【摘要】近年來,西方國家制定、頒布相關(guān)法律法規(guī),將信息活動(dòng)納入法律框架。通過立法確保信息安全,特別是通過法律的方式,明確對(duì)于不同程度危害信息安全的行為的處罰,是西方各國普遍采用的手段,也是被實(shí)踐證明行之有效的手段。
【關(guān)鍵詞】西方國家 信息安全 政府機(jī)構(gòu) 監(jiān)管治理 【中圖分類號(hào)】D815 【文獻(xiàn)標(biāo)識(shí)碼】A
網(wǎng)絡(luò)時(shí)代信息安全的范圍及特點(diǎn)
2017年5月12日,一款利用Windows操作系統(tǒng)漏洞的勒索病毒席卷全球,近百個(gè)國家的數(shù)以萬計(jì)的電腦遭到攻擊,由此帶來的損失尚難以估量??梢?,在網(wǎng)絡(luò)已經(jīng)構(gòu)筑了世界主要國家生產(chǎn)、生活基礎(chǔ)設(shè)施的現(xiàn)代社會(huì),信息安全跟網(wǎng)絡(luò)安全是密不可分的近義詞,甚至可以說現(xiàn)階段的信息安全主要就體現(xiàn)在網(wǎng)絡(luò)安全上。
信息是構(gòu)成當(dāng)前社會(huì)運(yùn)行的基本要素。因此,信息安全所涉及的范圍十分寬泛,其主體包括個(gè)人、企業(yè)、機(jī)構(gòu)、政府組織乃至國家,其主旨是保障信息本身不缺失、不泄露、不失實(shí),不因自然的、人為的或是惡意的干預(yù)攻擊等原因而出現(xiàn)損害、泄露、異常或中斷的情況;同時(shí),信息安全也涉及信息硬件設(shè)施的安全、傳輸渠道的安全、應(yīng)用程序的安全、正當(dāng)內(nèi)容的安全等多個(gè)層次。
在互聯(lián)網(wǎng)環(huán)境下,世界各國都面臨著信息安全的挑戰(zhàn)。僅以美國為例,F(xiàn)acebook、Linkedin、Myspace等社交網(wǎng)站,雅虎、谷歌、微軟等軟件或網(wǎng)絡(luò)服務(wù)企業(yè),以及凱悅酒店集團(tuán)等企業(yè),均曾經(jīng)遭遇大規(guī)模的用戶信息泄露或被黑客竊取的事件。此外,美國很多地區(qū)也曾在2016年遭遇網(wǎng)絡(luò)攻擊,直接導(dǎo)致網(wǎng)絡(luò)服務(wù)癱瘓。不僅是作為信息網(wǎng)絡(luò)世界第一強(qiáng)國的美國無法避免出現(xiàn)信息安全問題,其他國家同樣如此。例如,2017年5月初,英國文化、媒體和體育部(DCMS)發(fā)布《2017年網(wǎng)絡(luò)安全漏洞調(diào)查》報(bào)告稱,近一半(46%)的英國企業(yè)在2016年遭遇過信息泄露或網(wǎng)絡(luò)攻擊,這一數(shù)字在中型企業(yè)和大型企業(yè)中則高達(dá)2/3。
從近年來頻發(fā)的信息安全事件所涉主體來看,網(wǎng)絡(luò)時(shí)代的信息安全主要體現(xiàn)在微觀、中觀及宏觀三個(gè)層面上。在微觀層面,主要是個(gè)體的信息安全會(huì)受到來自互聯(lián)網(wǎng)的影響。網(wǎng)絡(luò)技術(shù)的發(fā)展讓個(gè)體在互聯(lián)網(wǎng)上的行為留下越來越多的痕跡,而當(dāng)下基于大數(shù)據(jù)、用戶監(jiān)測的智能推薦軟件更讓這種對(duì)個(gè)體用戶行為的分析與建模在向著逼近真實(shí)的角度發(fā)展,必然觸及個(gè)體的信息安全。在中觀層面,互聯(lián)網(wǎng)亦會(huì)對(duì)企業(yè)、事業(yè)單位、機(jī)構(gòu)等的信息安全產(chǎn)生影響。當(dāng)前,企事業(yè)單位等通過網(wǎng)絡(luò)進(jìn)行信息交換、資源共享、業(yè)務(wù)實(shí)施、公文往來、跨境貿(mào)易、資產(chǎn)管理等,幾乎所有業(yè)務(wù)流程都已經(jīng)實(shí)現(xiàn)網(wǎng)絡(luò)化,對(duì)于信息安全提出了很高的要求。在宏觀層面上,信息安全同樣也包含一個(gè)國家和地區(qū)的公共安全,以及一個(gè)主權(quán)國家的信息空間主權(quán)的完整與不受侵犯。
西方主要國家在國家層面制訂戰(zhàn)略與政策,宏觀統(tǒng)籌信息安全治理
在信息安全的戰(zhàn)略政策部分,2003年美國便公布了《保護(hù)網(wǎng)絡(luò)空間國家戰(zhàn)略》,2013年美國政府責(zé)任辦公室特別發(fā)布了調(diào)查報(bào)告《網(wǎng)絡(luò)空間安全:要更有效地定義與實(shí)施國家戰(zhàn)略、功能及責(zé)任》。美國的做法是一方面?zhèn)戎鼐W(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全維護(hù),包括設(shè)備的維修、網(wǎng)絡(luò)加密技術(shù)以及網(wǎng)絡(luò)病毒攻擊的阻斷技術(shù)等,其主旨是維護(hù)網(wǎng)絡(luò)空間安全;另一方面?zhèn)戎乇O(jiān)控、管理網(wǎng)絡(luò)信息的內(nèi)容,主要包括治理信息的網(wǎng)絡(luò)泄露、色情及暴力內(nèi)容、輿論的煽動(dòng),以及散布恐怖信息等非法或不良的傳播活動(dòng),其主旨是維護(hù)網(wǎng)絡(luò)信息內(nèi)容安全。整體而言,美國對(duì)網(wǎng)絡(luò)信息安全的維護(hù)戰(zhàn)略從國內(nèi)、國外兩端著手,對(duì)內(nèi)倡導(dǎo)“網(wǎng)絡(luò)中立”、對(duì)外推行“互聯(lián)網(wǎng)自由”。
在英國,首個(gè)《網(wǎng)絡(luò)信息安全戰(zhàn)略》頒布于2009年,這也是其第一次將網(wǎng)絡(luò)信息安全與國家安全政策等同視之。2011年英國再次頒布了新版《網(wǎng)絡(luò)信息安全戰(zhàn)略》,將網(wǎng)絡(luò)安全的戰(zhàn)略級(jí)別再次提升,直至與戰(zhàn)爭、恐怖襲擊與自然災(zāi)害共視為國家主要威脅。2016年,英國又發(fā)布了《國家網(wǎng)絡(luò)安全戰(zhàn)略2016-2021》。這些策略主要包括成立網(wǎng)絡(luò)安全中心、開展國民科普、培養(yǎng)高級(jí)技術(shù)人才、維護(hù)公民信息安全、促進(jìn)企業(yè)提升安全水準(zhǔn)以及開發(fā)更高的國際標(biāo)準(zhǔn)等。2012年,德國公布了《歐洲網(wǎng)絡(luò)信息安全策略報(bào)告》,這一報(bào)告將網(wǎng)絡(luò)安全戰(zhàn)略聚焦于官方與民間協(xié)作、預(yù)先示警、提升網(wǎng)絡(luò)服務(wù)安全性以及強(qiáng)化地區(qū)協(xié)作等。此外,芬蘭和法國等國家也陸續(xù)出臺(tái)了重點(diǎn)防范破壞網(wǎng)絡(luò)基礎(chǔ)設(shè)施、傳播不良信息內(nèi)容以及保障公民多項(xiàng)個(gè)人權(quán)益的信息安全戰(zhàn)略規(guī)劃。
西方主要國家加大技術(shù)研發(fā)投入,不斷升級(jí)技術(shù)標(biāo)準(zhǔn)
網(wǎng)絡(luò)時(shí)代的信息安全具有典型的高技術(shù)特性。對(duì)高新科技的不良應(yīng)用和對(duì)這種不良應(yīng)用的防御,一直是信息安全領(lǐng)域的主題。作為互聯(lián)網(wǎng)技術(shù)的“創(chuàng)始國”,美國一直致力于借助在互聯(lián)網(wǎng)技術(shù)的頂端位置,通過科技的持續(xù)投入、互聯(lián)網(wǎng)企業(yè)的全球擴(kuò)張來鞏固技術(shù)的霸主地位。例如,2014年8月美國政府宣布已成立了一個(gè)全新的數(shù)字服務(wù)部門團(tuán)隊(duì)(US Digital Service,簡稱USDS),以負(fù)責(zé)美國醫(yī)保等諸多政府網(wǎng)站的數(shù)據(jù)服務(wù),當(dāng)年團(tuán)隊(duì)的預(yù)算額度高達(dá)2000萬美元。在企業(yè)收購領(lǐng)域,2016年6月,思科公司收購Cloudlock,這家企業(yè)專門致力于云訪問安全代理(CASB)技術(shù),圍繞云服務(wù)中的用戶行為和敏感數(shù)據(jù)為企業(yè)提供可見性和分析服務(wù),成為思科的“安全無處不在”戰(zhàn)略的一部分,該項(xiàng)收購的標(biāo)的接近3億美元。類似的收購案例還有很多。
在英國,技術(shù)創(chuàng)新研發(fā)一直被置于網(wǎng)絡(luò)安全防護(hù)體系的重要位置。技術(shù)創(chuàng)新側(cè)重于多領(lǐng)域相結(jié)合、基礎(chǔ)性支持以及攻擊恢復(fù)能力的研究。近年來,英國愈加注重技術(shù)人才的儲(chǔ)備,在2014年及2015年,英國分別在多所大學(xué)里設(shè)立專家課程并提出“網(wǎng)絡(luò)安全學(xué)徒計(jì)劃”,旨在號(hào)召青年人加入網(wǎng)絡(luò)信息安全領(lǐng)域。德國的信息安全技術(shù)研發(fā),一直以來都以核心基礎(chǔ)設(shè)施的防衛(wèi)為主,同時(shí)強(qiáng)化網(wǎng)絡(luò)安全技術(shù)。2005年與2008年德國曾分別啟動(dòng)了用以支持公私聯(lián)合技術(shù)研發(fā)的“關(guān)鍵設(shè)施實(shí)施計(jì)劃”和“安全合作伙伴關(guān)系計(jì)劃”,后者由國家教研部資助。
西方主要國家將信息活動(dòng)納入法律框架
制定、頒布相關(guān)法律法規(guī),通過立法確保信息安全,特別是通過法律的方式,明確對(duì)于不同程度危害信息安全的行為的處罰,是西方各國普遍采用的手段,也是被實(shí)踐證明行之有效的手段。
美國作為網(wǎng)絡(luò)技術(shù)的全球發(fā)源地,其頒布過的網(wǎng)絡(luò)信息安全相關(guān)法條眾多,至今共計(jì)已高達(dá)一百余部,涉及計(jì)算機(jī)系統(tǒng)的運(yùn)行標(biāo)準(zhǔn)、信息處理的方法和具體技術(shù)操作、不同群體的網(wǎng)絡(luò)權(quán)益等領(lǐng)域,對(duì)破壞網(wǎng)絡(luò)基礎(chǔ)設(shè)施的犯罪行為也制定了嚴(yán)格的懲處標(biāo)準(zhǔn)。在網(wǎng)絡(luò)信息安全方面,美國有嚴(yán)格的數(shù)據(jù)信息保密法,如規(guī)定公民隱私權(quán)不容侵犯且使用者有義務(wù)對(duì)信息進(jìn)行保密等。“9·11事件”發(fā)生后,美國將打擊恐怖主義作為信息安全的管理重點(diǎn),政府甚至限定各項(xiàng)法律的建立皆需以首先保證互聯(lián)網(wǎng)戰(zhàn)略與信息安全為前提。
德國于20世紀(jì)70年代制定個(gè)人信息保護(hù)法,其主要?jiǎng)右蛟谟谠噲D限制國家對(duì)公民個(gè)人信息的處理。1977年其制定了首部《聯(lián)邦資料保護(hù)法》,并于2009年制定了《聯(lián)邦信息技術(shù)安全法》,2013年再次修訂,其主要目的在于確保互聯(lián)網(wǎng)企業(yè)落實(shí)保護(hù)網(wǎng)絡(luò)信息安全的相關(guān)責(zé)任。
在亞洲國家里面,日本早在1988年就制定了《關(guān)于保護(hù)行政機(jī)關(guān)所持有之個(gè)人信息的法律》;2003年5月頒布了日本《個(gè)人信息保護(hù)法》,并相繼制定、頒布了針對(duì)行政機(jī)關(guān)、獨(dú)立行政法人等持有個(gè)人信息機(jī)關(guān)的多部法律。針對(duì)公共部門,韓國于1994年1月7日制定了《公共機(jī)關(guān)個(gè)人信息保護(hù)法》,于1995年1月8日起正式實(shí)施;在2011年3月29日公布了《個(gè)人信息保護(hù)法》,規(guī)定了個(gè)人信息保護(hù)的基本原則、個(gè)人信息保護(hù)的基準(zhǔn)、信息主體的權(quán)利保障、個(gè)人信息自決權(quán)的救濟(jì)等。
借助國際組織,掌握技術(shù)標(biāo)準(zhǔn)或治理規(guī)則
美國聯(lián)邦政府中雖然沒有設(shè)立專職負(fù)責(zé)網(wǎng)絡(luò)與信息安全問題的機(jī)構(gòu),但負(fù)責(zé)分散承擔(dān)網(wǎng)絡(luò)信息安全管理的具體組織部門數(shù)量眾多。這些組織和部門主要由上級(jí)委員會(huì)領(lǐng)導(dǎo),例如“總統(tǒng)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)委員會(huì)”等。這些直屬委員會(huì)都由政府設(shè)立,成員來自不同的內(nèi)閣部門,負(fù)責(zé)分散承擔(dān)網(wǎng)絡(luò)信息安全管理的具體組織機(jī)構(gòu)還會(huì)下轄不同的地方行政機(jī)構(gòu)。在日常工作中,整個(gè)組織體系有機(jī)配合、形成合力,共同行使保障國家信息安全的管理職能。同時(shí),美國商務(wù)部長期通過總部設(shè)在華盛頓的民間團(tuán)體互聯(lián)網(wǎng)域名與地址管理機(jī)構(gòu)(ICANN)實(shí)際實(shí)現(xiàn)對(duì)互聯(lián)網(wǎng)的管理霸權(quán),即使美國商務(wù)部同意于2016年10月開始把互聯(lián)網(wǎng)域名管理權(quán)正式移交給ICANN,但實(shí)際上,全球互聯(lián)網(wǎng)的13臺(tái)根服務(wù)器,仍然大多數(shù)在美國手中,而且國際互聯(lián)網(wǎng)工程任務(wù)組(IETF)、萬維網(wǎng)聯(lián)盟(W3C)、國際互聯(lián)網(wǎng)協(xié)會(huì)(ISOC)這樣的互聯(lián)網(wǎng)領(lǐng)域的標(biāo)準(zhǔn)制定組織仍然在美國的科技界占據(jù)主導(dǎo)地位,制定全球大多數(shù)的網(wǎng)絡(luò)技術(shù)標(biāo)準(zhǔn)。
除了美國之外,歐盟這樣的區(qū)域一體化組織同樣是各成員國進(jìn)行信息安全治理的重要憑借。1995年,剛剛成立不久的歐盟即出臺(tái)《關(guān)于涉及個(gè)人數(shù)據(jù)處理的個(gè)人保護(hù)及此類數(shù)據(jù)自由流動(dòng)的指令》。據(jù)此,歐盟各成員國相繼制定了個(gè)人數(shù)據(jù)資料保護(hù)法或者類似的法律。此后,歐盟通過了多部指令、原則或建議等不同形式的組織法規(guī),從而敦促各成員國內(nèi)有效地建立起了有關(guān)網(wǎng)絡(luò)隱私權(quán)保護(hù)的統(tǒng)一的法律體系。此外,歐盟成立了歐洲信息安全局,該機(jī)構(gòu)作為超越成員國和歐盟委員會(huì)之外的機(jī)構(gòu),對(duì)促進(jìn)各利益主體間的協(xié)作具有基礎(chǔ)性意義。
強(qiáng)化具體操作規(guī)范的執(zhí)行,確保信息安全治理效果
在具體操作規(guī)范的執(zhí)行方面,面對(duì)當(dāng)前“信息大爆炸”的時(shí)代背景,世界各國對(duì)網(wǎng)絡(luò)信息的審查與管控能力皆不斷受到挑戰(zhàn)。在美國,面對(duì)浩如煙海的網(wǎng)絡(luò)信息環(huán)境,司法機(jī)關(guān)通過一系列的摸索與實(shí)踐,最終形成了一種對(duì)網(wǎng)絡(luò)信息既進(jìn)行一定限制,但又盡力避免以立法方式對(duì)言論自由范圍做“一刀切”的范式。美國法院倡導(dǎo)對(duì)個(gè)案進(jìn)行逐個(gè)判斷,再評(píng)估政府是否有管制該信息的足夠理由。美國依此總結(jié)出了一系列的信息審查原則,已在全球眾多國家被廣泛討論甚至借鑒引入。
英國曾于2008年發(fā)布過一份旨在使國家執(zhí)法機(jī)關(guān)在打擊網(wǎng)絡(luò)信息犯罪時(shí),能夠獲得必要關(guān)鍵資料的“監(jiān)聽現(xiàn)代化計(jì)劃”,其要求互聯(lián)網(wǎng)及通訊企業(yè)搭建有能力保存用戶信息的數(shù)據(jù)平臺(tái)。該計(jì)劃可同時(shí)用于阻擊常規(guī)網(wǎng)絡(luò)犯罪與嚴(yán)重的恐怖襲擊。2014年英國還通過了《緊急通信與互聯(lián)網(wǎng)數(shù)據(jù)保留法案》,批準(zhǔn)執(zhí)法機(jī)構(gòu)在必要時(shí)可以提取網(wǎng)絡(luò)使用者的信息。
作為正處于轉(zhuǎn)型時(shí)期的發(fā)展中國家,我國網(wǎng)絡(luò)信息安全面臨著愈加嚴(yán)峻、復(fù)雜的挑戰(zhàn)。我國除了在立法、制定政策、提高信息素養(yǎng)、提升企業(yè)自律水平等方面進(jìn)行改善之外,還需進(jìn)一步增強(qiáng)在國際組織中制定標(biāo)準(zhǔn)的話語權(quán)。我們需要在借鑒西方國家先進(jìn)信息管理經(jīng)驗(yàn)的同時(shí),結(jié)合我國實(shí)際,以期最終形成符合我國國情、媒介發(fā)展趨勢(shì)、我國大眾心理特性,以及防控并重且兼顧穩(wěn)定性、靈活性與科學(xué)性的信息安全監(jiān)管治理體系,為具有中國特色的社會(huì)主義和諧社會(huì)創(chuàng)建更加安全的信息環(huán)境。
(作者為清華大學(xué)國家文化產(chǎn)業(yè)研究中心副主任,清華大學(xué)文化創(chuàng)意發(fā)展研究院副院長、研究員)
【參考文獻(xiàn)】
①張志華、蔡蓉英、張凌軻:《主要發(fā)達(dá)國家網(wǎng)絡(luò)信息安全戰(zhàn)略評(píng)析與啟示》,《現(xiàn)代情報(bào)》,2017年第1期。
②尹建國:《美國網(wǎng)絡(luò)信息安全治理機(jī)制及其對(duì)我國之啟示》,《法商研究》,2013年第2期。
責(zé)編/張寒 美編/李祥峰
聲明:本文為人民論壇雜志社原創(chuàng)內(nèi)容,任何單位或個(gè)人轉(zhuǎn)載請(qǐng)回復(fù)本微信號(hào)獲得授權(quán),轉(zhuǎn)載時(shí)務(wù)必標(biāo)明來源及作者,否則追究法律責(zé)任。