2017年,各国网络安全法律政策围绕关键基础设施、个人数据安全、网络应急响应等核心制度展开,部分国家在以自动驾驶网络安全为代表的领域出台了尝试性规定。而诸如加密和反加密、区块链安全、虹膜识别、数字身份等新议题,要么因为尚处于技术(产业)发展初期,安全风险暂未探明,要么由于牵涉利益关系过于庞杂,截至年底,各国立法和监管机构止步于讨论,无成文规则出台。国别方面,本文将关注点集中于美、欧、英、德、澳等先进发达国家,而对于其他,如卢旺达最新出台的网络安全基本法,因借鉴价值原因,不在关注范围。
第一,关键基础设施保护向纵深领域拓展,核心行业试点先行,范围和清单持续扩充。
2017年关键基础设施立法和新政重点聚焦于划定先行试点、扩充范围和清单、开展极端情境压力测评三个方面。
澳大利亚《电信法(修正案)》要求所有被纳入国家关键基础设施范围内的电信运营商按照电信安全改革框架,采取措施全面提高网络安全水平。美国特朗普政府首份《网络安全行政令》将电力和国防工业划定为关键基础设施优先保障领域,要求开展先行试点,启动风险承压评估。受俄罗斯黑客干涉美国大选事件的影响,美国《阻止特定群体参与重大恶意网络攻击行动之总统行政令(修正案)》将全国选举系统纳入关键基础设施范围。
除以上,其他核心制度问题还处于规则形成过程中,暂无结论,如,外国企业(外资)能否纳入本国关键基础设施保护的范围等。
第二,个人数据保护呈现出“严之愈严,宽之愈宽”两种走向。
一方面,以严苛立法著称的欧盟在2017年进入《通用数据保护规则》(GDPR)实施前阶段,各成员国都在紧锣密鼓地将其转化为国内法,以确保2018年5月GDPR能够在全欧境内正式施行。脱欧之后的英国在数据保护严格程度上也向欧盟看齐,于2017年年中推出新的数据保护法提案,将更多数据权利交给公民,规定英国信息专员办公室(ICO)有权对违法行为最高处1700万英镑或全球营业额4%的罚款。
另一方面,受美国总统换届、通信监管机构FCC新主席上任以及电信监管思路变更的影响,FCC废除奥巴马时期《宽带和其他电信用户隐私保护规则》,此后,美国电信运营商有权查看用户所有未加密的在线活动,自此,美国电信和宽带用户的隐私权让位给企业利益。
第三,应急响应思路创新,在承认网络攻击不可避免的基础上,多条主线并行启动。
2017年,以WannaCry蠕虫勒索病毒为代表的全球网络攻击任处于高发态势,突发性事件面前,各国监测预警失效,攻防双方实力悬殊,应急响应被动。对此,美国、比利时等国从两个方向上调整了应急思路。
其一,整体上创新,从此前的按步骤启动应急程序转变为多条战线同时启动,各司其职,不分先后。美国《国家网络应急响应计划》(2017 NCIRP)摒弃此前的将程序切分为预防保护、侦测、分析、反应和解决五个步骤的死板做法,重新将应急响应工作划分为资产响应(处理事故)、威胁响应(定位威胁来源和追捕嫌疑分子)和情报支持三条主线,同时启动。
二是更加注重事中响应和事后恢复。比利时新版通信应急预案将目标从确保100%安全调整为事故发生时尽可能地限制损害范围,要求对可能受到损害的网络基础设施、互联网信息服务应用等列出盘点清单。这种思路的调整,其实是承认在目前网络环境之下,网络攻击不可避免,因而要求先对自身抗压能力进行客观评估,再寻求问题出路。
第四,美欧跨境数据流动规则在西方蔓延,与俄罗斯等主张数据本地化的国家形成对抗。
一边,美欧为同一阵营,主张数据自由流动,以最大程度支持数字经济发展。2017年,《瑞士-美国隐私盾架构协议》签订,作为规范瑞士向美国方向进行数据流动唯一的法律规则,内容上看,该协议基本仿照《美欧隐私盾协议》,美国同意限制对储存在美国服务器中的瑞士公民数据的收集,避免对瑞士进行大型、无差别电子监控活动。
另一边,以俄罗斯为代表的主张数据本地留存的国家严格执行法律,向在俄运营的美国企业开出罚单。俄联邦第149-FZ《关于信息、信息技术与信息保护法》规定俄罗斯公民的个人信息数据只能存储在位于俄境内的服务器中。2017年,美国互联网巨头领英擅自处理了未签署用户协议的第三方信息,成为全球首个因违反俄罗斯数据本地化法律的企业,被俄通讯监管机构下令关停。
第五,信息内容审查趋严,中俄两国被美国列为互联网信息战目标,美国企业开始承担部分内容审查职责。
2016年年底爆发的俄罗斯黑客干预美国总统大选事件持续发酵,也为全球网络空间安全敲响新的警钟,黑客攻击已然从传统IT系统、关键基础设施等固态目标转向那些能够影响到一国政治进程的更高层面的战略目标。美国深刻反省其一直宣扬的“全球互联网自由”战略,立法机构出台新规,企业也开始承担审查职责。
其一,《应对外国虚假信息和政治宣传法案》(又称《反信息战争法案》)被全文纳入《2017国防授权法案》,有效期截至2036年12月,其中,第2条第(1)款指出,法案立法目的是对中俄两国政府意图破坏美国(及其盟国)国家安全的虚假政治宣传行为进行反制。法案授权划拨2000万美元国防资金成立专门的信息获取基金会,为信息战提供支持。
其二,以Facebook为代表的互联网巨头主动调整企业内部规则,要求政治广告、伦理、种族等有关的内容都要接受人工审核,并增加平台安全成本。
第六,特定行业网络安全规则创新性出台,政策着力点初步探明。
2017年,以自动驾驶为代表的特定行业安全新规在英德等汽车大国出台,文本内容体现出这些国家对于保障自动驾驶网络安全的思路逐渐清晰。
英国《联网和自动驾驶汽车网络安全核心原则》将网络安全责任拓展到汽车供应链上的每一方利益主体,要求将网络安全贯穿汽车全生命周期。此外,设定的车辆网络安全底线是即使遭到攻击,也要保证车辆基本安全运行。德国《自动化和互联网车辆交通伦理准则》对饱受争议的自动驾驶伦理定下规矩,比如,禁止对“两难决策”(在行驶过程中出现必须在人的生命之间做出牺牲一方以拯救另一方的极端情形,如一男一女,一老一幼的选择)进行事先编程;自动化系统所造成的损害遵从产品责任原则等。
除上述六个方面之外,值得注意的是,曾经给美国国家安全局海外监控项目——“棱镜”以正式法律授权的《外国情报监控法案(2008修正案)》第702条(SEC.702)将于2017年12月31日到期,“棱镜”走向成谜。从立法机构讨论情况推测,未来可能有三个方向:SEC.702正式失效,“棱镜”终止;重新授权并且不设截止期限,“棱镜”监控正常化;重新授权同时设置截至期限,“棱镜”在一定期限内继续进行。鉴于SEC.702与全球网络安全态势紧密相联,与所有国家(除美国)的重要数据安全、公民隐私利益、ICT产业安全和未来发展息息相关,勿论最终走向,预计2018的新年之交,全球网络空间会再掀涟漪。
