国外经验
国外网络安全立法对我国的启示
我国网络安全立法再一次迈出了实质性步伐。继2015年6月第十二届全国人大常委会第十五次会议初审了《中华人民共和国网络安全法(草案)》后,7月6日,中国人大网将网络安全法(草案)全文公布,向社会公开征求意见。这意味着我国网络空间将进入“法治时代”。
放眼全球,各国在对互联网进行必要的管理和控制方面已达成共识。据统计,世界上有90多个国家制定了专门的法律保护网络安全。分析来看,在管控手段方面,有的国家通过专门的国内立法进行管制,如美国、澳大利亚、新加坡、印度等;有的国家则积极开展公私合作,推动互联网业界的行业自律以实现网络管制,如英国。在管控对象方面,主要涵盖关键基础设施的安全、网络信息安全和打击网络犯罪等方面。在我国网络安全法正式出台之前,不妨看看全球各国在网络立法方面的经验及启示。
特点:美国互联网监管体系主要包括立法、司法和行政三大领域和联邦与州两个层次;涉及面较为全面,既有针对互联网的宏观整体规范,也有微观的具体规定,其中包括行业进入规则、电话通信规则、数据保护规则、消费者保护规则、版权保护规则、诽谤和色情作品抑制规则、反欺诈与误传法规等方面,这些法规多达130多部。
“9·11事件”是美国网络安全立法的转折点,此后,美国的网络安全立法主要侧重于“国家安全层面”。如2001年美国通过了《2001年爱国者法案》,该法第215条允许美国国安局收集反恐调查涉及的包括民众在内的任何电话通信和数据记录以保护“国家安全”。2002年通过《2002年国土安全法》第225条“网络安全加强法”,该法旨在扩大警方监视互联网的职权,以及从互联网服务提供商调查用户数据资料的权力,从而保护“国家安全”。2002年美国通过《2002年联邦信息安全管理法》,该法的目的是全面保护美国政府机构信息系统的信息安全。
近些年,美国开始关注“社会安全层面”的网络安全立法。如2010年美国审议了《2010年网络安全法案》,该法案是为了确保美国国内及其与国际贸易伙伴通过安全网络交流进行自由贸易,从而对网络安全的人才发展、计划和职权、网络安全知识培养、公私合作进行规定。2010年美国还审议了《2010年网络安全加强法案》,该法案的目的是为了加强网络安全的研究与发展,推进网络安全技术标准制定。
此外,美国还高度重视关键基础设施的安全保护。《国家网络基础设施保护法案2010》规定,国会应在网络基础设施保护领域设置“安全线”,以保障美国的网络基础设施安全,并在政府和私营部门之间建立起网络防御联盟的伙伴关系,促进私营部门和政府之间关于网络威胁和最新技术信息的信息共享。《网络空间作为国有资产保护法案2010》则授权国土安全部对国家机构的IT系统进行维护监管,规定总统可宣布进入紧急网络状态,并强制私营业主对关键IT系统采取补救措施,以保护国家的利益。
特点:新加坡在网络安全立法主要涉及对网络内容安全、垃圾邮件管控和个人信息保护等方面。主要立法包括:《国内安全法》《个人信息保护法》《垃圾邮件控制法》《网络行为法》《广播法》《互联网操作规则》等。
《国内安全法》是新加坡国家安全的基础性法规,其在管理网络安全方面规定了禁止性文件与禁止性出版物,互联网服务提供商的报告义务,以及为了维护国家安全,国家机关拥有的调查权与执法权。《网络行为法》同样也明确规定了对网络内容进行管制的条款。此外,《广播法》与《互联网操作规则》则较为具体的规定了网站禁止发布的内容,如规定互联网禁止出现危及公共安全和国家防务的内容等,同时明确网络服务提供商与网络内容提供商在网络内容传播方面负有无可推卸的责任,包括其负有的审查义务、报告义务和协助执法的义务。《互联网操作规则》明确规定互联网服务提供者和内容提供商应承担自审义务,配合政府的要求对网络内容自行审查,发现违法信息时应及时举报,且有义务协助政府屏蔽或删除非法内容。
保护个人信息及隐私最早体现在新加坡政府与互联网服务商共同制定的《行业内容操作守则》中,其规定互联网服务必须尊重用户的个人资料。个人信息保护的专项立法是2012年10月新加坡国会通过的《个人信息保护法案》,该法案的制定目的在于保护个人信息不被盗用,或滥用于市场营销等途径。法案规定,机构或个人在收集、使用或披露个人资料时必须征得同意,必须为个人提供可以接触或修改其信息的渠道。手机软件等应用服务平台也属于该法案的管控范围,法案规定禁止向个人发送市场推广类短信,用网络发送信息的软件也同样受到该法案的管制。
特点:欧盟在网络安全体系建设方面成效显著。欧盟网络安全体系主要包含三大部分,一是立法,二是战略,三是实践。立法体系包含决议、指令、建议、条例等,战略体系包含长期战略与短期战略,实践则包含机构建设、培训、合作演练等多项内容。
在立法方面,2006年3月马德里和伦敦公交系统遭遇恐怖袭击后,欧盟颁布了《数据保留指令》,该指令要求电信公司将欧盟公民的通信数据保留6个月到两年。但2014年4月8日,欧洲法院裁定《数据保留指令》无效,理由是该项指令允许电信公司对使用者日常生活习惯进行跟踪,侵犯了公民人权。
在战略方面,2012年3月28日,欧盟委员会发布欧洲网络安全策略报告,确立了部分具体目标,如促进公私部门合作和早期预警,刺激网络、服务和产品安全性的改善,促进全球响应、加强国际合作等,旨在为全体欧洲公民、企业和公共机构营造一个安全的、有保障的和弹性的网络环境。2012年5月,欧洲网络与信息安全局发布《国家网络安全策略——为加强网络空间安全的国家努力设定线路》,提出了欧盟成员国国家网络安全战略应该包含的内容和要素。2013年2月7日,欧盟委员会和欧盟外交安全事务高级代表宣布欧盟的网络安全战略,对当前面临的网络安全挑战进行评估,确立了网络安全指导原则,明确了各利益相关方的权利和责任,确定了未来优先战略任务和行动方案。这被认为是对2012年欧洲网络与信息安全局发布策略的积极响应。战略着力加强网络监管的体制、机制建设;加快建立国家网络犯罪应对机构,明确工作任务;制定网络防御对策,从领导、组织、教育、训练、后勤等方面增强欧盟网络防御能力,并创造更多的网络防御演习机会;发展行业技术资源;推动双边多边合作等等。
在实践方面,2013年1月,欧盟委员会在荷兰首都海牙正式成立欧洲网络犯罪中心,以应对欧洲日益增加的网络犯罪案件。网络犯罪中心连通所有欧盟警务部门的网络,整合欧盟各国的资源和信息,支持犯罪调查,从而在欧盟层面找到解决方案,维护一个自由、开放和安全的互联网,保护欧洲民众和企业不受网络犯罪的威胁。2013年4月,欧洲部分私人网络安全公司联合成立了欧洲网络安全小组,通过联合600多名网络安全专家针对问题作出快速有效的反应,建立伙伴关系。同时利用“一线经验”优势,在网络防御政策、风险预防、缓和实践、跨境信息共享等问题上向政府、企业和监管机构提供更有效和实用的建议。
特点:英国早期的互联网立法,侧重保护关键性信息基础设施,随着网络的不断发展,英国在加强信息基础设施保护的同时,也强调网络信息的安全、加强对网络犯罪的打击。
2000年,英国制定了《通信监控权法》,规定在法定程序条件下,为维护公众的通信自由和安全以及国家利益,可以动用皇家警察和网络警察。该法规定了对网上信息的监控。“为国家安全或为保护英国的经济利益”等目的,可截收某些信息,或强制性公开某些信息。2001 年实施的《调查权管理法》,要求所有的网络服务商均要通过政府技术协助中心发送数据。2014年7月,英国政府召开特别内阁会议,通过了《紧急通信与互联网数据保留法案》,该法案允许警察和安全部门获得电信及互联网公司用户数据的应急法案,旨在进一步打击犯罪与恐怖主义活动。
同时,随着英国对于整个网络空间安全所受到的危险的认识程度提高,英国政府全面推行网络安全战略,加强行业自律。2009年,英国成立“网络安全与信息保障办公室”,支持内阁部长和国家安全委员会来确定与网络空间安全相关的问题的优先权,联合为政府网络安全项目提供战略指引。
2010年10月,英国发布《战略防务与安全审查——“在不确定的时代下建立一个安全的英国”》,将恶意网络攻击与国际恐怖主义、重大事故或者自然灾害以及涉及英国的国际军事危机共同列入安全威胁的最高级别,界定了15种要优先考虑的危险类型。2011年11月,英国公布新的《网络安全战略》,表示将建立更加可信和适应性更强的数字环境,以实现经济繁荣,保护国家安全及公众的生活所需;并将加强政府与私有部门的合作,共同创造安全的网络环境和良好的商业环境。2014年,英国情报机构政府通讯总部授权六所英国大学提供训练未来网络安全专家的硕士文凭,这一特殊学位是英国2011年公布的“网络安全战略”的一部分。2015年,英国还按照国家网络安全计划推出“网络安全学徒计划”,鼓励年轻人加入网络安全事业。
特点:澳大利亚政府通过不断完善信息安全有关法规标准、推动政府部门相互协作、重视关键基础信息保护、增强全民信息安全保护意识、建立安全专门人才培养体系、完善信息产品测评认证体系等方面工作,逐步构建起较为完整的信息安全保障体系。
澳大利亚政府及各部门制定了一系列与信息安全有关的法律、标准和指南,包括《电信传输法》、《反垃圾邮件法》、《数字保护法》、《信息安全手册》等,修订了刑法,以适应打击新型网络犯罪。2000年,澳大利亚政府发布信息安全风险管理指南。2001年,发布“保护国家信息基础设施政策”,即政府信息安全行动计划,对澳大利亚关键基础设施进行保护。此外,澳大利亚标准局还制定和采纳了一系列信息安全标准,主要包括信息安全管理体系标准、澳大利亚和新西兰信息安全管理标准、澳大利亚联邦政府IT安全手册、IT安全管理的信息技术指南等。政府部门都被要求遵循这些标准,执行情况由国家审计署进行审查。
2009年11月23日,澳大利亚政府发布《国家信息安全战略》,详细描述了澳大利亚政府将如何保护经济组织、关键基础设施、政府机构、企业和家庭用户,使之免受网络威胁。战略确立了国家领导、责任共担、伙伴关系、积极的国际参与、风险管理和保护价值观六大指导原则。
该战略还提出了信息安全三大战略目标:一是让澳大利亚所有公民都意识到网络风险,确保其计算机安全,并采取行动确保其身份信息、隐私和网上金融的安全。二是让澳大利亚企业能利用安全、灵活的信息和通信技术,确保自身操作和客户身份信息与隐私的完整性。三是让澳大利亚政府能确保其信息与通信技术是安全的且对风险有抵抗力。
此外,战略还确定了信息安全战略的优先重点包括:增强针对网络威胁的探测、分析及应对,重点关注政府、关键基础设施和其他国家系统的利益。为澳大利亚公民提供相关教育,并提供相应的信息、信心和工具以确保其网络安全。与商业伙伴合作,以促进基础设施、网络、产品和服务的安全与灵活性。为保护政府ICT系统的最佳实践进行建模,包括与政府进行网上交易的系统。促进全球电子运作环境的安全性、灵活性与可信度。维护法律框架和执行力的有效性,从而确定并起诉网络犯罪。培养具有网络安全技能的劳动力,使之具备研发能力以开发出创新的解决方案。
特点:在网络安全方面,2013年6月10日,日本正式发布《日本网络安全战略》,提出了创建“领先世界的强大而有活力的网络空间”,实现“网络安全立国”的目标。
2014年11月6日,日本国会众议院表决通过《网络安全基本法》,规定电力、金融等重要社会基础设施运营商、网络相关企业、地方自治体等有义务配合网络安全相关举措或提供相关情报,此举旨在加强日本政府与民间在网络安全领域的协调和运用,更好应对网络攻击。该法还规定,日本政府将新设以内阁官房长官为首的“网络安全战略本部”,协调各政府部门的网络安全对策,与日本国家安全保障会议、IT综合战略本部等其他相关机构加强合作。
在消灭垃圾邮件、计算机病毒以及保护网民隐私信息方面,日本也有明确的法律。日本2011年对《刑法》进行了部分修正,要求网络运营商原则上保存用户30天上网和通信记录,根据必要还可以再延长30天。2015年1月8日,日本总务省就网络接入服务提供商如何保存用户的通信记录召开专家会议进行了讨论,拟明确此前由服务商自行确定的保存的内容和时长。
此外,日本还采取了完善信息安全机构、扩充网络安全力量、健全信息安全保障机制、研发网络安全技术、举行信息安全演习、举办黑客技术比赛、严厉打击网络违法行为、广泛开展交流合作等一系列举措,加强信息网络安全建设。
特点:印度以《信息技术法》的专门立法为中心,各部门法相关规定相辅佐,形成点、线、面结合的互联网法律体系。
2000年是印度互联网发展史上具有里程碑意义的一年,2000年5月,内阁议会通过了《信息技术法》,并于2000年8月15日正式生效。该法的立法目的之一,便是规范电子商务活动,防范与打击针对计算机和网络的犯罪。《信息技术法》第九章规定了八类行为构成“破坏计算机和计算机系统”犯罪,一经查实,犯罪者要负担的民事赔偿金额最高可达1000万卢比(约合200万元人民币)。这八类行为包括未经许可侵入他人计算机、计算机系统和网络,私自下载他人计算机或系统中的数据信息,制造和散播计算机病毒等。第十章规定了“网络上诉法庭”用以专门受理计算机和互联网领域的争议案件。详细规定了网络上诉法庭的人员组成、法庭组成、管辖范围、审理程序和权限。第十一章详细规定了计算机相关犯罪。如篡改计算机源文件即故意隐瞒、销毁、破坏、更改计算机源代码的行为可判处3年监禁或多达2万卢比的罚款。
印度在2006年和2008年修正又增加了很多新的计算机犯罪类型。两次修改主要是对新型的网络犯罪作出了规定,并在2008年的修正案中重点规定了网络恐怖主义的内容,将网络反恐上升到了新的高度。规定通过拒绝计算机访问或未经授权企图侵入计算机系统或引起计算机病毒传播等方式威胁印度的领土完整和主权统一以及引起人民的恐慌、或通过其他类似手段导致人们生命财产受到损害、对人民必不可少的生活设施以及关键信息基础设施造成破坏的行为,以及未经授权侵入或访问因国家安全或外交关系原因采取了访问限制手段的信息、数据或计算机数据库的行为。
该法案被认为是规范互联网的“母法”,针对该法案,自2000年开始,印度先后出台了一些相关的法律法规,并在2006年和2008年出台了修正案,同时,印度刑法典、刑事诉讼法、银行法、证据法也进行了相应的修改以适应信息网络发展的要求。至此,印度形成了以《信息技术法》的专门立法为中心,各部门法相关规定相辅佐,政府政策为指导的国家互联网管理法律体系。
通过立法保障网络安全已成为全球各国的共识,分析来看,我国网络安全立法可借鉴国外在网络安全方面的立法、战略和实践三大方面。
中国的网络安全法应当立足全球视野,全面覆盖“国际法层面”“国家安全层面”“社会安全层面”和“企业个人安全层面”的网络安全内容。
在国际法层面,包括国家网络主权、国际条约适用等,可参考欧洲理事会《网络犯罪公约》;在国家安全层面,包括国家权力与责任等,可以参考美国《2001年爱国者法》《2002年国土安全法》第225条“网络安全加强法”;在社会安全层面,包括网络安全人才培养、网络安全研究、网络安全技术标准制定等,可参考美国《2010年网络安全法案》《2010年网络安全加强法案》;在企业个人安全层面,包括电子商务安全、个人信息安全等,可参考美国1997年《全球电子商务框架》《2005年个人数据隐私与安全法》。此外,还可借鉴印度的做法,以《网络安全法》为基础,同时对《刑法》《网络信息传播条例》等法律法规和部门规章进行调整,形成以《网络安全法》为中心,各部门法相辅相成的网络安全法律体系。
可借鉴欧盟的做法,成立网络安全保障机构,为政府网络安全项目提供战略指引,以此来增进国家对于网络空间和信息安全的保障。此外,适应信息技术的发展和恐怖主义新态势的出现,时隔相应周期则更新出台新的“国家安全战略”,为新形势下的国家、政府、社会和个人网络安全提供战略指导。
可借鉴澳大利亚的做法,根据我国互联网的现状和特点,制定信息安全的战略或规划,明确不同阶段的信息安全目标,划定政府部门、运营商及用户保护信息安全的责任。
可借鉴英国、欧盟等的做法。一是成立网络犯罪中心,科学合理地划分各个部门的职责;建立情报事务处理部门,负责网络安全威胁信息的搜集与研判;建立网络安全国际合作部门,负责加强国际网络安全合作。二是加强公私部门之间的联动机制,发挥公私部门的优势。引导私营部门成立网络安全小组或协会,加强业内之间、业内与政府之间的网络安全威胁信息共享与沟通,提升应对网络威胁和攻击的能力;同时可加强产学研和政企合作,通过企业与高校合作、政府与企业合作、政府与高校合作等多方机制,培养高学历、高水平的网络安全人才。
随着全球信息化进程的加快,信息网络已深入应用到全球各国政治、经济、军事、科技、文化等多个领域。与此同时,网络安全威胁不断推陈出新,病毒传播、木马窃密、网络攻击等网络违法犯罪活动日益猖獗,趋利化特征明显,黑客攻击破坏活动越来越具有全球化特征,跨境网络违法犯罪给各国政府维护网络安全带来严峻挑战。面对日益严峻复杂的国内外网络安全形势,美国、欧盟、日本等主要国家和地区高度重视网络安全立法,一方面加快出台网络安全基本法,另一方面强化政府信息安全、信息监控与内容安全、数据保护、关键基础设施保护等多方面立法,为网络安全保护各项措施的具体实施提供法律依据。世界各国网络安全立法主要涵盖如下方面:
加强顶层设计,出台网络安全基本法。日本于2014年颁布《网络安全基本法》,明确设立“网络安全战略本部”以统一协调各部门的网络安全政策,并对电力、金融等基础设施运营方落实网络安全相关措施提出了要求。美国于2014年通过了《国家网络安全保护法》,强化了国土安全部的国家网络安全和通信集成中心在联邦部门和私营部门共享网络安全信息方面的重要作用,为立足国家层面部署和加强公共和私营部门网络安全信息共享提供了法律依据。俄罗斯、加拿大分别出台《联邦信息、信息化和数据保护法》、《信息安全法》,作为保护本国网络与信息安全的基本法律。
加强政府信息安全立法,保护政府网络与信息安全。美国于2002年出台了全面系统规定联邦政府信息安全保护要求的《联邦信息安全管理法》,并于2012年将该法更新为《联邦信息安全改革法》,强调对计算机网络进行实时、自动监控,加强联邦政府网络安全保护。
授权信息监控,强化内容安全。为合法监控重点目标,获取大量有效情报信息,一些国家从国内公民通信监控和国外信息监控等两方面制定了信息监控法律,对相关国家机构实施国内外信息合法监控进行授权,如美国将《爱国者法》《外国情报监听法》作为其实施信息监听的法律依据,英国通过《调查权力规范法》为本国执法机构对国内公民监控提供了合法性,日本颁布《通信监听法》以对合法监听进行授权。同时,信息内容安全立法也是各国网络安全领域的重要方面,美国通过《电信法》《反垃圾邮件法》和《儿童在线隐私保护法》、英国通过《儿童保护法》来禁止不良信息传播和保护未成年人。
加强数据资源安全,保护公民个人信息。数据安全是各国信息安全立法保护的重点,从各国相关立法的具体内容来看,一是强调数据信息资源安全,包括以商业秘密为代表的经济信息和政府部门受保护信息,二是注重个人数据安全保护,包括禁止拦截和窃取个人数据、个人数据保存和处理的安全保护要求。数据信息资源安全方面,美国在《统一商业秘密法》《经济间谍法》中明确了对窃取商业秘密的行为的相应刑罚,美国《计算机欺诈和滥用法》、英国《计算机滥用法》都明确了对非法利用和窃取政府部门数据信息的行为的处罚规定。个人数据安全保护方面,美国《反窃听法》和《电信法》重点对信息传输过程中非法拦截和窃取个人数据的行为进行了限制,欧盟按照1992年通过的《信息安全框架决定》的要求,先后于1995、2002、2006年分别通过了《数据保护指令》《隐私与电子通信指令》和《数据留存指令》,为欧盟个人数据保护法律体系奠定了基础,而后,遵循欧盟上述指令要求,包括英国、法国、德国、荷兰、西班牙、瑞典、意大利、比利时、匈牙利、希腊等多国在内的欧盟成员国普遍制定实施了保护个人数据信息的相关法律,重点明确了个人数据保护的基本原则以及对个人数据进行留存、处理、使用的安全保护要求。
聚焦国家战略资产,保护国家关键基础设施。在关键基础设施保护立法方面,美国走在了世界前列。作为全球信息技术最为发达、应用最为广泛的国家,美国明确将“数字基础设施”作为“国家战略资产”,先后出台《1996年国家信息基础设施保护法案》《2001年关键基础设施保护法案》《联邦信息安全管理法案》《2002年关键基础设施信息法案》四部法律以及多部总统令和行政令,从定义关键基础设施的概念入手,对关键基础设施保护范围、责任和具体要求进行了规定。
2015年7月6日,我国《国家网络安全法》(草案)正式发布,作为我国网络安全领域具有最高效力的法律,《国家网络安全法》共七章六十八条,从网络运行安全、关键信息基础设施安全、网络信息安全、法律责任等方面进行了明确规定,将等级保护、网络产品与服务安全、网络安全信息共享、个人信息保护等多项工作纳入法律轨道,为保障国家网络安全、促进我国信息化健康发展提供了高层次的法律依据。未来随着《国家网络安全法》的推进实施,我国网络安全必将迎来新的发展局面,网络安全保障相关工作都将有法可依,违反网络安全法律规定的行为也都必将受到严惩。