袁纪辉|中国信通院互联网法律研究中心研究员
2022年,美国加快在信息通信领域的立法步伐,围绕网络安全、个人信息和隐私保护、新技术发展和监管等主题出台一系列立法。同时,还有多部进行创新性制度设计的立法尚在制定过程中。美国联邦层面ICT立法不仅对于美国ICT产业发展产生重要影响,而且对于全球相关立法和政策都将产生辐射效应,本文特对相关立法进展进行了总结梳理。
一、已出台的联邦ICT领域重点立法
《加强美国网络安全法》。2022年3月15日,美国总统拜登签署了《加强美国网络安全法》(Strengthening American Cybersecurity Act),该法由《网络事件报告法案》《2021年联邦信息安全现代化法案》和《联邦安全云改进和就业法案》三项网络安全法案措施组成。该法旨在促进联邦机构协作,并要求所有私营机构向网络安全与基础设施安全局(CISA)报告网络攻击情况,从而确保银行、电网、供水和交通等关键基础设施实体在网络遭到破坏时能够迅速恢复。
《关键基础设施网络事件报告法》。2022年3月15日,美国总统拜登正式签署《关键基础设施网络事件报告法》(the Cyber Incident Reporting for Critical Infrastructure Act),该法为《加强美国网络安全法》的一部分,该法明确了关键基础设施实体报告网络事件的流程及基本要求,要求政府部门对网络事件报告进行审查并及时共享,以保证联邦政府对即时网络事件态势的感知。在具体实施上,该法要求网络安全与基础设施安全局(CISA)为关键基础设施组织制定规则,以报告网络事件和勒索软件信息给美国国土安全部,并留存与该法所规定的网络事件和赎金支付有关的信息,以便CISA能够更好地进行部署并向遭受攻击的受害者提供帮助,并与网络防御者快速共享该信息以警告其他潜在受害者。
《优化网络犯罪度量法》。2022年5月5日,美国总统拜登签署《优化网络犯罪度量法》(Better Cybercrime Metrics Act),该法旨在提升网络犯罪数据可见性、提高网络犯罪打击效率。该法从网络犯罪分类、网络犯罪报告、全国犯罪被害调查、网络犯罪指标研究四大维度出发,综合改善了联邦政府“追踪、衡量、分析、起诉网络犯罪的方式”,帮助执法机构更好地识别网络安全威胁、防范黑客勒索攻击、起诉网络犯罪案件。
《国家网络安全防范联盟法》。2022年5月12日,美国总统拜登签署了《国家网络安全防范联盟法》(National Cybersecurity Preparedness Consortium Act),该法将使国土安全部能够与非营利实体合作,开发、主办网络安全培训,以支持防御和应对网络安全风险。[1]
《供应链安全培训法》。2022年6月16日,美国总统拜登签署《供应链安全培训法》(Supply Chain Security Training Act of 2021)[2]。该法要求美国总务管理局为美国政府机构中负责供应链及风险管理的官员制定培训计划。旨在帮助美国官员识别可能的供应链威胁及网络安全问题,提高工作人员在日常工作中信息安全及供应链安全的意识。
《州与地方政府网络安全法》。2022年6月21日,拜登签署《州与地方政府网络安全法》(State and Local Government Cybersecurity Act),该法修订了美国2002年《国土安全法》,促进国土安全部与州和地方政府,以及公司、协会和公众之间在网络安全方面的合作,以解决日益严峻的网络攻击风险。该法要求联邦网络安全官员与各州和地方共享网络安全威胁、漏洞和违规数据,并在网络攻击发生时提供相应的恢复资源。法案通过拨款和合作协议扩大了国土安全部的权责,包括提供与网络威胁指标、防御措施、网络安全技术、网络安全风险和脆弱性、事件响应和管理、分析及警告有关的援助和教育。[3]
《联邦网络劳动力轮岗计划法》。2022年6月21日,美国总统拜登签署《联邦网络劳动力轮岗计划法》(Federal Rotational Cyber Workforce Program Act)。该法旨在提升机构内部建立设计、防御、分析、管理以及运维能力,允许网络安全专业人员在多个联邦机构中轮岗,扩充他们的专业知识。该法还要求人事管理办公室(OPM)发布相关运作计划,提供政策、流程和程序,并列明各机构轮岗雇员的详细资料。[4]
《芯片与科学法》。2022年8月9日,美国总统拜登签署《芯片与科学法》(CHIPS and Science Act),该法全称为《为美国生产半导体创造有益激励法》(Creating Helpful Incentives to Produce Semiconductors for America Act)。该法侧重于扩大美国在国内制造半导体芯片的能力,并降低对外国制造芯片的依赖。《芯片与科学法》为生产计算机芯片的美国公司提供超过520亿美元的资金,对半导体和设备制造25%的投资税收抵免等扶持政策,以吸引芯片大厂赴美设厂,提供数百亿美元用于资助科学研究和开发,并刺激其他美国技术的创新和发展,并遏制中国相关产业发展。[5]中国商务部认为,该法中部分条款限制了企业在中国正常的经贸与投资活动,具有明显的歧视性,严重违反市场规律和国际经济原则,将对全球半导体供应链造成扭曲,干扰国际贸易。[6]
《人工智能劳动力培训法》。2022年10月17日,美总统拜登签署《人工智能劳动力培训法》[7](Artificial Intelligence Training for the Acquisition Workforce Act)。该法要求白宫管理和预算办公室(OMB)将为执行机构的采购人员制定并提供人工智能培训计划,以了解人工智能相关的能力与风险,以提高联邦劳动力的能力和对人工智能技术的理解。[8]
《量子计算网络安全准备法》。2022年12月21日,美国总统拜登签署《量子计算网络安全准备法》[9](Quantum Computing Cybersecurity Preparedness Act)。该法鼓励联邦政府机构采用不受量子计算影响的加密技术,以应对量子计算持续普及带来的风险,保护政府信息的安全。该法要求白宫管理和预算办公室(OMB)与首席信息官委员会合作,向国会提供政府迈向后量子密码标准的最新进展。[10]
《小企业网络培训法》。2022年12月27日,美国总统拜登签署了《小企业网络培训法》[11](Small Business Cyber Training Act of 2022)。该法要求美国小企业管理局(SBA)提高网络规划培训的能力,并更加积极主动地保护数据,提高网络威胁和违规行为的透明度。该法还要求SBA发布一份报告,评估该机构应对网络威胁的能力。
二、在制定中的联邦立法
《美国创新和选择在线法案》。2022年2月,美国参议院司法委员会通过《美国创新和选择在线法案》(American Innovation and Choice Online Act),该法禁止科技公司自我优待,规范科技巨头利用其平台阻挠竞争对手。但目前这一法案并未列入2023年美国支出法案。
《儿童在线安全法案》。2022年2月,美国参议员Richard Blumenthal和Marsha Blackburn等提出了《儿童在线安全法案》,该法案要求社交媒体平台加强对未成年人的保护手段。目前《儿童在线安全法案》在参议院商业、科学和运输委员会审议中。但美国公民自由联盟、民主与技术中心、电子前沿基金会等超过90个民间社会团体已致信参议院反对这一法案,认为其实际上可能对儿童和青少年构成进一步的危险,并阻止儿童获取端到端加密技术。
《促进数字隐私技术法案》。2022年5月,美国众议院通过《促进数字隐私技术法案》(Promoting Digital Privacy Technologies Act),旨在支持隐私增强技术的研究发展,促进数据使用安全可控。该法案目前正在参议院审议中。
《美国数据隐私和保护法案》。2022年6月,美国众议院和参议院商务委员会的主要成员联合发布《美国数据隐私和保护法案》[12](American Data Privacy and Protection Act),这是美国首份获得两党、两院支持的美国联邦层面规制私营部门的综合性隐私保护法草案,旨在联邦层面建立消费者隐私数据保护法律框架。该法案目前仍处于众议院讨论修订之中,美国立法者关于该法案还存在争议。
《改进数字身份法案》。2022年7月,美国众议院监督和改革委员会通过《改进数字身份法案》(Improving Digital Identity Act of 2021)。该法案要求成立政府层面的改进数字身份工作组,为联邦机构选取安全方法,在保护个人的隐私和安全的前提下推进可互操作的数字身份验证。
《新闻竞争保护法案》。2022年9月,美国参议院司法委员会通过《新闻竞争和保护法案》(Journalism Competition and Preservation Act of 2022),目前正在参议院审议中。该法案旨在促进地方性新闻媒体等与占主导地位的科技平台集体谈判,以获得分发其内容的补偿。目前,该法案受到了美国科技巨头及多个民间团体的联合反对。
《外国对手通信透明度法案》。2022年10月,美国美国众议院提出《外国对手通信透明度法案》(Foreign Adversary Communications Transparency Act)。该法案要求联邦通信委员会(FCC)公布持有FCC授权、许可证,且拥有外国敌对政府(包括中国、俄罗斯、伊朗或朝鲜)超过10%或更多所有权的公司名单。
《政府设备上禁用TikTok法案》。2022年12月,美国参议院通过《政府设备上禁用TikTok法案》(No TikTok on Government Devices Act),禁止联邦雇员在政府提供的设备上使用TikTok应用程序。
三、总结
美国在2022年间围绕ICT领域推出了一系列立法。部分立法仅为拨款立法,不牵扯到产业利益纠葛,在立法过程中并无过多阻碍,如《加强美国网络安全法》等。部分立法涉及到国家竞争,引发了引发了世界范围内的高度关注和讨论,也影响着ICT产业的格局,如《芯片与科学法》等。部分在进程中的立法在美国国内引起诸多争议,或将对美国法律体系产生重要影响,如《美国数据隐私和保护法案》等。未来应重点关注《美国创新和选择在线法案》等重要立法走势,分析研究美国立法思路方向,进行积极借鉴应对。
[1]https://www.congress.gov/bill/117th-congress/senate-bill/658
[2]https://www.congress.gov/bill/117th-congress/senate-bill/2201/actions
[3]http://www.ecas.cas.cn/xxkw/kbcd/201115_129311/ml/xxhzlyzc/202208/t20220801_4572724.html
[4]http://www.ecas.cas.cn/xxkw/kbcd/201115_129311/ml/xxhzlyzc/202208/t20220801_4572724.html
[5]https://www.whitehouse.gov/briefing-room/statements-releases/2022/08/09/fact-sheet-chips-and-science-act-will-lower-costs-create-jobs-strengthen-supply-chains-and-counter-china/
[6]https://m.yicai.com/news/101510618.html
[7]https://www.congress.gov/bill/117th-congress/senate-bill/2551/actions
[8]https://mp.weixin.qq.com/s/syc04sRZuVxPL5ml-g03kA
[9]https://www.congress.gov/bill/117th-congress/house-bill/7535/text
[10]https://www.secrss.com/articles/50353
[11]https://www.congress.gov/bill/117th-congress/senate-bill/1687/text?r=104
[12]https://www.congress.gov/bill/117th-congress/house-bill/8152/all-actions?pageSort
声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。