2019年,信息安全领域迈入5G技术大发展时期,网络治理也随之进入新一轮磨合期。信息安全立法一方面是各国解决当前问题的一个重要抓手,另一方面是全球竞争的一个焦点,影响全球信息安全发展的未来走向,其中有很多值得关注研究的情况,本文以2019年全球信息安全相关法案为核心,分析信息安全立法的最新情况。
一、全球信息安全立法概况
2019年,信息安全立法进程仍在持续推进,网络空间法制化在网络空间治理和秩序构建中的作用逐渐得到国际社会的认可,各国政府都对现行信息安全治理相关政策法规提出了改进计划并付诸实施,范围广泛、内容深入。
2019年信息安全法律法规一览表
序号 | 国家 | 名称 | 时间 | 内容 |
1 | 印度 | 2019国家电子法规 | 2月 19日 | 为本国科技企业提供资金和政策扶持,进一步提升本国企业开发旨在核心组件的能力,最终将印度建成全球电子系统设计制造中心 |
2 | 泰国 | 网络安全法 | 3月 2日 | 规定在紧急情况下,由军方领导的NCSC可凌驾于所有法律程序之上,可直接传讯嫌疑人或进入私人领域 |
3 | 瑞士 | 联邦电子识别服务法草案 | 3月 | 规定电子身份从发行到撤销一整套流程细则,规定电子身份生态系统中各个主体的权利和义务 |
4 | 美国 | 安全5G和超越法案 | 3月 28日 | 建议白宫制定一项5G战略,由国家电信和信息管理局组建特殊部门实施,目的在于防止政府部门将5G技术国有化,保障5G技术自由发展 |
5 | 俄罗斯 | 主权互联网法案修订版 | 4月 10日 | 要求所有互联网流量使用政府的加密工具 |
6 | 美国 | 拯救互联网法案 | 4月 10日 | 废除联邦通信委员会2017年制定的关于网络中立的错误决策,禁止互联网服务提供商阻止、限制或区别对待某些网站流量,干扰不同网站的流量,进而恢复奥巴马时代的网络中立规则 |
7 | 俄罗斯 | 互联网稳定运行法案 | 5月 2日 | 要求互联网服务提供商使用国家域名系统,通过有国家控制的集中式系统设备引导流量,并使用政府批准的互联网交换点,法案赋予国家通信监管机构网络路由控制权,在遭受严重网络攻击时,允许其部分或完全阻止俄罗斯境内网络通信或与国际互联网断开 |
8 | 新加坡 | 防止网络欺诈和操纵法案 | 5月 8日 | 要求网站需删除虚假信息,或对虚假和误导性信息进行更正,授予政府行使删除任何被视为恶意、损害新加坡利益的内容的权力 |
9 | 美国 | 网络预备劳动力法案 | 5月 15日 | 要求美国劳工部投入资金帮助创建和扩大“网络学徒计划”,以提高从事网络安全工作人员的素质 |
10 | 加拿大 | 数字宪章 | 5月 22日 | 保护公民的在线权益,加强对社交媒体平台的管理 |
11 | 印度 | 2019数字身份证修正案 | 6月 13日 | 规定公民可以物理或电子形式自愿使用Aadhaar号码(印度政府机构向公民发放的12位随机数与公民的基本人口统计和生物识别信息相关联) |
12 | 欧盟 | 网络安全法案 | 6月 27日 | 指定欧盟网络和信息安全署(ENISA)为永久性的欧盟网络安全职能机构,对ENISA的职能和任务进行重新定位、为信息和通讯技术(ICT)等产品创建一个欧洲网络安全认证框架等事项所作的具体规定 |
13 | 法国 | 反网络仇恨法案 | 7月 9日 | 要求脸谱网、推特网等月访问量超过200万次的网络社交媒体对法国境内的网络活动加强管控,遏制网络仇恨言论。网络社交媒体在二十四小时之内需删除或屏蔽明显违法内容,若营运方违反新法规将可能最高面临其全球营业额4%罚金,情节严重者可能因此获罪入狱 |
14 | 意大利 | 国家网络安全边界法案 | 7月 19日 | 建立一个公共和私营运营商实体清单,对不遵守规定义务的运营商实施制裁,解除对中兴和华为的限制 |
15 | 美国 | 提高飞机网络安全弹性标准法案 | 7月 22日 | 提高航空网络安全,设置安全标准 |
16 | 澳大利亚 | 消费者数据权利修正案 | 7月 23日 | 提升用户对个人数据的掌控能力,赋予用户知晓哪些企业收集私人数据的权利,以及向银行、通讯机构、网络交易平台等数据第三方提出个人数据开放访问的权利 |
17 | 新加坡 | 网络安全法 | 7月 26日 | 规定金融机构必须遵守六项主要要求,例如为着重确保IT系统的安全性,及时进行安全更新并部署安全设备以限制未经授权的网络流量等。这些公司还必须实施措施以降低恶意软件感染风险、确保特权系统账户的安全以及加强关键系统的用户身份验证 |
18 | 哥伦 比亚 | ICT现代化法案 | 7月 29日 | 弥合数字鸿沟,到2022年互联网普及率达到100% |
19 | 美国 | 网络安全漏洞修复法案 | 9月 26日 | 要求国土安全部及其下属网络安全和基础设施安全局向其他机构、产业界、学术界和其他部门传播和共享其网络安全缓解协议 |
20 | 美国 | 联邦雇员物联网网络安全培训法 | 10月 21日 | 要求联邦雇员进行物联网网络安全培训,提高联邦政府对物联网相关风险和漏洞的认识 |
21 | 美国 | 网络防护法案 | 10月 22日 | 将成立一个由政府、产业界和学术界的网络专家组成的“咨询委员会”,为物联网设备创建“网络标准” |
22 | 美国 | 深度伪造报告法案 | 10月 24日 | 要求国土安全部每年发布一份关于深度伪造技术使用情况的报告,评估外国政府和国内组织如何使用深度伪造技术维护国家安全等情况 |
23 | 中国 | 中华人民共和国密码法 | 10月 26日 | 规范密码应用和管理,促进密码事业发展,保障网络与信息安全,提升密码管理科学化、规范化、法治化水平 |
24 | 俄罗斯 | 主权互联网法 | 11月 1日 | 政府有权将整个国家脱离全球互联网,建立独立于全球互联网运行的内部RUNET网络 |
25 | 美国 | 在线隐私法 | 11月 5日 | 建立数字隐私机构,创建用户权利,明确公司义务,加强执法 |
26 | 美国 | 国家安全和个人数据保护法 | 11月 18日 | 要求各高科技公司仅能收集其运营所需的用户数据,不可将数据传输到相关国家 |
27 | 美国 | 2019安全可信通信网络法案 | 11月 19日 | 禁止使用联邦补贴购买中兴、华为的设备 |
28 | 美国 | 2019网络安全信息共享法案 | 11月 19日 | 要求国土安全部、国家电信和信息管理局、国家情报总监、美国联邦通信委员会和美国联邦调查局建立一个项目,与通信服务提供商共享供应链风险数据 |
29 | 美国 | 2019保障5G安全及其他法案 | 11月 19日 | 要求政府制定5G战略,保证美国通讯和基础设施的安全,同时确保盟国关键系统、基础设施和软件的安全 |
二、全球信息安全立法特征分析
2019年,国家主体的作用不断上升,多国信息安全领域立法凸显其国内执政党之政治态度及立场,强权政治倾向明显。
(一)网络巴尔干化终获国家认可 俄“自联网”风头正劲
2019年,俄罗斯强势推出《主权互联网法》,允许俄罗斯在必要时切断国际服务器互联网流量,普京政府意在打造俄“自联网”,国家主体体现其强大的意志力。然而,强权政治打造的俄罗斯互联网或将引领“网络巴尔干”化趋势,全球互联网日将分裂,成为具有特定利益的不同子群,群成员之间设定信息壁垒,彼此信息孤立,而地缘政治导致的地域壁垒或借助对网络主权的把控,将限制强加于互联网,由此造成的信息孤岛或将不可避免。俄罗斯“自联网”在一定程度上对“信息孤岛”现象起到了加速器的作用。
俄罗斯实施《主权互联网法》是基于当前网络管控现状,美国在互联网领域居于绝对优势地位。近年来,美国废止“网络中立原则”,逐步加强对互联网的控制,2019年,美媒体称从2012年开始,美国已将侦查探测器置入俄罗斯电网的控制系统,试图对其电网发动攻击。因而,美国对俄互联网可造成两重威胁,一是可以控制根服务器,断开俄与互联网的连接,二是可以借互联网伺机对俄发动网络攻击,二者均可使俄关键基础设施无法正常运营。俄《主权互联网法》可从根本上降低美国管控俄互联网的威胁。
(二)网络空间主权化趋势明显 多国立法收紧“网权”
2019年,国家主权因网络技术大发展得到新的内涵,网络主权作为国家主权衍生的新形式,成为国家主权在网络空间的拓展。2019年,泰国、新加坡、英国等国以及欧盟纷纷制订了信息安全法案,其中,英国针对其“脱欧”国策制定新法案《数据保护、隐私和电子通信条例(退欧)》,规定当英国退出欧盟时,英国将不再受《一般数据保护规例》(GDPR)义务的约束,但保留GDPR的域外适用概念。新加坡一向以发展经济为国策,2019年制定了仅针对金融业的新网络安全法案,规定金融机构必须遵守六项主要要求,包括对信息系统及时进行安全更新、部署安全设备以限制未经授权的网络流量等。欧盟推出的2019《欧盟网络安全法案》,该法对加强网络安全结构、增强对数字技术的掌控、履行网络安全义务作出法律规制。而泰国通过的网络安全法颇具争议,该法赋予军方领导国家网络安全委员会至高的权力。允许其凌驾于所有法律程序之上,可访问个人或私人公司的计算机,制作信息的副本,对不遵守规定的人将实施刑事处罚,法案一经推出,随即得到国内外舆论众口挞伐,然而得益于其专制国家特色,该法在国内舆情的众口一词的反对声中正式推广实施。
网络主权是现实世界国家主权映射到虚拟网络空间的产物,这就决定了网络主权一方面是传统国家主权的延伸,另一方面又必然需要适应网络空间的独特属性加以新发展。网络空间虚拟无形,却又无处不在,强力融入一国的政治、军事、经济、人民生活等各个领域,网络主权业已成为具有战略意义的权力资源,成为国家间、国家与非国家行为体之间争夺的焦点。2019年,掌控网络主权成为年度突出特点,深刻体现在信息安全立法领域中。
(三)顶层设计见真章 新技术领域法制化如火如荼
新技术进一步加速人类生产生活的数字化进程,而由新技术引发的治理挑战更具有基础性和普遍性。因而,密切跟踪技术变革和新应用出现,及时完善相关法律,是各国应对网络威胁新变化的一个重要措施。从2019年立法情况来看,信息安全领域的立法侧重于新技术领域。
2019年是5G发展元年,5G带来万物互联的同时,新的风险也随之而来,法国制定《5G网络安全法案》,设立经营审批制度、规定总理审查权力并规定违法惩罚措施。美国批准多项与5G相关的法案,如《2019年安全可信通信网络法案》、《2019年5G及其他安全法案》以及《2019网络安全信息共享法案》等法案,继续围堵我高科技产业,并要求提供一份值得信赖的5G 和未来无线技术设备国内外供应商名单,加强供应链安全。
新一代信息科技的创新和应用,使网络安全屏障的脆弱性更为凸显,加剧了各国安全领域的新关切。对于新技术的掌控程度能给一个国家的经济发展、社会的长治久安以及国防能力带来巨大的质变,网络安全事关国家安全,对网络空间新技术领域立法的重要性随着全球信息化步伐的加快而愈加凸显。
(四) 海量数据蕴含价值 数据保护主义成立法主流
2019年,数据安全治理成为网络治理重点,数据挖掘和数据跨境流动广泛融入现代商业的发展模式中,给国家独立的司法权力架构带来了结构性的挑战。本年度数据安全治理立法呈现出一定的数据保护主义倾向。
2019年,美国制定《国家安全和个人数据保护法》强调数据本地化,严禁数据出境,欧盟延续原有跨境数据管理策略《一般数据保护条例》(GDPR),以隐私保护为优先目的,侧重于对个人数据进行跨境流动处理。6月,埃及通过《数据保护法》,规定禁止向外国转移或共享个人数据,违者将被处以罚款。11月,印度内阁批准《个人数据保护法案》,规定敏感数据和重要数据都必须在印度进行存储和处理。
2019年,数据保护主义抬头,数据鸿沟增大,美等国在数据资源、信息技术、网络信息管控等方面占有垄断地位,总体上看,目前各国政府对数据使用尤其是个人数据的监管更趋严格,数据保护主义倾向严重,数据本地化法律法规相继出台,尤其是限制个人数据的跨境流动。数据保护主义将使国际互联网面临碎片化风险,导致各国数字经济利益不断分化,最终影响世界经济的健康发展。
三、结语
2019年信息安全立法领域出现的新变化,是国际政治格局发生深刻变化、中美摩擦逐渐扩大等因素综合作用的结果。面对复杂的国际形势,世界主要国家纷纷调整安全政策,立法规制,抢夺网络空间规则制定权和网络空间控制权。对此,我应加强独立自主和国际合作,通过“一带一路”等国际合作模式,构建网络空间命运共同体,与俄罗斯等国共同谋求建立符合自身特色的网络空间国际性法规,提升国际网络空间话语权。(卢英佳)
(本文刊登于《中国信息安全》杂志2020年第1期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
