专家分析国际网络安全立法趋势:边界逐步扩大

23.07.2015  03:37

  近几年,随着网络技术的不断发展,云计算、大数据等新业务的广泛运用,以及突发事件(例如2013年“棱镜”事件)的影响,各国网络安全领域的立法呈现集中爆发之势。内容上,除了传统的继续对提高网络安全技术水平、抬高安全标准、加强安全教育等常规选项进行法律修订之外,还对网络监控和反恐、关键信息基础设施保护、数据留存等相关议题进行专题立法,整体上呈现出“攻防并举”的立法思路。法律文本上,大多数以解决为某一专门内容为出发点,例如关键基础设施保护、网络监控、数据留存等,而综合性的网络安全基本法成功出台的较少,只有日本和美国。整体趋势上,网络安全立法的边界逐步扩大,从传统的集中于提高网络安全技术水平、信息系统安全、标准、组织机构等内容,逐步开始与其他法律相互融合,例如数据留存,其实与网络安全立法和个人隐私保护立法都相关;网络监控,则与国家安全、反恐等密切相关。从各国近几年的立法趋势来看,网络安全立法未来还将与更多的议题相互连接,呈现出综合性、全方位扩展的态势。

  以下以美、欧、日、澳、英、印等国为标的,依次对近几年国际网络安全立法的重点(例如网络监控和反恐、关键信息基础设施保护、数据留存)走向进行概述,以呈现出国际网络安全立法的大趋势。

   (一)网络安全基础性法律

  趋势一:网络安全基础性法律在覆盖范围上有所扩展,除传统的加强网络安全技术研究等内容之外,还将中长期安全发展战略、人才选拔和培养、拓展国际盟友等内容都纳入其中。

  2014年11月,美国出台《网络安全增强法案》,与以往的网络安全综合性法案相比,该法布局更加宏观、长远,实施上更具可操作性。短期,美国将启动为期四年的网络安全专项研究计划,参与者众多,甚至包括美国的国际盟友,覆盖范围包括网络系统安全、无线安全、工业控制系统安全、高性能计算机,甚至纳米技术。长期,美国着重于网络安全人才的教育培养,并为此设置了选拔标准,甚至调整了课程。以人才选拔标准为例,法律对专业、思想素质和国籍等同时作出了严格的限制,要求必须是对数学、工程学和信息技术等专业十分精通的、立志于服务国家网络信息安全建设的具有正式美国国籍的人才(公民)。

  2013年年底,日本国会通过《网络安全基本法》。该法从网络安全的定义、基本理念、相关者的责任、法制措施、行政机构、战略、基本政策措施等方面进行了规定,是日本网络安全方面的基本法律。

  趋势二:从多方面增强网络安全技术、提高网络安全标准等内容,依然是各国安全立法的传统保留内容。

  欧盟《网络与信息安全指令》和英国《网络安全实施概要》主要集中于安全技术和标准的提升。欧盟议会表决通过了《网络与信息安全指令》,着重于从三个方面进行规范:统一安全技术和组织机制要求;建立成员国之间的协作机制,尤其是信息共享;对重点部门进行防范能力建设。英国颁布《网络安全实施概要》,涵盖了安全配置、访问控制、恶意软件防护、补丁管理,以及防火墙和互联网网关在内的五个方面的基本控制措施。

   (二)网络监控和反恐

  9.11之后,以美国《爱国者法案》和《国土安全法》等为代表的一系列法律极大扩展了各国情报执法机构的监控和反恐权限。但是,2013年的“棱镜”事件,使得全球范围内的公民隐私保护机构、政府都开始反思,过于扩张的监控权力对公民利益、国家利益会带来无法预料的负面作用。“棱镜事件”之后,各国开始修正网络监控和反恐方面的立法,大部分内容集中于情报执法机构、电信监管机构的权力调整,以及监听监控程序上的调整。呈现以下趋势:

  趋势一:情报执法机构的权力在整体上呈现扩张趋势。

  7月,虽然欧洲法院已经宣布数据留存制度的无效,英国还是通过《数据留存和调查权法案》,特意为警察和国家安全机构配置了专门权力,确认警察(执法)机构和国家安全机构有权从电信运营商处获取用户的通讯数据和互联网数据,包括电子邮件、电话、短消息的发送方和接收方、时间等数据信息。值得注意的是,《法案》同样适用于外国公司,无论境内外。9月,澳大利亚在《反恐法》的草案中,极大拓展了国内安全情报机构的权力,例如,可以不限次数地登陆第三方电脑。

  趋势二:电信运营商等大型企业被赋予越来越多的反恐和辅助监控的职责,以美国为代表的少数国家甚至直接让电信企业参与国家反恐。

  2015年6月2日,《美国自由法案》正式出台。《法案》是对2013年 “棱镜”监控丑闻的第一次正式回应,也是美国外国情报监控制度实施近40年来的一次重大改革,在禁止国家安全局等情报执法机构再对美国国内公民进行大规模电话监控之外,转而要求电信运营商承接一部分情报执法机构的功能,直接参与国家反恐,对公民“电话细节记录”信息进行留存。这些“电话细节信息”主要是指通话过程信息,具体包括:呼出号码、接收号码、国际移动用户识别码(IMSI)、国际移动站台设备识别码(IMSEI)、电话卡号码、通话时间和时长。不包括通话内容。此外,法案还规定,其自公布之日起180日之内,各家电信公司要建立自己的电话数据搜集和留存制度,并向政府部门备案。该制度今后若有修改,也要及时向政府汇报和备案。此外,情报执法机构在获得外国情报监控法庭的认可,并拿到法庭调取令的情况下,可以要求电信运营商上缴数据。

  印度于2013年年中出台《电信安全政策(草案)》,规定电信监管机构可要求电信公司向执法部门提供辅助监控,接入电话、文本信息、数据信息等。但从文本内容上看,印度的这套政策草案照搬美国联邦通讯委员会FCC电子监控辅助监听相关制度的痕迹十分明显。不同之处在于,该政策草案在一定程度上有抬升电信监管机构地位的意图,例如,规定由电信监管机构出面,在特殊情况下赋予执法机构获取公民数据的权利,而不是一般的(通行的)由执法机构直接向电信公司索取公民信息。

   (三)关键基础设施保护

  关键信息基础设施是网络空间和传统物理世界的一种融合体。在恐怖袭击、网络攻击和自然灾害日益频繁的当下,其稳定运行不仅影响其他关键基础设施子部门(银行、水坝、军工等)的安全,更关涉网络空间安全、经济安全,甚至国土安全。近几年,以美国为首的西方各国频繁出台关键基础设施保护方面的立法文件,将其作为网络安全保护的重中之重。

  趋势一:以美国为首的西方各国都将关键信息基础设施安全视为网络安全的最核心组成部分。

  鉴于其极端重要性,近几年,西方大国对其频出战略政策,甚至将网络安全有关的政策着眼点全部汇聚此中。以美欧为例,2013年年初,白宫于一日之内连发两道最高行政令,(《维护关键基础设施之安全性和可恢复性的总统令》、《促进关键基础设施之网络安全的行政令》),就关键信息基础设施保障的相关事宜圈定部门职责、划定具体范围、限期执行;2013年年中,欧盟议会发布《关键信息基础设施——面向全球网络安全的决议》,指出欧盟亟需提高应对关键信息基础设施安全挑战的技术能力;2014年年初,白宫发布《促进关键基础设施网络安全的框架》,希望藉此为实际操作和相关技术标准之典范,在全球范围内推动关键基础设施安全要点的统一。总体上,《框架》是自愿适用,旨在加强电力、运输和电信等所谓“关键基础设施”部门的网络安全。“网络安全框架”根据总统奥巴马2013年2月签署的行政命令制定,私营部门可在自愿基础上使用该框架加强自己的网络安全能力。白宫在一份声明中说,“网络安全框架”吸纳了全球现有的安全标准以及做法,以帮助有关机构了解、交流以及处理网络安全风险。此外,该框架也就隐私与公民自由问题提出了指导方针。因此,“通过该框架,美国私营企业和政府部门可以联手加强"关键基础设施"的安全与适应性”。《框架》也可适用于位于美国以外的公共或私营机构,藉此,美国所提倡的加强关键基础设施网络安全方面的《框架》再次体现美国引领全球技术标准的趋势。

  趋势二:法律制度设计的着眼点越来越侧重于“基于风险”和“基于攻击”,承认100%安全目标的不可实现。

  近年以来,网络空间层出不穷的安全威胁使得各国监管机构都意识到,绝对安全的目标,不仅在技术上难以实现,在风险管理上也难以操作。基于对现实难度的承认,各国监管机构均转而用一个更加立体的、全方位的眼光来看待CII的安全问题,认为是一个由事前、事中和事后所组成的一个程序周期。与之相对应的,是各国相关政策文件在内容上的微妙变化。仅举两例:

  2010年之后美国所出台的白宫行政令、总统令、国土安全部的多份文件都将关键基础设施的“弹性”、“受攻击之后的可恢复性”置于同之前所提的单纯的“安全性”放在同等重要的目标位置。

  2014年,澳大利亚辖内维多利亚州的立法战略——《关于维持维多利亚政府辖内关键基础设施可恢复性之临时战略》,其着眼点就不再是之前的性能完好、100%安全保障,而是基于关键基础设施“已受风险威胁、已受攻击”的前提假设,与之相关的一整套政策制度也将是围绕着这种“基于风险”、“被攻击”的模型来设计。根据该《战略》,今后正式法律条文的拟定,也将侧重于“事中应对”和“事后恢复”。

   (四)数据留存

  个人数据留存制度方面,立法趋势呈现出截然不同走向。

  趋势:一部分国家对数据留存进行新的立法,而另一部分国家则对实施多年的留存制度予以废止。

  澳大利亚通过《电信(监控和接入)修正(数据留存)提案》,对数据留存做出强制性法律规定,要求电信运营商对电话、互联网、电子邮件的用户数据(包括发起方、接收方和具体时间等信息)留存两年,司法部负责具体执行。

  欧洲作为全球最先设立个人数据留存制度的地区,2014年欧盟法院宣布《欧洲数据留存指令》(2006年)因违反人权而无效。这意味着在欧洲大部分国家,电信运营商已实践多年的留存用户数据的惯例自此终结。

  美国正积极寻求对这一制度的立法突破,参议员Sensenbrenner(《爱国者法案》的起草人)作为该制度的主推者,目前已拿出初步草案。不过对于美国电信运营商和互联网巨头而言,实践早已走在了理论之前,公开资料显示,美国时代华纳公司Time Warner留存用户数据的时间是6个月,威瑞森Verizon是18个月。

   (五)其他

  在未成年人保护方面,保护未成年人的网络安全成为一个新的立法点。澳大利亚出台《限制系统接入宣言》14年版本,该宣言主要致力于帮助儿童远离非法在线内容带来的侵害,此外,还新增了“投诉接入限制系统”,赋予内容提供商一定的操作灵活性。

  此外,各国的安全战略、预算类法律中,也有为网络安全增加财政支持的内容。如,英国为实施《网络安全战略》,2014年新追加2.1亿英镑用于网络安全保障;美国国会通过《2014预算法案》,其中将用于改善网络安全的预算提高到670亿美元(约合人民币4048亿元),这笔预算将会被投入到改善联邦网络安全的计划中,投资的主要对象为网络中的资金监控机制和解决最严峻的网络安全问题。(沈玲 中国信息通信研究院)