第二节 国外主要国家及地区网络安全立法情况概述
自计算机和网络诞生之初,安全问题就相伴而生,飞速的技术和其他应用形式的更迭,使得网络空间安全形势也越发严峻并逐渐上升为影响国家安全和社会安定的全局性问题。目前全世界90多个国家均已制定、颁布针对网络安全及相关问题的管控措施和专门立法。对于网络空间进行科学的治理已经成为世界各国的共同态度。美国、俄罗斯、英国、德国、澳大利亚、新加坡、印度等国家都制定了专门的国内立法,欧盟等国际组织也积极推动相关决议维护网络空间安全秩序(见表2-1),而我国也在经历了长期的积累和充足的研讨后制定、发布了《网络安全法》,正式进入网络治理的法治时代。
表2-1 国外主要国家及国际组织网络安全政策和法律文件摘要
续表
续表
续表
一、美国法
美国是全球网络技术发源地,在新技术方面占有绝对优势地位,同时其颁布的网络信息安全相关法案也是最多的,据不完全统计至今共计高达130余部,具体涉及计算机系统的运行标准、信息处理的方法和具体技术操作、不同群体的网络权益等领域,规制了行业准入、电话通信、数据保护、消费者保护、版权保护等方面,对破坏网络基础设施的犯罪行为也制定了严格的惩处标准。
在网络信息安全方面,美国有严格的数据信息保密法,规定公民隐私权不容侵犯且使用者有义务对信息进行保密等。而“9·11事件”的发生直接导致美国将立法重点放在保护国家安全和打击恐怖主义之上,对于网络空间的管辖也必须充分考虑安全可控性。例如,2001年通过的《爱国者法案》,明确授予美国国家安全局以保护国家安全,打击恐怖主义为目的收集调查任意美国民众电话记录和数据记录的权利,这无疑是对网络空间管控的极大强化。近几年的《国土安全法案》和《国防授权法案》也都对网络部分的国家部门设置、职责划分和国家预算进行不断的更新和细化。
除了国家层面外,在社会安全层面美国也进行了系统化的网络安全立法。例如,2010年美国审议了《2010年网络安全加强法案》,该法案的目的是加强网络安全的研究与发展,推进网络安全技术标准制定。2015年美国审议了《美国创新与竞争力法案》,这项法案要求国家科学基金会发布并定期更新其工作人员和政策指导意见,研究满足未来网络安全需求的信息系统,并制定流程用以研究能够满足未来网络安全需求的加密标准和准则。
此外,美国还高度重视关键基础设施的安全保护,以及国家网络安全审查制度建设。例如,2017年特朗普政府签发的《增强联邦政府网络与关键性基础设施网络安全》行政令。这项行政令要求采取一系列措施来增强联邦政府及关键基础设施的网络安全,并按联邦政府、关键基础设施和国家三个领域来规定将采取的增强网络安全的措施。在关键基础设施网络安全方面,要求按关键基础设施名单进行评估,并提交网络安全风险评估报告,之后每年重新评估并提交一次评估报告。该项行政令还要求政府机构为重要行业的私有部门和运营商(例如,银行、通信和水电等公共事业)提供更多帮助。
二、俄罗斯法
在网络安全日趋重要的新形势下,俄罗斯一直非常注重网络防护。《俄罗斯联邦宪法》已经将信息安全纳入了国家安全管理范围,在此基础上制定颁布了《俄联邦信息、信息化和信息网络保护法》,以此规范俄互联网行为。除此之外,俄罗斯针对信息安全还进行了部分专项立法,从上到下形成了较为完备的多层级信息安全法律体系。
俄联邦安全局的统计数据显示,俄罗斯总统办公厅、国家杜马、联邦委员会网站每天遭受黑客攻击达1万余次,俄计算机用户面临来自互联网的风险水平连续数年高居全球首位。而在“棱镜门”事件中,美国对各国进行网络攻击及监视范围之广也让俄罗斯政府及军方大为警觉。因此,提高网络安全应对能力成为俄政府和军方近年来的重要议题。2013年1月普京签署总统令,要求俄联邦安全局建立国家计算机信息安全机制来监测、防范和消除计算机信息隐患,具体内容包括评估国家信息安全形势、保障重要信息基础设施的安全、对计算机安全事故进行鉴定、建立计算机攻击资料库等。
俄罗斯在信息安全立法方面较为重视纲领性文件的作用。先后出台了《俄罗斯网络立法构想》、《俄罗斯联邦信息和信息化领域立法发展构想》、《信息安全学说》等纲领性文件,在这些指导性文件和纲领性文件的指导下,涉及各领域的网络安全立法工作得以有序进行,并通过了一系列包括《俄联邦计算机软件和数据库法律保护法》、《俄联邦保密法》、《俄联邦著作权法》、《个人信息法》、《电子合同法》、《电子商务法》、《电子数字签名法》、《产品和服务认证法》、《信息保护设备认证法》等法律。
2017年7月,俄罗斯议会上院通过了一揽子政府法案,以保护关键信息基础设施免遭网络攻击,其中明确关键基础设施包括政府数字系统和电信网络、国防行业技术流程自动化控制系统、医疗保健、交通、通信、金融、能源、核、航空航天等行业。法律同时规定,创建恶意软件,并对关键基础设施造成严重损害者可能被判处长达10年的监禁。
三、欧盟法
欧盟是较早拥有网络安全管制意识的国际组织之一,多年的立法实践过程使其在网络安全体系建设方面成效显著。早在2001年欧盟就提出了“网络和信息安全相关建议”,并在随后的2004年成立欧盟网络和信息安全局,收集分析欧洲网络安全事件数据并提高欧盟各国应对信息安全风险的能力,协调信息安全领域各个参与主体活动,协助各国计算机应急响应组织的各项活动。
在个人数据保护立法方面,欧盟立法机构的态度存在较为明显的转变。2006年3月马德里和伦敦公交系统遭遇恐怖袭击后,欧盟颁布了《数据保留指令》,该指令要求电信公司将欧盟公民的通信数据保留6个月到两年。但随着“棱镜门”曝光及一系列个人数据泄露和监听行为的披露,2014年4月8日,欧洲法院裁定《数据保留指令》无效,理由是该项指令允许电信公司对使用者的日常生活习惯进行跟踪,侵犯了公民人权。
2016年7月6日,欧盟立法机构正式通过首部网络安全法《网络与信息系统安全指令》,旨在加强基础服务运营者、数字服务提供者的网络与信息系统之安全,要求这两者履行网络风险管理、网络安全事故应对与通知等义务。此外,该法要求成员制定网络安全国家战略,要求加强成员间合作与国际合作,要求在网络安全技术研发方面加大资金投入与支持力度。
在实践方面,2013年1月,欧盟委员会在荷兰首都海牙正式成立欧洲网络犯罪中心,以应对欧洲日益增加的网络犯罪案件。网络犯罪中心连通所有欧盟警务部门的网络,整合欧盟各国的资源和信息,支持犯罪调查,从而在欧盟层面找到解决方案,维护一个自由、开放和安全的互联网,保护欧洲民众和企业不受网络犯罪的威胁。2013年4月,欧洲部分私人网络安全公司联合成立了欧洲网络安全小组,通过联合600多名网络安全专家针对问题做出快速有效的反应,建立伙伴关系。同时利用“一线经验”优势,在网络防御政策、风险预防、跨境信息共享等问题上向政府、企业和监管机构提供更有效和实用的建议。
四、英国法
目前,英国的网络安全立法较为完整。英国不仅通过国家网络安全战略等形式对网络安全治理方向进行规制,还在关键信息基础设施保护、个人信息安全、跨境数据流动等方面进行专门立法。除此之外的一系列实践措施也有助于政府、企业、民众相互配合,完善互联网的治理和管控。
2000年,英国制定了《通信监控权法》,规定在法定程序条件下,为维护公众的通信自由和安全及国家利益,可以动用皇家警察和网络警察。该法规定了对网上信息的监控。“为国家安全或为保护英国的经济利益”等目的,可截收某些信息,或者强制性公开某些信息。2001年实施的《调查权管理法》,要求所有的网络服务商均要通过政府技术协助中心发送数据。2014年7月,英国政府召开特别内阁会议,通过了《紧急通信与互联网数据保留法案》,该法案允许警察和安全部门获得电信及互联网公司用户数据的应急法案,旨在进一步打击犯罪与恐怖主义活动。
2009年6月,英国出台了首个国家网络安全战略,宣布成立“网络安全办公室”和“网络安全运行中心”,提出建立新的网络管理机构的具体措施,以促进产业发展和维护网络安全。2010年10月,英国政府发布了《战略防务与安全审查——在不确定的时代下建立一个安全的英国》,将恶意网络攻击与国际恐怖主义、重大事故或自然灾害,以及涉及英国的国际军事危机共同列入安全威胁的最高级别,建议启动为期四年、总额达6.5亿英镑的国家网络安全计划。2011年11月,英国公布新的《网络安全战略》,表示将建立更加可信和适应性更强的数字环境,以实现经济繁荣,保护国家安全及公众的生活所需;并将加强政府与私有部门的合作,共同创造安全的网络环境和良好的商业环境。近年来,英国愈加注重技术人才的储备,在2014—2015年,英国分别在多所大学里设立专家课程并提出“网络安全学徒计划”,旨在号召青年人加入网络信息安全领域。
五、澳大利亚法
澳大利亚有着良好的信息安全保护传统,其信息安全立法可谓走在世界前列。早在1988年,澳大利亚就专门制定了保护个人信息安全的《隐私法》。随着通信技术的发展,澳大利亚政府及各部门制定了一系列与信息安全有关的法律、标准和指南,包括《电信传输法》、《反垃圾邮件法》、《数字保护法》、《信息安全手册》等,修订了《刑法》,以适应打击新型网络犯罪。2000年,澳大利亚政府发布信息安全风险管理指南。2001年,发布“保护国家信息基础设施政策”,即政府信息安全行动计划,用以对澳大利亚的关键基础设施进行保护。此外,澳大利亚标准局还制定和采纳了一系列信息安全标准,主要包括信息安全管理体系标准、澳大利亚和新西兰信息安全管理标准、澳大利亚联邦政府IT安全手册、IT安全管理的信息技术指南等。政府部门都被要求遵循这些标准,执行情况由国家审计署进行审查。
2009年澳大利亚政府发布《网络安全战略》,从此将网络安全提升到国家战略的高度。该战略详细描述了澳大利亚政府将如何保护经济组织、关键基础设施、政府机构、企业和家庭用户,使之免受网络威胁;并确立了国家领导、责任共担、伙伴关系、积极的国际参与、风险管理和保护价值观六大指导原则。该战略还提出了信息安全三大战略目标:一是让澳大利亚所有公民都意识到网络风险,确保其计算机安全,并采取行动确保其身份信息、隐私和网上金融的安全;二是让澳大利亚企业能利用安全、灵活的信息和通信技术,确保自身操作和客户身份信息与隐私的完整性;三是让澳大利亚政府能确保其信息与通信技术是安全的且对风险有抵抗力。
2016年,澳大利亚政府公布了新的《澳大利亚网络安全战略》。此安全战略的重点是提升澳大利亚在网络环境中的保护能力,以及提高对网络恶意行为的抵抗力。澳大利亚政府计划拨款2.3亿澳元加强网络安全,并为澳大利亚联邦警署、犯罪委员会和通信局等部门聘请网络安全专家。同时,澳大利亚制定了一系列与信息安全有关的法律、标准和指南,包括《广播服务法》、《反垃圾邮件法》、《互联网内容法规》、《数字保护法》等,规定各社会主体对网络安全承担的责任和义务。政府部门和司法机构也必须根据这些法律采取管理措施,惩治破坏网络安全的行为。
澳政府还积极开展网络安全教育,提高全民网络风险意识。例如,免费在计算机上安装软件,屏蔽不良网站,建立青少年网络安全保护公益组织,并为公众投诉非法的互联网内容设立了举报投诉机制。
六、新加坡法
新加坡的网络安全指数位列全球第一位,这得益于其严格的网络管理体制和超前的网络治理思维。早在1997年,新加坡就成立了国家计算机应急响应队伍。2005年,新加坡发布了该国首个《信息安全总体规划(2005—2007年)》,旨在保护国家网络环境,建立公共领域面对网络威胁时响应和处理的基本能力。随后,在2008年和2013年,新加坡又先后推出了第二、第三部《信息安全总体规划》。尤其是第三部《信息安全总体规划》,旨在使新加坡在2018年之前发展成为值得信赖并健全的资讯通信枢纽。
《国内安全法》是新加坡国家安全的基础性法规,其在管理网络安全方面规定了禁止性文件与禁止性出版物,互联网服务提供商的报告义务,以及为了维护国家安全,国家机关拥有的调查权与执法权。《互联网操作规则》明确规定互联网服务提供者和内容提供商应承担自审义务,配合政府的要求对网络内容自行审查,发现违法信息时应及时举报,且有义务协助政府屏蔽或删除非法内容。同时,新加坡还将上百个政治性网站列入禁访者清单,不遵守规定的网络服务供应将被吊销执照或罚款,私下访问者也会受到刑罚。政府还鼓励服务供应商开发推广“家庭上网系统”,协助用户过滤不适宜看到的内容。
在网络安全实践方面,新加坡也做出了许多创新性尝试。2009年新加坡成立了资讯通信科技安全局,主要职责包括监管和保障关键信息基础设施领域的网络安全问题,保护新加坡免受网络攻击和网络间谍活动的威胁。随后的2015年4月,新加坡又成立了网络安全局,以统筹政府各部门的网络安全事宜应对网络安全威胁日益增加、个人信息泄露事件接连发生的情况。
2016年,随着新加坡提出打造数字化智能国家的计划,相应对网络和数字科技的依赖与日俱增,新加坡对网络安全越发重视,推出了《新加坡网络安全策略》,旨在推动政府机构、网络行业、专家学者和主要服务业者等各利益方共同努力来打击网络犯罪。新加坡网络安全局将成立网络安全学院,通过相关培训提高政府机构及关键信息基础设施网络安全人员的技能水平,确保新加坡有足够的能力更好地应对网络袭击。网安局也会连同资讯通信专才协会和其他机构推出网络安全奖,肯定杰出网安专家、机构,以及学生对本地网安系统做出的贡献。
2017年,新加坡发布了《网络安全法案(草案)》,该法案聚焦应对网络安全威胁和事故、维护关键信息基础设施、促进信息的分享、管制网络安全行业四方面。它将授权新加坡网络安全局在发生网络袭击时立即展开调查,并要求受影响单位提供事故报告和其他关键资料,其效力将凌驾于新加坡的资料与隐私保护条例之上。
七、日本法
在亚洲国家之中,日本网络技术发展起点高、速度快,网络规制意识成型较早。在1988年日本就制定了《关于保护行政机关所持有之个人信息的法律》;2003年5月颁布了日本《个人信息保护法》,并相继制定、颁布了针对行政机关、独立行政法人等持有个人信息机关的多部法律。
在消灭垃圾邮件、计算机病毒及保护网民隐私信息方面,日本也有明确的法律。日本2011年对《刑法》进行了部分修正,要求网络运营商原则上保存用户30天上网和通信记录,根据必要还可以再延长30天。在网络安全方面,2013年6月10日,日本正式发布《日本网络安全战略》,提出了创建“领先世界的强大而有活力的网络空间”,实现“网络安全立国”的目标。
2014年1l月6日,日本国会众议院表决通过《网络安全基本法》,规定电力、金融等重要社会基础设施运营商、网络相关企业、地方自治体等有义务配合网络安全相关举措或提供相关情报,此举旨在加强日本政府与民间在网络安全领域的协调和运用,更好应对网络攻击。该法还规定,日本政府将新设以内阁官房长官为首的“网络安全战略本部”,协调各政府部门的网络安全对策,与日本国家安全保障会议、IT综合战略本部等其他相关机构加强合作。
在实践方面,日本还采取了完善信息安全机构、扩充网络安全力量、健全信息安全保障机制、研发网络安全技术、举行信息安全演习、举办黑客技术比赛、严厉打击网络违法行为、广泛开展交流合作等一系列举措,加强信息网络安全建设。
八、印度法
印度一直非常重视网络监管,惩罚措施也相当严厉。印度是世界上为数不多专门为信息技术立法的国家之一。早在2000年,印度就颁布了《信息技术法》,规定了八类行为构成“破坏计算机和计算机系统”犯罪,一经查实,犯罪者要负担的民事赔偿金额最高可达1000万卢比。除此之外,该法还涉及刑事、行政管理、电子商务等内容,为该国网络监管提供了法律框架。印度的刑法典、刑事诉讼法、银行法、证据法也进行了相应的修改以适应信息网络发展的要求。
2007年,印度政府下决心将网络监管系统化。2008年孟买连环恐怖袭击事件的发生,促使印度政府重新修订《信息技术法》,特别将移动通信纳入监管范畴。2011年印度政府进一步修订了《信息技术法》,重点加大对网站的规范管理,并规定印度政府有关部门有权查封可疑网站、删除不良内容。
在实践方面,印度政府成立了印度数据安全委员会,专门针对日益增多的网络数据安全问题提供权威监测和管理方法。印度当局建立了针对网络犯罪的警察局和计算机犯罪分析实验室等专门机构,中央调查局也开始与美国等一些国家的安全机构共享情报,共同打击跨国网络犯罪。
九、以色列法
1995年4月,以色列政府正式成立了名为“计算机系统和信息安全审查顾问委员会”的职能机构,组织以国防部门职业军人为主的专业队伍,为政府研究设计信息安全领域的管理标准,承担IT系统的安全审计,并就计算机敏感领域的安全管理提供对策性建议。
2002年以后,以色列的内外安全形势发生了较大变化。一方面,在国内安全环境上,以色列民众和关键基础设施日益遭受巴勒斯坦抵抗组织的袭击,并且出现了利用移动电话、互联网络等IT技术组织、协调恐怖行动的苗头;另一方面,在国际安全环境上,针对国家关键基础设施的网络攻击初现端倪,特别是2007—2008年所发生的爱沙尼亚和格鲁吉亚网络被攻事件给以色列政府敲响了警钟。在这种情况下,以色列国家安全委员会于2002年12月11日出台了名为《以色列信息化系统保护职责》的“B/84号特别决议”,这是以色列正式公布的首例网络安全政策。该政策与美国2002年所颁布的《关键基础设施信息保护法》几乎处于同一时期,这使得以色列迅速跻身于全球关键基础设施保护的先驱国家行列。在“B/84号特别决议”中,以色列对关键基础设施的相关概念进行了清晰的定义,并明确了未来网络安全政策的实施手段和建设目标,同时还表示关键基础设施的保护工作需由使用者和监管者共同承担,实施义务上的分摊协作,发挥监管组织上的专项职责。
2010年,以色列参照美国发布《网络安全评估报告》的方式,对国家现有网络安全的整体状况进行了全面评估。启动此次评估项目的主要目的是进一步摸清以色列网络政策的实施效果、预判网络安全的风险挑战,进而为下一阶段以色列网络空间优势能力的提升奠定扎实的基础。经过“国家网络计划”的评估诊断后,以色列政府于2011年8月7日正式公布了关于推动国家网络空间能力的“3611决议”,即《2011以色列国家网络战略》。该战略采用了“国家网络计划”中的多项政策建议,提出要强化以色列国内各领域网络安全设施的防护水平,鼓励政府部门、学术界、工商界和企业界等单位协同攻关、通力合作,推动以色列网络空间能力建设,改进国家网络安全治理水平,进而确保以色列全球五大网络强国的优势地位。
十、越南法
尽管越南在国际电信联盟发布的《2017年全球网络安全指数》报告中位于东南亚国家网络安全排名的较后位置,但越南国家和政府已经逐渐意识到网络所带来的机遇及应对相关安全威胁的重要性,先后在2011年和2015年颁布了《密码法》和《网络信息安全法》,在网络治理规范化、系统化的道路上进行不断探索。
2011年,越南颁布了《密码法》,从整体上规定了国家密码活动及其参与人员的权利、义务和责任,并重点关注国家机密领域的密码管理。这一举措在当时的东南亚地区属于先进的立法实践。
2015年年初,越南《信息安全法(草案)》被更名为《网络信息安全法(草案)》,其于2015年11月19日上午由越南国会表决通过,并于2016年7月1日起生效。该法规定了机关、组织和个人在保护网络信息安全过程中的网络信息安全活动、权利和义务、民用密码、网络信息安全的技术标准与规范、信息安全业务、网络信息安全的人员发展、国家网络信息安全管理等内容。该法普遍适用于任何越南机关、组织或个人,以及越南境内直接参与或从事越南网络信息安全相关活动的外国组织和个人。从内容上来看,这部《网络信息安全法》是越南国家和政府在面对来自互联网安全挑战时制定的一部较为完整的“参考答案”;从已有的密码管理和使用领域上来看,它在一定程度上是对越南《密码法》的补充和细化。