美国国会网络安全立法探析

戚鲁江

美国是全球网络技术的发源地，掌握着网络空间的核心技术并处于绝对优势地位。

美国在网络安全领域的立法也起步最早，数量最多，覆盖面最宽，内容最复杂。近年来，出于对“所遭受网络攻击”的担心，美国国会更是加快了网络安全的立法进程。

美国第111届国会以前（1984年一2009年）起支架作用的法律，明确了网络安全的基本内容及政府各部门职责。

据美国国会研究部统计，1984年至2009年，美国通过的含有网络安全相关条文的法律有36部。根据其规范的主要内容，这些相关法律大致可分为网络基础设施保护、网络泄密与数据保密、打击网络恐怖主义、网络色情等犯罪活动治理、惩治网络信息滥用与欺诈、网络知识产权保护等6类。其中有9部起支架作用的法律对有关网络安全的重要内容作出了规定。

《1984年伪造接入设备及计算机欺诈与滥用法》：将侵入美国特定部门或专用计算机系统以窃取美国政府涉密信息、金融档案信息的行为界定为犯罪。

《1986年电子通信隐私法》：禁止未经授权的电子窃听，规定政府访问电子通信记录、拦截通信信号的范围和标准。

《1987年计算机安全法》：规定美国政府在提高联邦计算机系统安全性和隐私保护方面可采取的措施，赋予国家标准与技术研究院为联邦计算机制订安全标准。

《1995年削减公文法》：赋予白宫管理和预算办公室制定并颁布国家网络安全政策的职责。

《1996年信息技术管理改革法》：要求美国政府部门长官负责制定本部门的信息安全政策和程序，并在各政府部门设立“首席信息官”。

《2002年国土安全法》：赋予国土安全部部分网络安全职责。

《2002年网络安全研发法》：赋予国家科学基金会和国家标准与技术研究院开展网络安全研究的职责。

《2002年电子政务法》：用以指导联邦信息技术管理的基础性立法，其中包含在白宫管理和预算办公室下设电子政务办公室、政府和私营部门之间开展相关专业人才交流等多项网络安全方面的内容。

《2002年联邦信息安全管理法》：进一步明确并加强国家标准与技术研究院在制订网络安全标准方面的职责，建立联邦计算机事故反应中心。

上述法律大致划分了美国联邦各政府部门在网络安全领域的职责，即所有联邦部门均肩负与本部门业务相关的网络安全职责，一些部门还肩负着特定的“关键性基础设施”保护职责。

在第111届国会（2009年-2010年）期间，共提出涉及网络安全的法案、决议案逾60件。在第112届国会（2011年-2012年）期间逾40件。虽然提出了许多法案，但自2002年以来，美国国会没有通过一部综合性的网络安全法律，也没有形成网络安全立法的基本框架。

事实上，近两届美国国会并没有放弃网络安全综合性立法的努力。例如，自2011年以来，参议院一直在试图将第111届国会期间国土安全和政府事务委员会提出的S.3480号法案和商务、科学和运输委员会提出的S.773号法案合并成一部综合性的网络安全法律。

2012年2月，参议院提出吸收了上述两个法案主要内容的《2012年网络安全法案》，并随后又提出了该法案的修正版本和替代版本，但这些法案在第112届国会均未获通过。

相对于国会，美国行政部门的动作明显要快得多。

2008年，小布什政府确立了“综合性国家网络安全倡议”（机密文件）。

2009年，奥巴马政府设立白宫网络安全协调官，专门负责政府部门间网络安全事务的协调，其工作重点包括建立对联邦信息系统的自动监控、制定统一的网络安全战略、建立联邦计算机事故反应制度以及加强政府与私营部门的合作等。

2010年，奥巴马政府对“综合性国家网络安全倡议”的主要内容进行了“解密性”的说明。

2011年4月，白宫向国会提交了一份综合性、包含7部分内容的立法建议，其中部分建议陆续融入到参、众两院的法案中。

2013年2月，奥巴马政府颁布“提高关键性基础设施网络安全”的第13636号行政令，进一步拓展了政府与私营部门间的信息共享和协作，细化了“确定关键性基础设施的步骤”等诸多内容。

当前，美国国会网络安全立法主要解决6个方面的重点问题，修订现有法律中网络安全相关条文。

在当前的整合修订过程中，美国国会除需要重点考虑1984年以后的36部相关法律外，还需要研究另外20部1984年以前通过成法、年代久远但仍现行有效，甚至看似毫无关联但实际上其中某些条款在“根子上”与网络安全密切相关的法律。

例如，美国早在1890年通过的《反托拉斯法》禁止“任何旨在限制贸易的契约、联合或通谋行为”，有人认为，网络安全立法推动的信息共享有悖于这一原则，因此在制定新的法律时，需要研究有无对《反托拉斯法》相关条款进行修订的必要性。

启示

当前。美国国会的网络安全立法是包括整合修订旧法律、审议通过新法律在内的一项系统工程，头绪繁多、覆盖面宽、内容复杂，但脉络清晰且立法进程在加快。

其主要做法和路径可归纳为：制定网络安全国家战略；明确网络安全定义，确定保护对象，界定犯罪行为；建立权责统一、层级分明、分工协作的执行体系和应急机制；完善网络安全的硬件和软件；加强信息和情报共享；加大研发投入，加强专业人才培养和交流；根据形势发展推出新的法律、整合修订旧的法律等。

网络涉及国家安全和国计民生，在我国经济社会发展方面发挥着重要作用。

截至2015年12月我国的互联网普及率达到50.3%，网民规模达到6.20億。同时，我国也是世界上黑客攻击的主要受害国。据统计，2015年我们已知的APT组织就攻击了中国境内上万台电脑，平均每月超过千台电脑受影响。

严峻的网络安全形势需要我们加强对相关问题的研究，汲取包括美国在内的其他国家的经验，为制定和完善我国相关法律提供参考。