《网络安全法》、CRA与开源——“心寄源”法律沙龙2023第七期

近日，“心寄源”法律沙龙2023第七期 | 总第十二期在开放原子开源基金会成功举办。本期沙龙邀请到了国浩律师（南京）事务所的陶冶律师，围绕前沿热点话题“《网络安全法》、CRA与开源”进行了深入浅出的讲解，并与参会嘉宾展开了务实的探讨。本期沙龙线下、线上同步开展，受到参会嘉宾的一致好评。

沙龙议程

演讲及圆桌主题：

《网络安全法》、CRA与开源

主讲嘉宾：

陶冶律师

国浩律师（南京）事务所律师

陶冶律师执业领域为软件和互联网行业法律服务。陶冶律师关注中国开源事业发展，并致力于推动中国法律职业共同体中的开源共识。

本期要点

陶冶律师从网络安全立法的基本框架、《网络安全法》第22条下的义务，以及CRA（欧盟的Cyber Resilience Act）三个方面对《网络安全法》、CRA与开源进行了深入浅出的讲解。

在第一部分“网络安全立法的基本框架”中，陶冶律师首先概述了自《网络安全法》实施以来的相关立法时间轴（如下图）。他指出，自2017年6月《网络安全法》实施起，前后历经四年多时间，直至2021年11月，才形成了“三法一条例”的体系。因此，在该体系形成前《网络安全法》起到了类似在民法典出台前民法通则的作用，覆盖范围广泛，不仅包含网络安全，还涉及数据保护、个人信息保护、内容治理等方面。

“三法一条例”（如下图）包括——《网络安全法》（“网安法”，2017.6）、《数据安全法》（“数安法”,2021.9）、《关键信息基础设施安全保护条例》（“关基保护条例”,2021.9）、《个人信息保护法》（“个保法”,2021.11）。陶冶律师指出，《网络安全法》中的“网络安全”既不是仅仅涉及狭义的“Network security”（《信息安全技术术语GB/T 25069-2022》3.616网络安全network security：对网络环境下存储、传输和处理的信息的保密性、完整性和可用性的保存。），但没有完全覆盖“Cyber security”的范围（在ISO/IEC/TS 27100-2020 标准中对Cyber security的描述是：safeguarding of people, society, organizations and nations from cyber risks.）。

在第二部分“《网络安全法》第22条下的义务”中，陶冶律师详细讲解了《网络安全法》第22条关于网络产品、服务的提供者的义务规定，并引申到《个人信息保护法》第13条关于取得个人同意的规定；此外，《网络安全法》第31条提到“关键信息基础设施的具体范围和安全保护办法由国务院制定”，该内容涉及国务院制定的《关键信息基础设施安全保护条例》。

其中《网络安全法》第22条第1、2款的重点规定拆分为以下4点：

1.网络产品、服务应当符合相关国家标准的强制性要求；

2.网络产品、服务的提供者不得设置恶意程序；

3.（网络产品、服务的提供者）发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告；

4.网络产品、服务的提供者应当为其产品、服务持续提供安全维护；在规定或者当事人约定的期限内，不得终止提供安全维护。

小卡片：法条原文

1.《中华人民共和国网络安全法》

https://flk.npc.gov.cn/detail2.html?MmM5MDlmZGQ2NzhiZjE3OTAxNjc4YmY4Mjc2ZjA5M2Q%3D

2.《中华人民共和国数据安全法》

https://flk.npc.gov.cn/detail2.html?ZmY4MDgxODE3OWY1ZTA4MDAxNzlmODg1YzdlNzAzOTI%3D

3.《中华人民共和国个人信息保护法》

https://flk.npc.gov.cn/detail2.html?ZmY4MDgxODE3YjY0NzJhMzAxN2I2NTZjYzIwNDAwNDQ%3D

4.《关键信息基础设施安全保护条例》

https://flk.npc.gov.cn/detail2.html?ZmY4MDgxODE3YjYzYjkzNTAxN2I3YmNjNDk4NzdlMGI%3D

最后，陶冶律师介绍了欧盟的CRA（Cyber Resilience Act，网络弹性法案）。草案中虽有开源软件豁免的提及，但是根据草案里的定义内容分析，实际被CRA管辖的范围是很广泛的，并不是免费开源的软件就可以豁免。陶冶律师给大家介绍分析了草案中关于manufacturers的定义及其各项法律义务。演讲结尾时陶律师还给大家介绍了应然层面判断网络安全责任归责的原则之一，即汉德公式B＜PL。汉德公式B＜PL是由法官汉德（Learned Hand）提出的：其中，B是预防事故的成本；L是一旦发生所造成的实际损失；P是事故发生的概率。即只有在潜在的致害者预防未来事故的成本小于预期事故的可能性乘预期事故损失时，判令其承担责任才具有正当性。

陶冶律师主题演讲后，与会嘉宾一起阅读讨论了CRA修订草稿里涉及开源的修订内容（Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020 and Directive 2020/1828/EC (Cyber Resilience Act)。

网址：https://www.europarl.europa.eu/doceo/document/A-9-2023-0253_EN.html

根据目前的草稿文本来看，关于开源软件，调查员意识到有必要保护这一重要的创新源泉，因此提出了修正，以确保开发者在不为其项目获得任何经济回报的情况下不应受本条例管制；尽管如此，他们认为在商业活动框架内提供的开源软件应被涵盖在内，以确保联盟生态系统的网络安全。

本期沙龙给大家的开源相关法律工作带来很多启示，取得了预期的效果，得到了与会嘉宾的一致好评。

联系我们

沙龙活动一般采取闭门的主题演讲和圆桌讨论的形式，线下、线上同步进行，时间通常在月初或月末的周五下午，可能根据节假日或主讲嘉宾时间微调。

我们欢迎有开源法律实践经验的企业法务、律师等法律专家成为沙龙成员，分享您熟悉的开源法律理论和实践，跟进业内前沿话题，展开专业、务实的探讨。

如果您有意向申请成为沙龙成员，欢迎您发邮件至salonadmin@openatom.org与我们沟通，索取如何参与沙龙的指引（随附待填写的成员信息备案表、和需要阅读同意的隐私声明及沙龙成员行为指引等材料）。衷心感谢大家对基金会及本沙龙的关注和支持！欢迎前往官网了解更多：https://www.openatom.cn/law/salon

沙龙旨在为相关专业人士提供一个畅所欲言、共建共享的交流平台，开启开源法律相关人才交流的新纪元；同时进一步推广开源文化，吸引更多人才加入到开源法律行业中。

心寄源、法同行，携手开启开源法律相关人才交流的新纪元！

声明：沙龙嘉宾的发言仅代表个人观点，除非特殊说明不代表其所在单位的观点或开放原子开源基金会的观点。

原文标题：《网络安全法》、CRA与开源——“心寄源”法律沙龙2023第七期 | 总第十二期成功召开

文章出处：【微信公众号：开放原子】欢迎添加关注！文章转载请注明出处。

声明：本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人，不代表电子发烧友网立场。文章及其配图仅供工程师学习之用，如有内容侵权或者其他违规问题，请联系本站处理。举报投诉