作者:马民虎
出版社:电子工业出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
网络安全法律遵从试读:
前言
网络安全事关国家利益,而网络空间中的国家利益冲突极其尖锐,其中军事冲突、进出口管控,以及国家安全审查、数据主权等方面的国际斗争日趋激烈。在互联网迅速发展的时代,网络安全已成为影响国家安全和社会稳定的关键问题,成为国家安全体系的重要组成部分。网络安全和信息化对一个国家的很多领域来说都是牵一发而动全身的,没有网络安全就没有国家安全。鉴于网络安全在国家安全中的重要性,以及网络安全面临的复杂形势,制定网络安全法,提高网络治理的法治化水平已是必然。
2016年11月7日,第十二届全国人民代表大会常务委员会(以下简称“全国人大常委会”)第二十四次会议通过《中华人民共和国网络安全法》(以下简称《网络安全法》),并于2017年6月1日起正式实施,共7章,79条。《网络安全法》是我国信息安全领域的重大立法,它体现了国家对建立健全网络空间秩序的基本意志。该法确立了“保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织合法权益,促进经济社会信息化健康发展”的立法目标,调整范围包括中华人民共和国境内建设、运营、维护和使用的网络,以及网络安全的监督管理,具体内容涉及网络安全支持与促进、网络运行安全、网络信息安全、监测预警与应急处置、法律责任等方面。《网络安全法》的制定和实施响应了习近平总书记提出的“全天候全方位感知网络安全态势”的基本要求,是依法治网的一个重大立法举措,弥补了网络安全法律保障机制上位法律制度的缺失,对配套法律法规的制定和具体制度的实施具有重要的指导作用。
本书以《网络安全法》为分析蓝本,以企业网络安全法律遵从为视角,围绕《网络安全法》相关法条释义和解读、网络安全相关制度概述、典型案例解析等方面,梳理和分析了一般网络运营者、关键信息基础设施运营者,以及网络产品和服务提供者这三类遵从主体的网络安全法律遵从框架和实施建议,以期为相关企业遵从《网络安全法》及其制度要求提供可操作性指引。本书框架由方婷、郑蕾、赵军、张素伦共同讨论,章节框架最后由马民虎、许坚确定,方婷、郑蕾统筹实施,书稿分为以下四个部分。
第一部分(第1章~第4章)为《网络安全法》导论。该部分重点梳理和分析了国内外网络安全态势、国内外网络安全事件与立法,以及《网络安全法》的基本原理。马民虎、方婷、梁思雨、张若琳、马可、张敏、党家玉负责本部分的撰写工作。
第二部分(第5章~第12章)重点分析了一般网络运营者的网络安全法律遵从。该部分分别从网络安全等级保护制度,网络实名制,网络安全监测预警和应急响应,安全认证、检测及风险评估,网络安全信息披露,协助执法,个人信息保护,以及网络信息内容过滤等方面分析已有网络安全法律制度对一般网络运营者提出的法律遵从要求。黄道丽、王玥、赵丽莉、李海英、方婷、赵光、何治乐、唐治国、马可、冯潇洒、党家玉、梁思雨负责本部分的撰写工作。
第三部分(第13章~第17章)重点分析了关键信息基础设施运营者的网络安全法律遵从。该部分首先对关键信息基础设施的界定及其范围进行解读,并进一步针对关键信息基础设施运营者的安全保护义务、网络安全审查要求、数据本地化与跨境传输要求、网络安全信息共享要求等提出我国关键信息基础设施运营者的网络安全法律遵从框架及建议。赵婧琳、张敏、马宁、郑蕾、梁思雨、方婷和马悦负责本部分的撰写工作。
第四部分(第18章~第22章)重点分析了网络产品和服务提供者的网络安全法律遵从。该部分在对《网络安全法》关于网络产品和服务提供者规定的基础上,围绕网络产品和服务安全、网络安全漏洞通知和报告、用户信息保护、保密义务、网络关键设备和网络安全专用产品强制认证等方面重点分析了网络产品和服务提供者的网络安全法律遵从框架及建议。黄道丽、方婷、江智茹、党家玉、张若琳、梁志伟负责本部分的撰写工作。第一部分《网络安全法》导论第1章 国内外网络安全态势
人类社会发展至今,先后经历了农业革命和工业革命,当前正在历经信息革命。信息革命作为经济全球化的重要推动力量,引领了社会生产新变革,创造了人类生活新空间,拓展了国家治理新领域,极大地提高了人类认识世界、改造世界的能力。随着全球信息化的发展和深入推进,网络与经济社会各领域深层次融合,网络在极大地促进经济社会繁荣进步的同时,其带来的安全威胁和风险也日益突出,特别是针对关键信息基础设施的重大网络安全事件,例如,针对乌克兰电网发起的攻击造成基础电力运行的崩溃;针对伊朗核设施的攻击使其被迫暂停核运行;针对美国 Dyn 域名服务提供商进行的分布式拒绝服务(Distributed Denial of Service,DDoS)攻击使大量网站陷入瘫痪,造成的灾难性后果已严重危害国家经济安全和公共利益。与此同时,网络恐怖主义、网络诈骗、网络谣言等的恶意蔓延也直接威胁人们的生命财产安全,影响社会和谐稳定,长此以往将导致人们对网络安全的不信任,抑制信息化的发展。因此,网络安全已经成为事关人类共同利益,事关世界和平与发展,事关国家安全的重要一环。
近年来,新一代信息技术蓬勃发展,大数据、云计算、物联网等在带来便利的同时,也引发了新的网络安全问题。云计算需要汇集海量的数据从而进行整合处理,使得数据的跨境流动成为常态,数据主体对于数据资源的控制力持续削弱。“棱镜门”事件的爆发使得各国开始意识到此种削弱使得数据本身的安全性和由数据所承载的国家安全、社会稳定和个人信息都面临潜在威胁,数据的主权界定也就成为亟待解决的问题。与此同时,各国政府和私有部门纷纷在物联网和人工智能等新兴信息技术领域投入更多资源,使其逐渐成为恶意网络分子利用的工具,网络攻击手段更加复杂,溯源难度进一步增加,而物联网和人工智能技术本身引起的隐私保护和道德伦理等问题也摆在眼前。因此,无论是出于保护传统网络安全,还是维护新兴技术发展的目的,各国都充分认识到网络安全对于国家、社会和公民的价值,普遍将其提升到国家战略层面,并且针对关键信息基础设施、网络恐怖主义、网络谣言及数据保护等内容完善立法,同时,加强国际合作,提升网络空间的国际话语权,构建网络空间国际治理规则。态势一:各国普遍将网络安全提升到国家战略层面
网络空间已经成为与海、陆、空和外层空间同等重要的人类活动新领域。在国际社会,对于网络这一第五空间的关注从未停止,国家政治、经济、文化、国防及公民在网络空间的合法权益皆面临严峻挑战。近年来,各国在推动网络核心技术、新兴技术发展的基础上,将安全理念从局部安全拓展为全面安全,将中长期发展战略、网络安全人才培养、国际合作等内容也囊括在内。我国于2014年提出总体国家安全观,将国家安全置于国家治理的大背景下来思考和筹划,将安全治理作为基本路径来维护和保障。坚持总体国家安全观,体现在治理实践上,就是推进国家安全总体治理;既重视传统安全,又重视非传统安全,构建集政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、生态安全、资源安全、核安全等于一体的国家安全体系;走出一条中国特色国家安全道路,在安全各领域、各要素、各层面统筹治理,创建当代中国国家安全治理系统格局。
国际社会中,2011年,美国出台《网络空间国际战略》(International Strategy for Cyberspace)宣称要建立一个“开放、互通、安全和可靠”的网络空间,并为实现这一构想勾勒出了政策路线图,内容涵盖经济、国防、执法和外交等领域。
近几年美国又先后公布《网络空间政策审查》(Cyberspace Policy Review)、《国际网络空间战略:网络世界的繁荣、安全和开放》(International Strategy for Cyberspace: Prosperity,Security,and Openness in a Networked World)、《改善关键基础设施网络安全的行政令》(Improving Critical Infrastructure Cybersecurity)、《2014年网络安全增强法案》(Cybersecurity Enhancement Act of 2014)、《2014年国家网络安全保护法》(National Cybersecurity Protection Act of 2014)、《改进关键基础设施网络安全草案》(Draft Strategy for Improving Critical Infrastructure Cybersecurity)、《国家安全战略》(National Security Strategy)、《国防部网络战略》(The Department of Defence Cyber Strategy)、《2015年网络安全法案》(Cybersecurity Act of 2015)、《增强联邦政府网络与关键基础设施网络安全的行政令》(Presidential Executive Order on Strengthening the Cybersecurity of Federal Networks and Critical Infrastructure)等一系列法律规范和政策,着眼于在提升网络安全应急和防御能力的同时建立本国的网络部队,同步培育自卫能力和对外威慑力。
与此同时,欧盟也颁布《欧盟网络安全战略:公开、可靠和安全的网络空间》(Cybersecurity Strategy of the European Union: An Open,Safe and Secure Cyberspace)、《欧盟网络防御政策框架》(EU Cyber Defence Policy Framework)、《欧洲安全议程》(The European Agenda on Security)、《欧洲议会和欧盟理事会关于自然人个人数据处理和数据自由流动保护,并废除95/46/EC 号指令的第[1]2016/680号条例(通用数据保护条例)》、《欧盟网络与信息系统安全指令》(The Directive on Security of Network and Information Systems)、《欧洲议会和欧盟理事会关于欧盟高级别网络和信息系统[2]安全措施的第2016/1148号指令》等,强调成员间、成员内部政府、企业和社会服务等机构之间的信息共享与交流合作,致力于共同维护网络安全。
逐渐脱欧的英国为保障本国在数据时代的安全和繁荣,先后公布《动荡时代强大的英国:国家安全战略》(A Strong Britain in an Age of Uncertainty: The National Security Strategy)、《数据保留与调查权法案》(Data Retention and Investigatory Powers Act)、《2016—2021年国家网络安全战略》(National Cyber Security Strategy 2016—2021)等,重视培养网络安全人才,赋予英国政府更多执法权力。
作为我国邻国的俄罗斯也不甘示弱,先后公布《关于俄罗斯联邦武装力量在信息空间活动的概念性观点》(Conceptual Views Regarding the Activities of the Armed Forces of the Russian Federation in the Information Space)、《俄罗斯联邦国际信息安全领域国家政策基本原则》(Basic Principles for State Policy of the Russian Federation in the Field of International Information Security)、《俄罗斯联邦外交政策理念》(Concept of the Foreign Policy of the Russian Federation)、《俄罗斯联邦军事理论》(Military Doctrine of the Russian Federation)、《俄罗斯网络安全战略概念—进行中的草案》(Concept of Russia's Cyber Security Strategy - Draft Underway)、《俄罗斯联邦国家安全战略》(National Security Strategy of the Russian Federation)、《续展进行中—俄罗斯联邦信息安全理论》(Renewal Underway-Information Security Doctrine of the Russian Federation),保障网络安全。
我国接入国际互联网只有20多年,起步较晚。但当前面临的网络安全形势同样异常复杂,安全任务同样艰巨。对此,我国政府层面对网络安全领域给予高度重视,先后公布《国家网络空间安全战略》、《信息产业发展指南》、《信息通信行业发展规划(2016—2020年)》、《大数据产业发展规划(2016-2020年)》、《软件和信息技术服务业发展规划(2016—2020年)》、《网络空间国际合作战略》、《云计算发展三年行动计划(2017—2019年)》等,就我国网络安全国内外发展形势加以概括性指导。其中《国家网络空间安全战略》站在宏观角度,对我国网络安全治理提出四点基本原则,即尊重维护网络空间主权、和平利用网络空间、依法治理网络空间、统筹网络安全与发展,并将坚定捍卫网络空间主权、坚决维护国家安全、保护关键信息基础设施、加强网络文化建设、打击网络恐怖和违法犯罪、完善网络治理体系、夯实网络安全基础、提升网络空间防护能力和强化网络空间国际合作作为今后发展的九大战略任务,为我国今后的网络治理指明了方向。
而《网络空间国际合作战略》是我国就网络问题首次发布国际战略,体现了我国就网络空间积极拓展国际合作、构建网络空间命运共同体的信心和决心。该战略以和平发展为主题;以合作共赢为核心;倡导“和平、主权、共治、普惠”作为网络空间国际交流与合作的基本原则,以维护主权和安全、构建国际规则体系、促进互联网公平治理、保护公民合法权益、促进数字经济合作、打造网上文化交流平台为战略目标;从倡导和维护网络空间和平与稳定、推动构建以规则为基础的网络空间秩序、不断拓展网络空间伙伴关系、积极推进全球互联网治理体系改革、深化打击网络恐怖主义和网络犯罪、倡导对隐私权等公民权益保护、推动数字经济发展和数字红利普惠共享、加强全球信息基础设施建设和保护、促进网络文化交流互鉴这九个方面提出了中国推动并参与网络空间国际合作的行动计划;明确我国始终是网络空间的建设者、维护者和贡献者,彰显了我国作为互联网大国的责任与风范。
而网络空间的竞争,归根结底是人才的竞争。总体而言,我国网络安全人才还存在数量缺口较大、能力素质不高、结构不合理等问题,与维护国家网络安全、建设网络强国的要求不相适应。为此,就网络安全人才培养方面,我国公布了《关于加强网络安全学科建设和人才培养的意见》,旨在为我国网络安全事业提供充足的人才储备,并且重视新生代网络安全人才能力与使命感的培养。
在此过程中,网络运营者不仅作为一个法律法规遵从主体,将国家战略、法律法规要求落到实处,使之从真正意义上实现应有的秩序价值和引导价值。同时,网络运营者处在市场第一线,对于技术缺口和现实需求的感知更加及时和准确,在网络空间治理层面可充分发挥自身优势,为国家完善法律制度体系,更好地进行网络社会治理建言献策,构建良好的市场环境和国际氛围。态势二:关键信息基础设施安全隐患增多,搭建网络空间基础防御
随着网络与信息技术的飞速发展,传统的物理基础设施与信息系统的融合程度不断加深,在国家安全、社会稳定、经济发展方面的基础性作用日益凸显,对于其稳定性和安全性的妥善保障意义重大。《国家网络空间安全战略》中将关键信息基础设施定义为关系国家安全、国计民生,一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施,包括但不限于提供公共通信、广播电视传输等服务的基础信息网络,能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统,重要互联网应用系统等。从此概念界定可以看出,关键信息基础设施安全关乎社会基本运行,是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标。关键信息基础设施一旦遭受网络攻击就可能导致交通中断、金融紊乱、电力瘫痪等问题,具有很大的破坏性和杀伤力。“震网”病毒、“Duqu”病毒和“火焰”病毒等攻击事件的出现,充分印证了网络威胁正在向工业控制系统、能源、交通、金融、电力等关键领域快速蔓延。如果不加以妥善治理,不仅严重影响到国家关键信息基础设施的持续正常运行,还将使国家安全和社会稳定面临前所未有的威胁。2016年10月美国发生大规模网络瘫痪事件,包括twitter、spotify、netflix、airbnb、github、reddit及《纽约时报》等主要网站都受到影响,一时间网络无法访问对社会基本运营造成恶劣影响。经调查此次事件发生的原因在于美国网络服务供应商迪恩公司的服务器遭到了分布式拒绝服务攻击。迪恩公司作为美国主要域名服务器(Domain Name System, DNS)供应商,其客户包括多家业内巨头和知名互联网公司。而DNS是互联网运作的核心,主要职责就是将用户输入的内容翻译成计算机可以理解的IP地址,从而将用户引入正确的网站。一旦遭到攻击,用户就无法登录网站。除了传统信息技术面临威胁外,近年来快速发展的移动互联网、物联网、云计算、大数据、人工智能等新一代信息技术,也将产生无法预知的风险。
作为网络社会的基础设施,世界各国对其保障都给予了足够的重视。1998年,美国发布《第63号总统令》(PDD 63),制订和实施保护政府的基础设施计划,同时鼓励政府与私有部门之间展开对话,开始构建关键信息基础设施保护体系。自此之后,美国发布2000年《信息系统保护国家计划》(National Plan for Information Systems Protection)、2001年《爱国者法案》(Patriot Act)、2002年《关键基础设施信息保护法》(Critical Infrastructure Information Act of 2002)、2003年《关键基础设施和重要资产物理保护国家战略》(The National Strategy for the Physical Protection of Critical Infrastructures and Key Assets)、2003年《保护网络空间国家战略》(The National Strategy to Secure Cyberspace)、2003年《国土安全总统第7号令:关键基础设施的识别、优化和保护》(Homeland Security Presidential Directive 7: Critical Infrastructure Identification,Prioritization,and Protection)、2013年《提高关键基础设施的安全性和恢复力》(PPD 21)等法案,明确关键信息基础设施范围、保护方式及共享手段。
与此同时期,欧盟出台2005年《保护关键基础设施的欧洲计划》、2006年《关于欧盟理事会制定识别、指定欧洲关键基础设施,并评估提高保护必要性的指令建议》(Proposal for a directive of the council on the identification and designation of European critical infrastructure and the assessment of the need to improve their protection 2006)、2012年《欧洲议会关于关键信息基础设施保护的成就与展望:面向全球网络安全的决议》[Critical information infrastructure protection: towards global cyber-security European Parliament resolution of 12 June 2012 on critical information infrastructure protection – achievements and next steps: towards global cyber-security (2011/2284(INI))]等内容,确立关键信息基础设施认定标准,强化职能分工与协作。
我国对于关键信息基础设施保护也给予充分重视,《国家网络空间安全战略》将保护关键信息基础设施作为战略任务之一,强调关键信息基础设施保护是政府、企业和全社会的共同责任,要采取一切必要措施保护关键信息基础设施及其重要数据不受攻击破坏。《网络空间国际合作战略》同样将加强全球信息基础设施建设和保护作为行动计划之一,明确要加强关键信息基础设施及其重要数据的安全防护,推动各国就关键信息基础设施保护达成共识,制定关键信息基础设施保护的合作措施,加强关键信息基础设施保护的立法、经验和技术交流,推动加强各国在预警防范、应急响应、技术创新、标准规范、信息共享等方面合作,提高网络风险的防范和应对能力。《网络安全法》中设立专门章节规定关键信息基础设施的保护,此外,作为落实的配套制度,2017年7月10日,国家互联网信息办公室就《关键信息基础设施安全保护条例(征求意见稿)》向社会公开征求意见,保障关键信息基础设施安全。
在此过程中,网络运营者,特别是涉及关键信息基础设施的运营者对于此类安全保障可发挥难以替代的价值。在运营过程中,将国家网络安全要求落到实处,提高自身网络安全意识,以高标准、严要求处理日常隐患。在攻击事件发生前,有条件的网络运营者及时发现和接收监测预警信息,并通过上通下达或共享平台将信息加以扩散,减少不必要的损失。在事件发生过程中,有效启动相应等级的应急响应预案,向社会公布安全事件信息和应对措施,安抚社会情绪。在2017年5月发生的“WannaCry”勒索病毒事件中,微软及我国的安天等网络运营者第一时间公布了相应的官方公告或防护手册,引导用户进行处理。同时在事件发生过程中注意留存相关攻击数据,为后续溯源和追责提供依据。在事件发生后,及时向行业主管或监管部门报告,检查系统漏洞并加以修复,提升系统和设备安全性,从而形成良性的关键信息基础设施保护体系。态势三:网络谣言、网络恐怖主义肆虐,网络内容治理迫在眉睫
在移动移动互联网和各类社交媒体快速发展的环境下,人们的日常沟通交流已经突破物理地域或距离上的限制,即时通信工具的普及极大地加速了信息的传播速度,这在便利生产生活的同时,也间接助长了网络谣言、虚假信息的扩散。现如今,网络谣言、虚假信息泛滥引发信息内容失控,已成为一种公害,不仅严重侵害了公民切身利益,也严重扰乱了网络公共秩序,直接危害社会稳定。同时,利用网络宣传思想、招募人才也成为恐怖组织的惯用伎俩,宣扬恐怖主义、极端主义,散播暴恐音视频,煽动颠覆国家政权等行为借助网络的传播与扩散,严重危害国家安全和社会公共利益。
在2017年“WannaCry”勒索病毒刚刚爆发时,我国部分媒体一度宣扬教育网是勒索软件的重灾区,报道称“大量准毕业生的毕业设计、论文材料被加密,导致无法完成论文答辩”、“整个教育行业损失非常严重”等内容,一时间使得社会对教育网安全性产生担忧,影响高校学生对于网络的使用。而中国教育和科研计算机网于5月15日发表声明,斥责关于教育网“大面积感染勒索病毒”的不实报道,指[3]出经统计,教育网并未出现大规模勒索病毒感染,也不是重灾区。据微信安全中心公布的2016年度十大谣言显示,谣言多涉及儿童守护站类、“SB250病毒”系列谣言、收文件有毒类、偷卖儿童类、儿童用药类等谣言,内容与人们日常生活息息相关。“7·23动车事件”中外籍旅客政府天价赔偿事件、日本核危机引发的大量囤盐事件更是导致了社会舆论的歪曲和运行的混乱。在移动互联网普及的时代,不实言论或虚假消息的传播速度又十分迅速,如果国家权威机构无法及时澄清,对消息和言论的发布者、传播者不能依法追责,重则危机社会稳定和良好运行,轻则影响人们的正常生产生活。
网络恐怖主义是影响国际和平与安全的新威胁。极端组织“伊斯兰国”(IS)经常使用社交网站、手机应用等互联网手段宣传极端思想,招募成员。在推特等社交媒体和网络论坛中散发煽动性的文字、图片、视频,引诱人们观看和传播,加速了网络恐怖主义的蔓延趋势。目前我国已出现大量利用网络传播暴恐音视频的现实案例,犯罪分子通常出于盈利或为寻求刺激、吸引点击量的目的,利用QQ、微信等即时通信工具下载、传播暴恐音视频,这容易对心智尚不完全成熟的未成年人造成误导。需要国家采取切实措施,打击网络恐怖主义活动,防范恐怖分子利用网络宣传恐怖极端思想,策划和实施恐怖主义活动。
在治理层面,各国多采用政府主导、行业自律与公民参与的综合治理模式:通过国家及时监测、识别、澄清网络谣言,整治网络恐怖主义内容,行业加强自我约束和内部管理,公民广泛参与,对危害内容积极举报等手段实现网络信息内容治理。在我国,通过《中华人民共和国刑法》(以下简称《刑法》)、《治安管理处罚法》、《互联网信息服务管理办法》、《反恐怖主义法》、《网络安全法》等强化事前警示、事中监管和事后追惩。并且,通过开通中国互联网违法和不良信息举报中心、中国食品辟谣网等官方网站及时接受公民举报和澄清谣言信息。
对于网络运营者而言,其直接面向网络谣言和恐怖主义等不良信息肆虐的平台或媒介,因此应充分承担其应有的法律义务和社会责任,充分发挥自身信息挖掘和收集优势,识别自身运营平台中潜在的恐怖主义及敏感信息,收集网络谣言等不良信息并在一定条件下向社会加以公布。Facebook近期采取了一系列措施治理和打击谣言传播,我国部分互联网企业也通过自身平台或渠道及时公布相关内容,与政府共建清朗文明的网络空间。态势四:勒索软件等网络攻击事件频发,数据泄露问题严重
数据是互联网时代最有价值的资源,加强包括个人信息在内的数据安全保护不论是对国家,还是对企业和个人而言都有现实意义。然而,正因为数据的价值巨大,近年来规模不一的数据泄露事件屡屡发生。根据数字安全研究公司金雅拓公司(Gemalto)最新发布的报告显示,2016年共发生1 800起数据泄露事件,导致近14亿条记录外泄,[4]相比2015年增加了86%。在近期发生的数据泄露事件中,波及范围从国家关键领域,如美国国防部、日本政府网站等各国政务系统、大型移动服务提供商等,到大规模公民个人信息泄露,诸如雅虎10亿个邮箱账户信息泄露事件、“58同城”简历信息泄露事件等。数据泄露事件的发生一方面导致个人对于企业、社会乃至国家网络安全保护水平的不信任,从而一定程度上抑制了网络的发展,另一方面,大量重要数据、个人信息的泄露对于国家安全、社会稳定和个人利益都将造成潜在威胁。电信诈骗的层出不穷,“徐玉玉”等一系列案件的发生敲响了数据安全保护的警钟。
在当前治理模式下,对于数据保护呈现两个特点。第一,不断加强个人信息保护,赋予信息主体更多的知情权和选择权。被遗忘权的提出、企业收集数据必须获得用户明示同意等制度的出现,更加全面地保护了信息安全。第二,重视跨境数据的安全保护。在经济全球化和大型互联网企业快速发展的背景下,加上云计算、大数据等新一代信息技术的助推,使得数据的跨境流动成为常态。不论是企业内部的数据流转还是单纯的数据贸易,跨境的过程使得数据主体对于数据的控制力持续削弱,并且当前“棱镜门”事件引发的外国监听威胁仍存在,数据的跨境流动将在一定程度上增加数据面临的潜在威胁。在欧盟2018年即将生效的《通用数据保护条例》中专门规定了数据跨境流动前的安全评估政策,需保证数据接收国或地区保持与本国同等的数据保护水平。在现存国际组织、正在进行的区域性国家合作组织谈判过程中都或多或少地涉及跨境数据的安全问题。
在我国当前的数据保护立法体系中,对于上述特点也都有所体现。《信息安全技术个人信息保护指南》、《全国人大常委会关于加强网络信息保护的决定》、《信息安全技术公共及商用服务信息系统个人信息保护指南》、《电信和互联网用户个人信息保护规定》、《网络安全法》第四章等对个人信息的基本概念及范围进行了界定,对个人信息收集、使用、转移等环节的安全要求加以明确。《网络安全法》第三十七条、《个人信息和重要数据出境安全评估指南(征求意见稿)》、《信息安全技术 数据出境安全评估指南(征求意见稿)》等法律法规中对于拟出境的个人信息和重要数据的安全做出了在本地存储的要求,当确有必要出境时,需根据法定程序进行安全评估。
数据安全对于网络运营者的重要性不言而喻,对于大数据、云计算等新一代信息技术的长久发展更是起到基础性的作用。因此,国内外网络运营者也已经开始在日常的安全维护中通过重视系统漏洞修复,公布漏洞悬赏计划鼓励“白帽子”进行漏洞挖掘,从而改善自身系统安全性,保障数据安全。Facebook、谷歌、雅虎、微软,我国的360、阿里巴巴、百度都公布过相关的漏洞悬赏计划。态势五:重视国际网络空间治理,构建网络空间命运共同体
网络技术的发展带动了社会生产的变革,改变了人与人之间传统的沟通交流与探索世界的方式。一方面,在世界各国合作日益密切,经济全球化、文化多样性深入发展的背景下,信息通信技术的蓬勃发展将人们带入信息革命的新时代,工业控制系统、微电子、软件技术等进一步解放和发展了生产力,无人驾驶汽车、无人机、物联网等技术使人们走得更远、看得更清,信息革命在一定程度上打破了传统地域的限制,将世界各国人民的发展与安全紧紧地联系在一起。另一方面,网络也带来了新的问题与挑战。网络主权共识如何达成,网络领域发展水平不均、规则缺失等问题日益凸显,国家和地区间的“数字鸿沟”不断拉大。跨国网络犯罪、网络恐怖主义治理、网络强国滥用信息技术攻击他国基础设施、进行大规模网络监控的事实不容忽视。在网络社会中,任何一个国家都难以独善其身,国际社会应在相互尊重的基础上,开展对话与合作,以规则为基础实现网络空间全球治理。
2016年10月,美国商务部下属机构国家电信和信息局将互联网域名管理权交给位于加利福尼亚州的“互联网名称与数字地址分配机构”,两者之间的授权管理合同于当日自然失效,不再续签。至此,美政府理论上不再拥有该领域的主导权,标志着互联网迈出走向全球共治的重要一步。除此之外,近年来,美国与欧盟之前从“安全港”协议到“隐私盾”协议的博弈,亚洲太平洋经济合作组织(Asia-Pacific Economic Cooperation,APEC)跨境隐私规则体系成员的不断加入,上海合作组织成员进一步开展打击网络恐怖主义国际合作,中俄进一步深化全面战略协作伙伴关系、首轮中美外交安全对话等事件的发生,也充分说明世界各国,不论大小,都在积极参与网络空间的国家合作。在我国公布的《网络空间国际合作战略》中,也明确表示中国致力于维护网络空间和平安全,以及在国家主权基础上构建公正合理的网络空间国际秩序,并积极推动和巩固在此方面的国际共识。
在国际经济交往过程中,大型互联网企业的发展也在一定程度上促进着网络空间命运共同体的构建。例如,苹果近期宣布将在我国建造数据中心,我国360、阿里巴巴、京东等企业向国际市场的拓展都能够有效助推我国更好地参与网络空间的国际治理。
总而言之,在当前的国内外网络安全态势中,总体上呈现机遇与挑战并存的局面。网络给政治、经济、文化、外交等领域带来的价值已经充分体现,并且伴随着人工智能、虚拟现实等新兴技术的发展成熟,这一价值会进一步得到拓展,信息革命带来的益处正在普惠世界各国人民。但与此同时,风险也接踵而至。网络谣言、恐怖主义的甚嚣尘上,网络犯罪的肆虐,黑色产业链的不断蔓延,网络攻击的频发及关键信息基础设施保护的迫切性日益凸显,网络资源分布不均,“数字鸿沟”的不断拉大使得网络空间的国际竞争不断加剧。在此背景下,各国在出台立法,完善信息内容治理,惩治网络恐怖主义和网络犯罪,发展核心技术的同时,积极参与网络空间的国际合作,加强国际信息共享与执法协助,致力于构建网络空间命运共同体。第2章 国外网络安全立法与事件
从1946年世界上第一台电子计算机问世开始,在短短数十年内,计算机从价格昂贵、数量稀少、体积巨大的科研军事设备发展为普通大众社会生活的必备品。网络也经历了从20世纪60年代早期第一代远程终端连接,即仅提供终端和主机之间通信的计算机网络;到20世纪60年代中期第二代局域网阶段,即实现多个主机互联,实现计算机和计算机之间的通信;之后发展到第三代计算机网络互联阶段,能够实现不同厂家生产的计算机之间的互联;现已进入第四代信息高速公路阶段,网络使用覆盖社会生活的方方面面,为人们进行高速、多业务、大数据量的信息处理。第一节 网络安全规制形式
随着新技术的发展和普及,网络在个人生产生活、社会及国家运行方面所占的比重越来越大。为了维护社会安定和国家安全,世界各国通过各种不同形式对涉及网络领域的安全进行相应的规制和保障。
最直接的是各国制定与网络安全相关的国内部门法,如美国的《网络安全法案》、德国的《IT 安全法》、克罗地亚的《信息安全法》、捷克共和国的《网络安全法》、匈牙利的《中央和地方政府机构电子信息安全法》,以及我国最新颁布的《网络安全法》等。这样对网络安全管理事务直接立法进行规制的形式能够较为系统地对本国的网络安全管理进行设计。由于国内部门法通常结构较为紧凑、完整,对于涉及网络安全保障各方的责任义务划分明确,所以能够切实对网络安全保障工作起到指导作用。
除了制定相应部门法之外,很多国家和地区选择制定网络安全战略等政策性文件以便进行网络安全规制,如美国、俄罗斯、欧盟、英国、法国、德国等都推出了他们的国家网络安全战略,或者在国家安全战略中专门列出网络安全保障章节。我国也在2016年发布了国家网络安全战略,并在2017年发布国际网络合作战略。这样的规制方式相较于法律法规更加提纲挈领、且易于更新,符合网络这一特殊领域的管制需求。由于技术的高速更新和不可预知性,所以进行方向性和纲领性的战略文件制定并及时进行增补是网络管制的有效形式。第二节 国外主要国家及地区网络安全立法情况概述
自计算机和网络诞生之初,安全问题就相伴而生,飞速的技术和其他应用形式的更迭,使得网络空间安全形势也越发严峻并逐渐上升为影响国家安全和社会安定的全局性问题。目前全世界90多个国家均已制定、颁布针对网络安全及相关问题的管控措施和专门立法。对于网络空间进行科学的治理已经成为世界各国的共同态度。美国、俄罗斯、英国、德国、澳大利亚、新加坡、印度等国家都制定了专门的国内立法,欧盟等国际组织也积极推动相关决议维护网络空间安全秩序(见表2-1),而我国也在经历了长期的积累和充足的研讨后制定、发布了《网络安全法》,正式进入网络治理的法治时代。表2-1 国外主要国家及国际组织网络安全政策和法律文件摘要续表续表续表一、美国法
美国是全球网络技术发源地,在新技术方面占有绝对优势地位,同时其颁布的网络信息安全相关法案也是最多的,据不完全统计至今共计高达130余部,具体涉及计算机系统的运行标准、信息处理的方法和具体技术操作、不同群体的网络权益等领域,规制了行业准入、电话通信、数据保护、消费者保护、版权保护等方面,对破坏网络基础设施的犯罪行为也制定了严格的惩处标准。
在网络信息安全方面,美国有严格的数据信息保密法,规定公民隐私权不容侵犯且使用者有义务对信息进行保密等。而“9·11事件”的发生直接导致美国将立法重点放在保护国家安全和打击恐怖主义之上,对于网络空间的管辖也必须充分考虑安全可控性。例如,2001年通过的《爱国者法案》,明确授予美国国家安全局以保护国家安全,打击恐怖主义为目的收集调查任意美国民众电话记录和数据记录的权利,这无疑是对网络空间管控的极大强化。近几年的《国土安全法案》和《国防授权法案》也都对网络部分的国家部门设置、职责划分和国家预算进行不断的更新和细化。
除了国家层面外,在社会安全层面美国也进行了系统化的网络安全立法。例如,2010年美国审议了《2010年网络安全加强法案》,该法案的目的是加强网络安全的研究与发展,推进网络安全技术标准制定。2015年美国审议了《美国创新与竞争力法案》,这项法案要求国家科学基金会发布并定期更新其工作人员和政策指导意见,研究满足未来网络安全需求的信息系统,并制定流程用以研究能够满足未来网络安全需求的加密标准和准则。
此外,美国还高度重视关键基础设施的安全保护,以及国家网络安全审查制度建设。例如,2017年特朗普政府签发的《增强联邦政府网络与关键性基础设施网络安全》行政令。这项行政令要求采取一系列措施来增强联邦政府及关键基础设施的网络安全,并按联邦政府、关键基础设施和国家三个领域来规定将采取的增强网络安全的措施。在关键基础设施网络安全方面,要求按关键基础设施名单进行评估,并提交网络安全风险评估报告,之后每年重新评估并提交一次评估报告。该项行政令还要求政府机构为重要行业的私有部门和运营商(例如,银行、通信和水电等公共事业)提供更多帮助。二、俄罗斯法
在网络安全日趋重要的新形势下,俄罗斯一直非常注重网络防护。《俄罗斯联邦宪法》已经将信息安全纳入了国家安全管理范围,在此基础上制定颁布了《俄联邦信息、信息化和信息网络保护法》,以此规范俄互联网行为。除此之外,俄罗斯针对信息安全还进行了部分专项立法,从上到下形成了较为完备的多层级信息安全法律体系。
俄联邦安全局的统计数据显示,俄罗斯总统办公厅、国家杜马、联邦委员会网站每天遭受黑客攻击达1万余次,俄计算机用户面临来自互联网的风险水平连续数年高居全球首位。而在“棱镜门”事件中,美国对各国进行网络攻击及监视范围之广也让俄罗斯政府及军方大为警觉。因此,提高网络安全应对能力成为俄政府和军方近年来的重要议题。2013年1月普京签署总统令,要求俄联邦安全局建立国家计算机信息安全机制来监测、防范和消除计算机信息隐患,具体内容包括评估国家信息安全形势、保障重要信息基础设施的安全、对计算机安全事故进行鉴定、建立计算机攻击资料库等。
俄罗斯在信息安全立法方面较为重视纲领性文件的作用。先后出台了《俄罗斯网络立法构想》、《俄罗斯联邦信息和信息化领域立法发展构想》、《信息安全学说》等纲领性文件,在这些指导性文件和纲领性文件的指导下,涉及各领域的网络安全立法工作得以有序进行,并通过了一系列包括《俄联邦计算机软件和数据库法律保护法》、《俄联邦保密法》、《俄联邦著作权法》、《个人信息法》、《电子合同法》、《电子商务法》、《电子数字签名法》、《产品和服务认证法》、《信息保护设备认证法》等法律。
2017年7月,俄罗斯议会上院通过了一揽子政府法案,以保护关键信息基础设施免遭网络攻击,其中明确关键基础设施包括政府数字系统和电信网络、国防行业技术流程自动化控制系统、医疗保健、交通、通信、金融、能源、核、航空航天等行业。法律同时规定,创建恶意软件,并对关键基础设施造成严重损害者可能被判处长达10年的监禁。三、欧盟法
欧盟是较早拥有网络安全管制意识的国际组织之一,多年的立法实践过程使其在网络安全体系建设方面成效显著。早在2001年欧盟就提出了“网络和信息安全相关建议”,并在随后的2004年成立欧盟网络和信息安全局,收集分析欧洲网络安全事件数据并提高欧盟各国应对信息安全风险的能力,协调信息安全领域各个参与主体活动,协助各国计算机应急响应组织的各项活动。
在个人数据保护立法方面,欧盟立法机构的态度存在较为明显的转变。2006年3月马德里和伦敦公交系统遭遇恐怖袭击后,欧盟颁布了《数据保留指令》,该指令要求电信公司将欧盟公民的通信数据保留6个月到两年。但随着“棱镜门”曝光及一系列个人数据泄露和监听行为的披露,2014年4月8日,欧洲法院裁定《数据保留指令》无效,理由是该项指令允许电信公司对使用者的日常生活习惯进行跟踪,侵犯了公民人权。
2016年7月6日,欧盟立法机构正式通过首部网络安全法《网络与信息系统安全指令》,旨在加强基础服务运营者、数字服务提供者的网络与信息系统之安全,要求这两者履行网络风险管理、网络安全事故应对与通知等义务。此外,该法要求成员制定网络安全国家战略,要求加强成员间合作与国际合作,要求在网络安全技术研发方面加大资金投入与支持力度。
在实践方面,2013年1月,欧盟委员会在荷兰首都海牙正式成立欧洲网络犯罪中心,以应对欧洲日益增加的网络犯罪案件。网络犯罪中心连通所有欧盟警务部门的网络,整合欧盟各国的资源和信息,支持犯罪调查,从而在欧盟层面找到解决方案,维护一个自由、开放和安全的互联网,保护欧洲民众和企业不受网络犯罪的威胁。2013年4月,欧洲部分私人网络安全公司联合成立了欧洲网络安全小组,通过联合600多名网络安全专家针对问题做出快速有效的反应,建立伙伴关系。同时利用“一线经验”优势,在网络防御政策、风险预防、跨境信息共享等问题上向政府、企业和监管机构提供更有效和实用的建议。四、英国法
目前,英国的网络安全立法较为完整。英国不仅通过国家网络安全战略等形式对网络安全治理方向进行规制,还在关键信息基础设施保护、个人信息安全、跨境数据流动等方面进行专门立法。除此之外的一系列实践措施也有助于政府、企业、民众相互配合,完善互联网的治理和管控。
2000年,英国制定了《通信监控权法》,规定在法定程序条件下,为维护公众的通信自由和安全及国家利益,可以动用皇家警察和网络警察。该法规定了对网上信息的监控。“为国家安全或为保护英国的经济利益”等目的,可截收某些信息,或者强制性公开某些信息。2001年实施的《调查权管理法》,要求所有的网络服务商均要通过政府技术协助中心发送数据。2014年7月,英国政府召开特别内阁会议,通过了《紧急通信与互联网数据保留法案》,该法案允许警察和安全部门获得电信及互联网公司用户数据的应急法案,旨在进一步打击犯罪与恐怖主义活动。
2009年6月,英国出台了首个国家网络安全战略,宣布成立“网络安全办公室”和“网络安全运行中心”,提出建立新的网络管理机构的具体措施,以促进产业发展和维护网络安全。2010年10月,英国政府发布了《动荡时代强大的英国:国家安全战略》,将恶意网络攻击与国际恐怖主义、重大事故或自然灾害,以及涉及英国的国际军事危机共同列入安全威胁的最高级别,建议启动为期四年、总额达6.5亿英镑的国家网络安全计划。2011年11月,英国公布新的《网络安全战略》,表示将建立更加可信和适应性更强的数字环境,以实现经济繁荣,保护国家安全及公众的生活所需;并将加强政府与私有部门的合作,共同创造安全的网络环境和良好的商业环境。近年来,英国愈加注重技术人才的储备,在2014—2015年,英国分别在多所大学里设立专家课程并提出“网络安全学徒计划”,旨在号召青年人加入网络信息安全领域。五、澳大利亚法
澳大利亚有着良好的信息安全保护传统,其信息安全立法可谓走在世界前列。早在1988年,澳大利亚就专门制定了保护个人信息安全的《隐私法》。随着通信技术的发展,澳大利亚政府及各部门制定了一系列与信息安全有关的法律、标准和指南,包括《电信传输法》、《反垃圾邮件法》、《数字保护法》、《信息安全手册》等,修订了《刑法》,以适应打击新型网络犯罪。2000年,澳大利亚政府发布信息安全风险管理指南。2001年,发布“保护国家信息基础设施政策”,即政府信息安全行动计划,用以对澳大利亚的关键基础设施进行保护。此外,澳大利亚标准局还制定和采纳了一系列信息安全标准,主要包括信息安全管理体系标准、澳大利亚和新西兰信息安全管理标准、澳大利亚联邦政府IT安全手册、IT安全管理的信息技术指南等。政府部门都被要求遵循这些标准,执行情况由国家审计署进行审查。
2009年澳大利亚政府发布《网络安全战略》,从此将网络安全提升到国家战略的高度。该战略详细描述了澳大利亚政府将如何保护经济组织、关键基础设施、政府机构、企业和家庭用户,使之免受网络威胁;并确立了国家领导、责任共担、伙伴关系、积极的国际参与、风险管理和保护价值观六大指导原则。该战略还提出了信息安全三大战略目标:一是让澳大利亚所有公民都意识到网络风险,确保其计算机安全,并采取行动确保其身份信息、隐私和网上金融的安全;二是让澳大利亚企业能利用安全、灵活的信息和通信技术,确保自身操作和客户身份信息与隐私的完整性;三是让澳大利亚政府能确保其信息与通信技术是安全的且对风险有抵抗力。
2016年,澳大利亚政府公布了新的《澳大利亚网络安全战略》。此安全战略的重点是提升澳大利亚在网络环境中的保护能力,以及提高对网络恶意行为的抵抗力。澳大利亚政府计划拨款2.3亿澳元加强网络安全,并为澳大利亚联邦警署、犯罪委员会和通信局等部门聘请网络安全专家。同时,澳大利亚制定了一系列与信息安全有关的法律、标准和指南,包括《广播服务法》、《反垃圾邮件法》、《互联网内容法规》、《数字保护法》等,规定各社会主体对网络安全承担的责任和义务。政府部门和司法机构也必须根据这些法律采取管理措施,惩治破坏网络安全的行为。
澳政府还积极开展网络安全教育,提高全民网络风险意识。例如,免费在计算机上安装软件,屏蔽不良网站,建立青少年网络安全保护公益组织,并为公众投诉非法的互联网内容设立了举报投诉机制。六、新加坡法
新加坡的网络安全指数位列全球第一位,这得益于其严格的网络管理体制和超前的网络治理思维。早在1997年,新加坡就成立了国家计算机应急响应队伍。2005年,新加坡发布了该国首个《信息安全总体规划(2005—2007年)》,旨在保护国家网络环境,建立公共领域面对网络威胁时响应和处理的基本能力。随后,在2008年和2013年,新加坡又先后推出了第二、第三部《信息安全总体规划》。尤其是第三部《信息安全总体规划》,旨在使新加坡在2018年之前发展成为值得信赖并健全的资讯通信枢纽。《国内安全法》是新加坡国家安全的基础性法规,其在管理网络安全方面规定了禁止性文件与禁止性出版物,互联网服务提供商的报告义务,以及为了维护国家安全,国家机关拥有的调查权与执法权。《互联网操作规则》明确规定互联网服务提供者和内容提供商应承担自审义务,配合政府的要求对网络内容自行审查,发现违法信息时应及时举报,且有义务协助政府屏蔽或删除非法内容。同时,新加坡还将上百个政治性网站列入禁访者清单,不遵守规定的网络服务供应将被吊销执照或罚款,私下访问者也会受到刑罚。政府还鼓励服务供应商开发推广“家庭上网系统”,协助用户过滤不适宜看到的内容。
在网络安全实践方面,新加坡也做出了许多创新性尝试。2009年新加坡成立了资讯通信科技安全局,主要职责包括监管和保障关键信息基础设施领域的网络安全问题,保护新加坡免受网络攻击和网络间谍活动的威胁。随后的2015年4月,新加坡又成立了网络安全局,以统筹政府各部门的网络安全事宜应对网络安全威胁日益增加、个人信息泄露事件接连发生的情况。
2016年,随着新加坡提出打造数字化智能国家的计划,相应对网络和数字科技的依赖与日俱增,新加坡对网络安全越发重视,推出了《新加坡网络安全策略》,旨在推动政府机构、网络行业、专家学者和主要服务业者等各利益方共同努力来打击网络犯罪。新加坡网络安全局将成立网络安全学院,通过相关培训提高政府机构及关键信息基础设施网络安全人员的技能水平,确保新加坡有足够的能力更好地应对网络袭击。网安局也会连同资讯通信专才协会和其他机构推出网络安全奖,肯定杰出网安专家、机构,以及学生对本地网安系统做出的贡献。
2017年,新加坡发布了《网络安全法案(草案)》,该法案聚焦应对网络安全威胁和事故、维护关键信息基础设施、促进信息的分享、管制网络安全行业四方面。它将授权新加坡网络安全局在发生网络袭击时立即展开调查,并要求受影响单位提供事故报告和其他关键资
试读结束[说明:试读内容隐藏了图片]