近年來,各國網(wǎng)絡(luò)安全領(lǐng)域的立法呈現(xiàn)集中爆發(fā)之勢。由于網(wǎng)絡(luò)安全越來越同國家安全、反恐等密切相關(guān),因此網(wǎng)絡(luò)安全立法的外延也在不斷擴(kuò)展,關(guān)鍵基礎(chǔ)設(shè)施、網(wǎng)絡(luò)人才儲(chǔ)備、網(wǎng)絡(luò)監(jiān)控、信息共享等都被納入其中。美國的《網(wǎng)絡(luò)安全法案》就相當(dāng)有代表性。
2015年年底,在美國國會(huì)例行通過的年度《綜合財(cái)政撥款法》中,《網(wǎng)絡(luò)安全法案》被夾在其中,一并出臺(tái)。法案由《網(wǎng)絡(luò)安全信息共享法》、《國家網(wǎng)絡(luò)安全促進(jìn)法》、《聯(lián)邦網(wǎng)絡(luò)安全人力資源評估法》等共計(jì)四章四十七節(jié)構(gòu)成,是一部組合性質(zhì)的法律。
——系列核心定義的范圍被擴(kuò)展,“網(wǎng)絡(luò)安全”所指內(nèi)容由之前單一的“信息系統(tǒng)安全”調(diào)整為“信息系統(tǒng)安全和網(wǎng)絡(luò)數(shù)據(jù)安全”兩大部分。
法案所謂“網(wǎng)絡(luò)安全”,一是傳統(tǒng)意義上的“信息系統(tǒng)安全”,二是“數(shù)據(jù)安全”,具體包括三種形態(tài),“存儲(chǔ)在信息系統(tǒng)上的”、“正處于處理過程中的”、“途經(jīng)該信息系統(tǒng)的”,所有牽涉到這三種形態(tài)的數(shù)據(jù),都屬于這部法案最新調(diào)整的范圍。
在新思路的引領(lǐng)之下,系列定義被重新調(diào)整。如,法案SEC.102(5)“網(wǎng)絡(luò)安全威脅”,是指“可能對某一信息系統(tǒng)的安全、有效、機(jī)密和完整等屬性造成負(fù)面影響的未經(jīng)授權(quán)的行動(dòng),或者對存儲(chǔ)于該信息系統(tǒng)的數(shù)據(jù)、正在該信息系統(tǒng)上處理的數(shù)據(jù)、途經(jīng)該信息系統(tǒng)的數(shù)據(jù)造成負(fù)面影響的未經(jīng)授權(quán)的行動(dòng)”。
——法案對國土安全部大力授權(quán),助其成為美國網(wǎng)絡(luò)安全權(quán)力架構(gòu)的最核心。
體現(xiàn)在三個(gè)方面,其一,法案授權(quán)國土安全部作為美國網(wǎng)絡(luò)安全信息共享的樞紐,不僅是私營部門向聯(lián)邦政府機(jī)構(gòu)進(jìn)行信息傳遞的樞紐,也是聯(lián)邦政府各機(jī)構(gòu)之間信息共享的樞紐,由此,國土安全部將一舉躍升為美國網(wǎng)絡(luò)數(shù)據(jù)最大的存儲(chǔ)基地和中轉(zhuǎn)港。其二,法案重新確認(rèn)國土安全部在網(wǎng)絡(luò)安全事故應(yīng)急處置和關(guān)鍵基礎(chǔ)設(shè)施安全保障兩大任務(wù)中的牽頭部門地位,新增其在網(wǎng)絡(luò)安全人才教育培養(yǎng)中的負(fù)責(zé)部門地位。其三,法案授權(quán)新設(shè)國家網(wǎng)絡(luò)安全和通信一體化中心,為國土安全部下設(shè)機(jī)構(gòu)的權(quán)力再度加碼。
——以網(wǎng)絡(luò)安全為名,法案賦予美國網(wǎng)絡(luò)服務(wù)提供商史無前例的網(wǎng)絡(luò)監(jiān)控權(quán)。
法案SEC.104節(jié)名為“網(wǎng)絡(luò)安全威脅之防止、發(fā)現(xiàn)、分析和減輕等系列行動(dòng)之授權(quán)”,其核心是授予網(wǎng)絡(luò)提供商對網(wǎng)絡(luò)實(shí)施監(jiān)控,并采取所有必要的防御行動(dòng)。
依據(jù)SEC.104(a),監(jiān)控目標(biāo)可以是自家網(wǎng)絡(luò)信息系統(tǒng),也可以是其他任何網(wǎng)絡(luò)提供商的信息系統(tǒng),只要獲得書面同意即可。此外,對于那些被存儲(chǔ)于、正處于處理過程中的、途經(jīng)該信息系統(tǒng)的數(shù)據(jù),均可實(shí)施監(jiān)控。
啟動(dòng)監(jiān)控之后,網(wǎng)絡(luò)提供商可采取SEC.104(b)所規(guī)定的各項(xiàng)防御措施。值得注意的是,法案授權(quán)網(wǎng)絡(luò)提供商可以與其他主體簽訂書面協(xié)議,授權(quán)其代表自己對網(wǎng)絡(luò)實(shí)施監(jiān)控和采取防御行動(dòng),即,監(jiān)控行動(dòng)可以被外包出去。此類規(guī)定給人的想象空間實(shí)在巨大,比如,外包的主體可以理解為市場上專業(yè)的網(wǎng)絡(luò)安全公司,但也極有可能是國家安全局、中央情報(bào)局這樣的老牌情報(bào)機(jī)構(gòu)。法案這種無所控制的規(guī)定,基本可以視為2013年棱鏡事件之后,美國在網(wǎng)絡(luò)監(jiān)控方面的又一次立法大擴(kuò)張。
——新設(shè)信息共享制度,將私營部門和聯(lián)邦政府各部門擰成一股繩。
信息共享的主線有兩條,一是私營機(jī)構(gòu)向聯(lián)邦政府進(jìn)行信息共享,二是聯(lián)邦政府各部門之間的信息共享。共享的內(nèi)容包括網(wǎng)絡(luò)威脅跡象、防御措施、安全漏洞等等。共享主體上,主要由國土安全部部長、國家情報(bào)總監(jiān)、國防部部長領(lǐng)銜,具體牽涉某一類信息到底在何種范圍共享之類的法律細(xì)則將再行制定。
——網(wǎng)絡(luò)安全人才教育和專業(yè)培養(yǎng),百年樹人,著眼長遠(yuǎn)。
網(wǎng)絡(luò)安全的特殊重要性促使法案將網(wǎng)絡(luò)安全人才單獨(dú)列出來進(jìn)行重點(diǎn)培養(yǎng)。法案提出“網(wǎng)絡(luò)安全教育之國家倡議”,由國土安全部、國家標(biāo)準(zhǔn)技術(shù)研究院、聯(lián)邦情報(bào)機(jī)構(gòu)牽頭,對網(wǎng)絡(luò)安全和信息技術(shù)類人才進(jìn)行專門培養(yǎng),設(shè)定人員上崗要求,并對網(wǎng)絡(luò)安全、相關(guān)工種進(jìn)行全國統(tǒng)一職業(yè)編碼。法案要求立即啟動(dòng)全國網(wǎng)絡(luò)安全緊缺人才的申報(bào)和確認(rèn)工作。
除以上之外,法案還規(guī)定了其他內(nèi)容,如,要求對移動(dòng)設(shè)備安全、網(wǎng)絡(luò)醫(yī)療、網(wǎng)絡(luò)金融等領(lǐng)域的安全予以前瞻性研究,進(jìn)行重點(diǎn)關(guān)注。對2011年白宮《網(wǎng)絡(luò)空間國際戰(zhàn)略》發(fā)布5年以來的實(shí)施效果進(jìn)行評估,并計(jì)劃2016年年底之前出臺(tái)新版《網(wǎng)絡(luò)空間國際戰(zhàn)略》。
總體上看,《網(wǎng)絡(luò)安全法案》是美國立法機(jī)構(gòu)動(dòng)用國家強(qiáng)制力對網(wǎng)絡(luò)空間進(jìn)行規(guī)則重塑的又一部文本典范。其思想基本延續(xù)了《國土安全法案》、《愛國者法案》、《外國情報(bào)監(jiān)控法案》、《美國自由法案》的立法精髓,體現(xiàn)了美國思維。
制度搭建方面,很多構(gòu)想十分超前,力透紙背。比如,關(guān)鍵基礎(chǔ)設(shè)施的安全保障計(jì)劃從之前的“100%安全目標(biāo)”調(diào)整為“基于風(fēng)險(xiǎn)”,將“某一”關(guān)鍵基礎(chǔ)設(shè)施遭受網(wǎng)絡(luò)攻擊的情景假設(shè)調(diào)整為“多個(gè)”關(guān)鍵基礎(chǔ)設(shè)施“同時(shí)”遭到極其重大網(wǎng)絡(luò)攻擊,并引發(fā)毀滅性后果的情景假設(shè)。類似此類的考慮,其實(shí)質(zhì)是將立法思路整體轉(zhuǎn)變?yōu)橹卮鬄?zāi)難很難回避的假設(shè),這在全球恐怖主義襲擊線上線下聯(lián)動(dòng)的背景之下,是有其現(xiàn)實(shí)意義的。
管轄范圍方面,條文跨越國界,對全球網(wǎng)絡(luò)安全進(jìn)行管控。一方面,對于自然人,一旦觸犯美國法律,不管你是哪國人,翻遍全球也要追捕到底。SEC.403節(jié)規(guī)定,美國法官在“確信”的情況下,可以向任何國家網(wǎng)絡(luò)犯罪分子發(fā)布逮捕令,可以動(dòng)用國際刑警組織發(fā)布紅色通緝令,實(shí)施抓捕行動(dòng)。另一方面,對于其他國家,美國并不致力于塑造和諧、和平、友好的對外形象,尤其是對中國、俄羅斯、巴西和印度,美國將特別關(guān)注其在國際網(wǎng)絡(luò)空間規(guī)則制定方面的一舉一動(dòng),比如這些國家提出的一些新詞匯。
時(shí)間效力方面,法案有效期為10年,截至2025年年底失效,這與那些致力于法典化的國家相比,期限的確短暫,但也恰恰因此,法案的思路不以理論公正為目標(biāo),而是追求一種立竿見影的實(shí)際效果,有些制度甚至以1年或者3年為期。相比于那些反反復(fù)復(fù)斟酌詞匯、希望網(wǎng)絡(luò)安全立法條文“一部永流傳”的國家,美國的出發(fā)點(diǎn)是角力當(dāng)下。
很難想象10年之后,另一部美國網(wǎng)絡(luò)安全法將會(huì)以何種面目出現(xiàn)。但變化的其實(shí)是形式,不會(huì)改變的,是美國立法機(jī)構(gòu)將網(wǎng)絡(luò)空間視為自家資產(chǎn)并掌控全球的慣性思維。從9·11之后的《愛國者法案》,到反恐背景下的《美國自由法案》,再到目前的《網(wǎng)絡(luò)安全法案》,脈絡(luò)其實(shí)始終清晰,美國立法不追求說服別人,只要說服自己即可。
京公網(wǎng)安備 11010502049343號(hào)