据欧盟委员会官网消息,当地时间3月22日,欧盟委员会同时发布《信息安全条例》提案(下称《信安条例》)和《网络安全条例》提案(下称《网安条例》),旨在加强其面对网络威胁事件的反应能力,确保欧洲公共行政部门安全。
欧盟委员会官网
值得注意的是,《信安条例》拟要求成立由欧盟各机构安全主管部门组成的信息安全协调小组,赋予其制定配套指导文件及采取网络安全措施的权力。该小组需定期与成员国的国家安全当局保持联系,并以信息安全委员会的形式召开会议,提供咨询意见。
有专家告诉南都记者,此规定有利于协同整个欧盟机构和组织的行动,为其信息安全业务提供统一指导。另外,这还有利于简化信息安全方面的实际操作流程,提高沟通合作的效率,避免机构间的信息交流出现障碍。
1
适用于所有机构的最低标准
“欧盟各机构及组织要么根据其议事规则或创始法案制定了属于自己的信息安全规范,要么根本没有。他们缺乏一份正式的信息安全法规。”《信安条例》在介绍其出台背景时写道,它旨在创建适用于所有联盟机构的最低标准的信息安全规范,将适用于欧盟各机构及组织所存储和处理的所有信息。
《信安条例》出台前,欧盟已在探索建立各机构间共同的信息安全措施方面作出多次尝试,其中较早可追溯至2016年7月由欧洲议会和理事会通过的一份关于提高欧盟网络和信息系统整体安全水平措施的指令——这是欧盟范围内首个旨在加强成员国之间网络安全合作的立法措施。
2020年7月,欧盟委员会通过了《安全联盟战略》,提议在所有欧盟机构间创建一套最低限度的信息安全规范,试图在欧洲行政当局构建起同样水平的信息保护标准。同年12月,欧盟委员会通过《网络安全战略》,指出面对网络威胁事件时应采取的优先措施和关键行动,提出各机构应确立同等的信息安全标准。
“本提案是欧洲《安全联盟战略》的一部分,旨在完善其监管框架。”《信安条例》内容显示,它的总体目标是欧盟各机构组织所存储和处理的非机密信息和机密信息都得以实现高水平的共同安全,使欧洲行政当局免受外部干扰和间谍活动的影响。
欧盟的预算和行政专员约翰内斯·哈恩(Johannes Hahn)就《信安条例》发表声明称,在互联网环境中,一次网络安全事故就可能影响整个组织,因此要建立一个能抵御网络威胁事件的强大屏障。《信安条例》是欧盟信息安全领域的一个里程碑,其以欧盟各机构间的协调一致和相互支持为基础,是欧盟集体努力的成果。
2
共同打造网络与信息安全的协调统一
在《信安条例》公布的同一天,欧盟委员会还公布了《网安条例》,旨在网络安全领域构建起一个风险控制和治理框架。《网安条例》要求在欧盟各机构组织间建立网络安全委员会以推动该提案施行,各组织至少每三年进行一次网络安全成熟度评估,评估内容包括其所处环境的所有因素。
世辉律师事务所合伙人王新锐在介绍二者联系时指出,《信安条例》和《网安条例》共同建立起一种基于相同标准及程序开展的跨机构合作模式,进而构建起网络安全风险控制、信息交互保障的安全治理框架。“比如,《信安条例》要建立信息安全协调小组,《网安条例》要成立网络安全委员会,都是为了推动和监督相关提案的实施。”
北京师范大学互联网发展研究院院长助理、博导、中国互联网协会研究中心副主任吴沈括认为,《信安条例》侧重从信息安全角度看待欧盟各机构的内容治理,强调包括信息分类在内的经典信息安全元素;而《网安条例》是从技术和组织管理层面强调网络安全能力的建设。
在资深数据法律师袁立志看来,这两部提案的共同目标是加强欧盟各机构组织间在网络安全和信息安全层面的协调和统一。
“在欧盟相关机构组织众多并不断扩张的情况下,各机构在网络安全和信息安全管理方面缺乏统一协调。”他解释,两部提案解决的问题对象和领域有所区别,网络安全相对更宽泛,它针对网络和信息系统及其使用者与相关方所面临的各种威胁,而信息安全则聚焦于确保信息的真实、保密、完整、可用等。
具体来看,《网安条例》条文比较简单,以建立治理框架为主,并不提供具体规则或安全措施;《信安条例》的内容相对更加具体,其会为信息如何分类、管理以及在机构间的流动设置详细规则,“颗粒度要更细一些。”
3
以描述性语言定义信息分级标准
世界经济论坛(WEF)于今年1月发布的一份报告曾指出,网络安全威胁是全世界面临的首要风险之一。在全球范围内频发的恶意网络活动促使各国不断提高着反应速度和能力。
《信安条例》拟规定,成立由欧盟各机构安全主管部门组成的信息安全协调小组,赋予其为实施《信安条例》制定配套指导文件以及在适当情形下采取网络安全措施的权力。信息安全协调小组需定期与成员国的国家安全当局保持联系,并以信息安全委员会的形式召开会议,提供咨询意见。
为了防止各安全机构间的工作重叠,信息安全协调小组还需常设信息保障小组、非机密信息小组、实体安全问题小组、信息系统存储与处理认证小组、敏感机密信息分享小组五个专题小组。专题小组的成员由各主管领域的专家组成。
“这可以协同整个欧盟机构及主体的行动,为其信息安全程序提供统一的指导。”王新锐指出,该规定有利于简化信息安全方面的实际操作流程,提高沟通合作的效率。
袁立志也对此持相似观点。他还表示,欧盟机构众多,信息安全管理主体和结构较为复杂,缺乏统一性,可能导致机构间的信息交流出现障碍,甚至产生信息安全隐患。“从定位来看,它只是建立了一个机构间的协调小组,并非有强制执行力的机构,发挥着协调统一标准及实践的作用。”
在信息的分级分类方面,《信安条例》拟规定,欧盟各机构组织应对其存储和处理的所有信息进行评估和分级,并规定其有义务根据信息安全风险管理要求采取必要的安全措施。其中非机密信息分为供公众使用的信息、正常信息和敏感非机密信息,机密信息分为绝密、秘密、保密和限制性保密四个级别。
具体而言,根据被披露的危害程度,绝密级别的信息被定义为“未经授权进行披露,可能对欧盟一个或多个成员国的基本利益造成异常严重损害的信息和材料”,秘密级别为“严重损害”,保密级别为“可能损害”,而“限制性保密”则被定义为“可能不利于欧盟一个或多个成员国利益的信息和材料。”
袁立志认为,在《信安条例》之前,欧盟机构组织应该已经有各自的信息分级分类标准,目前需要一部统一的法律对这些内容进行统一。《信安条例》在信息分类上给出了描述性的定义,或与举例相结合,但没有必要也不会包括具体的量化标准,可能在未来会发布相关指引进一步指导其落实。
“如对信息进行分级后采取保护措施,各国在保障信息安全方面的做法都有相似之处。”他评价道,“以我国为例,对于涉及国家秘密以外的信息,我们建立了核心数据和重要数据保护体系——这些思路是相近的。”
4
统一信息共享标准有利于数据流通
自新冠病毒在全球爆发以来,数字技术在现代生活中占据了重要地位。《信安条例》背景指出,疫情使公众的工作和生活方式发生了重大变化,远程通信工具发挥着重要作用,针对信息处理和保护制定的法律法规也要随之改变。
欧盟委员会官网强调,《信安条例》体现出信息安全政策的现代化趋势,包括支持数字化转型和远程工作等。在王新锐看来,有三个方面可以印证这一观点。
一是为了适应新的远程办公实践,《信安条例》要求用于连接欧盟机构远程访问服务的网络应采取适当安全措施进行保护;二是在信息安全风险管理过程中,远程访问信息的相关人员也被纳入考虑因素;三是《信安条例》广泛强调了对通信信息系统的保护,并制定了一系列安全保障措施。
在袁立志看来,《信安条例》体现出的信息安全策略数字化趋势是显而易见的。在移动互联网大环境下,以往易于管理的传统信息系统已被替代。在远程通讯工具发挥重要作用的同时,数据流动也会更加频繁,个人通讯设备与机构系统之间的交互也面临隐患。“在运用新技术和更新信息系统时,相应的安全保障自然也要适当调整。”
《信安条例》拟规定,所有欧盟的机构组织都可与其他主体共享机密信息,但需被证实是出于维护其共同利益并确有其必要,同时确保机密信息接收者能提供不低于《信安条例》规定的最低信息保护标准。
此外,要充分发挥机密信息分享专题小组的职责,与各成员国的国家安全局一起对参与信息共享的机构组织开展访问评估,并出具报告。
“这主要是为了解决信息数据重复使用的问题。”吴沈括表示,在落实该条款的过程中还存在一些难点,一方面是信息数据的格式、逻辑等仍待细化,另一方面是该共享机制与个人信息保护等其他权益的协调问题。王新锐则认为,在实践中可能面临共享意愿不足、难以达到欧盟较高评估要求等问题。
谈及信息共享问题,袁立志表示,该规定弥补了信息共享过程中的两方面漏洞。
一方面是避免正常信息的传递受到阻碍,比如在机构为了实现公共政策目的,必须相互共享部分信息时,由于各方的执行标准不统一,可能导致这些信息无法正常传递,使机构的工作效率受到影响。
另一方面是当不同机构之间的信息保护水平相差较大时,不统一的保护和共享标准可能引发安全风险。“现在两方面的漏洞都补起来了。”
采写:南都见习记者樊文扬 实习生姬涵雅