从效力上来看，在欧盟内部，欧盟法具有优先、直接适用的效力，并处于优先地位。欧盟法与成员国法的关系既不同于国际法和国内法关系，也不同于联 邦法与成员邦法的关系。虽然对于欧盟法的直接适用和优先两个原则没有明文的规定，但是欧洲法院在司法过程中予以了认可。尤其是在成员国当局立法或行政行为 违反欧盟法时，该国有义务撤销这一立法，并修正其造成的不利影响。因此，欧盟颁布的关于信息安全的法律规范，例如2000年的《电子商务指令》，2003 年《建立欧洲网络信息安全文化的决议》的效力就高于成员国在这一领域的法律效力。
    “两个层次”则指法律的形式分为强制性规定和具有指导性的“软法”。由于欧盟法渊源不同，其效力也存在着明显的差异。它主要包括条例、指令、决 定、推荐意见与建议。其中，条例具有最高法律效力，有普遍适用性和全面的效力。产生巨大影响力的有建立欧洲网络与信息安全局(ENlSA)的第 460/2004号条例。而指令的适用频率最高，它通常只针对个别成员国生效，是协调成员国的重要手段。决定、推荐意见与建议仅仅是欧盟就某一问题对成员 国提出的建设性意见，对成员国不具有法律约束力，具有“软法”性质。
    这一特点源于欧盟各国信息安全环境不同，适用法律也不能一概而论。成员国对待欧盟制定的某些法律规范，具有一定的自主性，例如一些指令就需要成 员国转化为国内法后适用。
    成员国享有的自主权也逐渐使某些欧盟法的实施面临困境。例如，2004年7月1日生效的《网络犯罪公约》，目前还有比利时、德国、英国、西班牙 没有批准。即使在予以批准的国家。也有许多保留条款，如种族和排外条款。此外，关于数据存留的第2006/24/EC号指令要求各成员国必须在2007年 9月15日之前完成指令的转化工作，但是众多国家对数据存留指令都持保留态度。例如，法国在进行激烈的反对过后，最终通过《打击恐怖主义法国法》和关于储 存电子通讯数据的第2006—358号法国政令(decree)完成了转化。而英国一直没有强制性的效据存留法，只是根据《2001年反恐、犯罪和安全法 案》确立了自愿存储数据的制度，即通讯服务提供者可与内政部协商，对直接或间接危及国家安全的犯罪行为和罪犯的通讯数据进行自愿储存，直到2007年l0 月，数据存留法才正式生效。
    2.一般性规定与特殊性规定相结合
    从法律规范的内容上看，欧盟的法律框架既有对保障网络与信息安全的宏观的、一般性的规定，又有针对个别具体问题的特殊规定，有总有分。欧盟直接 针对网络与信息安全的立法体系庞大，并且还会根据情势变化，对已经生效的法律规范进行修订，以适应新的发展状况。
    具有里程碑式意义是《信息安全框架决议》，即1992年3月31日欧盟理事会信息系统安全领域内的第92/242/EC号决定。它揭开了构建欧 盟信息安全法律框架的新篇章。由于新技术的层出不穷，使得这项决定中的部分规定已经失去时代意义。但是它至今仍被经常引用，关键就在于其中包含的许多理念 具有指导价值。例如，它明确强调信息安全对促进全体经济的和谐发展，人民生活水平的提高，社会的稳定甚至成员国的团结来说，是必不可少的，并且指出要在行 动上重视欧盟与成员国，成员国与成员国以及其他相关利益主体之问的合作。此外，它体现了信息安全的“适当保护”原则，要求法律必须协调好公共利益与私人利 益之间的关系。
    为了缩小与美国、日本的数字鸿沟，欧盟大力发展最具竞争力的信息产业，在20世纪末提出了“电子欧洲”的概念。为了实现这一宏伟的目标，欧盟先 后出台了《电子欧洲2002行动计划》、《电子欧洲2003行动计划》、《电子欧洲2005行动计划》，并在2003年2月18日颁布了《执行电子欧洲 2005计划的决议》，力图体现“电子包容”政策。
    在监管主体设置上，欧盟依照2004年3月10日的《建立欧洲网络与信息安全局的条例》，成立了欧洲网络与信息安全局(ENISA)。该机构独 立运行，主要担负着“信息中心”的职能，发布及时、可靠的信息，提供咨询服务等。该机构的任务可简单概括为“协调”和“咨询”。作为超越成员国和欧盟委员 会之外的机构，对促进各利益主体间的协作具有基础性意义。
    2003年2月18日，欧盟理事会又通过了建立欧洲网络信息安全文化的决议。短短4年之后，在此基础上又提出建立欧盟信息安全社会的战略。这一 战略号召成员国和欧盟委员会本着“对话、合作和授权”的原则，采取措施，提升网络和信息安全。欧盟委员会更多的是要扮演宏观指导者的角色，推动整个欧盟范 围内信息安全战略全面而有力的发展。它的主要义务在于促进与第三世界国家的对话与合作，加强成员国与相关利益人之间的合作，并与成员国协同一致，继续努力 增进与相关国际合作伙伴及组织之间的对话，以鼓励在网络和信息安全方面的全球合作。而成员国则承担着具体的工作，例如开展宣传活动，支持培训计划和提高人 们对网络和信息安全问题的一般认识，宣传网络和信息安全知识，尤其是涉及中小企业和最终用户的;加快促成和安全有关的研究和开发，并促进其产生的成果的 使用和普及;在与ENISA适当的合作下进行有效的信息交换，加强与国家间相关组织和机构之间的合作;鼓励国家计算机应急反应机构的不断进步;为服务提供 者和网络运营者营造一个良好的环境，并确保安全服务和解决方案具有恢复能力并顺应客户的选择等等。
    除了从全局上指引方向，在网络与信息系统中具体的安全问题上，欧盟也出台了大量法律规范，应对网络犯罪、个人信息保护等难题。
    在2001年11月23日以前，“网上不可为所欲为”只是宣传语。在欧盟成员国签署了《网络犯罪公约》之后。这句话有了坚实的法律基础。《网络 犯罪公约》是第一部反网络犯罪的国际性公约，明确了网络犯罪的主要形式。首先是侵犯计算机数据或系统的机密性、完整性及可用性的犯罪，具体罪名包括非法访 问、非法截获、数据干扰、系统干扰、设备的滥用;其次是与计算机有关的犯罪，包括与计算机有关的伪造犯罪、与计算机有关的诈骗犯罪;再次是与内容有关的犯 罪，包括与儿童色情有关的犯罪;最后是涉及侵犯著作权及邻接权等相关权利的犯罪。
    网络犯罪形式多样，《网络犯罪公约》不能够将其一一列举，并进行有效的打击。因此，欧盟在《联合国儿童权利公约》和《欧盟理事会关于打击对儿童 的性剥削和儿童色情制品框架决定》(2004/68/JHA)的基础之上，于2007年10月25日签订了《保护儿童不受性剥削和性虐待公约》，进一步规 定了网络上针对儿童的犯罪。其中，不仅定义了涉及儿童色情的犯罪行为，还针对在线儿童色情制定了预防措施、对受害者的援助和保护措施，以及干预措施，进一 步促进和保障儿童权利。该公约还要求各国将故意在互联网上浏览儿童色情网站和为性目的而引诱儿童等行为规定为犯罪行为，具有极强的现实意义。
    欧盟向来看重对个人权利的保护，因此对数据存留问题也十分重视。早在1995年，欧洲议会和欧盟理事会针对与个人数据处理有关的个人进行保护以 及数据自由流动问题制定了第95/46/EC号指令，要求成员国对与个人数据处理有关的自然人权利和自由，特别是隐私权(the right to privacy)进行保护，以确保个人数据在成员国范围内自由流动。其中明确规定，对于其认为不能有效保护个人信息的国家，其成员国有权限制朝向该国的个 人信息流动。该指令建立了一个框架，旨在寻求个人隐私的高水平保护与欧盟成员国内信息自由流动之间的平衡。在911事件之后，人们开始考虑是否可以强迫并 延长电信网络服务提供者存储用户的通讯纪录，以掌握恐怖分子与重大犯罪嫌疑人的行踪。为了有利于成员国调查、侦查和起诉重大犯罪，欧洲议会与欧盟理事会于 2006年3月15日颁布了《关于存留因提供公用电子通讯服务或者公共通讯网络而产生或处理的数据及修订第2002/58/EC号指令的第2006/24 /EC号指令》，简称为数据存留指令。该指令并不直接适用，需要各成员国转化为国内立法后适用，因此各成员国可以自行定义“严重犯罪”、“最长存留期 限”，便于执行。

(责任编辑：adminadmin2008)