)與通知等義務(wù);2018年《一般數(shù)據(jù)保護(hù)條例》主要是對(duì)數(shù)據(jù)尤其是個(gè)人數(shù)據(jù)的保護(hù)進(jìn)行規(guī)定，其保護(hù)范圍之廣、監(jiān)管措施之嚴(yán)、懲罰力度之高均創(chuàng)下歷史紀(jì)錄，被稱為歐盟史上最嚴(yán)格的數(shù)據(jù)保護(hù)文件;最新出臺(tái)的《網(wǎng)絡(luò)安全法案》，從網(wǎng)絡(luò)安全機(jī)構(gòu)設(shè)置及認(rèn)證等方面進(jìn)行了更為細(xì)化的規(guī)定。這幾個(gè)法律文件一脈相承、相互補(bǔ)充，有助于構(gòu)建更加完善的歐盟網(wǎng)絡(luò)安全法律體系。

法律層面對(duì)ENISA機(jī)構(gòu)賦予更多權(quán)力。ENISA成立于2004年，是歐盟負(fù)責(zé)網(wǎng)絡(luò)安全的職能部門，其主要職責(zé)包括研究制定歐盟網(wǎng)絡(luò)安全相關(guān)政策，為歐盟及其成員國(guó)提供增強(qiáng)信息與網(wǎng)絡(luò)安全相關(guān)的建議和協(xié)助，保護(hù)能源、交通、金融市場(chǎng)、銀行業(yè)、醫(yī)療保健及數(shù)字資產(chǎn)等歐洲大陸關(guān)鍵基礎(chǔ)設(shè)施的安全，開展應(yīng)急響應(yīng)和評(píng)估溝通漏洞及網(wǎng)絡(luò)威脅信息等。最新出臺(tái)的《網(wǎng)絡(luò)安全法案》中對(duì)ENISA賦予了更多的職能范圍，指定其為永久性歐盟網(wǎng)絡(luò)安全職能機(jī)構(gòu)，新增開展歐洲信息與通信科技（ICT）產(chǎn)品及服務(wù)安全認(rèn)證的授權(quán)，同時(shí)加強(qiáng)了其在處置歐盟內(nèi)部跨國(guó)網(wǎng)絡(luò)安全事件及危機(jī)時(shí)的地位。法案對(duì)ENISA的重新定位，強(qiáng)化了ENISA在維護(hù)和提升歐盟網(wǎng)絡(luò)安全整體水平方面的角色和作用，有利于加強(qiáng)統(tǒng)籌形成合力，更好地推動(dòng)歐盟各項(xiàng)網(wǎng)絡(luò)安全政策舉措的順利落地。

構(gòu)建統(tǒng)一的歐盟網(wǎng)絡(luò)安全認(rèn)證框架。目前，歐盟尚無統(tǒng)一的ICT產(chǎn)品和服務(wù)網(wǎng)絡(luò)安全認(rèn)證制度，主要依靠各成員國(guó)自行組織認(rèn)證。有些成員國(guó)有相關(guān)認(rèn)證制度，有些成員國(guó)沒有，并且認(rèn)證所依據(jù)的技術(shù)標(biāo)準(zhǔn)也不完全統(tǒng)一，企業(yè)同一件產(chǎn)品或服務(wù)在不同國(guó)家需要重復(fù)認(rèn)證。此次新出臺(tái)的《網(wǎng)絡(luò)安全法案》提出，將建立一個(gè)歐盟級(jí)別的網(wǎng)絡(luò)安全認(rèn)證框架，由國(guó)家網(wǎng)絡(luò)安全認(rèn)證機(jī)構(gòu)頒發(fā)網(wǎng)絡(luò)安全證書，這會(huì)改變當(dāng)前網(wǎng)絡(luò)安全認(rèn)證結(jié)果僅在極其有限范圍內(nèi)使用的局限性，實(shí)現(xiàn)歐盟成員國(guó)內(nèi)部的證書相互承認(rèn)，做到“一次認(rèn)證，全歐通行”，是歐盟網(wǎng)絡(luò)安全領(lǐng)域的一項(xiàng)重要制度革新。不過，法案同時(shí)也提到，除非歐盟法或成員國(guó)法另有規(guī)定，否則網(wǎng)絡(luò)安全認(rèn)證應(yīng)采取自愿，這說明認(rèn)證并非是強(qiáng)制性的。此外，法案提到針對(duì)ICT產(chǎn)品和服務(wù)開展網(wǎng)絡(luò)安全認(rèn)證，但并未給出具體產(chǎn)品和服務(wù)清單。歐盟《網(wǎng)絡(luò)安全法案》

對(duì)我國(guó)的啟示

加快構(gòu)建我國(guó)的網(wǎng)絡(luò)安全法律體系。歐盟在2016—2019短短幾年內(nèi)連續(xù)出臺(tái)一系列重要法律文件，一方面是歐盟面對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)安全威脅形勢(shì)做出的反應(yīng)，另一方面也體現(xiàn)出歐盟正在不斷加快構(gòu)建網(wǎng)絡(luò)安全法律體系的步伐。相比而言，我國(guó)的網(wǎng)絡(luò)安全法治建設(shè)顯得比較滯后，2018年出臺(tái)的《網(wǎng)絡(luò)安全法》是里程碑事件，但總體來看現(xiàn)有法律法規(guī)層級(jí)低，欠缺體系化架構(gòu)設(shè)計(jì)，《網(wǎng)絡(luò)安全法》的相關(guān)配套法規(guī)也沒有及時(shí)出臺(tái)，傳統(tǒng)立法中不適應(yīng)網(wǎng)絡(luò)安全形勢(shì)的法律法規(guī)也未得到及時(shí)修正和補(bǔ)充，未來應(yīng)加快推進(jìn)相關(guān)工作。

推動(dòng)現(xiàn)有網(wǎng)絡(luò)安全機(jī)構(gòu)形成合力。近年來，我國(guó)網(wǎng)絡(luò)安全組織機(jī)構(gòu)建設(shè)取得了顯著成果，形成了由中央網(wǎng)絡(luò)安全和信息化委員會(huì)負(fù)責(zé)統(tǒng)籌協(xié)調(diào)，由外交部、工業(yè)和信息化部、公安部、密碼局、保密局等相關(guān)部門負(fù)責(zé)各自職能的組織架構(gòu)，各部門的職能職責(zé)在相關(guān)文件中都有明確界定。但是，在實(shí)際工作中，部門之間職責(zé)界定不夠清晰。《網(wǎng)絡(luò)安全法》已賦予國(guó)家網(wǎng)信部門網(wǎng)絡(luò)安全統(tǒng)籌協(xié)調(diào)的職能，未來應(yīng)形成更加科學(xué)的溝通和協(xié)調(diào)機(jī)制來推動(dòng)各部門形成合力。

反思現(xiàn)階段網(wǎng)絡(luò)安全認(rèn)證體系建設(shè)。經(jīng)過近20年的發(fā)展，我國(guó)網(wǎng)絡(luò)安全認(rèn)證認(rèn)可體系日趨完善，建立了一套網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系、認(rèn)證認(rèn)可體系、檢驗(yàn)檢測(cè)體系，目前網(wǎng)絡(luò)安全認(rèn)證的種類已完全覆蓋產(chǎn)品體系服務(wù)和人員等門類，但是，與發(fā)達(dá)國(guó)家和地區(qū)相比，我國(guó)的網(wǎng)絡(luò)安全認(rèn)證建設(shè)依然問題突出，如網(wǎng)絡(luò)安全評(píng)價(jià)能力不足，主要缺乏評(píng)價(jià)的依據(jù);評(píng)價(jià)的準(zhǔn)確性不足，低水平重復(fù)評(píng)價(jià)現(xiàn)象嚴(yán)重;評(píng)價(jià)結(jié)果有效性不足。未來，應(yīng)以構(gòu)建既符合國(guó)際通行規(guī)則、又符合我國(guó)國(guó)情現(xiàn)實(shí)的網(wǎng)絡(luò)安全認(rèn)證體系為目標(biāo)，不僅要通過認(rèn)證認(rèn)可制度來切實(shí)提升我國(guó)網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)水平，還應(yīng)努力推動(dòng)我國(guó)與發(fā)達(dá)國(guó)家或地區(qū)的網(wǎng)絡(luò)安全認(rèn)證結(jié)果實(shí)現(xiàn)互認(rèn)，提升我國(guó)網(wǎng)絡(luò)安全認(rèn)證的國(guó)際化水平。