歐盟《網絡與信息系統安全指令》的主要內容與立法啟示
——兼評《網絡安全法》相關立法條款

王肅之

（武漢大學法學院，湖北武漢 430072）

歐盟《網絡與信息系統安全指令》的主要內容與立法啟示
——兼評《網絡安全法》相關立法條款

王肅之

（武漢大學法學院，湖北武漢 430072）

歐盟《網絡與信息系統安全指令》是第一部歐盟層面的網絡安全立法，其在內容上包括一般規定、網絡與信息系統安全國家框架、跨國合作、基本服務運營者與數字服務提供者的網絡與信息系統安全等。該指令與《網絡安全法》在一般規定、國家框架與跨國合作、網絡運營者等方面存在較大的不同。該指令中關于術語體系、網絡安全戰略、事件應對機構、國際合作、網絡運營者等方面的規定對于我國網絡安全立法均有較強啟示意義。

網絡與信息系統安全指令；網絡安全法；內容比較；啟示借鑒

隨著信息化網絡化的發展，互聯網時代在帶來利益與便捷的同時，也不可避免地伴生風險與脆弱，網絡安全問題日益成為一個世界性的命題與難題。為了應對網絡安全的嚴峻形勢，各國紛紛出臺專門的網絡安全立法來推動和指導網絡安全治理。歐盟于2016年7月出臺了第一部歐盟層面的網絡安全立法——《網絡與信息系統安全指令》，對于歐盟乃至世界的網絡安全治理都有著特殊的意義。而我國也于2016年11月7日通過了網絡領域的基礎性法律——《網絡安全法》。歐盟的這一立法在結構與內容上有何特點？與我國的《網絡安全法》有何不同又有何啟示？值得深入研究。

1 歐盟《網絡與信息系統安全指令》的主要內容

在信息社會中任何人和物都在某種程度在技術上相互聯系［1］。在過去的20年中，歐洲國家面臨著與美國同樣的挑戰——網絡安全［2］。2013年歐洲委員會制定了《歐盟網絡安全戰略：一個開放、安全、可靠的網絡空間》［3］。進一步的戰略舉措將包括提升認識水平、發展有關網絡安全產品和服務內部市場、加大研究與發展投資以及加緊對抗網絡犯罪［4］。2016年7月，歐洲議會全體會議正式通過了《網絡與信息系統安全指令》（Directive on Security of Network and Information Systems，以下簡稱“《指令》”）。《指令》意味著歐盟正在逐步地向著對其有效管理而探索實踐［5］。歐盟《指令》全文共七章二十七條，其包括了歐盟網絡與信息系統安全有關的多重內容，主要包括以下幾個方面：

1.1 一般規定

一般規定的內容主要規定在第一章“一般規定”中，主要對于《指令》的主要問題、適用范圍與協調原則、核心術語與表述作了較為細致的規定。

第一，主要問題。《指令》第一條第一款即指出，《指令》規定了確保歐盟高水平的網絡與信息安全的相關措施，以促進內部市場的運行。第二款明確指出了《指令》所主要解決的五個問題：規定國家義務、創建合作組織、建立計算機安全事件響應小組網絡、規定服務提供者義務、指派國家相關部門。

第二，適用范圍與協調原則。由于《指令》是在歐盟層面公布的，涉及歐盟諸多成員國，需要對于適用范圍與協調原則作出規定，以保證《指令》的有效實施。關于適用范圍，《指令》先是在第一條第三款、第四款就不適用《指令》的情形以及《指令》與相關立法的效力問題作出規定，繼而在第五款至第七款中就一些具體適用范圍作出規定。此外，《指令》第二條就個人數據的問題指出，有關個人數據的處理問題適用歐盟其他相關的立法。

關于協調原則，《指令》第三條規定了最低限度的協調原則，即《指令》所規定的有關義務只是最低義務，但是成員國可以設置比《指令》更高的義務水平來保護網絡與信息系統安全。

第三，核心術語與表述。《指令》突出的一個特色就是對于相關的核心術語作了全面細致的規定，并對關鍵問題作了詳細的闡述，以保證《指令》的理解與適用，主要包括三個層面：

其一，基本術語的全面界定。《指令》第四條在界定網絡與信息系統的基礎上，指出“網絡與信息系統安全是指，在一定的置信水平下，網絡與信息系統抵御任何危害存儲、傳輸或處理的數據可用性、真實性、完整性和機密性的，或者網絡和信息系統提供或傳遞相關服務的行為能力。”繼而對網絡與信息系統安全的國家戰略、基本服務運營者、數字服務、數字服務提供者、事件、事件處理、風險、代表、標準、規范、互聯網交換點、域名系統、域名服務提供者、頂級域名注冊機構、網上市場、網上搜索引擎、云計算服務等術語作了全面的界定，為《指令》的理解與適用奠定了基礎。

其二，特殊主體的詳細規定。《指令》第五條對于基本服務運營者作出詳細的規定，重申基本服務運營者的認定應當參照《指令》的附件二，并在第二款詳細地規定了成員國識別基本服務運營者的標準，包括社會經濟層面、與網絡信息系統相關的層面與網絡安全事件的影響層面。此外，還對各國基本服務運營者的認定、審查、識別等方面的義務與程序作出了決定。

其三，關鍵表述的特別厘定。《指令》第六條對于第五條提及的“顯著的破壞性影響”作了細致的闡釋，指出各成員國在認定時應當考慮用戶人數、行業獨立性、程度和時間、市場份額、區域擴散、服務重要性等跨部門因素。該條還指出，在考慮這一問題時，成員國也應酌情考慮特定行業因素。

1.2 網絡與信息系統安全國家框架

關于網絡與信息系統安全國家框架的內容主要規定在《指令》第二章“網絡與信息系統安全的國家框架”中，主要包括網絡與信息系統安全的國家戰略、聯絡點與響應小組、國家層面的協作。

第一，網絡與信息系統安全的國家戰略。《指令》第七條規定，“每個成員國應當出臺規定戰略目標、合適政策、監管措施的網絡與信息系統安全國家戰略，以便實現和保持高水平的網絡和信息系統安全，并且至少包括附件二規定的行業類別和附件三規定的服務類別。”并特別指出有關網絡與信息系統安全的國家戰略應當特別解決目標和重點、治理框架、預防和應對措施、安全教育與訓練、研究與發展計劃的指示、風險評估計劃與參與者名錄等問題。此外，還規定了成員國在網絡與信息系統安全的國家戰略問題上向歐洲網絡與信息安全局請求援助的權利以及在三個月內通報其戰略的義務。

第二，聯絡點與響應小組。早在《2013/40/EU號指令》中，響應的機制主要包括接觸點與信息共享、運營商協助兩個方面［6］。《指令》對此作了進一步的規定。聯絡點與響應小組都是一國關于網絡與信息系統安全特定機構，《指令》分別對其作出規定。《指令》第八條規定了國家主管部門和聯絡點，指出“每個成員國應當指派一個或多個網絡與信息系統安全的主管部門，其管理范圍至少包括附件二規定的行業類別和附件三規定的服務類別。”并且每個成員國應當指定一個“單一聯絡點”，通過其行使聯絡職能來確保與其他成員國及其有關部門、《指令》第十一條規定的合作組織、《指令》第十二條規定的CSIRTs網絡之間的跨境合作。此外，該條還規定了聯絡點的監管問題、資源問題、咨詢問題與程序問題。

《指令》第九條規定了計算機安全事件響應小組，指出“每個成員國應當指派一個或多個能夠遵守附件一中（1）的要求的計算機安全事件響應小組，管理范圍至少包括附件二規定的行業類別和附件三規定的服務類別，并且能夠依照清晰明確的程序對風險與事件處理負責。”此外，該條還規定了計算機安全事件響應小組的管理、資源保障、基礎設施、信息通報與請求協助等事項。

第三，國家層面的協作。《指令》第十條規定了國家層面的協作，指出“一國的單一聯絡點和計算機安全事件響應小組應當獨立于主管部門，并且在履行《指令》規定的義務過程中進行協作”。此外，該條還具體規定了與之相關的對《指令》的遵守義務以及對相關事項的報告義務。

1.3 網絡與信息系統安全的跨國合作

關于網絡與信息系統安全跨國合作的內容主要規定在《指令》第三章“合作”中，主要包括合作組織、計算機安全事件響應小組網絡和國際合作聯盟三部分。

第一，合作組織。《指令》第十一條第一款規定，“為了支持和促進成員國之間的戰略合作和信息交流，發展信賴和信任，在歐盟范圍實現更高水平的網絡和信息系統安全，因此建立合作組織。”并且合作小組應當執行《指令》規定的兩年一度的規劃任務。繼而，該條規定了合作組織的成員構成和具體任務，以及合作組織的評價報告制度、程序性要求等問題。

第二，計算機安全事件響應小組網絡。《指令》第十二條第一款規定，“為了促進成員國之間信賴和信任的發展，促成迅速和有效的行動合作，因此建立國家層面的計算機安全事件響應小組。”繼而，該條規定了小組網絡的成員組成、主要任務、評估報告制度、議事規則制度。

第三，國際合作聯盟。《指令》第十三條規定，“依照《歐洲聯盟運作條約》第二百一十八條，歐盟可以同第三國或國際組織締結國際條約，允許并且組織其參與合作組織的一些行動。這些條約應當考慮到給予數據充分保護的必要性。”這一規定，明確了合作組織在與歐盟成員國之外的主體合作問題上的基本原則，有利于推動合作組織國際合作的開展。

1.4 基本服務運營者與數字服務提供者的網絡與信息系統安全

《指令》第四章、第五章分別就基本服務運營者與數字服務提供者的網絡與信息系統安全作了專門的規定，而且均圍繞安全要求與事件通知、實施與執行兩個方面展開（第十八條專門就數字服務提供者的管轄問題作出規定）。

第一，安全要求與事件通知。就基本服務運營者的安全要求與事件通知，《指令》第十四條第一款規定，“成員國應當確保基本服務運營者采取合適和適當的技術與有組織的措施來管理其運營中的網絡與信息系統安全風險。考慮到相應的技術水平，這些措施應當確保與風險相適應的網絡與信息系統安全。”該條還就成員國的保證義務、對服務連續性的保障、事件判斷的參考因素、對其他成員國的通知、公眾告知、合作組織的指導等問題作了規定。

就數字服務提供者的安全要求與事件通知，《指令》第十六條第一款規定，“成員國應當確保數字服務提供者采取合適和適當的技術與有組織的措施來管理其在歐盟內部提供的、附件三所列舉的服務的網絡與信息系統安全風險。考慮到相應的技術水平，這些措施應當確保與風險相適應的網絡與信息系統安全，”并且應當考慮相關因素。該條還就成員國的保證義務、對服務連續性的保障、事件判斷的參考因素、通知義務的分配、對其他成員國的通知、公共利益問題等作了規定。

第二，實施與執行。就基本服務運營者的實施與執行，《指令》第十五條第一款規定，“成員國應當確保主管部門有必需的權力與手段來評估基本服務運營者對于第十四條義務的遵守情況以及由此給網絡與信息系統安全帶來的影響。”該條還規定了主管部門上述權力的范圍、缺陷糾正的權力、與數據保護機關的協作問題。

就數字服務提供者的實施與執行，《指令》第十七條第一款規定，“在采取監督措施后，如果有證據證明數字服務提供者沒有遵照第十六條的要求，成員國在必要的情況下應當確保主管部門采取行動。如果其他成員國也接受了服務，這些證據也應當提交給其主管部門。”該條還規定了主管部門上述權力的范圍和與其他成員國的協作。

第三，數字服務提供者的管轄問題。《指令》第十八條還就數字服務提供者的管轄權作了專門規定，指出數字服務提供者的總部或者主要營業機構在成員國內時，應該被認為處于成員國的管轄之下。此外，該條還規定歐盟以外數字服務提供者的代表制度以及這一制度的限制規定。

除了上述主要內容之外，第六章則是規定了標準化和自愿通知制度，就與基本服務運營者與數字服務提供者相關的技術規范的標準化與（網絡安全）事件的自愿通知作了規定。

2 歐盟《網絡與信息系統安全指令》與《網絡安全法》相關條款的比較

網絡安全是一個世界性的問題，美國已經出臺《2015年網絡安全法案》，全面維護網絡安全，我國也于近期通過了《網絡安全法》。同為大陸法系國家，歐盟《指令》與我國《網絡安全法》各有特色，對其進行比較研究對于我國網絡安全立法具有重要意義。

2.1 關于一般規定的比較

歐盟《指令》的總則規定稱為“一般規定”，我國《網絡安全法》中的一般規定稱為“總則”，均規定于第一章（其中基本術語的定義《網絡安全法》置于附則）。二者均對于立法目的、適用范圍等問題作了規定，但也存在較大的區別：

第一，法律的效力不同。歐盟就網絡安全問題頒布了很多立法文件，具體在形式上，它們分別表現為決議、指令、協議、決定、公約、條例、宣言、建議、戰略規劃［7］。指令不具有直接的法律效力，而是需要成員國經由本國法律體系予以轉化適用，所以《指令》第一章第三條規定了最低限度的協調原則，并且在正文很多條款中注明了成員國完成《指令》義務的期限。甚至于對網絡服務提供者的效力也有一定局限——許多互聯網巨頭總部并不在歐洲，它們沒有義務聽從歐盟的指令［8］。《網絡安全法》則是由我國立法機關制定的國內法，從法律效力而言，《網絡安全法》具有更直接的法律效力。

第二，規制范圍不同。歐盟《指令》圍繞網絡與信息系統安全展開，規定網絡與信息系統安全的國家框架、合作、服務提供等問題，并沒有對于信息安全作出專門的規定，甚至其第二條明確指出，有關個人數據的處理適用其他法律文件。《網絡安全法》則不同，其第四章用較大篇幅規定了“網絡信息安全”，特別是對于網絡運營者對于個人信息的保護作了規定。也就是說，歐盟對于網絡與信息系統安全和數據安全是采取分別立法的形式，而我國的《網絡安全法》不但規定網絡與信息系統安全，也涉及信息安全。

第三，術語闡釋詳略不同。歐盟《指令》第四條對于其涉及到的各種相關術語，第五條、第六條對于基本服務運營者和“顯著的破壞性影響”均進行了全面細致的闡述。有利于歐盟各成員國正確地理解和適用《指令》。《網絡安全法》僅是在附則第七十六條對于網絡、網絡安全、網絡運營者、網絡數據、個人信息作出界定，并未就該法其他出現的諸如關鍵信息基礎設施等進行細致的界定，對于網絡運營者等術語的界定也較為籠統。在這一點上，《網絡安全法》確實顯得粗糙和單薄，難以為正確地理解和適用提供有效的支撐。

第四，行為指引條款的設置不同。歐盟《指令》并不是某個國家的國內立法，而是歐盟層面指令，其實際上是設置了網絡與信息系統安全的最低標準，而且其規制的對象是歐盟各成員國，不存在指引行為的作用（這也可以在《指令》第三條及其他相關規定中顯示出來），所以并沒有設置具有指引性質的條文。《網絡安全法》作為我國國內立法，具有指引、預測、評價等作用，在總則中規定了諸多的行為指引條款，如第三條、第四條、第五條、第六條、第七條對于國家行為的指引，第九條、第十條對于網絡運營者行為的指引，等等。這些行為指引條款，充分體現了我國網絡安全立法的特色與重點，應該予以肯定。

2.2 關于國家框架與跨國合作的比較

歐盟《指令》第二章規定了網絡與信息系統安全的國家框架，第三章規定了合作。《網絡安全法》第二章規定了網絡安全支持與促進，第三章規定了網絡運行安全，沒有對合作問題作出規定，二者具有較大區別。

第一，關于網絡安全國家戰略的規定詳略不同。歐盟《指令》第七條首先明確了網絡與信息系統安全的國家戰略的基本定位，繼而較為詳細地列舉了該國家戰略需要解決的具體問題，包括應當特別解決目標和重點、治理框架、預防和應對措施、安全教育與訓練、研究與發展計劃的指示、風險評估計劃與參與者名錄等問題。《網絡安全法》中有關網絡安全國家戰略的規定則較為簡略，即“國家制定并不斷完善網絡安全戰略，明確保障網絡安全的基本要求和主要目標，提出重點領域的網絡安全政策、工作任務和措施”。形成這樣的差異與法律文件的性質有重要關系，《指令》系歐盟層面出臺的法律文件，旨在引導成員國，因而對于國家戰略規定較為詳細，而《網絡安全法》一旦通過則為國內法，而且根據我國的實際情況，可以通過出臺專門的行政文件來完成這一工作。

第二，對于網絡安全國家管理和（網絡安全）事件處理的方式不同。歐盟《指令》第八條、第九條分別對國家主管部門和聯絡點、計算機安全事件響應小組作出規定，明確各成員國需要建立（唯一）聯絡點和計算機安全事件響應小組，并且對于相關的管理、資源保障、咨詢、信息通報等事項作了具體規定，突出了建立這兩個單獨機構在網絡安全國家管理中的地位。《網絡安全法》則是以網絡安全管理（以及監測預警與應急處置）事項為重心，在第二章“網絡安全支持與促進”、第三章“網絡運行安全”、第五章“監測預警與應急處置”中就具體工作作出規定，均未規定成立專門的機構或者部門來預防和應對網絡安全事件。雖然《網絡安全法》所規定的各個事項有其必要意義，但是《指令》對于專門機構的規定也有其參考意義。

第三，對于國際合作的認識不同。歐盟《指令》第三章“合作”專門規定了國際合作的問題，包括合作組織、計算機安全事件響應小組網絡、國際合作聯盟，并且特別對合作組織與計算機安全事件響應小組網絡作了詳細的規定，特別是對于合作組織與計算機安全事件響應小組網絡的具體任務作了清晰的列舉，此外也對評價報告制度等相關內容作了規定。《網絡安全法》則沒有對國際合作專門作出規定，不但沒有設置專門的章節，甚至沒有設置專門的條文，只有第七條概括地提出積極開展相關交流合作。然而，網絡安全是一個世界性的問題，國際合作在網絡安全領域顯得更為重要，在這一問題上《指令》的規定確有其合理之處。

2.3 關于網絡運營者規定的比較

歐盟《指令》第四章、第五章分別就基本服務運營者與數字服務提供者的網絡與信息系統安全事項作出規定。《網絡安全法》并沒有專門設置章節對網絡運營者（網絡運營者）作出規定，相關規定散見于各章節中。不僅體例上，在內容上也具有較大的區別。

第一，關于網絡運營者的范圍理解不同。歐盟《指令》僅規制基本服務運營者與數字服務提供者，而且分別于附件二、附件三限制了基本服務運營者與數字服務提供者的范圍，并非規制所有的網絡運營者。《網絡安全法》只是寫明規制“網絡運營者”，并且概括地規定“網絡運營者，是指網絡的所有者、管理者和網絡服務提供者”。雖然根據《指令》附件三的內容，其所規定的數字服務提供者可以理解為《網絡安全法》中的網絡運營者，但是附件二中的基本服務運營者多為基本公共服務提供者，只是網絡安全與其服務的連續性具有關聯。但是在信息化網絡化的當今，互聯網包括網絡安全已經和各行業相關聯，對于諸如能源、交通等領域的網絡安全，是否應從網絡安全立法的角度予以考慮？這也正是《指令》帶給我們的思考。

第二，關于網絡運營者的義務內容規定不同。歐盟《指令》對基本服務運營者與數字服務提供者主要規定了兩方面內容：安全要求與事件通知、實施與執行。《網絡安全法》則是對于網絡運營者的義務作了細致全面的規定，包括遵守義務、網絡安全等級保護制度的落實、網絡安全事件應急預案、技術支持和協助、部門合作、用戶信息保護、必要技術措施、法律責任等多個方面。在內容上，顯然《網絡安全法》關于網絡運營者義務的規制范圍更為全面，但是《指令》的內容則較為細致，如對服務連續性的保障、事件判斷的參考因素、通知義務的分配、對其他成員國的通知、公共利益等問題的規定也有可供借鑒之處。

第三，關于網絡運營者的管轄規定不同。歐盟《指令》第十八條專門規定了數字服務提供者的管轄問題，甚至還規定了對于數字服務提供者不屬于歐盟境內成員國時的代表制度。《網絡安全法》則根本沒有規定網絡運營者的管轄問題。出現這種區別并不難理解，歐盟的《指令》是指向歐盟的成員國的，主要是提出要求，如何根據本國法律進行轉化依各成員國情況而定，而我國本身具有專門的訴訟法律，只要合適地將網絡運營者的管轄問題納入相應的訴訟法律即可。

3 歐盟《網絡與信息系統安全指令》對我國網絡安全立法的啟示

雖然《網絡安全法》在行為指引條款、網絡安全事件的監測預警與應急處置、網絡服務提供者的義務設置等方面較為科學，但是歐盟《指令》許多內容的設計頗具特色，對于我國網絡安全立法具有很強的借鑒意義。

3.1 構建完善的術語體系

應當借鑒《指令》，規定更為完善的術語體系。《網絡安全法》僅對網絡、網絡安全、網絡運營者、網絡數據、個人信息作出定義，對于其他該法涉及的諸如關鍵信息基礎設施、網絡信息安全、網絡安全事件等術語均未作出必要的界定，不利于該法的理解與適用。應借鑒《指令》第四條對于（網絡安全）事件的界定，從任何對于網絡安全具有現實不利影響的活動層面予以界定。同時參考《指令》第四條對于網絡與信息系統等術語的界定，對于關鍵信息基礎設施作出符合通常理解又契合《網絡安全法》內容的恰當界定。此外，網絡信息安全也有必要進行獨立的界定，因為網絡信息安全包括但是不限于個人信息安全，還涉及非法信息的傳輸等信息安全問題，應該進行全面科學的界定，必要時可參考歐盟《一般數據保護條例》的相關內容。

3.2 明確我國網絡安全戰略的具體內容

應在相關立法中更具體地規定我國網絡安全戰略的具體內容。目前的《網絡安全法》將網絡安全戰略的內容規定在總則第四條，也明確了要“提出重點領域的網絡安全政策、工作任務和措施”，但是未具體地予以明確。《指令》第七條較為清楚地明確規定了網絡與信息系統安全的國家戰略任務及其相關問題，值得借鑒。應當借鑒《指令》的經驗，在相關立法中對于我國網絡安全戰略的布局、任務予以具體化，明確我國加強網絡安全建設的重點任務和優先目標，并且輔之以相應的舉措。

3.3 設置專門的網絡安全事件應對機構

《網絡安全法》中除了應規定網絡安全管理的具體職責之外，也有必要就應急響應等事項規定獨立的網絡安全事件應對機構。《網絡安全法》第五章“監測預警與應急處置”更多的是側重通報、措施、預案、臨時措施等應對處理角度進行規定，并沒有規定設置獨立的網絡安全事件監測預警與應急處置機構。《指令》第九條清楚地規定了計算機安全事件響應小組的相關內容，值得借鑒。而且，就網絡安全事項設置專門的機構也是我國現實的做法。2014年2月27日，中央網絡安全和信息化領導小組成立，其主要目標之一就是“推動國家網絡安全和信息化法治建設，不斷增強安全保障能力”，各地相關部門也都成立了網絡安全的專門管理機構。在網絡安全事件風險與危害日漸突出的背景下，在相關立法中借鑒歐盟做法規定專門的應對機構，正當其時。

3.4 重視維護網絡安全的國際合作

應該在《網絡安全法》中就國際合作問題作出專門的規定。《網絡安全法》并未就網絡安全的國際合作問題作出專門規定，《指令》則在第三章“合作”中全面地規定了合作組織、計算機安全事件響應小組網絡、國際合作聯盟。網絡安全是一個世界性的難題，網絡安全的保護也需要世界各國相互合作共同努力，這一共識應當為各國立法所肯定，歐盟《指令》的做法頗具借鑒意義。而且，國內類似的立法已經有就國際合作問題作出規定的先例。《反恐怖主義法》第七章“國際合作”就反恐怖主義國際合作的立場、相關職權、司法協助、合作任務、合作證據等問題作了詳細的規定，有利于加深與其他國家的合作，共同打擊恐怖主義活動。我國同樣也應該立足國際視野，借鑒和參考《指令》中的相關條款，對于我國網絡安全國際合作問題作出規定。

3.5 明確網絡運營者的范圍與層次

應該在相關立法中明確規定《網絡安全法》中規定的網絡運營者的范圍與層次。《指令》不但在第四條規定了基本服務運營者、數字服務提供者的概念，在第四章、第五章分別規定了其義務，還在附件二、附件三中詳細規定了《指令》規制的基本服務運營者、數字服務提供者的具體范圍，這樣的思路值得我國網絡安全立法予以借鑒。而且，在網絡運營者的范圍上，也應注意到信息化網絡化的背景下，原有社會基本服務向網絡服務轉變的現實，參考《指令》合理界定網絡運營者的范圍。此外，隨著網絡社會的發展，網絡運營者的范圍不斷擴大，其網絡運營規模與能力各不相同，承擔的義務水平也應當有所區別。如《網絡安全法》使用了“關鍵信息基礎設施的運營者”的表述，并且設置了特定的義務，但是就其范圍并沒有作出明確的規定，易于導致規定執行的混亂。但是，網絡運營者的范圍與層次這樣的問題又不宜在《網絡安全法》中直接作出規定，可以在《網絡安全法實施條例》以及其他相關法律文件中予以明確，從而恰當、有效地規制和引導網絡運營者履行網絡安全義務。

［1］FREITAS PM F，GON ALVESN.Illegal Access to Information Systems and the Directive 2013/40/ EU［J］.International Review of Law Computers& Technology，2015，29（1）:53.

［2］ILVES L K，EVANS T J，CILLUFFO F J，et al. European Union and NATO Global Cybersecurity Challenges:A Way Forward［J］.Prism Security Studies Journal，2016，6（2）:127-128.

［3］SHACKELFORD S J，CRAIG A N.Beyond the New“Digital Divide”:Analyzing the Evolving Role of National Governments in Internet Governance and Enhancing Cybersecurity［J］. Stanford Journal of International Law，2014，50（1）:156.

［4］RICHARD TAUWHARE.Improving Cybersecurity in the European Union:the Network and Information Security Directive［J］.Journal of Internet Law，2016，19（12）:4.

［5］BARRINHA A.Cybersecurity in the European Union.Resilience and Adaptability in Governance policy［J］.European Security，2016，25（3）:388.

［6］張濤，王玥，黃道麗.信息系統安全治理框架:歐盟的經驗與啟示：基于網絡攻擊的視角［J］.情報雜志，2016（08）:20.

［7］林麗枚.歐盟網絡空間安全政策法規體系研究［J］.信息安全與通信保密，2015，24（4）:30.

［8］陳旸.歐盟網絡安全戰略解讀［J］.國際研究參考，2013（05）:36.

責任編輯 朱文婷

10.14180/j.cnki.1004-0544.2017.06.032

D97（196.2）

A

1004-0544（2017）06-0177-06

國家社會科學基金重點項目（13AFX010）；武漢大學自主科研項目（人文社會科學）（2017QN010）；中央高校基本科研業務費專項資金資助。

王肅之（1990-），男，河北石家莊人，武漢大學法學院博士研究生。