信息安全治理的域外经验
支振锋信息安全是日益数字化、网络化和智能化社会的基础性问题。信息安全领域宽泛,既包括网络空间得以安全稳定运行的互联网基础设施安全,也包括在新技术新应用新业态中起基础性驱动作用的数据安全,还包括对国家政治和社会稳定有重大影响的内容安全。在美国“棱镜计划”为斯诺登披露之后,世界各国前所未有地重视信息安全,并在战略设计、技术创新和法规政策上取得一系列进展,其中有不少值得为我国所借鉴的经验。
信息安全成为国家安全和发展战略的重要部分。作为全球网络空间的主要缔造者,美国很早就意识到信息安全的重要意义,并把信息安全纳入到国家安全整体框架之中,从观念、理论、战略和行动上丰富了信息时代国家安全的内涵。近半个世纪来,美国通过1978年《第12065号总统行政令》、1987年《关于通信和自动化信息系统安全的国家政策》、1988年《保护美国关键基础设施》、1997年美国国防小组提交的《转变中的国防:21世纪的国家安全》、2000年国会研究署提交的《关于网络战的战略报告》、2003年《网络空间安全国家战略》等举措,国家信息安全政策渐成体系;近十年来,美国国家信息安全政策不断扩张,2011年发布《网络空间国际战略》《网络空间行动战略》,将网络空间与陆海空天一起并列为美军的“行动领域”。特朗普政府和拜登政府更是将网络安全置于国家安全中更加优先的地位,2021年5月拜登签署关于增强国家网络安全的行政命令,提出要加强基础设施的安全可信,2022年9月美国网络安全和基础设施安全局(CISA)发布综合性的《网络安全战略规划2023-2025》。英国、德国、法国也都在信息安全领域较为“先知先觉”,不断出台相关网络或信息安全国家战略,近期更是跟随美国,滥用国家安全名义,对华为等中国高科技公司进行不正当限制。而由于特殊的战略环境,俄罗斯对信息安全同样敏感,早在1995年就在讨论《俄罗斯联邦信息安全纲要》中提出“信息安全”概念,1997年在《国家安全构想》中明确提出信息安全是经济安全的重中之重,并于2000年正式由普京总统签署《国家信息安全学说》,构筑“未来国家信息安全政策大厦”。特别是2014年以来,随着与西方关系的变化,俄罗斯在信息安全国家战略和法规政策上不断出台新政策、新举措,2021年7月发布新版《国家安全战略》,为维护国家安全奠定更加坚实的信息底座。
关键信息基础设施安全成为信息安全的重中之重。现代社会数字化程度日益加深,公共通信和信息服务,以及能源、交通、水利、金融、电子政务等重要行业和领域信息系统一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益,成为需要重点保护的关键信息基础设施。近年来,网络攻击、勒索攻击、利用安全漏洞的攻击、数据泄露事件等层出不穷,有些甚至是国家层面发起的攻击。早在20世纪末的克林顿时期,美国就着手出台关键信息基础设施领域保护的政策和法律,确立保护机构,明确职责分工。2021年,在美国成品油供应商科洛尼尔和最大肉类加工商JBS被网络勒索之后,白宫迅速发布第14028号行政令《提升国家网络安全》和《改善关键基础设施控制系统网络安全的国家安全备忘录》,2022年3月拜登又签署了《关键基础设施网络安全事件报告法》;欧盟高度重视整体层面的网络攻击防御和复原能力,欧洲议会2021年通过《关于欧盟数字十年网络安全战略的决议》,重申为欧盟关键基础设施建立新的、强大的安全框架的重要性;新加坡《2021年网络安全战略》进一步明确和强化关键信息基础设施保护过程;澳大利亚《2022年安全立法修正案(关键基础设施保护)法》就关键信息基础设施保护进行了新的探索。在安全环境急剧变化的情况下,俄罗斯更加强调关键信息基础设施的保护和防御,普京总统在2022年3月底签署总统令,要求关键信息基础设施部门自2025年1月1日起全面禁用外国软件,还要求政府在最短时间内建立一个现代化的国产电子元件基地。
数据安全成为信息安全的基础性问题。数据是映射世界的符码,更是数字经济的关键要素,智慧治理的基础支撑。数据承载着个人、市场主体与国家的大量信息,关系到公民个体人格权益、市场主体财产权益以及国家安全和社会公共利益。美国虽然在数据与个人信息保护上立法较为碎片化,但联邦和州层面通过各种专门立法,已经形成了数据安全保护的制度体系。特别是,美国奉行“数据霸权”,不停以“数据安全”为借口抹黑中国产品,以“用户隐私”为由叫嚣封杀制裁Tiktok等平台,大肆在数据领域实施“长臂管辖”,企图焊造全球“数字铁幕”。欧盟特别注意数据和个人信息保护,1995年就通过《数据保护指令》,2016年通过《通用数据保护条例》,2022年又通过《数字服务法》和《数字市场法》,形成了在全世界都极有特色的严密数据安全法律体系。特别是在数据跨境流动问题上,不同国家和地区之间在数据安全方面存在严重的信任危机,2000年和2016年欧盟与美国先后签订《安全港协议》和《隐私盾协议》,但均被欧盟法院判决无效。2022年3月,美欧宣布达成《跨大西洋数据隐私框架》,10月美国总统拜登签署《关于加强美国信号情报活动保障措施的行政命令》,12月欧盟委员会启动了《欧盟-美国数据隐私框架充分性决定草案》的推进进程。
内容安全成为信息安全的焦点议题。剑桥分析事件不仅导致脸书付出了50亿多美元的代价,也引发了美国对大型社交媒体平台的警惕,开始讨论《通信规范法》第230条对平台责任的豁免问题。2020年,时任美国总统的特朗普签署《防止在线审查行政令》。欧盟、英国、法国、德国、俄罗斯、巴西等纷纷出台法律,对社交媒体进行规范,强化内容治理。
供应链安全成为信息安全的前瞻性关切。由于现代产品和服务依赖于供应链,产品的组件和软件来源众多,设备可能在一个国家设计而在另一个国家制造,这意味着产品可能包含恶意软件、易受到网络攻击,而供应链本身存在的安全漏洞也会影响公司安全基线。美国从小布什政府时期就开始重视供应链安全,特朗普政府上台后进一步完善了产业链供应链安全体系的战略设计,关注重点也由灾难性风险转向了大国政治博弈风险。2021年2月24日,拜登总统签署行政令,要求对半导体、新能源电池、关键矿物和医药用品四大关键领域的供应链弹性进行评估,6月8日,白宫发布了题为《建设有弹性的供应链,振兴美国制造业,促进广泛增长:根据第14017号行政命令的百日评估》的报告,此后美国通过2021年《两党基础设施法》,2022年《芯片和科学法》和《削减通胀法》,不断强调供应链安全。英国、欧盟以及其他国家和地区也都把产业链供应链安全视为国家安全的重要关切而投入大量立法、规制和政策资源。
党的二十大报告提出,以新安全格局保障新发展格局,强化网络、数据等安全保障体系建设。信息安全是一项长期、复杂、系统的综合工程。在以中国式现代化全面推进中华民族伟大复兴新征程上,必须坚持以习近平总书记关于网络强国的重要思想为指导,统筹中华民族伟大复兴战略全局和世界百年未有之大变局,以高水平信息安全促进高质量发展,构筑国家竞争新优势,塑造数字文明新形态。
作者:支振锋:中国社会科学院法学研究所研究员、中国社会科学院台港澳法研究中心主任、《环球法律评论》杂志副主编,博士生导师。
来源:《经济日报》2023年1月4日第11版。