专家:多国力推网络安全立法 美颁4部法保护关键基础设施
随着全球信息化进程的加快,信息网络已深入应用到全球各国政治、经济、军事、科技、文化等多个领域。与此同时,网络安全威胁不断推陈出新,病毒传播、木马窃密、网络攻击等网络违法犯罪活动日益猖獗,趋利化特征明显,黑客攻击破坏活动越来越具有全球化特征,跨境网络违法犯罪给各国政府维护网络安全带来严峻挑战。面对日益严峻复杂的国内外网络安全形势,美国、欧盟、日本等主要国家和地区高度重视网络安全立法,一方面加快出台网络安全基本法,另一方面强化政府信息安全、信息监控与内容安全、数据保护、关键基础设施保护等多方面立法,为网络安全保护各项措施的具体实施提供法律依据。世界各国网络安全立法主要涵盖如下方面:
加强顶层设计,出台网络安全基本法。日本于2014年颁布《网络安全基本法》,明确设立“网络安全战略本部”以统一协调各部门的网络安全政策,并对电力、金融等基础设施运营方落实网络安全相关措施提出了要求。美国于2014年通过了《国家网络安全保护法》,强化了国土安全部的国家网络安全和通信集成中心在联邦部门和私营部门共享网络安全信息方面的重要作用,为立足国家层面部署和加强公共和私营部门网络安全信息共享提供了法律依据。俄罗斯、加拿大分别出台《联邦信息、信息化和数据保护法》、《信息安全法》,作为保护本国网络与信息安全的基本法律。加强政府信息安全立法,保护政府网络与信息安全。美国于2002年出台了全面系统规定联邦政府信息安全保护要求的《联邦信息安全管理法》,并于2012年将该法更新为《联邦信息安全改革法》,强调对计算机网络进行实时、自动监控,加强联邦政府网络安全保护。
授权信息监控,强化内容安全。为合法监控重点目标,获取大量有效情报信息,一些国家从国内公民通信监控和国外信息监控等两方面制定了信息监控法律,对相关国家机构实施国内外信息合法监控进行授权,如美国将《爱国者法》、《外国情报监听法》作为其实施信息监听的法律依据,英国通过《调查权力规范法》为本国执法机构对国内公民监控提供了合法性,日本颁布《通信监听法》以对合法监听进行授权。同时,信息内容安全立法也是各国网络安全领域的重要方面,美国通过《电信法》、《反垃圾邮件法》和《儿童在线隐私保护法》、英国通过《儿童保护法》来禁止不良信息传播和保护未成年人。
加强数据资源安全,保护公民个人信息。数据安全是各国信息安全立法保护的重点,从各国相关立法的具体内容来看,一是强调数据信息资源安全,包括以商业秘密为代表的经济信息和政府部门受保护信息,二是注重个人数据安全保护,包括禁止拦截和窃取个人数据、个人数据保存和处理的安全保护要求。数据信息资源安全方面,美国在《统一商业秘密法》、《经济间谍法》中明确了对窃取商业秘密的行为的相应刑罚,美国《计算机欺诈和滥用法》、英国《计算机滥用法》都明确了对非法利用和窃取政府部门数据信息的行为的处罚规定。个人数据安全保护方面,美国《反窃听法》和《电信法》重点对信息传输过程中非法拦截和窃取个人数据的行为进行了限制,欧盟按照1992年通过的《信息安全框架决定》的要求,先后于1995、2002、2006年分别通过了《数据保护指令》、《隐私与电子通信指令》和《数据留存指令》,为欧盟个人数据保护法律体系奠定了基础,而后,遵循欧盟上述指令要求,包括英国、法国、德国、荷兰、西班牙、瑞典、意大利、比利时、匈牙利、希腊等多国在内的欧盟成员国普遍制定实施了保护个人数据信息的相关法律,重点明确了个人数据保护的基本原则以及对个人数据进行留存、处理、使用的安全保护要求。聚焦国家战略资产,保护国家关键基础设施。在关键基础设施保护立法方面,美国走在了世界前列。作为全球信息技术最为发达、应用最为广泛的国家,美国明确将“数字基础设施”作为“国家战略资产”,先后出台《1996年国家信息基础设施保护法案》《2001年关键基础设施保护法案》《联邦信息安全管理法案》《2002年关键基础设施信息法案》四部法律以及多部总统令和行政令,从定义关键基础设施的概念入手,对关键基础设施保护范围、责任和具体要求进行了规定。今年7月6日,我国《国家网络安全法》(草案)正式发布,作为我国网络安全领域具有最高效力的法律,《国家网络安全法》共七章六十八条,从网络运行安全、关键信息基础设施安全、网络信息安全、法律责任等方面进行了明确规定,将等级保护、网络产品与服务安全、网络安全信息共享、个人信息保护等多项工作纳入法律轨道,为保障国家网络安全、促进我国信息化健康发展提供了高层次的法律依据。未来随着《国家网络安全法》的推进实施,我国网络安全必将迎来新的发展局面,网络安全保障相关工作都将有法可依,违反网络安全法律规定的行为也都必将受到严惩。(工业和信息化部电子一所 尹立波)