歐盟委員會同時發布《信息安全條例》提案和《網絡安全條例》提案

    據歐盟委員會官網消息，當地時間3月22日，歐盟委員會同時發布《信息安全條例》提案（下稱《信安條例》）和《網絡安全條例》提案（下稱《網安條例》），旨在加強其面對網絡威脅事件的反應能力，確保歐洲公共行政部門安全。

    值得注意的是，《信安條例》擬要求成立由歐盟各機構安全主管部門組成的信息安全協調小組，賦予其制定配套指導文件及采取網絡安全措施的權力。該小組需定期與成員國的國家安全當局保持聯系，并以信息安全委員會的形式召開會議，提供咨詢意見。

    有專家告訴南都記者，此規定有利于協同整個歐盟機構和組織的行動，為其信息安全業務提供統一指導。另外，這還有利于簡化信息安全方面的實際操作流程，提高溝通合作的效率，避免機構間的信息交流出現障礙。

    “歐盟各機構及組織要么根據其議事規則或創始法案制定了屬于自己的信息安全規范，要么根本沒有。他們缺乏一份正式的信息安全法規。”《信安條例》在介紹其出臺背景時寫道，它旨在創建適用于所有聯盟機構的最低標準的信息安全規范，將適用于歐盟各機構及組織所存儲和處理的所有信息。

    《信安條例》出臺前，歐盟已在探索建立各機構間共同的信息安全措施方面做出多次嘗試，其中較早可追溯至2016年7月由歐洲議會和理事會通過的一份關于提高歐盟網絡和信息系統整體安全水平措施的指令——這是歐盟范圍內首個旨在加強成員國之間網絡安全合作的立法措施。

    2020年7月，歐盟委員會通過了《安全聯盟戰略》，提議在所有歐盟機構間創建一套最低限度的信息安全規范，試圖在歐洲行政當局構建起同樣水平的信息保護標準。同年12月，歐盟委員會通過《網絡安全戰略》，指出面對網絡威脅事件時應采取的優先措施和關鍵行動，提出各機構應確立同等的信息安全標準。

    “本提案是歐洲《安全聯盟戰略》的一部分，旨在完善其監管框架。”《信安條例》內容顯示，它的總體目標是歐盟各機構組織所存儲和處理的非機密信息和機密信息都得以實現高水平的共同安全，使歐洲行政當局免受外部干擾和間諜活動的影響。

    歐盟的預算和行政專員約翰內斯·哈恩（Johannes Hahn）就《信安條例》發表聲明稱，在互聯網環境中，一次網絡安全事故就可能影響整個組織，因此要建立一個能抵御網絡威脅事件的強大屏障。《信安條例》是歐盟信息安全領域的一個里程碑，其以歐盟各機構間的協調一致和相互支持為基礎，是歐盟集體努力的成果。

    在《信安條例》公布的同一天，歐盟委員會還公布了《網安條例》，旨在網絡安全領域構建起一個風險控制和治理框架。《網安條例》要求在歐盟各機構組織間建立網絡安全委員會以推動該提案施行，各組織至少每三年進行一次網絡安全成熟度評估，評估內容包括其所處環境的所有因素。

    世輝律師事務所合伙人王新銳在介紹二者聯系時指出，《信安條例》和《網安條例》共同建立起一種基于相同標準及程序開展的跨機構合作模式，進而構建起網絡安全風險控制、信息交互保障的安全治理框架。“比如，《信安條例》要建立信息安全協調小組，《網安條例》要成立網絡安全委員會，都是為了推動和監督相關提案的實施。”

    北京師范大學互聯網發展研究院院長助理、博導、中國互聯網協會研究中心副主任吳沈括認為，《信安條例》側重從信息安全角度看待歐盟各機構的內容治理，強調包括信息分類在內的經典信息安全元素；而《網安條例》是從技術和組織管理層面強調網絡安全能力的建設。

    在資深數據法律師袁立志看來，這兩部提案的共同目標是加強歐盟各機構組織間在網絡安全和信息安全層面的協調和統一。

    “在歐盟相關機構組織眾多并不斷擴張的情況下，各機構在網絡安全和信息安全管理方面缺乏統一協調。”他解釋，兩部提案解決的問題對象和領域有所區別，網絡安全相對更寬泛，它針對網絡和信息系統及其使用者與相關方所面臨的各種威脅，而信息安全則聚焦于確保信息的真實、保密、完整、可用等。

    具體來看，《網安條例》條文比較簡單，以建立治理框架為主，并不提供具體規則或安全措施；《信安條例》的內容相對更加具體，其會為信息如何分類、管理以及在機構間的流動設置詳細規則，“顆粒度要更細一些。”

    世界經濟論壇（WEF）于今年1月發布的一份報告曾指出，網絡安全威脅是全世界面臨的首要風險之一。在全球范圍內頻發的惡意網絡活動促使各國不斷提高著反應速度和能力。

    《信安條例》擬規定，成立由歐盟各機構安全主管部門組成的信息安全協調小組，賦予其為實施《信安條例》制定配套指導文件以及在適當情形下采取網絡安全措施的權力。信息安全協調小組需定期與成員國的國家安全當局保持聯系，并以信息安全委員會的形式召開會議，提供咨詢意見。

    為了防止各安全機構間的工作重疊，信息安全協調小組還需常設信息保障小組、非機密信息小組、實體安全問題小組、信息系統存儲與處理認證小組、敏感機密信息分享小組五個專題小組。專題小組的成員由各主管領域的專家組成。

    “這可以協同整個歐盟機構及主體的行動，為其信息安全程序提供統一的指導。”王新銳指出，該規定有利于簡化信息安全方面的實際操作流程，提高溝通合作的效率。

    袁立志也對此持相似觀點。他還表示，歐盟機構眾多，信息安全管理主體和結構較為復雜，缺乏統一性，可能導致機構間的信息交流出現障礙，甚至產生信息安全隱患。“從定位來看，它只是建立了一個機構間的協調小組，并非有強制執行力的機構，發揮著協調統一標準及實踐的作用。”

    在信息的分級分類方面，《信安條例》擬規定，歐盟各機構組織應對其存儲和處理的所有信息進行評估和分級，并規定其有義務根據信息安全風險管理要求采取必要的安全措施。其中非機密信息分為供公眾使用的信息、正常信息和敏感非機密信息，機密信息分為絕密、秘密、保密和限制性保密四個級別。

    具體而言，根據被披露的危害程度，絕密級別的信息被定義為“未經授權進行披露，可能對歐盟一個或多個成員國的基本利益造成異常嚴重損害的信息和材料”，秘密級別為“嚴重損害”，保密級別為“可能損害”，而“限制性保密”則被定義為“可能不利于歐盟一個或多個成員國利益的信息和材料。”

    袁立志認為，在《信安條例》之前，歐盟機構組織應該已經有各自的信息分級分類標準，目前需要一部統一的法律對這些內容進行統一。《信安條例》在信息分類上給出了描述性的定義，或與舉例相結合，但沒有必要也不會包括具體的量化標準，可能在未來會發布相關指引進一步指導其落實。

    “如對信息進行分級后采取保護措施，各國在保障信息安全方面的做法都有相似之處。”他評價道，“以我國為例，對于涉及國家秘密以外的信息，我們建立了核心數據和重要數據保護體系——這些思路是相近的。”