(公安部第三研究所,上海 201204)
数字经济时代,移动互联网、云计算、大数据、物联网、人工智能等新技术得到更深层次的运用,成为推动全球经济发展和社会变革的重要力量。然而,信息化带来的网络安全威胁范围和内容也不断扩大和演化,全球网络安全形势与挑战日益严峻。[1]网络恐怖主义成为全球公害,APT攻击持续危害网络安全,网络舆情危机、政治黑客和虚假新闻泛滥,网络空间对抗强度持续升级,围绕网络军备竞赛、关键信息基础设施保护、国家安全审查、网络意识形态渗透、数据传输与利用等方面的国际斗争日趋激烈。在网络空间安全风险进一步突显,网络空间安全矛盾不断加剧的当下,如何主动防御管控风险,如何区别保护确保重点,实现信息化发展与网络安全并重,是各国网络空间治理面临的共同挑战,也是各国网络安全立法重点不断调整的根本动因。
2017年是全球网络安全立法(含战略、政策)日新月著的一年,也是我国网络安全立法厚积薄发的一年。回顾2017年,各国对外争夺网络空间国际规则制定话语权,对内力图构建全方位、更立体、更具弹性与前瞻性的网络安全立法体系,提升国家网络安全和抵御网络攻击的能力。美国、欧盟、俄罗斯、英国、德国、新加坡、澳大利亚、马来西亚、荷兰、瑞士等国都结合本国治理现状,推动网络安全战略、基础性网络安全综合立法、个人信息保护、关键信息基础设施保护、反恐与情报、内容与平台治理、网络监控与执法、密码管理、犯罪和刑罚等网络空间“行动域”的立法体系得以完善和实施,在人工智能、数字货币、物联网安全、无人驾驶等“行动域”则属于初始阶段。
2017年我国基本摆脱“战略不设防”、“立法不完善”阶段。《网络安全法》正式实施,网络安全基础立法取得重大突破,相继发布的国家战略和各类规划不断强化立法提出的原则和政策,不断出台的配套措施重在衔接立法构筑的制度和规则,立法全面落地实施的有效性正待实践进一步检验。与此同时,2017年《国家情报法》《密码法(草案征求意见稿)》《出口管制法(草案征求意见稿)》《治安管理处罚法》(修订公开征求意见稿)《反间谍法实施细则》《关键信息基础设施安全保护条例》(征求意见稿)等法律法规立足网络空间主权、国家安全与社会公共安全,在网络安全相关领域各有侧重,亮点频现,相得益彰。
通过对网络安全国际态势和各国网络安全立法现状的综合分析,本文认为,2017年全球网络安全立法总体呈现两大基本态势:
网络空间安全治理世界规则的制定仍处于滞后的状态,国际网络空间话语权争夺更加激烈,美国、欧盟、俄罗斯以及包括我国在内的新兴国家都各自在网络空间治理方面有自己的主张,各方之间的角逐在短期内进一步加剧。战略是网络空间安全治理世界规则的要素之一,战略博弈已经成为各国政治和经济发展的新常态。联合国国际电信联盟(ITU)《2017年网络安全指数》报告显示,目前有70多个国家发布了网络安全方面的国家战略,20多个国家正在制定过程中。[2]2017年网络空间战略仍是各国的角逐对象,英国出台《2017英国数字化战略》,澳大利亚发布《网络安全领域竞争力计划》和首次年度修订版《国家网络安全战略》,美国发布总统特朗普任内首份《国家安全战略》,均旨在从战略侧面提升网络安全保护能力,保持国家数字经济竞争力。我国亦是重视网络安全的顶层设计,陆续发布《网络空间国际合作战略》《大数据产业发展规划(2016-2020年)》《云计算发展三年行动计划(2017-2019年)》《新一代人工智能发展规划》《推进互联网协议第六版(IPv6)规模部署行动计划》《关于深化“互联网+先进制造业”发展工业互联网的指导意见》等战略、政策和规划,对国际合作、大数据、云计算、人工智能、IPv6、工业互联网等重点领域进行专门指导。
从战略与立法的关系来看,各国网络安全战略均旨在从发现、控制和响应等环节构筑国家网络安全保障体系,内容涉及技术、管理和立法等诸多方面,几者之间相互补充、互为基础,缺一不可。立法体系的构建必须立足于国家网络安全战略,立法的实施则是国家战略实现的必要手段和步骤。2017年各国对网络安全战略和政策的制定、调整及升级体现出三大特点:
第一,侧重建立更强的防御能力。美国、欧盟等多次提出“主动防御”、“先发制人”等网络威慑战略,大力发展和提升网络威慑手段,积极抢占网络空间制网权,强调通过发展和丰富演练、协同等机制大力加强网络态势感知和网络安全应急与恢复能力。“主动防御”战略已经开始对立法产生直接影响,2017年10月进入美国立法程序的《主动网络防御确定法案》即描述了美国立法层面主动防御构想的多重场景。
第二,倡导安全与发展并重的基本理念。美国特朗普总统首份《国家安全战略》重申“美国优先”,强调经济发展攸关国家安全。英国、澳大利亚等也在战略中提出任务维护网络空间安全的同时,大力鼓励并促进科技创新,充分释放数据资源在经济发展中的重要作用,强调通过繁荣经济提升本国在国际社会中的地位和话语权。
第三,博弈竞争与合作协助并存。2017年各国一方面加强数字经济领域的竞争与博弈,抢占网络空间国际规则制定的主导权,另一方面,“信息技术无国界”和“网络空间有主权”的国际认识日渐达成,各国进一步加强在情报共享、反恐主义、网络犯罪、信息分享、联合演习、标准制定等方面的合作与协助。2017年10月首轮中美执法及网络安全对话再次强调,双方将继续落实2015年中美两国元首达成的中美网络安全合作共识。
数字经济时代勒索软件、恐怖主义、网络黑客、泄密和虚假信息等“公害”泛滥,加强网络空间安全法律治理已经取得国际共识。2017年各国着眼于国家“能力”与“责任”建设,提升国家网络安全监管和网络安全保护能力,从立法形式看,不仅注重构建综合性网络安全立法,也加快不同“行动域”的立法工作。综合性网络安全立法对下位法的制定、国家安全保护基线的确立以及旧有法律制度的修订整合起总体指导作用。2017年我国《网络安全法》正式实施,美国通过2018财年《国防授权法案》,英国发布《关于网络和信息系统安全指令的咨询》,新加坡发布《网络安全法案2017》(草案),通过这些综合性网络安全立法对信息系统、网络数据和网络内容进行全面治理。综合性立法之外,各国更强调划分专项“行动域”,区分重点进行保护。2017年各国进一步推动在关键信息基础设施保护、个人信息保护、网络内容与平台治理、网络安全审查、反恐与情报、网络监控和执法、物联网安全、密码管理、犯罪和刑罚等“行动域”的立法进程。本文重点分析以下三个“行动域”:
第一,在关键信息基础设施保护“行动域”,各国将关键信息基础设施安全视为网络安全的最核心组成部分,着重提升关键信息基础设施和政府信息系统等重点领域的安全防范能力。2017年相关立法成果包括:美国发布《增强联邦政府网络与关键性基础设施网络安全总统行政令》、《2017NIST网络安全框架、评估和审查法案》和NIST《关键基础设施网络安全框架》V1.1草稿,俄罗斯发布《联邦关键信息基础设施安全法》,澳大利亚发布《关键基础设施安全法草案2017》,新加坡发布《网络安全法案2017》(草案),我国发布《关键信息基础设施安全保护条例》(征求意见稿)。虽然立法背景、立法体例和立法内容各有不同,但各国均旨在动用国家力量、国家资源、强力手段加强对关键信息基础设施的安全保护、安全监管和安全保障,法律制度的设计重在以“风险(管控)”、“预判(感知)”和“攻击(假想)”为基础,积极构建网络监测预警、网络安全威胁情报信息共享、网络安全评估检测、供应链安全管控、网络安全事件应急恢复等全方位的国家网络安全保障体系。值得一提的是,俄罗斯2017年《联邦关键信息基础设施安全法》第一次明确了在关键信息基础设施中实施等级保护的思路和机制,明确通过制定关键信息基础设施分级标准、标准指标以及分级的制度来确保俄罗斯关键信息基础设施的安全,所有的关键信息基础设施必须按照俄罗斯联邦政府规定的制度进行分级保护,为我国如何构建并妥善处理关键信息基础设施保护制度和网络安全等级保护制度的关系提供了有益的国际参考。
第二,在个人信息保护“行动域”,各国进一步强化对个人信息的保护与数据跨境监管,并重在推动原有立法的落地。 2017年个人信息保护相关立法成果包括:2017年是欧盟GDPR正式生效前的关键准备时期,欧盟第29条工作组发布《根据第2016/679号条例关于个人数据泄露通知的指南》草案及《基于第2016/679号条例目的的自动化个人决策与特征分析指南》草案,英国发布旨在转化GDPR的《数据保护草案》;此外,新加坡发布旨在指引《2012年个人数据保护法》实施的《数据保护管理程序指南》和《数据保护影响评估指南》,美国提出《数据经纪人问责制和透明度法案》,澳大利亚提出《通知数据泄露计划》(草案)。个人信息保护亦是《网络安全法》的核心亮点之一,提出了我国个人信息保护的基本原则和要求;2017年个人信息保护制度配套的国家标准GB/T 35273-2017《信息安全技术 个人信息安全规范》获批发布,旨在解决从立法到实施的“最后一公里”落地问题。
数据是数字经济时代的基本要素,2017年各国数据跨境监管的规则制定与实施争议仍在继续。在欧美“隐私盾”生效的一年后,欧盟第29条工作组发布了针对欧美“隐私盾”的首份2017年度审查报告,马来西亚发布《个人数据保护(关于传输个人数据至马来西亚境外)命令2017 》;《网络安全法》明确提出了关键信息基础设施领域数据本地化和跨境的安全评估制度,2017年数据本地化和跨境评估制度配套的《个人信息和重要数据出境安全评估办法(征求意见稿)》和国家标准《信息安全技术 数据出境安全评估指南(征求意见稿)》相继发布,对个人信息和重要数据出境的原则、评估内容、禁止出境的情况以及工作要求、方法流程、评估内容和结果判定等内容进行了细化。
第三,在网络监控和执法“行动域”,各国整体加大网络监管力度,赋予情报部门和执法机构更多监管职责,电信运营商、网络运营者等被赋予越来越多的协助执法义务,同时加强对信息内容和平台的管控,针对危害网络安全的行为实施严厉的刑事惩罚。从2017年度观察,延长数据留存期限、扩大国家安全机关、情报及公安机关等执法机构权限渐成主流趋势。如英国2017年正式施行的史上最严协助执法《调查权力法》,强化执法机构在通信及通信数据拦截、获取、留存及设备干扰等方面的权力,要求通信服务提供者要有能力对自己实施的加密进行解密,并留存通信数据不超过12个月。此外,2017年德国发布针对社交媒体平台的监管法案《网络执行法》,规定虚假新闻、仇恨言论等违法内容处理不力、不当的社交网络平台,将被处以最高5000万欧元的罚金,2017年新加坡《计算机滥用和网络安全法》修正案则对严重的数据保护和网络安全漏洞规定了严重的刑事制裁。
本文认为,随着网络空间安全面临的安全与发展、数据安全与数据分享、监管与被监管、言论自由与政治安全等基本矛盾的进一步加剧,基于2017年度既往全球网络安全立法的情势,未来国际立法可能在以下七个方向和方面有所体现:
网络空间的国际属性决定了建立全球范围内统一认可的共同规制是网络空间治理的根本,但是由于各种原因,网络空间共同规制的制定一直困难重重。构建好的网络空间共同规则体系需要各国从国内立法、重要双边或多边条约以及全球网络空间基本原则等多层面共同努力。[3]以我国而言,国内网络安全立法的制定、完善与实施可为国际社会网络空间治理提供中国方案,为促进国际社会合作共赢,我国也一直主张各国应该加强沟通,增加国家间信任,共同致力于打击网络犯罪行为、抑制网络恐怖主义势力发展等双边、多边条约和全球共同规则制定。
在网络安全领域,尽管战略指导立法和立法包容战略的界限已经趋于模糊。但战略所体现的行业直至国民经济整体的宏观发展与立法关切的直接对接,将网络安全立法的位阶提升到了前所未有的高度。同时,网络安全战略、政策对传统法律部门的渗透将不断加强,各国战略之间的竞争、碰撞直至交锋无疑将继续成为未来深刻影响立法的重要因素。
从当前各国网络安全立法现状看,尽管名称和所关注“行动域”有所差别,但主要国家中多数已经制定了网络安全的基本法,未来这一基本立法模式可能继续在其他国家复制。同时,各国亦多认识到,无论基于何种体例,网络安全立法的任何一个领域都需逐层展开,构筑法律、监管框架、部门制度、指引标准的配套系统。这一方面是立法技术本身的要求,另一方面则是技术立法的显著特点。此外,立法和配套制定后的有效实施问题在各国普遍存在,强化落地实施的评估方式、执法检查等也将成为下一步的重点。
2017年网络安全攻击方式、手段的多样性和严重性再次刷新了各国对网络安全态势的认识,威胁和攻击的“进化”将倒逼CII保护进行全面梳理和反思。以往认为CII的定义与范围已经初步成型的观念可能在面对全新威胁态势时不再经得起推敲,对CII的定义和范围的划定可能将不是保护体系构筑完成的标志,而是非常初期的开始。目前立法表现出的“全部门”保护和核心功能持续,和不断挖掘CII新领域、新行业的趋势呈现了未来立法走向的两端。就我国而言,《关键信息基础设施安全保护条例》(征求意见稿)的立法进程、关键信息基础设施保护与网络安全等级保护制度关系的妥善处理与科学设计无疑是2018年网络安全立法制定与实施的重中之重。
网络安全漏洞的资源性和武器化趋势已成为国际和国家层面的普遍共识,漏洞管控已与国家层面的威胁态势感知和执法保障能力直接相关,国际上有关安全漏洞管控的最佳实践和立法机制日渐丰富。2017年《美国政府漏洞衡平政策和程序》和NIST《关键基础设施网络安全框架》V1.1草稿对漏洞管理要素的增加充分彰显制定漏洞政策与程序,实现贯穿漏洞生命周期标准化管控的必要性。未来以漏洞为核心的主动防御和网络态势感知治理路径将渐趋明朗。就我国而言,《网络安全法》第51条国家网络安全监测预警和信息通报制度的构建以及第26条“发布系统漏洞”衔接的“国家有关规定”值得关注。
网络安全信息共享作为应对网络安全威胁态势的重要举措,各国都在持续构筑这一体系、机制和落实措施。美国多部法案都试图在政企之间形成有效、持续的共享通道,2018年这些法案将继续在美国国会各个层面尝试突破。我国《网络安全法》信息共享相关条款下的配套制度建设也可能成为未来加快步调的重要方面。同时,鉴于欧盟第29条工作组对“隐私盾”协议年度审查报告的负面评判,很难想象短时间内各国对数据的跨境传输能够达成共识。可以预见,未来相当长时间内围绕数据跨境传输的角力仍将持续,可能从联合国到WTO再到双边或其他多边协议的各个层面展开。此外,尽管各国非法有害信息的界定有所区别,但对虚假新闻、政治广告、淫秽色情等仇恨、暴力以及恐怖主义等非法内容的主动预防、发现和消除监管要求基本一致,未来将更赋予平台更多的责任和义务。就我国而言, 2014年发布的互联网信息服务管理办法(修订草案征求意见稿)的立法进程值得关注。
目前人工智能、数字货币等专门领域的立法挑战不仅是技术层面,还涉及到与法理、伦理、主权、人文、经济贸易的基础关系,不仅是“软法”层面的应急解决,更急需包括法律理论在内的基础社会科学提供底层支持,未来这些领域的专门性立法将逐步展开。
2017年各国在网络安全政策立法方面,基于各国自身信息技术水平和社会治理现状,制定和完善相关立法。治理领域方面,在“重者恒重”的基础上,不断延伸至新兴技术,对于人工智能、数字货币等问题的重视使得各国立法更具现实意义和应用价值。未来,网络空间安全与发展之间的平衡,国际社会的竞争与博弈,传统保护领域和新兴技术行业面临的日趋复杂的风险,使得各国需要在现有政策立法落地实践的过程中,积极寻求普遍经验,与他国交流合作,构建网络空间命运共同体。
[1]马民虎.网络安全法适用指南[M].崔聪聪,黄道丽.北京:中国民主法制出版社,2018:1.
[2] ITU. Global Cybersecurity Index (GCI) 2017 [EB/OL]. (2018-01-10).https://www.itu.int/dms_pub/itu-d/opb/str/D-STR-GCI.01-2017-R1-PDF-E.pdf
[3]黄道丽.建立网络空间共同规则,促进国际社会合作共赢[J].中国信息安全,2015,(12):81-83.