|
鉴于其极端重要性,近几年,西方大国对其频出战略政策,甚至将网络安全有关的政策着眼点全部汇聚此中。以美欧为例,2013年年初,白宫于一日之内连发两道最高行政令,(《维护关键基础设施之安全性和可恢复性的总统令》、《促进关键基础设施之网络安全的行政令》),就关键信息基础设施保障的相关事宜圈定部门职责、划定具体范围、限期执行;2013年年中,欧盟议会发布《关键信息基础设施——面向全球网络安全的决议》,指出欧盟亟需提高应对关键信息基础设施安全挑战的技术能力;2014年年初,白宫发布《促进关键基础设施网络安全的框架》,希望藉此为实际操作和相关技术标准之典范,在全球范围内推动关键基础设施安全要点的统一。总体上,《框架》是自愿适用,旨在加强电力、运输和电信等所谓“关键基础设施”部门的网络安全。“网络安全框架”根据总统奥巴马2013年2月签署的行政命令制定,私营部门可在自愿基础上使用该框架加强自己的网络安全能力。白宫在一份声明中说,“网络安全框架”吸纳了全球现有的安全标准以及做法,以帮助有关机构了解、交流以及处理网络安全风险。此外,该框架也就隐私与公民自由问题提出了指导方针。因此,“通过该框架,美国私营企业和政府部门可以联手加强"关键基础设施"的安全与适应性”。《框架》也可适用于位于美国以外的公共或私营机构,藉此,美国所提倡的加强关键基础设施网络安全方面的《框架》再次体现美国引领全球技术标准的趋势。 趋势二:法律制度设计的着眼点越来越侧重于“基于风险”和“基于攻击”,承认100%安全目标的不可实现。 近年以来,网络空间层出不穷的安全威胁使得各国监管机构都意识到,绝对安全的目标,不仅在技术上难以实现,在风险管理上也难以操作。基于对现实难度的承认,各国监管机构均转而用一个更加立体的、全方位的眼光来看待CII的安全问题,认为是一个由事前、事中和事后所组成的一个程序周期。与之相对应的,是各国相关政策文件在内容上的微妙变化。仅举两例: 2010年之后美国所出台的白宫行政令、总统令、国土安全部的多份文件都将关键基础设施的“弹性”、“受攻击之后的可恢复性”置于同之前所提的单纯的“安全性”放在同等重要的目标位置。 2014年,澳大利亚辖内维多利亚州的立法战略——《关于维持维多利亚政府辖内关键基础设施可恢复性之临时战略》,其着眼点就不再是之前的性能完好、100%安全保障,而是基于关键基础设施“已受风险威胁、已受攻击”的前提假设,与之相关的一整套政策制度也将是围绕着这种“基于风险”、“被攻击”的模型来设计。根据该《战略》,今后正式法律条文的拟定,也将侧重于“事中应对”和“事后恢复”。 (四)数据留存 个人数据留存制度方面,立法趋势呈现出截然不同走向。 趋势:一部分国家对数据留存进行新的立法,而另一部分国家则对实施多年的留存制度予以废止。 澳大利亚通过《电信(监控和接入)修正(数据留存)提案》,对数据留存做出强制性法律规定,要求电信运营商对电话、互联网、电子邮件的用户数据(包括发起方、接收方和具体时间等信息)留存两年,司法部负责具体执行。 欧洲作为全球最先设立个人数据留存制度的地区,2014年欧盟法院宣布《欧洲数据留存指令》(2006年)因违反人权而无效。这意味着在欧洲大部分国家,电信运营商已实践多年的留存用户数据的惯例自此终结。 美国正积极寻求对这一制度的立法突破,参议员Sensenbrenner(《爱国者法案》的起草人)作为该制度的主推者,目前已拿出初步草案。不过对于美国电信运营商和互联网巨头而言,实践早已走在了理论之前,公开资料显示,美国时代华纳公司Time Warner留存用户数据的时间是6个月,威瑞森Verizon是18个月。 (五)其他 在未成年人保护方面,保护未成年人的网络安全成为一个新的立法点。澳大利亚出台《限制系统接入宣言》14年版本,该宣言主要致力于帮助儿童远离非法在线内容带来的侵害,此外,还新增了“投诉接入限制系统”,赋予内容提供商一定的操作灵活性。 此外,各国的安全战略、预算类法律中,也有为网络安全增加财政支持的内容。如,英国为实施《网络安全战略》,2014年新追加2.1亿英镑用于网络安全保障;美国国会通过《2014预算法案》,其中将用于改善网络安全的预算提高到670亿美元(约合人民币4048亿元),这笔预算将会被投入到改善联邦网络安全的计划中,投资的主要对象为网络中的资金监控机制和解决最严峻的网络安全问题。 |
