繼2016年7月6日歐洲議會通過《網絡與信息安全指令》(“NIS指令”),并于2016年7月19日在歐盟官方公報公布之后,2016年8月8日,NIS指令正式生效。負責數字單一市場的歐洲委員會副主席Andus Ansip稱,“該指令是歐盟關于網絡安全首部全面的立法,是我們發展該領域的構建基石。”的確,NIS指令將通過對歐盟成員國實施最低限度的協調性規則,以提供相應措施來促進歐盟的整體網絡安全水平。
NIS指令對兩類實體提供了相應指南:(i) 能源、交通、銀行業、金融市場基礎設施、醫療、飲用水和數字基礎設施領域的“基礎服務運營者”和(ii) 包括比如網上市場、在線搜索引擎和云計算服務提供者等實體在內的“數字服務提供者”。
NIS指令草案涵蓋數字服務提供者一事引起了大量爭論,受到了來自歐洲議會、多個成員國以及被歸入“數字服務提供者”定義下的實體的反對。這些反對者認為針對數字服務提供者的網絡攻擊不足以構成重大事件,因此反對額外的規定,因為額外規定可能對創新產生消極影響。雖然NIS指令終稿包含了數字服務提供者,但與基礎服務運營者相比,NIS指令對其采取了較為寬松的管制。
就本評論而言,我們將主要聚焦這類數字服務提供者。
相關條款
“數字服務提供者”(“DSP”)是指“通常經接收服務的個人請求,以電子方式遠距離提供有償服務”的法人。
值得注意的是,依照NIS指令的前言規定所述,數字服務提供者并不包括“硬件生產者和軟件開發者”。因此,對數字服務提供者雖要求其技術性和組織性措施保持“最先進水平”,但“并不要求以特定方式設計、開發或生產特定商業信息和通信技術產品”。于是,NIS指令雖然包含前言規定強調軟硬件開發者使基礎服務運營者和數字服務提供者得以保護其網絡與信息系統安全的關鍵角色,指令并未對此作出額外規定。當然,軟硬件產品已受限于與產品責任相關的現行規定。
數字服務提供者的服務涵蓋以下三類服務(NIS指令(附件III)):“在線市場”、“在線搜索引擎”和“云計算服務”:
· “在線市場”包括“允許消費者和/或交易者在在線市場的網站或采用在線市場提供計算服務的交易者網站,與交易者達成在線銷售或服務契約的一類電子服務”。正如NIS指令的前言規定所示,該定義未涵蓋僅作為第三方服務的中間媒介來達成最終契約的在線服務。
· “在線搜索引擎”包括“允許使用者基于關鍵詞、短語或其他輸入形式的任何內容的搜索請求,搜索所有網站或某一特定語言的網站,而出現的鏈接中包含與搜索的內容相關的信息的一類電子服務”。NIS指令的范圍既不包括對僅限于特定網站內容搜索的功能的提供,也不包括就各類交易者的特定產品或服務的價格進行比較的服務。
· “云計算服務”指“能提供獲取可擴展的、彈性的可共享計算資源庫渠道的一類電子服務”。根據NIS指令的前言規定,這種計算服務包括比如網絡、服務器或其他基礎設施、存儲、應用和服務在內的資源。
值得注意的是,在立法階段,就其他服務類別的供應者的規定產生了爭議,比如流媒體、主要在線網絡游戲、應用軟件的數字發布平臺和社交網絡提供者,但它們最終被排除在指令范圍之外。
數字服務提供者的義務
安全要求。NIS指令旨在實施“最先進水平”的措施。它需要數字服務提供者:
· 明確在歐盟境內提供服務時采用的網絡與信息系統的安全性所面臨的風險,并采取適當的技術性和組織性措施來管理此類風險。這些措施必須保持“最先進水平”并考慮以下因素:(i) 系統與設施的安全;(ii) 突發事件管理;(iii) 業務持續性管理;(iv) 監控、審計與測試;和(v) 遵守國際標準。
· 為確保服務的連續性,采取措施防止突發事件對在歐盟境內提供服務的網絡與信息系統安全產生影響,并最小化該種影響。
突發事件通知要求。發生對歐盟境內提供服務有重大影響的任何突發事件,數字服務提供者必須立即告知主管機構或歐盟成員國指定的“計算機安全應急響應小組”(“應急響應小組”)。通知必須包括能使主管機構或應急響應小組確定任何跨境影響嚴重性的信息。但是,通知方不因該通知而負更多責任。
在確定突發事件影響的重要性時,應考慮NIS指令中的以下因素:
· 受突發事件影響的用戶數量,特別是依賴該服務來提供自身服務的用戶;
· 突發事件的持續時間;
· 受突發事件影響區域的地理分布;
· 服務功能的破壞程度;
· 對經濟和社會活動的影響程度。
只有當數字服務提供者已獲取需對突發事件就與上述因素有關的影響進行評估的信息時,通知義務才適用。
關于NIS指令的實施,歐盟成員國需要采取指令就歐盟境內網絡安全監管措施的策略,創建歐盟成員國解決跨境安全突發事件的計算機安全應急響應團隊,并成立鼓勵歐盟成員國交換信息的統一戰略合作小組。
網絡與信息系統安全的國家策略。歐盟成員國必須采取具有明確目標的國家策略以及合適的政策和監管措施,以實現高級別的安全。為此,歐盟成員國必須指定:
· 負責協調問題促進跨境合作的國家單一聯絡點;
· 通過提供預先警告和警報、與利益相關者分享關于突發事件和風險的信息、建立關于在線活動和相關風險的公共意識、并致力于發展網絡安全標準化實踐,負責以國家層面來處理風險和突發事件的一個或多個應急響應小組。
通知后程序。在咨詢過相關數字服務提供者后,如果被通知的主管機構或應急響應小組(及適用情況下其他相關的歐盟成員國機構或應急響應小組)認定為了阻止突發事件或對正在進行中的突發事件做出響應,有必要引起公眾注意,或認定披露突發事件以其他形式關乎公眾利益,則可向公眾告知個別突發事件或要求數據服務提供者做此告知。
強制執行。若有證據表明數字服務提供者并未遵守安全通知或突發事件通知的規定,歐盟成員國應確保主管機構采取行動;如有必要,可通過事后監督活動進行。這些證據可由提供服務所在的其他成員國的主管機構提交。
關于上述事后監督,主管機構有權:
· 要求數據提供者提供評估他們的網絡和信息系統安全性所需的信息,包括有明文規定的安全政策;
· 要求數據提供者對任何不符合安全和突發事件通知要求的事項進行救濟。
NIS指令要求歐盟成員國制定適用于違反依據指令而采用的國家規定的處罰規則,并采取所有必要措施確保這些規則的強制實施。處罰僅需是“有效、適當且有勸誡性的”,因此每個成員國可自行就不合規的行為制定具體的制裁規定。
數據服務提供者被視為受其主要設立地點(即總部)所在的歐盟成員國的司法管轄。
如果數據服務提供者的主要設立地點在某歐盟成員國境內,但其網絡和信息系統卻位于另一個或其他幾個成員國,則該主要設立地點所在的成員國的主管機構和其他成員國主管機構必須進行相互合作和協助。
為促進安全規定和突發事件通知程序的統一實施,NIS指令鼓勵相關規則的標準化。
主要設立地點在歐盟境外的數據服務提供者若在歐盟境內提供服務,仍可能被納入指令范圍之內。如此,他們必須在歐盟境內指定一名代理人。不過,根據NIS指令,僅通過在歐盟境內可登陸數據服務提供者的網站,或可獲取其電子郵箱地址或其他聯系方式,并不足以構成此等判斷。然而,其他因素諸如數據服務提供者使用在一個或多個歐盟成員國普遍使用的語言或貨幣,且可以此等語言定制服務,和/或提及位于歐盟的顧客或使用者,可使得該數據服務提供者實際上設想在歐盟境內提供服務的事實顯而易見。
作為數字服務提供者的數據控制器和處理器可能同時受制于NIS指令和《一般數據保護條例》(“GDPR”)(2016年4月27日第2016/679號(歐盟)條例),后者涵蓋了歐盟數據主體的各類新保護措施,以及對不合規行為的重大罰款和懲罰。因此,數據保護突發事件可能同時觸發兩項規定下的通知義務。
但是,NIS指令和GDPR下的數據保護類型有重大區別。NIS指令涵蓋了數據泄漏的任何類型,而GDPR下的保護數據則限于“個人數據”,其定義是“關于明確的或可確定的自然人(“數據主體”)的任何信息”。
此外,NIS指令不僅包含數據泄漏,也包含能夠影響數字服務提供者網絡安全和影響服務提供的任何“突發事件”。
歐盟成員國將在2018年5月9日之前,將NIS指令落實到期國家法律中。
NIS指令將要求數字服務提供者和其他相關實體在符合指令規定的前提下,仔細審查現有網絡安全并建立適當的突發事件通知措施。
NIS指令范圍內的實體必須實施“最先進水平的”安全措施,“應確保與風險相適應的安全級別。”為落實這一安全級別,企業必須要有可審計的綜合安全計劃。為做好準備工作,企業應:
· 在高級管理層內部指定個人或小組評估NIS指令對該企業的適用性,并發展準備計劃 。
· 進行安全影響評估。
· 審查所有的內部安全程序,并做好國家機關規定的自我審計能力。
· 配合董事會、主要法務專員和其他高級管理人員,采取內部安全和應急響應策略。
· 遵守泄密報告的規定,迅速實施突發事件應急響應計劃。
· 考慮采取將新的NIS威脅信息共享計劃納入在內的安全策略。
NIS指令或將涉及歐盟境外設立的實體,這使得各公司需要評估其活動是否可能導致其被納入指令范圍。鑒于各個歐盟成員國還未確定對違規行為的處罰,各公司更需要確保自身未與NIS指令產生沖突。
京公網安備 11010502049343號