歐盟信安條例詳解：統一資訊保護共享标準，拟設機構協調小組

據歐盟委員會官網消息，當地時間3月22日，歐盟委員會同時釋出《資訊安全條例》提案（下稱《信安條例》）和《網絡安全條例》提案（下稱《網安條例》），旨在加強其面對網絡威脅事件的反應能力，確定歐洲公共行政部門安全。

歐盟委員會官網

值得注意的是，《信安條例》拟要求成立由歐盟各機構安全主管部門組成的資訊安全協調小組，賦予其制定配套指導檔案及采取網絡安全措施的權力。該小組需定期與成員國的國家安全當局保持聯系，并以資訊安全委員會的形式召開會議，提供咨詢意見。

有專家告訴南都記者，此規定有利于協同整個歐盟機構群組織的行動，為其資訊安全業務提供統一指導。另外，這還有利于簡化資訊安全方面的實際操作流程，提高溝通合作的效率，避免機構間的資訊交流出現障礙。

1

适用于所有機構的最低标準

“歐盟各機構及組織要麼根據其議事規則或創始法案制定了屬于自己的資訊安全規範，要麼根本沒有。他們缺乏一份正式的資訊安全法規。”《信安條例》在介紹其出台背景時寫道，它旨在建立适用于所有聯盟機構的最低标準的資訊安全規範，将适用于歐盟各機構及組織所存儲和處理的所有資訊。

《信安條例》出台前，歐盟已在探索建立各機構間共同的資訊安全措施方面作出多次嘗試，其中較早可追溯至2016年7月由歐洲議會和理事會通過的一份關于提高歐盟網絡和資訊系統整體安全水準措施的指令——這是歐盟範圍内首個旨在加強成員國之間網絡安全合作的立法措施。

2020年7月，歐盟委員會通過了《安全聯盟戰略》，提議在所有歐盟機構間建立一套最低限度的資訊安全規範，試圖在歐洲行政當局建構起同樣水準的資訊保護标準。同年12月，歐盟委員會通過《網絡安全戰略》，指出面對網絡威脅事件時應采取的優先措施和關鍵行動，提出各機構應确立同等的資訊安全标準。

“本提案是歐洲《安全聯盟戰略》的一部分，旨在完善其監管架構。”《信安條例》内容顯示，它的總體目标是歐盟各機構組織所存儲和處理的非機密資訊和機密資訊都得以實作高水準的共同安全，使歐洲行政當局免受外部幹擾和間諜活動的影響。

歐盟的預算和行政專員約翰内斯·哈恩（Johannes Hahn）就《信安條例》發表聲明稱，在網際網路環境中，一次網絡安全事故就可能影響整個組織，是以要建立一個能抵禦網絡威脅事件的強大屏障。《信安條例》是歐盟資訊安全領域的一個裡程碑，其以歐盟各機構間的協調一緻和互相支援為基礎，是歐盟集體努力的成果。

2

共同打造網絡與資訊安全的協調統一

在《信安條例》公布的同一天，歐盟委員會還公布了《網安條例》，旨在網絡安全領域建構起一個風險控制和治理架構。《網安條例》要求在歐盟各機構組織間建立網絡安全委員會以推動該提案施行，各組織至少每三年進行一次網絡安全成熟度評估，評估内容包括其所處環境的所有因素。

世輝律師事務所合夥人王新銳在介紹二者聯系時指出，《信安條例》和《網安條例》共同建立起一種基于相同标準及程式開展的跨機構合作模式，進而建構起網絡安全風險控制、資訊互動保障的安全治理架構。“比如，《信安條例》要建立資訊安全協調小組，《網安條例》要成立網絡安全委員會，都是為了推動和監督相關提案的實施。”

北京師範大學網際網路發展研究院院長助理、博導、中國網際網路協會研究中心副主任吳沈括認為，《信安條例》側重從資訊安全角度看待歐盟各機構的内容治理，強調包括資訊分類在内的經典資訊安全元素；而《網安條例》是從技術群組織管理層面強調網絡安全能力的建設。

在資深資料法律師袁立志看來，這兩部提案的共同目标是加強歐盟各機構組織間在網絡安全和資訊安全層面的協調和統一。

“在歐盟相關機構組織衆多并不斷擴張的情況下，各機構在網絡安全和資訊安全管理方面缺乏統一協調。”他解釋，兩部提案解決的問題對象和領域有所差別，網絡安全相對更寬泛，它針對網絡和資訊系統及其使用者與相關方所面臨的各種威脅，而資訊安全則聚焦于確定資訊的真實、保密、完整、可用等。

具體來看，《網安條例》條文比較簡單，以建立治理架構為主，并不提供具體規則或安全措施；《信安條例》的内容相對更加具體，其會為資訊如何分類、管理以及在機構間的流動設定詳細規則，“顆粒度要更細一些。”

3

以描述性語言定義資訊分級标準

世界經濟論壇（WEF）于今年1月釋出的一份報告曾指出，網絡安全威脅是全世界面臨的首要風險之一。在全球範圍内頻發的惡意網絡活動促使各國不斷提高着反應速度和能力。

《信安條例》拟規定，成立由歐盟各機構安全主管部門組成的資訊安全協調小組，賦予其為實施《信安條例》制定配套指導檔案以及在适當情形下采取網絡安全措施的權力。資訊安全協調小組需定期與成員國的國家安全當局保持聯系，并以資訊安全委員會的形式召開會議，提供咨詢意見。

為了防止各安全機構間的工作重疊，資訊安全協調小組還需常設資訊保障小組、非機密資訊小組、實體安全問題小組、資訊系統存儲與處理認證小組、敏感機密資訊分享小組五個專題小組。專題小組的成員由各主管領域的專家組成。

“這可以協同整個歐盟機構及主體的行動，為其資訊安全程式提供統一的指導。”王新銳指出，該規定有利于簡化資訊安全方面的實際操作流程，提高溝通合作的效率。

袁立志也對此持相似觀點。他還表示，歐盟機構衆多，資訊安全管理主體和結構較為複雜，缺乏統一性，可能導緻機構間的資訊交流出現障礙，甚至産生資訊安全隐患。“從定位來看，它隻是建立了一個機構間的協調小組，并非有強制執行力的機構，發揮着協調統一标準及實踐的作用。”

在資訊的分級分類方面，《信安條例》拟規定，歐盟各機構組織應對其存儲和處理的所有資訊進行評估和分級，并規定其有義務根據資訊安全風險管理要求采取必要的安全措施。其中非機密資訊分為供公衆使用的資訊、正常資訊和敏感非機密資訊，機密資訊分為絕密、秘密、保密和限制性保密四個級别。

具體而言，根據被披露的危害程度，絕密級别的資訊被定義為“未經授權進行披露，可能對歐盟一個或多個成員國的基本利益造成異常嚴重損害的資訊和材料”，秘密級别為“嚴重損害”，保密級别為“可能損害”，而“限制性保密”則被定義為“可能不利于歐盟一個或多個成員國利益的資訊和材料。”

袁立志認為，在《信安條例》之前，歐盟機構組織應該已經有各自的資訊分級分類标準，目前需要一部統一的法律對這些内容進行統一。《信安條例》在資訊分類上給出了描述性的定義，或與舉例相結合，但沒有必要也不會包括具體的量化标準，可能在未來會釋出相關指引進一步指導其落實。

“如對資訊進行分級後采取保護措施，各國在保障資訊安全方面的做法都有相似之處。”他評價道，“以大陸為例，對于涉及國家秘密以外的資訊，我們建立了核心資料和重要資料保護體系——這些思路是相近的。”

4

統一資訊共享标準有利于資料流通

自新冠病毒在全球爆發以來，數字技術在現代生活中占據了重要地位。《信安條例》背景指出，疫情使公衆的工作和生活方式發生了重大變化，遠端通信工具發揮着重要作用，針對資訊處理和保護制定的法律法規也要随之改變。

歐盟委員會官網強調，《信安條例》展現出資訊安全政策的現代化趨勢，包括支援數字化轉型和遠端工作等。在王新銳看來，有三個方面可以印證這一觀點。

一是為了适應新的遠端辦公實踐，《信安條例》要求用于連接配接歐盟機構遠端通路服務的網絡應采取适當安全措施進行保護；二是在資訊安全風險管理過程中，遠端通路資訊的相關人員也被納入考慮因素；三是《信安條例》廣泛強調了對通信資訊系統的保護，并制定了一系列安全保障措施。

在袁立志看來，《信安條例》展現出的資訊安全政策數字化趨勢是顯而易見的。在移動網際網路大環境下，以往易于管理的傳統資訊系統已被替代。在遠端通訊工具發揮重要作用的同時，資料流動也會更加頻繁，個人通訊裝置與機構系統之間的互動也面臨隐患。“在運用新技術和更新資訊系統時，相應的安全保障自然也要适當調整。”

《信安條例》拟規定，所有歐盟的機構組織都可與其他主體共享機密資訊，但需被證明是出于維護其共同利益并确有其必要，同時確定機密資訊接收者能提供不低于《信安條例》規定的最低資訊保護标準。

此外，要充分發揮機密資訊分享專題小組的職責，與各成員國的國家安全局一起對參與資訊共享的機構組織開展通路評估，并出具報告。

“這主要是為了解決資訊資料重複使用的問題。”吳沈括表示，在落實該條款的過程中還存在一些難點，一方面是資訊資料的格式、邏輯等仍待細化，另一方面是該共享機制與個人資訊保護等其他權益的協調問題。王新銳則認為，在實踐中可能面臨共享意願不足、難以達到歐盟較高評估要求等問題。

談及資訊共享問題，袁立志表示，該規定彌補了資訊共享過程中的兩方面漏洞。

一方面是避免正常資訊的傳遞受到阻礙，比如在機構為了實作公共政策目的，必須互相共享部分資訊時，由于各方的執行标準不統一，可能導緻這些資訊無法正常傳遞，使機構的工作效率受到影響。

另一方面是當不同機構之間的資訊保護水準相差較大時，不統一的保護和共享标準可能引發安全風險。“現在兩方面的漏洞都補起來了。”

采寫：南都見習記者樊文揚 實習生姬涵雅