網絡安全立法 各國面面觀
發(fā)布時間:2015-07-29我國網絡安全立法再一次邁出了實質性步伐!繼今年6月第十二屆全國人大常委會第十五次會議初審了《中華人民共和國網絡安全法(草案)》后,7月6日,中國人大網將網絡安全法(草案)全文公布,向社會公開征求意見。這意味著我國網絡空間將進入“法治時代”。
然而,法律的成熟并不是一蹴而就的。放眼全球,各國在對互聯網進行必要的管理和控制方面已達成共識。據統(tǒng)計,世界上有90多個國家制定了專門的法律保護網絡安全。分析來看,在管控手段方面,有的國家通過專門的國內立法進行管制,如美國、澳大利亞、新加坡、印度等;有的國家則積極開展公私合作,推動互聯網業(yè)界的行業(yè)自律以實現網絡管制,如英國。在管控對象方面,主要涵蓋關鍵基礎設施的安全、網絡信息安全和打擊網絡犯罪等方面。在我國網絡安全法正式出臺之前,不妨看看全球各國在網絡立法方面的經驗及啟示。
美國:社會安全層面?zhèn)涫荜P注
特點:美國互聯網監(jiān)管體系主要包括立法、司法和行政三大領域和聯邦與州兩個層次;涉及面較為全面,既有針對互聯網的宏觀整體規(guī)范,也有微觀的具體規(guī)定,其中包括行業(yè)進入規(guī)則、電話通信規(guī)則、數據保護規(guī)則、消費者保護規(guī)則、版權保護規(guī)則、誹謗和色情作品抑制規(guī)則、反欺詐與誤傳法規(guī)等方面,這些法規(guī)多達130多部。
“9?11事件”是美國網絡安全立法的轉折點,此后,美國的網絡安全立法主要側重于“國家安全層面”。如2001年美國通過了《2001年愛國者法案》,該法第215條允許美國國安局收集反恐調查涉及的包括民眾在內的任何電話通信和數據記錄以保護“國家安全”。2002年通過《2002年國土安全法》第225條“網絡安全加強法”,該法旨在擴大警方監(jiān)視互聯網的職權,以及從互聯網服務提供商調查用戶數據資料的權力,從而保護“國家安全”。2002年美國通過《2002年聯邦信息安全管理法》,該法的目的是全面保護美國政府機構信息系統(tǒng)的信息安全。
近些年,美國開始關注“社會安全層面”的網絡安全立法。如2010年美國審議了《2010年網絡安全法案》,該法案是為了確保美國國內及其與國際貿易伙伴通過安全網絡交流進行自由貿易,從而對網絡安全的人才發(fā)展、計劃和職權、網絡安全知識培養(yǎng)、公私合作進行規(guī)定。2010年美國還審議了《2010年網絡安全加強法案》,該法案的目的為了加強網絡安全的研究與發(fā)展,推進網絡安全技術標準制定。
此外,美國還高度重視關鍵基礎設施的安全保護?!秶揖W絡基礎設施保護法案2010》規(guī)定,國會應在網絡基礎設施保護領域設置“安全線”,以保障美國的網絡基礎設施安全,并在政府和私營部門之間建立起網絡防御聯盟的伙伴關系,促進私營部門和政府之間關于網絡威脅和最新技術信息的信息共享?!毒W絡空間作為國有資產保護法案2010》則授權國土安全部對國家機構的IT系統(tǒng)進行維護監(jiān)管,規(guī)定總統(tǒng)可宣布進入緊急網絡狀態(tài),并強制私營業(yè)主對關鍵IT系統(tǒng)采取補救措施,以保護國家的利益。
歐盟:立法、戰(zhàn)略、實踐相互交融
特點:歐盟在網絡安全體系建設方面成效顯著。歐盟網絡安全體系主要包含三大部分,一是立法,二是戰(zhàn)略,三是實踐。立法體系包含決議、指令、建議、條例等,戰(zhàn)略體系包含長期戰(zhàn)略與短期戰(zhàn)略,實踐則包含機構建設、培訓、合作演練等多項內容。
在立法方面,2006年3月馬德里和倫敦公交系統(tǒng)遭遇恐怖襲擊后,歐盟頒布了《數據保留指令》,該指令要求電信公司將歐盟公民的通信數據保留6個月到兩年。但2014年4月8日,歐洲法院裁定《數據保留指令》無效,理由是該項指令允許電信公司對使用者日常生活習慣進行跟蹤,侵犯了公民人權。
在戰(zhàn)略方面,2012年3月28日,歐盟委員會發(fā)布歐洲網絡安全策略報告,確立了部分具體目標,如促進公私部門合作和早期預警,刺激網絡、服務和產品安全性的改善,促進全球響應、加強國際合作等,旨在為全體歐洲公民、企業(yè)和公共機構營造一個安全的、有保障的和彈性的網絡環(huán)境。2012年5月,歐洲網絡與信息安全局發(fā)布《國家網絡安全策略――為加強網絡空間安全的國家努力設定線路》,提出了歐盟成員國國家網絡安全戰(zhàn)略應該包含的內容和要素。2013年2月7日,歐盟委員會和歐盟外交安全事務高級代表宣布歐盟的網絡安全戰(zhàn)略,對當前面臨的網絡安全挑戰(zhàn)進行評估,確立了網絡安全指導原則,明確了各利益相關方的權利和責任,確定了未來優(yōu)先戰(zhàn)略任務和行動方案。這被認為是對2012年歐洲網絡與信息安全局發(fā)布策略的積極響應。戰(zhàn)略著力加強網絡監(jiān)管的體制、機制建設;加快建立國家網絡犯罪應對機構,明確工作任務;制定網絡防御對策,從領導、組織、教育、訓練、后勤等方面增強歐盟網絡防御能力,并創(chuàng)造更多的網絡防御演習機會;發(fā)展行業(yè)技術資源;推動雙邊多邊合作等等。
在實踐方面,2013年1月,歐盟委員會在荷蘭首都海牙正式成立歐洲網絡犯罪中心,以應對歐洲日益增加的網絡犯罪案件。網絡犯罪中心連通所有歐盟警務部門的網絡,整合歐盟各國的資源和信息,支持犯罪調查,從而在歐盟層面找到解決方案,維護一個自由、開放和安全的互聯網,保護歐洲民眾和企業(yè)不受網絡犯罪的威脅。2013年4月,歐洲部分私人網絡安全公司聯合成立了歐洲網絡安全小組,通過聯合600多名網絡安全專家針對問題作出快速有效的反應,建立伙伴關系。同時利用“一線經驗”優(yōu)勢,在網絡防御政策、風險預防、緩和實踐、跨境信息共享等問題上向政府、企業(yè)和監(jiān)管機構提供更有效和實用的建議。
英國:法律的側重點因勢而變
特點:英國早期的互聯網立法,側重保護關鍵性信息基礎設施,隨著網絡的不斷發(fā)展,英國在加強信息基礎設施保護的同時,也強調網絡信息的安全、加強對網絡犯罪的打擊。
2000年,英國制定了《通信監(jiān)控權法》,規(guī)定在法定程序條件下,為維護公眾的通信自由和安全以及國家利益,可以動用皇家警察和網絡警察。該法規(guī)定了對網上信息的監(jiān)控?!盀閲野踩驗楸Wo英國的經濟利益”等目的,可截收某些信息,或強制性公開某些信息。2001 年實施的《調查權管理法》,要求所有的網絡服務商均要通過政府技術協助中心發(fā)送數據。2014年7月,英國政府召開特別內閣會議,通過了《緊急通信與互聯網數據保留法案》,該法案允許警察和安全部門獲得電信及互聯網公司用戶數據的應急法案,旨在進一步打擊犯罪與恐怖主義活動。
同時,隨著英國對于整個網絡空間安全所受到的危險的認識程度提高,英國政府全面推行網絡安全戰(zhàn)略,加強行業(yè)自律。2009年,英國成立“網絡安全與信息保障辦公室”,支持內閣部長和國家安全委員會來確定與網絡空間安全相關的問題的優(yōu)先權,聯合為政府網絡安全項目提供戰(zhàn)略指引。
2010年10月,英國發(fā)布《戰(zhàn)略防務與安全審查――“在不確定的時代下建立一個安全的英國”》,將惡意網絡攻擊與國際恐怖主義、重大事故或者自然災害以及涉及英國的國際軍事危機共同列入安全威脅的最高級別,界定了15種要優(yōu)先考慮的危險類型。2011年11月,英國公布新的《網絡安全戰(zhàn)略》,表示將建立更加可信和適應性更強的數字環(huán)境,以實現經濟繁榮,保護國家安全及公眾的生活所需;并將加強政府與私有部門的合作,共同創(chuàng)造安全的網絡環(huán)境和良好的商業(yè)環(huán)境。2014年,英國情報機構政府通訊總部授權六所英國大學提供訓練未來網絡安全專家的碩士文憑,這一特殊學位是英國2011年公布的“網絡安全戰(zhàn)略”的一部分。2015年,英國還按照國家網絡安全計劃推出“網絡安全學徒計劃”,鼓勵年輕人加入網絡安全事業(yè)。
澳大利亞:安全立法與國家戰(zhàn)略雙管齊下
特點:澳大利亞政府通過不斷完善信息安全有關法規(guī)標準、推動政府部門相互協作、重視關鍵基礎信息保護、增強全民信息安全保護意識、建立安全專門人才培養(yǎng)體系、完善信息產品測評認證體系等方面工作,逐步構建起較為完整的信息安全保障體系。
澳大利亞政府及各部門制定了一系列與信息安全有關的法律、標準和指南,包括《電信傳輸法》、《反垃圾郵件法》、《數字保護法》、《信息安全手冊》等,修訂了刑法,以適應打擊新型網絡犯罪。2000年,澳大利亞政府發(fā)布信息安全風險管理指南。2001年,發(fā)布“保護國家信息基礎設施政策”,即政府信息安全行動計劃,對澳大利亞關鍵基礎設施進行保護。此外,澳大利亞標準局還制定和采納了一系列信息安全標準,主要包括信息安全管理體系標準、澳大利亞和新西蘭信息安全管理標準、澳大利亞聯邦政府IT安全手冊、IT安全管理的信息技術指南等。政府部門都被要求遵循這些標準,執(zhí)行情況由國家審計署進行審查。
2009年11月23日,澳大利亞政府發(fā)布《國家信息安全戰(zhàn)略》,詳細描述了澳大利亞政府將如何保護經濟組織、關鍵基礎設施、政府機構、企業(yè)和家庭用戶,使之免受網絡威脅。戰(zhàn)略確立了國家領導、責任共擔、伙伴關系、積極的國際參與、風險管理和保護價值觀六大指導原則。
該戰(zhàn)略還提出了信息安全三大戰(zhàn)略目標:一是讓澳大利亞所有公民都意識到網絡風險,確保其計算機安全,并采取行動確保其身份信息、隱私和網上金融的安全。二是讓澳大利亞企業(yè)能利用安全、靈活的信息和通信技術,確保自身操作和客戶身份信息與隱私的完整性。三是讓澳大利亞政府能確保其信息與通信技術是安全的且對風險有抵抗力。
此外,戰(zhàn)略還確定了信息安全戰(zhàn)略的優(yōu)先重點包括:增強針對網絡威脅的探測、分析及應對,重點關注政府、關鍵基礎設施和其他國家系統(tǒng)的利益。為澳大利亞公民提供相關教育,并提供相應的信息、信心和工具以確保其網絡安全。與商業(yè)伙伴合作,以促進基礎設施、網絡、產品和服務的安全與靈活性。為保護政府ICT系統(tǒng)的最佳實踐進行建模,包括與政府進行網上交易的系統(tǒng)。促進全球電子運作環(huán)境的安全性、靈活性與可信度。維護法律框架和執(zhí)行力的有效性,從而確定并起訴網絡犯罪。培養(yǎng)具有網絡安全技能的勞動力,使之具備研發(fā)能力以開發(fā)出創(chuàng)新的解決方案。
日本:政府與民間“協同作戰(zhàn)”
特點:在網絡安全方面,2013年6月10日,日本正式發(fā)布《日本網絡安全戰(zhàn)略》,提出了創(chuàng)建“領先世界的強大而有活力的網絡空間”,實現“網絡安全立國”的目標。
2014年11月6日,日本國會眾議院表決通過《網絡安全基本法》,規(guī)定電力、金融等重要社會基礎設施運營商、網絡相關企業(yè)、地方自治體等有義務配合網絡安全相關舉措或提供相關情報,此舉旨在加強日本政府與民間在網絡安全領域的協調和運用,更好應對網絡攻擊。該法還規(guī)定,日本政府將新設以內閣官房長官為首的“網絡安全戰(zhàn)略本部”,協調各政府部門的網絡安全對策,與日本國家安全保障會議、IT綜合戰(zhàn)略本部等其他相關機構加強合作。
在消滅垃圾郵件、計算機病毒以及保護網民隱私信息方面,日本也有明確的法律。日本2011年對《刑法》進行了部分修正,要求網絡運營商原則上保存用戶30天上網和通信記錄,根據必要還可以再延長30天。2015年1月8日,日本總務省就網絡接入服務提供商如何保存用戶的通信記錄召開專家會議進行了討論,擬明確此前由服務商自行確定的保存的內容和時長。
此外,日本還采取了完善信息安全機構、擴充網絡安全力量、健全信息安全保障機制、研發(fā)網絡安全技術、舉行信息安全演習、舉辦黑客技術比賽、嚴厲打擊網絡違法行為、廣泛開展交流合作等一系列舉措,加強信息網絡安全建設。
新加坡:內容管制和信息保護不可偏廢
特點:新加坡在網絡安全立法主要涉及對網絡內容安全、垃圾郵件管控和個人信息保護等方面。主要立法包括:《國內安全法》、《個人信息保護法》、《垃圾郵件控制法》、《網絡行為法》、《廣播法》、《互聯網操作規(guī)則》等。
《國內安全法》是新加坡國家安全的基礎性法規(guī),其在管理網絡安全方面規(guī)定了禁止性文件與禁止性出版物,互聯網服務提供商的報告義務,以及為了維護國家安全,國家機關擁有的調查權與執(zhí)法權?!毒W絡行為法》同樣也明確規(guī)定了對網絡內容進行管制的條款。此外,《廣播法》與《互聯網操作規(guī)則》則較為具體的規(guī)定了網站禁止發(fā)布的內容,如規(guī)定互聯網禁止出現危及公共安全和國家防務的內容等,同時明確網絡服務提供商與網絡內容提供商在網絡內容傳播方面負有無可推卸的責任,包括其負有的審查義務、報告義務和協助執(zhí)法的義務?!痘ヂ摼W操作規(guī)則》明確規(guī)定互聯網服務提供者和內容提供商應承擔自審義務,配合政府的要求對網絡內容自行審查,發(fā)現違法信息時應及時舉報,且有義務協助政府屏蔽或刪除非法內容。
保護個人信息及隱私最早體現在新加坡政府與互聯網服務商共同制定的《行業(yè)內容操作守則》中,其規(guī)定互聯網服務必須尊重用戶的個人資料。個人信息保護的專項立法是2012年10月新加坡國會通過的《個人信息保護法案》,該法案的制定目的在于保護個人信息不被盜用,或濫用于市場營銷等途徑。法案規(guī)定,機構或個人在收集、使用或披露個人資料時必須征得同意,必須為個人提供可以接觸或修改其信息的渠道。手機軟件等應用服務平臺也屬于該法案的管控范圍,法案規(guī)定禁止向個人發(fā)送市場推廣類短信,用網絡發(fā)送信息的軟件也同樣受到該法案的管制。
印度:“母法”和部門法規(guī)相輔相成
特點:印度以《信息技術法》的專門立法為中心,各部門法相關規(guī)定相輔佐,形成點、線、面結合的互聯網法律體系。
2000年是印度互聯網發(fā)展史上具有里程碑意義的一年,2000年5月,內閣議會通過了《信息技術法》,并于2000年8月15日正式生效。該法的立法目的之一,便是規(guī)范電子商務活動,防范與打擊針對計算機和網絡的犯罪。《信息技術法》第九章規(guī)定了8類行為構成“破壞計算機和計算機系統(tǒng)”犯罪,一經查實,犯罪者要負擔的民事賠償金額最高可達1000萬盧比(約合200萬元人民幣)。這八類行為包括未經許可侵入他人計算機、計算機系統(tǒng)和網絡,私自下載他人計算機或系統(tǒng)中的數據信息,制造和散播計算機病毒等。第十章規(guī)定了“網絡上訴法庭”用以專門受理計算機和互聯網領域的爭議案件。詳細規(guī)定了網絡上訴法庭的人員組成、法庭組成、管轄范圍、審理程序和權限。第十一章詳細規(guī)定了計算機相關犯罪。如篡改計算機源文件即故意隱瞞、銷毀、破壞、更改計算機源代碼的行為可判處3年監(jiān)禁或多達2萬盧比的罰款。
印度在2006年和2008年修正又增加了很多新的計算機犯罪類型。兩次修改主要是對新型的網絡犯罪作出了規(guī)定,并在2008年的修正案中重點規(guī)定了網絡恐怖主義的內容,將網絡反恐上升到了新的高度。規(guī)定通過拒絕計算機訪問或未經授權企圖侵入計算機系統(tǒng)或引起計算機病毒傳播等方式威脅印度的領土完整和主權統(tǒng)一以及引起人民的恐慌、或通過其他類似手段導致人們生命財產受到損害、對人民必不可少的生活設施以及關鍵信息基礎設施造成破壞的行為,以及未經授權侵入或訪問因國家安全或外交關系原因采取了訪問限制手段的信息、數據或計算機數據庫的行為。
該法案被認為是規(guī)范互聯網的“母法”,針對該法案,自2000年開始,印度先后出臺了一些相關的法律法規(guī),并在2006年和2008年出臺了修正案,同時,印度刑法典、刑事訴訟法、銀行法、證據法也進行了相應的修改以適應信息網絡發(fā)展的要求。至此,印度形成了以《信息技術法》的專門立法為中心,各部門法相關規(guī)定相輔佐,政府政策為指導的國家互聯網管理法律體系。
國外網絡安全立法對我國的啟示
通過立法保障網絡安全已成為全球各國的共識,分析來看,我國網絡安全立法可借鑒國外在網絡安全方面的立法、戰(zhàn)略和實踐三大方面。
中國的網絡安全法應當立足全球視野,全面覆蓋“國際法層面”、“國家安全層面”、 “社會安全層面”和“企業(yè)個人安全層面”的網絡安全內容。
在國際法層面,包括國家網絡主權、國際條約適用等,可參考歐洲理事會《網絡犯罪公約》;在國家安全層面,包括國家權力與責任等,可以參考美國《2001年愛國者法》、《2002年國土安全法》第225條“網絡安全加強法”;在社會安全層面,包括網絡安全人才培養(yǎng)、網絡安全研究、網絡安全技術標準制定等,可參考美國《2010年網絡安全法案》、《2010年網絡安全加強法案》;在企業(yè)個人安全層面,包括電子商務安全、個人信息安全等,可參考美國1997年《全球電子商務框架》、《2005年個人數據隱私與安全法》。此外,還可借鑒印度的做法,以《網絡安全法》為基礎,同時對《刑法》、《網絡信息傳播條例》等法律法規(guī)和部門規(guī)章進行調整,形成以《網絡安全法》為中心,各部門法相輔相成的網絡安全法律體系。
在戰(zhàn)略層面不斷適應新形勢,出臺國家戰(zhàn)略維護網絡安全。
可借鑒歐盟的做法,成立網絡安全保障機構,為政府網絡安全項目提供戰(zhàn)略指引,以此來增進國家對于網絡空間和信息安全的保障。此外,適應信息技術的發(fā)展和恐怖主義新態(tài)勢的出現,時隔相應周期則更新出臺新的“國家安全戰(zhàn)略”,為新形勢下的國家、政府、社會和個人網絡安全提供戰(zhàn)略指導。
可借鑒澳大利亞的做法,根據我國互聯網的現狀和特點,制定信息安全的戰(zhàn)略或規(guī)劃,明確不同階段的信息安全目標,劃定政府部門、運營商及用戶保護信息安全的責任。
在實踐上,應加強公私部門合作,加大網絡安全保障力度。
可借鑒英國、歐盟等的做法。一是成立網絡犯罪中心,科學合理地劃分各個部門的職責;建立情報事務處理部門,負責網絡安全威脅信息的搜集與研判;建立網絡安全國際合作部門,負責加強國際網絡安全合作。
二是加強公私部門之間的聯動機制,發(fā)揮公私部門的優(yōu)勢。引導私營部門成立網絡安全小組或協會,加強業(yè)內之間、業(yè)內與政府之間的網絡安全威脅信息共享與溝通,提升應對網絡威脅和攻擊的能力;同時可加強產學研和政企合作,通過企業(yè)與高校合作、政府與企業(yè)合作、政府與高校合作等多方機制,培養(yǎng)高學歷、高水平的網絡安全人才。
下一篇:報告稱亞太網絡安全建設力度不夠