论文部分内容阅读
6月27日,欧盟《网络安全法案》正式施行。这是继2016年《网络与信息系统安全指令》、2018年《一般数据保护条例》之后,欧盟推出的又一部关于网络安全的重要法律文件。法案体现出欧盟在网络安全顶层设计、制度安排、策略手段等方面的考虑和关注,尤其是法案中对于网络安全职能部门欧盟网络和信息安全局(ENISA)的重新定位及网络安全认证框架的设计,值得我国相关机构研究和借鉴。
欧盟《网络安全法案》的主要内容
“前言”明确了法案出台背景和现实意义。考虑到电子通信网络和服务在经济增长中日趋重要的地位,为有效应对各类网络安全风险,防范其对计算机系统、通信网络、数字产品、服务和设备以及公民、组织和企业带来的潜在威胁,提升欧盟整体的网络安全防护水平,欧盟制定并出台《网络安全法案》。
“正文”涉及ENISA职能调整和认证框架。正文第一、二章主要围绕ENISA职能调整展开,法案详细规定了ENISA的组织架构、权责划分、保护措施、技术手段、财政和基础设施建设、提升公民网络安全意识以及成员国之间的互助合作等问题。正文第三章论述了网络安全认证框架,对认证的计划、目标、要素以及认证机构及其人员要求等事项进行了详细的规定。
“附则”规定合格评估机构应满足的条件。附则主要规定了希望获得认证的合格评定机构应满足的条件,共涉及20条要求,包括要求机构具有法人资格,是独立第三方机构与被评估的ICT产品、服务或流程不存在利益关系,以及对进行合格评定活动的人员的要求等。
欧盟《网络安全法案》中的亮点分析
进一步完善了欧盟网络安全法律体系。2016年7月6日通过的《网络与信息系统安全指令》,是欧盟推出的首部网络安全法律文件,它要求欧盟成员国制定网络安全国家战略,加强基础服务运营者、数字服务提供者的网络与信息系统安全,履行网络风险管理、网络安全事故应对与通知等义务;2018年《一般数据保护条例》主要是对数据尤其是个人数据的保护进行规定,其保护范围之广、监管措施之严、惩罚力度之高均创下历史纪录,被称为欧盟史上最严格的数据保护文件;最新出台的《网络安全法案》,从网络安全机构设置及认证等方面进行了更为细化的规定。这几个法律文件一脉相承、相互补充,有助于构建更加完善的欧盟网络安全法律体系。
法律层面对ENISA机构赋予更多权力。ENISA成立于2004年,是欧盟负责网络安全的职能部门,其主要职责包括研究制定欧盟网络安全相关政策,为欧盟及其成员国提供增强信息与网络安全相关的建议和协助,保护能源、交通、金融市场、银行业、医疗保健及数字资产等欧洲大陆关键基础设施的安全,开展应急响应和评估沟通漏洞及网络威胁信息等。最新出台的《网络安全法案》中对ENISA赋予了更多的职能范围,指定其为永久性欧盟网络安全职能机构,新增开展欧洲信息与通信科技(ICT)产品及服务安全认证的授权,同时加强了其在处置欧盟内部跨国网络安全事件及危机时的地位。法案对ENISA的重新定位,强化了ENISA在维护和提升欧盟网络安全整体水平方面的角色和作用,有利于加强统筹形成合力,更好地推动欧盟各项网络安全政策举措的顺利落地。
构建统一的欧盟网络安全认证框架。目前,欧盟尚无统一的ICT产品和服务网络安全认证制度,主要依靠各成员国自行组织认证。有些成员国有相关认证制度,有些成员国没有,并且认证所依据的技术标准也不完全统一,企业同一件产品或服务在不同国家需要重复认证。此次新出台的《网络安全法案》提出,将建立一个欧盟级别的网络安全认证框架,由国家网络安全认证机构颁发网络安全证书,这会改变当前网络安全认证结果仅在极其有限范围内使用的局限性,实现欧盟成员国内部的证书相互承认,做到“一次认证,全欧通行”,是欧盟网络安全领域的一项重要制度革新。不过,法案同时也提到,除非欧盟法或成员国法另有规定,否则网络安全认证应采取自愿,这说明认证并非是强制性的。此外,法案提到针对ICT产品和服务开展网络安全认证,但并未给出具体产品和服务清单。欧盟《网络安全法案》
对我国的启示
加快构建我国的网络安全法律体系。欧盟在2016—2019短短几年内连续出台一系列重要法律文件,一方面是欧盟面对日益严峻的网络安全威胁形势做出的反应,另一方面也体现出欧盟正在不断加快构建网络安全法律体系的步伐。相比而言,我国的网络安全法治建设显得比较滞后,2018年出台的《网络安全法》是里程碑事件,但总体来看现有法律法规层级低,欠缺体系化架构设计,《网络安全法》的相关配套法规也没有及时出台,传统立法中不适应网络安全形势的法律法规也未得到及时修正和补充,未来应加快推进相关工作。
推动现有网络安全机构形成合力。近年来,我国网络安全组织机构建设取得了显著成果,形成了由中央网络安全和信息化委员会负责统筹协调,由外交部、工业和信息化部、公安部、密码局、保密局等相关部门负责各自职能的组织架构,各部门的职能职责在相关文件中都有明确界定。但是,在实际工作中,部门之间职责界定不够清晰。《网络安全法》已赋予国家网信部门网络安全统筹协调的职能,未来应形成更加科学的沟通和协调机制来推动各部门形成合力。
反思现阶段网络安全认证体系建设。经过近20年的发展,我国网络安全认证认可体系日趋完善,建立了一套网络安全标准体系、认证认可体系、检验检测体系,目前網络安全认证的种类已完全覆盖产品体系服务和人员等门类,但是,与发达国家和地区相比,我国的网络安全认证建设依然问题突出,如网络安全评价能力不足,主要缺乏评价的依据;评价的准确性不足,低水平重复评价现象严重;评价结果有效性不足。未来,应以构建既符合国际通行规则、又符合我国国情现实的网络安全认证体系为目标,不仅要通过认证认可制度来切实提升我国网络安全产品和服务水平,还应努力推动我国与发达国家或地区的网络安全认证结果实现互认,提升我国网络安全认证的国际化水平。
欧盟《网络安全法案》的主要内容
“前言”明确了法案出台背景和现实意义。考虑到电子通信网络和服务在经济增长中日趋重要的地位,为有效应对各类网络安全风险,防范其对计算机系统、通信网络、数字产品、服务和设备以及公民、组织和企业带来的潜在威胁,提升欧盟整体的网络安全防护水平,欧盟制定并出台《网络安全法案》。
“正文”涉及ENISA职能调整和认证框架。正文第一、二章主要围绕ENISA职能调整展开,法案详细规定了ENISA的组织架构、权责划分、保护措施、技术手段、财政和基础设施建设、提升公民网络安全意识以及成员国之间的互助合作等问题。正文第三章论述了网络安全认证框架,对认证的计划、目标、要素以及认证机构及其人员要求等事项进行了详细的规定。
“附则”规定合格评估机构应满足的条件。附则主要规定了希望获得认证的合格评定机构应满足的条件,共涉及20条要求,包括要求机构具有法人资格,是独立第三方机构与被评估的ICT产品、服务或流程不存在利益关系,以及对进行合格评定活动的人员的要求等。
欧盟《网络安全法案》中的亮点分析
进一步完善了欧盟网络安全法律体系。2016年7月6日通过的《网络与信息系统安全指令》,是欧盟推出的首部网络安全法律文件,它要求欧盟成员国制定网络安全国家战略,加强基础服务运营者、数字服务提供者的网络与信息系统安全,履行网络风险管理、网络安全事故应对与通知等义务;2018年《一般数据保护条例》主要是对数据尤其是个人数据的保护进行规定,其保护范围之广、监管措施之严、惩罚力度之高均创下历史纪录,被称为欧盟史上最严格的数据保护文件;最新出台的《网络安全法案》,从网络安全机构设置及认证等方面进行了更为细化的规定。这几个法律文件一脉相承、相互补充,有助于构建更加完善的欧盟网络安全法律体系。
法律层面对ENISA机构赋予更多权力。ENISA成立于2004年,是欧盟负责网络安全的职能部门,其主要职责包括研究制定欧盟网络安全相关政策,为欧盟及其成员国提供增强信息与网络安全相关的建议和协助,保护能源、交通、金融市场、银行业、医疗保健及数字资产等欧洲大陆关键基础设施的安全,开展应急响应和评估沟通漏洞及网络威胁信息等。最新出台的《网络安全法案》中对ENISA赋予了更多的职能范围,指定其为永久性欧盟网络安全职能机构,新增开展欧洲信息与通信科技(ICT)产品及服务安全认证的授权,同时加强了其在处置欧盟内部跨国网络安全事件及危机时的地位。法案对ENISA的重新定位,强化了ENISA在维护和提升欧盟网络安全整体水平方面的角色和作用,有利于加强统筹形成合力,更好地推动欧盟各项网络安全政策举措的顺利落地。
构建统一的欧盟网络安全认证框架。目前,欧盟尚无统一的ICT产品和服务网络安全认证制度,主要依靠各成员国自行组织认证。有些成员国有相关认证制度,有些成员国没有,并且认证所依据的技术标准也不完全统一,企业同一件产品或服务在不同国家需要重复认证。此次新出台的《网络安全法案》提出,将建立一个欧盟级别的网络安全认证框架,由国家网络安全认证机构颁发网络安全证书,这会改变当前网络安全认证结果仅在极其有限范围内使用的局限性,实现欧盟成员国内部的证书相互承认,做到“一次认证,全欧通行”,是欧盟网络安全领域的一项重要制度革新。不过,法案同时也提到,除非欧盟法或成员国法另有规定,否则网络安全认证应采取自愿,这说明认证并非是强制性的。此外,法案提到针对ICT产品和服务开展网络安全认证,但并未给出具体产品和服务清单。欧盟《网络安全法案》
对我国的启示
加快构建我国的网络安全法律体系。欧盟在2016—2019短短几年内连续出台一系列重要法律文件,一方面是欧盟面对日益严峻的网络安全威胁形势做出的反应,另一方面也体现出欧盟正在不断加快构建网络安全法律体系的步伐。相比而言,我国的网络安全法治建设显得比较滞后,2018年出台的《网络安全法》是里程碑事件,但总体来看现有法律法规层级低,欠缺体系化架构设计,《网络安全法》的相关配套法规也没有及时出台,传统立法中不适应网络安全形势的法律法规也未得到及时修正和补充,未来应加快推进相关工作。
推动现有网络安全机构形成合力。近年来,我国网络安全组织机构建设取得了显著成果,形成了由中央网络安全和信息化委员会负责统筹协调,由外交部、工业和信息化部、公安部、密码局、保密局等相关部门负责各自职能的组织架构,各部门的职能职责在相关文件中都有明确界定。但是,在实际工作中,部门之间职责界定不够清晰。《网络安全法》已赋予国家网信部门网络安全统筹协调的职能,未来应形成更加科学的沟通和协调机制来推动各部门形成合力。
反思现阶段网络安全认证体系建设。经过近20年的发展,我国网络安全认证认可体系日趋完善,建立了一套网络安全标准体系、认证认可体系、检验检测体系,目前網络安全认证的种类已完全覆盖产品体系服务和人员等门类,但是,与发达国家和地区相比,我国的网络安全认证建设依然问题突出,如网络安全评价能力不足,主要缺乏评价的依据;评价的准确性不足,低水平重复评价现象严重;评价结果有效性不足。未来,应以构建既符合国际通行规则、又符合我国国情现实的网络安全认证体系为目标,不仅要通过认证认可制度来切实提升我国网络安全产品和服务水平,还应努力推动我国与发达国家或地区的网络安全认证结果实现互认,提升我国网络安全认证的国际化水平。