歐盟最新版《網(wǎng)絡安全法案》對我國的啟示

張莉

6月27日，歐盟《網(wǎng)絡安全法案》正式施行。這是繼2016年《網(wǎng)絡與信息系統(tǒng)安全指令》、2018年《一般數(shù)據(jù)保護條例》之后，歐盟推出的又一部關于網(wǎng)絡安全的重要法律文件。法案體現(xiàn)出歐盟在網(wǎng)絡安全頂層設計、制度安排、策略手段等方面的考慮和關注，尤其是法案中對于網(wǎng)絡安全職能部門歐盟網(wǎng)絡和信息安全局（ENISA）的重新定位及網(wǎng)絡安全認證框架的設計，值得我國相關機構研究和借鑒。

歐盟《網(wǎng)絡安全法案》的主要內容

“前言”明確了法案出臺背景和現(xiàn)實意義。考慮到電子通信網(wǎng)絡和服務在經濟增長中日趨重要的地位，為有效應對各類網(wǎng)絡安全風險，防范其對計算機系統(tǒng)、通信網(wǎng)絡、數(shù)字產品、服務和設備以及公民、組織和企業(yè)帶來的潛在威脅，提升歐盟整體的網(wǎng)絡安全防護水平，歐盟制定并出臺《網(wǎng)絡安全法案》。

“正文”涉及ENISA職能調整和認證框架。正文第一、二章主要圍繞ENISA職能調整展開，法案詳細規(guī)定了ENISA的組織架構、權責劃分、保護措施、技術手段、財政和基礎設施建設、提升公民網(wǎng)絡安全意識以及成員國之間的互助合作等問題。正文第三章論述了網(wǎng)絡安全認證框架，對認證的計劃、目標、要素以及認證機構及其人員要求等事項進行了詳細的規(guī)定。

“附則”規(guī)定合格評估機構應滿足的條件。附則主要規(guī)定了希望獲得認證的合格評定機構應滿足的條件，共涉及20條要求，包括要求機構具有法人資格，是獨立第三方機構與被評估的ICT產品、服務或流程不存在利益關系，以及對進行合格評定活動的人員的要求等。

歐盟《網(wǎng)絡安全法案》中的亮點分析

進一步完善了歐盟網(wǎng)絡安全法律體系。2016年7月6日通過的《網(wǎng)絡與信息系統(tǒng)安全指令》，是歐盟推出的首部網(wǎng)絡安全法律文件，它要求歐盟成員國制定網(wǎng)絡安全國家戰(zhàn)略，加強基礎服務運營者、數(shù)字服務提供者的網(wǎng)絡與信息系統(tǒng)安全，履行網(wǎng)絡風險管理、網(wǎng)絡安全事故應對與通知等義務;2018年《一般數(shù)據(jù)保護條例》主要是對數(shù)據(jù)尤其是個人數(shù)據(jù)的保護進行規(guī)定，其保護范圍之廣、監(jiān)管措施之嚴、懲罰力度之高均創(chuàng)下歷史紀錄，被稱為歐盟史上最嚴格的數(shù)據(jù)保護文件;最新出臺的《網(wǎng)絡安全法案》，從網(wǎng)絡安全機構設置及認證等方面進行了更為細化的規(guī)定。這幾個法律文件一脈相承、相互補充，有助于構建更加完善的歐盟網(wǎng)絡安全法律體系。

法律層面對ENISA機構賦予更多權力。ENISA成立于2004年，是歐盟負責網(wǎng)絡安全的職能部門，其主要職責包括研究制定歐盟網(wǎng)絡安全相關政策，為歐盟及其成員國提供增強信息與網(wǎng)絡安全相關的建議和協(xié)助，保護能源、交通、金融市場、銀行業(yè)、醫(yī)療保健及數(shù)字資產等歐洲大陸關鍵基礎設施的安全，開展應急響應和評估溝通漏洞及網(wǎng)絡威脅信息等。最新出臺的《網(wǎng)絡安全法案》中對ENISA賦予了更多的職能范圍，指定其為永久性歐盟網(wǎng)絡安全職能機構，新增開展歐洲信息與通信科技（ICT）產品及服務安全認證的授權，同時加強了其在處置歐盟內部跨國網(wǎng)絡安全事件及危機時的地位。法案對ENISA的重新定位，強化了ENISA在維護和提升歐盟網(wǎng)絡安全整體水平方面的角色和作用，有利于加強統(tǒng)籌形成合力，更好地推動歐盟各項網(wǎng)絡安全政策舉措的順利落地。

構建統(tǒng)一的歐盟網(wǎng)絡安全認證框架。目前，歐盟尚無統(tǒng)一的ICT產品和服務網(wǎng)絡安全認證制度，主要依靠各成員國自行組織認證。有些成員國有相關認證制度，有些成員國沒有，并且認證所依據(jù)的技術標準也不完全統(tǒng)一，企業(yè)同一件產品或服務在不同國家需要重復認證。此次新出臺的《網(wǎng)絡安全法案》提出，將建立一個歐盟級別的網(wǎng)絡安全認證框架，由國家網(wǎng)絡安全認證機構頒發(fā)網(wǎng)絡安全證書，這會改變當前網(wǎng)絡安全認證結果僅在極其有限范圍內使用的局限性，實現(xiàn)歐盟成員國內部的證書相互承認，做到“一次認證，全歐通行”，是歐盟網(wǎng)絡安全領域的一項重要制度革新。不過，法案同時也提到，除非歐盟法或成員國法另有規(guī)定，否則網(wǎng)絡安全認證應采取自愿，這說明認證并非是強制性的。此外，法案提到針對ICT產品和服務開展網(wǎng)絡安全認證，但并未給出具體產品和服務清單。歐盟《網(wǎng)絡安全法案》

對我國的啟示

加快構建我國的網(wǎng)絡安全法律體系。歐盟在2016—2019短短幾年內連續(xù)出臺一系列重要法律文件，一方面是歐盟面對日益嚴峻的網(wǎng)絡安全威脅形勢做出的反應，另一方面也體現(xiàn)出歐盟正在不斷加快構建網(wǎng)絡安全法律體系的步伐。相比而言，我國的網(wǎng)絡安全法治建設顯得比較滯后，2018年出臺的《網(wǎng)絡安全法》是里程碑事件，但總體來看現(xiàn)有法律法規(guī)層級低，欠缺體系化架構設計，《網(wǎng)絡安全法》的相關配套法規(guī)也沒有及時出臺，傳統(tǒng)立法中不適應網(wǎng)絡安全形勢的法律法規(guī)也未得到及時修正和補充，未來應加快推進相關工作。

推動現(xiàn)有網(wǎng)絡安全機構形成合力。近年來，我國網(wǎng)絡安全組織機構建設取得了顯著成果，形成了由中央網(wǎng)絡安全和信息化委員會負責統(tǒng)籌協(xié)調，由外交部、工業(yè)和信息化部、公安部、密碼局、保密局等相關部門負責各自職能的組織架構，各部門的職能職責在相關文件中都有明確界定。但是，在實際工作中，部門之間職責界定不夠清晰。《網(wǎng)絡安全法》已賦予國家網(wǎng)信部門網(wǎng)絡安全統(tǒng)籌協(xié)調的職能，未來應形成更加科學的溝通和協(xié)調機制來推動各部門形成合力。

反思現(xiàn)階段網(wǎng)絡安全認證體系建設。經過近20年的發(fā)展，我國網(wǎng)絡安全認證認可體系日趨完善，建立了一套網(wǎng)絡安全標準體系、認證認可體系、檢驗檢測體系，目前網(wǎng)絡安全認證的種類已完全覆蓋產品體系服務和人員等門類，但是，與發(fā)達國家和地區(qū)相比，我國的網(wǎng)絡安全認證建設依然問題突出，如網(wǎng)絡安全評價能力不足，主要缺乏評價的依據(jù);評價的準確性不足，低水平重復評價現(xiàn)象嚴重;評價結果有效性不足。未來，應以構建既符合國際通行規(guī)則、又符合我國國情現(xiàn)實的網(wǎng)絡安全認證體系為目標，不僅要通過認證認可制度來切實提升我國網(wǎng)絡安全產品和服務水平，還應努力推動我國與發(fā)達國家或地區(qū)的網(wǎng)絡安全認證結果實現(xiàn)互認，提升我國網(wǎng)絡安全認證的國際化水平。