随着信息科技的飞速发展,相伴而来的信息安全问题也显得越来越重要而紧迫,需要不断制定修订法律,调整政策,开展国际合作予以应对。本文分为4个部分,分别介绍2017年度主要国家的信息安全战略规划、国家立法动态、行政立法及相关文件、国际法律与合作发展情况。由于全球信息安全法律与政策发展迅速,相关法律与政策文件极其众多,各种修订更新较为频繁,各国国内法律文件之间和国际立法之间的衔接、借鉴、互动、移植等联系颇为复杂,本文只是就主要的法律政策,做简单的介绍和梳理。

各国信息安全战略规划

(一)信息安全牵动国家利益,各国出台应对战略

出于对新的信息技术发展的不确定性和安全隐患的担忧,以及国际信息安全的新型威胁,各国出台相应的国家战略规划。2017年3月1日,中国外交部和国家互联网信息办公室(下文简称网信办)共同发布《网络空间国际合作战略》。该战略以和平发展、合作共赢为主题,以构建网络空间命运共同体为目标,就推动网络空间国际交流合作首次全面系统提出中国主张,为破解全球网络空间治理难题贡献中国方案。7月8日,中国国务院印发《新一代人工智能发展规划》,提出“抢抓人工智能发展的重大战略机遇,构筑我国人工智能发展的先发优势。”

面对数字化发展及其安全问题,英国政府于3月1日,正式出台《英国数字化战略(UK Digital Strategy)》,其中设定了明确途径以帮助英国在启动并推进数字化业务、试用新型技术或者实施先进技术研究方面占据优势地位,其中的战略任务包括“让英国提供全球最为安全的在线生活与工作环境”。俄罗斯互联网国家域名协调中心委员会研究制定了《2017—2019年优先发展方向和战略任务草案》,加强俄罗斯国家域名的安全,提出了预防和消除俄罗斯境内外域名服务器节点面临威胁的具体措施。

值得注意的是,12月18日,美国公布《2017年国家安全战略报告》,这份被称为“新时代下的新国家安全战略报告”强调,美国的创新基础正受到威胁,美国需要保护本国的数据,加强相关立法工作,例如推动外国投资审查委员会改革等。

(二)应对信息技术的挑战,提出面向未来的规划

2017年,随着大数据、人工智能、国际网络政治黑客等技术和事件的发展与发生,信息安全问题越来越凸显在各主要国家的治理战略之中。2017年,我国先后提出了《推进互联网协议第六版(IPv6)规模部署行动计划》《关于深化“互联网+先进制造业”发展工业互联网的指导意见》,还有《大数据产业发展规划(2016—2020)》《信息通信网络与信息安全规划(2016—2020)》《云计算发展三年行动计划(2017—2019)》《工业电子商务发展三年行动计划》等规划性文件,这些规划的目的之一就是要促进我国在人工智能、大数据、云计算方面的安全技术和管理机制,增强新兴领域的安全保障能力。

为打击网络犯罪、联合业界以提高物联网设备安全性、降低政府IT系统的供应链风险,2017年5月,澳大利亚发布《国家网络安全战略(修订版)》。英国着眼未来,重视信息安全人才培养,于7月份启动“网络学校计划”,将投资约2000万英镑,选取14至18岁的青少年培训网络安全课程,到2021年之前培养至少5700名网络安全人才。日本于7月13日,内阁网络安全中心第4次会议上,通过了《网络安全2017》和《网络安全研究开发战略》,并决定实施《聚焦2020展望未来网络安全发展》这一长期战略。

信息安全的国家立法动态

(一)中国、美国、俄罗斯立法明显加快,信息安全法律更为健全

2017年,基于信息安全问题越来越突出,中国、美国和俄罗斯的相关立法明显加快,并且比其他国家更为健全。

我国《网络安全法》于2017年6月1日起施行。该法的实施引起各国的关注,特别是该法第37条的数据本地化存储规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储”,这一规定主要是应对跨境数据流动的安全问题,具有一定的域外法律效果。此外,2017年6月27日,第十二届全国人大常委会通过《国家情报法》。该法第19、29、31条中有涉及国家秘密的相关规定,内容包括泄露国家秘密的处分机关、处理方式等。

2017年,美国的信息安全立法有很大的发展,有多个法案处于立法程序之中。比较重要的立法案有如下几个:一是《电子邮件隐私法案》,美国众议院于2月6日表决通过,该法案更新了《1986年电子通信隐私法案》(ECPA),澄清和扩大执法的搜查令条例,以迫使服务提供商交付其服务器上的客户电子邮件或其他数据。二是《政府信息技术现代化法案》,美国众议院2017年5月通过,该法案将为联邦政府信息技术现代化提供支持。三是《2018年国家国防授权法案》,美国众议院于7月14日通过,其中有许多与网络相关的修正案,包括协助北约成员国开发进攻性网络能力等方面的内容。四是《2017年网络安全和基础设施安全局法案》和《网络空间漏洞披露报告法案》,都是在7月26日的美国众议院上通过,这两项法案旨在改善政府网络安全状况。其他信息安全相关法案(不包括只是议员提交的)还有:3月1日,美国众议院科学、空间与技术委员会通过的《2017 NIST网络安全框架、评估和审查法》;10月24日美国参议院情报委员会通过的《外国情报监视法》(FISA)。该法第702条允许政府对美国境内的外籍人士实施监控,以获取情报,用于打击国际恐怖主义和网络威胁。该法案的目前版本将于2017年底失效,参议员们提议修改并延长该法案有效期至2025年。

2017年,俄罗斯在信息安全立法也有重要发展。1月27日,俄罗斯国家杜马第3次审议(最终审议)通过《关键信息基础设施安全法案》,该法案确立了关键信息基础设施安全保障的基本原则,涉及各个主体的权利、义务及责任、主管权力机构以及如何确定关键信息基础设施等内容。6月15日,俄罗斯国家杜马二读通过新的法律修正案,对《俄罗斯联邦国家保护法》进行修改。根据新的法律修正案,受到联邦警卫局保护的俄罗斯部分高级领导人及其家庭成员的个人信息,包括收入信息、银行账号和不动产信息等,除非联邦法律要求必须公开,否则公开和使用这些信息,必须取得其本人和国家保护机构的同意。7月30日,经俄罗斯国家杜马批准,普京签署名为《对联邦法条“关于信息、信息技术及信息保护”的修订案》的法令,正式禁止在俄罗斯使用VPN软件,该法令于11月1日正式生效。新的法律限制了对被禁网站的访问,主要包括在线赌场、色情网站和未获许可的电影流媒体服务网站。

(二)其他国家加强基础性立法,信息与网络安全规制交叉融合

除了中国、美国、俄罗斯3国以外,德国、新加坡等其他国家也都在加强信息安全相关的基础性立法,信息安全与网络安全的法律规制呈现交叉融合的发展趋势。按照时间顺序,简要介绍如下:

  • 2017年6月22日,德国联邦议会通过了具有争议性的《监控法案》。该法案允许警察侵入手机、笔记本电脑,以监视国民通讯。该法案于8月份正式生效。

  • 7月10日,新加坡发布《网络安全法案》征求意见,该法案聚焦应对网络安全威胁和事故、维护关键信息基础设施、促进信息的分享、管制网络安全行业等4方面。

  • 7 月 12 日,荷兰参议院通过《情报和安全法案》,旨在扩大情报机构监督权限。

  • 8月7日,英国数字、文化媒体和体育部发布《新的数据保护法案:我们的改革》,该法案更新和强化数字经济时代的个人数据保护,以取代实施了近二十年的《1998年数据保护法》。

  • 8月14日,以色列议会通过《网络审查法》,该法律赋予警察打击各类网络犯罪和教唆者必要的手段工具。

  • 10月11日,法国国家信息系统安全局(ANSSI)宣布,《全法网络安全事故处理办法》在向公众开放征求意见过后正式生效。该处理办法为相关领域工作人员应对网络安全紧急事故提供参考标准。

  • 10月12日,澳大利亚政府发布《关键基础设施安全法案》草案,公开征询意见,其中详细描述了如何保护关键基础设施,使之免受外国带来的网络破坏、威胁和间谍攻击的相关内容。

在这些基础性的立法和修法活动中,网络安全和信息安全的法律规制领域、对象、方式和手段,呈现了出交叉、融合、衔接和统一的趋势,各国立法上也互相借鉴和影响。这种发展趋势,既有技术上的共通原因,也有法律政策上的竞争需要。

行政立法及相关文件

(一)信息科技新兴领域的相关行政立法发展较快

信息安全是一个新兴治理领域,新技术新应用新问题层出不穷,其中很多问题的发展、认识和管理经验尚未成熟和定型,很难在短时间内制定国家法律。因此,各国都注重先通过行政立法来治理,这样更有专业性、灵活性和效率。

英国加强交通运输有关信息安全规制,2017年英国政府出台了《面向联网和自动驾驶汽车的网络安全关键原则》和《船舶网络安全实操规则》。关于后者,英国运输部说明,重点是对公司安全官、公司安全评估做出详细规定,以达到提升网络安全的目的。美国重视隐私的保护,8月15日,美国国家标准与技术研究院(NIST)发布《信息系统与组织的安全和隐私控制》,旨在阐明安全与隐私之间的关系,便于政府机构和其他组织机构理解隐私范围。法国加强信息传输和交易的安全规制立法,法国国家信息系统安全局制定了《关于传输层安全协议的安全建议》和《关于电子交易的电子识别和信托服务》。俄罗斯进一步加强信息管制, 8月18日,俄罗斯联邦通信与大众传媒监督局为落实《俄罗斯信息技术和信息保护法》,规定了在访问信息资源时,对访问者的信息技术、软件、语言、法律与组织等方面提出了要求,这使得在访问联邦信息资源时受到更加严格的限制。

日本的本年度行政立法主要有3个文件。一个是《教育信息安全政策指导准则草案》,日本文部省在8月2日完成征求意见,该准则旨在为学校提供制定及修订信息安全措施时的参考标准。另外两个是《网络安全2017年度报告》和《网络安全相关措施2018年度预算重点方针》,于8月29日在日本内阁网络安全中心第15次网络安全战略总部会议公布。

值得注意的是,德国在2017年度的信息安全行政立法有较大发展。这些文件主要由德国联邦信息技术安全办公室(BSI)发布:一是《信息技术检验岗位和信息安全服务商的认证流程》;二是《外部云服务无合同使用准则》,规定如何判断云服务的安全性以及使用中必须履行的要求等;三是《电子身份证件提供商技术标准》,规定提供应用于电子商务和电子政务,进行电子身份证件认证服务程序和设备的服务商、认证工作者,需要遵循的法律和技术要求,以及必须遵循的网络安全规定。此外,还有两个官方报告文件:《2017年德国网络安全状况》和《管理控制结构中的IT基础保护以国防军中的应用为例》,前者的主题和目的是为了找出改善德国网络安全状况的解决方法,后者涉及国防军中使用的信息技术工具和方法的历史沿革,信息技术安全在国防军中应用的原则,综合考虑保密、信息技术保护和数据保护等各方面要求后所采取的一系列措施。

(二)信息安全行政立法的全球性特点更加明显

信息安全的行政立法既有国内法效力,也会产生域外法律效果,相关行政法规规章的全球性特点越来越明显,各国之间互相影响越来越快速和深刻。这一发展特点,在美国行政法上尤其明显,对我国相关法规规章发展具有一定参考意义。

2017年4月,美国政府制定了《网络威胁框架》(Cyber Threat Framework),以便对网络威胁事件进行一致描述和分类,趋势分析或识别网络对手的活动变化。5月11日,鉴于俄罗斯黑客干预美国大选事件的影响,美国总统特朗普签署《阻止特定群体参与重大恶意网络攻击行动之总统行政令(修正案)》,将全国选举系统纳入关键基础设施范围。5月11日,特朗普还签署《提升美国网络和关键基础设施网络空间安全》的行政令,要求各机构负责人就其网络安全问题向白宫和国土安全部提供风险缓解评估报告,所有美国联邦机构采用国家标准与技术研究院开发的改进关键基础设施网络安全框架。7月,美国司法部网络安全部门发布《在线系统漏洞披露计划框架》,以帮助组织机构制定正规的漏洞披露计划,为公共和私有组织机构挖掘、报告、披露安全漏洞提供合法平台。

信息安全的国际法动态

(一)信息安全相关的双边国际协议

在信息时代,数据和信息的生成、采集、传输、处理和使用都可能是跨境的,信息安全也因之是一个跨国性问题。为应对这种问题,相关国家需要加强国际合作,订立协议才能妥善应对相关挑战,这些合作机制和协议也构成了相应国际法的渊源。与我国相关的,一是2017年10月4日的首轮中美执法及网络安全对话,这是习近平主席和特朗普总统2017年4月达成共识的4个对话机制之一,也是两国政府推动双方在执法和网络安全领域合作的重要平台。其中,在网络犯罪和网络安全领域,双方将继续落实2015年中美两国元首达成的中美网络安全合作共识,并重申2015年以来3次中美打击网络犯罪及相关事项高级别联合对话达成的共识和合作文件依然有效。二是2017年4月,澳大利亚与中国达成一项网络安全协议。根据这项协议,两国均承诺不会从事或支持窃取对方知识产权或商业秘密的行为。

美国与日本、以色列,法国与土耳其也达成了相关的双边协议。2017年5月,美日达成网络信息共享协议,旨在深化两国政府间的网络信息共享,日本正式加入美国土安全部的自动指标共享平台。该共享平台允许美国政府与私有部门和全球的其他组织机构双向共享网络威胁指标。6月26日,美国和以色列宣布,两国将建立新的网络安全合作关系,以阻止网络对手,并确定让恶意攻击者承担责任的方法。2017年12月20日,法国国家信息系统安全局公布,法国与土耳其有关部门签署了网络安全合作协议。

(二)国际组织的信息安全法动态

在信息安全的国际治理中,国际组织也是不可忽视的一个法律主体。1月10日,欧盟委员会提议制定《隐私与电子通信条例》,该条例是《一般数据保护条例》的补充,将取代现有的《电子隐私指令》。2月28日,欧盟网络与信息安全局发布《电子服务提供商事件通报指南》,目的是规范电子服务提供商依据欧盟制定的《网络信息安全指令》,落实事件报告标准,提高欧盟网络安全水平。9月19日,欧盟委员会推出“加强欧盟网络安全的一揽子计划”,提出一套管理欧盟非个人数据自由流动的规定。其中,应对网络攻击的措施,主要包括加强欧盟网络与信息安全局的职能、建立欧盟范围内的网络安全认证框架、制定如何应对大规模网络安全事件及危机的计划,以及成立欧洲网络安全研究和能力中心。

此外,2017年5月13日,七国集团(G7)财长和央行行长会议公布了G7公报草案。草案指出,网络攻击事件使G7经济面临持续增加的威胁,有必要做出适当的经济政策回应。G7国家财政领域负责人承诺在遏制网络攻击方面加强合作。

值得注意的还有,2017年5月20日,金砖国家网络经济与网络安全研讨会在重庆举行,网络安全专家学者共同研讨合作应对网络安全挑战。9月,在中国举办的金砖国家峰会之前,俄罗斯总统普京刊文指出,俄罗斯主张扩大金砖国家在全球信息安全领域的协作。普京称,“我们建议共同建立相关国际法合作基础,而在未来制定并通过各国在该领域内负责任行为通用准则。签署金砖国家跨政府国际信息安全协议可以成为重要的步骤。”虽然还只是一个建议,但显示了信息安全国际合作、区域合作的迫切性。

总的来看,2017年度,全球信息安全法律与政策的发展呈现了“你追我赶”的态势,既显示了各个国家对信息安全问题的重视,也显示了信息科技发展中的各种法律问题越来越突出、多变和复杂。

(文章来源:《保密科学技术》,作者:龙凤钊 /  国家保密科技测评中心 )

声明:本文来自保密科学技术,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。