歐盟網絡安全新指令:對數字服務提供者有什麼影響?
繼2016年7月6日歐洲議會通過《網絡與信息安全指令》(“NIS指令”),並於2016年7月19日在歐盟官方公報公佈之後,2016年8月8日,NIS指令正式生效。負責數字單一市場的歐洲委員會副主席Andus Ansip稱,“該指令是歐盟關於網絡安全首部全面的立法,是我們發展該領域的構建基石”。的確,NIS指令將通過對歐盟成員國實施最低限度的協調性規則,以提供相應措施來促進歐盟的整體網絡安全水平。
NIS指令對兩類實體提供了相應指南:(i) 能源、交通、銀行業、金融市場基礎設施、醫療、飲用水和數字基礎設施領域的“基礎服務運營者”,和(ii) 包括比如網上市場、在線搜索引擎和雲計算服務提供者等實體在內的“數字服務提供者”。
NIS指令草案涵蓋數字服務提供者一事引起了大量爭論,受到了來自歐洲議會、多個成員國以及被歸入“數字服務提供者”定義下的實體的反對。這些反對者認為針對數字服務提供者的網絡攻擊不足以構成重大事件,因此反對額外的規定,因為額外規定可能對創新產生消極影響。雖然NIS指令終稿包含了數字服務提供者,但與基礎服務運營者相比,NIS指令對其採取了較為寬鬆的管制。 [1]
就本《評論》而言,我們將主要聚焦這類數字服務提供者。
相關條款
“數字服務提供者”(“DSP”)是指“通常經接收服務的個人請求,以電子方式[2]遠距離提供有償服務”的法人。
值得注意的是,依照NIS指令的前言規定所述,數字服務提供者並不包括“硬件生產者和軟件開發者”。因此,對數字服務提供者雖要求其技術性和組織性措施保持“最先進水平”,但“並不要求以特定方式設計、開發或生產特定商業信息和通信技術產品”。於是,NIS指令雖然包含前言規定強調軟硬件開發者使基礎服務運營者和數字服務提供者得以保護其網絡與信息系統安全的關鍵角色,指令並未對此作出額外規定。誠然,軟硬件產品已受限於與產品責任相關的現行規定。
數字服務提供者的服務涵蓋以下三類服務(NIS指令(附件III)):“在線市場”、“在線搜索引擎”和“雲計算服務”:
- “在線市場”包括“允許消費者和/或交易者在在線市場的網站或採用在線市場提供計算服務的交易者網站,與交易者達成在線銷售或服務契約的一類電子服務”。正如NIS指令的前言規定所示,該定義未涵蓋僅作為第三方服務的中間媒介來達成最終契約的在線服務。
- “在線搜索引擎”包括“允許使用者基於關鍵詞、短語或其他輸入形式的任何內容的搜索請求,搜索所有網站或某一特定語言的網站,而出現的鏈接中包含與搜索的內容相關的信息的一類電子服務”。 NIS指令的範圍既不包括對僅限於特定網站內容搜索的功能的提供,也不包括就各類交易者的特定產品或服務的價格進行比較的服務。
- “雲計算服務”指“能提供獲取可擴展的、彈性的可共享計算資源庫渠道的一類電子服務”。根據NIS指令的前言規定,這種計算服務包括比如網絡、服務器或其他基礎設施、存儲、應用和服務在內的資源。
值得注意的是,在立法階段,就其他服務類別的供應者的規定產生了爭議,比如流媒體、主要在線網絡遊戲、應用軟件的數字發布平台和社交網絡提供者,但它們最終被排除在指令範圍之外。
數字服務提供者的義務
安全要求。 NIS指令旨在實施“最先進水平”的措施。它需要數字服務提供者:
- 明確在歐盟境內提供服務時採用的網絡與信息系統的安全性所面臨的風險,並採取適當的技術性和組織性措施來管理此類風險。這些措施必須保持“最先進水平”並考慮以下因素:(i) 系統與設施的安全;(ii) 突發事件管理;(iii) 業務持續性管理;(iv) 監控、審計與測試;和( v) 遵守國際標準。
- 為確保服務的連續性,採取措施防止突發事件對在歐盟境內提供服務的網絡與信息系統安全產生影響,並最小化該種影響。
突發事件通知要求。發生對歐盟境內提供服務有重大影響的任何突發事件,數字服務提供者必須立即告知主管機構或歐盟成員國指定的“計算機安全應急響應小組”(“應急響應小組”)。通知必須包括能使主管機構或應急響應小組確定任何跨境影響嚴重性的信息。但是,通知方不因該通知而負更多責任。
在確定突發事件影響的重要性時,應考慮NIS指令中的以下因素:
- 受突發事件影響的用戶數量,特別是依賴該服務來提供自身服務的用戶;
- 突發事件的持續時間;
- 受突發事件影響區域的地理分佈;
- 服務功能的破壞程度;
- 對經濟和社會活動的影響程度。
只有當數字服務提供者已獲取需對突發事件就上述因素有關的影響進行評估的信息時,通知義務才適用。
指令的實施、通知後程序和強制執行
關於NIS指令的實施,歐盟成員國需要採取指令就歐盟境內網絡安全監管措施的策略,創建歐盟成員國解決跨境安全突發事件的計算機安全應急響應團隊,並成立鼓勵歐盟成員國交換信息的統一戰略合作小組。
網絡與信息系統安全的國家策略。歐盟成員國必須採取具有明確目標的國家策略以及合適的政策和監管措施,以實現高級別的安全。為此,歐盟成員國必須指定:
- 負責協調問題促進跨境合作的國家單一聯絡點;
- 通過提供預先警告和警報、與利益相關者分享關於突發事件和風險的信息、建立關於在線活動和相關風險的公共意識、並致力於發展網絡安全標準化實踐,負責以國家層面來處理風險和突發事件的一個或多個應急響應小組。
通知後程序。在諮詢過相關數字服務提供者後,如果被通知的主管機構或應急響應小組(及適用情況下其他相關的歐盟成員國機構或應急響應小組)認定為了阻止突發事件或對正在進行中的突發事件作出響應,有必要引起公眾注意,或認定披露突發事件以其他形式關乎公眾利益,則可向公眾告知個別突發事件或要求數據服務提供者做此告知。
強制執行。若有證據表明數字服務提供者並未遵守安全通知或突發事件通知的規定,歐盟成員國應確保主管機構採取行動;如有必要,可通過事後監督活動進行。這些證據可由提供服務所在的其他成員國的主管機構提交。
關於上述事後監督,主管機構有權:
- 要求數據提供者提供評估他們的網絡和信息系統安全性所需的信息,包括有明文規定的安全政策;
- 要求數據提供者對任何不符合安全和突發事件通知要求的事項進行救濟。
NIS指令要求歐盟成員國製定適用於違反依據指令而採用的國家規定的處罰規則,並採取所有必要措施確保這些規則的強制實施。處罰僅需是“有效、適當且有勸誡性的”,因此每個成員國可自行就不合規的行為製定具體的製裁規定。
指令的管轄權和領土權/治外法權的範圍
數據服務提供者被視為受其主要設立地點(即總部)所在的歐盟成員國的司法管轄。
如果數據服務提供者的主要設立地點在某歐盟成員國境內,但其網絡和信息系統卻位於另一個或其他幾個成員國,則該主要設立地點所在的成員國的主管機構和其他成員國主管機構必須進行相互合作和協助。
為促進安全規定和突發事件通知程序的統一實施,NIS指令鼓勵相關規則的標準化。
主要設立地點在歐盟境外的數據服務提供者若在歐盟境內提供服務,仍可能被納入指令範圍之內。若此,他們必須在歐盟境內指定一名代理人。不過,根據NIS指令,僅通過在歐盟境內可登陸數據服務提供者的網站,或可獲取其電子郵箱地址或其他聯繫方式,並不足以構成此等判斷。然而,因素諸如數據服務提供者使用在一個或多個歐盟成員國普遍使用的語言或貨幣,且可以此等語言定制服務,和/或提及位於歐盟的顧客或使用者,可使得該數據服務提供者實際上設想在歐盟境內提供服務的事實顯而易見。
與一般數據保護規定的關係
作為數字服務提供者的數據控制器和處理器可能同時受制於NIS指令和《一般數據保護條例》(“GDPR”)(2016年4月27日第2016/679號(歐盟)條例),後者涵蓋了歐盟數據主體的各類新保護措施,以及對不合規行為的重大罰款和懲罰。因此數據保護突發事件可能同時觸發兩項規定下的通知義務。
但是,NIS指令和GDPR下的數據保護類型有重大區別。 NIS指令涵蓋了數據洩漏的任何類型,而GDPR下的保護數據則限於“個人數據”,其定義是“關於明確的或可確定的自然人(“數據主體”)的任何信息”。
此外,NIS指令不僅包含數據洩漏,也包含能夠影響數字服務提供者網絡安全和影響服務提供的任何“突發事件”。
展望
歐盟成員國將在2018年5月9日之前,將NIS指令落實到期國家法律中。
NIS指令將要求數字服務提供者和其他相關實體在符合指令規定的前提下,仔細審查現有網絡安全並建立適當的突發事件通知措施。
NIS指令範圍內的實體必須實施“最先進水平的”安全措施,“應確保與風險相適應的安全級別”。為落實這一安全級別,企業必須要有可審計的綜合安全計劃。為做好準備工作,企業應:
- 在高級管理層內部指定個人或小組評估NIS指令對該企業的適用性,並發展準備計劃。
- 進行安全影響評估。
- 審查所有的內部安全程序,並做好國家機關規定的自我審計能力。
- 配合董事會、主要法務專員和其他高級管理人員,採取內部安全和應急響應策略。
- 遵守洩密報告的規定,迅速實施突發事件應急響應計劃。
- 考慮採取將新的NIS威脅信息共享計劃納入在內的安全策略。
NIS指令或將涉及歐盟境外設立的實體,這使得各公司需要評估其活動是否可能導致其被納入指令範圍。鑑於各個歐盟成員國還未確定對違規行為的處罰,各公司更需要確保自身未與NIS指令產生衝突。
律師聯繫方式
如需獲取更多信息,請聯繫您的律所委託代表或下述所列任一律師。普通郵件信息可通過 “聯繫我們”表格發送,詳見www.jonesday.com/contactus/。
袁黎明
上海
+86.21.2201.8106
lyuan@jonesday.com
Undine von Diemar
慕尼黑
+49.89.20.60.42.200
uvondiemar@jonesday.com
Jorg Hladjk
布魯塞爾
+32.2.645.15.30
jhladjk@jonesday.com
Mauricio F. Paez
紐約
+1.212.326.7889
mfpaez@jonesday.com
Todd S. McClelland
亞特蘭大
+1.404.581.8326
tmcclelland@jonesday.com
Gregory P. Silberman
矽谷
+1. 650.739.3954
gpsilberman@jonesday.com
Jonathon Little
倫敦
+44.20.7039.5224
jrlittle@jonesday.com
Remy Fekete
巴黎
+33.1.56.59.39.90
rfekete@jonesday.com
Elizabeth Robertson
倫敦
+44.20.7039.5204
erobertson@jonesday.com
Rhys E. Thomas
倫敦
+44.20.7039.5101
rethomas@jonesday.com
Paloma Bru
馬德里
+34.91.520.3985
pbru@jonesday.com
Laurent De Muyter
布魯塞爾
+32.2.645.15.13
ldemuyter@jonesday.com
Olivier Haas
巴黎
+33.1.56.59.38.84
ohaas@jonesday.com
Giuseppe Mezzapesa
米蘭
+39.02.7645.4001
gmezzapesa@jonesday.com
註釋
[1] 例如:數字服務提供者只需就具有“實質影響”的突發事件進行通知,而基本服務運營者必須就任何具有“重大影響”的突發事件進行通知,而“重大影響”涉及的範圍更為寬泛,且認定此類突發事件的指標的定義更狹窄。
[2] “電子手段”包括那些“為處理(包括數字壓縮)和存儲數據通過電子設備在其終端進行最初發送和接收,以及完全通過電報、無線、光纖手段或其他電磁手段傳送、傳達和接收”的服務(2015年9月9日歐洲議會和歐洲理事會第2015/1535號(歐盟)指令第1(1)(b)條,規定了技術條例和信息社會服務規則領域的信息規定程序) 。
以上文章為翻譯版,點擊閱讀英文原版。
本內容僅作一般信息之用,未經眾達事先書面同意不得在任何其他公開出版物或程序中進行引用或引述,眾達將自行決定是否授予該事先書面同意。如需獲取我們所刊文章的轉載許可,請使用“聯繫我們”表格,詳見官網www.jonesday.com。郵寄及接收本文並不創設或不構成律師—客戶關係。本文所述觀點僅為作者個人意見,並不代表本所觀點。
