网络安全十大原则

2012-07-18 02:32埃内肯蒂克
决策与信息 2012年5期
关键词:网络安全原则法律

文/埃内肯·蒂克

自2007年爱沙尼亚在政府、通讯基础设施、银行和网络媒体等方面遭受大规模网络攻击后,全球对网络威胁的看法发生了巨大的变化。因政治问题和意识形态引起的对基础设施的网络攻击给安全专家敲响了警钟,并且表明建造先进的信息社会是需要付出代价的。

2007年起,联合国、北约、欧盟、欧安组织和其他国际组织或引入了新的网络安全政策或修改了已有的条款。

在专家的讨论以及解决网络事件的过程中,10条有关此问题的规则逐渐显现。这些规则为解决网络事件和网络安全问题提供了一个抽象但相对集中的法律看法,也凸显了法律理论和实践之间的差异。

●领土原则

网络基础设施受国家及其主权的管辖。各国政府都可以对坐落在其境内的信息设施行使有效的控制,比如保证记录的有效和质量,及对电子交换服务提供商的监控,提高应对管辖范围内存在的威胁以及自身处置各类事件的能力,平衡信息社会发展和国家安全利益等。

领土原则使国家能够对境内或受管辖的信息基础设施实行主权掌控。一个国家保证自身网络的责任得到了国际公认的非干预和主权概念的支持。

●责任原则

网络攻击发起自一国境内的信息系统即为该事件归属的证据。如果网络行动来自于政府的网络设施,那么该国政府与此行动有否关系是值得商榷的。因此,国家需要考虑自己有可能会被认为同攻击有关或是他方利用了政府的信息设施。它们将会受到公众谴责,并会被要求做出回应或协助调查。识别攻击源或发起者的信息,采用合适的手段和工具,甚至法律执行手段,比如没收、逮捕和起诉,应当在那些被卷入国家中进行调查。

各国同样也需要通过更严格控制境内信息设施的使用来提高其自身的网络安全水平。当然,经济和安全利益之间的平衡也需要根据具体情况而定。

●合作原则

网络攻击来自于一国境内设施的事实构成了该国需要配合受害国调查的义务。国际信息基础设施的相互关联性使任何国家都无法在那些设施可能被用来发动攻击的国家不愿合作的情况下进行自我防卫。公共和私有机构,以及国家政府和国际组织之间需要更有效的合作。法律、政策、军事和技术专家之间跨领域的合作同样也是必要的。

尽管大多数信息设施是私人拥有和运作的,公共信息服务和网络有很大一部分都通过合同依靠私有部门的支持。合作可以借助咨询、信息交换、资源重置和服务支持的形式进行。在互联网服务提供商合作、数据交换、合作关系以及结盟协议方面的国家条款将会支持合作的法律框架。

《网络犯罪公约》也要求各方进行合作,包括在刑事犯罪、统一或互惠协议和国内法律上应用国际合作工具,最大程度来调查或起诉同计算机系统和数据相关的违法行为,或是收集犯罪行为的电子类证据。合作原则在《北大西洋公约》中也有所体现,各方将会根据一国的要求,共同解决受到威胁国家的领土完整、政治独立或安全问题。

●自我防卫原则

人人都有权力自我防卫。自我防卫的概念在刑法和国际法中均有涉及。原则上来说,根据行动的合适性和必要性,每个人都有自我防卫的权力。

在刑法中,如果受害人有理由相信自己将会遭受非法势力的侵犯,则其在自我防卫中采取的在正常情况属于违法的行动将不用承担任何法律责任。这并不是说每次网络“还击”都是合法的;这应该是最后的选择。

在国际层面,个人和集体的自我防卫标准是根据惯例、《联合国宪章》以及《国际案例法》来决定的。如果网络攻击符合“武力攻击”的范畴,那么就会引起个人或集体的自我反击。对网络攻击的评估,根据影响、结果和本质来判定是否等同于“武力攻击”,这需要由国家主权机构,或在合作行动下由国际盟友(比如参照《北大西洋公约》第5条款)来决定。

●信息保护原则

监控数据的信息基础设施应被视为是个人的,除非另有规定(欧盟的普遍解释)。网络监管和信息交换的需要应该根据个人的隐私权进行仔细评估。目前在数据及其安全方面的法律和技术手段还存在着巨大的差异。尽管技术层面看似已经实现了对网络信息的监管,并成为常规,但法律专家对这个问题仍有着很多担忧。

根据《欧盟数据保护指令》,任何可辨识的自然人的信息被认为是个人信息。在执行此指令的国家中,较为普遍的观念是网络地址是个人信息,应该根据国家法律受到约束。其中包括要求获得信息主体关于处理信息的许可,限制信息传输至第三国,以及在有证据的情况下禁止使用由非法途径获得的数据。同时《欧盟数据保护指令》还规定,只在第三国保证对信息予以充分保护的情况下才可将个人信息传送至第三国。

这些约束可能会妨碍在国家层面上识别、追踪或预防网络攻击,但这个指令同时也在公共利益和国家安全方面做出了特别规定。在刑事诉讼方面也有例外。明确数据和信息包检查手段及其需求将能帮助建立保护隐私和实行监控之间的平衡。

●注意责任原则

人人都有责任对自己的信息基础设施采取合理的安全措施。注意责任的概念在法律中的很多方面都沿用已久:个人有义务保护自己处理的信息、来自信息保护法律框架的尽责义务、信息社会服务、客户保护等等。

比如,在《欧盟数据保护指令》中,个人信息的控制者必须采取恰当的技术和组织措施来保护信息不受偶然或非法的损坏或遗失、替换、未授权的披露,尤其是在信息处理过程中包含了网络数据传输情况,以及所有其他非法信息处理形式。这些措施应当能保证一定程度的安全,适合于信息本身及其处理过程中所可能遭遇的风险,同时也考虑了技术的先进性和实施的成本。

另一个类似的浮动标准是1981年通过的《欧洲议会个人数据保护协议》。其中第7条款要求对储存在自动数据文档中的个人信息予以恰当的保护,防止信息在意外或未授权情况下被损毁、遗失、获取、替换或传播。

随着带有政治色彩的网络威胁越来越普遍,注意责任概念应当进行扩展,从而为重要的信息基础设施和政府或军事信息服务提供安全标准。

●预警原则

有义务通知潜在受害者关于已知的、将会发生的网络攻击。2008年,在立陶宛议会通过一项禁止使用原苏联标志的法案后,立陶宛的300多个网站的页面被入侵,布满了榔头镰刀图案。此次攻击本身包括了一个简单、很容易修复的互联网提供商的脆弱性问题,但对攻击的反应却有着更广泛的后果:在得知即将发生网络攻击后,互联网提供商对客户发出了相关的预警。如果能够广泛应用,这种措施可以大大提高网络安全性。

政府机构提前获得网络攻击预警的这个事实凸显了政府信息设施的服务等级协议(SLA)标准以及对能将网络威胁通知公共和私有互联网提供商的无歧视性责任的需求。

根据《电子商务指令》,成员国可以要求信息社会服务提供商承担及时向公共权威机构通报非法活动的责任和义务。

●信息披露原则

公众有权了解自身在生活、安全和福利方面的威胁。欧洲目前较倾向于提高政府行为和记录的透明度,授权公众了解同其生活和福利息息相关的威胁和决策。信息的持有者有义务向生活、健康和财产受到威胁的个人披露已掌握的信息。

这种做法是假设公共部门信息应该可以公开获取,除非有不得已的原因。尽管信息披露能够让公众了解威胁和攻击,并提高网络安全性,但这样做也可能会导致不必要的信息传播。

私有部门担忧公布遭受网络袭击以及产生的后果有可能会降低公众对其商业模式或服务的信任。但政府若要对出于政治目的的网络袭击进行反应,就必须公开这些信息。在公共和私有部门的利益之间必须取得一个平衡。关于攻击的手段、目标和后果的公开讨论可能也会增加脆弱性,因为这可能会让攻击者获取他们原本不了解的信息。

关于信息披露的法律框架在战略交流和公众意识方面将会是网络安全问题的一个重要方面。

●犯罪行为原则

各国都有责任将最常见的网络攻击行为纳入刑法中。在刑法中,网络攻击已经被定义为只有在这些行为构成刑事犯罪时才能被调查和起诉。

带有政治意图的网络犯罪通常是一种针对社会而非特定个人或实体的威胁,因此对待这种网络攻击的方式应不同于出于经济目的的网络犯罪。

现有的国际协议,比如《欧洲网络犯罪公约》,是加强和协调各国对网络犯罪的法律措施的良好起点。每个成员国都应建立相应的国内法律以及其他必要措施来对应这样的犯罪行为,而当犯罪行为系有意而为时,则应剥夺其进入整个或部分网络的权利。

●授权原则

一个机构的行动(和管理)能力来自于对它的授权。授权原则与全球网络安全领域中定义和协调的国际行动相关。它最特殊和最主要的重要性在于制定新的或修改已有的网络安全议事日程。

在现有的网络安全法律和政策工具中,存在着国际协调上的重复或缺失现象。比如,国际网络犯罪预防协调至少是6个主要国际组织所关注的问题。对于国家政府和国际组织来说,这就造成了一个对国家网络安全框架恰当投入的问题。

要决定政府对网络能力的投入是否恰当,国际组织应当利用并提高其他机构的能力。比如,尽管北约在这个问题上主要关注的是协同自我防御机制,但它仍然需要在“武力攻击网络”这个类别下建立解决网络事件的框架,无论被攻击的目标是机构本身还是某个成员国。网络防御的成本要比发起一次攻击昂贵得多,而随着政府信息设施越来越多地成为目标,提升国家和国际防御能力将会成为一个投入问题。

以上10项原则概括了必须纳入网络安全综合性法律框架之中或予以解决的关键概念和领域。它们的目的在于提高公众对网络安全的法律问题以及解决方式的认识,为跨领域的讨论和协调提供关注点,同时也为具有充分基础的法律建议传递国际层面上额外的立法依据。

猜你喜欢
网络安全原则法律
十二星座的做事原则
法律解释与自然法
党支部的工作原则是什么?
法律讲堂之——管住自己的馋嘴巴
新量子通信线路保障网络安全
上网时如何注意网络安全?
网络安全监测数据分析——2015年11月
让人死亡的法律
我国拟制定网络安全法
让法律做主