「法度」盤點2017年國際網路安全法律政策

【學術plus】新添加號內搜索功能！

進入公眾號→點擊功能表【智庫掃描】→【搜搜文章】

→輸入關鍵字→一鍵檢索您需要的文章。快來試試！

【兼職】神秘崗位正在向你招手，敢來麼？

【厚度】學術plus年終巨獻：2017年你不可以錯過的重磅報告們！（全文閱讀連結）

本文轉載自：中國資訊通信研究院CAICT，文：沈玲

2017年，各國網路安全法律政策圍繞關鍵基礎設施、個人資料安全、網路應急回應等核心制度展開，部分國家在以自動駕駛網路安全為代表的領域出臺了嘗試性規定。而諸如加密和反加密、區塊鏈安全、虹膜識別、數位身份等新議題，要麼因為尚處於技術（產業）發展初期，安全風險暫未探明，要麼由於牽涉利益關係過於龐雜，截至年底，各國立法和監管機構止步于討論，無成文規則出臺。國別方面，本文將關注點集中于美、歐、英、德、澳等先進發達國家，而對於其他，如盧旺達最新出臺的網路安全基本法，

因借鑒價值原因，不在關注範圍。

第一，關鍵基礎設施保護向縱深領域拓展，核心行業試點先行，範圍和清單持續擴充。

2017年關鍵基礎設施立法和新政重點聚焦于劃定先行試點、擴充範圍和清單、開展極端情境壓力測評三個方面。

澳大利亞《電信法（修正案）》要求所有被納入國家關鍵基礎設施範圍內的電信運營商按照電信安全改革框架，採取措施全面提高網路安全水準。美國特朗普政府首份《網路安全行政令》將電力和國防工業劃定為關鍵基礎設施優先保障領域，要求開展先行試點，啟動風險承壓評估。受俄羅斯駭客干涉美國大選事件的影響，美國《阻止特定群體參與重大惡意網路攻擊行動之總統行政令（修正案）》將全國選舉系統納入關鍵基礎設施範圍。

除以上，其他核心制度問題還處於規則形成過程中，暫無結論，如，外國企業（外資）能否納入本國關鍵基礎設施保護的範圍等。

第二，個人資料保護呈現出“嚴之愈嚴，寬之愈寬”兩種走向。

一方面，以嚴苛立法著稱的歐盟在2017年進入《通用資料保護規則》（GDPR）實施前階段，各成員國都在緊鑼密鼓地將其轉化為國內法，以確保2018年5月GDPR能夠在全歐境內正式施行。脫歐之後的英國在資料保護嚴格程度上也向歐盟看齊，於2017年年中推出新的資料保護法提案，將更多資料權利交給公民，規定英國資訊專員辦公室（ICO）有權對違法行為最高處1700萬英鎊或全球營業額4%的罰款。

另一方面，受美國總統換屆、通信監管機構FCC新主席上任以及電信監管思路變更的影響，

FCC廢除奧巴馬時期《寬頻和其他電信使用者隱私保護規則》，此後，美國電信運營商有權查看用戶所有未加密的線上活動，自此，美國電信和寬頻用戶的隱私權讓位給企業利益。

第三，應急回應思路創新，在承認網路攻擊不可避免的基礎上，多條主線並行啟動。

2017年，以WannaCry蠕蟲勒索病毒為代表的全球網路攻擊任處於高發態勢，突發性事件面前，各國監測預警失效，攻防雙方實力懸殊，應急回應被動。對此，美國、比利時等國從兩個方向上調整了應急思路。

其一，整體上創新，從此前的按步驟啟動應急程式轉變為多條戰線同時啟動，各司其職，不分先後。美國《國家網路應急回應計畫》（2017 NCIRP）摒棄此前的將程式切分為預防保護、偵測、分析、反應和解決五個步驟的死板做法，

重新將應急回應工作劃分為資產回應（處理事故）、威脅回應（定位威脅來源和追捕嫌疑分子）和情報支持三條主線，同時啟動。

二是更加注重事中回應和事後恢復。比利時新版通信應急預案將目標從確保100%安全調整為事故發生時盡可能地限制損害範圍，要求對可能受到損害的網路基礎設施、互聯網資訊服務應用等列出盤點清單。這種思路的調整，其實是承認在目前網路環境之下，網路攻擊不可避免，因而要求先對自身抗壓能力進行客觀評估，再尋求問題出路。

第四，美歐跨境資料流程動規則在西方蔓延，與俄羅斯等主張資料當地語系化的國家形成對抗。

一邊，美歐為同一陣營，主張資料自由流動，以最大程度支援數字經濟發展。2017年，《瑞士-美國隱私盾架構協定》簽訂，作為規範瑞士向美國方向進行資料流程動唯一的法律規則，內容上看，該協定基本仿照《美歐隱私盾協議》，美國同意限制對儲存在美國伺服器中的瑞士公民資料的收集，避免對瑞士進行大型、無差別電子監控活動。

另一邊，以俄羅斯為代表的主張資料本地留存的國家嚴格執行法律，向在俄運營的美國企業開出罰單。俄聯邦第149-FZ《關於資訊、資訊技術與資訊保護法》規定俄羅斯公民的個人資訊資料只能存儲在位於俄境內的伺服器中。2017年，美國互聯網巨頭領英擅自處理了未簽署使用者協定的協力廠商資訊，成為全球首個因違反俄羅斯資料當地語系化法律的企業，被俄通訊監管機構下令關停。

第五，資訊內容審查趨嚴，中俄兩國被美國列為互聯網資訊戰目標，美國企業開始承擔部分內容審查職責。

2016年年底爆發的俄羅斯駭客干預美國總統大選事件持續發酵，也為全球網路空間安全敲響新的警鐘，駭客攻擊已然從傳統IT系統、關鍵基礎設施等固態目標轉向那些能夠影響到一國政治進程的更高層面的戰略目標。美國深刻反省其一直宣揚的“全球互聯網自由”戰略，立法機構出臺新規，企業也開始承擔審查職責。

其一，《應對外國虛假資訊和政治宣傳法案》（又稱《反資訊戰爭法案》）被全文納入《2017國防授權法案》，有效期截至2036年12月，其中，第2條第（1）款指出，法案立法目的是對中俄兩國政府意圖破壞美國（及其盟國）國家安全的虛假政治宣傳行為進行反制。法案授權劃撥2000萬美元國防資金成立專門的資訊獲取基金會，為資訊戰提供支援。

其二，以Facebook為代表的互聯網巨頭主動調整企業內部規則，要求政治廣告、倫理、種族等有關的內容都要接受人工審核，並增加平臺安全成本。

第六，特定行業網路安全規則創新性出臺，政策著力點初步探明。

2017年，以自動駕駛為代表的特定行業安全新規在英德等汽車大國出臺，文本內容體現出這些國家對於保障自動駕駛網路安全的思路逐漸清晰。

英國《聯網和自動駕駛汽車網路安全核心原則》將網路安全責任拓展到汽車供應鏈上的每一方利益主體，要求將網路安全貫穿汽車全生命週期。此外，設定的車輛網路安全底線是即使遭到攻擊，也要保證車輛基本安全運行。德國《自動化和互聯網車輛交通倫理準則》對飽受爭議的自動駕駛倫理定下規矩，比如，禁止對“兩難決策”（在行駛過程中出現必須在人的生命之間做出犧牲一方以拯救另一方的極端情形，如一男一女，一老一幼的選擇）進行事先程式設計；自動化系統所造成的損害遵從產品責任原則等。

除上述六個方面之外，值得注意的是，曾經給美國國家安全局海外監控項目——“棱鏡”以正式法律授權的《外國情報監控法案（2008修正案）》第702條（SEC.702）將於2017年12月31日到期，“棱鏡”走向成謎。從立法機構討論情況推測，未來可能有三個方向：SEC.702正式失效，“棱鏡”終止；重新授權並且不設截止期限，“棱鏡”監控正常化；重新授權同時設置截至期限，“棱鏡”在一定期限內繼續進行。鑒於SEC.702與全球網路安全態勢緊密相聯，與所有國家（除美國）的重要資料安全、公民隱私利益、ICT產業安全和未來發展息息相關，勿論最終走向，預計2018的新年之交，全球網路空間會再掀漣漪。

歡迎大家評論

聲明：版權歸原作者所有。文章觀點不代表本機構立場。

《中國電子科學研究院學報》歡迎各位專家、學者賜稿！投稿連結 http://kjpl.cbpt.cnki.net

學報電話：010-68893411

學報郵箱：dkyxuebao@vip.126.com