【摘要】近年來,西方國家制定、頒布相關(guān)法律法規(guī),將信息活動納入法律框架。通過立法確保信息安全,特別是通過法律的方式,明確對于不同程度危害信息安全的行為的處罰,是西方各國普遍采用的手段,也是被實踐證明行之有效的手段。
【關(guān)鍵詞】西方國家 信息安全 政府機構(gòu) 監(jiān)管治理 【中圖分類號】D815 【文獻標識碼】A
網(wǎng)絡(luò)時代信息安全的范圍及特點
2017年5月12日,一款利用Windows操作系統(tǒng)漏洞的勒索病毒席卷全球,近百個國家的數(shù)以萬計的電腦遭到攻擊,由此帶來的損失尚難以估量??梢?,在網(wǎng)絡(luò)已經(jīng)構(gòu)筑了世界主要國家生產(chǎn)、生活基礎(chǔ)設(shè)施的現(xiàn)代社會,信息安全跟網(wǎng)絡(luò)安全是密不可分的近義詞,甚至可以說現(xiàn)階段的信息安全主要就體現(xiàn)在網(wǎng)絡(luò)安全上。
信息是構(gòu)成當前社會運行的基本要素。因此,信息安全所涉及的范圍十分寬泛,其主體包括個人、企業(yè)、機構(gòu)、政府組織乃至國家,其主旨是保障信息本身不缺失、不泄露、不失實,不因自然的、人為的或是惡意的干預(yù)攻擊等原因而出現(xiàn)損害、泄露、異?;蛑袛嗟那闆r;同時,信息安全也涉及信息硬件設(shè)施的安全、傳輸渠道的安全、應(yīng)用程序的安全、正當內(nèi)容的安全等多個層次。
在互聯(lián)網(wǎng)環(huán)境下,世界各國都面臨著信息安全的挑戰(zhàn)。僅以美國為例,F(xiàn)acebook、Linkedin、Myspace等社交網(wǎng)站,雅虎、谷歌、微軟等軟件或網(wǎng)絡(luò)服務(wù)企業(yè),以及凱悅酒店集團等企業(yè),均曾經(jīng)遭遇大規(guī)模的用戶信息泄露或被黑客竊取的事件。此外,美國很多地區(qū)也曾在2016年遭遇網(wǎng)絡(luò)攻擊,直接導(dǎo)致網(wǎng)絡(luò)服務(wù)癱瘓。不僅是作為信息網(wǎng)絡(luò)世界第一強國的美國無法避免出現(xiàn)信息安全問題,其他國家同樣如此。例如,2017年5月初,英國文化、媒體和體育部(DCMS)發(fā)布《2017年網(wǎng)絡(luò)安全漏洞調(diào)查》報告稱,近一半(46%)的英國企業(yè)在2016年遭遇過信息泄露或網(wǎng)絡(luò)攻擊,這一數(shù)字在中型企業(yè)和大型企業(yè)中則高達2/3。
從近年來頻發(fā)的信息安全事件所涉主體來看,網(wǎng)絡(luò)時代的信息安全主要體現(xiàn)在微觀、中觀及宏觀三個層面上。在微觀層面,主要是個體的信息安全會受到來自互聯(lián)網(wǎng)的影響。網(wǎng)絡(luò)技術(shù)的發(fā)展讓個體在互聯(lián)網(wǎng)上的行為留下越來越多的痕跡,而當下基于大數(shù)據(jù)、用戶監(jiān)測的智能推薦軟件更讓這種對個體用戶行為的分析與建模在向著逼近真實的角度發(fā)展,必然觸及個體的信息安全。在中觀層面,互聯(lián)網(wǎng)亦會對企業(yè)、事業(yè)單位、機構(gòu)等的信息安全產(chǎn)生影響。當前,企事業(yè)單位等通過網(wǎng)絡(luò)進行信息交換、資源共享、業(yè)務(wù)實施、公文往來、跨境貿(mào)易、資產(chǎn)管理等,幾乎所有業(yè)務(wù)流程都已經(jīng)實現(xiàn)網(wǎng)絡(luò)化,對于信息安全提出了很高的要求。在宏觀層面上,信息安全同樣也包含一個國家和地區(qū)的公共安全,以及一個主權(quán)國家的信息空間主權(quán)的完整與不受侵犯。
西方主要國家在國家層面制訂戰(zhàn)略與政策,宏觀統(tǒng)籌信息安全治理
在信息安全的戰(zhàn)略政策部分,2003年美國便公布了《保護網(wǎng)絡(luò)空間國家戰(zhàn)略》,2013年美國政府責(zé)任辦公室特別發(fā)布了調(diào)查報告《網(wǎng)絡(luò)空間安全:要更有效地定義與實施國家戰(zhàn)略、功能及責(zé)任》。美國的做法是一方面?zhèn)戎鼐W(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全維護,包括設(shè)備的維修、網(wǎng)絡(luò)加密技術(shù)以及網(wǎng)絡(luò)病毒攻擊的阻斷技術(shù)等,其主旨是維護網(wǎng)絡(luò)空間安全;另一方面?zhèn)戎乇O(jiān)控、管理網(wǎng)絡(luò)信息的內(nèi)容,主要包括治理信息的網(wǎng)絡(luò)泄露、色情及暴力內(nèi)容、輿論的煽動,以及散布恐怖信息等非法或不良的傳播活動,其主旨是維護網(wǎng)絡(luò)信息內(nèi)容安全。整體而言,美國對網(wǎng)絡(luò)信息安全的維護戰(zhàn)略從國內(nèi)、國外兩端著手,對內(nèi)倡導(dǎo)“網(wǎng)絡(luò)中立”、對外推行“互聯(lián)網(wǎng)自由”。
在英國,首個《網(wǎng)絡(luò)信息安全戰(zhàn)略》頒布于2009年,這也是其第一次將網(wǎng)絡(luò)信息安全與國家安全政策等同視之。2011年英國再次頒布了新版《網(wǎng)絡(luò)信息安全戰(zhàn)略》,將網(wǎng)絡(luò)安全的戰(zhàn)略級別再次提升,直至與戰(zhàn)爭、恐怖襲擊與自然災(zāi)害共視為國家主要威脅。2016年,英國又發(fā)布了《國家網(wǎng)絡(luò)安全戰(zhàn)略2016-2021》。這些策略主要包括成立網(wǎng)絡(luò)安全中心、開展國民科普、培養(yǎng)高級技術(shù)人才、維護公民信息安全、促進企業(yè)提升安全水準以及開發(fā)更高的國際標準等。2012年,德國公布了《歐洲網(wǎng)絡(luò)信息安全策略報告》,這一報告將網(wǎng)絡(luò)安全戰(zhàn)略聚焦于官方與民間協(xié)作、預(yù)先示警、提升網(wǎng)絡(luò)服務(wù)安全性以及強化地區(qū)協(xié)作等。此外,芬蘭和法國等國家也陸續(xù)出臺了重點防范破壞網(wǎng)絡(luò)基礎(chǔ)設(shè)施、傳播不良信息內(nèi)容以及保障公民多項個人權(quán)益的信息安全戰(zhàn)略規(guī)劃。
西方主要國家加大技術(shù)研發(fā)投入,不斷升級技術(shù)標準
網(wǎng)絡(luò)時代的信息安全具有典型的高技術(shù)特性。對高新科技的不良應(yīng)用和對這種不良應(yīng)用的防御,一直是信息安全領(lǐng)域的主題。作為互聯(lián)網(wǎng)技術(shù)的“創(chuàng)始國”,美國一直致力于借助在互聯(lián)網(wǎng)技術(shù)的頂端位置,通過科技的持續(xù)投入、互聯(lián)網(wǎng)企業(yè)的全球擴張來鞏固技術(shù)的霸主地位。例如,2014年8月美國政府宣布已成立了一個全新的數(shù)字服務(wù)部門團隊(US Digital Service,簡稱USDS),以負責(zé)美國醫(yī)保等諸多政府網(wǎng)站的數(shù)據(jù)服務(wù),當年團隊的預(yù)算額度高達2000萬美元。在企業(yè)收購領(lǐng)域,2016年6月,思科公司收購Cloudlock,這家企業(yè)專門致力于云訪問安全代理(CASB)技術(shù),圍繞云服務(wù)中的用戶行為和敏感數(shù)據(jù)為企業(yè)提供可見性和分析服務(wù),成為思科的“安全無處不在”戰(zhàn)略的一部分,該項收購的標的接近3億美元。類似的收購案例還有很多。
在英國,技術(shù)創(chuàng)新研發(fā)一直被置于網(wǎng)絡(luò)安全防護體系的重要位置。技術(shù)創(chuàng)新側(cè)重于多領(lǐng)域相結(jié)合、基礎(chǔ)性支持以及攻擊恢復(fù)能力的研究。近年來,英國愈加注重技術(shù)人才的儲備,在2014年及2015年,英國分別在多所大學(xué)里設(shè)立專家課程并提出“網(wǎng)絡(luò)安全學(xué)徒計劃”,旨在號召青年人加入網(wǎng)絡(luò)信息安全領(lǐng)域。德國的信息安全技術(shù)研發(fā),一直以來都以核心基礎(chǔ)設(shè)施的防衛(wèi)為主,同時強化網(wǎng)絡(luò)安全技術(shù)。2005年與2008年德國曾分別啟動了用以支持公私聯(lián)合技術(shù)研發(fā)的“關(guān)鍵設(shè)施實施計劃”和“安全合作伙伴關(guān)系計劃”,后者由國家教研部資助。
西方主要國家將信息活動納入法律框架
制定、頒布相關(guān)法律法規(guī),通過立法確保信息安全,特別是通過法律的方式,明確對于不同程度危害信息安全的行為的處罰,是西方各國普遍采用的手段,也是被實踐證明行之有效的手段。
美國作為網(wǎng)絡(luò)技術(shù)的全球發(fā)源地,其頒布過的網(wǎng)絡(luò)信息安全相關(guān)法條眾多,至今共計已高達一百余部,涉及計算機系統(tǒng)的運行標準、信息處理的方法和具體技術(shù)操作、不同群體的網(wǎng)絡(luò)權(quán)益等領(lǐng)域,對破壞網(wǎng)絡(luò)基礎(chǔ)設(shè)施的犯罪行為也制定了嚴格的懲處標準。在網(wǎng)絡(luò)信息安全方面,美國有嚴格的數(shù)據(jù)信息保密法,如規(guī)定公民隱私權(quán)不容侵犯且使用者有義務(wù)對信息進行保密等。“9·11事件”發(fā)生后,美國將打擊恐怖主義作為信息安全的管理重點,政府甚至限定各項法律的建立皆需以首先保證互聯(lián)網(wǎng)戰(zhàn)略與信息安全為前提。
德國于20世紀70年代制定個人信息保護法,其主要動因在于試圖限制國家對公民個人信息的處理。1977年其制定了首部《聯(lián)邦資料保護法》,并于2009年制定了《聯(lián)邦信息技術(shù)安全法》,2013年再次修訂,其主要目的在于確?;ヂ?lián)網(wǎng)企業(yè)落實保護網(wǎng)絡(luò)信息安全的相關(guān)責(zé)任。
在亞洲國家里面,日本早在1988年就制定了《關(guān)于保護行政機關(guān)所持有之個人信息的法律》;2003年5月頒布了日本《個人信息保護法》,并相繼制定、頒布了針對行政機關(guān)、獨立行政法人等持有個人信息機關(guān)的多部法律。針對公共部門,韓國于1994年1月7日制定了《公共機關(guān)個人信息保護法》,于1995年1月8日起正式實施;在2011年3月29日公布了《個人信息保護法》,規(guī)定了個人信息保護的基本原則、個人信息保護的基準、信息主體的權(quán)利保障、個人信息自決權(quán)的救濟等。
借助國際組織,掌握技術(shù)標準或治理規(guī)則
美國聯(lián)邦政府中雖然沒有設(shè)立專職負責(zé)網(wǎng)絡(luò)與信息安全問題的機構(gòu),但負責(zé)分散承擔(dān)網(wǎng)絡(luò)信息安全管理的具體組織部門數(shù)量眾多。這些組織和部門主要由上級委員會領(lǐng)導(dǎo),例如“總統(tǒng)關(guān)鍵基礎(chǔ)設(shè)施保護委員會”等。這些直屬委員會都由政府設(shè)立,成員來自不同的內(nèi)閣部門,負責(zé)分散承擔(dān)網(wǎng)絡(luò)信息安全管理的具體組織機構(gòu)還會下轄不同的地方行政機構(gòu)。在日常工作中,整個組織體系有機配合、形成合力,共同行使保障國家信息安全的管理職能。同時,美國商務(wù)部長期通過總部設(shè)在華盛頓的民間團體互聯(lián)網(wǎng)域名與地址管理機構(gòu)(ICANN)實際實現(xiàn)對互聯(lián)網(wǎng)的管理霸權(quán),即使美國商務(wù)部同意于2016年10月開始把互聯(lián)網(wǎng)域名管理權(quán)正式移交給ICANN,但實際上,全球互聯(lián)網(wǎng)的13臺根服務(wù)器,仍然大多數(shù)在美國手中,而且國際互聯(lián)網(wǎng)工程任務(wù)組(IETF)、萬維網(wǎng)聯(lián)盟(W3C)、國際互聯(lián)網(wǎng)協(xié)會(ISOC)這樣的互聯(lián)網(wǎng)領(lǐng)域的標準制定組織仍然在美國的科技界占據(jù)主導(dǎo)地位,制定全球大多數(shù)的網(wǎng)絡(luò)技術(shù)標準。
除了美國之外,歐盟這樣的區(qū)域一體化組織同樣是各成員國進行信息安全治理的重要憑借。1995年,剛剛成立不久的歐盟即出臺《關(guān)于涉及個人數(shù)據(jù)處理的個人保護及此類數(shù)據(jù)自由流動的指令》。據(jù)此,歐盟各成員國相繼制定了個人數(shù)據(jù)資料保護法或者類似的法律。此后,歐盟通過了多部指令、原則或建議等不同形式的組織法規(guī),從而敦促各成員國內(nèi)有效地建立起了有關(guān)網(wǎng)絡(luò)隱私權(quán)保護的統(tǒng)一的法律體系。此外,歐盟成立了歐洲信息安全局,該機構(gòu)作為超越成員國和歐盟委員會之外的機構(gòu),對促進各利益主體間的協(xié)作具有基礎(chǔ)性意義。
強化具體操作規(guī)范的執(zhí)行,確保信息安全治理效果
在具體操作規(guī)范的執(zhí)行方面,面對當前“信息大爆炸”的時代背景,世界各國對網(wǎng)絡(luò)信息的審查與管控能力皆不斷受到挑戰(zhàn)。在美國,面對浩如煙海的網(wǎng)絡(luò)信息環(huán)境,司法機關(guān)通過一系列的摸索與實踐,最終形成了一種對網(wǎng)絡(luò)信息既進行一定限制,但又盡力避免以立法方式對言論自由范圍做“一刀切”的范式。美國法院倡導(dǎo)對個案進行逐個判斷,再評估政府是否有管制該信息的足夠理由。美國依此總結(jié)出了一系列的信息審查原則,已在全球眾多國家被廣泛討論甚至借鑒引入。
英國曾于2008年發(fā)布過一份旨在使國家執(zhí)法機關(guān)在打擊網(wǎng)絡(luò)信息犯罪時,能夠獲得必要關(guān)鍵資料的“監(jiān)聽現(xiàn)代化計劃”,其要求互聯(lián)網(wǎng)及通訊企業(yè)搭建有能力保存用戶信息的數(shù)據(jù)平臺。該計劃可同時用于阻擊常規(guī)網(wǎng)絡(luò)犯罪與嚴重的恐怖襲擊。2014年英國還通過了《緊急通信與互聯(lián)網(wǎng)數(shù)據(jù)保留法案》,批準執(zhí)法機構(gòu)在必要時可以提取網(wǎng)絡(luò)使用者的信息。
作為正處于轉(zhuǎn)型時期的發(fā)展中國家,我國網(wǎng)絡(luò)信息安全面臨著愈加嚴峻、復(fù)雜的挑戰(zhàn)。我國除了在立法、制定政策、提高信息素養(yǎng)、提升企業(yè)自律水平等方面進行改善之外,還需進一步增強在國際組織中制定標準的話語權(quán)。我們需要在借鑒西方國家先進信息管理經(jīng)驗的同時,結(jié)合我國實際,以期最終形成符合我國國情、媒介發(fā)展趨勢、我國大眾心理特性,以及防控并重且兼顧穩(wěn)定性、靈活性與科學(xué)性的信息安全監(jiān)管治理體系,為具有中國特色的社會主義和諧社會創(chuàng)建更加安全的信息環(huán)境。
(作者為清華大學(xué)國家文化產(chǎn)業(yè)研究中心副主任,清華大學(xué)文化創(chuàng)意發(fā)展研究院副院長、研究員)
【參考文獻】
①張志華、蔡蓉英、張凌軻:《主要發(fā)達國家網(wǎng)絡(luò)信息安全戰(zhàn)略評析與啟示》,《現(xiàn)代情報》,2017年第1期。
②尹建國:《美國網(wǎng)絡(luò)信息安全治理機制及其對我國之啟示》,《法商研究》,2013年第2期。
責(zé)編/張寒 美編/李祥峰
聲明:本文為人民論壇雜志社原創(chuàng)內(nèi)容,任何單位或個人轉(zhuǎn)載請回復(fù)本微信號獲得授權(quán),轉(zhuǎn)載時務(wù)必標明來源及作者,否則追究法律責(zé)任。