2017年,各國網絡安全法律政策圍繞關鍵基礎設施、個人數據安全、網絡應急響應等核心制度展開,部分國家在以自動駕駛網絡安全為代表的領域出臺了嘗試性規定。而諸如加密和反加密、區塊鏈安全、虹膜識別、數字身份等新議題,要么因為尚處于技術(產業)發展初期,安全風險暫未探明,要么由于牽涉利益關系過于龐雜,截至今年年底,各國立法和監管機構止步于討論,無成文規則出臺。
關鍵基礎設施保護向縱深領域拓展,核心行業試點先行,范圍和清單持續擴充。
2017年關鍵基礎設施立法和新政重點聚焦于劃定先行試點、擴充范圍和清單、開展極端情境壓力測評三個方面。澳大利亞《電信法(修正案)》要求所有被納入國家關鍵基礎設施范圍內的電信運營商按照電信安全改革框架,采取措施全面提高網絡安全水平。美國特朗普政府首份《網絡安全行政令》將電力和國防工業劃定為關鍵基礎設施優先保障領域,要求開展先行試點,啟動風險承壓評估。受俄羅斯黑客干涉美國大選事件的影響,美國《阻止特定群體參與重大惡意網絡攻擊行動之總統行政令(修正案)》將全國選舉系統納入關鍵基礎設施范圍。
除此之外,其他核心制度問題還處于規則形成過程中,暫無結論,如外國企業(外資)能否納入本國關鍵基礎設施保護的范圍等。
個人數據保護呈現出“嚴之愈嚴,寬之愈寬”兩種走向。
一方面,以嚴苛立法著稱的歐盟在2017年進入《通用數據保護規則》(GDPR)實施前階段,各成員國都在緊鑼密鼓地將其轉化為國內法,以確保2018年5月GDPR能夠在全歐境內正式施行。脫歐之后的英國在數據保護嚴格程度上也向歐盟看齊,于2017年年中推出新的數據保護法提案,將更多數據權利交給公民,規定英國信息專員辦公室(ICO)有權對違法行為最高處1700萬英鎊或全球營業額4%的罰款。另一方面,受美國總統換屆、通信監管機構FCC新主席上任以及電信監管思路變更的影響,FCC廢除奧巴馬時期《寬帶和其他電信用戶隱私保護規則》,此后,美國電信運營商有權查看用戶所有未加密的在線活動,自此,美國電信和寬帶用戶的隱私權讓位給企業利益。
應急響應思路創新,在承認網絡攻擊不可避免的基礎上,多條主線并行啟動。
2017年,以WannaCry蠕蟲勒索病毒為代表的全球網絡攻擊處于高發態勢。在突發性事件面前,各國監測預警失效,攻防雙方實力懸殊,應急響應被動。對此,美國、比利時等國從兩個方向上調整了應急思路。一是整體上創新,從此前的按步驟啟動應急程序轉變為多條戰線同時啟動,各司其職,不分先后。美國《國家網絡應急響應計劃》(2017NCIRP)摒棄此前的將程序切分為預防保護、偵測、分析、反應和解決五個步驟的死板做法,重新將應急響應工作劃分為資產響應(處理事故)、威脅響應(定位威脅來源和追捕嫌疑分子)和情報支持三條主線,同時啟動。二是更加注重事中響應和事后恢復。比利時新版通信應急預案將目標從確保100%安全調整為事故發生時盡可能地限制損害范圍,要求對可能受到損害的網絡基礎設施、互聯網信息服務應用等列出盤點清單。這種思路的調整,其實是承認在目前網絡環境之下,網絡攻擊不可避免,因而要求先對自身抗壓能力進行客觀評估,再圖問題出路。
美歐跨境數據流動規則在西方蔓延,與俄羅斯等主張數據本地化的國家形成對抗。
一邊,美歐為同一陣營,主張數據自由流動,以最大程度支持數字經濟發展。2017年,《瑞士-美國隱私盾架構協議》簽訂,作為規范瑞士向美國方向進行數據流動唯一的法律規則。從內容上看,該協議基本仿照《美歐隱私盾協議》,美國同意限制對儲存在美國服務器中的瑞士公民數據的收集,避免對瑞士進行大型、無差別電子監控活動。另一邊,以俄羅斯為代表的主張數據本地留存的國家嚴格執行法律,向在俄運營的美國企業開出罰單。俄聯邦第149-FZ《關于信息、信息技術與信息保護法》規定俄羅斯公民的個人信息數據只能存儲在位于俄境內的服務器中。2017年,美國互聯網巨頭領英擅自處理了未簽署用戶協議的第三方信息,成為全球首個因違反俄羅斯數據本地化法律的企業,被俄通信監管機構下令關停。
信息內容審查趨嚴,中俄兩國被美國列為互聯網信息戰目標,美國企業開始承擔部分內容審查職責。
2016年年底爆發的俄羅斯黑客干預美國總統大選事件持續發酵,也為全球網絡空間安全敲響新的警鐘,黑客攻擊已然從傳統IT系統、關鍵基礎設施等固態目標轉向那些能夠影響到一國政治進程的更高層面的戰略目標。美國深刻反省其一直宣揚的“全球互聯網自由”戰略,立法機構出臺新規,企業也開始承擔審查職責。其一,《應對外國虛假信息和政治宣傳法案》(又稱《反信息戰爭法案》)被全文納入《2017國防授權法案》,有效期截至2036年12月。其中,第2條第(1)款指出,法案立法目的是對中俄兩國政府意圖破壞美國(及其盟國)國家安全的虛假政治宣傳行為進行反制。法案授權劃撥2000萬美元國防資金成立專門的信息獲取基金會,為信息戰提供支持。其二,以Facebook為代表的互聯網巨頭主動調整企業內部規則,要求政治廣告、倫理、種族等有關的內容都要接受人工審核,并增加平臺安全成本。
特定行業網絡安全規則創新性出臺,政策著力點初步探明。
2017年,以自動駕駛為代表的特定行業安全新規在英德等汽車大國出臺,文本內容體現出這些國家對于保障自動駕駛網絡安全的思路逐漸清晰。英國《聯網和自動駕駛汽車網絡安全核心原則》將網絡安全責任拓展到汽車供應鏈上的每一方利益主體,要求將網絡安全貫穿汽車全生命周期,此外,設定的車輛網絡安全底線是即使遭到攻擊,也要保證車輛基本安全運行。德國《自動化和互聯網車輛交通倫理準則》對飽受爭議的自動駕駛倫理定下規矩,比如,禁止對“兩難決策”(在行駛過程中出現必須在人的生命之間做出犧牲一方以拯救另一方的極端情形,如一男一女,一老一幼的選擇)進行事先編程;自動化系統所造成的損害遵從產品責任原則等等。
除上述六個方面之外,值得注意的是,曾經給美國國家安全局海外監控項目——“棱鏡”以正式法律授權的《外國情報監控法案(2008修正案)》第702條(SEC.702)將于2017年12月31日到期,“棱鏡”走向成謎。從立法機構討論情況推測,未來可能有三個方向:SEC.702正式失效,“棱鏡”終止;重新授權并且不設截止期限,“棱鏡”監控正常化;重新授權同時設置截止期限,“棱鏡”在一定期限內繼續進行。鑒于SEC.702與全球網絡安全態勢緊密相聯,與所有國家(除美國)的重要數據安全、公民隱私利益、ICT產業安全和未來發展息息相關,無論最終走向如何,預計2018年,全球網絡空間會再掀漣漪。