‘壹’ 结合国家相关政策及具体案例说明网络安全立法的重要性
一是加强和改进立法工作,不断提高立法质量。加强立法工作,是依法治国、建设社会主义法治国家的前提。近年来,政府立法工作取得了突出成绩。过去五年间,仅国务院就向全国人大常委会提交39件法律议案,制定、修订了137件行政法规。但是必须看到,我国改革和发展已经站在了新的历史起点上,立法工作面临着十分繁重的任务。要进一步增强政府立法工作的计划性和针对性,紧紧围绕全面建设小康社会的奋斗目标,认真研究经济社会发展中的突出矛盾和问题,按照贯彻科学发展观的根本要求,继续加强经济调节、市场监管、产品质量和安全、规范政府自身行为方面的立法;高度重视社会管理、公共服务和人民群众普遍关注、社会反映强烈的热点问题的立法;特别要注意加强改善民生、推进社会建设、节约能源资源、保护生态环境等方面的立法。加强立法工作重在提高立法质量。要创新政府立法工作的方法和机制,扩大立法工作的公众参与。在法律法规起草、修改过程中,要通过组织听证会、论证会、座谈会等多种形式,广泛听取社会各方面的意见和建议。制定与群众利益密切相关的行政法规、规章,原则上要公布草案,向社会公开征求意见。
二是推进依法行政,努力提高行政执法水平。各级政府部门要加快推进依法行政、建设法治政府的进程,严格按照法定权限和程序行使职权、履行职责。政府的组织、政府的权力、政府的运行、政府的行为和活动,都要以宪法和法律为准绳,都要受到宪法和法律的规范和约束。政府制定的行政法规、政府规章、规范性文件和政策性文件,必须与宪法和法律保持统一和协调。坚持以人为本,树立以尊重和保障人权为核心的现代行政执法观念,形成职责权限明确、执法主体合格、适用法律有据、问责监督有方的政府工作机制。合理界定和调整行政执法权限,明确执法责任,全面落实行政执法责任制。进一步健全市县政府依法行政制度。加强对行政收费的规范管理,改革和完善司法、执法财政保障机制。健全行政复议体制,完善行政补偿和行政赔偿制度。认真做好法律援助工作,帮助困难群众实现诉讼权利,使人人都能享受到平等法律保护。加强行政执法队伍建设,增强服务意识,改进工作作风,保持清正廉洁,促进行政执法水平的不断提高。
三是加强执法监督,确保行政权力正确行使。健全社会主义民主法制,必然要求国家机关及其工作人员将人民赋予的权力始终用来为人民服务,确保权力正确行使,让权力在阳光下运行,接受人民群众的监督。要完善权力制约和监督机制,综合运用各种监督形式,增强监督合力和实效,真正做到有权必有责、用权受监督、违法要追究。坚持用制度管权、管事、管人,建立健全决策权、执行权、监督权既相互制约又相互协调的权力结构和运行机制。健全组织法制和程序规则,保证政府权力按照法定权限和程序进行行使。各级政府要自觉接受人民代表大会及其常委会的监督,主动接受人民政协的民主监督。大力推进执法公开,提高政府工作的透明度,加大人民群众的监督力度。改善和加强新闻舆论对行政执法的有效监督。切实强化政府层级监督,充分发挥监察、审计等专门监督的作用。要把加强对领导干部特别是主要领导干部、人财物管理使用、关键岗位的监督作为重点,健全质询、问责、经济责任审计、引咎辞职、罢免等制度,确保监督到位、有力、有效。
四是加强法制宣传教育,提高全社会的法律意识和法治观念。积极探索法制宣传教育的新途径、新形式,善于运用报刊、广播、电视、互联网等多种传媒,精心组织各种法制宣传教育活动,增强法制教育的科学性、准确性,防止片面性。突出抓好宪法宣传教育,增强人民群众的宪法意识,自觉维护宪法权威,使宪法在全社会得到遵守。加大有关经济社会发展的法律法规、规范市场经济秩序的法律法规以及与人民群众生产生活密切相关的法律法规的宣传力度,为建设中国特色社会主义打牢法治思想基础。法律对社会生活的规范、引导和保障功能,主要是通过权利义务机制实现的。在法制宣传教育活动中,必须强化权利义务观念的培养,既要增强人们的民主意识和权利意识,也要增强法治意识和义务意识。具体包括:公民在法律面前人人平等,任何人都没有超越宪法和法律的特权;坚持权利和义务相统一,权利的行使不得损害社会公共利益和他人的合法权益;国家保护合法的权利;国家提供权利的保障、救济和保护。只有让每个公民都树立了正确的法制观念,自觉在法制框架内行使权利、履行义务,才能够真正把依法治国基本方略真正落到实处,建成社会主义法治国家。
‘贰’ 美国云计算法案规定治外法权 引起欧盟强烈反弹
北京时间2月26日早间消息,据彭博社报道,美国正在推进大约1年前颁布的“云法案”,而欧洲正在尝试抵御该法案的影响。根据该法案,微软、IBM和亚马逊等美国云计算服务提供商在接到政府要求时,必须提供服务器上存储的数据,无论这些数据存放在哪里。
这雹伍些云计算厂商控制着欧洲大部分云计算市场,因此这项法案可能会让美国有权获得欧洲许多人和企业的信息。而美国方面表示,这项法案的目的是为了协助调查。
法国议员劳尔·德拉罗迪尔(Laure de la Raudiere)表示:“这给欧洲敲响了警钟,欧洲需要加速在数据领域自主的主权产品。”
“云法案”的全称是《澄清数据在海外的合法使用法》,该法案源自2013年的一起事件。当时,在一项毒品调查中,微软拒绝向美国联邦调查局(FBI)提供对位于爱尔兰的一台服务器的访问权限,并表示该公司不能被迫提供保存在美国境外的数据。
这项法案提出的治外法权令欧盟感到不安。随着大西洋两岸关系的恶化,以及在欧盟看来特朗普领导下的美国越来越不可靠,这个问题变得更加尖锐。
该法案数肆局中的条款允许美国与各国达成“行政协议”,从而实现信息和数据的相互交换。欧盟可能会利用这样的条款来抵御该法案的影响。欧盟委员会希望与美国进行谈判,而谈判可能于今年春季开始。
法国和欧盟其他国家,例如荷兰和比利时,正努力推动欧盟制定共薯让同战线。在日益混乱的云计算信息世界中,这些国家很难制定保护隐私、应对信息安全攻击,以及保护关键网络安全的监管规定。
欧洲议会的荷兰议员苏菲·伊恩·维尔德(Sophie in't Veld)近期表示,欧盟在面对美国“无限的数据饥渴”时表现出明显的弱势,她对此感到失望。她指出:“由于‘云法案’,美国政府的手开始影响欧盟公民,这违反了欧盟法律。如果欧盟规定自己在美国领地上拥有治外法权,美国是否会同意?”
法国政府去年11月起草的内部备忘录显示,“‘云法案’可能是来自美国的一场考验,美国已经预计到会出现政治反应,而欧洲应该做出足够强的反应”。
“云法案”的颁布比欧盟“通用数据保护条例”(GDPR)要早几个星期。GDPR规定,所有从欧盟公民收集数据的企业都必须遵守欧盟的规则。因此,这两项法律可能存在冲突。
‘叁’ 网络恐怖主义的网络恐怖主义的主要特征
与通常的暗杀、劫持人质和游击战等传统的恐怖手段相比,为什么恐怖分子对利用网络进行攻击这么感兴趣呢?我们认为,网络恐怖主义之所以对恐怖分子具有如此大的魅力,主要是网络恐怖主义具有以下几方面的特点: 重视人才的培养和公民的安全意识教育,发动全社会力量对网络安全进行全民防御。到目前为止,还没有“电子珍珠港”事件能够唤醒公众采取行动保护网络的意识。许多人都没有认识到国家经济和国家安全对计算机和信息系统依赖到何种程度。而保卫网络空间的安全则需要所有人的行动,包括最普通的大众。美国在《确保网络空间安全的国家战略》中就提出完善“网络公民计划”,对儿童进行有关网络道德和正确使用互联网和其他通讯方式的教育;要建立企业和信息技术精英间的合作关系;保证政府雇员具备保护信息系统安全的意识;在上述行动的基础上,把提高安全意识的活动推广到其他私营部门和普通民众。
许多国家也意识到,仅仅依靠政府的力量是不够的,必须建立起一个全方位的防御体系,动员一切可以动员的社会力量。1998年11月,美国能源部、天然气研究所和电力研究所共同主办了能源论坛,邀请了100多家电力、天然气和石油企业和政府代表 参加;2001年1月,包括IBM在内的500多家公司加入了FBI成立的一个被称作“InfraGard”的组织,共同打击日趋嚣张的网络犯罪活动。 建立相应机构,完善网络安全的管理体制。“9.11事件”后,布什政府迅即采取行动,成立了“国土安全办公室”,将打击网络恐怖袭击作为其主要职责之一。并在“国土安全办公室”增设总统网络安全顾问,主管总统“关键基础设施保护委员会”,负责制定、协调全美政府机构网络反恐计划和行动。美国还打算将一些主要的网络安全负责机构并入“国土安全部”,以加强统筹管理。
德、英、日、加等国也相继成立了主管网络安全的政府机构,如英特网安全特别小组、电脑警察、反电脑黑客指挥中心、反网络恐怖特别小组等等,负责评估威胁源和安全程度,提供适当的保护措施,打击和防范网络恐怖袭击。2003年2月,欧洲委员会宣布成立一项联合打击对电力及供水等重要设施进行网络袭击的计划,并成立“欧洲网络及信息安全局”。该机构将雇佣来自15个欧盟成员国的30名专家,在各国保护网络及信息安全措施的基础上提高各成员国和欧盟预防和处理网络及信息安全问题的能力。 推动立法,构筑坚实的安全防护网。从20世纪80年代开始,美国相继推出一系列打击网络犯罪和黑客活动、维护信息安全的各种法律法规,包括计算机安全法、信息自由法等等。2002年7月,美众议院通过“加强计算机安全法案”,规定黑客可被判终生监禁;美国防部也宣布将正式实施一项新禁令,扩大对外国人接触美政府计算机项目的限制,禁止外籍人员接触敏感信息,以确保政府计算机系统安全,防范网络恐怖袭击。
英国在原有的《三R安全规则》基础上,于2000年7月公布了《电子信息法》,授权有关当局对电子邮件及其他信息交流实行截收和解码。2000年底,欧洲委员会起草的《网络犯罪公约》正式出台,包括美国在内的40多个国家都已加入。该公约的目的就是要采取统一的对付计算机犯罪的国际政策,防止针对计算机系统、数据和网络的犯罪活动。2000年1月,日本制定了“反黑客对策行动计划“,要求在年底前制定对付电脑恐怖活动的特别计划,建立和健全处罚黑客行为的法律,加强政府控制危机体制。 加强国际社会的合作,建立国际合作体系来共同对付网络恐怖威胁。一国的网络把自身与世界其他地区联结在一起。各个网络所组成的全球性网络延伸到整个地球,使某个大洲上怀有恶意的人能够从数千里之外攻击网络系统。跨国界网络攻击特别迅速,使追查和发现这种恶毒的行为也变得非常困难。因此,一个国家要想具有确保其至关重要的系统和网络安全的防御保护能力,就需要建立国际合作体系。
2001年5月,法国和日本共同主持了题为“政府机构和私营部门关于网络空间安全与信任对话”的八国集团会议,这是世界上首次以打击网络犯罪为主要议题的国际性会议;2001年10月,西方七国集团财长会议制定《打击资助恐怖主义活动的行动计划》,呼吁加强反恐信息共享、切断恐怖分子的金融网络以及确保金融部门不为恐怖分子所利用;2001年11月,欧洲委员会43个成员以及美国、日本、南非正式签署《打击网络犯罪条约》,这是第一份有关打击网络犯罪的国际公约;此外,美国网络反恐专家正在倡议制订一项国际性的网络武器控制条约。
总之,制止网络恐怖主义需要全球各国政府、企业甚至每个人的合作,从预防入手,在每个环节采取防范措施,这样才能使网络世界安全。魔高一尺,道高一丈,人类与恐怖分子的网际斗争将是一场艰巨的持久战。
‘肆’ 谁能给我介绍各国关于网络的相关规定
网络传播的负面影响,已经引起各国各界的广泛关注。人们越来越意识到,进入网络时代以后,一方面,过去在现实空间中遇到的各种道德和法律问题,不可避免地会反映到网络空间中来;另一方面,网络空间又产生了许多现实空间中没有过的新的道德和法律问题。因此,各国政府都高度重视网络管理,陆续颁布了一系列有关计算机网络的法律法规。 美国是世界上互联网络最为发达的国家。早在1978年8月,美国佛罗里达州就率先通过了《佛罗里达计算机犯罪法》。该法规涉及了侵犯知识产权、侵犯计算机装置和设备、侵犯计算机用户权益等问题,并作出了种种规定。随后,美国共有47个州相继颁布了计算机犯罪法。1984年,美国国会通过了《联邦禁止利用电子计算机犯罪法》。1987年,国会通过一项方案,批准成立国家计算机安全技术中心,并制定了《计算机安全法》。美众院司法委员会要求,色情邮件须加标注,使得用户可以不打开邮件直接将邮件删除;因特网接入服务提供商可以起诉滥发垃圾邮件者,并提出索赔要求。1996年2月,美国总统签署了国会通过的《通讯净化法》,明确规定互联网不得向未成年人传播有伤风化的文字及图像。这一法案尽管受到健康舆论的广泛支持,但却遭到美国公民自由联盟、出版界(包括网上刊物出版界)和电脑界一些组织的反对,声称它违反了关于言论自由的宪法修正案,从而引起了一场诉讼。1997年美国最高法院判定这一法案违宪,使它终于未能实行。不过2000年4月美国贸易委员会制定的《儿童网上保护法》却得到了实施。该法规定商业网站收集年龄在13岁以下少年的个人信息以及这些未成年人进入网上聊天室时必须得到其父母的同意。① 在德国,政府明确表示不能让互联网成为传播色情和宣扬新纳粹思想的场所,强调要防止互联网络受到“污染”,要求经营联网业务的企业承担义务,使青少年免受不良信息的危害。1997年8月,德国制订的《信息和通讯服务法》(即《多媒体法》)正式实施。这是世界上第一部对互联网空间的行为实施全面的法律规范的专门立法,法案确立了传播自由和责任并重的原则。该法关于网络服务商的责任提到了三点:1.对自己提供的网上信息内容负全部责任;2.对网上提供来自他人的内容只是在一定条件下才负有责任;3.对于仅仅提供了进入通道的网上信息不负责任.。一般认为它将对世界各国的相关立法会产生重要影响。 英国在1996年以前主要依据《黄色出版物法》、《青少年保护法》、《录像制品法》、《禁止泛用电脑法》和《刑事司法与公共秩序修正法》惩处利用电脑和互联网络进行犯罪的行为。1996年9月23日,英国政府颁布了第一个网络监管行业性法规《3R安全规则》。“3R”指的是分级认定、举报告发、承担责任。1999年英国政府公布了《电子通信法案》的征求意见稿。这一草案酝酿已久,其主要目的是为促进英国电子商务发展,并为社会各界树立对电子商务的信心提供法律上的保证。英国广播电视的主管机关--独立电视委员会(ITC)宣称,依照英国1990年的《广播法》,它有权对互联网上的电视节目以及包含静止或活动图象的广告进行管理,但它目前并不打算直接行使其对互联网的管理权力,而是致力于指导和协助网络行业建立一种自我管理的机制。 新加坡政府在1996年3月颁布了有关网络的管理条例,要求提供联网服务的公司对进入网络的信息内容进行监督,以防止传播色情和容易引发宗教及政治动荡的信息。1996年7月,新加坡广播管理局依法对互联网络实行管制,宣布实施分类许可证制度,以便鼓励正当使用互联网络,促进其在新加坡的健康发展,保护网络用户、尤其是年轻人免受非法和不健康信息传播的侵害。 在韩国,为了加强对信息通信网的管理,政府的情报通信部2001年出台了《关于保护个人信息和确立健全的信息通信秩序》的法规。这一法规明确规定个人信息管理者的权限和责任,对向第三者泄漏个人信息者将予以重罚。与此同时,这一法规还将加强对淫秽、暴力、犯罪等非法信息流通的管理。 由于网络传播的国际性,各国政府越来越意识到,要有效地规范网上行为、尤其是打击网络犯罪,单靠一国立法是远远不够的。各国执法部门在工作中遇到的许多挑战,只有通过国际条约来解决。为此,欧盟委员会曾于1996年10月通过了《互联网有害和违法信息通信》和《在新的电子信息服务环境中保护未成年人和人的尊严》绿皮书。绿皮书中规定网络主机服务商和检索服务商应该对其主机和服务器上的违法和有害信息承担法律责任。欧盟委员会还建议对互联网信息建立评级制度,鼓励开发和采用过滤软件和评级系统,鼓励网民报告违法和有害网址。从1998年起,泛欧组织欧洲委员会决定由欧洲犯罪问题委员会下属的网络空间犯罪专家委员会负责起草《网络犯罪公约》草案,美国也参与了起草。这是国际社会第一个正在草拟的有关计算机系统、网络或数据的犯罪行为的多边协定。人们预期它会带来在网络管理方面更多的国际合作。 回顾历史,人类的传播活动和新闻事业,总是随着传播技术的进步、传播方式的更新而不断发展的。而新的传播技术和传播方式往往是把双刃剑,既能带来新的飞跃也会带来新的挑战。世纪之交兴起的互联网络的情况也是如此。相信经过世界各国政府、组织和进步人类的共同努力,互联网事业也必定能兴利除弊,把人类的传播活动和世界新闻事业带进一个全新的时代。 http://www.cmic.zju.e.cn/cmkj/web-wgxws/9/5/2.html 互联网络的迅猛发展,给人类的信息交流和新闻传播提供了极大的便利,产生了广泛的影响。但是它的发展也带来某些负面后果,出现了一些新的问题。其中最为突出的有: 首先,由于网络传播具有开放性,任何人都可以在没有检查控制的情况下在网上传播信息,因而为有害信息的传播带来极大的方便。特别在一些非正规的网站网页或个人传播活动中,各种信息泥沙俱下,良莠混杂。散布虚假消息、谣言传闻者有之,宣扬迷信、传播邪教者有之,煽动民族仇恨、助长种族歧视者有之,这些都会危害社会稳定和发展。资料显示,世界各种邪教组织如日本的奥姆真理教、意大利的末世派等都设有网站,法**组织在全球25个国家都设有网站,光在美国就拥有八十多个网站,还有13种语言版本。至于传统媒介上常见的色情内容更是网络天地间挥之不去的有害气体。据卡内基-梅隆大学一个专家组在1995年的调查报告称,在美国多数家庭电脑连通的网络中,有85%带有不同程度色情内容的图片、文章和录像,电子公告板储存的数据图像有五分之四含有淫秽内容。这些都严重污染着社会风气,对青少年成长更有极为不利的影响。 其次,网络传播具有很强的自由度,发布的言论不易查究责任,因而很容易出现侵害他人权利的行为。在网上散布流言蜚语、造谣诽谤他人,损害别人的名誉权,侵犯他人的隐私权,这些现象时有所见。也有的故意在网上制造舆论,伤害法人或自然人的信誉,为不正当的商业竞争或政治斗争服务。另外,网络服务商为了管理或个性化服务的需要,一般都要求消费者登记自己的有关情况,这里也往往存在收集和使用不当的问题,造成对个人隐私的侵犯。 第三,由于网络空间的虚拟性,网上行为不象现实世界中那样可触可摸、有据可查,因而也为某些刑事犯罪带来了可乘之隙。通过网络诈骗钱财、从事毒品交易、密谋恐怖活动、甚至为卖淫嫖娼牵线,诸如此类的犯罪活动并不罕见。也有些计算机高手,通过网络窃取商业机密、政治军事情报。还有一些出于种种目的蓄意攻击破坏网络的“黑客”,严重威胁着计算机的安全。据美国军方一份报告透露,1999年五角大楼计算机网络受到“黑客”攻击达25万次之多,其中60%达到了目的。2000年2月7-9日,由美国开始的一起严重的黑客袭击事件,包括Yahoo!(雅虎)、ebay.com(电子港湾)、amazon.com(亚马逊网上书店)、CNN(美国有线电视新闻网)在内的8家世界着名网站遭到有组织的猛烈攻击,网站运作瘫痪数小时,震惊了全世界。 http://www.cmic.zju.e.cn/cmkj/web-wgxws/9/5/1.html 中国网址导航 www.pronoti.com
‘伍’ 2017年特朗普以什么为基础
特朗普政府的网络空间战略
【关键词】特朗普政府;网络空间战略;“美国优先”;大国竞争;网络空间治理
【DOI】10.19422/j.cnki.ddsj.2020.08.004
2017年特朗普执政之初,基本沿袭了奥巴马政府时期的网络政策,如加快联邦政府网络系统升级、加强关键基础设施保护以及国家网络安全综合能力等。然而,网络空间战略作为美国国家安全战略框架的重要组成部分,亦随特朗普政府国家安全战略的调整而经历了重大转型和突破。在2018年9月发布的《国家网络战略》中,[1]特朗普政府将维护美国在网络空间中的优势与在科技生态中的影响力摆在了更突出的位置,并且在“美国优先”与大国竞争思想的引导下对网络空间政策进行了全面调整。从后续的一系列网络空间战略和政策行动中不难发现其日渐激进的趋势,这对网络空间国际治理进程和大国关系未来走向的影响不可小觑。为此,有必要对特朗普政府的网络空间战略全面深入地进行梳理,对其战略转变的思想根源和驱动因素进行分析,并判断美国网络空间战略调整造成的国际影响。
特朗普政府网络空间战略的重心与特点
特朗普执政以来,先后通过总统行政令、战略文件、国防预算法案等政策文件对美国的网络空间战略进行重塑和调整。例如,特朗普政府突破奥巴马政府对网络行动边界的划定,将现实世界中大国竞争这一传统安全问题引入网络空间,并以此为由积极打造进攻性网络力量。具体来说,特朗普政府网络空间战略的重心与特点主要可以归纳为以下四个方面。
一、加强网络威慑和进攻性网络能力建设
早在2011年7月,美国国防部发布的首份《网络空间行动战略》就已将网络空间视为与陆、海、空、天并列的美军“行动领域”。[2]2017年9月通过的《2018财年国防授权法案》明确要求特朗普政府加强网络和信息作战、威慑和防御能力,并要求在网络空间、太空和电子战等信息领域发展全面的网络威慑战略。[3]由此,美国在网络空间的行动方式开始发生激进转变。
美国网络空间行动方式的转变由三部政策文件推动完成。一是美国《国家网络战略》。在“以实力求和平”的理念指导下,该战略概述了美国政府将如何处理网络问题的广泛愿景,并强调对实施网络攻击的对象施加“迅速、代价高昂和透明的后果”的重要性。二是2018年版的《国防部网络战略》。该战略强调军方应当“在威胁到达攻击目标之前”将其遏止,甚至可以采用“前置防御”(Defend Forward)的战术来摧毁美国境外的“恶意网络活动源头”。[4]三是2018年8月由特朗普总统签署的关于“美国网络行动政策”的第13号国家安全总统备忘录。[5]该备忘录旨在简化国防部发起进攻性网络行动的审批程序,使国防部长有权在紧急情况下立即发起网络空间军事行动。[6]上述三部政策文件扭转了奥巴马时期相对“克制”的网络行动纲领。美国网络力量的行动策略从主动防御转变为“前置防御”,即通过先发制人的网络攻击来威慑对手,并让其他国家对美国的报复性网络力量感到惧怕。[7]特朗普政府还赋予美国网络力量在网络行动领域更大的权限和行动范围。美国国会中的两党委员会——网络空间日光浴委员会(Cyberspace Solarium Commission)提出了“分层网络威慑”(Layered Cyber Deterrence)的构想,进一步细化了在应对包括中国、俄罗斯等战略竞争对手和其他挑战时应采取的威慑手段。[8]这一公开的网络威慑战略体现了美国网络安全战略一直以来的特点,即通过公开透明的战略文件对敌对势力的进攻意愿进行“战略威慑”,从而降低其受到威胁和攻击的可能,保护美国本土及网络空间的安全。[9]
此外,特朗普政府在推进网络实战化方面也推出了一系列政策措施,并不断加大对进攻性网络力量建设的投入。2017年8月,特朗普政府将原本隶属于战略司令部的网络司令部升格为联合作战司令部,使之成为国防部下辖的十个联合作战司令部之一。网络司令部在指挥权限和资源投入上获得了大力支持,从规模上也得到了极大提升,组建了133支网络任务部队。此外,为支持网络行动和开展网络防御,美国陆军于2017年8月启动了史上最大规模的网络空间后备力量动员工作,组建新的网络特种部队为网络司令部提供关键支撑。[10]网络作战司令部成立后,积极参与多军种的联合演习以适应战场环境,在“多域战”联合作战理念下配合其他军种的作战行动。[11]2019年7月,国防部发布2018年版《国家军事战略》概要,提出要实行“一体化军事战略”。[12]除传统的陆、海、空之外,联合部队及指挥官也必须高度重视“网络空间的多样化”,为网络部队转型提供宏观思路。[13]在2020年2月特朗普向国会提交的《2021财年国防预算法案》中,2021年投入网络空间领域的预算将高达98亿美元,较2020年的96亿美元有所增长。[14]值得注意的是,预算法案要求美军必须将网络作战能力整合到联合军种的计划和作战中,以增强美军的军事优势。
二、强调国内基础设施安全
特朗普上任后,继承了奥巴马政府时期的一系列网络安全政策,如延长了奥巴马政府针对关键基础设施的黑客入侵、重大拒绝服务攻击、大规模经济黑客入侵、选举系统黑客入侵等网络攻击的制裁行政令。[15]但与奥巴马政府相比,特朗普政府在国内基础设施安全方面的政策更为全面和深入。
2017年5月,特朗普总统签署了题为“增强联邦政府网络与关键性基础设施网络安全”的总统行政令。该行政令从关键基础设施网络安全、联邦政府信息系统安全和国家安全三个层面来制定相应的网络安全政策,拉开了美国全政府范围内的网络安全风险评估和政策部署的序幕。根据该行政令,美国各个政府机构都必须有效管理网络安全风险并对自身的网络安全工作负责。此外,行政令中强调要通过实现信息技术的现代化来加强联邦计算机系统的安全。[16]
美国肆意指责一些国家对美国及其盟友发起网络攻击。图为2018年7月14日,时任美国国土安全部长科斯特珍· 尼尔森在费城举行的一场会议上重提“ 俄罗斯针对2016年美国总统选举发动网络攻击”。
同时,特朗普政府在国土安全部设立了由部长直接领导的网络安全与基础设施安全局(CISA),专门负责保护美国本土基础设施免受物理和网络威胁,并协调各政府部门和私营部门之间的交流与合作。2019年9月公布的CISA首份《战略愿景》(Strategic Intent)报告,强调该机构将领导和协调全国公私部门开展包括风险评估、应急处置、复原力建设和长期风险管理等方面的工作。自此,美国国内的网络安全事务,包括由私营部门负责和运营的关键基础设施网络安全都由国土安全部统一领导和部署,形成自上而下、从联邦到地方、从政府机构到私营部门的全面覆盖。值得一提的是,该机构还将“中国、供应链与5G”作为当前的工作重点,称“中国以及中国公司在包括5G技术在内的供应链中对美国构成持续威胁”。[17]
三、以“泛网络安全化”服务大国竞争
自特朗普政府2017年出台《国家安全战略》报告以来,“战略竞争对手”的话语就出现在多个网络战略文本和政策文件中。尤其是《国家网络战略》《国防部网络战略》两份文件,不仅继承了《国家安全战略》对“战略竞争对手”的定位,还进一步将“竞争对手”作为目标和对象,制定更为积极甚至激进的应对策略。例如,美国《国家网络战略》就在经济繁荣和国家安全两个层面都强调由“战略竞争对手”造成的“威胁”:“在经济上,中国通过网络经济间谍活动和知识产权盗窃使美国蒙受数万亿美元的损失。”[18]同时,在安全上,肆意指责一些国家对美国及其盟友发起网络攻击。在当前美国网络安全政策实践中,网络安全不仅仅是大国竞争的一个领域,更成为美国在政治、经济、科技等其他领域开展大国竞争的手段。美国正通过将其他问题“泛网络安全化”服务大国竞争。
第一,服务政治议题。美国通过在网络安全议题上采取过度政治化的立场,将网络安全作为抹黑和打压竞争对手的政治筹码和工具,如以黑客“干预大选”为借口对俄罗斯发起制裁。特朗普政府将中国作为“战略竞争对手”后,这一方面的趋势愈发明显。美国国家安全顾问奥布莱恩(Robert C. OBrien)2020年6月在演讲中妄称“中国政府正随意使用黑客技术来盗窃美国的商业和个人信息,并且他们同时动用了军方和个人黑客”。他列举了特朗普政府应对中国的各种手段,如限制华为公司在美国的商业活动、将中国政府机构和公司列入制裁名单、限制相关学生签证等,并称“将和盟国及伙伴国一起抵制中国共产党对美国人民、美国政府和美国经济的操纵以及对美国主权的侵蚀”。[19]
第二,服务经贸谈判。美国将黑客攻击和知识产权等问题作为对外贸易谈判的标准内容,以网络安全问题博取谈判筹码。例如,在2017年《北美自由贸易区协定》(NAFTA)重新谈判正式开启之前,美国互联网企业在8月9日向美国贸易代表莱特希泽(Robert Lighthizer)及美国商务部长罗斯(Wilbur Ross)写信,希望借助NAFTA重新谈判的机遇,从北美地区开始重构、整合现有国际网络安全规则体系,从而确保美国企业在数字贸易时代的利益。[20]在中美贸易谈判过程中,美方也将一系列与网络安全相关的议题纳入其中,包括针对华为的禁令、网络盗窃知识产权问题以及中国《网络安全法》所涉及的数据本地化问题等。
第三,服务高科技领域大国竞争。美国以基础设施安全为由出台各种制裁和限制措施,打击竞争对手的领军企业和实体。例如,美国于2018年通过《美国出口管制改革法案》《外国投资风险管理现代化法案》,在技术出口路径上针对“新兴与基础技术”设置更为严苛的限制,从立法层面构筑了技术出口和投资的高壁垒。[21]美国商务部以妨害美国的信息基础设施和通信网络安全为由将中国企业华为列入实体清单,限制美国企业对其出口产品与服务。2019年5月,特朗普总统发布《确保信息通信技术与服务供应链安全》的行政令,该行政令授权商务部对特定国家和外国供应商的电信产品及服务的交易活动实施禁止、暂缓或取消的措施。[22]2020年3月,特朗普总统签署通过的《安全可信通信网络法案》明确禁止联邦资金用于采购华为、中兴等被认为“对美国国家安全构成威胁”的企业生产的设备,以此保护美国的通信基础设施。[23]
四、开展创新型网络安全技术研发
2020年3月,美国国会网络空间日光浴委员会发布最终报告,将美国当前处于网络空间大国竞争不利地位的原因归结为网络安全技术优势的丧失。报告认为导致这一结果的原因在于,以往美国政府是技术进步的推动力,美国政府通过资助国家实验室和高校科研项目,以及通过国防订单推动新技术研发等方式来实现技术创新和进步,而近年来美国政府将原本倾注于技术研发的资源转向了制造业和采掘业。[24]事实上,特朗普政府在开展创新型网络技术研究方面出台了多项政策,其主要任务是通过技术创新加强美国的网络攻防能力建设。
作为推动技术创新的重要力量,国防部在支持网络安全技术研发方面发挥了巨大作用。《2018财年国防授权法案》显示,美国国防部将重点开展区块链技术的潜在攻击和防御性网络应用。美国国防部国家安全技术加速器(National Security Technology Accelerator)项目于2019年5月正式更名为国家安全创新网络(National Security Innovation Network)项目,并由负责研发与工程技术的副部长直接领导。该项目旨在引进美国高校和私营部门的技术人才,建立一支国防技术创新队伍以解决事关国家安全的各类问题。[25] 2019年6月,国防部发布《数字现代化战略》,指定了人工智能(AI)、云计算等需要优先发展的技术领域,并提出四大目标任务,包括以技术创新谋求优势,提高效率和能力,维护网络安全以实现灵活、有弹性的防御态势,培养数字人才。[26]特朗普上任以来美国国防部重新成为技术研发和创新的重要支持者,包括对私营部门和商业领域技术创新的支持。
在联邦政府层面,2019年12月,总统行政办公室(Executive Office of President)与国家科学技术委员会(National Science and Technology Council)及其下属机构联合发布了《联邦网络安全研发战略计划》(Federal Cybersecurity Research And Development Strategic Plan)。这份计划确定了四项需要增强的网络防御能力(即威慑、保护、侦测和响应能力)和六个网络安全研发的优先领域(包括人工智能、量子信息科学、值得信赖的分布式数字基础设施、隐私保护、安全的硬件和软件以及教育和人才发展),并将此作为联邦网络安全研发活动和投资的重点。[27]同年特朗普政府发布的《美国主导未来产业》战略规划,明确将人工智能、先进制造业、量子信息科学和第五代移动通信作为决定美国未来命运的四大高端产业领域。总体看,特朗普政府高度重视创新技术研发,从国防部到联邦政府都设立了明确的技术创新领域和范围更广的公私合作模式。
美国网络空间战略调整的动因
随着网络空间与政治、经济、社会、军事等领域的融合趋势不断加快,政府维护网络安全和治理网络空间的能力不断面临新的挑战。网络空间中的大国博弈逐渐白热化、数字贸易壁垒和技术壁垒日益高筑,以及网络犯罪和网络恐怖主义等痼疾依旧,是推进网络空间国际治理的羁绊。在此背景下,特朗普政府基于“美国优先”原则和对美国当前重大挑战的判断出台了《国家网络战略》,并在该战略指引下搭建了网络空间战略的基本框架。“美国优先”原则与美国对威胁认知的变化是特朗普政府调整网络空间战略的主要动因。
一、“美国优先”原则指导下的网络空间战略转向
作为特朗普竞选话语的主旋律,“美国优先”“让美国再次伟大”成为其所有战略宣言的出发点和归宿。而就“美国优先”原则的历史来看,它提出的时机往往是美国与世界关系发生重大变化之际,其最终目的不是要背弃全球化或回到孤立主义,而是要追求以更低的投入和更高的回报来介入国际事务,为美国获取长期战略利益。[28]从特朗普入主白宫之后的一系列战略和政策措施来看,这一指导原则得到了彻底的践行。
第一,特朗普政府的网络空间战略在视野上更为集中。特朗普秉持美国利益至上的理念,将提高国内关键基础设施安全作为优先事项,淡化美国在国际合作与国际事务中的领导地位,并进一步强调坚持“以实力求和平”的理念来捍卫美国在网络空间的安全与利益。相比而言,奥巴马政府时期的网络空间战略既强调国内网络安全,又强调国际合作,突出美国在网络空间国际事务中的领导作用,同时还坚持维护繁荣、安全和价值观这三大美国核心利益。[29]特朗普政府则在《国家安全战略》中将美国的战略优先事项明确为经济繁荣与国家安全两个方面,其《国家网络战略》中的四大目标也可概括为保障网络安全和促进经济繁荣两个方面。
第二,特朗普淡化对“互联网自由”等价值观的追求,在网络外交政策上的投入大幅缩减,国务院在网络空间事务决策中的地位遭到大幅削弱。奥巴马政府时期,美国侧重于通过互联网议题来进行公共外交,以推广其所倡导的“自由的互联网”理念。因此,奥巴马政府在国务院设立网际事务协调员办公室,由网络安全领域资深专家克里斯·佩因特(Chris Painter)任协调员。特朗普上台后,其首任国务卿蒂勒森(Rex W. Tillerson)于2017年8月宣布关闭成立6年之久的网际事务协调员办公室,将其部分职能转至经济暨商业局(EB)。特朗普政府对传播民主与自由价值观并不重视,而是强调建立“以规则为基础的国际秩序”,推行美国主张的网络空间国际规则就成为网络外交的使命。[30]完成这一使命的主要手段就是在网络安全与经济繁荣上占据优势,以此为国际社会作出表率,并潜移默化地改变其他行为体。因此,特朗普政府对国务院开展网络外交的投入大幅缩减,一系列旨在推动“网络自由、开放”的项目也被严重边缘化。
在“美国优先”原则指导下,特朗普政府转变了前任政府积极参与国际事务、争做网络空间国际治理引领者的思路,转而加强国内网络安全能力建设,强调以安全与经济繁荣为抓手推动建立以美国主张和利益为先的国际规则。
二、“大国竞争”话语下的威胁认知变化
特朗普政府网络空间战略转向的另一重要推动因素,是美国战略界对当前美国面临威胁的认知产生了变化。这一变化的产生源于两方面原因。
第一,美国在网络空间大国中的相对优势被逐渐削弱,引起了美国战略界的警惕。特别是近年来,中国在经济发展、高科技创新等领域的追赶步伐不断加快,中美之间的经济实力差距快速拉近,军事和科技领域的巨大实力差距也在不断缩小,由此美国战略界产生了前所未有的地位焦虑。[31]此外,网络安全的不对称性更加突出,防御难度大幅增加,[32]也间接削弱了美国在网络空间的优势地位。2017年特朗普政府发布的《国家安全战略》中,将中国、俄罗斯列为“修正主义国家”,作为威胁美国国家安全的三大因素之一。而且特朗普还无端指责“中国和俄罗斯挑战美国的实力、影响力和利益,企图侵蚀美国的安全和繁荣”。[33]显然,由于美国在网络空间中的优势地位遭到相对削弱,不可避免地影响美国战略界对美国所面临的威胁以及大国竞争关系的判断。
第二,美国从零和博弈与“新冷战”的角度看待中国在网络空间的发展和俄罗斯的网络活动,形成了“大国竞争”语境下的威胁认知。自华为在5G研发和商用领域获得巨大成功以来,美国政府一直致力于通过各种行政和立法手段对其进行打压和遏制,并称华为及其产品和服务对美国国家安全构成重大威胁。对华为的打压实质上是为了维护美国在高科技领域的主导地位,体现出美国在技术、安全和经济领域的零和思维,以及在高科技领域的“新冷战”思想。美国强调网络空间的意识形态宣传和政治干预并非等级制和单向的,而是非对称和双向的。[34]在网络空间领域,继《国家安全战略》发布之后,中国和俄罗斯被视为美国安全与繁荣的重大威胁,并频繁出现在美国各种战略文件中。在2020年3月网络空间日光浴委员会发布的最终报告中,美国继续把中国、俄罗斯等国家造成的威胁作为美国网络安全的最大挑战。在美国看来,这种挑战是全面和复杂的,包括经济、政治、社会、军事和技术等各个层面。
美国网络空间战略调整的影响
基于“美国优先”原则和“大国竞争”话语的美国网络空间战略调整,是美国试图以自身安全与繁荣为基础打造在网络空间的绝对优势、重塑网络空间大国关系的政治手段,但此举同时也对网络空间国际治理和网络空间的和平稳定造成巨大影响。
一、增加全球网络空间的不稳定因素
在“美国优先”原则下,特朗普政府的网络空间战略体现出了单边主义、非共赢和排他性特点,尤其是在涉及本国国家安全和经济繁荣等核心利益时,特朗普政府频频使用经济制裁、长臂管辖等单边行动来达到其利益诉求。[35]此外,在“大国竞争”话语之下美国的威胁认知发生变化,导致美国与其他行为体在网络空间中的摩擦和矛盾愈发普遍,竞争模式也呈现出越来越多的零和性。尤其是在美国以供应链安全、基础设施安全甚至国家安全为由提出各种限制和制裁措施之后,相关国家和企业不得不采取措施加以应对和抵制,循环往复之下,越来越多的矛盾和问题在网络空间中积累,不仅阻滞了国家间关系的发展与缓和,也使得网络空间的稳定受到影响。
在人类迈向信息社会、智能社会的过程中,网络空间的战略地位将进一步凸显。与此同时,网络空间的稳定也面临极大的挑战。一方面,在规则体系缺失,各方认知理念差异较大的情况下,各国政府面临网络治理能力不足和网络安全漏洞造成的压力,亟须新的应对手段和方法来确保自身的网络安全;另一方面,大国在开展网络行动尤其是进攻性网络行动时对网络空间稳定的扰动也更为剧烈。特朗普政府以所谓的“大国竞争”为由,采取激进和进攻性的网络空间战略,推动了网络空间的“巴尔干化”,冲击了原本脆弱的网络空间稳定状态。
二、引发网络空间军事化和军备竞赛
特朗普政府积极践行“网络威慑”战略,不断加大对进攻性网络力量建设的投入,并通过将网络作战力量融入其他军种的联合作战行动之中来推进网络力量的实战化,使得网络空间的和平稳定面临更多挑战。而且,特朗普政府通过行政手段为网络军事行动赋权和“松绑”,并在《国防部网络战略》中提出了“前置防御”的作战理念,不仅赋予美军在其身处的世界任何地方展开网络行动的权力,而且要求美军在各种威胁发生之前就采取行动排除安全隐患。
在美国“以实力求和平”理念指引下,网络空间难以避免地走向军事化的危险道路。各国为了维护自身网络安全,以及在网络空间中谋求发展的基本权利,不得不投入更多资源以加强自身的网络安全能力建设,从而在客观上激化了网络空间军备竞赛。
三、加剧网络空间大国竞争和冲突
特朗普政府网络空间战略的一大特色就是突出“大国竞争”对美国网络安全与基础设施安全的威胁,并以此作为加强联邦网络系统安全与进攻性网络能力建设的出发点。随着国防部与国土安全部等安全机构在网络空间政策制定和执行上发挥越来越大的作用,美国在处理网络空间大国关系时也普遍从安全视角出发,以“泛安全化”的思维指导其政策行动和选择。例如,在所谓“黑客干预大选”事件中,美国没有寻求通过外交对话来解决问题,而是公开指责俄罗斯政府是事件背后的主使,并且开展了多轮的外交制裁、经济惩罚,包括关闭俄罗斯在美国的领事机构、驱逐外交官、制裁俄罗斯国家安全机构及其领导人等。这一事件表明,特朗普政府已经不再寻求通过对话来解决网络冲突问题,而是不计后果地实施惩罚措施,其结果必然是激化大国之间的矛盾,甚至引发冲突。
四、迟滞全球网络空间治理进程
特朗普政府激进化和进攻性的网络空间战略进一步加剧了网络空间的无政府状态,而其对多边机制的不信任和工具化态度更是令全球治理进程受到阻滞。特朗普政府不仅不愿意投入政治资源和财政资源来推动建设国际治理机制,而且视网络空间国际治理机制为落实美国网络空间战略的工具,并抵制不能为美国带来实质利益的治理主张和治理机制。
例如,2017年6月联合国信息安全政府专家组(UNGGE)因为美国代表坚持在共识文件中加入可通过经济制裁、军事行动等手段回应网络攻击的文字表述而宣告失败。2018年11月,美国代表团拒绝在互联网治理论坛达成的《网络空间信任和安全巴黎倡议》上签字。此外,特朗普政府对曾经被寄予厚望的“伦敦进程”也不屑一顾,不仅在政治上不积极参与,而且从资金方面也弱化了对该机制的支持。显然,特朗普政府对联合国等多边组织的网络治理规则没有兴趣,而是倾向于通过双边关系来达成新的网络安全合作协议,甚至试图通过国内立法加强此类合作,如《2017年美国—以色列网络安全提升法案》《2017年乌克兰网络安全合作法案》。
美国在网络空间国际治理机制上的后撤不仅使联合国框架下的各项治理机制陷入困境,而且还增加了国际社会在打击网络恐怖主义和网络犯罪等具体问题上的合作阻力,从而迟滞了全球网络空间治理进程。
结 语
经过近四年的部署和构建,特朗普政府的网络空间战略已趋于成熟,其任内通过机构重组和政策调整,将美国网络空间战略聚焦于国内网络和基础设施安全,以及进攻性网络能力建设,并以此作为美国应对“大国竞争”挑战和国内网络安全短板的主要路径。特朗普政府在“美国优先”原则和大国竞争话语影响下构建的网络空间战略,带有明显的单边主义和排他性特点,这不仅加剧了网络空间大国关系的紧张气氛,而且客观上加大了建立网络空间共同秩序的难度。同时,特朗普政府激进化的网络空间战略理念和进攻性的网络安全政策也进一步加剧了网络空间的不稳定状态,其对国际治理机制的不信任和工具化态度也阻滞了网络空间国际治理机制的建立和发展。
【本文是国家社会科学基金重大项目“总体国家安全观视野下的网络治理体系研究”(项目批准号:17ZDA106)的阶段性成果】
蔡翠红 王天禅
‘陆’ 国外保护个人信息有哪些主要措施和做法
问:编辑同志,您好!随着互联网的普及,倒卖个人信息已经形成产业链,个人信息泄露成茄姿为普遍问题。请您介绍一下国外保护个人信息有哪些主要措施和做法。 天津读者:刘晓刘晓同志: 您好!世界各国都十分重视个人信息保护,采取了很多措施以避免个人隐私泄露和信息被滥用,主要包括: 1.基础性立法。美国《隐私权法》、加拿大《隐私法》就行政机关,日本《个人信息保护法》、加拿大《个人信息保护与电子文件法》就企事业单位对个人信息的采集、使用、公开和保密问题作出详细规定, 例如:个人有权知道信息使用情况;未经本人许可,不得用于收集信息以外的其他目的。美国《信息自由法》规范了第三方对包含个人信息的政府记录的获取。 2.行业性立法。美国《电子通讯隐私法》涵盖了声音、文本、数字化形象传输等所有形式的数字化通讯,该法禁止所有个人、企业和未经授权的政府部门对通讯内容的窃听,禁止对存贮于电脑系统中的通讯信息未经授权的访问及对传输中的信息未经授权的拦截。欧盟有《关于在电子通信领域个人数据处理及保护隐私权的指令》,日本通商产业省有《关于保护民间部门电子计算机处理所涉及的个人信息的指南》。 在金融领域,美国《金融服务现代化法案》规定了金融机构处理个人私密信息的方式,《金融隐私权法案》对银行雇员披露金融记录,及联邦立法机构获得个人金融记录的方式做出限制。 在消费领域,美国《公平信用报告法-消费者信用保护法标题VI》规范了调查报告机构对报告的制作和传播、对违约记录的处理等事项,明确了消费者信用调查机构的经营方式。 在通讯领域,美国《有线通讯隐私权法案》禁止闭路电视经营者在未获得用户事先同意的情况下利用有线系统收集用户的个人信息,《电讯法》规定电讯经营者有保守客户财产信息秘密的义务。 另外,美国《2009个人隐私与安全法案》建立了风险评估、漏洞检测以及对访问敏感信息的控制和审计标准,《数据泄漏事件通报法案》要求联邦政府机构以及业务范围跨州的企业在发生数据泄漏事件时必须通知信息可能或已经被访问、获取的所有当事人。 3.行政措施。欧盟建立有数据保护监督专员制度,严格管理机构和组织搜集、录制和储存、重新提取、发送或蠢纳岁使其他人员获得、删除带睁或销毁数据的行为。加拿大设有隐私专员办公室,受理和调查个人信息侵权投诉,向议会提交个人信息保护情况的年度报告和特别报告。 4.行业自律。美国采取行业自律作为立法外保护网络隐私权的补充,包括:从事网上业务的行业联盟发布本行业网上隐私保护准则;适用于跨行业联盟的网络隐私认证,授权达到其提出的隐私规则的网站张贴其隐私认证标志,以便于用户识别;为鼓励甚至强制推行隐私权保护提供基本的技术支撑。 5.国际协作。经济合作开发组织理事会颁布了《关于保护隐私和个人数据国际流通的指南》,亚太经合组织建立了地区隐私保护标准,欧盟有《关于在个人数据处理过程中保护当事人及此类数据自由流通的指令》。
‘柒’ 深度 | 《数据安全法》全面解读
2021年6月10日,报道,十三届全国人大常委会第二十九次会议通过了数据安全法。这部法律是数据领域的基础性法律,也是国家安全领域的一部重要法律,将于2021年9月1日起施行。数字化改革推动我国生产模式的变革,随着经济数字化、政府数字化、企业数字化的建设,数据已经成为我国政府和企业最核心资产。合资企业、跨境贸易、多厂商全球合作的模式变迁,数据开始在企业与企业之间、政府与企业之间以及国与国之间流转、融合、使用直至泄露。
根据公开报道,2020年全球数据泄露的平均损失成本为1145万美元,2019年数据泄露事件达到7098起,涉及151亿条数据记录,比2018年增幅284%,数据泄漏事件影响大、损失重。
有专家言论,对数据掌控、利用以及保护能力,已成为指销卜衡量国家之间竞争力的核心要素。
一、外力驱动和内部需求,促使数安法落地
1.外力驱动
2018年3月23日,时任美国总统特朗普正式签署了《澄清域外合法使用数据法》,法案要求对危害美国国家安全的犯罪、严重刑事犯罪等重大案件,无论服务提供者的通信、记录或其他信息是否存储在美国境内,要求服务商根据该法案进行调取并提供相关证据。
2018年5月25日,欧盟《一般数据保护条例》(GDPR)正式实施。GDPR法案要求不论数据控制者、处理者及其处理行为在欧盟境内还是境外,只要处理的是欧盟境内居民的数据,均适用此法案,对数据实施长臂管理。
目前全球已有近100个国家和地区制定了数据安全保护的法律,数据安全保护专项立法已成为国际惯例。
图1 全球数据安全保护立法情况(部分)面对欧美国家将数据主权从物理边界转向技术边界,将会直接影响到第三方国家的主权,在数据跨境流动愈加频繁的今天,必须尽快完善我国相关法律法规,保护我国国家利益、跨国公司唯穗以及公民个人利益。
2.内部需求
当前全球经济传统经济增长缓慢,尤其是2020年全球“新冠疫情”给经济带来了沉重的打击。迫切需要通过新的经济增长点拉动内需,增加就业,而数字经济正是切入点和发动机,国家将发展数字经济提升到国战略高度则水到渠成。
近年来数字经济增速也证明了数字经济发展空间的巨大,中国信息通信研究院发布的《中国数字经济发展白皮书》数据显示,我国数字经济的总体规模已从2005年的2.62万亿元增长至2019年的35.84万亿元;数字经济总体规模占GDP的比重也从2005年的14.2%提升至2019年36.2%。
可见,数字经济已成为我国国民经济增长要素的重要一员。
从2015年,国务院发布的《促进大数据发展行动纲要》开始,2018年国务院发布《科学数据管理办法》,2020年国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》,2021年3月12日,公布了《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》,数据安全政策导向明确,国家数据战略清晰。因此,亟需一部国家的基本法,为中国数字经济的安全发展保驾护航。
上述背景下数安法诞生,恰逢其时,维护了我国的数据主权,保障了国家的安全、促进了经济健康发展。
二、数安法要点解读和提炼
数安法的发布标志着我国将数据安全保护的政策要求,通过法律文本的形式进行了明确和强化。
本法一共七章五十五条,其中 “总则”、“法律责任”及“附则”三章属于常规章节,另外四个章节围绕着“数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放”来提出要求。
图2 数安法七个章节我们对数安法进行深入解读后,为大家提炼出40个要点。
(一)总则的要点
1)适用范围:在中国境内开展数据活动的组织和个人。
2)定义:定义数据是指任何以电子或者非电子形式对信息的记录。
3) 保护要求:_取必要措施,对数据进行有效保护和合法利用,并持续保持其安全能力。
4) 责任任务:工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主要行业会落地数据保护行业规范,并且落地本部门的数据安全规范。公安机关、国家安全机关等在各自职责范围内承担数据安全监管职责。网信部门负责统筹协调和监管。
5) 特别的对行业组织提出了制定安全行为规范,加强行业自律,指导会员加强数据安全保护的要求。这项法规有效的斗册消灭了灰色地带,对各行业都形成了法律约束,杜绝了数据的随意共享和流转。
(二)数据安全与发展要点
6) 发展原则:国家统筹发展和安全,坚持保障数据安全与促进数据开发利用并重。
7) 战略要求:省级以上人民政府应制定数字经济发展规划。进一步细化了国家数据战略的执行主体。
8) 标准体系:国家主管部门负责相关标准和体系的制定。
9) 评估认证:国家促进数据安全检测评估、认证等服务的发展,支持专业机构依法开展服务。
10) 人才培养:要_取多种方式培养数据开发利用技术和数据安全专业人才。
11)特别地,加强了公共服务的要求,应当充分考虑老年人、残疾人的需求,避免对老年人、残疾人的日常生活造成障碍。
(三)数据安全制度要点
12) 分类分级:国家建立数据分类分级保护制度,对数据实行分类分级保护,并确定重要数据目录,加强对重要数据的保护。
13) 风险评估:要建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。
14) 应急处置:要建立数据安全应急处置机制。
15) 安全审查:要建立数据安全审查制度。
16) 出口管制:对属于管制物项的数据依法实施出口管制,可以根据实际情况对该国家或者地区对等采取措施。这项法规进一步明确了国家对中国数据的主权,即我国数据是否在境内,依然受到中国法律的保护。
(四)数据安全保护义务要点
17) 管理制度:在网络安全等级保护制度的基础上,建立健全全流程数据安全管理制度,组织开展教育培训。重要数据的处理者应当明确数据安全负责人和管理机构,进一步落实数据安全保护责任主体。
18) 风险监测:对出现缺陷、漏洞等风险,要_取补救措施;发生数据安全事件,应当立即采取处置措施,并按规定上报。
19) 风险评估:定期开展风险评估并上报风评报告。
20) 数据收集:任何组织、个人收集数据必须_取合法、正当的方式,不得窃取或者以其他非法方式获取数据。
21) 数据交易:数据服务商或交易机构,要提供并说明数据来源证据,要审核相关人员身份并留存记录。
22) 经营备案:数据服务经营者应当取得行政许可的,服务提供者应当依法取得许可。
23) 配合调查:要求依法配合公安、安全等部门进行犯罪调查。境外执法机构要调取存储在中国的数据,未经批准,不得提供。
24) 特别的,对关基信息基础设施的运营在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
(五)政务数据安全与开放要点
25) 管理制度:建立健全全流程数据安全管理制度,落实数据安全保护责任。
26) 存储加工:委托他人存储、加工或提供政务数据,应当经过严格审批,并做好监督。受托方不得擅自留存、使用、泄露或向他人提供政务数据。
27) 数据开放:构建统一政务数据开放平台,发布数据开放目录,推动政务数据开放利用。
28) 适用主体:法律、法规授权的具有管理公共事务职能的组织。
(六)法律责任要点
29) 不履行规定保护义务:责令改正和警告,给予单位5万至50万元罚款,给予负责人1万至10万元罚款;拒不改正或造成大量数据泄漏等严重后果的,给予单位50万至200万元罚款,最高责令吊销相关业务许可证或者吊销营业执照,给予负责人5万至20万元罚款。
30)危害国家安全和损害合法权益的:给予200万至1000万元罚款,责令停业整顿、吊销相关业务许可证或者吊销营业执照,构成犯罪的,追究刑事责任。
31)向境外提供重要数据的:由有关主管部门责令改正,给予警告,可以并处10万至100万元罚款,对直接负责的主管人员和其他直接责任人员可以处1万至10万元罚款。情节严重的,给予100万至1000万元罚款,责令停业整顿、吊销相关业务许可证或者吊销营业执照,对负责人给予10万至100万元罚款。
32) 交易来源不明的数据:没收违法所得,对违法所得一至十倍罚款。没有违法所得或违法所得不足10万元的给予10万至100万元罚款,最高责令吊销营业执照;对主管和直接责任人1万至10万元罚款。
33) 拒不配合数据调取的:由有关主管部门责令改正,给予警告,可以并处5万元至50万元罚款,对直接负责的主管人员和其他直接责任人员可以处1万至10万元罚款。
34) 国家机关不履行安全保护义务:对负责人和直接责任人员依法处分。
35)未经审批向境外提供组织数据的:由有关主管部门给予警告,可以并处10万至100万元罚款,对直接负责的主管人员和其他直接责任人员可以处1万至10万元罚款。造成严重后果的,给予100万至500万元罚款,责令停业整顿、吊销相关业务许可证或者吊销营业执照,对负责人给予5万至500万元罚款。
36) 国家工作人员违法:因玩忽职守、滥用职权、徇私舞弊,依法给予处分。
37)窃取或非法获取数据的:依照有关法律、行政法规的规定处罚。
38) 给他人造成损害:依法承担民事责任,构成犯罪的,依法追究刑事责任。
(七)附则要点
39) 涉及国家秘密的数据:依据《中华人民共和国保守国家秘密法》以及相关法律法规执行。
40) 涉及军事秘密的数据:由中央军事委员会依据本法另行制定。
数安法是继《网络安全法》提出数据的概念后,国家在数据安全立法层面的一个重大里程碑,注定了是中国数字经济高速发展的压舱石和定海神针。
三、数据安全建设的几点建议
数安法作为数据安全管理的基本大法,给我们指明了方向和提供法律保障。有关单位和个人收集、存储、使用、加工、传输、提供、公开数据资源,都应当依法建立健全数据安全管理制度,采取相应技术措施保障数据安全。
未来如何做好数据安全建设?政企在进行数据安全能力建设时,考虑数据安全、访问控制以及数据保护三个层面。
形象的说,数据安全的首要目标是需要找数据在哪里?数据的主体是谁?访问控制是目前主流的数据安全能力之一,首要目标是数据使用者如何证明具备相应的数据权限?数据保护是更高层面的建设框架,首要目标是组织或个人如何确保数据已经被保护好了?
对于IT和信息安全从业人员来说,数据安全能力建设是最艰巨的任务之一。
关于数据安全能力的建设,安恒信息首席科学家刘博提到:在业务层面,应当考虑建设包含预防、发现、消除泄密隐患为主的数据安全体系;在技术层面,应当考虑建设数据风险核查能力、数据梳理能力、数据保护能力以及数据威胁监控预警能力4大核心数据能力的建设;最终建立“数据安全运营”的全过程自适应安全支撑能力,直至达到整体智治的安全目标。
1.建立健全管理组织体系和组织架构
企业数据安全管理的成败,主要取决主要领导是否重视?意识是否提升?全员是否参与?是否建立了一套完善数据安全管理组织?这是数据安全的重要保障。要形成“管理层重视、一把手负责、全员参与”的管理模式。
2.建立完善的数据安全技术体系和落地
传统方式已经无法适应新时代数据安全需要,面临安全的新态势、新要求,在继续做好业务安全的基础之上,通过智能化管理平台,在技术层面实现对风险核查(Check)能力、数据梳理(Assort)能力、数据保护(Protect)能力以及数据威胁监控预警(Examine)能力4大核心能力的建设,在业务层面,实现对数据采集、传输、存储、处理、交换、销毁全生命周期的管理。
3.引进下一代技术,实现流程自动化
人工智能和机器学习将是未来数据安全工作的关键,目前,多数大型企业正在寻求使某些法规遵从流程自动化,包括数据定位和提取,自动化是大型企业保持对大量存储在数据中心和云中的结构化和非结构化数据兼容的唯一方式。
对于数据安全能力建设较为薄弱的企业,建议考虑零信任模式作为一种安全策略,有了“零信任”,企业将着眼于数据管理的整个生命周期,并将关注点从数据安全本身扩展到企业整体信息安全框架。
4.政府需落实数据安全保护责任,推动政务数据开放利用
政务数据安全与开发作为数安法的独立章节,要求我国政府在落实数据安全保护责任的同时,推动政务数据开放利用。如何实现数据要素安全、高效的共享开放,刘博谈到,个人隐私保护、敏感数据使用、数据确权等难题都成了数据要素市场化的“拦路虎”,我们可以通过引入“数据安全岛”模式,利用安全计算沙箱、安全多方计算、区块链等技术,实现原始数据不出本地,只交换计算结果,做到数据共享的“可用不可见”,解决数据信任和隐私保护、溯源等难题,让流动的数据成为驱动数字经济发展的新动能。
四、数据安全的未来
数据安全在未来仍将是一个重大挑战,人工智能、机器学习和零信任模型的创造性应用将帮助IT和信息安全从业保护数据,以及确保组织和个人数据合规,助力国家数据安全战略落地实施。
我国“十四五”规划、“新基建”等政策将持续深入推进数据要素安全管控和市场化,提升社会数据资源价值,相信随着《数据安全法》的出台、落地实施,数据资源将会迸发出更强的活力。安恒信息站在时代与理论的前沿,提出以“CAPE”数据安全能力框架为核心的数据安全管控体系,包含数据安全管控、安全可控数据流通、安全可信融合计算三大核心能
‘捌’ 斯诺登事件对信息安全有何警示
斯诺登事件为我们敲响了信息安全的警钟,也让我们更进一步认识到当前网络信息安全所面临形势的严峻性。保障我国网络信息安全,是当前面临的重要问题。斯诺登事件警示我们:
一、网络空间已经演变成各国博弈的新战场
21 世纪,互联网已经成为改变世界的巨大力量,成为经济社会发展的战略制高点,主宰着世界的变迁。互联网上的网络空间,是现实世界的延伸,也是现实世界的数字化体现。网络已经成为继领土、领海、领空、太空之后的第五大疆域。从“棱镜门”事件来看,互联网对美国几乎是透明的,全球互联网的最终主导权一直都牢牢掌握在美国的手中。
事实上,美国有“棱镜”监听计划,其他国家也有相应的针对别国或本国的网络监听项目,如英国的“颞颥”情报监听项目,法国对外安全总局的大规模拦截电话和电话数据,日本的《PC 监视法案》对个人和公司网络信息的监控,印度、德国等国家也都有类似的机构对互联网实施着监控。网络空间已经演变成了世界各国博弈的新战场。
二、网络信息安全威胁已经远远超出我们的想象
美国的情报机构对互联网的掌控已经超出了世人的想象,他们能够通过秘密技术监控世界各国,监控几乎每一个人,控制关键基础设施。你在网上的一切行动和资料,都可以被调查得一清二楚,因为互联网在他们眼里是透明的。着名的“微软黑屏”事件,已经向世人揭露出一个重大事实:微软有能力控制使用Windows 系统的每一台电脑,用户实际上已经丧失了对自己计算机的控制权。
三、我国面临的信息安全角势十分严峻
斯诺登曾在向美国《华盛顿邮报》提供的机密文件中披露,自 2009 年以来,美国国家安全局一直在入侵中国内地和中国香港的电脑系统。此外,美国国家安全局下的“定制入口行动”办公室(TAO),近15 年来一直从事着侵入中国境内电脑和通信系统进行网络攻击的工作,借此获取有关中国的有价值情报。
我国所面临的信息安全角势确实十分严峻。首先,我国信息安全的整体防护能力还十分薄弱,我国信息安全关注的重点还只是停留在网络攻防与内容合法性方面,对于因通信设备而引起的网络社会安全则一直不够重视。我国的网络通信设备关键基础设施几乎全部是购自国外的产品,这为我国的网络信息安全埋下了巨大的隐患。此外,当前我国公民信息安全的防护意识还十分淡薄,对于看不见、摸不着的网络信息安全威胁带来的严重后果缺乏足够的认识。
四、我国应完善信息安全主动防御体系的建设
保障信息安全就是保障国家安全。面对日益严重的网络威胁,我们必须下决心从根本上改变我国网络空间缺乏防护能力的局面。专家建议:我国亟须完善自主可控的国家信息安全体系建设,加强国家信息安全等级保护制度建设,强化基础网络和重要信息系统的等级化保护和监督管理,落实等级保护相关措施。同时,鼓励和扶持自主开发核心技术及产品创新,运用具有自主知识产权的产品和技术,保障国家基础网络和重要信息系统安全,实现真正的自主可控,不再受制于人,把中国的信息安全掌握在自己手中。
‘玖’ 维护网络安全需要国家完善相关法律是不是正确的
维护网络安全需要国家完善相关法律是正确的
维护网络信息安全 完善立法是管控基础
今年2月,中国网络安全和信息化领导小组的成立标志着中国已经正视了网络安全的重要性,确定了要成为网络强国的决心。
几十年来,中国在信息化方面的成绩显着,但是在网络安全领域与发达国家还有很大的距离,很大的原因是因为中国在这方面的法律存在空白,互联网领域还处于无法可依、有法不依、执法不严甚至违法不究的状态。要实现网络大国到网络强国的突破,比起迅猛发展的网络技术,尽快的制定网络安全方面的法律法规才是网络管控的好办法。下面就让信息方面的专家山丽网安和大家去看看应该怎么弥补互联网安全的法律空白以及保护网络安全的防护办法吧!
弥补法律空白 保护国家机密与公民隐私
国际正反两方面的经验表明,维护社会网络安全、保障公民信息安全,都离不开依法管控,信息技术发达国家均高度重视。美国历届政府都对网络安全管控不遗余力,一方面千方百计防止黑客对其网络系统的攻击,防止不符合美国利益的网络内容外泄,另一方面通过立法,为美国政府情报部门和执法机关获取利益攸关的网络信息提供法律依据。
1994年,美国会通过《法律执行通讯协助法案》,以保证对电话、宽带互联网等旅瞎念的实时监视。2001年“911”恐怖袭击事件发生后,美国会制定《神简爱国者[微博]法案》和《国土安全法》,修改1978年《外国情报监视法案》,允许政府特定机构运用特定信息系统,监视特定范围内的信息流动及用户活动。荷兰也立法要求所有电信公司必须安装“网络警察”监控设备,以便有效追踪实施犯罪的互联网用户。
为弥补中国互联网安全方面的法律空白,改变互联网诸多领域的混乱与不安全状态,切实维护网络安全,保障公民信息安全,需尽快为网络管控提供坚实的法律基础。目前,第十二届全国人大常委会已将制定《网络安全法》列为第三类立法计划,但现在看来应加快立法进度,同时加快制定《互联网个人信息保护法》。
在国家网络安全防护方面,应加快网络安全顶层设计,改革政出多门的管理体系,为加大投入和吸引人才奠定法律基础;进一步明确国家网络安全战略,将被动防御的应对战略,调整为攻防结合的威慑型安全战略;依法推动自主知识产权拆困网络产品的开发,有目标、有步骤地提升重点领域网络产品的国产化率。
‘拾’ 美国2015年时通过什么立法和网络信息安全有关
2015年10月27日, 美国参议院通过了2015年网络安全信息共享法案(Cybersecurity Information Sharing Act of 2015,以下简称CISA2015),其旨在"通过强化有关网络安全威胁之信息的共享改善美国的网络安全",它将对全球互联网治理与产业生态产生巨大的影响.