『壹』 結合國家相關政策及具體案例說明網路安全立法的重要性
一是加強和改進立法工作,不斷提高立法質量。加強立法工作,是依法治國、建設社會主義法治國家的前提。近年來,政府立法工作取得了突出成績。過去五年間,僅國務院就向全國人大常委會提交39件法律議案,制定、修訂了137件行政法規。但是必須看到,我國改革和發展已經站在了新的歷史起點上,立法工作面臨著十分繁重的任務。要進一步增強政府立法工作的計劃性和針對性,緊緊圍繞全面建設小康社會的奮斗目標,認真研究經濟社會發展中的突出矛盾和問題,按照貫徹科學發展觀的根本要求,繼續加強經濟調節、市場監管、產品質量和安全、規范政府自身行為方面的立法;高度重視社會管理、公共服務和人民群眾普遍關注、社會反映強烈的熱點問題的立法;特別要注意加強改善民生、推進社會建設、節約能源資源、保護生態環境等方面的立法。加強立法工作重在提高立法質量。要創新政府立法工作的方法和機制,擴大立法工作的公眾參與。在法律法規起草、修改過程中,要通過組織聽證會、論證會、座談會等多種形式,廣泛聽取社會各方面的意見和建議。制定與群眾利益密切相關的行政法規、規章,原則上要公布草案,向社會公開徵求意見。
二是推進依法行政,努力提高行政執法水平。各級政府部門要加快推進依法行政、建設法治政府的進程,嚴格按照法定許可權和程序行使職權、履行職責。政府的組織、政府的權力、政府的運行、政府的行為和活動,都要以憲法和法律為准繩,都要受到憲法和法律的規范和約束。政府制定的行政法規、政府規章、規范性文件和政策性文件,必須與憲法和法律保持統一和協調。堅持以人為本,樹立以尊重和保障人權為核心的現代行政執法觀念,形成職責許可權明確、執法主體合格、適用法律有據、問責監督有方的政府工作機制。合理界定和調整行政執法許可權,明確執法責任,全面落實行政執法責任制。進一步健全市縣政府依法行政制度。加強對行政收費的規范管理,改革和完善司法、執法財政保障機制。健全行政復議體制,完善行政補償和行政賠償制度。認真做好法律援助工作,幫助困難群眾實現訴訟權利,使人人都能享受到平等法律保護。加強行政執法隊伍建設,增強服務意識,改進工作作風,保持清正廉潔,促進行政執法水平的不斷提高。
三是加強執法監督,確保行政權力正確行使。健全社會主義民主法制,必然要求國家機關及其工作人員將人民賦予的權力始終用來為人民服務,確保權力正確行使,讓權力在陽光下運行,接受人民群眾的監督。要完善權力制約和監督機制,綜合運用各種監督形式,增強監督合力和實效,真正做到有權必有責、用權受監督、違法要追究。堅持用制度管權、管事、管人,建立健全決策權、執行權、監督權既相互制約又相互協調的權力結構和運行機制。健全組織法制和程序規則,保證政府權力按照法定許可權和程序進行行使。各級政府要自覺接受人民代表大會及其常委會的監督,主動接受人民政協的民主監督。大力推進執法公開,提高政府工作的透明度,加大人民群眾的監督力度。改善和加強新聞輿論對行政執法的有效監督。切實強化政府層級監督,充分發揮監察、審計等專門監督的作用。要把加強對領導幹部特別是主要領導幹部、人財物管理使用、關鍵崗位的監督作為重點,健全質詢、問責、經濟責任審計、引咎辭職、罷免等制度,確保監督到位、有力、有效。
四是加強法制宣傳教育,提高全社會的法律意識和法治觀念。積極探索法制宣傳教育的新途徑、新形式,善於運用報刊、廣播、電視、互聯網等多種傳媒,精心組織各種法制宣傳教育活動,增強法制教育的科學性、准確性,防止片面性。突出抓好憲法宣傳教育,增強人民群眾的憲法意識,自覺維護憲法權威,使憲法在全社會得到遵守。加大有關經濟社會發展的法律法規、規范市場經濟秩序的法律法規以及與人民群眾生產生活密切相關的法律法規的宣傳力度,為建設中國特色社會主義打牢法治思想基礎。法律對社會生活的規范、引導和保障功能,主要是通過權利義務機制實現的。在法制宣傳教育活動中,必須強化權利義務觀念的培養,既要增強人們的民主意識和權利意識,也要增強法治意識和義務意識。具體包括:公民在法律面前人人平等,任何人都沒有超越憲法和法律的特權;堅持權利和義務相統一,權利的行使不得損害社會公共利益和他人的合法權益;國家保護合法的權利;國家提供權利的保障、救濟和保護。只有讓每個公民都樹立了正確的法制觀念,自覺在法制框架內行使權利、履行義務,才能夠真正把依法治國基本方略真正落到實處,建成社會主義法治國家。
『貳』 美國雲計演算法案規定治外法權 引起歐盟強烈反彈
北京時間2月26日早間消息,據彭博社報道,美國正在推進大約1年前頒布的「雲法案」,而歐洲正在嘗試抵禦該法案的影響。根據該法案,微軟、IBM和亞馬遜等美國雲計算服務提供商在接到政府要求時,必須提供伺服器上存儲的數據,無論這些數據存放在哪裡。
這雹伍些雲計算廠商控制著歐洲大部分雲計算市場,因此這項法案可能會讓美國有權獲得歐洲許多人和企業的信息。而美國方面表示,這項法案的目的是為了協助調查。
法國議員勞爾·德拉羅迪爾(Laure de la Raudiere)表示:「這給歐洲敲響了警鍾,歐洲需要加速在數據領域自主的主權產品。」
「雲法案」的全稱是《澄清數據在海外的合法使用法》,該法案源自2013年的一起事件。當時,在一項毒品調查中,微軟拒絕向美國聯邦調查局(FBI)提供對位於愛爾蘭的一台伺服器的訪問許可權,並表示該公司不能被迫提供保存在美國境外的數據。
這項法案提出的治外法權令歐盟感到不安。隨著大西洋兩岸關系的惡化,以及在歐盟看來特朗普領導下的美國越來越不可靠,這個問題變得更加尖銳。
該法案數肆局中的條款允許美國與各國達成「行政協議」,從而實現信息和數據的相互交換。歐盟可能會利用這樣的條款來抵禦該法案的影響。歐盟委員會希望與美國進行談判,而談判可能於今年春季開始。
法國和歐盟其他國家,例如荷蘭和比利時,正努力推動歐盟制定共薯讓同戰線。在日益混亂的雲計算信息世界中,這些國家很難制定保護隱私、應對信息安全攻擊,以及保護關鍵網路安全的監管規定。
歐洲議會的荷蘭議員蘇菲·伊恩·維爾德(Sophie in't Veld)近期表示,歐盟在面對美國「無限的數據飢渴」時表現出明顯的弱勢,她對此感到失望。她指出:「由於『雲法案』,美國政府的手開始影響歐盟公民,這違反了歐盟法律。如果歐盟規定自己在美國領地上擁有治外法權,美國是否會同意?」
法國政府去年11月起草的內部備忘錄顯示,「『雲法案』可能是來自美國的一場考驗,美國已經預計到會出現政治反應,而歐洲應該做出足夠強的反應」。
「雲法案」的頒布比歐盟「通用數據保護條例」(GDPR)要早幾個星期。GDPR規定,所有從歐盟公民收集數據的企業都必須遵守歐盟的規則。因此,這兩項法律可能存在沖突。
『叄』 網路恐怖主義的網路恐怖主義的主要特徵
與通常的暗殺、劫持人質和游擊戰等傳統的恐怖手段相比,為什麼恐怖分子對利用網路進行攻擊這么感興趣呢?我們認為,網路恐怖主義之所以對恐怖分子具有如此大的魅力,主要是網路恐怖主義具有以下幾方面的特點: 重視人才的培養和公民的安全意識教育,發動全社會力量對網路安全進行全民防禦。到目前為止,還沒有「電子珍珠港」事件能夠喚醒公眾採取行動保護網路的意識。許多人都沒有認識到國家經濟和國家安全對計算機和信息系統依賴到何種程度。而保衛網路空間的安全則需要所有人的行動,包括最普通的大眾。美國在《確保網路空間安全的國家戰略》中就提出完善「網路公民計劃」,對兒童進行有關網路道德和正確使用互聯網和其他通訊方式的教育;要建立企業和信息技術精英間的合作關系;保證政府雇員具備保護信息系統安全的意識;在上述行動的基礎上,把提高安全意識的活動推廣到其他私營部門和普通民眾。
許多國家也意識到,僅僅依靠政府的力量是不夠的,必須建立起一個全方位的防禦體系,動員一切可以動員的社會力量。1998年11月,美國能源部、天然氣研究所和電力研究所共同主辦了能源論壇,邀請了100多家電力、天然氣和石油企業和政府代表 參加;2001年1月,包括IBM在內的500多家公司加入了FBI成立的一個被稱作「InfraGard」的組織,共同打擊日趨囂張的網路犯罪活動。 建立相應機構,完善網路安全的管理體制。「9.11事件」後,布希政府迅即採取行動,成立了「國土安全辦公室」,將打擊網路恐怖襲擊作為其主要職責之一。並在「國土安全辦公室」增設總統網路安全顧問,主管總統「關鍵基礎設施保護委員會」,負責制定、協調全美政府機構網路反恐計劃和行動。美國還打算將一些主要的網路安全負責機構並入「國土安全部」,以加強統籌管理。
德、英、日、加等國也相繼成立了主管網路安全的政府機構,如英特網安全特別小組、電腦警察、反電腦黑客指揮中心、反網路恐怖特別小組等等,負責評估威脅源和安全程度,提供適當的保護措施,打擊和防範網路恐怖襲擊。2003年2月,歐洲委員會宣布成立一項聯合打擊對電力及供水等重要設施進行網路襲擊的計劃,並成立「歐洲網路及信息安全局」。該機構將僱傭來自15個歐盟成員國的30名專家,在各國保護網路及信息安全措施的基礎上提高各成員國和歐盟預防和處理網路及信息安全問題的能力。 推動立法,構築堅實的安全防護網。從20世紀80年代開始,美國相繼推出一系列打擊網路犯罪和黑客活動、維護信息安全的各種法律法規,包括計算機安全法、信息自由法等等。2002年7月,美眾議院通過「加強計算機安全法案」,規定黑客可被判終生監禁;美國防部也宣布將正式實施一項新禁令,擴大對外國人接觸美政府計算機項目的限制,禁止外籍人員接觸敏感信息,以確保政府計算機系統安全,防範網路恐怖襲擊。
英國在原有的《三R安全規則》基礎上,於2000年7月公布了《電子信息法》,授權有關當局對電子郵件及其他信息交流實行截收和解碼。2000年底,歐洲委員會起草的《網路犯罪公約》正式出台,包括美國在內的40多個國家都已加入。該公約的目的就是要採取統一的對付計算機犯罪的國際政策,防止針對計算機系統、數據和網路的犯罪活動。2000年1月,日本制定了「反黑客對策行動計劃「,要求在年底前制定對付電腦恐怖活動的特別計劃,建立和健全處罰黑客行為的法律,加強政府控制危機體制。 加強國際社會的合作,建立國際合作體系來共同對付網路恐怖威脅。一國的網路把自身與世界其他地區聯結在一起。各個網路所組成的全球性網路延伸到整個地球,使某個大洲上懷有惡意的人能夠從數千里之外攻擊網路系統。跨國界網路攻擊特別迅速,使追查和發現這種惡毒的行為也變得非常困難。因此,一個國家要想具有確保其至關重要的系統和網路安全的防禦保護能力,就需要建立國際合作體系。
2001年5月,法國和日本共同主持了題為「政府機構和私營部門關於網路空間安全與信任對話」的八國集團會議,這是世界上首次以打擊網路犯罪為主要議題的國際性會議;2001年10月,西方七國集團財長會議制定《打擊資助恐怖主義活動的行動計劃》,呼籲加強反恐信息共享、切斷恐怖分子的金融網路以及確保金融部門不為恐怖分子所利用;2001年11月,歐洲委員會43個成員以及美國、日本、南非正式簽署《打擊網路犯罪條約》,這是第一份有關打擊網路犯罪的國際公約;此外,美國網路反恐專家正在倡議制訂一項國際性的網路武器控制條約。
總之,制止網路恐怖主義需要全球各國政府、企業甚至每個人的合作,從預防入手,在每個環節採取防範措施,這樣才能使網路世界安全。魔高一尺,道高一丈,人類與恐怖分子的網際斗爭將是一場艱巨的持久戰。
『肆』 誰能給我介紹各國關於網路的相關規定
網路傳播的負面影響,已經引起各國各界的廣泛關注。人們越來越意識到,進入網路時代以後,一方面,過去在現實空間中遇到的各種道德和法律問題,不可避免地會反映到網路空間中來;另一方面,網路空間又產生了許多現實空間中沒有過的新的道德和法律問題。因此,各國政府都高度重視網路管理,陸續頒布了一系列有關計算機網路的法律法規。 美國是世界上互聯網路最為發達的國家。早在1978年8月,美國佛羅里達州就率先通過了《佛羅里達計算機犯罪法》。該法規涉及了侵犯知識產權、侵犯計算機裝置和設備、侵犯計算機用戶權益等問題,並作出了種種規定。隨後,美國共有47個州相繼頒布了計算機犯罪法。1984年,美國國會通過了《聯邦禁止利用電子計算機犯罪法》。1987年,國會通過一項方案,批准成立國家計算機安全技術中心,並制定了《計算機安全法》。美眾院司法委員會要求,色情郵件須加標注,使得用戶可以不打開郵件直接將郵件刪除;網際網路接入服務提供商可以起訴濫發垃圾郵件者,並提出索賠要求。1996年2月,美國總統簽署了國會通過的《通訊凈化法》,明確規定互聯網不得向未成年人傳播有傷風化的文字及圖像。這一法案盡管受到健康輿論的廣泛支持,但卻遭到美國公民自由聯盟、出版界(包括網上刊物出版界)和電腦界一些組織的反對,聲稱它違反了關於言論自由的憲法修正案,從而引起了一場訴訟。1997年美國最高法院判定這一法案違憲,使它終於未能實行。不過2000年4月美國貿易委員會制定的《兒童網上保護法》卻得到了實施。該法規定商業網站收集年齡在13歲以下少年的個人信息以及這些未成年人進入網上聊天室時必須得到其父母的同意。① 在德國,政府明確表示不能讓互聯網成為傳播色情和宣揚新納粹思想的場所,強調要防止互聯網路受到「污染」,要求經營聯網業務的企業承擔義務,使青少年免受不良信息的危害。1997年8月,德國制訂的《信息和通訊服務法》(即《多媒體法》)正式實施。這是世界上第一部對互聯網空間的行為實施全面的法律規范的專門立法,法案確立了傳播自由和責任並重的原則。該法關於網路服務商的責任提到了三點:1.對自己提供的網上信息內容負全部責任;2.對網上提供來自他人的內容只是在一定條件下才負有責任;3.對於僅僅提供了進入通道的網上信息不負責任.。一般認為它將對世界各國的相關立法會產生重要影響。 英國在1996年以前主要依據《黃色出版物法》、《青少年保護法》、《錄像製品法》、《禁止泛用電腦法》和《刑事司法與公共秩序修正法》懲處利用電腦和互聯網路進行犯罪的行為。1996年9月23日,英國政府頒布了第一個網路監管行業性法規《3R安全規則》。「3R」指的是分級認定、舉報告發、承擔責任。1999年英國政府公布了《電子通信法案》的徵求意見稿。這一草案醞釀已久,其主要目的是為促進英國電子商務發展,並為社會各界樹立對電子商務的信心提供法律上的保證。英國廣播電視的主管機關--獨立電視委員會(ITC)宣稱,依照英國1990年的《廣播法》,它有權對互聯網上的電視節目以及包含靜止或活動圖象的廣告進行管理,但它目前並不打算直接行使其對互聯網的管理權力,而是致力於指導和協助網路行業建立一種自我管理的機制。 新加坡政府在1996年3月頒布了有關網路的管理條例,要求提供聯網服務的公司對進入網路的信息內容進行監督,以防止傳播色情和容易引發宗教及政治動盪的信息。1996年7月,新加坡廣播管理局依法對互聯網路實行管制,宣布實施分類許可證制度,以便鼓勵正當使用互聯網路,促進其在新加坡的健康發展,保護網路用戶、尤其是年輕人免受非法和不健康信息傳播的侵害。 在韓國,為了加強對信息通信網的管理,政府的情報通信部2001年出台了《關於保護個人信息和確立健全的信息通信秩序》的法規。這一法規明確規定個人信息管理者的許可權和責任,對向第三者泄漏個人信息者將予以重罰。與此同時,這一法規還將加強對淫穢、暴力、犯罪等非法信息流通的管理。 由於網路傳播的國際性,各國政府越來越意識到,要有效地規范網上行為、尤其是打擊網路犯罪,單靠一國立法是遠遠不夠的。各國執法部門在工作中遇到的許多挑戰,只有通過國際條約來解決。為此,歐盟委員會曾於1996年10月通過了《互聯網有害和違法信息通信》和《在新的電子信息服務環境中保護未成年人和人的尊嚴》綠皮書。綠皮書中規定網路主機服務商和檢索服務商應該對其主機和伺服器上的違法和有害信息承擔法律責任。歐盟委員會還建議對互聯網信息建立評級制度,鼓勵開發和採用過濾軟體和評級系統,鼓勵網民報告違法和有害網址。從1998年起,泛歐組織歐洲委員會決定由歐洲犯罪問題委員會下屬的網路空間犯罪專家委員會負責起草《網路犯罪公約》草案,美國也參與了起草。這是國際社會第一個正在草擬的有關計算機系統、網路或數據的犯罪行為的多邊協定。人們預期它會帶來在網路管理方面更多的國際合作。 回顧歷史,人類的傳播活動和新聞事業,總是隨著傳播技術的進步、傳播方式的更新而不斷發展的。而新的傳播技術和傳播方式往往是把雙刃劍,既能帶來新的飛躍也會帶來新的挑戰。世紀之交興起的互聯網路的情況也是如此。相信經過世界各國政府、組織和進步人類的共同努力,互聯網事業也必定能興利除弊,把人類的傳播活動和世界新聞事業帶進一個全新的時代。 http://www.cmic.zju.e.cn/cmkj/web-wgxws/9/5/2.html 互聯網路的迅猛發展,給人類的信息交流和新聞傳播提供了極大的便利,產生了廣泛的影響。但是它的發展也帶來某些負面後果,出現了一些新的問題。其中最為突出的有: 首先,由於網路傳播具有開放性,任何人都可以在沒有檢查控制的情況下在網上傳播信息,因而為有害信息的傳播帶來極大的方便。特別在一些非正規的網站網頁或個人傳播活動中,各種信息泥沙俱下,良莠混雜。散布虛假消息、謠言傳聞者有之,宣揚迷信、傳播邪教者有之,煽動民族仇恨、助長種族歧視者有之,這些都會危害社會穩定和發展。資料顯示,世界各種邪教組織如日本的奧姆真理教、義大利的末世派等都設有網站,法**組織在全球25個國家都設有網站,光在美國就擁有八十多個網站,還有13種語言版本。至於傳統媒介上常見的色情內容更是網路天地間揮之不去的有害氣體。據卡內基-梅隆大學一個專家組在1995年的調查報告稱,在美國多數家庭電腦連通的網路中,有85%帶有不同程度色情內容的圖片、文章和錄像,電子公告板儲存的數據圖像有五分之四含有淫穢內容。這些都嚴重污染著社會風氣,對青少年成長更有極為不利的影響。 其次,網路傳播具有很強的自由度,發布的言論不易查究責任,因而很容易出現侵害他人權利的行為。在網上散布流言蜚語、造謠誹謗他人,損害別人的名譽權,侵犯他人的隱私權,這些現象時有所見。也有的故意在網上製造輿論,傷害法人或自然人的信譽,為不正當的商業競爭或政治斗爭服務。另外,網路服務商為了管理或個性化服務的需要,一般都要求消費者登記自己的有關情況,這里也往往存在收集和使用不當的問題,造成對個人隱私的侵犯。 第三,由於網路空間的虛擬性,網上行為不象現實世界中那樣可觸可摸、有據可查,因而也為某些刑事犯罪帶來了可乘之隙。通過網路詐騙錢財、從事毒品交易、密謀恐怖活動、甚至為賣淫嫖娼牽線,諸如此類的犯罪活動並不罕見。也有些計算機高手,通過網路竊取商業機密、政治軍事情報。還有一些出於種種目的蓄意攻擊破壞網路的「黑客」,嚴重威脅著計算機的安全。據美國軍方一份報告透露,1999年五角大樓計算機網路受到「黑客」攻擊達25萬次之多,其中60%達到了目的。2000年2月7-9日,由美國開始的一起嚴重的黑客襲擊事件,包括Yahoo!(雅虎)、ebay.com(電子港灣)、amazon.com(亞馬遜網上書店)、CNN(美國有線電視新聞網)在內的8家世界著名網站遭到有組織的猛烈攻擊,網站運作癱瘓數小時,震驚了全世界。 http://www.cmic.zju.e.cn/cmkj/web-wgxws/9/5/1.html 中國網址導航 www.pronoti.com
『伍』 2017年特朗普以什麼為基礎
特朗普政府的網路空間戰略
【關鍵詞】特朗普政府;網路空間戰略;「美國優先」;大國競爭;網路空間治理
【DOI】10.19422/j.cnki.ddsj.2020.08.004
2017年特朗普執政之初,基本沿襲了奧巴馬政府時期的網路政策,如加快聯邦政府網路系統升級、加強關鍵基礎設施保護以及國家網路安全綜合能力等。然而,網路空間戰略作為美國國家安全戰略框架的重要組成部分,亦隨特朗普政府國家安全戰略的調整而經歷了重大轉型和突破。在2018年9月發布的《國家網路戰略》中,[1]特朗普政府將維護美國在網路空間中的優勢與在科技生態中的影響力擺在了更突出的位置,並且在「美國優先」與大國競爭思想的引導下對網路空間政策進行了全面調整。從後續的一系列網路空間戰略和政策行動中不難發現其日漸激進的趨勢,這對網路空間國際治理進程和大國關系未來走向的影響不可小覷。為此,有必要對特朗普政府的網路空間戰略全面深入地進行梳理,對其戰略轉變的思想根源和驅動因素進行分析,並判斷美國網路空間戰略調整造成的國際影響。
特朗普政府網路空間戰略的重心與特點
特朗普執政以來,先後通過總統行政令、戰略文件、國防預演算法案等政策文件對美國的網路空間戰略進行重塑和調整。例如,特朗普政府突破奧巴馬政府對網路行動邊界的劃定,將現實世界中大國競爭這一傳統安全問題引入網路空間,並以此為由積極打造進攻性網路力量。具體來說,特朗普政府網路空間戰略的重心與特點主要可以歸納為以下四個方面。
一、加強網路威懾和進攻性網路能力建設
早在2011年7月,美國國防部發布的首份《網路空間行動戰略》就已將網路空間視為與陸、海、空、天並列的美軍「行動領域」。[2]2017年9月通過的《2018財年國防授權法案》明確要求特朗普政府加強網路和信息作戰、威懾和防禦能力,並要求在網路空間、太空和電子戰等信息領域發展全面的網路威懾戰略。[3]由此,美國在網路空間的行動方式開始發生激進轉變。
美國網路空間行動方式的轉變由三部政策文件推動完成。一是美國《國家網路戰略》。在「以實力求和平」的理念指導下,該戰略概述了美國政府將如何處理網路問題的廣泛願景,並強調對實施網路攻擊的對象施加「迅速、代價高昂和透明的後果」的重要性。二是2018年版的《國防部網路戰略》。該戰略強調軍方應當「在威脅到達攻擊目標之前」將其遏止,甚至可以採用「前置防禦」(Defend Forward)的戰術來摧毀美國境外的「惡意網路活動源頭」。[4]三是2018年8月由特朗普總統簽署的關於「美國網路行動政策」的第13號國家安全總統備忘錄。[5]該備忘錄旨在簡化國防部發起進攻性網路行動的審批程序,使國防部長有權在緊急情況下立即發起網路空間軍事行動。[6]上述三部政策文件扭轉了奧巴馬時期相對「克制」的網路行動綱領。美國網路力量的行動策略從主動防禦轉變為「前置防禦」,即通過先發制人的網路攻擊來威懾對手,並讓其他國家對美國的報復性網路力量感到懼怕。[7]特朗普政府還賦予美國網路力量在網路行動領域更大的許可權和行動范圍。美國國會中的兩黨委員會——網路空間日光浴委員會(Cyberspace Solarium Commission)提出了「分層網路威懾」(Layered Cyber Deterrence)的構想,進一步細化了在應對包括中國、俄羅斯等戰略競爭對手和其他挑戰時應採取的威懾手段。[8]這一公開的網路威懾戰略體現了美國網路安全戰略一直以來的特點,即通過公開透明的戰略文件對敵對勢力的進攻意願進行「戰略威懾」,從而降低其受到威脅和攻擊的可能,保護美國本土及網路空間的安全。[9]
此外,特朗普政府在推進網路實戰化方面也推出了一系列政策措施,並不斷加大對進攻性網路力量建設的投入。2017年8月,特朗普政府將原本隸屬於戰略司令部的網路司令部升格為聯合作戰司令部,使之成為國防部下轄的十個聯合作戰司令部之一。網路司令部在指揮許可權和資源投入上獲得了大力支持,從規模上也得到了極大提升,組建了133支網路任務部隊。此外,為支持網路行動和開展網路防禦,美國陸軍於2017年8月啟動了史上最大規模的網路空間後備力量動員工作,組建新的網路特種部隊為網路司令部提供關鍵支撐。[10]網路作戰司令部成立後,積極參與多軍種的聯合演習以適應戰場環境,在「多域戰」聯合作戰理念下配合其他軍種的作戰行動。[11]2019年7月,國防部發布2018年版《國家軍事戰略》概要,提出要實行「一體化軍事戰略」。[12]除傳統的陸、海、空之外,聯合部隊及指揮官也必須高度重視「網路空間的多樣化」,為網路部隊轉型提供宏觀思路。[13]在2020年2月特朗普向國會提交的《2021財年國防預演算法案》中,2021年投入網路空間領域的預算將高達98億美元,較2020年的96億美元有所增長。[14]值得注意的是,預演算法案要求美軍必須將網路作戰能力整合到聯合軍種的計劃和作戰中,以增強美軍的軍事優勢。
二、強調國內基礎設施安全
特朗普上任後,繼承了奧巴馬政府時期的一系列網路安全政策,如延長了奧巴馬政府針對關鍵基礎設施的黑客入侵、重大拒絕服務攻擊、大規模經濟黑客入侵、選舉系統黑客入侵等網路攻擊的制裁行政令。[15]但與奧巴馬政府相比,特朗普政府在國內基礎設施安全方面的政策更為全面和深入。
2017年5月,特朗普總統簽署了題為「增強聯邦政府網路與關鍵性基礎設施網路安全」的總統行政令。該行政令從關鍵基礎設施網路安全、聯邦政府信息系統安全和國家安全三個層面來制定相應的網路安全政策,拉開了美國全政府范圍內的網路安全風險評估和政策部署的序幕。根據該行政令,美國各個政府機構都必須有效管理網路安全風險並對自身的網路安全工作負責。此外,行政令中強調要通過實現信息技術的現代化來加強聯邦計算機系統的安全。[16]
美國肆意指責一些國家對美國及其盟友發起網路攻擊。圖為2018年7月14日,時任美國國土安全部長科斯特珍· 尼爾森在費城舉行的一場會議上重提「 俄羅斯針對2016年美國總統選舉發動網路攻擊」。
同時,特朗普政府在國土安全部設立了由部長直接領導的網路安全與基礎設施安全局(CISA),專門負責保護美國本土基礎設施免受物理和網路威脅,並協調各政府部門和私營部門之間的交流與合作。2019年9月公布的CISA首份《戰略願景》(Strategic Intent)報告,強調該機構將領導和協調全國公私部門開展包括風險評估、應急處置、復原力建設和長期風險管理等方面的工作。自此,美國國內的網路安全事務,包括由私營部門負責和運營的關鍵基礎設施網路安全都由國土安全部統一領導和部署,形成自上而下、從聯邦到地方、從政府機構到私營部門的全面覆蓋。值得一提的是,該機構還將「中國、供應鏈與5G」作為當前的工作重點,稱「中國以及中國公司在包括5G技術在內的供應鏈中對美國構成持續威脅」。[17]
三、以「泛網路安全化」服務大國競爭
自特朗普政府2017年出台《國家安全戰略》報告以來,「戰略競爭對手」的話語就出現在多個網路戰略文本和政策文件中。尤其是《國家網路戰略》《國防部網路戰略》兩份文件,不僅繼承了《國家安全戰略》對「戰略競爭對手」的定位,還進一步將「競爭對手」作為目標和對象,制定更為積極甚至激進的應對策略。例如,美國《國家網路戰略》就在經濟繁榮和國家安全兩個層面都強調由「戰略競爭對手」造成的「威脅」:「在經濟上,中國通過網路經濟間諜活動和知識產權盜竊使美國蒙受數萬億美元的損失。」[18]同時,在安全上,肆意指責一些國家對美國及其盟友發起網路攻擊。在當前美國網路安全政策實踐中,網路安全不僅僅是大國競爭的一個領域,更成為美國在政治、經濟、科技等其他領域開展大國競爭的手段。美國正通過將其他問題「泛網路安全化」服務大國競爭。
第一,服務政治議題。美國通過在網路安全議題上採取過度政治化的立場,將網路安全作為抹黑和打壓競爭對手的政治籌碼和工具,如以黑客「干預大選」為借口對俄羅斯發起制裁。特朗普政府將中國作為「戰略競爭對手」後,這一方面的趨勢愈發明顯。美國國家安全顧問奧布萊恩(Robert C. OBrien)2020年6月在演講中妄稱「中國政府正隨意使用黑客技術來盜竊美國的商業和個人信息,並且他們同時動用了軍方和個人黑客」。他列舉了特朗普政府應對中國的各種手段,如限制華為公司在美國的商業活動、將中國政府機構和公司列入制裁名單、限制相關學生簽證等,並稱「將和盟國及夥伴國一起抵制中國共產黨對美國人民、美國政府和美國經濟的操縱以及對美國主權的侵蝕」。[19]
第二,服務經貿談判。美國將黑客攻擊和知識產權等問題作為對外貿易談判的標准內容,以網路安全問題博取談判籌碼。例如,在2017年《北美自由貿易區協定》(NAFTA)重新談判正式開啟之前,美國互聯網企業在8月9日向美國貿易代表萊特希澤(Robert Lighthizer)及美國商務部長羅斯(Wilbur Ross)寫信,希望藉助NAFTA重新談判的機遇,從北美地區開始重構、整合現有國際網路安全規則體系,從而確保美國企業在數字貿易時代的利益。[20]在中美貿易談判過程中,美方也將一系列與網路安全相關的議題納入其中,包括針對華為的禁令、網路盜竊知識產權問題以及中國《網路安全法》所涉及的數據本地化問題等。
第三,服務高科技領域大國競爭。美國以基礎設施安全為由出台各種制裁和限制措施,打擊競爭對手的領軍企業和實體。例如,美國於2018年通過《美國出口管制改革法案》《外國投資風險管理現代化法案》,在技術出口路徑上針對「新興與基礎技術」設置更為嚴苛的限制,從立法層面構築了技術出口和投資的高壁壘。[21]美國商務部以妨害美國的信息基礎設施和通信網路安全為由將中國企業華為列入實體清單,限制美國企業對其出口產品與服務。2019年5月,特朗普總統發布《確保信息通信技術與服務供應鏈安全》的行政令,該行政令授權商務部對特定國家和外國供應商的電信產品及服務的交易活動實施禁止、暫緩或取消的措施。[22]2020年3月,特朗普總統簽署通過的《安全可信通信網路法案》明確禁止聯邦資金用於采購華為、中興等被認為「對美國國家安全構成威脅」的企業生產的設備,以此保護美國的通信基礎設施。[23]
四、開展創新型網路安全技術研發
2020年3月,美國國會網路空間日光浴委員會發布最終報告,將美國當前處於網路空間大國競爭不利地位的原因歸結為網路安全技術優勢的喪失。報告認為導致這一結果的原因在於,以往美國政府是技術進步的推動力,美國政府通過資助國家實驗室和高校科研項目,以及通過國防訂單推動新技術研發等方式來實現技術創新和進步,而近年來美國政府將原本傾注於技術研發的資源轉向了製造業和採掘業。[24]事實上,特朗普政府在開展創新型網路技術研究方面出台了多項政策,其主要任務是通過技術創新加強美國的網路攻防能力建設。
作為推動技術創新的重要力量,國防部在支持網路安全技術研發方面發揮了巨大作用。《2018財年國防授權法案》顯示,美國國防部將重點開展區塊鏈技術的潛在攻擊和防禦性網路應用。美國國防部國家安全技術加速器(National Security Technology Accelerator)項目於2019年5月正式更名為國家安全創新網路(National Security Innovation Network)項目,並由負責研發與工程技術的副部長直接領導。該項目旨在引進美國高校和私營部門的技術人才,建立一支國防技術創新隊伍以解決事關國家安全的各類問題。[25] 2019年6月,國防部發布《數字現代化戰略》,指定了人工智慧(AI)、雲計算等需要優先發展的技術領域,並提出四大目標任務,包括以技術創新謀求優勢,提高效率和能力,維護網路安全以實現靈活、有彈性的防禦態勢,培養數字人才。[26]特朗普上任以來美國國防部重新成為技術研發和創新的重要支持者,包括對私營部門和商業領域技術創新的支持。
在聯邦政府層面,2019年12月,總統行政辦公室(Executive Office of President)與國家科學技術委員會(National Science and Technology Council)及其下屬機構聯合發布了《聯邦網路安全研發戰略計劃》(Federal Cybersecurity Research And Development Strategic Plan)。這份計劃確定了四項需要增強的網路防禦能力(即威懾、保護、偵測和響應能力)和六個網路安全研發的優先領域(包括人工智慧、量子信息科學、值得信賴的分布式數字基礎設施、隱私保護、安全的硬體和軟體以及教育和人才發展),並將此作為聯邦網路安全研發活動和投資的重點。[27]同年特朗普政府發布的《美國主導未來產業》戰略規劃,明確將人工智慧、先進製造業、量子信息科學和第五代移動通信作為決定美國未來命運的四大高端產業領域。總體看,特朗普政府高度重視創新技術研發,從國防部到聯邦政府都設立了明確的技術創新領域和范圍更廣的公私合作模式。
美國網路空間戰略調整的動因
隨著網路空間與政治、經濟、社會、軍事等領域的融合趨勢不斷加快,政府維護網路安全和治理網路空間的能力不斷面臨新的挑戰。網路空間中的大國博弈逐漸白熱化、數字貿易壁壘和技術壁壘日益高築,以及網路犯罪和網路恐怖主義等痼疾依舊,是推進網路空間國際治理的羈絆。在此背景下,特朗普政府基於「美國優先」原則和對美國當前重大挑戰的判斷出台了《國家網路戰略》,並在該戰略指引下搭建了網路空間戰略的基本框架。「美國優先」原則與美國對威脅認知的變化是特朗普政府調整網路空間戰略的主要動因。
一、「美國優先」原則指導下的網路空間戰略轉向
作為特朗普競選話語的主旋律,「美國優先」「讓美國再次偉大」成為其所有戰略宣言的出發點和歸宿。而就「美國優先」原則的歷史來看,它提出的時機往往是美國與世界關系發生重大變化之際,其最終目的不是要背棄全球化或回到孤立主義,而是要追求以更低的投入和更高的回報來介入國際事務,為美國獲取長期戰略利益。[28]從特朗普入主白宮之後的一系列戰略和政策措施來看,這一指導原則得到了徹底的踐行。
第一,特朗普政府的網路空間戰略在視野上更為集中。特朗普秉持美國利益至上的理念,將提高國內關鍵基礎設施安全作為優先事項,淡化美國在國際合作與國際事務中的領導地位,並進一步強調堅持「以實力求和平」的理念來捍衛美國在網路空間的安全與利益。相比而言,奧巴馬政府時期的網路空間戰略既強調國內網路安全,又強調國際合作,突出美國在網路空間國際事務中的領導作用,同時還堅持維護繁榮、安全和價值觀這三大美國核心利益。[29]特朗普政府則在《國家安全戰略》中將美國的戰略優先事項明確為經濟繁榮與國家安全兩個方面,其《國家網路戰略》中的四大目標也可概括為保障網路安全和促進經濟繁榮兩個方面。
第二,特朗普淡化對「互聯網自由」等價值觀的追求,在網路外交政策上的投入大幅縮減,國務院在網路空間事務決策中的地位遭到大幅削弱。奧巴馬政府時期,美國側重於通過互聯網議題來進行公共外交,以推廣其所倡導的「自由的互聯網」理念。因此,奧巴馬政府在國務院設立網際事務協調員辦公室,由網路安全領域資深專家克里斯·佩因特(Chris Painter)任協調員。特朗普上台後,其首任國務卿蒂勒森(Rex W. Tillerson)於2017年8月宣布關閉成立6年之久的網際事務協調員辦公室,將其部分職能轉至經濟暨商業局(EB)。特朗普政府對傳播民主與自由價值觀並不重視,而是強調建立「以規則為基礎的國際秩序」,推行美國主張的網路空間國際規則就成為網路外交的使命。[30]完成這一使命的主要手段就是在網路安全與經濟繁榮上占據優勢,以此為國際社會作出表率,並潛移默化地改變其他行為體。因此,特朗普政府對國務院開展網路外交的投入大幅縮減,一系列旨在推動「網路自由、開放」的項目也被嚴重邊緣化。
在「美國優先」原則指導下,特朗普政府轉變了前任政府積極參與國際事務、爭做網路空間國際治理引領者的思路,轉而加強國內網路安全能力建設,強調以安全與經濟繁榮為抓手推動建立以美國主張和利益為先的國際規則。
二、「大國競爭」話語下的威脅認知變化
特朗普政府網路空間戰略轉向的另一重要推動因素,是美國戰略界對當前美國面臨威脅的認知產生了變化。這一變化的產生源於兩方面原因。
第一,美國在網路空間大國中的相對優勢被逐漸削弱,引起了美國戰略界的警惕。特別是近年來,中國在經濟發展、高科技創新等領域的追趕步伐不斷加快,中美之間的經濟實力差距快速拉近,軍事和科技領域的巨大實力差距也在不斷縮小,由此美國戰略界產生了前所未有的地位焦慮。[31]此外,網路安全的不對稱性更加突出,防禦難度大幅增加,[32]也間接削弱了美國在網路空間的優勢地位。2017年特朗普政府發布的《國家安全戰略》中,將中國、俄羅斯列為「修正主義國家」,作為威脅美國國家安全的三大因素之一。而且特朗普還無端指責「中國和俄羅斯挑戰美國的實力、影響力和利益,企圖侵蝕美國的安全和繁榮」。[33]顯然,由於美國在網路空間中的優勢地位遭到相對削弱,不可避免地影響美國戰略界對美國所面臨的威脅以及大國競爭關系的判斷。
第二,美國從零和博弈與「新冷戰」的角度看待中國在網路空間的發展和俄羅斯的網路活動,形成了「大國競爭」語境下的威脅認知。自華為在5G研發和商用領域獲得巨大成功以來,美國政府一直致力於通過各種行政和立法手段對其進行打壓和遏制,並稱華為及其產品和服務對美國國家安全構成重大威脅。對華為的打壓實質上是為了維護美國在高科技領域的主導地位,體現出美國在技術、安全和經濟領域的零和思維,以及在高科技領域的「新冷戰」思想。美國強調網路空間的意識形態宣傳和政治干預並非等級制和單向的,而是非對稱和雙向的。[34]在網路空間領域,繼《國家安全戰略》發布之後,中國和俄羅斯被視為美國安全與繁榮的重大威脅,並頻繁出現在美國各種戰略文件中。在2020年3月網路空間日光浴委員會發布的最終報告中,美國繼續把中國、俄羅斯等國家造成的威脅作為美國網路安全的最大挑戰。在美國看來,這種挑戰是全面和復雜的,包括經濟、政治、社會、軍事和技術等各個層面。
美國網路空間戰略調整的影響
基於「美國優先」原則和「大國競爭」話語的美國網路空間戰略調整,是美國試圖以自身安全與繁榮為基礎打造在網路空間的絕對優勢、重塑網路空間大國關系的政治手段,但此舉同時也對網路空間國際治理和網路空間的和平穩定造成巨大影響。
一、增加全球網路空間的不穩定因素
在「美國優先」原則下,特朗普政府的網路空間戰略體現出了單邊主義、非共贏和排他性特點,尤其是在涉及本國國家安全和經濟繁榮等核心利益時,特朗普政府頻頻使用經濟制裁、長臂管轄等單邊行動來達到其利益訴求。[35]此外,在「大國競爭」話語之下美國的威脅認知發生變化,導致美國與其他行為體在網路空間中的摩擦和矛盾愈發普遍,競爭模式也呈現出越來越多的零和性。尤其是在美國以供應鏈安全、基礎設施安全甚至國家安全為由提出各種限制和制裁措施之後,相關國家和企業不得不採取措施加以應對和抵制,循環往復之下,越來越多的矛盾和問題在網路空間中積累,不僅阻滯了國家間關系的發展與緩和,也使得網路空間的穩定受到影響。
在人類邁向信息社會、智能社會的過程中,網路空間的戰略地位將進一步凸顯。與此同時,網路空間的穩定也面臨極大的挑戰。一方面,在規則體系缺失,各方認知理念差異較大的情況下,各國政府面臨網路治理能力不足和網路安全漏洞造成的壓力,亟須新的應對手段和方法來確保自身的網路安全;另一方面,大國在開展網路行動尤其是進攻性網路行動時對網路空間穩定的擾動也更為劇烈。特朗普政府以所謂的「大國競爭」為由,採取激進和進攻性的網路空間戰略,推動了網路空間的「巴爾干化」,沖擊了原本脆弱的網路空間穩定狀態。
二、引發網路空間軍事化和軍備競賽
特朗普政府積極踐行「網路威懾」戰略,不斷加大對進攻性網路力量建設的投入,並通過將網路作戰力量融入其他軍種的聯合作戰行動之中來推進網路力量的實戰化,使得網路空間的和平穩定面臨更多挑戰。而且,特朗普政府通過行政手段為網路軍事行動賦權和「松綁」,並在《國防部網路戰略》中提出了「前置防禦」的作戰理念,不僅賦予美軍在其身處的世界任何地方展開網路行動的權力,而且要求美軍在各種威脅發生之前就採取行動排除安全隱患。
在美國「以實力求和平」理念指引下,網路空間難以避免地走向軍事化的危險道路。各國為了維護自身網路安全,以及在網路空間中謀求發展的基本權利,不得不投入更多資源以加強自身的網路安全能力建設,從而在客觀上激化了網路空間軍備競賽。
三、加劇網路空間大國競爭和沖突
特朗普政府網路空間戰略的一大特色就是突出「大國競爭」對美國網路安全與基礎設施安全的威脅,並以此作為加強聯邦網路系統安全與進攻性網路能力建設的出發點。隨著國防部與國土安全部等安全機構在網路空間政策制定和執行上發揮越來越大的作用,美國在處理網路空間大國關系時也普遍從安全視角出發,以「泛安全化」的思維指導其政策行動和選擇。例如,在所謂「黑客干預大選」事件中,美國沒有尋求通過外交對話來解決問題,而是公開指責俄羅斯政府是事件背後的主使,並且開展了多輪的外交制裁、經濟懲罰,包括關閉俄羅斯在美國的領事機構、驅逐外交官、制裁俄羅斯國家安全機構及其領導人等。這一事件表明,特朗普政府已經不再尋求通過對話來解決網路沖突問題,而是不計後果地實施懲罰措施,其結果必然是激化大國之間的矛盾,甚至引發沖突。
四、遲滯全球網路空間治理進程
特朗普政府激進化和進攻性的網路空間戰略進一步加劇了網路空間的無政府狀態,而其對多邊機制的不信任和工具化態度更是令全球治理進程受到阻滯。特朗普政府不僅不願意投入政治資源和財政資源來推動建設國際治理機制,而且視網路空間國際治理機制為落實美國網路空間戰略的工具,並抵制不能為美國帶來實質利益的治理主張和治理機制。
例如,2017年6月聯合國信息安全政府專家組(UNGGE)因為美國代表堅持在共識文件中加入可通過經濟制裁、軍事行動等手段回應網路攻擊的文字表述而宣告失敗。2018年11月,美國代表團拒絕在互聯網治理論壇達成的《網路空間信任和安全巴黎倡議》上簽字。此外,特朗普政府對曾經被寄予厚望的「倫敦進程」也不屑一顧,不僅在政治上不積極參與,而且從資金方面也弱化了對該機制的支持。顯然,特朗普政府對聯合國等多邊組織的網路治理規則沒有興趣,而是傾向於通過雙邊關系來達成新的網路安全合作協議,甚至試圖通過國內立法加強此類合作,如《2017年美國—以色列網路安全提升法案》《2017年烏克蘭網路安全合作法案》。
美國在網路空間國際治理機制上的後撤不僅使聯合國框架下的各項治理機制陷入困境,而且還增加了國際社會在打擊網路恐怖主義和網路犯罪等具體問題上的合作阻力,從而遲滯了全球網路空間治理進程。
結 語
經過近四年的部署和構建,特朗普政府的網路空間戰略已趨於成熟,其任內通過機構重組和政策調整,將美國網路空間戰略聚焦於國內網路和基礎設施安全,以及進攻性網路能力建設,並以此作為美國應對「大國競爭」挑戰和國內網路安全短板的主要路徑。特朗普政府在「美國優先」原則和大國競爭話語影響下構建的網路空間戰略,帶有明顯的單邊主義和排他性特點,這不僅加劇了網路空間大國關系的緊張氣氛,而且客觀上加大了建立網路空間共同秩序的難度。同時,特朗普政府激進化的網路空間戰略理念和進攻性的網路安全政策也進一步加劇了網路空間的不穩定狀態,其對國際治理機制的不信任和工具化態度也阻滯了網路空間國際治理機制的建立和發展。
【本文是國家社會科學基金重大項目「總體國家安全觀視野下的網路治理體系研究」(項目批准號:17ZDA106)的階段性成果】
蔡翠紅 王天禪
『陸』 國外保護個人信息有哪些主要措施和做法
問:編輯同志,您好!隨著互聯網的普及,倒賣個人信息已經形成產業鏈,個人信息泄露成茄姿為普遍問題。請您介紹一下國外保護個人信息有哪些主要措施和做法。 天津讀者:劉曉劉曉同志: 您好!世界各國都十分重視個人信息保護,採取了很多措施以避免個人隱私泄露和信息被濫用,主要包括: 1.基礎性立法。美國《隱私權法》、加拿大《隱私法》就行政機關,日本《個人信息保護法》、加拿大《個人信息保護與電子文件法》就企事業單位對個人信息的採集、使用、公開和保密問題作出詳細規定, 例如:個人有權知道信息使用情況;未經本人許可,不得用於收集信息以外的其他目的。美國《信息自由法》規范了第三方對包含個人信息的政府記錄的獲取。 2.行業性立法。美國《電子通訊隱私法》涵蓋了聲音、文本、數字化形象傳輸等所有形式的數字化通訊,該法禁止所有個人、企業和未經授權的政府部門對通訊內容的竊聽,禁止對存貯於電腦系統中的通訊信息未經授權的訪問及對傳輸中的信息未經授權的攔截。歐盟有《關於在電子通信領域個人數據處理及保護隱私權的指令》,日本通商產業省有《關於保護民間部門電子計算機處理所涉及的個人信息的指南》。 在金融領域,美國《金融服務現代化法案》規定了金融機構處理個人私密信息的方式,《金融隱私權法案》對銀行雇員披露金融記錄,及聯邦立法機構獲得個人金融記錄的方式做出限制。 在消費領域,美國《公平信用報告法-消費者信用保護法標題VI》規范了調查報告機構對報告的製作和傳播、對違約記錄的處理等事項,明確了消費者信用調查機構的經營方式。 在通訊領域,美國《有線通訊隱私權法案》禁止閉路電視經營者在未獲得用戶事先同意的情況下利用有線系統收集用戶的個人信息,《電訊法》規定電訊經營者有保守客戶財產信息秘密的義務。 另外,美國《2009個人隱私與安全法案》建立了風險評估、漏洞檢測以及對訪問敏感信息的控制和審計標准,《數據泄漏事件通報法案》要求聯邦政府機構以及業務范圍跨州的企業在發生數據泄漏事件時必須通知信息可能或已經被訪問、獲取的所有當事人。 3.行政措施。歐盟建立有數據保護監督專員制度,嚴格管理機構和組織搜集、錄制和儲存、重新提取、發送或蠢納歲使其他人員獲得、刪除帶睜或銷毀數據的行為。加拿大設有隱私專員辦公室,受理和調查個人信息侵權投訴,向議會提交個人信息保護情況的年度報告和特別報告。 4.行業自律。美國採取行業自律作為立法外保護網路隱私權的補充,包括:從事網上業務的行業聯盟發布本行業網上隱私保護准則;適用於跨行業聯盟的網路隱私認證,授權達到其提出的隱私規則的網站張貼其隱私認證標志,以便於用戶識別;為鼓勵甚至強制推行隱私權保護提供基本的技術支撐。 5.國際協作。經濟合作開發組織理事會頒布了《關於保護隱私和個人數據國際流通的指南》,亞太經合組織建立了地區隱私保護標准,歐盟有《關於在個人數據處理過程中保護當事人及此類數據自由流通的指令》。
『柒』 深度 | 《數據安全法》全面解讀
2021年6月10日,報道,十三屆全國人大常委會第二十九次會議通過了數據安全法。這部法律是數據領域的基礎性法律,也是國家安全領域的一部重要法律,將於2021年9月1日起施行。數字化改革推動我國生產模式的變革,隨著經濟數字化、政府數字化、企業數字化的建設,數據已經成為我國政府和企業最核心資產。合資企業、跨境貿易、多廠商全球合作的模式變遷,數據開始在企業與企業之間、政府與企業之間以及國與國之間流轉、融合、使用直至泄露。
根據公開報道,2020年全球數據泄露的平均損失成本為1145萬美元,2019年數據泄露事件達到7098起,涉及151億條數據記錄,比2018年增幅284%,數據泄漏事件影響大、損失重。
有專家言論,對數據掌控、利用以及保護能力,已成為指銷卜衡量國家之間競爭力的核心要素。
一、外力驅動和內部需求,促使數安法落地
1.外力驅動
2018年3月23日,時任美國總統特朗普正式簽署了《澄清域外合法使用數據法》,法案要求對危害美國國家安全的犯罪、嚴重刑事犯罪等重大案件,無論服務提供者的通信、記錄或其他信息是否存儲在美國境內,要求服務商根據該法案進行調取並提供相關證據。
2018年5月25日,歐盟《一般數據保護條例》(GDPR)正式實施。GDPR法案要求不論數據控制者、處理者及其處理行為在歐盟境內還是境外,只要處理的是歐盟境內居民的數據,均適用此法案,對數據實施長臂管理。
目前全球已有近100個國家和地區制定了數據安全保護的法律,數據安全保護專項立法已成為國際慣例。
圖1 全球數據安全保護立法情況(部分)面對歐美國家將數據主權從物理邊界轉向技術邊界,將會直接影響到第三方國家的主權,在數據跨境流動愈加頻繁的今天,必須盡快完善我國相關法律法規,保護我國國家利益、跨國公司唯穗以及公民個人利益。
2.內部需求
當前全球經濟傳統經濟增長緩慢,尤其是2020年全球「新冠疫情」給經濟帶來了沉重的打擊。迫切需要通過新的經濟增長點拉動內需,增加就業,而數字經濟正是切入點和發動機,國家將發展數字經濟提升到國戰略高度則水到渠成。
近年來數字經濟增速也證明了數字經濟發展空間的巨大,中國信息通信研究院發布的《中國數字經濟發展白皮書》數據顯示,我國數字經濟的總體規模已從2005年的2.62萬億元增長至2019年的35.84萬億元;數字經濟總體規模佔GDP的比重也從2005年的14.2%提升至2019年36.2%。
可見,數字經濟已成為我國國民經濟增長要素的重要一員。
從2015年,國務院發布的《促進大數據發展行動綱要》開始,2018年國務院發布《科學數據管理辦法》,2020年國務院發布《關於構建更加完善的要素市場化配置體制機制的意見》,2021年3月12日,公布了《中華人民共和國國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要》,數據安全政策導向明確,國家數據戰略清晰。因此,亟需一部國家的基本法,為中國數字經濟的安全發展保駕護航。
上述背景下數安法誕生,恰逢其時,維護了我國的數據主權,保障了國家的安全、促進了經濟健康發展。
二、數安法要點解讀和提煉
數安法的發布標志著我國將數據安全保護的政策要求,通過法律文本的形式進行了明確和強化。
本法一共七章五十五條,其中 「總則」、「法律責任」及「附則」三章屬於常規章節,另外四個章節圍繞著「數據安全與發展、數據安全制度、數據安全保護義務、政務數據安全與開放」來提出要求。
圖2 數安法七個章節我們對數安法進行深入解讀後,為大家提煉出40個要點。
(一)總則的要點
1)適用范圍:在中國境內開展數據活動的組織和個人。
2)定義:定義數據是指任何以電子或者非電子形式對信息的記錄。
3) 保護要求:_取必要措施,對數據進行有效保護和合法利用,並持續保持其安全能力。
4) 責任任務:工業、電信、交通、金融、自然資源、衛生健康、教育、科技等主要行業會落地數據保護行業規范,並且落地本部門的數據安全規范。公安機關、國家安全機關等在各自職責范圍內承擔數據安全監管職責。網信部門負責統籌協調和監管。
5) 特別的對行業組織提出了制定安全行為規范,加強行業自律,指導會員加強數據安全保護的要求。這項法規有效的斗冊消滅了灰色地帶,對各行業都形成了法律約束,杜絕了數據的隨意共享和流轉。
(二)數據安全與發展要點
6) 發展原則:國家統籌發展和安全,堅持保障數據安全與促進數據開發利用並重。
7) 戰略要求:省級以上人民政府應制定數字經濟發展規劃。進一步細化了國家數據戰略的執行主體。
8) 標准體系:國家主管部門負責相關標准和體系的制定。
9) 評估認證:國家促進數據安全檢測評估、認證等服務的發展,支持專業機構依法開展服務。
10) 人才培養:要_取多種方式培養數據開發利用技術和數據安全專業人才。
11)特別地,加強了公共服務的要求,應當充分考慮老年人、殘疾人的需求,避免對老年人、殘疾人的日常生活造成障礙。
(三)數據安全制度要點
12) 分類分級:國家建立數據分類分級保護制度,對數據實行分類分級保護,並確定重要數據目錄,加強對重要數據的保護。
13) 風險評估:要建立集中統一、高效權威的數據安全風險評估、報告、信息共享、監測預警機制。
14) 應急處置:要建立數據安全應急處置機制。
15) 安全審查:要建立數據安全審查制度。
16) 出口管制:對屬於管制物項的數據依法實施出口管制,可以根據實際情況對該國家或者地區對等採取措施。這項法規進一步明確了國家對中國數據的主權,即我國數據是否在境內,依然受到中國法律的保護。
(四)數據安全保護義務要點
17) 管理制度:在網路安全等級保護制度的基礎上,建立健全全流程數據安全管理制度,組織開展教育培訓。重要數據的處理者應當明確數據安全負責人和管理機構,進一步落實數據安全保護責任主體。
18) 風險監測:對出現缺陷、漏洞等風險,要_取補救措施;發生數據安全事件,應當立即採取處置措施,並按規定上報。
19) 風險評估:定期開展風險評估並上報風評報告。
20) 數據收集:任何組織、個人收集數據必須_取合法、正當的方式,不得竊取或者以其他非法方式獲取數據。
21) 數據交易:數據服務商或交易機構,要提供並說明數據來源證據,要審核相關人員身份並留存記錄。
22) 經營備案:數據服務經營者應當取得行政許可的,服務提供者應當依法取得許可。
23) 配合調查:要求依法配合公安、安全等部門進行犯罪調查。境外執法機構要調取存儲在中國的數據,未經批准,不得提供。
24) 特別的,對關基信息基礎設施的運營在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理,適用《中華人民共和國網路安全法》的規定;其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法,由國家網信部門會同國務院有關部門制定。
(五)政務數據安全與開放要點
25) 管理制度:建立健全全流程數據安全管理制度,落實數據安全保護責任。
26) 存儲加工:委託他人存儲、加工或提供政務數據,應當經過嚴格審批,並做好監督。受託方不得擅自留存、使用、泄露或向他人提供政務數據。
27) 數據開放:構建統一政務數據開放平台,發布數據開放目錄,推動政務數據開放利用。
28) 適用主體:法律、法規授權的具有管理公共事務職能的組織。
(六)法律責任要點
29) 不履行規定保護義務:責令改正和警告,給予單位5萬至50萬元罰款,給予負責人1萬至10萬元罰款;拒不改正或造成大量數據泄漏等嚴重後果的,給予單位50萬至200萬元罰款,最高責令吊銷相關業務許可證或者吊銷營業執照,給予負責人5萬至20萬元罰款。
30)危害國家安全和損害合法權益的:給予200萬至1000萬元罰款,責令停業整頓、吊銷相關業務許可證或者吊銷營業執照,構成犯罪的,追究刑事責任。
31)向境外提供重要數據的:由有關主管部門責令改正,給予警告,可以並處10萬至100萬元罰款,對直接負責的主管人員和其他直接責任人員可以處1萬至10萬元罰款。情節嚴重的,給予100萬至1000萬元罰款,責令停業整頓、吊銷相關業務許可證或者吊銷營業執照,對負責人給予10萬至100萬元罰款。
32) 交易來源不明的數據:沒收違法所得,對違法所得一至十倍罰款。沒有違法所得或違法所得不足10萬元的給予10萬至100萬元罰款,最高責令吊銷營業執照;對主管和直接責任人1萬至10萬元罰款。
33) 拒不配合數據調取的:由有關主管部門責令改正,給予警告,可以並處5萬元至50萬元罰款,對直接負責的主管人員和其他直接責任人員可以處1萬至10萬元罰款。
34) 國家機關不履行安全保護義務:對負責人和直接責任人員依法處分。
35)未經審批向境外提供組織數據的:由有關主管部門給予警告,可以並處10萬至100萬元罰款,對直接負責的主管人員和其他直接責任人員可以處1萬至10萬元罰款。造成嚴重後果的,給予100萬至500萬元罰款,責令停業整頓、吊銷相關業務許可證或者吊銷營業執照,對負責人給予5萬至500萬元罰款。
36) 國家工作人員違法:因玩忽職守、濫用職權、徇私舞弊,依法給予處分。
37)竊取或非法獲取數據的:依照有關法律、行政法規的規定處罰。
38) 給他人造成損害:依法承擔民事責任,構成犯罪的,依法追究刑事責任。
(七)附則要點
39) 涉及國家秘密的數據:依據《中華人民共和國保守國家秘密法》以及相關法律法規執行。
40) 涉及軍事秘密的數據:由中央軍事委員會依據本法另行制定。
數安法是繼《網路安全法》提出數據的概念後,國家在數據安全立法層面的一個重大里程碑,註定了是中國數字經濟高速發展的壓艙石和定海神針。
三、數據安全建設的幾點建議
數安法作為數據安全管理的基本大法,給我們指明了方向和提供法律保障。有關單位和個人收集、存儲、使用、加工、傳輸、提供、公開數據資源,都應當依法建立健全數據安全管理制度,採取相應技術措施保障數據安全。
未來如何做好數據安全建設?政企在進行數據安全能力建設時,考慮數據安全、訪問控制以及數據保護三個層面。
形象的說,數據安全的首要目標是需要找數據在哪裡?數據的主體是誰?訪問控制是目前主流的數據安全能力之一,首要目標是數據使用者如何證明具備相應的數據許可權?數據保護是更高層面的建設框架,首要目標是組織或個人如何確保數據已經被保護好了?
對於IT和信息安全從業人員來說,數據安全能力建設是最艱巨的任務之一。
關於數據安全能力的建設,安恆信息首席科學家劉博提到:在業務層面,應當考慮建設包含預防、發現、消除泄密隱患為主的數據安全體系;在技術層面,應當考慮建設數據風險核查能力、數據梳理能力、數據保護能力以及數據威脅監控預警能力4大核心數據能力的建設;最終建立「數據安全運營」的全過程自適應安全支撐能力,直至達到整體智治的安全目標。
1.建立健全管理組織體系和組織架構
企業數據安全管理的成敗,主要取決主要領導是否重視?意識是否提升?全員是否參與?是否建立了一套完善數據安全管理組織?這是數據安全的重要保障。要形成「管理層重視、一把手負責、全員參與」的管理模式。
2.建立完善的數據安全技術體系和落地
傳統方式已經無法適應新時代數據安全需要,面臨安全的新態勢、新要求,在繼續做好業務安全的基礎之上,通過智能化管理平台,在技術層面實現對風險核查(Check)能力、數據梳理(Assort)能力、數據保護(Protect)能力以及數據威脅監控預警(Examine)能力4大核心能力的建設,在業務層面,實現對數據採集、傳輸、存儲、處理、交換、銷毀全生命周期的管理。
3.引進下一代技術,實現流程自動化
人工智慧和機器學習將是未來數據安全工作的關鍵,目前,多數大型企業正在尋求使某些法規遵從流程自動化,包括數據定位和提取,自動化是大型企業保持對大量存儲在數據中心和雲中的結構化和非結構化數據兼容的唯一方式。
對於數據安全能力建設較為薄弱的企業,建議考慮零信任模式作為一種安全策略,有了「零信任」,企業將著眼於數據管理的整個生命周期,並將關注點從數據安全本身擴展到企業整體信息安全框架。
4.政府需落實數據安全保護責任,推動政務數據開放利用
政務數據安全與開發作為數安法的獨立章節,要求我國政府在落實數據安全保護責任的同時,推動政務數據開放利用。如何實現數據要素安全、高效的共享開放,劉博談到,個人隱私保護、敏感數據使用、數據確權等難題都成了數據要素市場化的「攔路虎」,我們可以通過引入「數據安全島」模式,利用安全計算沙箱、安全多方計算、區塊鏈等技術,實現原始數據不出本地,只交換計算結果,做到數據共享的「可用不可見」,解決數據信任和隱私保護、溯源等難題,讓流動的數據成為驅動數字經濟發展的新動能。
四、數據安全的未來
數據安全在未來仍將是一個重大挑戰,人工智慧、機器學習和零信任模型的創造性應用將幫助IT和信息安全從業保護數據,以及確保組織和個人數據合規,助力國家數據安全戰略落地實施。
我國「十四五」規劃、「新基建」等政策將持續深入推進數據要素安全管控和市場化,提升社會數據資源價值,相信隨著《數據安全法》的出台、落地實施,數據資源將會迸發出更強的活力。安恆信息站在時代與理論的前沿,提出以「CAPE」數據安全能力框架為核心的數據安全管控體系,包含數據安全管控、安全可控數據流通、安全可信融合計算三大核心能
『捌』 斯諾登事件對信息安全有何警示
斯諾登事件為我們敲響了信息安全的警鍾,也讓我們更進一步認識到當前網路信息安全所面臨形勢的嚴峻性。保障我國網路信息安全,是當前面臨的重要問題。斯諾登事件警示我們:
一、網路空間已經演變成各國博弈的新戰場
21 世紀,互聯網已經成為改變世界的巨大力量,成為經濟社會發展的戰略制高點,主宰著世界的變遷。互聯網上的網路空間,是現實世界的延伸,也是現實世界的數字化體現。網路已經成為繼領土、領海、領空、太空之後的第五大疆域。從「棱鏡門」事件來看,互聯網對美國幾乎是透明的,全球互聯網的最終主導權一直都牢牢掌握在美國的手中。
事實上,美國有「棱鏡」監聽計劃,其他國家也有相應的針對別國或本國的網路監聽項目,如英國的「顳顬」情報監聽項目,法國對外安全總局的大規模攔截電話和電話數據,日本的《PC 監視法案》對個人和公司網路信息的監控,印度、德國等國家也都有類似的機構對互聯網實施著監控。網路空間已經演變成了世界各國博弈的新戰場。
二、網路信息安全威脅已經遠遠超出我們的想像
美國的情報機構對互聯網的掌控已經超出了世人的想像,他們能夠通過秘密技術監控世界各國,監控幾乎每一個人,控制關鍵基礎設施。你在網上的一切行動和資料,都可以被調查得一清二楚,因為互聯網在他們眼裡是透明的。著名的「微軟黑屏」事件,已經向世人揭露出一個重大事實:微軟有能力控制使用Windows 系統的每一台電腦,用戶實際上已經喪失了對自己計算機的控制權。
三、我國面臨的信息安全形勢十分嚴峻
斯諾登曾在向美國《華盛頓郵報》提供的機密文件中披露,自 2009 年以來,美國國家安全局一直在入侵中國內地和中國香港的電腦系統。此外,美國國家安全局下的「定製入口行動」辦公室(TAO),近15 年來一直從事著侵入中國境內電腦和通信系統進行網路攻擊的工作,藉此獲取有關中國的有價值情報。
我國所面臨的信息安全形勢確實十分嚴峻。首先,我國信息安全的整體防護能力還十分薄弱,我國信息安全關注的重點還只是停留在網路攻防與內容合法性方面,對於因通信設備而引起的網路社會安全則一直不夠重視。我國的網路通信設備關鍵基礎設施幾乎全部是購自國外的產品,這為我國的網路信息安全埋下了巨大的隱患。此外,當前我國公民信息安全的防護意識還十分淡薄,對於看不見、摸不著的網路信息安全威脅帶來的嚴重後果缺乏足夠的認識。
四、我國應完善信息安全主動防禦體系的建設
保障信息安全就是保障國家安全。面對日益嚴重的網路威脅,我們必須下決心從根本上改變我國網路空間缺乏防護能力的局面。專家建議:我國亟須完善自主可控的國家信息安全體系建設,加強國家信息安全等級保護制度建設,強化基礎網路和重要信息系統的等級化保護和監督管理,落實等級保護相關措施。同時,鼓勵和扶持自主開發核心技術及產品創新,運用具有自主知識產權的產品和技術,保障國家基礎網路和重要信息系統安全,實現真正的自主可控,不再受制於人,把中國的信息安全掌握在自己手中。
『玖』 維護網路安全需要國家完善相關法律是不是正確的
維護網路安全需要國家完善相關法律是正確的
維護網路信息安全 完善立法是管控基礎
今年2月,中國網路安全和信息化領導小組的成立標志著中國已經正視了網路安全的重要性,確定了要成為網路強國的決心。
幾十年來,中國在信息化方面的成績顯著,但是在網路安全領域與發達國家還有很大的距離,很大的原因是因為中國在這方面的法律存在空白,互聯網領域還處於無法可依、有法不依、執法不嚴甚至違法不究的狀態。要實現網路大國到網路強國的突破,比起迅猛發展的網路技術,盡快的制定網路安全方面的法律法規才是網路管控的好辦法。下面就讓信息方面的專家山麗網安和大家去看看應該怎麼彌補互聯網安全的法律空白以及保護網路安全的防護辦法吧!
彌補法律空白 保護國家機密與公民隱私
國際正反兩方面的經驗表明,維護社會網路安全、保障公民信息安全,都離不開依法管控,信息技術發達國家均高度重視。美國歷屆政府都對網路安全管控不遺餘力,一方面千方百計防止黑客對其網路系統的攻擊,防止不符合美國利益的網路內容外泄,另一方面通過立法,為美國政府情報部門和執法機關獲取利益攸關的網路信息提供法律依據。
1994年,美國會通過《法律執行通訊協助法案》,以保證對電話、寬頻互聯網等旅瞎念的實時監視。2001年「911」恐怖襲擊事件發生後,美國會制定《神簡愛國者[微博]法案》和《國土安全法》,修改1978年《外國情報監視法案》,允許政府特定機構運用特定信息系統,監視特定范圍內的信息流動及用戶活動。荷蘭也立法要求所有電信公司必須安裝「網路警察」監控設備,以便有效追蹤實施犯罪的互聯網用戶。
為彌補中國互聯網安全方面的法律空白,改變互聯網諸多領域的混亂與不安全狀態,切實維護網路安全,保障公民信息安全,需盡快為網路管控提供堅實的法律基礎。目前,第十二屆全國人大常委會已將制定《網路安全法》列為第三類立法計劃,但現在看來應加快立法進度,同時加快制定《互聯網個人信息保護法》。
在國家網路安全防護方面,應加快網路安全頂層設計,改革政出多門的管理體系,為加大投入和吸引人才奠定法律基礎;進一步明確國家網路安全戰略,將被動防禦的應對戰略,調整為攻防結合的威懾型安全戰略;依法推動自主知識產權拆困網路產品的開發,有目標、有步驟地提升重點領域網路產品的國產化率。
『拾』 美國2015年時通過什麼立法和網路信息安全有關
2015年10月27日, 美國參議院通過了2015年網路安全信息共享法案(Cybersecurity Information Sharing Act of 2015,以下簡稱CISA2015),其旨在"通過強化有關網路安全威脅之信息的共享改善美國的網路安全",它將對全球互聯網治理與產業生態產生巨大的影響.