三、欧盟网络安全立法的调整和发展_网络空间治理前沿(第一卷)-QQ阅读男生武侠网

上QQ阅读APP看书，第一时间看更新

三、欧盟网络安全立法的调整和发展

由于网络安全事件频发及各国网络安全立法发展带来的挑战和压力，欧盟法在2013年以来的战略和初步立法基础上进一步寻求法律秩序的精细化，并对网络安全规范体系加以适当调整和补充，进一步提升了欧盟在网络安全法治监管领域的规范创造力和影响力。

（一）《一般数据保护条例》（2018）

2016年4月14日，欧盟议会通过《一般数据保护条例》或被译为《通用数据保护条例》。（General Data Protection Regulations，简称GDPR），该条例于2018年5月25日起正式实施。在个人信息保护领域，这一规范被称为全球规定最为严格、管辖范围最为宽泛、处罚力度最为严厉、立法水平最高的法律。主要内容如下：

1. 强化个人数据权利

该规范对个人数据的授权行为进行重新界定。个人数据授权有效必须具备以下四项要求：①授权只能够用于已清楚列明的特定用途；②授权其他事项必须不同于书面形式授权；③授权没有永久性的法律效力，数据主体可以根据其主观意愿随时撤回；④数据主体的沉默并不意味着全面意义上的数据使用授权，不意味着默示。该规范清楚规定了被遗忘权、删除权和可携带权。同时对涉及特殊风险的信息数据也作出了明确的处理规定。例如，对于可能对个人产生重大影响的数据，建立了对于数据保护影响的评估系统。另外，数据控制者必须根据数据保护影响评估的具体情况，相应采用及时有效的数据保护措施，以尽量减少数据处理可能给数据主体带来的安全风险。该规范亦规定数据主体享有法律救济途径，如可以申请司法救济并可以获得赔偿，享有针对监管机构的异议权等。

2. 明确相关主体安保责任

规范规定了数据处理者的法律责任。与数据控制者相比，数据处理者只负责使用一些特定的方法来分析相关数据，从不参与相关数据的收集和具体使用。数据处理者必须真正保护规范框架内的数据，并使数据主体的个人隐私不受侵权。

规范的一个创新是增加了企业数据保护专员系统。数据保护专员是指在公司内全职管理数据保护的人员。数据保护专员的职责主要为：及时发现并解决企业数据管理中的问题；对企业进行监控，调查核实企业是否违反规范的有关规定，并积极与数据监管机构开展相关合作。

规范规定了公司在收集数据时必须履行的报告义务。作为数据控制者，公司应在数据收集之前、数据泄露后履行通知义务，确定事件的严重程度，立即或在72小时内向监管机构报告。

规范还规定了个人数据保护的缺省原则（类似于比例原则）。除了能够实现数据隐私保护外，还需要满足：数据收集应符合之前予以明确说明的数据使用目的原则，以及数据收集尽量最少原则。

3. 完善数据资源监管机制

第一，优化监管机制。规范提出了“一站式”监管原则，即国家的数据监督机构按规范承担主要监督职责；不同成员国的数据监督组织与主要机构所在国家的监管机构合作，共同实施有效的数据监测。

第二，加强集中监管。欧盟增设了欧洲数据保护委员会，全面加强对数据的集中统一监管，该部门是欧盟等级最高的数据监管部门，向欧盟委员会负责。

第三，增加对数据违规的处罚。不管对于数据泄露其主观是否是故意，所要面对的都是巨额罚款以及行政处罚甚至是刑事犯罪，亦即对此采取严格责任，违反欧盟法规的公司将面临年度运营费用的高价处罚。

第四，完善跨境数据传输监管。对欧盟数据传输目的国或接收国的要求是，这个国家一定要有健全的个人数据或者个人信息保护法，而且数据监管部门或机构能够严格执法，切实履行保护数据主体的义务，并具有完善的司法救济制度。

该规范将保护个人数据列为一项基本人权，并对涉嫌侵犯个人隐私的行为实施了严厉制裁。GDPR在保护欧盟国家的隐私和数据安全方面发挥着重要作用的同时，也要求任何进入欧盟从事数据服务的公司必须遵守其规定。王达、伍旭川：《欧盟〈一般数据保护条例〉的主要内容及对我国的启示》，载《金融与经济》2018年第4期，第80页。

（二）欧盟网络安全法案（EU Cybersecurity Act）（2018）

2018年3月12日，欧洲议会通过了新的“欧盟网络安全法案（EU Cybersecurity Act）”，该法案确立了第一份欧盟范围的网络安全认证计划，要求在欧盟各国间销售的认证产品、流程和服务都必须遵守最高的网络安全标准。主要内容如下：

1. 强化ENISA职能

成立于2004年的欧盟网络与信息安全局ENISA（The European Network and Information Security Agency）被强化了多项职能，除了要向各成员国提供充分、及时的网络安全建议和服务外，ENISA还被要求协助制定和更新联盟一级的网络和信息系统安全战略，并促进和跟踪这些战略在成员国一级的实施，鼓励成员国间通过技术共享解决网络安全问题，协助欧盟及其成员国制定相应的信息通信设备的使用标准等网络安全法规。

2. 提高基础设施安全标准

法案规定ENISA有权要求通信设备提供商进行自我评估并予以认证。欧盟委员会和成员国在采购通信设备时，ENISA还应就如何应对网络威胁和漏洞提供指导，例如从不同供应商采购不同的设备，引入多阶段采购流程等方式，降低欧洲对外国网络安全技术依赖，加强联盟内部的供应链。除了通信产品、流程和服务外，新法案还强调了对能源网、水和银行系统等关键基础设施进行认证的重要性。