欧盟委员会同时发布《信息安全条例》提案和《网络安全条例》提案

    据欧盟委员会官网消息，当地时间3月22日，欧盟委员会同时发布《信息安全条例》提案（下称《信安条例》）和《网络安全条例》提案（下称《网安条例》），旨在加强其面对网络威胁事件的反应能力，确保欧洲公共行政部门安全。

    值得注意的是，《信安条例》拟要求成立由欧盟各机构安全主管部门组成的信息安全协调小组，赋予其制定配套指导文件及采取网络安全措施的权力。该小组需定期与成员国的国家安全当局保持联系，并以信息安全委员会的形式召开会议，提供咨询意见。

    有专家告诉南都记者，此规定有利于协同整个欧盟机构和组织的行动，为其信息安全业务提供统一指导。另外，这还有利于简化信息安全方面的实际操作流程，提高沟通合作的效率，避免机构间的信息交流出现障碍。

    “欧盟各机构及组织要么根据其议事规则或创始法案制定了属于自己的信息安全规范，要么根本没有。他们缺乏一份正式的信息安全法规。”《信安条例》在介绍其出台背景时写道，它旨在创建适用于所有联盟机构的最低标准的信息安全规范，将适用于欧盟各机构及组织所存储和处理的所有信息。

    《信安条例》出台前，欧盟已在探索建立各机构间共同的信息安全措施方面做出多次尝试，其中较早可追溯至2016年7月由欧洲议会和理事会通过的一份关于提高欧盟网络和信息系统整体安全水平措施的指令——这是欧盟范围内首个旨在加强成员国之间网络安全合作的立法措施。

    2020年7月，欧盟委员会通过了《安全联盟战略》，提议在所有欧盟机构间创建一套最低限度的信息安全规范，试图在欧洲行政当局构建起同样水平的信息保护标准。同年12月，欧盟委员会通过《网络安全战略》，指出面对网络威胁事件时应采取的优先措施和关键行动，提出各机构应确立同等的信息安全标准。

    “本提案是欧洲《安全联盟战略》的一部分，旨在完善其监管框架。”《信安条例》内容显示，它的总体目标是欧盟各机构组织所存储和处理的非机密信息和机密信息都得以实现高水平的共同安全，使欧洲行政当局免受外部干扰和间谍活动的影响。

    欧盟的预算和行政专员约翰内斯·哈恩（Johannes Hahn）就《信安条例》发表声明称，在互联网环境中，一次网络安全事故就可能影响整个组织，因此要建立一个能抵御网络威胁事件的强大屏障。《信安条例》是欧盟信息安全领域的一个里程碑，其以欧盟各机构间的协调一致和相互支持为基础，是欧盟集体努力的成果。

    在《信安条例》公布的同一天，欧盟委员会还公布了《网安条例》，旨在网络安全领域构建起一个风险控制和治理框架。《网安条例》要求在欧盟各机构组织间建立网络安全委员会以推动该提案施行，各组织至少每三年进行一次网络安全成熟度评估，评估内容包括其所处环境的所有因素。

    世辉律师事务所合伙人王新锐在介绍二者联系时指出，《信安条例》和《网安条例》共同建立起一种基于相同标准及程序开展的跨机构合作模式，进而构建起网络安全风险控制、信息交互保障的安全治理框架。“比如，《信安条例》要建立信息安全协调小组，《网安条例》要成立网络安全委员会，都是为了推动和监督相关提案的实施。”

    北京师范大学互联网发展研究院院长助理、博导、中国互联网协会研究中心副主任吴沈括认为，《信安条例》侧重从信息安全角度看待欧盟各机构的内容治理，强调包括信息分类在内的经典信息安全元素；而《网安条例》是从技术和组织管理层面强调网络安全能力的建设。

    在资深数据法律师袁立志看来，这两部提案的共同目标是加强欧盟各机构组织间在网络安全和信息安全层面的协调和统一。

    “在欧盟相关机构组织众多并不断扩张的情况下，各机构在网络安全和信息安全管理方面缺乏统一协调。”他解释，两部提案解决的问题对象和领域有所区别，网络安全相对更宽泛，它针对网络和信息系统及其使用者与相关方所面临的各种威胁，而信息安全则聚焦于确保信息的真实、保密、完整、可用等。

    具体来看，《网安条例》条文比较简单，以建立治理框架为主，并不提供具体规则或安全措施；《信安条例》的内容相对更加具体，其会为信息如何分类、管理以及在机构间的流动设置详细规则，“颗粒度要更细一些。”

    世界经济论坛（WEF）于今年1月发布的一份报告曾指出，网络安全威胁是全世界面临的首要风险之一。在全球范围内频发的恶意网络活动促使各国不断提高着反应速度和能力。

    《信安条例》拟规定，成立由欧盟各机构安全主管部门组成的信息安全协调小组，赋予其为实施《信安条例》制定配套指导文件以及在适当情形下采取网络安全措施的权力。信息安全协调小组需定期与成员国的国家安全当局保持联系，并以信息安全委员会的形式召开会议，提供咨询意见。

    为了防止各安全机构间的工作重叠，信息安全协调小组还需常设信息保障小组、非机密信息小组、实体安全问题小组、信息系统存储与处理认证小组、敏感机密信息分享小组五个专题小组。专题小组的成员由各主管领域的专家组成。

    “这可以协同整个欧盟机构及主体的行动，为其信息安全程序提供统一的指导。”王新锐指出，该规定有利于简化信息安全方面的实际操作流程，提高沟通合作的效率。

    袁立志也对此持相似观点。他还表示，欧盟机构众多，信息安全管理主体和结构较为复杂，缺乏统一性，可能导致机构间的信息交流出现障碍，甚至产生信息安全隐患。“从定位来看，它只是建立了一个机构间的协调小组，并非有强制执行力的机构，发挥着协调统一标准及实践的作用。”

    在信息的分级分类方面，《信安条例》拟规定，欧盟各机构组织应对其存储和处理的所有信息进行评估和分级，并规定其有义务根据信息安全风险管理要求采取必要的安全措施。其中非机密信息分为供公众使用的信息、正常信息和敏感非机密信息，机密信息分为绝密、秘密、保密和限制性保密四个级别。

    具体而言，根据被披露的危害程度，绝密级别的信息被定义为“未经授权进行披露，可能对欧盟一个或多个成员国的基本利益造成异常严重损害的信息和材料”，秘密级别为“严重损害”，保密级别为“可能损害”，而“限制性保密”则被定义为“可能不利于欧盟一个或多个成员国利益的信息和材料。”

    袁立志认为，在《信安条例》之前，欧盟机构组织应该已经有各自的信息分级分类标准，目前需要一部统一的法律对这些内容进行统一。《信安条例》在信息分类上给出了描述性的定义，或与举例相结合，但没有必要也不会包括具体的量化标准，可能在未来会发布相关指引进一步指导其落实。

    “如对信息进行分级后采取保护措施，各国在保障信息安全方面的做法都有相似之处。”他评价道，“以我国为例，对于涉及国家秘密以外的信息，我们建立了核心数据和重要数据保护体系——这些思路是相近的。”