國際網(wǎng)絡(luò)安全法律政策年度盤點

作者：中國信息通信研究院 沈玲

2017年，各國網(wǎng)絡(luò)安全法律政策圍繞關(guān)鍵基礎(chǔ)設(shè)施、個人數(shù)據(jù)安全、網(wǎng)絡(luò)應(yīng)急響應(yīng)等核心制度展開，部分國家在以自動駕駛網(wǎng)絡(luò)安全為代表的領(lǐng)域出臺了嘗試性規(guī)定。而諸如加密和反加密、區(qū)塊鏈安全、虹膜識別、數(shù)字身份等新議題，要么因為尚處于技術(shù)（產(chǎn)業(yè)）發(fā)展初期，安全風險暫未探明，要么由于牽涉利益關(guān)系過于龐雜，截至今年年底，各國立法和監(jiān)管機構(gòu)止步于討論，無成文規(guī)則出臺。

關(guān)鍵基礎(chǔ)設(shè)施保護向縱深領(lǐng)域拓展，核心行業(yè)試點先行，范圍和清單持續(xù)擴充。

2017年關(guān)鍵基礎(chǔ)設(shè)施立法和新政重點聚焦于劃定先行試點、擴充范圍和清單、開展極端情境壓力測評三個方面。澳大利亞《電信法（修正案）》要求所有被納入國家關(guān)鍵基礎(chǔ)設(shè)施范圍內(nèi)的電信運營商按照電信安全改革框架，采取措施全面提高網(wǎng)絡(luò)安全水平。美國特朗普政府首份《網(wǎng)絡(luò)安全行政令》將電力和國防工業(yè)劃定為關(guān)鍵基礎(chǔ)設(shè)施優(yōu)先保障領(lǐng)域，要求開展先行試點，啟動風險承壓評估。受俄羅斯黑客干涉美國大選事件的影響，美國《阻止特定群體參與重大惡意網(wǎng)絡(luò)攻擊行動之總統(tǒng)行政令（修正案）》將全國選舉系統(tǒng)納入關(guān)鍵基礎(chǔ)設(shè)施范圍。

除此之外，其他核心制度問題還處于規(guī)則形成過程中，暫無結(jié)論，如外國企業(yè)（外資）能否納入本國關(guān)鍵基礎(chǔ)設(shè)施保護的范圍等。

個人數(shù)據(jù)保護呈現(xiàn)出“嚴之愈嚴，寬之愈寬”兩種走向。

一方面，以嚴苛立法著稱的歐盟在2017年進入《通用數(shù)據(jù)保護規(guī)則》（GDPR）實施前階段，各成員國都在緊鑼密鼓地將其轉(zhuǎn)化為國內(nèi)法，以確保2018年5月GDPR能夠在全歐境內(nèi)正式施行。脫歐之后的英國在數(shù)據(jù)保護嚴格程度上也向歐盟看齊，于2017年年中推出新的數(shù)據(jù)保護法提案，將更多數(shù)據(jù)權(quán)利交給公民，規(guī)定英國信息專員辦公室（ICO）有權(quán)對違法行為最高處1700萬英鎊或全球營業(yè)額4%的罰款。另一方面，受美國總統(tǒng)換屆、通信監(jiān)管機構(gòu)FCC新主席上任以及電信監(jiān)管思路變更的影響，F(xiàn)CC廢除奧巴馬時期《寬帶和其他電信用戶隱私保護規(guī)則》，此后，美國電信運營商有權(quán)查看用戶所有未加密的在線活動，自此，美國電信和寬帶用戶的隱私權(quán)讓位給企業(yè)利益。

應(yīng)急響應(yīng)思路創(chuàng)新，在承認網(wǎng)絡(luò)攻擊不可避免的基礎(chǔ)上，多條主線并行啟動。

2017年，以WannaCry蠕蟲勒索病毒為代表的全球網(wǎng)絡(luò)攻擊處于高發(fā)態(tài)勢。在突發(fā)性事件面前，各國監(jiān)測預警失效，攻防雙方實力懸殊，應(yīng)急響應(yīng)被動。對此，美國、比利時等國從兩個方向上調(diào)整了應(yīng)急思路。一是整體上創(chuàng)新，從此前的按步驟啟動應(yīng)急程序轉(zhuǎn)變?yōu)槎鄺l戰(zhàn)線同時啟動，各司其職，不分先后。美國《國家網(wǎng)絡(luò)應(yīng)急響應(yīng)計劃》（2017 NCIRP）摒棄此前的將程序切分為預防保護、偵測、分析、反應(yīng)和解決五個步驟的死板做法，重新將應(yīng)急響應(yīng)工作劃分為資產(chǎn)響應(yīng)（處理事故）、威脅響應(yīng)（定位威脅來源和追捕嫌疑分子）和情報支持三條主線，同時啟動。二是更加注重事中響應(yīng)和事后恢復。比利時新版通信應(yīng)急預案將目標從確保100%安全調(diào)整為事故發(fā)生時盡可能地限制損害范圍，要求對可能受到損害的網(wǎng)絡(luò)基礎(chǔ)設(shè)施、互聯(lián)網(wǎng)信息服務(wù)應(yīng)用等列出盤點清單。這種思路的調(diào)整，其實是承認在目前網(wǎng)絡(luò)環(huán)境之下，網(wǎng)絡(luò)攻擊不可避免，因而要求先對自身抗壓能力進行客觀評估，再圖問題出路。

美歐跨境數(shù)據(jù)流動規(guī)則在西方蔓延，與俄羅斯等主張數(shù)據(jù)本地化的國家形成對抗。

一邊，美歐為同一陣營，主張數(shù)據(jù)自由流動，以最大程度支持數(shù)字經(jīng)濟發(fā)展。2017年，《瑞士-美國隱私盾架構(gòu)協(xié)議》簽訂，作為規(guī)范瑞士向美國方向進行數(shù)據(jù)流動唯一的法律規(guī)則。從內(nèi)容上看，該協(xié)議基本仿照《美歐隱私盾協(xié)議》，美國同意限制對儲存在美國服務(wù)器中的瑞士公民數(shù)據(jù)的收集，避免對瑞士進行大型、無差別電子監(jiān)控活動。另一邊，以俄羅斯為代表的主張數(shù)據(jù)本地留存的國家嚴格執(zhí)行法律，向在俄運營的美國企業(yè)開出罰單。俄聯(lián)邦第149-FZ《關(guān)于信息、信息技術(shù)與信息保護法》規(guī)定俄羅斯公民的個人信息數(shù)據(jù)只能存儲在位于俄境內(nèi)的服務(wù)器中。2017年，美國互聯(lián)網(wǎng)巨頭領(lǐng)英擅自處理了未簽署用戶協(xié)議的第三方信息，成為全球首個因違反俄羅斯數(shù)據(jù)本地化法律的企業(yè)，被俄通信監(jiān)管機構(gòu)下令關(guān)停。

信息內(nèi)容審查趨嚴，中俄兩國被美國列為互聯(lián)網(wǎng)信息戰(zhàn)目標，美國企業(yè)開始承擔部分內(nèi)容審查職責。

2016年年底爆發(fā)的俄羅斯黑客干預美國總統(tǒng)大選事件持續(xù)發(fā)酵，也為全球網(wǎng)絡(luò)空間安全敲響新的警鐘，黑客攻擊已然從傳統(tǒng)IT系統(tǒng)、關(guān)鍵基礎(chǔ)設(shè)施等固態(tài)目標轉(zhuǎn)向那些能夠影響到一國政治進程的更高層面的戰(zhàn)略目標。美國深刻反省其一直宣揚的“全球互聯(lián)網(wǎng)自由”戰(zhàn)略，立法機構(gòu)出臺新規(guī)，企業(yè)也開始承擔審查職責。其一，《應(yīng)對外國虛假信息和政治宣傳法案》（又稱《反信息戰(zhàn)爭法案》）被全文納入《2017國防授權(quán)法案》，有效期截至2036年12月。其中，第2條第（1）款指出，法案立法目的是對中俄兩國政府意圖破壞美國（及其盟國）國家安全的虛假政治宣傳行為進行反制。法案授權(quán)劃撥2000萬美元國防資金成立專門的信息獲取基金會，為信息戰(zhàn)提供支持。其二，以Facebook為代表的互聯(lián)網(wǎng)巨頭主動調(diào)整企業(yè)內(nèi)部規(guī)則，要求政治廣告、倫理、種族等有關(guān)的內(nèi)容都要接受人工審核，并增加平臺安全成本。

特定行業(yè)網(wǎng)絡(luò)安全規(guī)則創(chuàng)新性出臺，政策著力點初步探明。

2017年，以自動駕駛為代表的特定行業(yè)安全新規(guī)在英德等汽車大國出臺，文本內(nèi)容體現(xiàn)出這些國家對于保障自動駕駛網(wǎng)絡(luò)安全的思路逐漸清晰。英國《聯(lián)網(wǎng)和自動駕駛汽車網(wǎng)絡(luò)安全核心原則》將網(wǎng)絡(luò)安全責任拓展到汽車供應(yīng)鏈上的每一方利益主體，要求將網(wǎng)絡(luò)安全貫穿汽車全生命周期，此外，設(shè)定的車輛網(wǎng)絡(luò)安全底線是即使遭到攻擊，也要保證車輛基本安全運行。德國《自動化和互聯(lián)網(wǎng)車輛交通倫理準則》對飽受爭議的自動駕駛倫理定下規(guī)矩，比如，禁止對“兩難決策”（在行駛過程中出現(xiàn)必須在人的生命之間做出犧牲一方以拯救另一方的極端情形，如一男一女，一老一幼的選擇）進行事先編程；自動化系統(tǒng)所造成的損害遵從產(chǎn)品責任原則等等。

除上述六個方面之外，值得注意的是，曾經(jīng)給美國國家安全局海外監(jiān)控項目——“棱鏡”以正式法律授權(quán)的《外國情報監(jiān)控法案（2008修正案）》第702條（SEC.702）將于2017年12月31日到期，“棱鏡”走向成謎。從立法機構(gòu)討論情況推測，未來可能有三個方向：SEC.702正式失效，“棱鏡”終止；重新授權(quán)并且不設(shè)截止期限，“棱鏡”監(jiān)控正�；�；重新授權(quán)同時設(shè)置截止期限，“棱鏡”在一定期限內(nèi)繼續(xù)進行。鑒于SEC.702與全球網(wǎng)絡(luò)安全態(tài)勢緊密相聯(lián)，與所有國家（除美國）的重要數(shù)據(jù)安全、公民隱私利益、ICT產(chǎn)業(yè)安全和未來發(fā)展息息相關(guān)，無論最終走向如何，預計2018年，全球網(wǎng)絡(luò)空間會再掀漣漪。