专家分析国际网络安全立法趋势:边界逐步扩大

22.07.2015  16:49

  近几年,随着网络技术的不断发展,云计算、大数据等新业务的广泛运用,以及突发事件(例如2013年“棱镜”事件)的影响,各国网络安全领域的立法呈现集中爆发之势。内容上,除了传统的继续对提高网络安全技术水平、抬高安全标准、加强安全教育等常规选项进行法律修订之外,还对网络监控和反恐、关键信息基础设施保护、数据留存等相关议题进行专题立法,整体上呈现出“攻防并举”的立法思路。法律文本上,大多数以解决为某一专门内容为出发点,例如关键基础设施保护、网络监控、数据留存等,而综合性的网络安全基本法成功出台的较少,只有日本和美国。整体趋势上,网络安全立法的边界逐步扩大,从传统的集中于提高网络安全技术水平、信息系统安全、标准、组织机构等内容,逐步开始与其他法律相互融合,例如数据留存,其实与网络安全立法和个人隐私保护立法都相关;网络监控,则与国家安全、反恐等密切相关。从各国近几年的立法趋势来看,网络安全立法未来还将与更多的议题相互连接,呈现出综合性、全方位扩展的态势。

  以下以美、欧、日、澳、英、印等国为标的,依次对近几年国际网络安全立法的重点(例如网络监控和反恐、关键信息基础设施保护、数据留存)走向进行概述,以呈现出国际网络安全立法的大趋势。

   (一)网络安全基础性法律

  趋势一:网络安全基础性法律在覆盖范围上有所扩展,除传统的加强网络安全技术研究等内容之外,还将中长期安全发展战略、人才选拔和培养、拓展国际盟友等内容都纳入其中。

  2014年11月,美国出台《网络安全增强法案》,与以往的网络安全综合性法案相比,该法布局更加宏观、长远,实施上更具可操作性。短期,美国将启动为期四年的网络安全专项研究计划,参与者众多,甚至包括美国的国际盟友,覆盖范围包括网络系统安全、无线安全、工业控制系统安全、高性能计算机,甚至纳米技术。长期,美国着重于网络安全人才的教育培养,并为此设置了选拔标准,甚至调整了课程。以人才选拔标准为例,法律对专业、思想素质和国籍等同时作出了严格的限制,要求必须是对数学、工程学和信息技术等专业十分精通的、立志于服务国家网络信息安全建设的具有正式美国国籍的人才(公民)。

  2013年年底,日本国会通过《网络安全基本法》。该法从网络安全的定义、基本理念、相关者的责任、法制措施、行政机构、战略、基本政策措施等方面进行了规定,是日本网络安全方面的基本法律。

  趋势二:从多方面增强网络安全技术、提高网络安全标准等内容,依然是各国安全立法的传统保留内容。

  欧盟《网络与信息安全指令》和英国《网络安全实施概要》主要集中于安全技术和标准的提升。欧盟议会表决通过了《网络与信息安全指令》,着重于从三个方面进行规范:统一安全技术和组织机制要求;建立成员国之间的协作机制,尤其是信息共享;对重点部门进行防范能力建设。英国颁布《网络安全实施概要》,涵盖了安全配置、访问控制、恶意软件防护、补丁管理,以及防火墙和互联网网关在内的五个方面的基本控制措施。

   (二)网络监控和反恐

  9.11之后,以美国《爱国者法案》和《国土安全法》等为代表的一系列法律极大扩展了各国情报执法机构的监控和反恐权限。但是,2013年的“棱镜”事件,使得全球范围内的公民隐私保护机构、政府都开始反思,过于扩张的监控权力对公民利益、国家利益会带来无法预料的负面作用。“棱镜事件”之后,各国开始修正网络监控和反恐方面的立法,大部分内容集中于情报执法机构、电信监管机构的权力调整,以及监听监控程序上的调整。呈现以下趋势:

  趋势一:情报执法机构的权力在整体上呈现扩张趋势。

  7月,虽然欧洲法院已经宣布数据留存制度的无效,英国还是通过《数据留存和调查权法案》,特意为警察和国家安全机构配置了专门权力,确认警察(执法)机构和国家安全机构有权从电信运营商处获取用户的通讯数据和互联网数据,包括电子邮件、电话、短消息的发送方和接收方、时间等数据信息。值得注意的是,《法案》同样适用于外国公司,无论境内外。9月,澳大利亚在《反恐法》的草案中,极大拓展了国内安全情报机构的权力,例如,可以不限次数地登陆第三方电脑。

  趋势二:电信运营商等大型企业被赋予越来越多的反恐和辅助监控的职责,以美国为代表的少数国家甚至直接让电信企业参与国家反恐。

  2015年6月2日,《美国自由法案》正式出台。《法案》是对2013年“棱镜”监控丑闻的第一次正式回应,也是美国外国情报监控制度实施近40年来的一次重大改革,在禁止国家安全局等情报执法机构再对美国国内公民进行大规模电话监控之外,转而要求电信运营商承接一部分情报执法机构的功能,直接参与国家反恐,对公民“电话细节记录”信息进行留存。这些“电话细节信息”主要是指通话过程信息,具体包括:呼出号码、接收号码、国际移动用户识别码(IMSI)、国际移动站台设备识别码(IMSEI)、电话卡号码、通话时间和时长。不包括通话内容。此外,法案还规定,其自公布之日起180日之内,各家电信公司要建立自己的电话数据搜集和留存制度,并向政府部门备案。该制度今后若有修改,也要及时向政府汇报和备案。此外,情报执法机构在获得外国情报监控法庭的认可,并拿到法庭调取令的情况下,可以要求电信运营商上缴数据。

  印度于2013年年中出台《电信安全政策(草案)》,规定电信监管机构可要求电信公司向执法部门提供辅助监控,接入电话、文本信息、数据信息等。但从文本内容上看,印度的这套政策草案照搬美国联邦通讯委员会FCC电子监控辅助监听相关制度的痕迹十分明显。不同之处在于,该政策草案在一定程度上有抬升电信监管机构地位的意图,例如,规定由电信监管机构出面,在特殊情况下赋予执法机构获取公民数据的权利,而不是一般的(通行的)由执法机构直接向电信公司索取公民信息。