英国网络信息安全问责制度与启示

盖宏伟　宋倩

摘要：自从进入信息化时代，网络信息安全逐渐成为国家安全的重要组成部分，关系到国家主权的稳固及社会经济的发展。英国作为世界上信息化水平最发达的国家之一，其社会经济生活高度依赖互联网，随着信息安全形势日益严峻，面对不断出现的网络攻击和威胁，英国政府意识到网络信息安全对于国家安全和经济社会发展的重要作用，不断加强对网络空间领域的规范、管制活动，试图通过加强对网络信息安全的问责为英国的商业经济发展创造良好的投资和經营环境，网络信息安全问责制由此展开。

关键词：英国；网络；信息安全；问责

一、英国网络信息安全的法律法规

第一、三R互联网络安全规则。三R互联网络安全规则，主要从分级认定、举报告发、承担责任三方面来协调实施。英国设立网络安全基金会来负责网络非法信息的举报处理，以及支持对网络上的内容信息进行分级认定的系统开发。对网络上发布的合法内容提供一个合法标识，指明日常发布的信息内容是否非法以及属于什么性质的非法内容。通过设立专门的热线举报电话以供公众举报网络上的非法内容和危害社会的信息。公民可以通过电话、邮件、传真等多种方式进行举报，举报内容会被随即转换成标准形式转送给直接提供服务的机构和部门。网络基金会用标准化的分级准则对举报内容进行核实，并将检测结果答复给举报人，通知当事人撤销信息，情况严重时可以联系负责处理全国刑事案件的警察服务中心（NCIS）。

第二、英国网络信息安全战略。为了应对日益严峻的网络安全问题，英国先后出台两份网络信息安全战略的重要文件。2009年英国首次出台国家网络信息安全方面的战略文件——《英国网络信息安全战略》。文件指出英国政府将成立两个网络安全新部门——网络安全办公室（OCS）和网络安全行动中心（CSOCA）。OCS负责处理政府内部关于网络安全的各种方针政策，CSOCA负责协调政府与各民间机构的重要计算机安全保护工作。该战略主要从降低网络空间风险、抓住网络发展机遇、提升政府对网络安全事件的反应能力等方面做出规划。2011年11月英国政府颁布了新的网络信息安全战略文件——《2012网络信息安全战略》，表示将建立更加可信和适应性更强的数字环境以促进经济繁荣，提出英国正面临来自其他国家的网络安全攻击和网络犯罪的威胁，因此英政府要不断提高国家的网络安全水平，通过营造良好的网络安全环境来保障英国的商业活力和经济增长。强调要以网络安全来促进经济繁荣，此外通过与国际社会一道来形成国际网络安全准则，建立互信机制，降低网络风险。

第三、数据保护法。英国政府在1998年出台了新的《数据保护法》并且在2000年3月1日生效。该法律对个人数据及某些敏感数据的使用和保存管理做了规范性要求，在强化个人权利的同时保障了个人的隐私安全。该法案要求数据控制者必须遵循以下原则：一是处理个人数据必须按照正当合法渠道和程序；二是获得个人数据必须有明确合法的目的，未经数据主体允许，对个人数据进行使用和披露的行为都是违法行为；三是个人数据应当保持充分相关原则，不得超出约定的处置目的和范围；四是保持个人信息的正确性，在必要时及时更新数据；五是依据一定目的被处置的个人数据保留时间不得超过约定目的所必需的时间。英国的数据保护法不仅赋予了公民享有个人信息安全的权利，也强调了公民必须履行不损害、披露非法使用他人个人数据信息的义务。这在保护公民个人隐私不受侵犯，维护网络信息安全秩序的稳定方面起到积极性作用。

二、英国政府网络信息安全责任的体系构成

（一）信息安全审查机构

英国对于信息安全审查比美国这一信息化强国更加透明，因为英国缺乏强实力的信息技术企业，政府采购的电子产品大多需要从国外引进。为了保障国家信息安全，英国探索建立了对公共部门采购的信息产品进行源代码审查和托管的制度。在英国负责信息源代码审查和安全认证工作的是电子通信安全组被称为英国的信息保证能力部门，部分被CESG认可的商业机构可以帮助CESG进行一些具体的测试工作。通常源代码审查工作需要细化到不同的业务上，针对不同的客户和信息产品进行分类审查。在英国，进入政府及公共部门的关键信息类基础设施都要接受源代码审查，通过后才能为政府和公共部门提供信息产品和服务。目前英国已建立起比较完善的源代码审查和安全认证操作流程，设备商需要向CESG申请，提交源代码以及可执行代码，CESG经过严格审查后对产品的安全等级做出评定。

（二）政府责任

英国是具有浓厚自由主义传统的宪政国家，政府在互联网空间领域的规范和管制具有不可避免的责任。英国的网络信息安全监管将政府、行业、国家安全部门与民众相结合，是一种政府指导下的行业自治模式。政府对于网络信息安全的管制，主要涉及互联网安全、儿童色情、个人信息及隐私保护、网络犯罪等方面，分领域设立诸多安全机构。英政府于2003年成立通信办公室重点负责对网络信息的安全维护和内容管制，推动建立以分级认证和信息过滤为基础的网络系统，引导网络终端用户正确、安全选择网络内容。各个机构既有独立的工作内容又相互协作，并且与欧盟国家积极开展合作交流。2016年英国财政大臣哈蒙德提出，英国政府将在未来五年里投资19亿美元进行“世界级”互联网安全建设，这将对英国受到的网络攻击和威胁做出强有力的回应。

（三）行业自律组织

英国的网络安全管理具有轻政府管制、重行业自律的特点，一直贯彻“监督而不监控”的理念，主要依靠行业组织来发挥作用而非强制性的政府行为。1996年在政府的鼓励下，英国网络服务商成立网络观察基金会。基金会的主要工作是监督网民的非法及不道德行为，协助英国工业贸易部、内政部、城市警察蜀解决互联网违法、犯罪问题。其管理原则包括：一切其他媒介适用的法律如刑法、公共秩序法、猥亵出版物法等都适用于互联网安全管理；二是对网络非法内容的认定主要指儿童色情内容，对于那些非儿童色情内容但是会引起用户反感的不良信息采取分级认定和标注系统，尊重用户使用的个人意愿。基金会进行监督管理的依据主要来自《三R互联网络安全规则》协议，此外基金会还自主制定了从业人员行为守则，它是由网络服务提供商协会、伦敦互联网交流平台和安全网络基金联合颁布。英国政府还重视与私营部门开展合作，发挥学术科研机构的智囊作用，鼓励社会各界人士参与到网络安全保护的行动中去。

（四）社会及公众监督

目前英国有70%的家庭使用互联网，普通公众在确保网络信息安全也具有重要作用。英国政府通过开展多样化的教育，提高网民的网络安全意识和监督意识，促使公民积极参与到网络安全管理的活动中。网民可通过热线电话、邮件、传真等方式对网络非法内容实行举报。基金会对投诉内容开展评估检验，一旦确认内容为非法信息，则通过网络地址定位该信息发布源，将其移交到相应的执法机构进行处理，同时通知网络服务商对非法内容进行撤销。此外新闻媒体对网络信息安全的维护也发挥了强大的舆论监督作用。英国的宪法规定新闻媒体具有相对独立的地位，保障其监督作用的发挥。新闻媒体针对网络犯罪、违纪行为进行曝光和揭露，抑恶扬善，以达到对社会公众的警示作用。此外新闻媒体也为政府发布国家网络信息安全战略、信息安全法律法规政策提供有效宣传途径，帮助公民及时准确地了解国家在一定时期内的政策方针。

三、评价及启示

英国在网络信息安全问责方面的实践对我国的网络安全问责的启示体现在以下几点。

第一、强化网络信息安全问责的意识。每个社会成员受到各种意识形态文化的影响，西方国家问责制的成功实践离不开其自由民主的传统文化氛围，具有浓厚的问责文化积淀。我国曾有两千多年的封建专制历史，民主自由意识、问责意识起步晚，在面对飞速发展的信息网络社会的变迁，信息爆炸和网络安全环境日趋复杂化的今天，我国公民还缺乏有效维护自身信息安全，应对网络威胁的意识文化。许多公民在面对信息诈骗、个人隐私泄露、网络犯罪行为，难以通过最直接有效的途径去维护自身权益。因此这种安全意识的引导需要全社会共同的努力，尤其需要从国家治理的层面进行有意识的宣传和教化。

第二、建立多元问责体系。英国的网络信息安全问责并不是单靠政府力量，而是将各种机制相结合，是一种涉及复杂的利益博弈、多重价值目标选择的网络管理，也是政府与私营部门高度配合的模式。我国属于一党执政的国家，政府拥有相当大权力，政府管理涉及社会生活的各个方面，因此在网络空间领域，政府的作用遠远大于其他社会组织的作用，在中国目前还没有建立起多样化的网络安全监管主体，大多数网络安全问责还仅仅是政府内部问责，社会参与程度相比西方国家较低，形成多元化的网络信息安全问责主体是信息安全问责成熟的表现。因此要完善我国的网络信息安全问责，必须要逐步建立以舆论和民意为基础，以人大监督为主导、其他国家机关、新闻媒体、社会组织等多方面参与配合的问责体系。

第三、加强问责立法保障。保障网络安全问责有效开展的前提是立法先行，只有在法律法规完善的前提下才能为网络信息安全保护提供有效规范措施以及可操作性的运行程序。我国的网络信息安全立法建设主要包括网络安全法、互联网信息搜索服务管理、互联网络与民事纠纷适用法律、公共服务网络与信息系统安全管理等方面，对于网络信息安全问责相关的法律目前还缺乏。因此我国应该逐步建立具体的网络信息安全问责法律法规，以法律的形式将网络安全管理的主体、客体、内容、程序及责任后果明确化。建立起合理、准确、有序的网络安全法律体系，使网络安全管理能够有法可依，违法必究，创造健康安全的网络环境。

第四、建立健全信息安全审查制度。从国家层面来看，英国通过建立一整套的制度，对政府采购的IT产品和服务实施全面的安全审查，有效保障了国家的信息安全。目前网络安全风险随着信息全球化的快速发展逐渐加大，实施安全审查对于国家信息的保护至关重要。对于源代码的审查是信息安全审查的重要内容，我国也已经开始实施安全审查制度。因此我国有必要完善对基础设施产品的源代码进行严格审查与托管。通过代码的提取、审核、认证等方式，建立一套完整、透明、合理的审查机制。尤其是对政府内部的IT产品，国家关键基础设施采用的IT产品进行严格的审查和风险防范。

参考文献：

[1]尹建国.美国网络信息安全治理机制及其对我国之启示[J].法商研究，2013（02）.

[2]李孟刚.国家信息安全问题研究[M].社会科学文献出版社，2012.

[3]何湘，胡海波.布莱切利庄园续写传奇——英国网络信息安全战略分析[J].中国信息安全，2012（07）.

[4]曹宇，赖文渊.英国国家档案法律体系概述[J].辽宁大学学报（哲学社会科学版），2011（05）.

[5]刘国辉.英国信息安全审查及对我国的借鉴意义[J].网事纵横，2014（08）.

*项目支持：河北省教育厅科学研究计划项目《网络信息生态失衡对个体决策行为的影响机理及调控机制研究》（项目编号：SQ171010）的阶段性成果。

（作者单位：燕山大学文法学院）