【摘要】近年來，西方國家制定、頒布相關法律法規，將信息活動納入法律框架。通過立法確保信息安全，特別是通過法律的方式，明確對于不同程度危害信息安全的行為的處罰，是西方各國普遍采用的手段，也是被實踐證明行之有效的手段。

【關鍵詞】西方國家 信息安全 政府機構 監管治理 【中圖分類號】d815 【文獻標識碼】a

網絡時代信息安全的范圍及特點

2017年5月12日，一款利用windows操作系統漏洞的勒索病毒席卷全球，近百個國家的數以萬計的電腦遭到攻擊，由此帶來的損失尚難以估量?？梢姡诰W絡已經構筑了世界主要國家生產、生活基礎設施的現代社會，信息安全跟網絡安全是密不可分的近義詞，甚至可以說現階段的信息安全主要就體現在網絡安全上。

信息是構成當前社會運行的基本要素。因此，信息安全所涉及的范圍十分寬泛，其主體包括個人、企業、機構、政府組織乃至國家，其主旨是保障信息本身不缺失、不泄露、不失實，不因自然的、人為的或是惡意的干預攻擊等原因而出現損害、泄露、異?；蛑袛嗟那闆r;同時，信息安全也涉及信息硬件設施的安全、傳輸渠道的安全、應用程序的安全、正當內容的安全等多個層次。

在互聯網環境下，世界各國都面臨著信息安全的挑戰。僅以美國為例，facebook、linkedin、myspace等社交網站，雅虎、谷歌、微軟等軟件或網絡服務企業，以及凱悅酒店集團等企業，均曾經遭遇大規模的用戶信息泄露或被黑客竊取的事件。此外，美國很多地區也曾在2016年遭遇網絡攻擊，直接導致網絡服務癱瘓。不僅是作為信息網絡世界第一強國的美國無法避免出現信息安全問題，其他國家同樣如此。例如，2017年5月初，英國文化、媒體和體育部(dcms)發布《2017年網絡安全漏洞調查》報告稱，近一半(46%)的英國企業在2016年遭遇過信息泄露或網絡攻擊，這一數字在中型企業和大型企業中則高達2/3。

從近年來頻發的信息安全事件所涉主體來看，網絡時代的信息安全主要體現在微觀、中觀及宏觀三個層面上。在微觀層面，主要是個體的信息安全會受到來自互聯網的影響。網絡技術的發展讓個體在互聯網上的行為留下越來越多的痕跡，而當下基于大數據、用戶監測的智能推薦軟件更讓這種對個體用戶行為的分析與建模在向著逼近真實的角度發展，必然觸及個體的信息安全。在中觀層面，互聯網亦會對企業、事業單位、機構等的信息安全產生影響。當前，企事業單位等通過網絡進行信息交換、資源共享、業務實施、公文往來、跨境貿易、資產管理等，幾乎所有業務流程都已經實現網絡化，對于信息安全提出了很高的要求。在宏觀層面上，信息安全同樣也包含一個國家和地區的公共安全，以及一個主權國家的信息空間主權的完整與不受侵犯。

西方主要國家在國家層面制訂戰略與政策，宏觀統籌信息安全治理

在信息安全的戰略政策部分，2003年美國便公布了《保護網絡空間國家戰略》，2013年美國政府責任辦公室特別發布了調查報告《網絡空間安全：要更有效地定義與實施國家戰略、功能及責任》。美國的做法是一方面側重網絡基礎設施的安全維護，包括設備的維修、網絡加密技術以及網絡病毒攻擊的阻斷技術等，其主旨是維護網絡空間安全;另一方面側重監控、管理網絡信息的內容，主要包括治理信息的網絡泄露、色情及暴力內容、輿論的煽動，以及散布恐怖信息等非法或不良的傳播活動，其主旨是維護網絡信息內容安全。整體而言，美國對網絡信息安全的維護戰略從國內、國外兩端著手，對內倡導“網絡中立”、對外推行“互聯網自由”。

在英國，首個《網絡信息安全戰略》頒布于2009年，這也是其第一次將網絡信息安全與國家安全政策等同視之。2011年英國再次頒布了新版《網絡信息安全戰略》，將網絡安全的戰略級別再次提升，直至與戰爭、恐怖襲擊與自然災害共視為國家主要威脅。2016年，英國又發布了《國家網絡安全戰略2016-2021》。這些策略主要包括成立網絡安全中心、開展國民科普、培養高級技術人才、維護公民信息安全、促進企業提升安全水準以及開發更高的國際標準等。2012年，德國公布了《歐洲網絡信息安全策略報告》，這一報告將網絡安全戰略聚焦于官方與民間協作、預先示警、提升網絡服務安全性以及強化地區協作等。此外，芬蘭和法國等國家也陸續出臺了重點防范破壞網絡基礎設施、傳播不良信息內容以及保障公民多項個人權益的信息安全戰略規劃。

西方主要國家加大技術研發投入，不斷升級技術標準

網絡時代的信息安全具有典型的高技術特性。對高新科技的不良應用和對這種不良應用的防御，一直是信息安全領域的主題。作為互聯網技術的“創始國”，美國一直致力于借助在互聯網技術的頂端位置，通過科技的持續投入、互聯網企業的全球擴張來鞏固技術的霸主地位。例如，2014年8月美國政府宣布已成立了一個全新的數字服務部門團隊(us digital service，簡稱usds)，以負責美國醫保等諸多政府網站的數據服務，當年團隊的預算額度高達2000萬美元。在企業收購領域，2016年6月，思科公司收購cloudlock，這家企業專門致力于云訪問安全代理(casb)技術，圍繞云服務中的用戶行為和敏感數據為企業提供可見性和分析服務，成為思科的“安全無處不在”戰略的一部分，該項收購的標的接近3億美元。類似的收購案例還有很多。

在英國，技術創新研發一直被置于網絡安全防護體系的重要位置。技術創新側重于多領域相結合、基礎性支持以及攻擊恢復能力的研究。近年來，英國愈加注重技術人才的儲備，在2014年及2015年，英國分別在多所大學里設立專家課程并提出“網絡安全學徒計劃”，旨在號召青年人加入網絡信息安全領域。德國的信息安全技術研發，一直以來都以核心基礎設施的防衛為主，同時強化網絡安全技術。2005年與2008年德國曾分別啟動了用以支持公私聯合技術研發的“關鍵設施實施計劃”和“安全合作伙伴關系計劃”，后者由國家教研部資助。

西方主要國家將信息活動納入法律框架

制定、頒布相關法律法規，通過立法確保信息安全，特別是通過法律的方式，明確對于不同程度危害信息安全的行為的處罰，是西方各國普遍采用的手段，也是被實踐證明行之有效的手段。

美國作為網絡技術的全球發源地，其頒布過的網絡信息安全相關法條眾多，至今共計已高達一百余部，涉及計算機系統的運行標準、信息處理的方法和具體技術操作、不同群體的網絡權益等領域，對破壞網絡基礎設施的犯罪行為也制定了嚴格的懲處標準。在網絡信息安全方面，美國有嚴格的數據信息保密法，如規定公民隱私權不容侵犯且使用者有義務對信息進行保密等。“9·11事件”發生后，美國將打擊恐怖主義作為信息安全的管理重點，政府甚至限定各項法律的建立皆需以首先保證互聯網戰略與信息安全為前提。

德國于20世紀70年代制定個人信息保護法，其主要動因在于試圖限制國家對公民個人信息的處理。1977年其制定了首部《聯邦資料保護法》，并于2009年制定了《聯邦信息技術安全法》，2013年再次修訂，其主要目的在于確?；ヂ摼W企業落實保護網絡信息安全的相關責任。

在亞洲國家里面，日本早在1988年就制定了《關于保護行政機關所持有之個人信息的法律》;2003年5月頒布了日本《個人信息保護法》，并相繼制定、頒布了針對行政機關、獨立行政法人等持有個人信息機關的多部法律。針對公共部門，韓國于1994年1月7日制定了《公共機關個人信息保護法》，于1995年1月8日起正式實施;在2011年3月29日公布了《個人信息保護法》，規定了個人信息保護的基本原則、個人信息保護的基準、信息主體的權利保障、個人信息自決權的救濟等。

借助國際組織，掌握技術標準或治理規則

美國聯邦政府中雖然沒有設立專職負責網絡與信息安全問題的機構，但負責分散承擔網絡信息安全管理的具體組織部門數量眾多。這些組織和部門主要由上級委員會領導，例如“總統關鍵基礎設施保護委員會”等。這些直屬委員會都由政府設立，成員來自不同的內閣部門，負責分散承擔網絡信息安全管理的具體組織機構還會下轄不同的地方行政機構。在日常工作中，整個組織體系有機配合、形成合力，共同行使保障國家信息安全的管理職能。同時，美國商務部長期通過總部設在華盛頓的民間團體互聯網域名與地址管理機構(icann)實際實現對互聯網的管理霸權，即使美國商務部同意于2016年10月開始把互聯網域名管理權正式移交給icann，但實際上，全球互聯網的13臺根服務器，仍然大多數在美國手中，而且國際互聯網工程任務組(ietf)、萬維網聯盟(w3c)、國際互聯網協會(isoc)這樣的互聯網領域的標準制定組織仍然在美國的科技界占據主導地位，制定全球大多數的網絡技術標準。

除了美國之外，歐盟這樣的區域一體化組織同樣是各成員國進行信息安全治理的重要憑借。1995年，剛剛成立不久的歐盟即出臺《關于涉及個人數據處理的個人保護及此類數據自由流動的指令》。據此，歐盟各成員國相繼制定了個人數據資料保護法或者類似的法律。此后，歐盟通過了多部指令、原則或建議等不同形式的組織法規，從而敦促各成員國內有效地建立起了有關網絡隱私權保護的統一的法律體系。此外，歐盟成立了歐洲信息安全局，該機構作為超越成員國和歐盟委員會之外的機構，對促進各利益主體間的協作具有基礎性意義。

強化具體操作規范的執行，確保信息安全治理效果

在具體操作規范的執行方面，面對當前“信息大爆炸”的時代背景，世界各國對網絡信息的審查與管控能力皆不斷受到挑戰。在美國，面對浩如煙海的網絡信息環境，司法機關通過一系列的摸索與實踐，最終形成了一種對網絡信息既進行一定限制，但又盡力避免以立法方式對言論自由范圍做“一刀切”的范式。美國法院倡導對個案進行逐個判斷，再評估政府是否有管制該信息的足夠理由。美國依此總結出了一系列的信息審查原則，已在全球眾多國家被廣泛討論甚至借鑒引入。

英國曾于2008年發布過一份旨在使國家執法機關在打擊網絡信息犯罪時，能夠獲得必要關鍵資料的“監聽現代化計劃”，其要求互聯網及通訊企業搭建有能力保存用戶信息的數據平臺。該計劃可同時用于阻擊常規網絡犯罪與嚴重的恐怖襲擊。2014年英國還通過了《緊急通信與互聯網數據保留法案》，批準執法機構在必要時可以提取網絡使用者的信息。

作為正處于轉型時期的發展中國家，我國網絡信息安全面臨著愈加嚴峻、復雜的挑戰。我國除了在立法、制定政策、提高信息素養、提升企業自律水平等方面進行改善之外，還需進一步增強在國際組織中制定標準的話語權。我們需要在借鑒西方國家先進信息管理經驗的同時，結合我國實際，以期最終形成符合我國國情、媒介發展趨勢、我國大眾心理特性，以及防控并重且兼顧穩定性、靈活性與科學性的信息安全監管治理體系，為具有中國特色的社會主義和諧社會創建更加安全的信息環境。