曹建峰 李正
近日,欧盟立法机构正式通过首部网络安全法《网络与信息系统安全指令》,旨在加强基础服务运营者、数字服务提供者的网络与信息系统安全,要求这两者履行网络风险管理、网络安全事故应对与通知等义务。此外,该法要求成员国制定网络安全国家战略,要求加强成员国间合作与国际合作,要求在网络安全技术研发方面加大资金投入与支持力度。不久前,全国人大公布了《中华人民共和国网络安全法(草案)》二次审议稿,并向全国征求意见,引发了社会各界的关注和热议。那么,欧盟网络安全法能给我国带来哪些启示呢?
实现欧盟统一网信系统安全
继欧盟理事会于2016年5月17日一读通过《网络与信息系统安全指令》(NIS指令)之后,欧盟议会于7月6日二读通过该指令,这意味着欧盟立法机构历经三年,最终正式采纳NIS指令。
作为欧盟数字单一市场一系列举措的重要组成部分,NIS指令是欧盟第一部网络安全法,其目的在于,在欧盟范围内实现统一的、高水平的网络与信息系统安全。在NIS指令中,网络与信息系统安全是指网络与信息系统有能力抵抗针对经由这些网络与信息系统存储、传输、处理、提供的信息或者相关服务的可用性、真实性、完整性或者保密性等采取的破坏措施。NIS指令将于本月生效,之后,成员国必须于21个月之内将其转化为国内法。
作为欧盟首部网络安全法,NIS指令明确了欧盟关于网络安全的顶层制度设计,确立网络安全国家战略,强调合作与多方参与,确立网络安全事故通知与信息分享机制,对数字服务提供者采取轻监管思路,避免过度监管对互联网行业发展产生不利影响。
对我国网络安全立法的启示
当前,我国正在制定网络安全法,欧盟等已经率先出台网络安全法,其中一些制度安排值得借鉴和学习。
——网络安全法应立足“网络与信息系统安全”为核心,避免制度泛化
目前“网络安全”概念众说纷纭,但从NIS指令中看,其主要指的是“网络与信息系统安全”,并不包括内容安全等。我国的网络安全法草案,除了关于网络与信息系统安全的规定,还大幅度涉及个人信息保护、违法网络信息治理等制度,内容涵盖非常广泛。因此,个人是否有权要求互联网企业删除、更正其个人信息,互联网企业是否有义务发现、处理违法网络信息等是否需要在网络安全法中涉及值得商榷。
以个人信息保护方面制度为例,目前草案简单赋予用户要求删除、更正个人信息的权利,而不加以任何限制,可能导致该项权利被滥用,网络运营者会承担过多的处理请求,即使网络运营者加大人财物的投入,恐难以满足用户的现实需求,对我国互联网产业产生不利影响。
——建立行之有效的网络安全事故通知与信息分享机制
欧盟的《网络与信息系统安全指令》建立了网络安全信息分享机制。针对基础服务运营者或称关键服务运营者以及部分数字服务提供者施加了向主管机构通报具有重大影响的网络安全事故的义务。
我国网络安全法草案第24条则规定了网络运营者向主管机构报告网络安全事件的义务。不仅如此,第21条要求网络服务提供者将其产品、服务存在的安全缺陷、漏洞等风险告知用户以及主管机构。
其中,网络服务提供者将其产品、服务存在的安全缺陷、漏洞等风险告知用户以及主管机构规定值得商榷。通常而言,产品、服务处于不断升级完善过程中,没有绝对完美的产品与服务,否则就不会存在产品迭代。因此,应在具有重大风险时企业告知用户及主管机构,否则将过重义务加于企业。
总体而言,我国网络安全法应以“网络与信息系统安全”为核心,避免制度泛化,审慎考虑网络实名制等制度,避免给行业发展带来过度负担。同时推动制度与国际接轨,真正成为网络安全的法治保障。