Strategy and Legal System Changes of American Cybersecurity Monitor and Its Enlightenment
-
摘要:
美国网络安全战略逐步演进,以保护网络空间关键基础设施为中心,发展出针对政府部门与私营企业之间合作、促进网络公共信息共享和保护公民信息隐私安全和自由三方面的应对战略,通过系列行政命令、行政指令以及联邦法律等上升为国家战略。随着网络安全政策的成熟,美国现行分散式立法已不能满足需求,政府和国会积极推动综合性网络安全立法。中国是国际互联网经济与安全体系的重要成员,独立的国家利益和主权保护需求,决定了必须建立自身内在逻辑连贯的互联网战略框架及制度化体系。美国互联网战略与法制变迁提供了思考中国互联网治理秩序建构问题最相关的参照系,值得进行有针对性的吸收借鉴。
Abstract:The U.S. cybersecurity policy has evolved and developed a three-sided strategy synergy. Focusing on the protection of critical infrastructure in cyberspace, these strategies consist of cooperation between government departments and private companies, promotion of online public information sharing and coping strategies to protect the privacy and freedom of citizen information privacy. These solutions have been promoted to national strategies through a series of executive orders, administrative instructions, and federal laws. With the maturity of the U.S. network security policy, the current decentralized American legislation in this area can no longer meet the demand. The U.S. government and congress have actively promoted comprehensive cybersecurity legislation. On the other hand, China, as an important member of the international Internet economy and security system, has its own independent national interests and sovereign protection needs, which determines that China must have its own internal logical coherent Internet strategic framework and institutionalized system. Thus, the changes of the U.S. Internet strategy and legal system provide the most relevant reference for systemic thoughts on the construction of China's internet governance order, and so are worthy of absorption.
-
一、 引言
随着信息技术在社会各领域的深度应用,以互联网为中心的“风险社会”[1]正在加速形成。当代社会交往和人类活动呈现出无时不网、无网不在的基本特征,甚至出现反文化思想和自由主义思想结合的《网络空间独立宣言》[2]。通过互联网,人们可以进行虚拟交易、干预选举政治、攻击国家与商业秘密、侵犯个人隐私、策动战争或暴乱等,这些行为在传统法律监管框架内很难予以有效追踪、识别和应对。因此,互联网的法律治理成为对传统主权秩序的重大挑战,但也是推进国家治理现代化的重大契机[3]。
美国是世界互联网的超级大国,也是互联网根服务器与技术标准的“主权国”,对互联网全球治理秩序的形成起着至关重要的作用。在美国,互联网不仅是一种便利化的交往平台,还是国家推行相关战略的重要政策工具。当然,也是国家安全领域的重要威胁来源。特朗普的“通俄门”事件就与互联网领域发生的选举干预及黑客行为有关。
中国正在成长为互联网大国,互联网用户激增,互联网在公私生活中的多层次应用迅猛发展,在带来新经济繁荣及人际交往便利化的同时,也引发了社会安全与国家安全领域的诸多风险。文章认为,对美国互联网治理中的战略演变与法制变迁的考察与分析,有助于人们建立一种关于互联网法理学的比较法框架。在中国《网络安全法》实施将近三年,配套法律法规不断完善的背景下,借鉴美国战略与立法的经验,将对中国网络安全监控及互联网法律秩序的建构,起到重要的推动作用。
二、 互联网战略:美国国家安全的新领域
美国的互联网战略奠基于1990年代克林顿政府时期,与克林顿的“新经济”战略及新型国家安全战略框架的修正发展有关。小布什时期为应对恐怖主义及其他威胁而继续发展互联网战略架构。奥巴马时期出现了关于互联网战略的新思考与修正。这些战略演变有着美国国家战略指导思想与内在制度逻辑的一致性和连续性,也包含了因恐怖主义及经济社会风险变迁而进行的调整。
特朗普时期的网络安全战略基本延续之前的架构,尚未出现重大的结构性修正。但“通俄门”事件表明,美国网络安全监控的战略与法制框架仍然存在漏洞,特朗普政府也在致力于弥补和升级相关的网络系统安全配置架构。
(一) 克林顿政府网络安全战略架构
随着政府和社会生活同互联网高度融合,以及打击恐怖主义要求的持续加强,20世纪90年代末以来,美国政府逐渐开始关注网络空间中关键基础设施的安全。
1. 第13010号行政命令
克林顿政府于1996年7月发布第13010号行政命令(E.O.13010),指出除对关键基础设施的传统物理威胁外,还有其信息部分面临着网络威胁,即可能由于受到攻击而产生一系列负面影响。在该命令中,不仅包含电力、通信、能源设施,也包含金融、运输等一切攸关公众利益的重要设施,也首次提出可由私营企业管理和运营关键基础设施,并由政府与这些私营企业展开公私合作。该命令还提出要建立“保护关键基础设施委员会”(PCCIP),主要负责网络安全计划研发等事项[4]。
2. 第63号总统命令
第63号总统命令,即《克林顿政府关于保护关键基础设施的政策》(PDD-63)。1998年5月,克林顿签署了PDD-63,指定美国联邦调查局内部的国家关键基础设施保护中心(NIPC)肩负起各分管部门统合者的角色,发挥好沟通桥梁作用,让公私之间在面对网络安全威胁时能够保持有效沟通,使相关信息能够共享。不同的联邦部门分工负责相关领域保护工作,如银行和金融方面的网络安全保护工作由财政部主管。该命令中,“强化公私合作”的思路继续得以贯彻,提出成立“国家基础设施保护委员会”(NIAC),其成员包括各级政府官员,也包括一些私营企业代表[5]。
3. 《全球时代的国家安全战略》
2000年12月1日,克林顿签署了《全球时代的国家安全战略》。信息网络安全被纳入这份战略,并成为美国国家安全战略至关重要的一环。签署该战略成为克林顿政府以来美国网络安全政策史上的一项重大事件,标志着在美国国家安全战略框架中,网络空间安全拥有了重要地位。
(二) 小布什政府网络安全战略架构
“911”事件后,为进一步打击恐怖活动,小布什提出诸多网络安全政策,并对政府组织架构进行调整。
1. 第13231号行政令
第13231号行政令,即《信息时代的关键基础设施保护》(E.O.13231)。2001年10月16日,小布什颁布该命令并指出,如果关键基础设施不能得到有效保护,尤其是网络方面保护,则商业秩序将出现混乱,政府工作不能有效开展,国家安全也将受到威胁。克林顿时期建立的“保护关键基础设施委员会”,被重新组织并命名为“总统关键基础设施委员会”(PCIPB),国务卿、网络安全相关政府部门,以及美国总统国家安全事务助理等,都是该委员会成员,委员会主席、副主席由美国总统任命[6]。PCIPB组成人员中多为政府高官,可见美国政府对网络关键基础设施保护的重视程度。
2. 《关键基础设施保护法案》
2001年10月26日,小布什政府颁布《爱国者法案》(PATRIOT Act)[7],该法案第1016条(第10章)对网络安全事项予以规定,即《关键基础设施保护法案》,凸显了针对关键基础设施的保护,政府和私营企业间展开公私协作的重要性。该法案中,“关键基础设施”被定义为“对美国来说,十分关键的、十分重要的现实资产或虚拟资产。如果关键基础设施保护不力,遭到破坏,则国防安全、经济安全等都将受到十分严重的影响”。较之于克林顿时代的定义,此定义外延进一步扩大,被后续一系列美国安全立法所接受。该法案提出设立“国家基础设施模拟与分析中心”(National Infrastructure Simulation and Analysis Center, NISAC),负责统计并汇总联邦政府与地方之间、公私之间的各项数据,针对非法侵入或攻击关键基础设施的情形进行演习、情景模拟和对策分析,提出有针对性的政策建议[8]。
2002年11月25日,美国新组建国土安全部,其管辖部门中涉及网络安全的,一是国家网络安全司(National Cyber Security Division,NCSD),肩负着保护美国网络资产不受到侵害、网络系统安全有效应对风险的责任。每隔两年实施“网络风暴”演习,对关键基础设施是否有网络风险关键应对能力及其水平进行评估。二是国家基础设施协调中心(National Infrastructure Coordinating Center,NICC),负责全面无死角监控关键基础设施,掌握具体情况,向相关私营公司及上级部门提供意见建议。三是基础设施保护办公室(Office of Infrastructure Protection),肩负促进公私合作的责任。在保护关键基础设施方面,力图强化政府与私营部门间的合作,建立长期有效稳定的合作关系[9]。
3. 《网络空间安全国家战略》
2003年2月14日,小布什政府颁布《网络空间安全国家战略》。其提出的总体战略目标有:使关键基础设施免受打击,尤其是网络打击;使网络安全漏洞得以减少;使网络攻击所造成的负面影响降至最低[10]。为此,政府优先促进目标有:建立风险响应系统,及时发现问题并作出响应;设立国家项目以控制潜在网络威胁;设立国家项目以加强网络安全预警;保障政府机构网络安全;积极参与网络安全国际合作,拓宽网络犯罪打击渠道[10]。
该战略中,作为主管网络安全事务的核心机构,国土安全部是部门间、政府间的沟通桥梁,尤其是公私主体间、联邦政府同州政府间的沟通桥梁。国土安全部可制定相关国家计划,保障关键基础设施和重要资源,进行危机管理,提供技术支援、预警信息以及详细应对建议,并投入资金用于网络安全科技创新研发,发展关键技术[10]。该战略特殊点在于,进一步扩大了关键基础设施的外延,首次纳入邮政、农业、化工业等关乎国计民生的行业产业[10]。在小布什政府同时颁布的《关键基础设施和重要资产的物理保护国家战略》中,首次提出“重要资产”的概念,包括国家历史遗迹与标志性建筑、核电站、政府设施及重要商业设施等[11]。
4. 第7号国土安全总统指令
2003年12月17日,小布什颁布了第7号国土安全总统指令(HSPD-7)。废止PDD-63及相关政策,对于重要的十四类关键基础设施以及国家关键资源,要求联邦政府尽快明确,在顺位上予以优先保护,使其免遭恐怖活动打击。这一指令也将农业设施列入关键基础设施的保护范围,将之作为在社会中,为维持最低经济水平,及维持政府运行,涉及到的关键性公私资源[12]。此外,HSPD-7落实了国土安全部的职责,提出内政部负责对“国家历史遗迹和地标”加以保护,国土安全部和核管理委员会对能源核设施加以保护[13]。
5. 第54号国家安全总统指令
2008年1月,小布什签署第54号国家安全总统指令(NSPD-54),即第23号国土安全总统指令(HSPD-23)。该文件因涉密,当时并未向社会公布[14]。2010年3月20日,奥巴马宣布公开其中部分内容,以推进信息公开、推动网络安全相关工作。从公开内容中发现,这一指令涉及如下重要目标:一是增强快速响应能力和态势感知能力,尤其在网络威胁事件发生后及时处理,建立防御体系,抵抗现实威胁,防止威胁入侵联邦政府内部。二是加强网络安全反情报能力,全方位防御和防范网络威胁。三是加强网络安全教育,巩固网络空间安全环境。
(三) 奥巴马政府网络安全战略架构
2009年2月,奥巴马上任即签发《第1号总统安全指令》,全面评估相关网络安全政策实效[15]。
1. 《网络空间政策评估——确保可靠的和灵活的信息与通信基础设施》
2009年5月29日,奥巴马政府公布了《网络空间政策评估——确保可靠的和灵活的信息与通信基础设施》[16],强调网络安全风险是21世纪最严重的国家安全挑战之一,保障网络安全对于保护公民权利和隐私至关重要,也能促进效率,推进创新,形成经济繁荣和自由贸易的良好环境。该报告一是强化网络空间领导层的安全性,进一步增强和发挥联邦政府的引领地位;二是建设数字化政府,提升公民网络安全意识,在社会各领域开展网络安全教育,普及扫除电脑病毒的方法,将网络安全落实为各级政府及主管部门的责任;三是增强公私合作,维持并完善两者合作伙伴关系,评估其中可能存在的障碍,与国际社会一道展开网络治理合作,共同打击网络犯罪;四是创建行之有效的应急处理机制,出现问题及时进行信息共享,及时作出应急反应,建立信息共享及应急处理框架,提高安全性;五是鼓励技术创新,发展相应科学技术,助力保障网络安全;六是提出十项投资促进机构和十四项中期行动计划[17]。评估公布之后,网络安全专门办公室应运而生[18]。
2. 国家基础设施保护计划
2009年6月,奥巴马政府修订并发布“国家基础设施保护计划”(NIPP),宣布每年12月是国家关键基础设施保护月,国土安全部负责组织具体行动,如发布公益广告等,多头并进提高网络安全意识,更好地保护公私关键基础设施免遭网络攻击。强调保护国家资源,鼓励人们参与积极,提高国家安全及风险应对能力[19]。
3. 美国国家安全战略
2010年5月27日,奥巴马政府宣布“美国国家安全战略”。第三部分“促进美国利益和安全”中,在“确保网络安全”项下,提出网络安全威胁是当前美国最严重危机之一,恐怖分子和有组织犯罪集团利用黑客对美国网络安全进行攻击,网络核心技术较发达的国家和地区对美国发动网络威胁。必需采取措施预防网络攻击,并在攻击发生后快速处置,恢复秩序。另外,需加大网络安全人才资金和技术支撑,加大政策扶持力度。加强公私之间(政府及私营部门)、公公之间(各级政府及政府部门)、内外之间(国内国外)合作关系。该战略也格外重视数字基础设施保护的全球合作,努力制定各国认可的网络空间国际行为规范[20]。
4. 《网络空间国际战略:互连世界的繁荣、安全与开放》
2011年5月16日,美国白宫、国务院、司法部、商务部、国土安全部和国防部联合发布了《网络空间国际战略:互连世界的繁荣、安全与开放》这一战略。奥巴马在前言中提到,这是美国制定的首个全面的网络空间战略,这一战略由政府机构、私营部门及国际盟友共同运作。该战略旨在创建“开放、互通、安全、可靠”的网络空间,并描绘了经济、国防、执法和外交等各领域的蓝图。该战略提出几项政策优先事项,包括主导国际标准制定,加强保护知识产权,鼓励开展相关创新,开放相关领域市场。保证网络安全可靠运行,加强执法队伍间的合作。在工作中引入相关国际规则。加快建设“网络军队”。建立多方力量参与的互联网国际治理结构。注重保障互联网自由等[21]。时任国务卿希拉里声称上述政策优先事项已成为美国网络外交重要组成部分,美国将在这些政策领域继续发挥引领作用[22]。
5. 第13636号行政令
第13636号行政令,即《增强关键基础设施网络安全》。2013年2月12日,奥巴马签署该行政令,旨在避免网络袭击,保障关键基础设施安全。该行政令提到,未来世界,信息战、网络战日益成为国家安全的重大威胁。政府要积极开展公私合作,发挥市场力量,吸收社会主体关注网络安全。要搭建共建共治共享的网络安全框架,加强网络攻击事件信息共享,降低网络安全风险,尤其是关键基础设施风险。要由国家标准与技术研究所(NIST)制定“网络安全框架”。要由私营企业接手网络安全项目,更好为社会和政府服务。要明确“网络安全框架”具体时间安排,明确其对个人隐私、个人信息的影响。要加强政府机构的政策协调,实现更加广泛的信息共享。由于行政命令没有高位阶的法律效力,所以美国政府希望该行政命令能升格为法律。
6. 《美国国防部网络战略》
2015年4月23日,美国国防部颁布《美国国防部网络战略》,这是2011年12月12日战略的升级版。新战略确定了三项任务:一是保护国防部网络信息系统不受侵犯;二是保卫美国国家利益免遭网络袭击;三是集结人力物力发展网络军队。该战略构画的目标有:开展相关建设,增强网络空间作战能力;保护国防部网络系统,确保相关数据安全;保护美国的利益不受网络攻击,避免恶性网络袭击事件发生;建立网络安全预案,提升预案针对性、可操作性;加强网络空间国际合作,联手盟友制止网络袭击,打击网络犯罪。
(四) 特朗普政府网络安全战略架构
特朗普政府关于网络安全的政策性文件,如表 1所示。
表 1 特朗普政府关于网络安全的政策性文件时间 文件 2017年2月 2018财年预算草案 2017年5月 建立美国技术委员会总统行政令 2017年5月 增强联邦政府网络与关键基础设施网络安全 2017年12月 国家安全战略报告 2018年2月 2019财年预算草案 2018年5月 网络空间安全战略 2018年7月 2018年网络空间中的外国经济间谍活动 2018年8月 2019财年国防授权法案(NDAA2019) 2018年9月 国家网络战略 结合特朗普政府发布的以上文件,美国关键网络安全利益可归纳为以下四个方面:一是保护国内安全,特别是保护其信息网络关键基础设施免遭网络攻击;二是保护事关经济安全和商业技术秘密的基本数据,2017年美国国家安全战略明确指出数据安全的重要性,而网络数据保护又是其中关键;三是将网络攻击和防御能力升级为基本竞争优势,2011年美国国防部发布第一份“网络战略空间报告”,强调网络攻击防御能力的重要性, 2017年美国国家安全战略报告再次重申;四是通过网络空间扩大美国影响力,通过强大的技术能力在网络世界中保障自身的行动自由,为世界制定行为规范,如通过大规模盗窃数据打破目标国家的网络防御,同时批评来自中国的国家监管政策[23]。
2018年9月出台的《国家网络战略》,是美国近十五年来首份网络空间安全战略。这一战略基于国家安全战略,提出了美国在网络空间的安全计划,承袭了美国政府保护网络空间安全的一贯理念,确立了美国在网络空间安全领域的优先目标,标志着特朗普政府“进攻优先”网络战略基本成型。这对现实国际关系、全球经贸以及美国自身都将带来极大影响。从内容上看,该战略把2017年的美国家安全战略核心内容逐条映射到网络空间,确保实现保护美国国土安全、推动美国持续繁荣、提高美国国际事务主导能力的目标。
同奥巴马政府的网络安全政策相比,特朗普政府对涉及网络安全的网络自由、治理模式有所转变。一是对网络自由的态度不同。奥巴马在任时强调网络空间数据信息不受干扰自由流动,倡导网络自由,然而,受国内网络生态变化和近年频发的数据泄露、黑客攻击等网络安全事件影响,特朗普政府对待网络自由的态度有所转变。2018年6月11日,特朗普废止前政府通过的《开放互联网法令》,对网络自由的态度趋严。二是网络空间治理模式有所转变。奥巴马时期,出台的网络安全政策性指令、战略性文件较多。发布《网络空间国际战略:互连世界的繁荣、安全与开放》,意味着美国要把主导国际网络空间建设的主动权牢牢握在自己手里。但是,正如特朗普本人在许多事务上的一贯风格,特朗普政府在这个领域的态度摇摆不定,美国在全球网络治理中的领导权存在不确定性。与特朗普政府的其他治国理念一致,对网络空间的治理,特朗普政府更推崇双边谈判而非多边协作的治理模式[24]。这在客观增加了达成网络治理共识的难度。三是对于网络安全,两任政府由不同职能部门予以负责。特朗普对奥巴马政府的职能部门大力调整,试图确立美国国防部在这一领域的主导地位,由网军司令部来主要负责保护关键基础设施,对网络攻击威胁加强防御,同时相应提高国土安全部的权威和工作能力[25]。
从上述政策发展演变可见,美国国内与国外网络空间安全的立法和政策既多元多边又一脉传承。随着互联网科技日新月异,美国网络安全政策更趋完善,更加专业,互联网领域的国际话语权日益提升。公私合作、共享流通网络安全信息、保障个人隐私和公民自由,是这几轮政策变迁的核心脉络。
三、 美国网络安全和个人信息保护的法制变迁
美国网络安全战略的具体执行,有赖于法制化的行政命令和国会立法。行政毕竟属于政策范畴,只有转化成法律、法规,才能成为美国公民共同的行为准则和司法裁判依据。21世纪以来,美国的网络安全立法主要包括《网络安全增强法案》(2014年)、《自由法案》(2015年)、《网络安全信息共享法案》(2015年)、《澄清境外数据合法使用法案》(2018年)等。
(一) 《网络安全增强法案》(2014年)
该法案于2014年12月18日由奥巴马签署,旨在建立公私间持久自愿的合作伙伴关系,改进网络安全研发,普及公众安全教育。其核心内容如下:一是改进相关技术标准和程序,有效降低关键基础设施面临的互联网安全风险。二是联邦的审计部门负责人每隔两年提交一次年度评估报告,说明为降低关键基础设施网络风险而采取的举措及其成效。三是每四年更新一次联邦网络安全研究与发展战略计划,以应对持续变动的网络安全风险。四是国家科学基金会支持互联网安全实践研究,鼓励并吸引社会主体更多关注网络安全相关领域研究。五是由网络安全研发中心制定举措,提升信息技术的安全性和灵活性。六是关于教育和从业人员发展方面,应当招募优秀人才,包括在高等教育机构获得学士学位的高等教育项目的学生,高等教育机构和研究机构人员,退伍军人等其他认为适当的团体或个人。七是关于联邦奖学金交换服务项目,国家科学基金会要与国土安全部部长持续推进联邦网络奖学金交换服务项目。八是国家标准和技术局调整国家网络安全意识和教育项目,加强全民网络安全意识教育。九是国家标准和技术研究局应当提高网络安全技术标准,实施云计算服务同政务高度融合的综合战略等。
(二) 《自由法案》(2015年)
2015年6月2日,美国议会表决通过《自由法案》并获奥巴马签署。该法案正式替代2001年颁布施行并一直充满争议的《爱国者法案》,体现了自棱镜项目曝光以来,美国对互联网监控的较大改革[26]。
《爱国者法案》以打击恐怖主义为名,显著扩张了美国有关机关的权限。根据该法案,美国司法和情报部门可以监控移动电话用户的通信信息而无需批准,检索个人银行余额,并审查互联网上的个人通信记录。在《爱国者法案》授权下,美国国家安全局获得了三项核心权力:第一项权力允许安全机构监控普通公民,而不限于手机和电子设备;第二项权力使执法机构能调查有关恐怖主义活动的信息,并大规模收集公民通话记录和材料;第三项权力是政府根据该法第215条,以打击恐怖主义的名义调查公民个人数据。为在保护隐私和打击恐怖主义之间取得平衡,《自由法案》对《爱国者法案》第215条作出修正,即根据《爱国者法案》广泛收集的所有信息记录均受《自由法案》管辖,对广泛收集信息的行为加强规制,规定美国联邦调查局(FBI)必须将广泛的通信数据收集和存储转移到电信公司。
《自由法案》改革了美国情报部门的情报收集计划。一是结束大规模收集。为代替当时的大规模电话元数据收集方案,《自由法案》创建了一个比较狭窄、有针对性的程序。这个程序中规定,情报部门可以收集通话详细记录,不过需要法庭的事前许可。二是防止政府权力过度扩张。《自由法案》强化了对“具体的选择项”的定义确保政府可以收集所需要的、做国家安全调查的信息,同时禁止大规模随意收集信息。三是加强对公民自由的保护。《自由法案》建立了一个专家小组,为法庭就个人隐私、公民权利和自由法律问题加以指导。四保护国家安全。《自由法案》包含了几项重要的增强国家安全的功能,包括关闭那些有碍于政府追踪外国恐怖分子和间谍的漏洞,提高物质支持外国恐怖组织犯罪的最高刑罚,将即将失效的《爱国者法案》条文的效力延长至2019年12月[27]。
(三) 《网络安全信息共享法案》(2015年)
2015年12月18日,美国国会通过《网络安全信息共享法案》,旨在提升网络安全,分享有关安全威胁的信息,允许美国政府与私营部门之间开展信息共享。
该法案构建了一个共享网络风险和防御信息的工作框架,主体为联邦政府和联邦机构。一是构建信息共享框架。国防部、国土安全部、国家情报局和司法部共同制定处理程序,推动信息共享。二是限制信息共享使用范畴。州或地方政府只能在面临严峻网络安全威胁或严重网络安全漏洞情形下使用共享信息并不得因此牟利。三是明确信息共享的约束条件。规定联邦政府只能基于保护网络安全和弥补安全漏洞的目的共享信息,此种共享行为不得与保护隐私和公民自由的政策相冲突。
(四) 《澄清境外数据合法使用法案》(2018年)
2018年3月23日,特朗普签署《澄清境外数据合法使用法案》,规定美国执法机构可凭借一纸传票,跨境获取和收集来自其他国家的电子邮件和个人信息。对此,隐私保护组织颇有顾虑,担心美国与其他国家签署双边协议交换数据时,此类数据可能被他国政府恶意利用。
该法案为美国执法机构访问在美国境内运营的企业存储在海外的用户数据提供明确授权,扩大了美国执法机构调取域外数据的权力,为“适格外国政府”跨境执法提供便利。同时,该法案也可能侵犯其他国家特别是非“适格外国政府”的网络主权和国家安全。
有学者称,尽管该法案涉及并且意图处理国家间数据主权可能发生的冲突问题,但具体的认定都是由美国一方任意作出的,没有尊重其他国家参与网络空间治理而享有的共建共治共享权利[28]。本质上是一种美国欲通过推行新制度框架和标准来维护数据霸权的行径[29]。
四、 美国网络安全法治化的重要经验
美国通过完善网络安全立法、强化政府网络安全监管职能等多重举措,逐渐形成了一套立足于美国网络安全诉求、瞄准全球战略竞争力的网络空间治理体系,并主要针对国家安全、网络系统安全、个人信息保护及数据安全这三类安全风险进行分类治理。
(一) 将网络安全纳入国家安全体系
美国网络安全战略一直将网络安全同国家安全联系在一起,从网络安全治理架构的“三驾马车”(美国国土安全部、联邦调查局和国防部)即可看出其重视程度。网络安全战略防御性与进攻性并举,在提升自身网络系统防御能力的同时,也积极干预国际网络空间的战略格局。
2018年9月,美国国防部发布的《国家网络战略》提出了“防御前置”的新概念,提出不仅要从源头上防控、阻止网络风险,还要将战略目标向前推移,在威胁行为作出之前就加以预防、制止,甚至是提前打击。该战略的“网络战争”“防御备战”词语较多。“防御前置”实质上强调的是进攻性,要求美军在做好自身战略防御准备的同时,还要具备攻击破坏对方网络防御系统的能力,出发点不仅在于维护美国国防和网络系统安全,更具有构筑国际网络安全战略体系的全球企图。
2020年3月11日,美国网络空间日光浴委员会发布报告,提出了一个应对网络安全的新的战略路径,分层网络威慑,其包括三种战略手段:一是塑造行为(Shape Bebavior)。美国政府必须与盟友和合作伙伴合作推动网络空间的负责任行为。二是获益拒止(Deny Benefits)。美国政府必须对那些长期利用网络空间实施较低成本的网络攻击以获取自身优势,而扩大美国劣势的对手实施获益拒止。这种新方法需要联合私营企业保护关键基础设施,发展国家韧性,提高网络生态的安全。三是施加成本(Impose Costs)。美国必须保持相应的能力、职能和信誉反制利用(或在)网络空间攻击美国的对手。三种战略手段由六项政策支柱以及超过七十五条政策建议支撑,保护美国公共和私营部门安全[30]。
(二) 构筑网络系统安全体系
网络系统安全会影响网络上的法益,如果监管不当造成风险,通常演化为公共风险,如导致银行系统风险等。2018年的美国《国家网络战略》强调构建国家层面的网络信息系统安全保障体系,提高网络系统的整体稳定性和安全性。以往联邦政府出台的网络安全文件侧重于强调某个具体联邦机构(如美国联邦贸易委员会(FTC)、国土安全部等)或个别领域的网络安全系统构建,而此次战略设计则强调由国防部牵头下的联邦各单位、机构协同构建、集中管理,建立一个由联邦政府各组成部门和美国军方合力参与、深度协作的网络安全联动体制,以实现网络防御和进攻综合体系的整体跃升。此外,该战略还强调经济服务,保护联邦政府的网络信息安全,优化各部门机构在网络安全方面的职责分工,重点保护与关键基础设施相关的网络体系安全,加大对网络犯罪的打击力度。
为了保障网络系统安全,美国已经从政策立法、机制保障、技术手段等多方面构建了较为完善的网络安全审查制度。2018年8月13日,美国总统特朗普签署《2019财年国防授权法》,其附带《美国外国投资风险审查现代化法》获得通过,进一步强化了网络安全审查机制,形成了较为健全的管理体制,由跨政府部门的国家安全系统委员会根据《联邦信息安全法》要求,制定和颁布政策、指令、标准等。在认证认可标准方面,由国家安全局和国家标准技术研究院组建的国家信息联盟负责标准制定。
(三) 加强个人信息保护和数据安全建设
1. 针对个人信息保护
目前,美国联邦层面还没有统一的适用于个人数据的隐私法,而是零散法律组成的复杂体系。联邦立法层面,个人信息保护及隐私类主要为三类:第一类以《电话消费者保护法》《反垃圾邮件法》《计算机欺诈和滥用法》为代表,侧重于规范信息收集、传输、利用的形式;第二类以《公平信用报告法》《健康保险可携性和问责法》《金融现代化法》为代表,侧重于保护特定类型的信息(主要是敏感信息);第三类以《儿童网络隐私保护法》为代表,主要关注对特殊群体保护的立法[31]。
美国新近突出的立法是加州于2018年6月28日发布的《2018年加州消费者隐私法案》(CCPA)。该法案被称为美国“最严厉、最全面”的个人隐私保护法案。其规范对象为以营利为目的的经营者,在个人信息的定义上,采用了概括式和列举式结合的方式,具有很强的实务操作性。该法案规定了消费者对于个人数据信息所拥有的一系列权利,包括:一是要求收集消费者个人信息的企业向消费者披露企业收集的个人信息的类别和具体要素的权利;二是要求商家删除其所收集的有关消费者的个人信息的权利;三是要求企业向消费者披露收集个人信息的目的以及与之共享信息的第三方的权利;四是选择不出售个人数据信息的权利等。此外,该法案还明确了企业侵犯消费者信息权益行为的法律责任,加大惩戒力度。如要求侵权企业承担停止侵害、恢复名誉、赔偿损失等民事责任,对侵权企业处以高额行政罚款,追究侵权企业刑事责任等[32]。
总体来看,这部美国最严格隐私立法有很强的欧盟《一般数据保护条例》(GDPR)色彩,但仍能看出加州立法还是在追求数据保护和数据流通的平衡中,保留了美国特色。CCPA在适用对象方面,排除了中小企业;在保护范围方面,排除了集合数据和去标识化数据;在通知义务方面,延续了Opt-out模式(指在没有用户的许诺下单方面地发送广告邮件的行为);在不得歧视对待使用隐私权利的用户方面,保留付费模式。不过,其对权利与义务主体范围的划定,对权利与义务内容以及权利救济途径和责任形式的设置,可以为中国有关个人信息保护立法工作提供有益经验。
2. 针对企业数据安全
美国主要通过FTC的执法活动,防止反竞争、欺骗和不公平的商业行为,推动企业加强自身数据安全建设。FTC是独立的执法机构,其职能包括消费者保护和促进市场竞争,法律授权来自《联邦贸易委员会法》第5条,该条规定“禁止在市场上实施不公平的或欺骗性的行为”。FTC还有权执行包括《真实借贷法》《反垃圾邮件法》《儿童网络隐私保护法》《公平信用报告法》在内的多种具体法律。
FTC主要以采取执法行动的方式来制止违法行为,并要求公司采取积极措施来纠正违法行为。包括在适当的时候执行全面的隐私和安全方案、由独立专家进行两年期评估、向消费者提供金钱赔偿、没收违法所得、删除非法获得的消费者信息,以及向消费者提供有力的提高透明度的措施和选择机制[33]。自2003年以来,不公平行为在FTC隐私与数据安全案件中的作用越来越大。有学者称,FTC执法活动所针对的案件事由,企业主要存在以下几类问题:一是不完善的数据安全措施;二是疏于对员工的数据安全培训造成的数据泄露;三是违背自身向消费者承诺的隐私政策;四是回溯性地修改隐私政策;五是欺骗性的数据收集;六是公开数据收集的范围不充分[34]。
FTC每年也会发布上一年度在消费者隐私和数据安全方面活动的报告,2020年2月25日发布了《2019年隐私与数据安全报告》。报告重点介绍了美国有关数据安全和消费者隐私的主要法规,以及FTC在执法中的作用,特别概述了迄今为止最引人注目的两项天价和解:Facebook和Equifax[35]。
此外,美国通过《澄清境外数据合法使用法案》等法案,逐步确立了其明确的数据主权战略,将美国企业当作自身在网络空间的领土,通过APEC跨境隐私规则系统(即“CBPR体系”)条款,出口管制和投资审查双向保护企业所拥有的数据不受到外国人的控制,让美国企业拿到更多数据,将美国企业铸造成自身在“网络空间上的国土”。
五、 关于完善中国网络安全配套法律体系的思考
中国是国际互联网经济与安全体系的重要成员,也在很大程度上被动适应和适用着美国主导的全球互联网治理秩序。但是,中国有着独立的国家利益和主权保护需求,这就决定了中国必须构建自身逻辑连贯的互联网战略框架及制度化体系。考察美国互联网战略与法制变迁,为思考中国互联网治理秩序建构问题提供了参照系。但参照不是照搬,而是在坚持自身的主权、安全与发展利益基础上,有针对性地吸收、借鉴。
党的十八大以来,特别是近三年来,中国国家网络安全领域的立法工作迎来春天,网络安全法律法规和规章制度体系持续完善。以全国人民代表大会常务委员会(以下简称“全国人大常委会”)2012年12月审议通过的《关于加强网络信息保护的决定》、2016年11月审议通过的《网络安全法》(以下简称“一法一决定”)为主干,全国人民代表大会、国家部委、最高人民法院、最高人民检察院近三年制定的超过三十部法律法规、部门规章、司法解释和规范性文件等,支撑起了中国现行网络安全法律制度体系。
肯定成绩的同时,也应当看到,尽管中国网络安全立法种类齐全、部门繁多,但也存在立法结构不合理,互联网领域的专门立法层次较低,制度规定间契合度不够,无法形成完整严密的逻辑体系,可操作性不强等问题,在很大程度上影响了中国网络安全监管工作的有序运行。
借鉴美国网络安全监控战略及其法制变迁的经验,完善中国网络安全法律制度体系,应当重点考虑以下制度规定:
(一) 健全关键信息基础设施保护制度
全国人大常委会在《网络安全法》实施后开展的“一法一决定”执法检查显示,国家信息安全测评中心随机选取的120个关键信息基础设施中,普遍存在安全防范意识薄弱、技术落后、人才缺乏等问题,网络安全风险极大。国家互联网信息办公室制定的《关键信息基础设施安全保护条例(征求意见稿)》虽致力于解决以上问题,但一定程度上也存在立法层级较低、原则性规定较多、与现行法律颗粒度区分不明显等问题。笔者认为,在网络安全领域,企业尤其是私营企业是创新的主体,既然不少关键信息基础设施存在技术和人力瓶颈,大可借鉴美国促进公私合作的保护方法,采取向国内互联网私营企业购买服务的形式,为关键信息基础设施提供更为周全的保护。
(二) 完善个人信息保护制度
《网络安全法》第4章初步构建了互联网领域个人信息保护制度,该章规定的进步意义无需多论,不足在于原则性规定多,可操作性差。针对这一现状,中国国内学术界有学者主张应当加快个人数据保护领域的单独立法[36],也有学者主张个人信息法律保护并非只有立法一途,完善与技术相关的个人信息保护标准可以起到替代作用[37]。
笔者认为,制定一部适应互联网时代要求的个人信息保护特别法,同时,根据技术发展要求完善相关技术标准是推动个人信息安全保护制度发展的可靠选择。制度设计上,可以借鉴美国经验,在保护公民隐私和个人自由与保护国家安全和公共利益之间取得平衡,对政府和有关部门搜集、使用信息的行为施加合理的规制,对互联网运营商存储、共享信息的行为更需严格规范。
(三) 推动数据跨境流动规定落地见效
《网络安全法》第37条规定的重要数据本地化存储及跨境流动安全评估法律制度,在法律草案阶段即已印发,国内外学界和互联网主体的高度关注。一贯秉持双重标准的美国政府更对中国相关制度规定颇多非议。笔者认为,数据是国家战略资源,体现国家安全和网络主权。中国应在积极参与制定数据跨境流动国际规则的同时,加快出台国内数据跨境相关的评估办法和标准指南,明确专门数据跨境执法机构,构建数据分级分类制度,提高监管透明度,推动有关法律规定落实落地。
综上所述,针对网络安全复杂多变的国内国际形势,中国现行网络安全监管法治体系还存在明显不足,需在借鉴和批判美国互联网治理法治经验基础上,完善中国的互联网战略框架,持续推动《网络安全法》基础上的专项立法与配套立法,加强行政与司法执行能力建设,努力打造中国网络安全的法治体系,更加有效地维护国家在新时代的主权、安全与发展利益。
-
表 1 特朗普政府关于网络安全的政策性文件
时间 文件 2017年2月 2018财年预算草案 2017年5月 建立美国技术委员会总统行政令 2017年5月 增强联邦政府网络与关键基础设施网络安全 2017年12月 国家安全战略报告 2018年2月 2019财年预算草案 2018年5月 网络空间安全战略 2018年7月 2018年网络空间中的外国经济间谍活动 2018年8月 2019财年国防授权法案(NDAA2019) 2018年9月 国家网络战略 
下载: 导出CSV
-
[1] 贝克.风险社会[M].何博闻, 译.南京:译林出版社, 2004:15. [2] 约翰·P·巴洛.网络空间独立宣言[J].清华法治论衡, 2004, 4:509-511. [3] 田飞龙.网络时代的治理现代化:技术、管制与民主[J].苏州大学学报(哲学社会科学版), 2015(1):71-80. [4] CLINTON W J. Executive order 13010-critical infrastructure protection[J]. Federal Register, 1996, 61(138):37347-37350.
[5] The White House. Presidential decision directive/NSC-63, critical infrastructure protection[EB/OL]. (1998-05-22)[2019-04-10]. .
[6] BUSH G W. Executive order 13231-critical infrastructure protection in the information age[J]. Weekly Compilation of Presidential Documents, 2001, 37(42):1485-1492.
[7] Congress U. S. Uniting and strengthening America by providing appropriate tools required to intercept and obstruct terrorism (USA PATRIOT Act) act of 2001[EB/OL].(2001-10-26)[2019-04-10]. .
[8] USA PATRIOT Act.Critical infrastructures protection act of 2001, 42 U.S. code§5195c[EB/OL]. (2001-10-26)[2019-04-10]. .
[9] Office Website of the Department of Homeland Security. Office of infrastructure protection (IP)[EB/OL]. (2018-10-30)[2019-04-10]. .
[10] The White House. National strategy to secure cyberspace[EB/OL]. (2002-09-18)[2019-04-10]. .
[11] The White House. National strategy for the physical protection of critical infrastructure and key assets[EB/OL]. (2007-05-24)[2019-04-10]. .
[12] United States Office of Homeland Security. National strategy for homeland security[M]. Darby:Diane Publishing, 2002:1-2.
[13] BUSH G W. Homeland security presidential directive 7: Critical infrastructure identification, prioritization, and protection[EB/OL]. (2003-12-17)[2019-04-10]. .
[14] The White House. U.S. has launched a cyber security "manhattan project", homeland security chief claims[EB/OL].(2008-05-14)[2019-04-10]. .
[15] OBAMA B. Organizing for homeland security and counterterrorism[EB/OL]. (2009-02-23)[2019-04-10]. .
[16] The White House. Cyberspace policy review-assuring a trusted and resilient information and communications infrastructure[EB/OL]. (2009-06-27)[2019-04-10]. .
[17] 程工.国外网络与信息安全战略研究[J].中国信息化, 2014(Z2):113. [18] The White House. Remarks by the president on securing our nations cyber infrastructure[EB/OL]. (2009-05-29)[2019-04-10]. .
[19] OBAMA B. Presidential proclamation-critical infrastructure security and resilience[EB/OL]. (2013-11-05)[2019-04-10]. .
[20] The White House. National security strategy of the United States of America[EB/OL]. (2002-09-17)[2019-04-10]. .
[21] The White House. International strategy for cyberspace: Prosperity, security, and openness in a networked world[EB/OL]. (2011-05-07)[2019-04-10]. .
[22] CLINTON H. Remarks on the release of president Obama administration's international strategy for cyberspace[EB/OL]. (2011-05-16)[2019-04-10]. .
[23] 蔡翠红.中美网络空间战略比较:目标、手段与模式[J].当代世界与社会主义, 2019, 137(1):44-51. [24] 任政.美国政府网络空间政策:从奥巴马到特朗普[J].国际研究参考, 2019, 372(1):11-20, 61. [25] 沈逸.特朗普时期美国国家网络安全战略调整及其影响[J].中国信息安全, 2017(10):45-46. [26] 沈臻懿.《自由法案》的自由与不自由[J].检察风云, 2015(15):54-55. [27] GOODLATTE B. Things to know about the USA freedom[EB/OL].(2015-06-02)[2019-04-10]. .
[28] 许可.数据主权视野中的CLOUD法案[J].中国信息安全, 2018(4):40-42. [29] 魏书音.CLOUD法案隐含美国数据霸权图谋[J].中国信息安全, 2018(4):43-46. [30] 网安布谷鸟.美网络空间日光浴委员会《分层网络威慑战略》概要中文翻译[EB/OL].(2020-03-12)[2020-03-20]. . [31] 晋瑞, 王玥.美国隐私立法进展及对我国的启示——以加州隐私立法为例[J].保密科学技术, 2019(8):36-42. [32] 吴沈括, 孟洁, 薛颖, 等.《2018年加州消费者隐私法案》中的个人信息保护[J].信息安全与通信保密, 2018(12):83-100. [33] 张露予.美国联邦贸易委员会2018年隐私与数据安全报告[J].网络信息法学研究, 2019(1):311-331. [34] 崔亚冰.《加州消费者隐私法案》的形成、定位与影响[J].网络法律评论, 2017(1):235-259. [35] 吴沈括, 程佳泓.美国联邦贸易委员会《2019年隐私与数据安全报告》.(2020-03-05)[2020-03-20]. . [36] 马志国, 张磊.新加坡个人信息保护的立法模式及对中国的启示[J].上海交通大学学报(哲学社会科学版), 2015(5):89-97. [37] 王秀哲.大数据时代个人信息法律保护制度之重构[J].法学论坛, 2018(6):115-125. -
期刊类型引用(2)
1. 于雯雯. 论我国网络安全立法的双重定位及体系构成. 行政管理改革. 2023(07): 66-75 . 
百度学术
2. 李留英. 美国网络威胁情报共享实践研究. 信息安全研究. 2020(10): 941-946 . 百度学术
其他类型引用(4)
计量
- 文章访问数:
- HTML全文浏览量: 0
- PDF下载量:
- 被引次数: 6
