2013年6月,一个叫爱德华·斯诺登的美国互联网工程师,因为泄露美国监控互联网信息的“棱镜计划”而撩动了全球民众的神经。在这个信息时代,大数据的利用让每个人都深陷其中,“老大哥”不仅在看着你(“当心,老大哥在看着你”出自描写政府对个体公民的侵害而闻名的小说《1984》),更有可能将你的秘密公之于众。斯诺登的去向不亚于当年本·拉登、萨达姆受到的世界性关注,尤其是美国政府,紧绷的神经不敢有丝毫放松。由此被认为为美国情报机构提供信息的微软、雅虎、谷歌等9家公司急于撇清干系,与此有可能被监控的38个国家更陷入各种焦虑之中。
网络信息入侵已经暴露在众目睽睽之下,信息安全再度成为全球关注焦点。信息主权的掌控、信息资源的争夺等问题,已成为当今国家安全领域面临的重大挑战,世界各国打响信息安全保卫战。世界上已有50多个国家和地区颁布了保护信息安全的法律,他们在维护信息安全、净化网络环境、保护信息消费者合法权益等方面重拳出击,经验值得借鉴。
美国建成网络霸权地位
美国历来将信息安全看做维护国家安全的重要环节,是世界上第一个引入信息战概念的国家,也是信息安全法律规范体系建设较系统的国家。美国信息安全法制建设可追溯到1946年《原子能法》和《1947年国家安全法》两部法律的出台,自1978年以来,美国国会及政府各部门先后通过了130余项相关法律法规。
“9·11”事件之后,美国信息安全战略不断升级,美国加快了网络安全战略方面的建设。布什政府期间,美国把信息安全战略置于国家总体安全战略的核心地位。2001年,美国发布《信息时代的关键基础设施保护》,将“总统关键基础设施保护办公室”作为联邦基础设施安全保护的最高管理协调机构。此外,布什政府还设置直接向总统负责的总统国家安全顾问,设立国土安全部,将网络安全纳入其国土安全计划。
10多年来,美国先后制定了《美国爱国者法案》、《网络空间国际战略》、《网络空间可信身份标识国家战略》、《网络空间安全国家战略》、《网络情报共享与保护法》等法律,并组建了网络战司令部等机构。在这些法案中,值得警惕的是,根据《美国爱国者法案》,警察机关有权搜索电话、电子邮件通讯、医疗、财务和其他种类的记录,以此减少对美国本土情报单位的限制。在此法案下,“八大金刚”(思科、IBM、Google、高通、Intel、苹果、Oracle、微软)或主动或被动地开始向美当局提供信息。谷歌就公开承认,需要把欧洲资料中心的信息交给美国情报机构。
美国还组建了世界上首个黑客组织——国际互联网名称和编号分配公司,成为网络世界真正的主宰力量。长期以来,美国在联网政策上一直推行对内坚持“严格管制”,对外要求“信息自由”的双重标准。目前,美国正在采取措施改变主要依赖于企业应对信息网络威胁的防护模式,转由军队来直接保障信息网络安全。
美国军队是其网络军备竞赛的急先锋。美国正在大力研究网络战理论,组建网络战机构和部队,研制网络战武器装备,进行网络战练演。美军已将网络战作为信息战的基本样式之一,写入其作战条令。迄今为止,美国防部和各军种都成立了网络战机构和部队。据了解,近年来美军网络战部队不断壮大,目前数量已经超过10万大军,研制出超过2000种网络战病毒武器,一支规模如此庞大的网络战部队,一旦集中发动攻击,任何国家和机构都将难以承受。
无论是立法还是军备战略,美国的信息安全网都已经是世界最高水平的代表。近期频发的网络安全事件中,无论是入侵别国网络信息系统还是时不时“贼喊捉贼”,其网络独霸地位都已然难以撼动。
欧洲各国合作保障升级
欧盟成立以后,在欧洲各个领域发挥了重要作用,尤其是在保障信息安全方面,欧盟通过颁布决议、指令、建议、条例等构建了具有鲜明区域特色、体系完整的法律框架。
欧洲如今在保护个人信息方面成效显著,与欧盟采用严格的法律法规来加强信息保护不无关系。欧盟信息安全立法起源于1992年,《信息安全框架决议》开启了欧盟信息安全立法的新篇章。该决议的目标在于给一般用户、行政管理部门和工商业界存储电子信息提供有效的切实的安全保护,使之不危及公众的利益。1995年欧盟通过《欧盟个人数据保护指令》,协调各国国内法律以确保个人信息在欧盟范围内自由流动。
各欧盟国家也分别制定国内的相关法律,保护信息安全。德国于1976年颁布《联邦资料保护法》,目前虽然没有统一的互联网管理规定,但相关法律,如普遍性法律条款、《媒体服务国家协议》、《广播电台国家协议》和《通讯媒体法》等均适用于互联网领域。特别是《信息和通讯服务规范法》明确了互联网内容传播过程中各个环节、相关机构的责任和义务。英国也重视依法监督管理网络信息,既有明确赋予相关机构监听权力的《规范调查权法案》,也有打击互联网犯罪的《防止滥用电脑法》,还有保护个人隐私的《数据保护权法》和《隐私和电子通信条例》。法国早在1978年通过了《信息、档案与自由法》。该法第一条规定,信息应服务于公民,信息技术发展不应侵犯身份信息、个人权利、隐私、公共和私人自由。2000年后,法国又相继颁布施行了《数字经济信息法》、《互联网创作保护与传播法》以及《互联网知识产权刑事保护法》等,不断细化信息安全保护方面的法律条款。
除了法律手段,在政府支持下,法国邮政局、主要电信运营商和法国银行联合会都已陆续将个人电子签名系统纳入各自的服务体系中。据了解,法国每个网民平均拥有12个不同电子账户,而这些信息正是不法分子的重要目标。因此,新的个人电子签名计划预计将有效提升个人信息安全。
近年来,在经历几次大的数据泄露事件后,欧盟对信息安全的关注不断升级。2007年,英国皇家税务及海关总署寄出的两张数据光盘丢失,上面有2500万人的姓名、住址及相关银行账户等信息,涉及人口将近英国总人口的一半。2008年10月,1700万名德国电信用户的个人数据遭泄露。于是,欧盟将信息安全列入了“欧洲数字化议程”,作为发展数字经济的重要保障。自2010年“欧洲数字化议程”实施以来,欧盟在制定实施信息安全宏观政策、加强对网络数据和隐私的保护、加强对信息基础设施的安全保障、打击网络犯罪和加强有关宣传工作等有关信息安全工作方面,都取得了积极进展。
尽管欧洲的每个国家都有专门保护本国网络安全的机构,但是各国之间的合作甚少,这也导致保护公民、起诉网络犯罪者的难度加大。基于此,欧洲一些安全企业在2013年5月成立了欧洲网络安全组织。该组织成员结合各企业的一线经验,向政府、企业以及监管者提供更为有效和实用的建议,内容涵盖网络防御政策、防范和缓解风险实践以及跨境信息共享。
日本尤其注重保障个人信息安全
作为世界科技强国,日本在信息保护方面是一个法律和民众意识都比较健全的国家。
尽管日本政府于2000年7月设立“IT战略本部”,并制定了“IT基本战略”,通过了“IT基本法”;2001年又先后制定了“电子日本”(e-Japan)战略和重点计划。然而,在信息化建设飞速发展的同时,日本面临的信息安全问题也接踵而来。2004年,雅虎公司一个外包员工偷盗了450万份个人信息,为此事件雅虎一共损失了100亿日元。2006年2月,日本海上自卫队“朝雪”号驱逐舰机密情报泄露,被称为“日本防卫史上最大泄密灾难,其数量之大、细节之全、密级之高史无前例”。2009年11月,美国生命保险日本分公司个人信息泄露累计32359件。同时,日本还不断受到境外黑客发起的网络攻击,日本警察厅、防卫厅和外务省等部门网站以及一些被认为支持右翼势力公司的网站都遭受过不同程度的网络攻击,针对靖国神社网站的网络攻击更是达到了每秒1.5万次。
在信息不再安全的背景下,2005年4月《个人信息保护法》开始生效,这是日本保护个人信息安全的根本法律。日本信息安全政策会议于2009年2月制定了《第二份信息安全基本计划》,2010年5月又通过了《日本保护国民信息安全战略》,旨在保护日本民众日常生活正常运转不可或缺的关键基础设施的安全,降低民众在使用信息技术时所面临的风险。
日本政府还组建了多个信息安全机构,具体负责信息安全工作,如经济产业省的“信息安全对策办公室”、IT战略本部的“信息安全对策推进会”、信息处理振兴协会的“信息技术安全中心”等。日本防卫厅已经组建了一支由陆海空自卫队计算机专家组成的5000人左右的网络战部队,专门从事网络系统的攻防作战。此外,日本还积极号召民间机构和社会团体也加入到保护网络安全的行动中来。
日本企业在管理客户信息方面也非常严格。从公司发出的邮件,公司管理人员和监管部门都严格审阅,公司的手提电脑一般不允许带出公司。据了解,一旦存有客户信息的电脑丢失,媒体就会争相报道,给公司带来极其恶劣的影响。
国际合作应对共同挑战
信息技术的扩散与普及,全球早已从“地球村”的概念进入到一个近似没有边界的信息空间中。当面对来自同一个或几个威胁时,分散的个体更需要形成一个共同面对风险与挑战的安全共同体。
中共中央政治局委员、中央政法委书记孟建柱在俄罗斯符拉迪沃斯托克出席第四届安全事务高级代表国际会议时就指出,维护网络和信息安全是各国维护国家安全的重要内容,面对网络信息安全威胁和挑战,各国必须加强合作,共同承担网络安全责任,从世界各国共同利益的角度,加强合作,国际社会要积极合作打击各种网络犯罪,加快制订信息安全国际行为准则,坚决反对网络冲突。
美国国土安全部部长珍妮·纳波利塔诺也表示,信息安全犯罪的技术复杂度正在快速上升,并超过了全球各国的应对能力,“大部分国家甚至缺乏能对网络进行监管的法律框架。这是一个全新的现象,而各国和国际法律系统的发展没有赶上技术发展的步伐。这就是事实,我们需要加速在这方面的应对。”她呼吁,全球各国应当加强合作,应对信息安全威胁。
其实,一些国家和合作组织已经就信息安全展开合作。经济合作与发展组织理事会颁布了《关于保护隐私和个人数据国际流通的指南》,亚太经合组织建立了地区隐私保护标准,欧盟有《关于在个人数据处理过程中保护当事人及此类数据自由流通的指令》。
可以预见,基于自愿基础上的有效合作,正日趋成为应对信息安全挑战的更有效解决措施。
