一、核心法律合规框架
捷克网络数据安全合规体系以欧盟指令为基础,结合本国立法形成双层架构,核心法规包括:
(一)欧盟层面核心指令
1.NIS2 Directive(网络与信息系统安全指令):欧盟首要 cybersecurity 框架,捷克通过《新网络安全法》(Act No. 264/2025 Coll.)转化实施,2025 年 11 月 1 日生效,适用于关键服务提供者及重要实体;
2.GDPR(通用数据保护条例):规范个人数据处理,包含数据泄露通知、安全保护等核心义务,捷克通过《个人数据处理法》(No. 110/2019 Coll.)全面对齐;
3.DORA(数字运营韧性法案):聚焦金融机构运营韧性,2025 年 1 月 17 日全面适用,捷克通过《金融市场数字化法》(Act No. 31/2025 Coll.)转化;
4.CER Directive(关键实体韧性指令):2023 年生效,捷克通过《关键基础设施韧性法》(Act No. 266/2025 Coll.)转化,2025 年 8 月 19 日生效;
5.CRA(网络韧性法案):规范数字产品及供应链安全,2024 年 12 月 10 日生效,核心义务 2027 年 12 月 11 日起适用。
(二)捷克本国核心立法
1.刑法相关条款(Criminal Code Act No. 40/2009 Coll.):第 230、231、209、175 等条款界定网络犯罪行为及刑罚;
2.行业专项法规:《电子通信法》(No. 127/2005 Coll.)、《支付交易法》(No. 370/2017 Coll.)、《公共部门信息系统法》(No. 365/2000 Coll.)等;
3.二次立法:《新网络安全法》配套的 6 项实施法令,明确受监管实体认定标准、安全措施要求、事件报告流程等。
二、禁止性行为与法律责任
(一)核心禁止性行为及刑事处罚
以下行为在捷克构成刑事犯罪,企业及相关责任人可能面临监禁及罚金:
1.非法访问 / 干扰计算机系统(刑法第 230 条):未经授权访问系统、使用 / 篡改 / 删除数据、插入恶意数据等,最高可处 8 年监禁;
2.DDoS 攻击:归类为非法干扰计算机系统,最高 3 年监禁,情节严重者 8 年;
3.钓鱼:构成欺诈罪(第 209 条)或非法干扰系统罪,最高 10 年监禁;
4.恶意软件传播(含勒索软件、间谍软件等):可能触犯非法访问罪或非法干扰罪,勒索软件同时可能构成敲诈勒索罪(第 175 条),最高 16 年监禁;
5.非法提供 / 使用黑客工具(第 231 条):获取、持有、销售用于网络犯罪的软硬件,最高 5 年监禁;
6.身份盗窃 / 欺诈:视手段可能归类为黑客、钓鱼相关犯罪,若涉及支付工具伪造,最高 12 年监禁;
7.电子盗窃 / 侵犯版权:侵犯版权最高 8 年监禁,泄露商业秘密最高 8 年监禁。
(二)行政罚款
1.《新网络安全法》:核心实体最高罚款 2.5 亿捷克克朗(约 1030 万欧元)或全球年营业额 2%;重要实体最高 1.75 亿捷克克朗(约 720 万欧元)或 1.4% 全球年营业额;
2.GDPR:最高 1000 万欧元或全球年营业额 2%;
3.DORA:最高 5000 万捷克克朗(约 200 万欧元),适用于金融机构及 ICT 供应商;
4.《电子通信法》:最高 5000 万捷克克朗或上一会计期净营业额的 10%。
三、企业核心安全义务与报告要求
(一)安全措施义务
1.通用要求:企业需实施技术及组织安全措施,包括数据加密(传输及存储阶段)、访问权限管控、安全事件检测 / 监控工具部署,符合 ISO 27001 标准(核心实体);
2.风险评估:核心实体需定期开展网络风险评估,覆盖第三方供应商风险;
3.测试要求:核心实体需定期进行渗透测试及漏洞评估;金融机构需按 DORA 要求制定数字化运营韧性测试计划。
(二)事件报告义务
1.向监管机构报告:
《新网络安全法》:核心实体需在 24 小时内报告影响受监管服务、源自网络空间且可能存在故意行为的事件,提交至国家网络与信息安全局(NÚKIB);重要实体需报告对服务产生重大影响的事件,提交至国家 CSIRT;报告内容需包含企业标识、事件基本信息、是否涉及违法行为及跨境影响;
GDPR:个人数据泄露若危及个人权利,需 72 小时内报告至个人数据保护局(UOOU),说明泄露性质、受影响人数、潜在后果及缓解措施;
DORA:金融机构需 24 小时内将重大 ICT 事件报告至捷克国家银行(CNB);
电信行业:重大安全事件需报告至捷克电信局(CTU),网络起源的事件后续统一按《新网络安全法》报告。
2.向受影响个人 / 第三方报告:
GDPR:个人数据泄露可能导致高风险时,需无延迟通知受影响个人,说明联系人、潜在后果及缓解措施;
DORA:金融机构需及时告知客户影响其财务利益的重大 ICT 事件及防护建议;
电信行业:网络 / 服务安全严重中断时,需告知用户中断范围、原因、缓解措施及预计恢复时间。
四、行业特殊合规要求
(一)金融行业
1.按 DORA 要求建立 ICT 风险管理框架、事件管理流程、第三方风险管控体系;
2.遵守《支付交易法》《捷克国家银行令》的 cybersecurity 标准;
3.需指定 ICT 供应商管理或危机管理专职岗位。
(二)电信行业
1.按《电子通信法》保障网络及服务的安全性和完整性;
2.网络起源的安全事件需遵循《新网络安全法》统一报告要求。
(三)公共部门
1.仅可使用 “云服务目录” 中注册的云服务;
2.遵守云服务相关法令(Decree No. 316/2021 等)的安全等级要求,新修订版法令即将发布。
(四)关键基础设施 / 战略重要服务提供者
1.需确保服务从捷克境内提供(服务可用性要求);
2.接受 NÚKIB 对供应链的审查,可能被禁止使用特定供应商;
3.适用最严格的安全措施要求,需设立网络安全经理、架构师、审计师岗位。
六、公司治理与责任划分
(一)董事及高管责任
企业董事、高管需履行注意义务,确保公司采取合理的网络安全措施并及时响应事件,否则可能构成失职:
1.未履行合规义务导致安全事件,可能面临民事赔偿责任;
2.若未执行 NÚKIB 要求的纠正措施,可能被临时禁止行使职权最长 6 个月。
(二)企业必备治理要求
1.岗位设置:核心实体需任命网络安全经理、架构师、审计师;金融机构需按 DORA 要求设立专职岗位;
2.制度建设:需制定书面的安全事件响应计划;
3.定期评估:核心实体需定期开展网络风险评估及第三方供应商风险评估;
4.合规培训:确保相关人员了解安全义务及事件响应流程。
六、跨境合规与风险防范
(一)域外适用规则
1.捷克公民或常驻无国籍人在境外实施的网络犯罪,可在捷克追责;
2.境外实施的针对捷克境内 IT 系统的网络犯罪,适用捷克法律;
3.外国公民在境外实施的网络犯罪,若在捷克被捕且未被引渡,可按捷克法律追责;
4.为捷克注册实体或分支机构利益实施的境外网络犯罪,适用捷克法律。
(二)数据跨境与技术管制
1.个人数据跨境传输需符合 GDPR 要求,确保接收方提供足够的保护水平;
2.加密软硬件等双用途技术的进出口,需取得捷克工业贸易部的出口许可(遵循欧盟 Regulation No. 2021/821 及 Wassenaar Arrangement)。
(三)防御措施合规
1.可使用信标、蜜罐、流量转移(Sinkholes)等防御工具,但需遵守 GDPR 及隐私保护法,不得侵犯用户隐私;
2.员工通信监控(如邮件、网络使用)需满足比例原则、透明度要求,提前告知员工,符合劳动法及数据保护法;
3.不建议支付赎金:NÚKIB 明确反对赎金支付,公共实体支付赎金可能违反公共采购及财务管理规定,支付前需协调警方及相关部门。
七、争议解决与风险应对
(一)民事责任
1.因未履行安全义务导致他人损失(如数据泄露、业务中断),可能面临侵权赔偿诉讼,需证明义务 breach、损害后果、因果关系及过错;
2.违反合同约定的安全保障义务(如服务协议中的数据保护条款),需承担违约责任;
3.GDPR 下,个人可就数据泄露主张物质及非物质损害赔偿,无需证明过错。
(二)保险保障
1.企业可投保网络安全保险,覆盖事件响应、法律费用、业务中断、赎金等损失;
2.无法律禁止用保险支付赎金,但需遵守执法部门指导,优先协调警方。
(三)配合执法调查
1.执法机构(警察、安全信息服务局等)可依法行使监控、监听、调取数据等权力;
2.电信服务提供商需为执法机构提供通信拦截接口,确保加密通信可被读取;
3.企业需配合执法机构的调查要求,提供必要的系统数据及访问权限。
免责声明
法律及程序可能发生变更。本文仅提供一般性信息,不构成法律建议。若您在海外遭遇法律纠纷,请立即联系我们咨询专业涉外律师。
