网络安全动态 ·

国际网络安全立法三年回顾及启示

文│ 中国信息安全测评中心 桂畅旎

法律、管理和技术是攸关互联网发展和网络空间安全的关键因素,其中法律更是堪称网络治理的终极手段,“以法治网”已成为各网络强国的普遍共识和共同践行,各国顺应本国网络生态相继推出法律法规,在近三年形成了一个可圈可点的立法高潮。站在新世纪第一个十年的历史档口,回望近年来网络安全法治建设的国际动向,掌握宏观态势,研究微观动向,评估发展动态,对完善我国网络法治建设,有效应对网络风险,推进网络空间健康发展具有现实意义。

一、宏观态势:适应网络空间发展,各国立法进入集体修订期

近三年来,以大数据、云计算、物联网等为代表的新技术新应用快速发展,倒逼各国网络空间立法推陈出新和顶层设计整合完善。

(一)颁布综合性网安基础法,实施高位阶立法保护

传统以分散的行政法规和部门规章作为主要管理依据的网络立法模式已越来越不适应网络空间快速发展的现实,从顶层设计进行改革,颁布基础性、综合性和全局性网安基础法的需求越来越大。根据德勤事务所数据显示,截至2019年底,全球已有30余个国家制定了专门的网络安全法,包括中国、印度、英国、爱尔兰、阿联酋、埃及、南非以及欧盟各国。网络安全法作为基础法,从宏观上规划网空发展方向,规范网上行为,鼓励技术创新,明确部门职责,规定惩罚举措,为细分方向的下位法奠定了基础。

(二)修订传统信息保护法,强化个人隐私保护

个人信息保护伴随互联网的产生与发展。起初,互联网技术和应用影响十分有限,传统电信立法和信息保护法足以规制,但随着网络空间与现实社会广泛融合,立法的需求与供给越来越不平衡,部分国家开始修订和整合传统网空立法,更新个人信息保护法成为首要任务。欧盟2016年推出的《通用数据保护条例》(GDPR)修订了1993年的《数据保护指令》,创造性地提出许多个人数据保护新概念,推动了全球隐私保护的变革。澳大利亚2018年修订了《1988年隐私法》,新增了强制性数据泄露通知规定;印度内阁2019年通过的《个人数据保护法案》是对2011年颁布的《隐私法案》的更新;日本内阁于2020年3月完成了《个人信息保护法》的定期修订;新西兰也相继修订1993年的《隐私法》和《2003电信信息隐私规则》。随着网络空间的拓展,修订和更新传统立法也将从个人信息保护扩散至其他方面。

(三) “东西”立法价值取向差异增大,“南北”进程不一问题显现

网络空间立法的价值取向既与各国的国情密切相关,其完善程度也体现出各国的法治能力,甚至是国力强弱。一方面,各国网络立法具有强烈的地缘特色,是本国在网络空间价值取向和利益诉求的反映。美国遵循的“少干预,重自律”的治网理念主要是源于其自由主义的传统,当然背后也存在为干预别国网空,谋求治网霸权留下豁口的意图,因此美国较少制定网络空间的根本性立法,多以国家战略、总统行政令、部门法规作为治理依据。欧盟基于其悠久的法治传统一直都是网络空间“建章立制”的急先锋,在网络安全各方面均制定了详实的法律法规,成为国际网络空间治理中的重要力量,网络安全同时也成为欧盟打造“共同体”的重要方面。俄罗斯2019年在争论中出台《主权互联网法》,明确宣示网络主权,提出必要时实施“主动断网”,则主要是基于现实国际关系中美国强力施压的“网上反应”。另一方面,发达国家与发展中国家的立法进程差距越来越大,呈现出网络空间的“南北差距”。根据联合国贸发会议的最新数据,尽管在2015年至2020年间,通过立法保护网络数据和隐私的国家数量增加了11%,但全球只有66%的国家拥有类似的法律,其中欧美洲国家的占比最高,亚洲和太平洋地区次之,非洲最低。可以看出,网络空间发展与现实世界格局息息相关,相互影响。

二、微观动向:立法重点不断丰富,网络治理走向综合

除制定网络空间的基础性立法外,各国针对主要矛盾和特定问题的专门性法规也不断出笼,重点从传统的关键信息基础设施保护、网络安全事件响应与信息共享、人才培养等,逐渐扩展到数据管理、内容与平台治理、新技术新应用监督等方面,推动建成网络空间的综合和系统性治理。近三年来各国网安法规的重点有:

(一)关键基础设施保护仍然是重中之重

作为网络空间作用于现实物理基础设施的直接载体,关键基础设施保护一直都是网络空间立法的核心部分,各国不仅在网络安全法和国家网络战略中将其作为重要部分进行论述,还相继出台专门的关键基础设施保护法。2017年5月,特朗普在其任内发布的第一份网络空间行政令,即《增强联邦政府网络与关键性基础设施网络安全》(第13800行政令)就突出强调加强关键基础设施保护将是特朗普政府治网的首要任务。三年之后,特朗普签署《通过负责任地使用定位、导航与授时服务来增强国家弹性》(第13905号行政令,又称为PNT行政令),再次通过立法来增强关键基础设施的弹性。其间,在已割裂的国会两党中还通过了《网络安全与基础设施安全局法》,成立网络安全和基础设施安全局(CISA),专门负责强化本国的关键基础设施安全防护。2018年5月生效的欧盟“网络与信息系统(NIS)指令”,致力于提高整个欧盟范围的关键基础设施相关组织的IT安全性,同时将范围扩大到各搜索引擎、在线市场以及对现代经济具有“关键性影响”的组织结构,NIS指令的出台也直接推动欧盟多个国家网络安全法的出台。2018年7月正式实施的澳大利亚《关键基础设施安全法案》则首创关键基础设施资产登记和部长指令等制度。由此可以看出,各国关键基础设施立法范围正在不断扩大,手段也在持续创新,防护能力得到长足进步。

(二)GDPR助推形成个人数据保护规制潮

2018年5月正式实施的欧盟《通用数据保护条例》(GDPR)对于全球个人数据保护具有里程碑意义,不仅直接推动欧盟各国修订国内数据保护法,同时也为许多其他国家和地区提供了个人数据保护的立法范本,埃森哲报告称“GDPR是近二十年来数据隐私规则领域发生的最重要变化”。在GDPR正式生效一个月后,美国加利福尼亚州2018年6月颁布的《消费者隐私法》(CCPA),规定了与GDPR类似的数据保护规则和数据主体义务,印度、巴西、泰国、马来西亚、越南等发展中国家则直接借鉴GDPR的核心原则来起草本国的数据保护法。日本则是根据GDPR直接修改了国内的个人信息保护法,这也是日本能够获得欧盟数据保护充分性认定的根本原因。GDPR严格的立法模式也引发了对于强监管模式限制数据流通,阻碍数据潜能释放的审视,这也是印度、越南仿效GDPR推出数据本地化立法引发较大争议的主要原因,如何平衡好数据保护与流通开放成为各国立法者思考的问题。2018 年 10 月,欧洲议会通过《非个人数据自由流动条例》,严格区分了个人数据与非个人数据,并极力鼓励非个人数据的自由流动;欧盟委员会2019年4月发布的《开放数据和公共部门信息再利用的指令》(PSI)则旨在改善公共数据可用性与创新性,推动公共部门数据相关产业的快速发展。一向更为关注数据利用的美国政府在2019年头尾分别发布了《开放政府数据法案》和《联邦数据战略与2020年行动计划》,强调“将数据作为战略资源开发”,并设立联邦政府首席数据官,致力于提升美国政府的数据利用能力。

(三)网络内容治理跃升为政治安全保障的重要方面

近年来,假新闻、深度伪造、网络干选等网上内容操纵事件开始影响到各国的政治层面,更有媒体将互联网的内容操纵比拟为“民主制度在当代面临的最大障碍”,使得欧美国家逐渐改变了对于网络内容传统的放任监管模式,相继出台法律法规进行规制。2018年的德国《网络执行法》、2019年的法国《反网上仇恨言论法》以及2020年的英国《网络有害内容白皮书》三部法律的出台直接开启了欧洲国家网络内容治理的新进程,通过明确平台义务,辅以严格的惩罚措施,推动了网络平台从“有条件的中介责任”到“完全中介责任”的转变。随着网络生态范围的扩展,网络内容治理对象也开始从虚假信息、仇恨言论、政治言论、恐怖主义信息扩展到音视频、知识产权等多重规制目标。澳大利亚政府在2019年新西兰恐怖袭击事件后公布的《刑法典修正案》,明确禁止网络服务提供商展示重大暴力内容的画面;同年欧洲理事会通过的《数字化单一市场版权指令》也要求互联网公司对上传到其网站的内容负责,网络内容的治理对象呈现出深化的趋势,且政府主导性也越来越明显,如新加坡2019年6月出台的《防止网络虚假信息和网络操纵法案》,规定政府有权要求个人、网络平台更正或撤下对公共利益造成负面影响的假新闻,甚至可以封锁传播假新闻的网站和平台。

(四)防范新技术新应用带来的新风险

人工智能、区块链、云计算、大数据等新技术发展在带来机遇的同时也存在各类安全隐患,对于这类前沿性颠覆性技术的监管正成为各国法治的重点:一是应对人工智能应用“深度伪造”。近年来,对于人工智能发展讨论集中于深度伪造(Deepfake)技术。美国参众两院近三年相继提出了《2018年恶意伪造禁令法案》、《深度伪造责任法案》、《2019年深度伪造报告法案》,并举行了系列听证会。在州层面,美国德克萨斯州、弗吉尼亚州、加州均发布了有关防范深度伪造的法律。欧盟则从提高公众意识上着力,在2019年初发布了应对Deepfake的指南,帮助公众分辨信息来源。二是监管加密数字货币。2019年6月,脸书推出加密数字货币Libra计划以打造全球资金转移平台。作为在全球拥有20亿用户量的科技巨头,脸书此举引发各国政府和立法机关的高度关注,美国国会各部门接连召开听证会,从个人隐私、数据保护和金融安全等领域评估Libra的影响;欧盟2018年通过了针对加密数字货币市场的反洗钱法规;泰国、韩国、印度等国均立法对加密数字货币实施管制,加密数字货币的监管生态正在逐渐形成。三是规范加密技术。2016年的联邦调查局(FBI)与苹果加密之争引发了各国政府如何监管强加密技术的思考,英国2016年通过的《调查权力法案》规定拥有加密数据和解密密钥的机构和个人有义务协助完成法律上规定的解密需求,开启了西方国家政府利用法律工具访问强加密技术和信息的进程。澳大利亚2018年推出《援助与准入法案》(AA法案),要求通信行业协助澳大利亚安全和执法机构监控加密通信服务;印度和巴西也正在尝试执行更为严格的解密管理条例。

(五)对科技巨头的规制和管理纳入治理视野

互联网企业既是网络空间各类数据的收集者,又是最为主要的使用者,其对数据的控制能力几乎与政府相“匹敌”,甚至有过之而无不及。近年来,科技巨头“垄断”、“数据泄露”、“假新闻”等问题层出不穷,除了前述加强平台责任外,近年来欧美国家开始大力开展针对科技企业的“反垄断”调查,欧盟委员会连续三年以“反垄断”为由针对谷歌开出巨额罚单,美国多个州联合开展针对脸书的反竞争行为调查,美国民主党议员沃伦甚至呼吁分拆互联网巨头。此外,“数字税”引发的国际贸易争端愈演愈烈。2019年7月,法国参议院批准了一项面向全球跨国互联网企业征收3%数字服务税的法规,意大利、英国、土耳其以及印度在数字税上也动作频频,但美国对此强烈不满,并诉诸于贸易手段来施压解决数字税问题。值得注意的是,科技巨头作为互联网技术和平台的主要推动者和改革者,在近年开始积极影响政府的立法决策,塑造立法重点,如在数据携带权问题上,脸书2019年9月发布的数据可携带权白皮书,对如何构建可信任和可使用的可携带工具,应当制定哪些明确的规则提出了企业的看法,推动了欧盟等国对于该议题的立法细化和改革。

三、发展动态:立法内容与大国博弈紧密相关,直接影响全球网空治理

网络空间归根到底是现实国家利益空间的延伸,网络立法也是各国实现网络空间国家利益的重要工具,因此立法内容必然反映现实国际关系的变化。当前,大国博弈日益加剧,各国网络立法政治化凸显。

(一)ICT供应链安全从技术问题演变为政治工具

ICT供应链本是全球化进程中的产业问题,但随着特朗普政府推行“逆全球化”的贸易保护主义,将ICT供应链安全作为维护其全球霸权并打压别国技术发展的政治工具,其立法也不再仅仅是技术性问题。特朗普政府先是对本国供应链管理结构进行了改革,通过2018年《安全技术法案》创建联邦采购供应链安全理事会,在2019年国防授权法案(NDAA 2019)中授予国防部长、陆海空军队负责人选择供应商的权力,此外,美国政府还将供应商选择与政策拨款相挂钩,美国联邦通信委员会(FCC) 2019年底更是直接通过了“禁止动用政府资金购买华为和中兴设备和服务的决定”。另一方面,通过立法强化对外供应链安全审查。特朗普于2019年5月签发的《确保信息通信技术与服务供应链安全》行政令,禁止交易、使用可能对美国国家安全、外交政策和经济构成特殊威胁的外国信息技术和服务,美国商务部据此发布了《<确保信息通信技术与服务供应链安全>审查规则草案》,赋予美商务部部长全方位干涉甚至禁止在美国ICTS供应链中涉及外国交易的权力,上述做法为美国向“对手国家”推行“断供”提供了法律基础。在美国带动下,欧盟各国、以色列、日本等也相继出台法律法规管理供应链,供应链立法完全变成国家间竞争的政治工具。

(二)高新技术进出口管控的针对性和排他性凸显

实施适当的进出口管制来维护本国的技术优势地位和国家安全无可厚非,但随着以5G、人工智能为代表的新兴技术成为大国竞争的核心因素,以及国际局势的日趋紧张,部分国家涉高新技术的投资审查和出口管制政策的针对性和排他性越来越明显。在投资审查方面,美国政府在2018年8月通过《外国投资风险审查现代化法案》(FIRRMA),新纳入了关键技术与关键基础设施企业的“非主动投资”与“少数股权投资”,以及涉及关键技术转让的合资行为,针对中国的意味非常明显。美国此举带动了其他国家的外商投资审查改革,2018年12月,德国通过《对外贸易和支付法案》的修定案,降低欧盟外资金对德国敏感领域企业的并购审查门槛;2019年1月,韩国出台《根除产业技术泄露对策》,规定外资收购AI、新材料等领域的韩国企业必需经过审查。2019年3月,欧盟通过了外资审查框架法案,意在限制外资对关键领域的并购,防止关键领域的技术外流。此外,澳大利亚、日本等国家也纷纷扩大外资审查范围。在出口管制方面,美国政府2018年8月通过《出口改革管制法案》(ECRA),加强对“新兴技术”和“基础技术”等关键技术的出口管制,由美商务部产业安全局负责具体实施,其部门《出口管制条例》(EAR)一直在不断地拓展,在2020年1月的最新修订中,还增加了对“地理空间图像自动分析软件”的管制。此外,美国还利用出口管制国际框架施压其他国家跟进。2020年2月,加入《瓦森纳协定》的美、日等 42国集体加强了半导体基板技术的出口管制。

(三)网络数据法规“域外效应”不断扩张

网络空间的全球性使得相关政策立法天然具有“域外效力”,而跨境数据的流动性和易复制使其法规的“域外效应”更为凸显。欧盟GDPR以效果原则作为主要判断依据,将为欧盟境内的数据主体提供商品或服务以及监控其行为的境外企业纳入了规制范围,突破了传统的属地管辖原则,扩大了GDPR的规制范围。美国2018年出台的《澄清域外合法使用数据法案》(CLOUD法案)也不再仅限于数据存储地是否在美国,而是从数据控制者提供服务角度出发,扩大了美国执法机构调取数据的范围。此外,德国《网络执行法》、欧盟“版权指令”、欧洲最高法院关于“社交平台删除非法内容法规”的裁决都具有非常明显的域外效应,扩张网络数据法规的域外效力正成为国际趋势。

四、启示

如何通过法治手段实现对网络空间的有效治理已经成为推进国家治理体系和治理能力现代化的重要一环。近年来,我国网络立法工作进展迅速,网络法治体系逐步完善,但是相应的法律资源还不能适应快速发展的网信技术和国际局势变化。借鉴国际治理经验,基于网络技术的自身规律和我国网信市场的发展,我国网络立法可从以下几方面加强工作:

(一)将本国网络治理价值观嵌入立法过程始终

网络立法不仅是政府管“网”的工具,还应反映一国对于网络空间长远发展的愿景规划和价值诉求,这也是一国法律能够获得国际社会认可和接受的重要前提。欧盟具有丰富的网络法治经验,并在各类网空立法中坚持其“以人为本”、“隐私等于人权”等立法价值观。以GDPR为例,虽然其严苛的条款让许多企业“望而生畏”,但却因为其充分融合了欧盟对于隐私权高度重视的历史传统,使其具有较高的目的正当性,在全球获得较高认可和效仿。习近平总书记在第三届世界互联网大会上提出的“网络空间命运共同体”为我国网络空间治理指明了方向,同时向全世界展示了中国的治网理念,如何围绕“网络空间命运共同体”的宗旨修订和完善我国的网络立法,使其既能维护我国公民的切身利益,同时又能为人类信息化进程贡献中国智慧,是我国立法工作者应该思考的问题。

(二)提高法律法规的有效性、衔接性以及可操作性

垂直式治理机制与扁平化网络发展存在天然的矛盾,往往容易造成“一立法即滞后”的治理困境,部分立法的“一刀切”规定则会禁锢新技术新业态的发展,激化政府与企业之间的矛盾。如何提高法律法规的有效性、衔接性以及可操作性考验着各国决策者的立法技术能力。世界网络强国在出台基础性立法后,无不是定期进行评估,不断审视和修订执行效果,颁布适用指南进行指导,如日本的个人信息保护委员会每三年进行一次法案审议,利用其固定的审查机制考量国外的最佳实践或技术变革。我国《网络安全法》颁布后,关键信息基础设施安全、网络审查、数据出境评估等方面的配套法规不断完善,但是在立法的统筹协调、执法能力的跟进以及与其他法律法规的协调上还存在不足,亟需强化立法的宏观布局能力,提高法律法规的可操作性,注重法律之间的衔接,推进执法的开展。

(三)适当增强我国网络法规的涉外效力

网络空间的互联互通决定了网络立法必然具有全球化特征,特别是一些网络犯罪的跨国境特性给单个国家的应对带来了极大的困难,亟需国际合作来解决,而法律则是合作的基础,这就需要国内立法在维护好本国主权的基础上支撑我国参与互联网国际事务,一方面,加强网络立法的国际性,既要借鉴国际通行做法,吸取别国先进经验,又要结合本国国情和诉求,打造中国特色网络空间立法范式,提升国际话语权;另一方面,针对美欧等国扩大网络法律域外效力和实施长臂管辖的作法,我国应加紧研究该趋势对我影响,从立法上加强应对,并积极通过执法合作解决域外管辖冲突。

(本文刊登于《中国信息安全》杂志2020年第6期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 [email protected]

参与评论