網路安全立法各國面面觀
我國網路安全立法再一次邁出了實質性步伐!繼今年6月第十二屆全國人大常委會第十五次會議初審了《中華人民共和國網路安全法(草案)》後,7月6日,中國人大網將網路安全法(草案)全文公佈,向社會公開徵求意見。這意味著我國網路空間將進入“法治時代”。
然而,法律的成熟並不是一蹴而就的。放眼全球,各國在對網際網路進行必要的管理和控制方面已達成共識。據統計,世界上有90多個國家制定了專門的法律保護網路安全。分析來看,在管控手段方面,有的國家通過專門的國內立法進行管制,如美國、澳大利亞、新加坡、印度等;有的國家則積極開展公私合作,推動網際網路業界的行業自律以實現網路管制,如英國。在管控物件方面,主要涵蓋關鍵基礎設施的安全、網路資訊保安和打擊網路犯罪等方面。在我國網路安全法正式出臺之前,不妨看看全球各國在網路立法方面的經驗及啟示。
美國:社會安全層面備受關注
特點:美國網際網路監管體系主要包括立法、司法和行政三大領域和聯邦與州兩個層次;涉及面較為全面,既有針對網際網路的巨集觀整體規範,也有微觀的具體規定,其中包括行業進入規則、電話通訊規則、資料保護規則、消費者保護規則、版權保護規則、誹謗和色情作品抑制規則、反欺詐與誤傳法規等方面,這些法規多達130多部。
“9·11事件”是美國網路安全立法的轉折點,此後,美國的網路安全立法主要側重於“國家安全層面”。如2001年美國通過了《2001年愛國者法案》,該法第215條允許美國國安局收集反恐調查涉及的包括民眾在內的任何電話通訊和資料記錄以保護“國家安全”。2002年通過《2002年國土安全法》第225條“網路安全加強法”,該法旨在擴大警方監視網際網路的職權,以及從網際網路服務提供商調查使用者資料資料的權力,從而保護“國家安全”。2002年美國通過《2002年聯邦資訊保安管理法》,該法的目的是全面保護美國政府機構資訊系統的資訊保安。
近些年,美國開始關注“社會安全層面”的網路安全立法。如2010年美國審議了《2010年網路安全法案》,該法案是為了確保美國國內及其與國際貿易伙伴通過安全網路交流進行自由貿易,從而對網路安全的人才發展、計劃和職權、網路安全知識培養、公私合作進行規定。2010年美國還審議了《2010年網路安全加強法案》,該法案的目的為了加強網路安全的研究與發展,推進網路安全技術標準制定。
此外,美國還高度重視關鍵基礎設施的安全保護。《國家網路基礎設施保護法案2010》規定,國會應在網路基礎設施保護領域設定“安全線”,以保障美國的網路基礎設施安全,並在政府和私營部門之間建立起網路防禦聯盟的夥伴關係,促進私營部門和政府之間關於網路威脅和最新技術資訊的資訊共享。《網路空間作為國有資產保護法案2010》則授權國土安全部對國家機構的IT系統進行維護監管,規定總統可宣佈進入緊急網路狀態,並強制私營業主對關鍵IT系統採取補救措施,以保護國家的利益。
歐盟:立法、戰略、實踐相互交融
特點:歐盟在網路安全體系建設方面成效顯著。歐盟網路安全體系主要包含三大部分,一是立法,二是戰略,三是實踐。立法體系包含決議、指令、建議、條例等,戰略體系包含長期戰略與短期戰略,實踐則包含機構建設、培訓、合作演練等多項內容。
在立法方面,2006年3月馬德里和倫敦公交系統遭遇恐怖襲擊後,歐盟頒佈了《資料保留指令》,該指令要求電信公司將歐盟公民的通訊資料保留6個月到兩年。但2014年4月8日,歐洲法院裁定《資料保留指令》無效,理由是該項指令允許電信公司對使用者日常生活習慣進行跟蹤,侵犯了公民人權。
在戰略方面,2012年3月28日,歐盟委員會發布歐洲網路安全策略報告,確立了部分具體目標,如促進公私部門合作和早期預警,刺激網路、服務和產品安全性的改善,促進全球響應、加強國際合作等,旨在為全體歐洲公民、企業和公共機構營造一個安全的、有保障的和彈性的網路環境。2012年5月,歐洲網路與資訊保安局釋出《國家網路安全策略——為加強網路空間安全的國家努力設定線路》,提出了歐盟成員國國家網路安全戰略應該包含的內容和要素。2013年2月7日,歐盟委員會和歐盟外交安全事務高階代表宣佈歐盟的網路安全戰略,對當前面臨的網路安全挑戰進行評估,確立了網路安全指導原則,明確了各利益相關方的權利和責任,確定了未來優先戰略任務和行動方案。這被認為是對2012年歐洲網路與資訊保安局釋出策略的積極響應。戰略著力加強網路監管的體制、機制建設;加快建立國家網路犯罪應對機構,明確工作任務;制定網路防禦對策,從領導、組織、教育、訓練、後勤等方面增強歐盟網路防禦能力,並創造更多的網路防禦演習機會;發展行業技術資源;推動雙邊多邊合作等等。
在實踐方面,2013年1月,歐盟委員會在荷蘭首都海牙正式成立歐洲網路犯罪中心,以應對歐洲日益增加的網路犯罪案件。網路犯罪中心連通所有歐盟警務部門的網路,整合歐盟各國的資源和資訊,支援犯罪調查,從而在歐盟層面找到解決方案,維護一個自由、開放和安全的網際網路,保護歐洲民眾和企業不受網路犯罪的威脅。2013年4月,歐洲部分私人網路安全公司聯合成立了歐洲網路安全小組,通過聯合600多名網路安全專家針對問題作出快速有效的反應,建立夥伴關係。同時利用“一線經驗”優勢,在網路防禦政策、風險預防、緩和實踐、跨境資訊共享等問題上向政府、企業和監管機構提供更有效和實用的建議。
英國:法律的側重點因勢而變
特點:英國早期的網際網路立法,側重保護關鍵性資訊基礎設施,隨著網路的不斷髮展,英國在加強資訊基礎設施保護的同時,也強調網路資訊的安全、加強對網路犯罪的打擊。
2000年,英國制定了《通訊監控權法》,規定在法定程式條件下,為維護公眾的通訊自由和安全以及國家利益,可以動用皇家警察和網路警察。該法規定了對網上資訊的監控。“為國家安全或為保護英國的經濟利益”等目的,可截收某些資訊,或強制性公開某些資訊。2001 年實施的《調查權管理法》,要求所有的網路服務商均要通過政府技術協助中心傳送資料。2014年7月,英國政府召開特別內閣會議,通過了《緊急通訊與網際網路資料保留法案》,該法案允許警察和安全部門獲得電信及網際網路公司使用者資料的應急法案,旨在進一步打擊犯罪與恐怖主義活動。
同時,隨著英國對於整個網路空間安全所受到的危險的認識程度提高,英國政府全面推行網路安全戰略,加強行業自律。2009年,英國成立“網路安全與資訊保障辦公室”,支援內閣部長和國家安全委員會來確定與網路空間安全相關的問題的優先權,聯合為政府網路安全專案提供戰略指引。
2010年10月,英國發布《戰略防務與安全審查——“在不確定的時代下建立一個安全的英國”》,將惡意網路攻擊與國際恐怖主義、重大事故或者自然災害以及涉及英國的國際軍事危機共同列入安全威脅的最高階別,界定了15種要優先考慮的危險型別。2011年11月,英國公佈新的《網路安全戰略》,表示將建立更加可信和適應性更強的數字環境,以實現經濟繁榮,保護國家安全及公眾的生活所需;並將加強政府與私有部門的合作,共同創造安全的網路環境和良好的商業環境。2014年,英國情報機構政府通訊總部授權六所英國大學提供訓練未來網路安全專家的碩士文憑,這一特殊學位是英國2011年公佈的“網路安全戰略”的一部分。2015年,英國還按照國家網路安全計劃推出“網路安全學徒計劃”,鼓勵年輕人加入網路安全事業。
澳大利亞:安全立法與國家戰略雙管齊下
特點:澳大利亞政府通過不斷完善資訊保安有關法規標準、推動政府部門相互協作、重視關鍵基礎資訊保護、增強全民資訊保安保護意識、建立安全專門人才培養體系、完善資訊產品測評認證體系等方面工作,逐步構建起較為完整的資訊保安保障體系。
澳大利亞政府及各部門制定了一系列與資訊保安有關的法律、標準和指南,包括《電信傳輸法》、《反垃圾郵件法》、《數字保護法》、《資訊保安手冊》等,修訂了刑法,以適應打擊新型網路犯罪。2000年,澳大利亞政府釋出資訊保安風險管理指南。2001年,釋出“保護國家資訊基礎設施政策”,即政府資訊保安行動計劃,對澳大利亞關鍵基礎設施進行保護。此外,澳大利亞標準局還制定和採納了一系列資訊保安標準,主要包括資訊保安管理體系標準、澳大利亞和紐西蘭資訊保安管理標準、澳大利亞聯邦政府IT安全手冊、IT安全管理的資訊科技指南等。政府部門都被要求遵循這些標準,執行情況由國家審計署進行審查。
2009年11月23日,澳大利亞政府釋出《國家資訊保安戰略》,詳細描述了澳大利亞政府將如何保護經濟組織、關鍵基礎設施、政府機構、企業和家庭使用者,使之免受網路威脅。戰略確立了國家領導、責任共擔、夥伴關係、積極的國際參與、風險管理和保護價值觀六大指導原則。
該戰略還提出了資訊保安三大戰略目標:一是讓澳大利亞所有公民都意識到網路風險,確保其電腦保安,並採取行動確保其身份資訊、隱私和網上金融的安全。二是讓澳大利亞企業能利用安全、靈活的資訊和通訊技術,確保自身操作和客戶身份資訊與隱私的完整性。三是讓澳大利亞政府能確保其資訊與通訊技術是安全的且對風險有抵抗力。
此外,戰略還確定了資訊保安戰略的優先重點包括:增強針對網路威脅的探測、分析及應對,重點關注政府、關鍵基礎設施和其他國家系統的利益。為澳大利亞公民提供相關教育,並提供相應的資訊、信心和工具以確保其網路安全。與商業夥伴合作,以促進基礎設施、網路、產品和服務的安全與靈活性。為保護政府ICT系統的最佳實踐進行建模,包括與政府進行網上交易的系統。促進全球電子運作環境的安全性、靈活性與可信度。維護法律框架和執行力的有效性,從而確定並起訴網路犯罪。培養具有網路安全技能的勞動力,使之具備研發能力以開發出創新的解決方案。
日本:政府與民間“協同作戰”
特點:在網路安全方面,2013年6月10日,日本正式釋出《日本網路安全戰略》,提出了建立“領先世界的強大而有活力的網路空間”,實現“網路安全立國”的目標。
2014年11月6日,日本國會眾議院表決通過《網路安全基本法》,規定電力、金融等重要社會基礎設施運營商、網路相關企業、地方自治體等有義務配合網路安全相關舉措或提供相關情報,此舉旨在加強日本政府與民間在網路安全領域的協調和運用,更好應對網路攻擊。該法還規定,日本政府將新設以內閣官房長官為首的“網路安全戰略本部”,協調各政府部門的網路安全對策,與日本國家安全保障會議、IT綜合戰略本部等其他相關機構加強合作。
在消滅垃圾郵件、計算機病毒以及保護網民隱私資訊方面,日本也有明確的法律。日本2011年對《刑法》進行了部分修正,要求網路運營商原則上儲存使用者30天上網和通訊記錄,根據必要還可以再延長30天。2015年1月8日,日本總務省就網路接入服務提供商如何儲存使用者的通訊記錄召開專家會議進行了討論,擬明確此前由服務商自行確定的儲存的內容和時長。
此外,日本還採取了完善資訊保安機構、擴充網路安全力量、健全資訊保安保障機制、研發網路安全技術、舉行資訊保安演習、舉辦黑客技術比賽、嚴厲打擊網路違法行為、廣泛開展交流合作等一系列舉措,加強資訊網路安全建設。
新加坡:內容管制和資訊保護不可偏廢
特點:新加坡在網路安全立法主要涉及對網路內容安全、垃圾郵件管控和個人資訊保護等方面。主要立法包括:《國內安全法》、《個人資訊保護法》、《垃圾郵件控制法》、《網路行為法》、《廣播法》、《網際網路操作規則》等。
《國內安全法》是新加坡國家安全的基礎性法規,其在管理網路安全方面規定了禁止性檔案與禁止性出版物,網際網路服務提供商的報告義務,以及為了維護國家安全,國家機關擁有的調查權與執法權。《網路行為法》同樣也明確規定了對網路內容進行管制的條款。此外,《廣播法》與《網際網路操作規則》則較為具體的規定了網站禁止釋出的內容,如規定網際網路禁止出現危及公共安全和國家防務的內容等,同時明確網路服務提供商與網路內容提供商在網路內容傳播方面負有無可推卸的責任,包括其負有的審查義務、報告義務和協助執法的義務。《網際網路操作規則》明確規定網際網路服務提供者和內容提供商應承擔自審義務,配合政府的要求對網路內容自行審查,發現違法資訊時應及時舉報,且有義務協助政府遮蔽或刪除非法內容。
保護個人資訊及隱私最早體現在新加坡政府與網際網路服務商共同制定的《行業內容操作守則》中,其規定網際網路服務必須尊重使用者的個人資料。個人資訊保護的專項立法是2012年10月新加坡國會通過的《個人資訊保護法案》,該法案的制定目的在於保護個人資訊不被盜用,或濫用於市場營銷等途徑。法案規定,機構或個人在收集、使用或披露個人資料時必須徵得同意,必須為個人提供可以接觸或修改其資訊的渠道。手機軟體等應用服務平臺也屬於該法案的管控範圍,法案規定禁止向個人傳送市場推廣類簡訊,用網路傳送資訊的軟體也同樣受到該法案的管制。
印度:“母法”和部門法規相輔相成
特點:印度以《資訊科技法》的專門立法為中心,各部門法相關規定相輔佐,形成點、線、面結合的網際網路法律體系。
2000年是印度網際網路發展史上具有里程碑意義的一年,2000年5月,內閣議會通過了《資訊科技法》,並於2000年8月15日正式生效。該法的立法目的之一,便是規範電子商務活動,防範與打擊針對計算機和網路的犯罪。《資訊科技法》第九章規定了8類行為構成“破壞計算機和計算機系統”犯罪,一經查實,犯罪者要負擔的民事賠償金額最高可達1000萬盧比(約合200萬元人民幣)。這八類行為包括未經許可侵入他人計算機、計算機系統和網路,私自下載他人計算機或系統中的資料資訊,製造和散播計算機病毒等。第十章規定了“網路上訴法庭”用以專門受理計算機和網際網路領域的爭議案件。詳細規定了網路上訴法庭的人員組成、法庭組成、管轄範圍、審理程式和許可權。第十一章詳細規定了計算機相關犯罪。如篡改計算機原始檔即故意隱瞞、銷燬、破壞、更改計算機原始碼的行為可判處3年監禁或多達2萬盧比的罰款。
印度在2006年和2008年修正又增加了很多新的計算機犯罪型別。兩次修改主要是對新型的網路犯罪作出了規定,並在2008年的修正案中重點規定了網路恐怖主義的內容,將網路反恐上升到了新的高度。規定通過拒絕計算機訪問或未經授權企圖侵入計算機系統或引起計算機病毒傳播等方式威脅印度的領土完整和主權統一以及引起人民的恐慌、或通過其他類似手段導致人們生命財產受到損害、對人民必不可少的生活設施以及關鍵資訊基礎設施造成破壞的行為,以及未經授權侵入或訪問因國家安全或外交關係原因採取了訪問限制手段的資訊、資料或計算機資料庫的行為。
該法案被認為是規範網際網路的“母法”,針對該法案,自2000年開始,印度先後出臺了一些相關的法律法規,並在2006年和2008年出臺了修正案,同時,印度刑法典、刑事訴訟法、銀行法、證據法也進行了相應的修改以適應資訊網路發展的要求。至此,印度形成了以《資訊科技法》的專門立法為中心,各部門法相關規定相輔佐,政府政策為指導的國家網際網路管理法律體系。
國外網路安全立法對我國的啟示
通過立法保障網路安全已成為全球各國的共識,分析來看,我國網路安全立法可借鑑國外在網路安全方面的立法、戰略和實踐三大方面。
中國的網路安全法應當立足全球視野,全面覆蓋“國際法層面”、“國家安全層面”、 “社會安全層面”和“企業個人安全層面”的網路安全內容。
在國際法層面,包括國家網路主權、國際條約適用等,可參考歐洲理事會《網路犯罪公約》;在國家安全層面,包括國家權力與責任等,可以參考美國《2001年愛國者法》、《2002年國土安全法》第225條“網路安全加強法”;在社會安全層面,包括網路安全人才培養、網路安全研究、網路安全技術標準制定等,可參考美國《2010年網路安全法案》、《2010年網路安全加強法案》;在企業個人安全層面,包括電子商務安全、個人資訊保安等,可參考美國1997年《全球電子商務框架》、《2005年個人資料隱私與安全法》。此外,還可借鑑印度的做法,以《網路安全法》為基礎,同時對《刑法》、《網路資訊傳播條例》等法律法規和部門規章進行調整,形成以《網路安全法》為中心,各部門法相輔相成的網路安全法律體系。
在戰略層面不斷適應新形勢,出臺國家戰略維護網路安全。
可借鑑歐盟的做法,成立網路安全保障機構,為政府網路安全專案提供戰略指引,以此來增進國家對於網路空間和資訊保安的保障。此外,適應資訊科技的發展和恐怖主義新態勢的出現,時隔相應週期則更新出臺新的“國家安全戰略”,為新形勢下的國家、政府、社會和個人網路安全提供戰略指導。
可借鑑澳大利亞的做法,根據我國網際網路的現狀和特點,制定資訊保安的戰略或規劃,明確不同階段的資訊保安目標,劃定政府部門、運營商及使用者保護資訊保安的責任。
在實踐上,應加強公私部門合作,加大網路安全保障力度。
可借鑑英國、歐盟等的做法。一是成立網路犯罪中心,科學合理地劃分各個部門的職責;建立情報事務處理部門,負責網路安全威脅資訊的蒐集與研判;建立網路安全國際合作部門,負責加強國際網路安全合作。
二是加強公私部門之間的聯動機制,發揮公私部門的優勢。引導私營部門成立網路安全小組或協會,加強業內之間、業內與政府之間的網路安全威脅資訊共享與溝通,提升應對網路威脅和攻擊的能力;同時可加強產學研和政企合作,通過企業與高校合作、政府與企業合作、政府與高校合作等多方機制,培養高學歷、高水平的網路安全人才。
本文轉自d1net(轉載)
相關文章
- 專家:我國青少年網路安全立法還需完善
- oracle資料安全面面觀(轉)Oracle
- 網路安全法草案二審“網際網路+”立法加速
- 各國網路安全審查制度及案例分析
- Redis面面觀Redis
- 無人機滿世界惹禍各國紛紛立法應對無人機
- 復旦發展研究院:重點國家網路安全立法洞察報告(附下載)
- 程式語言面面觀
- Android Bitmap面面觀Android
- Linux面面觀 (轉)Linux
- LLM面面觀之MoE
- 縱觀愛爾蘭2020年新《國家網路安全戰略》,談全球網路安全時局
- Python網頁抓取工具Beautiful Soup面面觀!Python網頁
- 網路安全威脅國家安全
- 目標檢測面面觀
- 加密技術面面觀 (轉)加密
- 炒股軟體面面觀 (轉)
- 周鴻禕:網路安全面前沒有國家可以袖手旁觀
- 美網路安全主管:各國都是黑客受害者黑客
- 保障網路資訊保安需立法先行
- 萌新入坑,資深玩家安利,國行Switch消費面面觀
- 今年兩會,針對網路安全各位大佬都提了啥立法建議?
- 佈局管理器面面觀
- PHP應用提速面面觀(轉)PHP
- 國家網路安全宣傳週 | 科普:網路安全是什麼
- mysql備份恢復mysqldump面面觀MySql
- 各國駭客暗中較量網路戰場 美國網路部隊成型
- 倚網路安全標準興網路強國之夢
- 易觀國際:2012年8月中國各品類酒業品牌網路廣告投放份額
- App 出海 —— Google 結算系統面面觀APPGo
- 不同行業PDM/PLM應用面面觀行業
- 縱覽各國關鍵資訊基礎設施配套網路安全法規建設
- 盤點美韓俄各國網安賽事,看網路安全“朱日和”之實戰淬鍊
- 拱衛網路安全,無人可做旁觀者
- FortiOS5.6:全面面向協同網路安全構建的作業系統iOS作業系統
- 《國家網路空間安全戰略》全文
- 中華人民共和國網路安全法
- 觀點解讀:工業網際網路安全能力構建