《网络安全法》、CRA与开源——“心寄源”法律沙龙2023第七期

近日，“心寄源”法律沙龙2023第七期 | 总第十二期在开放原子开源基金会成功举办。本期沙龙邀请到了国浩律师（南京）事务所的陶冶律师，围绕前沿热点话题“《网络安全法》、CRA与开源”进行了深入浅出的讲解，并与参会嘉宾展开了务实的探讨。本期沙龙线下、线上同步开展，受到参会嘉宾的一致好评。

沙龙议程

演讲及圆桌主题：

《网络安全法》、CRA与开源

主讲嘉宾：

陶冶律师

国浩律师（南京）事务所律师

陶冶律师执业领域为软件和互联网行业法律服务。陶冶律师关注中国开源事业发展，并致力于推动中国法律职业共同体中的开源共识。

本期要点

陶冶律师从网络安全立法的基本框架、《网络安全法》第22条下的义务，以及CRA（欧盟的Cyber Resilience Act）三个方面对《网络安全法》、CRA与开源进行了深入浅出的讲解。

在第一部分“网络安全立法的基本框架”中，陶冶律师首先概述了自《网络安全法》实施以来的相关立法时间轴（如下图）。他指出，自2017年6月《网络安全法》实施起，前后历经四年多时间，直至2021年11月，才形成了“三法一条例”的体系。因此，在该体系形成前《网络安全法》起到了类似在民法典出台前民法通则的作用，覆盖范围广泛，不仅包含网络安全，还涉及数据保护、个人信息保护、内容治理等方面。

“三法一条例”（如下图）包括——《网络安全法》（“网安法”，2017.6）、《数据安全法》（“数安法”,2021.9）、《关键信息基础设施安全保护条例》（“关基保护条例”,2021.9）、《个人信息保护法》（“个保法”,2021.11）。陶冶律师指出，《网络安全法》中的“网络安全”既不是仅仅涉及狭义的“Network security”（《信息安全技术术语GB/T 25069-2022》3.616网络安全network security：对网络环境下存储、传输和处理的信息的保密性、完整性和可用性的保存。），但没有完全覆盖“Cyber security”的范围（在ISO/IEC/TS 27100-2020 标准中对Cyber security的描述是：safeguarding of people, society, organizations and nations from cyber risks.）。

在第二部分“《网络安全法》第22条下的义务”中，陶冶律师详细讲解了《网络安全法》第22条关于网络产品、服务的提供者的义务规定，并引申到《个人信息保护法》第13条关于取得个人同意的规定；此外，《网络安全法》第31条提到“关键信息基础设施的具体范围和安全保护办法由国务院制定”，该内容涉及国务院制定的《关键信息基础设施安全保护条例》。

其中《网络安全法》第22条第1、2款的重点规定拆分为以下4点：

1.网络产品、服务应当符合相关国家标准的强制性要求；

2.网络产品、服务的提供者不得设置恶意程序；

3.（网络产品、服务的提供者）发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告；

4.网络产品、服务的提供者应当为其产品、服务持续提供安全维护；在规定或者当事人约定的期限内，不得终止提供安全维护。

小卡片：法条原文

1.《中华人民共和国网络安全法》

https://flk.npc.gov.cn/detail2.html?MmM5MDlmZGQ2NzhiZjE3OTAxNjc4YmY4Mjc2ZjA5M2Q%3D

2.《中华人民共和国数据安全法》

https://flk.npc.gov.cn/detail2.html?ZmY4MDgxODE3OWY1ZTA4MDAxNzlmODg1YzdlNzAzOTI%3D

3.《中华人民共和国个人信息保护法》

https://flk.npc.gov.cn/detail2.html?ZmY4MDgxODE3YjY0NzJhMzAxN2I2NTZjYzIwNDAwNDQ%3D

4.《关键信息基础设施安全保护条例》

https://flk.npc.gov.cn/detail2.html?ZmY4MDgxODE3YjYzYjkzNTAxN2I3YmNjNDk4NzdlMGI%3D

最后，陶冶律师介绍了欧盟的CRA（Cyber Resilience Act，网络弹性法案）。草案中虽有开源软件豁免的提及，但是根据草案里的定义内容分析，实际被CRA管辖的范围是很广泛的，并不是免费开源的软件就可以豁免。陶冶律师给大家介绍分析了草案中关于manufacturers的定义及其各项法律义务。演讲结尾时陶律师还给大家介绍了应然层面判断网络安全责任归责的原则之一，即汉德公式B＜PL。汉德公式B＜PL是由法官汉德（Learned Hand）提出的：其中，B是预防事故的成本；L是一旦发生所造成的实际损失；P是事故发生的概率。即只有在潜在的致害者预防未来事故的成本小于预期事故的可能性乘预期事故损失时，判令其承担责任才具有正当性。

陶冶律师主题演讲后，与会嘉宾一起阅读讨论了CRA修订草稿里涉及开源的修订内容（Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020 and Directive 2020/1828/EC (Cyber Resilience Act)。

网址：https://www.europarl.europa.eu/doceo/document/A-9-2023-0253_EN.html

根据目前的草稿文本来看，关于开源软件，调查员意识到有必要保护这一重要的创新源泉，因此提出了修正，以确保开发者在不为其项目获得任何经济回报的情况下不应受本条例管制；尽管如此，他们认为在商业活动框架内提供的开源软件应被涵盖在内，以确保联盟生态系统的网络安全。

本期沙龙给大家的开源相关法律工作带来很多启示，取得了预期的效果，得到了与会嘉宾的一致好评。

联系我们

沙龙活动一般采取闭门的主题演讲和圆桌讨论的形式，线下、线上同步进行，时间通常在月初或月末的周五下午，可能根据节假日或主讲嘉宾时间微调。

我们欢迎有开源法律实践经验的企业法务、律师等法律专家成为沙龙成员，分享您熟悉的开源法律理论和实践，跟进业内前沿话题，展开专业、务实的探讨。

如果您有意向申请成为沙龙成员，欢迎您发邮件至salonadmin@openatom.org与我们沟通，索取如何参与沙龙的指引（随附待填写的成员信息备案表、和需要阅读同意的隐私声明及沙龙成员行为指引等材料）。衷心感谢大家对基金会及本沙龙的关注和支持！欢迎前往官网了解更多：https://www.openatom.cn/law/salon

沙龙旨在为相关专业人士提供一个畅所欲言、共建共享的交流平台，开启开源法律相关人才交流的新纪元；同时进一步推广开源文化，吸引更多人才加入到开源法律行业中。

心寄源、法同行，携手开启开源法律相关人才交流的新纪元！

声明：沙龙嘉宾的发言仅代表个人观点，除非特殊说明不代表其所在单位的观点或开放原子开源基金会的观点。

原文标题：《网络安全法》、CRA与开源——“心寄源”法律沙龙2023第七期 | 总第十二期成功召开

文章出处：【微信公众号：开放原子】欢迎添加关注！文章转载请注明出处。

声明：本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人，不代表德赢Vwin官网网立场。文章及其配图仅供工程师学习之用，如有内容侵权或者其他违规问题，请联系本站处理。举报投诉

OpenHarmony

OpenHarmony

+关注

关注
25

文章
3713

浏览量
16251
开放原子基金会

开放原子基金会

+关注

关注
1

文章
483

浏览量
5184

原文标题：《网络安全法》、CRA与开源——“心寄源”法律沙龙2023第七期 | 总第十二期成功召开

文章出处：【微信号：开放原子，微信公众号：开放原子】欢迎添加关注！文章转载请注明出处。

达实久信亮相第十二届健康界医院管理大会

近期，第十二届健康界医院管理大会暨全民健康管理(海口)大会、县域医共体高质量发展大会隆重召开。本届大会「三会合一」，共设置四场主论坛、56场分论坛，500多位医疗健康领军人物输出优质内容，吸引6000多人参会观展。

发表于 12-05 09:33 •136次阅读

芯盾时代连续入选“中国网络安全企业100强”

日前，国内知名网络安全媒体安全牛正式发布“中国网络安全企业100强（第十二版）”。芯盾时代作为领先的零信任业务安全产品方案提供商，凭借在企业

发表于 12-02 11:58 •98次阅读

OSI七层模型和网络安全的关系

开放系统互联（OSI）模型是一个概念框架，用于标准化网络通信过程。它将网络通信过程划分为七个层次，每一层都有其特定的功能和协议。网络安全是指保护网络

发表于 11-24 11:08 •305次阅读

中汽中心受邀参加第十二届汽车被动安全技术及标准法规研讨会

日前，由中国汽车标准化研究院、吉利汽车研究院联合主办的第十二届汽车被动安全技术及标准法规研讨会(以下简称“研讨会”)在杭州成功召开。中国汽车技术研究中心有限公司(以下简称“中汽中心”)

发表于 08-15 15:33 •607次阅读

安数云出席第十二届互联网安全大会（ISC.AI 2024）

7月31日，第十二届互联网安全大会（ISC.AI 2024）在北京开幕。安数云出席本次会议，并做了主题演讲。当前万物互联、产业数字化日趋明显，经济社会运行和人民生产生活对关键信息基础设施

发表于 08-06 13:28 •302次阅读

奥托立夫亮相第十二届汽车被动安全技术及标准法规研讨会

2024年7月24日—7月25日，第十二届汽车被动安全技术及标准法规研讨会在中国杭州召开。奥托立夫出席参加了此次汽车安全盛会，并发表主题演讲，进行技术展览，通过行业研讨和技术交流合作一

发表于 07-26 10:43 •879次阅读

欧盟《网络弹性法案》CRA概述

保护。什么是CRA（网络弹性法案）？欧盟网络安全弹性法案（CRA）是欧盟委员会于2022年9月15日提出的一项欧盟网络安全法规。确定了两个主

发表于 06-14 08:31 •1443次阅读

华为IP Club金融安全网络技术沙龙成功举办，助力智能防御建设

以“品智联接无界成长”为主题的华为IP Club中国行上海金融安全网络技术沙龙在杭州成功举办。

发表于 05-19 11:05 •530次阅读

万里红入选《网络安全行业全景图(第十一版)》六大一级类别

近日，国内网络安全权威媒体安全牛正式发布《网络安全行业全景图(第十一版)》(以下简称“全景图”)。

发表于 04-16 10:52 •541次阅读

宏旺微电子携多款存储产品亮相第十二届电子信息博览会（CITE2024）

4月9日，第十二届电子信息博览会（CITE2024）暨新一代先进制造产业集群展在深圳会展中心（福田）召开，本次展会聚焦智慧家庭、新型显示、高端半导体、信创、大数据与存储、特种电子、人工智能、绿色消费电子、基础元器件等行业热点，大会吸引了超1500家企业参展，逾5000项科

发表于 04-12 10:08 •388次阅读

第十二届中国电子信息博览会（CITE2024）圆满落幕

4 月 9-11 日，以“追求卓越，数创未来”为主题的第十二届中国电子信息博览会（CITE2024）在深圳举行。

发表于 04-12 09:16 •383次阅读

企业如何遵守数据安全法规进行SAP数据脱敏处理？

规体系，以确保国家利益、企业发展和公民权益不受侵害。本文将结合中国数据安全法规，探讨SNP TDO工具在数据脱敏方面的应用价值。近年来，我国数据安全法规不断完善，相关法律法规包括《网络安全

发表于 01-29 23:42 •414次阅读

芯盾时代荣获中国网络安全产业联盟“2023年度优秀会员单位奖”

近日，2023年度中国网络安全产业联盟（CCIA）会员大会暨理事会在北京成功召开。会上，CCIA对2023年度在联盟工作中做出积极贡献的会员

发表于 01-12 10:46 •715次阅读

心寄源 | 2023开源法律热点，Pick您最关心的话题

心寄源法同行携手开启开源法律人才交流的新纪元！ “心

发表于 12-30 16:30 •1243次阅读

GPL合规性讨论-间接侵权——“心寄源”法律沙龙2023第八期 | 总第十三期成功召开

近日，“心寄源”法律沙龙2023第八期 |

发表于 12-26 18:50 •856次阅读