近幾年，隨著網絡技術的不斷發展，云計算、大數據等新業務的廣泛運用，以及突發事件（例如2013年“棱鏡”事件）的影響，各國網絡安全領域的立法呈現集中爆發之勢。內容上，除了傳統的繼續對提高網絡安全技術水平、抬高安全標準、加強安全教育等常規選項進行法律修訂之外，還對網絡監控和反恐、關鍵信息基礎設施保護、數據留存等相關議題進行專題立法，整體上呈現出“攻防并舉”的立法思路。法律文本上，大多數以解決為某一專門內容為出發點，例如關鍵基礎設施保護、網絡監控、數據留存等，而綜合性的網絡安全基本法成功出臺的較少，只有日本和美國。整體趨勢上，網絡安全立法的邊界逐步擴大，從傳統的集中于提高網絡安全技術水平、信息系統安全、標準、組織機構等內容，逐步開始與其他法律相互融合，例如數據留存，其實與網絡安全立法和個人隱私保護立法都相關；網絡監控，則與國家安全、反恐等密切相關。從各國近幾年的立法趨勢來看，網絡安全立法未來還將與更多的議題相互連接，呈現出綜合性、全方位擴展的態勢。

以下以美、歐、日、澳、英、印等國為標的，依次對近幾年國際網絡安全立法的重點（例如網絡監控和反恐、關鍵信息基礎設施保護、數據留存）走向進行概述，以呈現出國際網絡安全立法的大趨勢。

（一）網絡安全基礎性法律

趨勢一：網絡安全基礎性法律在覆蓋范圍上有所擴展，除傳統的加強網絡安全技術研究等內容之外，還將中長期安全發展戰略、人才選拔和培養、拓展國際盟友等內容都納入其中。

2014年11月，美國出臺《網絡安全增強法案》，與以往的網絡安全綜合性法案相比，該法布局更加宏觀、長遠，實施上更具可操作性。短期，美國將啟動為期四年的網絡安全專項研究計劃，參與者眾多，甚至包括美國的國際盟友，覆蓋范圍包括網絡系統安全、無線安全、工業控制系統安全、高性能計算機，甚至納米技術。長期，美國著重于網絡安全人才的教育培養，并為此設置了選拔標準，甚至調整了課程。以人才選拔標準為例，法律對專業、思想素質和國籍等同時作出了嚴格的限制，要求必須是對數學、工程學和信息技術等專業十分精通的、立志于服務國家網絡信息安全建設的具有正式美國國籍的人才（公民）。

2013年年底，日本國會通過《網絡安全基本法》。該法從網絡安全的定義、基本理念、相關者的責任、法制措施、行政機構、戰略、基本政策措施等方面進行了規定，是日本網絡安全方面的基本法律。

趨勢二：從多方面增強網絡安全技術、提高網絡安全標準等內容，依然是各國安全立法的傳統保留內容。

歐盟《網絡與信息安全指令》和英國《網絡安全實施概要》主要集中于安全技術和標準的提升。歐盟議會表決通過了《網絡與信息安全指令》，著重于從三個方面進行規范：統一安全技術和組織機制要求；建立成員國之間的協作機制，尤其是信息共享；對重點部門進行防范能力建設。英國頒布《網絡安全實施概要》，涵蓋了安全配置、訪問控制、惡意軟件防護、補丁管理，以及防火墻和互聯網網關在內的五個方面的基本控制措施。

（二）網絡監控和反恐

9.11之后，以美國《愛國者法案》和《國土安全法》等為代表的一系列法律極大擴展了各國情報執法機構的監控和反恐權限。但是，2013年的“棱鏡”事件，使得全球范圍內的公民隱私保護機構、政府都開始反思，過于擴張的監控權力對公民利益、國家利益會帶來無法預料的負面作用。“棱鏡事件”之后，各國開始修正網絡監控和反恐方面的立法，大部分內容集中于情報執法機構、電信監管機構的權力調整，以及監聽監控程序上的調整。呈現以下趨勢：

趨勢一：情報執法機構的權力在整體上呈現擴張趨勢。

7月，雖然歐洲法院已經宣布數據留存制度的無效，英國還是通過《數據留存和調查權法案》，特意為警察和國家安全機構配置了專門權力，確認警察（執法）機構和國家安全機構有權從電信運營商處獲取用戶的通訊數據和互聯網數據，包括電子郵件、電話、短消息的發送方和接收方、時間等數據信息。值得注意的是，《法案》同樣適用于外國公司，無論境內外。9月，澳大利亞在《反恐法》的草案中，極大拓展了國內安全情報機構的權力，例如，可以不限次數地登陸第三方電腦。

趨勢二：電信運營商等大型企業被賦予越來越多的反恐和輔助監控的職責，以美國為代表的少數國家甚至直接讓電信企業參與國家反恐。

2015年6月2日，《美國自由法案》正式出臺。《法案》是對2013年 “棱鏡”監控丑聞的第一次正式回應，也是美國外國情報監控制度實施近40年來的一次重大改革，在禁止國家安全局等情報執法機構再對美國國內公民進行大規模電話監控之外，轉而要求電信運營商承接一部分情報執法機構的功能，直接參與國家反恐，對公民“電話細節記錄”信息進行留存。這些“電話細節信息”主要是指通話過程信息，具體包括：呼出號碼、接收號碼、國際移動用戶識別碼（IMSI）、國際移動站臺設備識別碼（IMSEI）、電話卡號碼、通話時間和時長。不包括通話內容。此外，法案還規定，其自公布之日起180日之內，各家電信公司要建立自己的電話數據搜集和留存制度，并向政府部門備案。該制度今后若有修改，也要及時向政府匯報和備案。此外，情報執法機構在獲得外國情報監控法庭的認可，并拿到法庭調取令的情況下，可以要求電信運營商上繳數據。

印度于2013年年中出臺《電信安全政策（草案）》，規定電信監管機構可要求電信公司向執法部門提供輔助監控，接入電話、文本信息、數據信息等。但從文本內容上看，印度的這套政策草案照搬美國聯邦通訊委員會FCC電子監控輔助監聽相關制度的痕跡十分明顯。不同之處在于，該政策草案在一定程度上有抬升電信監管機構地位的意圖，例如，規定由電信監管機構出面，在特殊情況下賦予執法機構獲取公民數據的權利，而不是一般的（通行的）由執法機構直接向電信公司索取公民信息。

（三）關鍵基礎設施保護

關鍵信息基礎設施是網絡空間和傳統物理世界的一種融合體。在恐怖襲擊、網絡攻擊和自然災害日益頻繁的當下，其穩定運行不僅影響其他關鍵基礎設施子部門（銀行、水壩、軍工等）的安全，更關涉網絡空間安全、經濟安全，甚至國土安全。近幾年，以美國為首的西方各國頻繁出臺關鍵基礎設施保護方面的立法文件，將其作為網絡安全保護的重中之重。

趨勢一：以美國為首的西方各國都將關鍵信息基礎設施安全視為網絡安全的最核心組成部分。

鑒于其極端重要性，近幾年，西方大國對其頻出戰略政策，甚至將網絡安全有關的政策著眼點全部匯聚此中。以美歐為例，2013年年初，白宮于一日之內連發兩道最高行政令，（《維護關鍵基礎設施之安全性和可恢復性的總統令》、《促進關鍵基礎設施之網絡安全的行政令》），就關鍵信息基礎設施保障的相關事宜圈定部門職責、劃定具體范圍、限期執行；2013年年中，歐盟議會發布《關鍵信息基礎設施——面向全球網絡安全的決議》，指出歐盟亟需提高應對關鍵信息基礎設施安全挑戰的技術能力；2014年年初，白宮發布《促進關鍵基礎設施網絡安全的框架》，希望藉此為實際操作和相關技術標準之典范，在全球范圍內推動關鍵基礎設施安全要點的統一。總體上，《框架》是自愿適用，旨在加強電力、運輸和電信等所謂“關鍵基礎設施”部門的網絡安全。“網絡安全框架”根據總統奧巴馬2013年2月簽署的行政命令制定，私營部門可在自愿基礎上使用該框架加強自己的網絡安全能力。白宮在一份聲明中說，“網絡安全框架”吸納了全球現有的安全標準以及做法，以幫助有關機構了解、交流以及處理網絡安全風險。此外，該框架也就隱私與公民自由問題提出了指導方針。因此，“通過該框架，美國私營企業和政府部門可以聯手加強"關鍵基礎設施"的安全與適應性”。《框架》也可適用于位于美國以外的公共或私營機構，藉此，美國所提倡的加強關鍵基礎設施網絡安全方面的《框架》再次體現美國引領全球技術標準的趨勢。

趨勢二：法律制度設計的著眼點越來越側重于“基于風險”和“基于攻擊”，承認100%安全目標的不可實現。

近年以來，網絡空間層出不窮的安全威脅使得各國監管機構都意識到，絕對安全的目標，不僅在技術上難以實現，在風險管理上也難以操作。基于對現實難度的承認，各國監管機構均轉而用一個更加立體的、全方位的眼光來看待CII的安全問題，認為是一個由事前、事中和事后所組成的一個程序周期。與之相對應的，是各國相關政策文件在內容上的微妙變化。僅舉兩例：

2010年之后美國所出臺的白宮行政令、總統令、國土安全部的多份文件都將關鍵基礎設施的“彈性”、“受攻擊之后的可恢復性”置于同之前所提的單純的“安全性”放在同等重要的目標位置。

2014年，澳大利亞轄內維多利亞州的立法戰略——《關于維持維多利亞政府轄內關鍵基礎設施可恢復性之臨時戰略》，其著眼點就不再是之前的性能完好、100%安全保障，而是基于關鍵基礎設施“已受風險威脅、已受攻擊”的前提假設，與之相關的一整套政策制度也將是圍繞著這種“基于風險”、“被攻擊”的模型來設計。根據該《戰略》，今后正式法律條文的擬定，也將側重于“事中應對”和“事后恢復”。

（四）數據留存

個人數據留存制度方面，立法趨勢呈現出截然不同走向。

趨勢：一部分國家對數據留存進行新的立法，而另一部分國家則對實施多年的留存制度予以廢止。

澳大利亞通過《電信（監控和接入）修正（數據留存）提案》，對數據留存做出強制性法律規定，要求電信運營商對電話、互聯網、電子郵件的用戶數據（包括發起方、接收方和具體時間等信息）留存兩年，司法部負責具體執行。

歐洲作為全球最先設立個人數據留存制度的地區，2014年歐盟法院宣布《歐洲數據留存指令》（2006年）因違反人權而無效。這意味著在歐洲大部分國家，電信運營商已實踐多年的留存用戶數據的慣例自此終結。

美國正積極尋求對這一制度的立法突破，參議員Sensenbrenner（《愛國者法案》的起草人）作為該制度的主推者，目前已拿出初步草案。不過對于美國電信運營商和互聯網巨頭而言，實踐早已走在了理論之前，公開資料顯示，美國時代華納公司Time Warner留存用戶數據的時間是6個月，威瑞森Verizon是18個月。

（五）其他

在未成年人保護方面，保護未成年人的網絡安全成為一個新的立法點。澳大利亞出臺《限制系統接入宣言》14年版本，該宣言主要致力于幫助兒童遠離非法在線內容帶來的侵害，此外，還新增了“投訴接入限制系統”，賦予內容提供商一定的操作靈活性。

此外，各國的安全戰略、預算類法律中，也有為網絡安全增加財政支持的內容。如，英國為實施《網絡安全戰略》，2014年新追加2.1億英鎊用于網絡安全保障；美國國會通過《2014預算法案》，其中將用于改善網絡安全的預算提高到670億美元(約合人民幣4048億元)，這筆預算將會被投入到改善聯邦網絡安全的計劃中，投資的主要對象為網絡中的資金監控機制和解決最嚴峻的網絡安全問題。