我國網絡安全立法再一次邁出了實質性步伐。
繼今年6月第十二屆全國人大常委會第十五次會議初審了《中華人民共和國網絡安全法(草案)》后,7月6日,中國人大網將《中華人民共和國網絡安全法(草案)》全文公布,向社會公開征求意見。這意味著我國網絡空間將進入“法治時代”。
然而,法律的成熟并不是一蹴而就的。放眼全球,各國在對互聯網進行必要的管理和控制方面已達成共識。據統計,目前,世界上已有90多個國家制定了專門的法律保護網絡安全。在我國網絡安全法正式出臺之前,不妨借鑒一下全球各國在網絡立法方面的經驗。
美國:社會安全層面備受關注
美國互聯網監管體系主要包括立法、司法和行政三大領域和聯邦與州兩個層次;涉及面較為全面,既有針對互聯網的宏觀整體規范,也有微觀的具體規定,其中包括行業進入規則、電話通信規則、數據保護規則、消費者保護規則、版權保護規則、誹謗和色情作品抑制規則、反欺詐與誤傳法規等方面,這些法規多達130多部。
2001年,美國通過了《2001年愛國者法案》,該法第215條允許美國國安局收集反恐調查涉及的包括民眾在內的任何電話通信和數據記錄以保護“國家安全”。2002年,通過了《2002年國土安全法》第225條“網絡安全加強法”,該法旨在擴大警方監視互聯網的職權,以及從互聯網服務提供商處調查用戶數據資料的權力,從而保護“國家安全”。2002年,美國通過《2002年聯邦信息安全管理法》,該法的目的是全面保護美國政府機構信息系統的信息安全。
近些年,美國開始關注“社會安全層面”的網絡安全立法。如2010年,美國審議了《2010年網絡安全法案》,該法案是為了確保美國國內及其與國際貿易伙伴通過安全網絡交流進行自由貿易,對網絡安全的人才發展、計劃和職權、網絡安全知識培養、公私合作等進行了規定。同年,美國還審議了《2010年網絡安全加強法案》,該法案的目的是為了加強網絡安全的研究與發展,推進網絡安全技術標準制定。
歐盟:立法、戰略、實踐相互交融
歐盟在網絡安全體系建設方面成效顯著。歐盟網絡安全體系主要包含三大部分,一是立法,二是戰略,三是實踐。
2012年3月28日,歐盟委員會發布歐洲網絡安全策略報告,確立了部分具體目標,如促進公私部門合作和早期預警,刺激網絡、服務和產品安全性的改善,促進全球響應、加強國際合作等,旨在為全體歐洲公民、企業和公共機構營造一個安全的、有保障的和彈性的網絡環境。2012年5月,歐洲網絡與信息安全局發布《國家網絡安全策略——為加強網絡空間安全的國家努力設定線路》,提出了歐盟成員國國家網絡安全戰略應該包含的內容和要素。2013年2月7日,歐盟委員會和歐盟外交安全事務高級代表宣布歐盟的網絡安全戰略,對當前面臨的網絡安全挑戰進行評估,確立了網絡安全指導原則,明確了各利益相關方的權利和責任,確定了未來優先戰略任務和行動方案。
2013年1月,歐盟委員會在荷蘭首都海牙正式成立歐洲網絡犯罪中心,以應對歐洲日益增加的網絡犯罪案件。網絡犯罪中心連通所有歐盟警務部門的網絡,整合歐盟各國的資源和信息,支持犯罪調查,從而在歐盟層面找到解決方案,維護一個自由、開放和安全的互聯網,保護歐洲民眾和企業不受網絡犯罪的威脅。2013年4月,歐洲部分私人網絡安全公司聯合成立了歐洲網絡安全小組,通過聯合600多名網絡安全專家針對問題作出快速有效的反應,建立伙伴關系。同時利用“一線經驗”優勢,在網絡防御政策、風險預防、緩和實踐、跨境信息共享等問題上向政府、企業和監管機構提供更有效和實用的建議。
英國:法律的側重點因勢而變
英國早期的互聯網立法,側重保護關鍵性信息基礎設施,隨著網絡的不斷發展,英國在加強信息基礎設施保護的同時,也強調網絡信息的安全,加強對網絡犯罪的打擊。
2000年,英國制定了《通信監控權法》,規定在法定程序條件下,為維護公眾的通信自由和安全以及國家利益,可以動用皇家警察和網絡警察。該法規定了對網上信息的監控。“為國家安全或為保護英國的經濟利益”等目的,可截收某些信息,或強制性公開某些信息。2001年實施的《調查權管理法》,要求所有的網絡服務商均要通過政府技術協助中心發送數據。2014年7月,英國政府召開特別內閣會議,通過了《緊急通信與互聯網數據保留法案》,該法案允許警察和安全部門在某些特定情況下獲得電信及互聯網公司用戶數據,旨在進一步打擊犯罪與恐怖主義活動。
同時,隨著英國對于整個網絡空間安全所受到的危險的認識程度提高,英國政府全面推行網絡安全戰略,加強行業自律。2009年,英國成立“網絡安全與信息保障辦公室”,支持內閣部長和國家安全委員會來確定與網絡空間安全相關的問題的優先權,聯合為政府網絡安全項目提供戰略指引。
2011年11月,英國公布新的《網絡安全戰略》,表示將建立更加可信和適應性更強的數字環境,以實現經濟繁榮,保護國家安全及公眾生活;并將加強政府與私有部門的合作,共同創造安全的網絡環境和良好的商業環境。2014年,英國情報機構政府通訊總部授權六所英國大學提供訓練未來網絡安全專家的碩士文憑,這一特殊學位是英國2011年公布的“網絡安全戰略”的一部分。2015年,英國還按照國家網絡安全計劃推出“網絡安全學徒計劃”,鼓勵年輕人加入網絡安全事業。
新加坡:內容管制和信息保護不可偏廢
新加坡的網絡安全立法主要涉及網絡內容安全、垃圾郵件管控和個人信息保護等方面。主要立法包括:《國內安全法》、《個人信息保護法》、《垃圾郵件控制法》、《網絡行為法》、《廣播法》、《互聯網操作規則》等。
《國內安全法》是新加坡國家安全的基礎性法規,其在管理網絡安全方面規定了禁止性文件與禁止性出版物;互聯網服務提供商的報告義務;以及為了維護國家安全,國家機關擁有的調查權與執法權。《網絡行為法》同樣也明確規定了對網絡內容進行管制的條款。此外,《廣播法》與《互聯網操作規則》則較為具體地規定了網站禁止發布的內容,如規定互聯網禁止出現危及公共安全和國家防務的內容等,同時明確網絡服務提供商與網絡內容提供商在網絡內容傳播方面負有無可推卸的責任,包括其負有的審查義務、報告義務和協助執法的義務。《互聯網操作規則》明確規定互聯網服務提供者和內容提供商應承擔自審義務,配合政府的要求對網絡內容自行審查,發現違法信息應及時舉報,且有義務協助政府屏蔽或刪除非法內容。
保護個人信息及隱私最早體現在新加坡政府與互聯網服務商共同制定的《行業內容操作守則》中,其規定互聯網服務必須尊重用戶的個人資料。2012年10月,新加坡國會通過《個人信息保護法案》,該法案的制定目的在于保護個人信息不被盜用,或濫用于市場營銷等方面。法案規定,機構或個人在收集、使用或披露個人資料時必須征得同意,必須為個人提供可以接觸或修改其信息的渠道。手機軟件等應用服務平臺也屬于該法案的管控范圍,法案規定禁止向個人發送市場推廣類短信,用網絡發送信息的軟件也同樣受到該法案的管制。
國外網絡安全立法對我國的啟示
通過立法保障網絡安全已成為全球各國的共識,分析來看,我國網絡安全立法可借鑒國外在網絡安全方面的立法、戰略和實踐三方面的做法。
首先,網絡安全法應當立足全球視野,全面覆蓋“國際法層面”“國家安全層面”“社會安全層面”和“企業個人安全層面”的網絡安全內容。其次,在戰略層面應不斷適應新形勢,出臺國家戰略維護網絡安全。這部分可借鑒歐盟的做法,成立網絡安全保障機構,為政府網絡安全項目提供戰略指引,以此來增進國家對于網絡空間和信息安全的保障。最后,在實踐上,應加強公私部門合作,加大網絡安全保障力度。可借鑒英國、歐盟等的做法。一是成立網絡犯罪中心,科學合理地劃分各個部門的職責;建立情報事務處理部門,負責網絡安全威脅信息的搜集與研判;建立網絡安全國際合作部門,負責加強國際網絡安全合作。二是加強公私部門之間的聯動機制,發揮公私部門的優勢。引導私營部門成立網絡安全小組或協會,加強業內之間、業內與政府之間的網絡安全威脅信息共享與溝通,提升應對網絡威脅和攻擊的能力;同時可加強產學研和政企合作,通過企業與高校合作、政府與企業合作、政府與高校合作等多方機制,培養高學歷、高水平的網絡安全人才。
京公網安備 11010502049343號