《网络安全法》、CRA与开源——“心寄源”法律沙龙2023第七期

近日，“心寄源”法律沙龙2023第七期 | 总第十二期在开放原子开源基金会成功举办。本期沙龙邀请到了国浩律师（南京）事务所的陶冶律师，围绕前沿热点话题“《网络安全法》、CRA与开源”进行了深入浅出的讲解，并与参会嘉宾展开了务实的探讨。本期沙龙线下、线上同步开展，受到参会嘉宾的一致好评。

沙龙议程

演讲及圆桌主题：

《网络安全法》、CRA与开源

主讲嘉宾：

陶冶律师

国浩律师（南京）事务所律师

陶冶律师执业领域为软件和互联网行业法律服务。陶冶律师关注中国开源事业发展，并致力于推动中国法律职业共同体中的开源共识。

本期要点

陶冶律师从网络安全立法的基本框架、《网络安全法》第22条下的义务，以及CRA（欧盟的Cyber Resilience Act）三个方面对《网络安全法》、CRA与开源进行了深入浅出的讲解。

在第一部分“网络安全立法的基本框架”中，陶冶律师首先概述了自《网络安全法》实施以来的相关立法时间轴（如下图）。他指出，自2017年6月《网络安全法》实施起，前后历经四年多时间，直至2021年11月，才形成了“三法一条例”的体系。因此，在该体系形成前《网络安全法》起到了类似在民法典出台前民法通则的作用，覆盖范围广泛，不仅包含网络安全，还涉及数据保护、个人信息保护、内容治理等方面。

“三法一条例”（如下图）包括——《网络安全法》（“网安法”，2017.6）、《数据安全法》（“数安法”,2021.9）、《关键信息基础设施安全保护条例》（“关基保护条例”,2021.9）、《个人信息保护法》（“个保法”,2021.11）。陶冶律师指出，《网络安全法》中的“网络安全”既不是仅仅涉及狭义的“Network security”（《信息安全技术术语GB/T 25069-2022》3.616网络安全network security：对网络环境下存储、传输和处理的信息的保密性、完整性和可用性的保存。），但没有完全覆盖“Cyber security”的范围（在ISO/IEC/TS 27100-2020 标准中对Cyber security的描述是：safeguarding of people, society, organizations and nations from cyber risks.）。

在第二部分“《网络安全法》第22条下的义务”中，陶冶律师详细讲解了《网络安全法》第22条关于网络产品、服务的提供者的义务规定，并引申到《个人信息保护法》第13条关于取得个人同意的规定；此外，《网络安全法》第31条提到“关键信息基础设施的具体范围和安全保护办法由国务院制定”，该内容涉及国务院制定的《关键信息基础设施安全保护条例》。

其中《网络安全法》第22条第1、2款的重点规定拆分为以下4点：

1.网络产品、服务应当符合相关国家标准的强制性要求；

2.网络产品、服务的提供者不得设置恶意程序；

3.（网络产品、服务的提供者）发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告；

4.网络产品、服务的提供者应当为其产品、服务持续提供安全维护；在规定或者当事人约定的期限内，不得终止提供安全维护。

小卡片：法条原文

1.《中华人民共和国网络安全法》

https://flk.npc.gov.cn/detail2.html?MmM5MDlmZGQ2NzhiZjE3OTAxNjc4YmY4Mjc2ZjA5M2Q%3D

2.《中华人民共和国数据安全法》

https://flk.npc.gov.cn/detail2.html?ZmY4MDgxODE3OWY1ZTA4MDAxNzlmODg1YzdlNzAzOTI%3D

3.《中华人民共和国个人信息保护法》

https://flk.npc.gov.cn/detail2.html?ZmY4MDgxODE3YjY0NzJhMzAxN2I2NTZjYzIwNDAwNDQ%3D

4.《关键信息基础设施安全保护条例》

https://flk.npc.gov.cn/detail2.html?ZmY4MDgxODE3YjYzYjkzNTAxN2I3YmNjNDk4NzdlMGI%3D

最后，陶冶律师介绍了欧盟的CRA（Cyber Resilience Act，网络弹性法案）。草案中虽有开源软件豁免的提及，但是根据草案里的定义内容分析，实际被CRA管辖的范围是很广泛的，并不是免费开源的软件就可以豁免。陶冶律师给大家介绍分析了草案中关于manufacturers的定义及其各项法律义务。演讲结尾时陶律师还给大家介绍了应然层面判断网络安全责任归责的原则之一，即汉德公式B＜PL。汉德公式B＜PL是由法官汉德（Learned Hand）提出的：其中，B是预防事故的成本；L是一旦发生所造成的实际损失；P是事故发生的概率。即只有在潜在的致害者预防未来事故的成本小于预期事故的可能性乘预期事故损失时，判令其承担责任才具有正当性。

陶冶律师主题演讲后，与会嘉宾一起阅读讨论了CRA修订草稿里涉及开源的修订内容（Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020 and Directive 2020/1828/EC (Cyber Resilience Act)。

网址：https://www.europarl.europa.eu/doceo/document/A-9-2023-0253_EN.html

根据目前的草稿文本来看，关于开源软件，调查员意识到有必要保护这一重要的创新源泉，因此提出了修正，以确保开发者在不为其项目获得任何经济回报的情况下不应受本条例管制；尽管如此，他们认为在商业活动框架内提供的开源软件应被涵盖在内，以确保联盟生态系统的网络安全。

本期沙龙给大家的开源相关法律工作带来很多启示，取得了预期的效果，得到了与会嘉宾的一致好评。

联系我们

沙龙活动一般采取闭门的主题演讲和圆桌讨论的形式，线下、线上同步进行，时间通常在月初或月末的周五下午，可能根据节假日或主讲嘉宾时间微调。

我们欢迎有开源法律实践经验的企业法务、律师等法律专家成为沙龙成员，分享您熟悉的开源法律理论和实践，跟进业内前沿话题，展开专业、务实的探讨。

如果您有意向申请成为沙龙成员，欢迎您发邮件至salonadmin@openatom.org与我们沟通，索取如何参与沙龙的指引（随附待填写的成员信息备案表、和需要阅读同意的隐私声明及沙龙成员行为指引等材料）。衷心感谢大家对基金会及本沙龙的关注和支持！欢迎前往官网了解更多：https://www.openatom.cn/law/salon

沙龙旨在为相关专业人士提供一个畅所欲言、共建共享的交流平台，开启开源法律相关人才交流的新纪元；同时进一步推广开源文化，吸引更多人才加入到开源法律行业中。

心寄源、法同行，携手开启开源法律相关人才交流的新纪元！

声明：沙龙嘉宾的发言仅代表个人观点，除非特殊说明不代表其所在单位的观点或开放原子开源基金会的观点。

原文标题：《网络安全法》、CRA与开源——“心寄源”法律沙龙2023第七期 | 总第十二期成功召开

文章出处：【微信公众号：开放原子】欢迎添加关注！文章转载请注明出处。

声明：本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人，不代表电子发烧友网立场。文章及其配图仅供工程师学习之用，如有内容侵权或者其他违规问题，请联系本站处理。举报投诉

OpenHarmony

OpenHarmony

+关注

关注
24

文章
3486

浏览量
15425
开放原子基金会

开放原子基金会

+关注

关注
1

文章
469

浏览量
4999

原文标题：《网络安全法》、CRA与开源——“心寄源”法律沙龙2023第七期 | 总第十二期成功召开

文章出处：【微信号：开放原子，微信公众号：开放原子】欢迎添加关注！文章转载请注明出处。

欧盟《网络弹性法案》CRA概述

保护。什么是CRA（网络弹性法案）？欧盟网络安全弹性法案（CRA）是欧盟委员会于2022年9月15日提出的一项欧盟网络安全法规。确定了两个主

发表于 06-14 08:31 •193次阅读

欧盟《<b class='flag-5'>网络</b>弹性法案》<b class='flag-5'>CRA</b>概述

芯盾时代荣获中国网络安全产业联盟“2023年度优秀会员单位奖”

近日，2023年度中国网络安全产业联盟（CCIA）会员大会暨理事会在北京成功召开。会上，CCIA对2023年度在联盟工作中做出积极贡献的会员

发表于 01-12 10:46 •461次阅读

心寄源 | 2023开源法律热点，Pick您最关心的话题

务、律师等法律专业人士。 2023年，“心寄源”本着“开启开源法律相关人才交流的新纪元”的初心，举办了 8 场线下及线上沙龙活动，其成员们

发表于 12-30 16:30 •778次阅读

心寄源 | <b class='flag-5'>2023</b><b class='flag-5'>开源</b><b class='flag-5'>法律</b>热点，Pick您最关心的话题

GPL合规性讨论-间接侵权——“心寄源”法律沙龙2023第八期 | 总第十三期成功召开

近日，“心寄源”法律沙龙2023第八期 | 总第十三期在开放原子开源基金会（以下简称“基金会”）成功

发表于 12-26 18:50 •597次阅读

CRA专题 | 以CRA为视角看开源项目的《网络安全法》适用

CRA专题介绍 “如果万物互联，则万物皆可被攻击。”2022年9月15日，欧盟委员会的《网络韧性法案（CRA）》提案应运而生。CRA提案引发了全球开

发表于 12-05 19:35 •805次阅读

CRA专题｜面对法律，开源应负什么安全责任

CRA专题介绍 “如果万物互联，则万物皆可被攻击。”2022年9月15日，欧盟委员会的《网络韧性法案（CRA）》提案应运而生。CRA提案引发了全球开

发表于 12-04 21:15 •671次阅读

晶华微亮相第十二届APEC技展会

第十二届APEC中小企业技术交流暨展览会 2023.11.09-11.11 2023年11月9日-11日，由中国工业和信息化部、山东省人民政府共同主办的 第十二届APEC中小企业技术交流暨展览会

发表于 11-13 18:14 •212次阅读

开源合规标准实践-“心寄源”法律沙龙（2023第六期 | 总第十一期）成功召开

近日，“心寄源”法律沙龙（2023第六期 | 总第十一期）在开放原子开源基金会（以下简称“基金会”）成功

发表于 10-30 10:05 •476次阅读

开源合规标准实践-“心寄源”法律沙龙（2023第六期 | 总第十一期）成功召开

近日，“心寄源”法律沙龙（2023第六期 | 总第十一期）在开放原子开源基金会（以下简称“基金会”）成功

发表于 10-27 09:35 •392次阅读

AIGC立法和相关版权案例分享-“心寄源”法律沙龙（2023第五期 | 总第十期）成功召开

近日，“心寄源”法律沙龙（2023第五期|总第十期）在开放原子开源基金会（以下简称“基金会”）成功

发表于 10-18 16:10 •274次阅读

AIGC立法和相关版权案例分享-“心寄源”法律沙龙（2023第五期 | 总第十期）成功召开

近日，“心寄源”法律沙龙（2023第五期|总第十期）在开放原子开源基金会（以下简称“基金会”）成功

发表于 10-18 11:33 •373次阅读

更新 | 持续开源迅为RK3568驱动指南第十一篇-pinctrl子系统

_平台总线 第七期_设备树第八期_设备树插件第九期_设备模型 第十期_热插拔第十一期_pinctrl子系统

发表于 10-18 11:12

iTOP-RK3568开发板驱动指南第五篇-中断

_字符设备基础第三期_并发与竞争第四期_高级字符设备进阶第五期_中断第六期_平台总线 第七期_设备树第八

发表于 09-04 10:53

开源软件下游分发合规性讨论 ——“心寄源”法律沙龙（2023 第四期 | 总第九期）成功召开

8月4日，开放原子开源基金会成功举办了“心寄源”法律沙龙，邀请了中国电子集团麒麟软件有限公司知识产权法务总监邢鹏律师，沙龙主要探讨了GPL许

发表于 08-14 14:30 •566次阅读

开源软件下游分发合规性讨论 ——“心寄源”法律沙龙（2023第四期 | 总第九期）成功召开

8月4日，“心寄源”法律沙龙（2023第四期 | 总第九期）在开放原子开源基金会（以下简称“基金会”）成功

发表于 08-08 20:55 •457次阅读