當(dāng)前位置：安全 → 行業(yè)動(dòng)態(tài) → 正文

歐盟網(wǎng)安新法給我國(guó)的啟示

責(zé)任編輯：editor006 作者：曹建峰李正 |來源：企業(yè)網(wǎng)D1Net 2016-08-08 17:14:44 本文摘自：中國(guó)信息產(chǎn)業(yè)網(wǎng)-人民郵電報(bào)

近日，歐盟立法機(jī)構(gòu)正式通過首部網(wǎng)絡(luò)安全法《網(wǎng)絡(luò)與信息系統(tǒng)安全指令》，旨在加強(qiáng)基礎(chǔ)服務(wù)運(yùn)營(yíng)者、數(shù)字服務(wù)提供者的網(wǎng)絡(luò)與信息系統(tǒng)安全，要求這兩者履行網(wǎng)絡(luò)風(fēng)險(xiǎn)管理、網(wǎng)絡(luò)安全事故應(yīng)對(duì)與通知等義務(wù)。此外，該法要求成員國(guó)制定網(wǎng)絡(luò)安全國(guó)家戰(zhàn)略，要求加強(qiáng)成員國(guó)間合作與國(guó)際合作，要求在網(wǎng)絡(luò)安全技術(shù)研發(fā)方面加大資金投入與支持力度。不久前，全國(guó)人大公布了《中華人民共和國(guó)網(wǎng)絡(luò)安全法(草案)》二次審議稿，并向全國(guó)征求意見，引發(fā)了社會(huì)各界的關(guān)注和熱議。那么，歐盟網(wǎng)絡(luò)安全法能給我國(guó)帶來哪些啟示呢？

實(shí)現(xiàn)歐盟統(tǒng)一網(wǎng)信系統(tǒng)安全

繼歐盟理事會(huì)于2016年5月17日一讀通過《網(wǎng)絡(luò)與信息系統(tǒng)安全指令》(NIS指令)之后，歐盟議會(huì)于7月6日二讀通過該指令，這意味著歐盟立法機(jī)構(gòu)歷經(jīng)三年，最終正式采納NIS指令。

作為歐盟數(shù)字單一市場(chǎng)一系列舉措的重要組成部分，NIS指令是歐盟第一部網(wǎng)絡(luò)安全法，其目的在于，在歐盟范圍內(nèi)實(shí)現(xiàn)統(tǒng)一的、高水平的網(wǎng)絡(luò)與信息系統(tǒng)安全。在NIS指令中，網(wǎng)絡(luò)與信息系統(tǒng)安全是指網(wǎng)絡(luò)與信息系統(tǒng)有能力抵抗針對(duì)經(jīng)由這些網(wǎng)絡(luò)與信息系統(tǒng)存儲(chǔ)、傳輸、處理、提供的信息或者相關(guān)服務(wù)的可用性、真實(shí)性、完整性或者保密性等采取的破壞措施。NIS指令將于本月生效，之后，成員國(guó)必須于21個(gè)月之內(nèi)將其轉(zhuǎn)化為國(guó)內(nèi)法。

作為歐盟首部網(wǎng)絡(luò)安全法，NIS指令明確了歐盟關(guān)于網(wǎng)絡(luò)安全的頂層制度設(shè)計(jì)，確立網(wǎng)絡(luò)安全國(guó)家戰(zhàn)略，強(qiáng)調(diào)合作與多方參與，確立網(wǎng)絡(luò)安全事故通知與信息分享機(jī)制，對(duì)數(shù)字服務(wù)提供者采取輕監(jiān)管思路，避免過度監(jiān)管對(duì)互聯(lián)網(wǎng)行業(yè)發(fā)展產(chǎn)生不利影響。

對(duì)我國(guó)網(wǎng)絡(luò)安全立法的啟示

當(dāng)前，我國(guó)正在制定網(wǎng)絡(luò)安全法，歐盟等已經(jīng)率先出臺(tái)網(wǎng)絡(luò)安全法，其中一些制度安排值得借鑒和學(xué)習(xí)。

——網(wǎng)絡(luò)安全法應(yīng)立足“網(wǎng)絡(luò)與信息系統(tǒng)安全”為核心，避免制度泛化

目前“網(wǎng)絡(luò)安全”概念眾說紛紜，但從NIS指令中看，其主要指的是“網(wǎng)絡(luò)與信息系統(tǒng)安全”，并不包括內(nèi)容安全等。我國(guó)的網(wǎng)絡(luò)安全法草案，除了關(guān)于網(wǎng)絡(luò)與信息系統(tǒng)安全的規(guī)定，還大幅度涉及個(gè)人信息保護(hù)、違法網(wǎng)絡(luò)信息治理等制度，內(nèi)容涵蓋非常廣泛。因此，個(gè)人是否有權(quán)要求互聯(lián)網(wǎng)企業(yè)刪除、更正其個(gè)人信息，互聯(lián)網(wǎng)企業(yè)是否有義務(wù)發(fā)現(xiàn)、處理違法網(wǎng)絡(luò)信息等是否需要在網(wǎng)絡(luò)安全法中涉及值得商榷。

以個(gè)人信息保護(hù)方面制度為例，目前草案簡(jiǎn)單賦予用戶要求刪除、更正個(gè)人信息的權(quán)利，而不加以任何限制，可能導(dǎo)致該項(xiàng)權(quán)利被濫用，網(wǎng)絡(luò)運(yùn)營(yíng)者會(huì)承擔(dān)過多的處理請(qǐng)求，即使網(wǎng)絡(luò)運(yùn)營(yíng)者加大人財(cái)物的投入，恐難以滿足用戶的現(xiàn)實(shí)需求，對(duì)我國(guó)互聯(lián)網(wǎng)產(chǎn)業(yè)產(chǎn)生不利影響。

——建立行之有效的網(wǎng)絡(luò)安全事故通知與信息分享機(jī)制

歐盟的《網(wǎng)絡(luò)與信息系統(tǒng)安全指令》建立了網(wǎng)絡(luò)安全信息分享機(jī)制。針對(duì)基礎(chǔ)服務(wù)運(yùn)營(yíng)者或稱關(guān)鍵服務(wù)運(yùn)營(yíng)者以及部分?jǐn)?shù)字服務(wù)提供者施加了向主管機(jī)構(gòu)通報(bào)具有重大影響的網(wǎng)絡(luò)安全事故的義務(wù)。

我國(guó)網(wǎng)絡(luò)安全法草案第24條則規(guī)定了網(wǎng)絡(luò)運(yùn)營(yíng)者向主管機(jī)構(gòu)報(bào)告網(wǎng)絡(luò)安全事件的義務(wù)。不僅如此，第21條要求網(wǎng)絡(luò)服務(wù)提供者將其產(chǎn)品、服務(wù)存在的安全缺陷、漏洞等風(fēng)險(xiǎn)告知用戶以及主管機(jī)構(gòu)。

其中，網(wǎng)絡(luò)服務(wù)提供者將其產(chǎn)品、服務(wù)存在的安全缺陷、漏洞等風(fēng)險(xiǎn)告知用戶以及主管機(jī)構(gòu)規(guī)定值得商榷。通常而言，產(chǎn)品、服務(wù)處于不斷升級(jí)完善過程中，沒有絕對(duì)完美的產(chǎn)品與服務(wù)，否則就不會(huì)存在產(chǎn)品迭代。因此，應(yīng)在具有重大風(fēng)險(xiǎn)時(shí)企業(yè)告知用戶及主管機(jī)構(gòu)，否則將過重義務(wù)加于企業(yè)。

總體而言，我國(guó)網(wǎng)絡(luò)安全法應(yīng)以“網(wǎng)絡(luò)與信息系統(tǒng)安全”為核心，避免制度泛化，審慎考慮網(wǎng)絡(luò)實(shí)名制等制度，避免給行業(yè)發(fā)展帶來過度負(fù)擔(dān)。同時(shí)推動(dòng)制度與國(guó)際接軌，真正成為網(wǎng)絡(luò)安全的法治保障。

關(guān)鍵字：網(wǎng)絡(luò)安全我國(guó)網(wǎng)絡(luò)