该计划是美国政府七年来的经验总结,吸取了来自网络安全趋势、威胁、入侵等方面的教训,主要内容包括以下六点:一是设立“国家网络安全促进委员会”,成员包括龙头企业代表和顶尖技术专家,该委员会致力于制定网络空间安全的十年行动路线,促进美国联邦政府、州政府及企业之间在网络安全方面的交流与合作。二是提升国家整体网络安全水平,包括升级网络基础设施、提升个人网络安全防护能力、加大网络安全投入等,设立“联邦首席信息安全官”,协调联网政府内部的安全政策执行。三是打击网络空间恶意行为,对外加强国际合作,对内扩建网络部队;推动国际社会订立国家行为准则。四是提升网络事件响应能力,出台联邦网络安全事件合作政策,制定安全事件危害性评估方法指南,完善网络安全事件政企协同应对机制。五是保护个人隐私,成立“联邦隐私委员会”,制定实施更具战略性和综合性的联邦隐私保护准则,推动隐私保护技术的研发和创新。
简要点评:这份为期十年的网络安全发展线路图显示出美国持续强化国际网络空间的前瞻性布局,试图维持美国全球领先地位的努力。美国通过推广“最佳实践”作为网络基础设施保护的重要段,鼓励公私合作,发挥企业的技术特长和优势,强调政企技术能力均衡发展。美国还将网络安全宣传与培训作为增强网络安全的核心任务之一,不仅注重意识培养,更重视技能培训。
政策概要:2016年5月4日,欧盟正式颁布《一般数据保护条例》(GDPR)。《条例》将取代实施了20年的《1995年数据保护指令》,在新的技术、经济和社会环境下保护欧洲公民的隐私权。条例的主要内容包括:(1)扩大适用范围,任何向欧盟公民提供商品或服务的企业都将受制于《一般数据保护条例》,不管该企业是否位于欧盟境内,是否使用境内的设备。(2)提出“删除权/被遗忘权”和“个人数据可携权”这两项新型权利,以应对大数据环境下数据主体无法有效控制个人数据,信息不对称愈发严重的问题。(3)针对大数据利用的风险做出规制,严格限制数据画像(profiling)行为,这将严重影响当前大数据产业的业务实践。(4)进一步加强监管机构的权力,成员国数据保护机构有权对违背欧盟数据保护法律的企业做出惩罚,罚金最高可达2000万欧元或企业全球年营业额的4%。(5)提出处理个人数据的公共机关将需要设置数据保护官,以加强相关公共机关的信息安全治理力度。(6)提出数据泄露通知义务,要求数据控制者须在知晓数据泄露事件的72小时内,向相关监管机构进行上报通知。
简要点评:欧盟通过的《一般数据保护条例》旨在进一步加强个人的数据保护权利,让欧洲人民在自身数据的使用方式上拥有更大的发言权,也是全球数据保护制度发展的重要标志性事件。欧盟的数据保护改革在提高个人数据保护标准的同时,也增加了企业的合规成本,限制了数据商业价值的开发。鉴于欧盟法律的域外效力和对于数据跨境传输的严格要求,其制度的溢出效应将会促使其他国家提高数据保护水平,以免数据保护成为造成国际贸易的阻碍。
政策概要:2016年7月6日,欧盟立法机构正式通过首部网络安全法《网络与信息系统安全指令》,指令旨在“促进各成员国之间的合作,制定基础服务运营商和数字服务供应商应遵守的安全义务”。为实现这一目标,该指令要求运营商采取相关措施,对网络安全风险进行管理,并就安全事件进行汇报。此外,该法要求成员国制定网络安全国家战略,要求加强成员国间合作与国际合作,要求在网络安全技术研发方面加大资金投入与支持力度。
简要点评:作为欧盟网络安全整体战略的关键一环,此次欧盟指令的出台在网络安全监管领域释放出几个方面的明确信号:一是高度重视网络与信息安全监管,强化全面监管和协调联动,并在欧盟及成员国层面新设或强化既有监管机构,确保其具备实质履行职能的充分能力;二是强化企业的义务,为企业规定了采取合理网络安全管理措施、网络安全信息共享等义务,尤其是新增的企业安全事件通报义务成为此次指令最大亮点;三是避免过度监管,在指令历次修订中,各方曾就指令的适用范围及相应主体义务展开过激烈争论并数次大幅修改,欧盟当局尤其强调避免过度监管造成企业负担,特别是避免损害中小企业的创新,规定企业义务的承担要与引发风险的程度相符合。
政策概要:2016年7月12日,欧盟正式批准了欧美间数据条约“隐私盾协议”(PrivacyShield),取代原有的“避风港协议”。新的协议将为跨大西洋两岸的数据传输中的个人隐私保护提供新的规范。“隐私盾协议”的主要内容包括:(1)隐私盾原则:行为准则明确在对欧盟向美国传输的个人数据进行处理时应对其进行保护。美国企业可依据美国法对行为准则做出强制性承诺。(2)监管和执行:所有相关美国政府机构最高层签署的函件明确了框架管理和执行的相关内容。(3)监察员机制:该机制是促进自欧盟传输至美国的有关国家安全数据访问相关要求程序的新机制。(4)保障措施和限制:国家情报机构首长办公室和司法部的函件对适用于国家安全和执法关于数据访问的保障措施和限制进行阐述。
简要点评:欧盟废除安全港协议,重新建立了隐私盾协议,主要是出于“棱镜门”事件的推动。欧美在隐私保护上的分歧由来已久,欧盟倾向于采取严格的立法规范个人数据跨境流动,而美国则长期依赖于自律机制,认为政府不得为个人数据跨境流动设置障碍,否则将影响网络自由,阻碍数字经济发展。欧盟对数据跨境流动监管不仅仅出于保护欧盟公民的个人数据和隐私权利益,也是欧盟在数字经济发展、产业能力构建和政治外交博弈的映射。
政策概要:2016年11月1日,英国公布了新一轮“国家网络安全战略”。新的网络安全战略包含三大要点:防御、威慑和发展。防御是英国政府提出的三步战略的第一步,旨在加强互联网防御能力,尤其是能源、交通等关键产业领域。英国政府将同产业部门以及私企一道,采用自动防御技术抵御黑客网络攻击、病毒、垃圾邮件等侵害。威慑是第二大要点。英国政府认为,对网络攻击采取有效反击有助于降低威胁。英国政府计划从两方面加强网络执法能力;加强国际合作,共同应对网络威胁;提高技术,增强网络反击能力。英国国家犯罪局网络犯罪中心计划今年内招聘50名网络安全领域专家,提高针对网络犯罪的调查和执法能力。第三大要点是大力培养网络人才、发展最新技术,跟上全球互联网技术发展的步伐。英国将设立网络安全研究所,与高校合作研究提升智能手机、平板电脑和笔记本电脑等设备的安全性。明年将推出一项网络创新基金,给予网络安全创业公司培训及资金支持,帮助这些创业公司寻求投资,商业化其技术成果。
简要点评:英国政府七年内出台了三份国家网络安全战略,以构建繁荣、可靠、安全和具有弹性的网络空间,确保在全球网络空间的优势地位。从框架体系来看,英国已经基本建立起较为完备的网络安全战略框架,目标清晰、原则明确、举措具体有可操作性。英国的战略导向以发展网络经济为主,在行动方案中要求加大网络安全投资,使全球网络空间的发展朝着有利于英国经济和安全利益的方向发展。战略侧重从单纯的网络安全和被动防御朝着增强战略主动性和威慑性的方向发展。
政策概要:2016年11月7日,中国《网络安全法》获得通过,并将于2017年6月1日起施行。这是中国第一部关于网络安全的基础性法律。《网络安全法》明确了网络空间主权的原则,网络产品和服务提供者的安全义务和网络运营者的安全义务,完善了个人信息保护规则,建立了关键信息基础设施安全保护制度,确立了关键信息基础设施重要数据跨境传输的规则。
简要点评:《网络安全法》作为一步关于网络安全的专用法律,贯彻了发展和安全的辩证思维,强调要做到网络安全和信息化发展并重。网络安全法提出安全可信的要求,是要求用户自己的信息、系统、设备用户自己做主,禁止产品和服务提供者非法获取用户系统、设备中的信息,非法控制、操纵用户的系统、设备,损害用户对自己信息、系统、设备的自主权和支配权。网络安全法的出台,对保护网络主体合法权益,保障网络信息依法、有序、自由流动,促进网络技术创新,最终实现以安全促发展具有重要意义。
政策概要:2016年12月5日,俄罗斯颁布修订的《俄罗斯联邦信息安全学说》。本文件是对2015年12月31日俄罗斯联邦总统签署的第683号命令中所确定的俄罗斯联邦国家安全战略以及其他法令中的战略计划文件的发展”。该文件旨在保证俄罗斯在信息领域的国家安全,并从战略层面防止和遏制与信息科技相关的军事冲突。文件共分为总则、信息领域的国家利益、主要信息威胁和信息安全状况、保障信息安全的战略目标和主要发展方向、信息安全保障的组织基础等五个部分。从国防领域、国家和社会安全领域、经济领域、科研、技术和教育领域、维护战略稳定和平等战略伙伴关系领域提出了保障信息安全的主要发展方向。
简要点评:该学说是继为俄罗斯后续文件和法案的制定提供了框架和基础。文件显示出俄罗斯政府对外国黑客攻击、媒体负面报道、外国情报部门在俄罗斯活动等一系列威胁的担忧。俄罗斯作为正处在转型期的大国,国家的对内对外政策一直处于不断调整的态势。俄罗斯与西方,特别是与美国在网络空间领域形成了一种全新的对抗。
政策概要:12月27日,国家互联网信息办公室发布《国家网络空间安全战略》,标志着我国国家网络强国顶层设计的基本完备,宣告了我国政府将更加开放和自信地推动网络强国的建设和网络空间的治理。《战略》从机遇与挑战、目标、原则和战略任务四个方面阐述了我国网络空间安全的核心理念和战略主张。《战略》对网络空间的概念和影响做出了系统性的界定,提出推进网络空间和平、安全、开放、合作、有序,维护国家主权、安全、发展利益,实现建设网络强国的战略目标,确定了尊重维护网络空间主权、和平利用网络空间、依法治理网络空间、统筹网络安全与发展的四大原则,提出坚定捍卫网络空间主权、坚决维护国家安全、保护关键信息基础设施、加强网络文化建设、打击网络恐怖和违法犯罪、完善网络治理体系、夯实网络安全基础、提升网络空间防护能力、强化网络空间国际合作等九大战略任务。
简要点评:《战略》将与法律法规和组织建设共同构成我国网络强国的制度性支柱。2014年党中央从体制机制改革入手,打破网络空间安全管理部门壁垒,成立网络安全与信息化领导小组办公室;在此基础上历时一年多主导推出我国网络空间安全的基本法——《网络安全法》,如今进一步出台《国家网络空间安全战略》,完成了我国网络强国顶层设计的闭环,这一系列的制度举措均体现出我国在网络空间安全治理方面的开放与透明,这是我国融入世界体系建设网络强国的制度标配。同时,战略虽然是顶层设计,但其实现需要依靠自下而上的企业和社会力量,需要立足安全但又要超越安全。《战略》不仅是对新时期我国经济社会发展的全面保障,更是网络时代我国社会发展和治理模式的一次全新探索,只有这样才能从根本上保障我国的公民权益和企业的创新繁荣,更好地融入国际网络空间发展与治理体系。构建网络空间命运共同体,这是我国网络强国建设和网络空间安全的根本之意。
···························································