2016年全球网络空间安全大事记(政策篇)
发布日期:
2017-01-10
来源:
CGi
转载地址:
CGi

新一代网络信息技术发展推动网络空间与现实世界融合日益加深,网络空间安全的内涵不断扩展,影响日趋增大,成为关系各国国家安全、经济发展与社会治理的核心议题。
        2016年,虽然各国政府和企业更加重视应对网络空间安全的威胁,但各国网络安全重大事故仍然频发。聚焦数字经济的网络犯罪产业化发展态势并没有被遏制,网络攻击、网络勒索、电信诈骗等网络犯罪活动持续升级。针对重要关键信息基础设施和工业系统的攻击更加智能、隐匿且影响巨大。用户个人信息、企业商业秘密甚至政府和政党的政治机密遭到大规模泄露。围绕大选等重大政治事件的黑客攻击成为国家间意识形态战略博弈的新形式。
        与之对应的是,全球网络空间治理体系正经历新一轮变革,各主要国家围绕网络安全的重大战略、政策法规相继落地。针对网络犯罪和网络反恐的公共安全政策迫切且务实,政府、企业、公民围绕国家安全与隐私保护的分歧与博弈开始凸显。网络安全与数据保护成为国际产业竞争的关键壁垒,安全驱动ICT产业创新发展的态势更加明显。
        本专题基于国内外相关媒体的权威报道,对2016年国内外网络空间安全重大事件、重要法律、政策等进行梳理和分析,对2016年全球网络空间治理的总体形势进行观察研判。本篇为《2016年全球网络空间安全大事记(政策篇)》

1. 美国发布《网络安全国家行动计划》
        政策概要:2016年2月9日,美国政府发布了《网络安全国家行动计划》(CNAP)。 该计划是美国政府七年来的经验总结,吸纳了来自网络安全趋势、威胁、入侵等方面的教训,主要内容包括以下六点:一是设立“国家网络安全促进委员会”,成员包括龙头企业代表和顶尖技术专家,该委员会致力于制定网络空间安全的十年行动路线,促进美国联邦政府、州政府及企业之间在网络安全方面的交流与合作。二是提升国家整体网络安全水平,包括升级网络基础设施、提升个人网络安全防护能力、加大网络安全投入等,设立“联邦首席信息安全官”,协调联网政府内部的安全政策执行。三是打击网络空间恶意行为,对外加强国际合作,对内扩建网络部队;推动国际社会订立国家行为准则。四是提升网络事件响应能力,出台联邦网络安全事件合作政策,制定安全事件危害性评估方法指南,完善网络安全事件政企协同应对机制。五是保护个人隐私,成立“联邦隐私委员会”,制定实施更具战略性和综合性的联邦隐私保护准则,推动隐私保护技术的研发和创新。
        简要点评:这份为期十年的网络安全发展线路图显示出美国持续强化国际网络空间的前瞻性布局,试图维持美国全球领先地位的努力。美国通过推广“最佳实践”作为网络基础设施保护的重要手段,鼓励公私合作,发挥企业的技术特长和优势,强调政企技术能力均衡发展。美国还将网络安全宣传与培训作为增强网络安全的核心任务之一,不仅注重意识培养,更重视技能培训。
        2. 欧盟推出《一般数据保护条例》
        法律概要:2016年5月4日,欧盟正式颁布《一般数据保护条例》(GDPR)。《条例》将取代实施了20年的《1995年数据保护指令》,在新的技术、经济和社会环境下保护欧洲公民的隐私权。条例的主要内容包括:(1)扩大适用范围,任何向欧盟公民提供商品或服务的企业都将受制于《一般数据保护条例》,不管该企业是否位于欧盟境内,是否使用境内的设备。(2)提出“删除权/被遗忘权”和“个人数据可携权”这两项新型权利,以应对大数据环境下数据主体无法有效控制个人数据、信息不对称等愈发严重的问题。(3)针对大数据利用的风险作出规制,严格限制数据画像(profiling)行为,这将严重影响当前大数据产业的业务实践。(4)进一步加强监管机构的权力,成员国数据保护机构有权对违背欧盟数据保护法律的企业做出惩罚,罚金最高可达2000万欧元或企业全球年营业额的4%。(5)提出处理个人数据的公共机关将需要设置数据保护官,以加强相关公共机关的信息安全治理力度。(6)提出数据泄露通知义务,要求数据控制者须在知晓数据泄露事件的72小时内,向相关监管机构进行上报通知。
        简要点评:欧盟通过的《一般数据保护条例》旨在进一步加强个人的数据保护权利,让欧洲人民在自身数据的使用方式上拥有更大的发言权,也是全球数据保护制度发展的重要标志性事件。欧盟的数据保护改革在提高个人数据保护标准的同时,也增加了企业的合规成本,限制了数据商业价值的开发。鉴于欧盟法律的域外效力和对于数据跨境传输的严格要求,其制度的溢出效应将会促使其他国家提高数据保护水平,以免数据保护成为造成国际贸易的阻碍。
        3. 欧盟发布《网络与信息系统安全指令》
        法律概要:2016年7月6日,欧盟立法机构正式通过首部网络安全法《网络与信息系统安全指令》,指令旨在“促进各成员国之间的合作,制定基础服务运营商和数字服务供应商应遵守的安全义务”。为实现这一目标,该指令要求运营商采取相关措施,对网络安全风险进行管理,并就安全事件进行汇报。此外,该法要求成员国制定网络安全国家战略,要求加强成员国间合作与国际合作,要求在网络安全技术研发方面加大资金投入与支持力度。
        简要点评:作为欧盟网络安全整体战略的关键一环,此次欧盟指令的出台在网络安全监管领域释放出几个方面的明确信号:一是高度重视网络与信息安全监管,强化全面监管和协调联动,并在欧盟及成员国层面新设或强化既有监管机构,确保其具备实质履行职能的充分能力;二是强化企业的义务,为企业规定了采取合理网络安全管理措施、网络安全信息共享等义务,尤其是新增的企业安全事件通报义务成为此次指令的最大亮点;三是避免过度监管,在指令历次修订中,各方曾就指令的适用范围及相应主体义务展开过激烈争论并数次大幅修改,欧盟当局尤其强调避免过度监管造成企业负担,特别是避免损害中小企业的创新能力,规定企业义务的承担要与引发风险的程度相符合。
        4. 美欧批准“隐私盾协议”
        政策概要: 2016年7月12日,欧盟正式批准了欧美间数据条约“隐私盾协议”(Privacy Shield),取代原有的“避风港协议”。新的协议将为跨大西洋两岸的数据传输中的个人隐私保护提供新的规范。“隐私盾协议”的主要内容包括:(1)隐私盾原则:行为准则明确在对欧盟向美国传输的个人数据进行处理时应对其进行保护。美国企业可依据美国法对行为准则做出强制性承诺。(2)监管和执行:所有相关美国政府机构最高层签署的函件明确了框架管理和执行的相关内容。(3)监察员机制:该机制是促进自欧盟传输至美国的有关国家安全数据访问相关要求程序的新机制。(4)保障措施和限制:国家情报机构首长办公室和司法部的函件对适用于国家安全和执法关于数据访问的保障措施和限制进行阐述。
        简要点评:欧盟废除安全港协议,重新建立了隐私盾协议,主要是出于“棱镜门”事件的推动。欧美在隐私保护上的分歧由来已久,欧盟倾向于采取严格的立法规范个人数据跨境流动,而美国则长期依赖于自律机制,认为政府不得为个人数据跨境流动设置障碍,否则将影响网络自由,阻碍数字经济发展。欧盟对数据跨境流动的监管不仅仅出于保护欧盟公民的个人数据和隐私权利益,也是欧盟在数字经济发展、产业能力构建和政治外交博弈中的映射。

5. 美国法院判决FBI搜查令不具域外效力
        基本案情:2013年12月,美国纽约南区联邦地区法院助理法官詹姆斯•佛朗西斯(James C. Francis)签发搜查令(Search Warrant),要求微软公司协助一起毒品案件的调查,将一名用户的电子邮件内容和其他账户信息提交给美国政府,而微软拒绝交出该用户的电子邮件内容。2014年8月29日,美国曼哈顿联邦地区法院法官洛蕾塔•普雷斯加(Loretta Preska)下令,微软需向美国检察官们提交存储在爱尔兰数据中心的用户电子邮件信息。法官裁定微软必须提交电子邮件数据的理由是这些数据虽然存储于国外,但却处在一家美国公司的控制之下。微软拒绝服从该法庭的命令,随即向美国联邦第二巡回上诉法院提起上诉。本案的核心争议是,美国执法部门是否有权强迫美国公司提供存储在美国境外的数据内容。也就是说,美国政府是否拥有这项权力——所有使用美国企业的产品和服务的用户,无论身处何方,无论国籍,也无论美国互联网企业是否采取“数据存储本地化”,美国政府都能合法地获得美国企业全球用户的各种数据。2016年7月14日,美国联邦第二巡回上诉法院就“微软诉美国政府”案作出判决,从2013年发端的FBI是否有权获取微软存储在爱尔兰数据中心的用户数据的争议暂时告一段落。上诉法院的三位法官一致认为,FBI的搜查令不具域外效力;要获取境外数据,通过双边司法协助条约方是正途。
        简要点评:本案的判决给了跨国互联网公司一定程度的法律确定性:在一个国家运营,只需遵守一个国家的法律;且这个国家的法律不应产生域外效力。这个判决也强化了数据本地化的趋势。如果美国法院认为数据存储的地点至关重要,那只会有越来越多的国家为了躲避美国的监控,提出更多、更严格的数据本地化要求。本案的判决不仅仅是美国政府执法权的范围问题,更是关系各个国家网络空间的自主权问题。
        6. 英国发布《国家网络安全战略》
        政策概要:2016年11月1日,英国公布了新一轮“国家网络安全战略”。新的网络安全战略包含三大要点:防御、威慑和发展。防御是英国政府提出的三步战略的第一步,旨在加强互联网防御能力,尤其是能源、交通等关键产业领域。英国政府将同产业部门以及私企一道,采用自动防御技术抵御黑客网络攻击、病毒、垃圾邮件等的侵害。威慑是第二大要点。英国政府认为,对网络攻击采取有效反击有助于降低威胁。英国政府计划从两方面加强网络执法能力;加强国际合作,共同应对网络威胁;提高技术,增强网络反击能力。第三大要点是大力培养网络人才、发展最新技术,跟上全球互联网技术发展的步伐。英国将设立网络安全研究所,与高校合作研究提升智能手机、平板电脑和笔记本电脑等设备的安全性。明年将推出一项网络创新基金,给予网络安全创业公司培训及资金支持,帮助这些创业公司寻求投资,商业化其技术成果。
        简要点评:英国政府七年内出台了三份国家网络安全战略,以构建繁荣、可靠、安全和具有弹性的网络空间,确保在全球网络空间的优势地位。从框架体系来看,英国已经基本建立起较为完备的网络安全战略框架,目标清晰、原则明确、举措具体有可操作性。英国的战略导向以发展网络经济为主,在行动方案中要求加大网络安全投资,使全球网络空间的发展朝着有利于英国经济和安全利益的方向发展。战略侧重从单纯的网络安全和被动防御朝着增强战略主动性和威慑性的方向发展。
        7. 中国出台《网络安全法》
        法律概要:2016年11月7日,中国《网络安全法》获得通过,并将于2017年6月1日起施行。这是中国第一部关于网络安全的基础性法律。《网络安全法》明确了网络空间主权的原则,网络产品和服务提供者的安全义务和网络运营者的安全义务,完善了个人信息保护规则,建立了关键信息基础设施安全保护制度,确立了关键信息基础设施重要数据跨境传输的规则。
        简要点评:《网络安全法》作为一部关于网络安全的专用法律,贯彻了发展和安全的辩证思维,强调要做到网络安全和信息化发展并重。网络安全法提出安全可信的要求,即要求用户自己的信息、系统、设备用户自己作主,禁止产品和服务提供者非法获取用户系统、设备中的信息,非法控制、操纵用户的系统、设备,损害用户对自己信息、系统、设备的自主权和支配权。网络安全法的出台,对保护网络主体合法权益,保障网络信息依法、有序、自由流动,促进网络技术创新,最终实现以安全促发展具有重要意义。

        8.英国议会通过《2016调查权法》
        法律概要:11月30日,英国议会通过《2016调查权法》。该法要求网络公司和电信公司收集客户通信数据,并存储12个月的网络浏览历史记录,以供警方、安全部门和其他公共机构在追查涉嫌恐怖活动与严重犯罪活动者时调阅使用。公司有义务协助有关部门绕过加密程序以便执行任务。同时英国各级政府、税务员和其他公务机关也将有权收集公民在网站与社交媒体上的活动信息。新版《调查权法》旨在“加强执法机关与情报机关完成其关键行动的能力”,进而弥补这些机构之间的工作漏洞,使安全部门有更大的权力针对可疑人等的线上活动搜集情报和证据。
        简要点评:对政府而言,应对恐怖主义活动的威胁等现实任务需要政府在数字时代对网络通信数据加以监管。与此同时,民众的网络信息安全意识不断提高。斯诺登事件的持续影响也使政府加大网络信息安全监管触碰了民众的敏感神经。个人隐私与国家安全之争,其实质是数据之争、权利之争。这与国际、国内的政治经济形势密切相关,两者处于此消彼涨的动态平衡之中。
        9. 俄罗斯发布新版《联邦信息安全学说》
        政策概要:2016年12月5日,俄罗斯颁布修订《俄罗斯联邦信息安全学说》。本文件是对2015年12月31日俄罗斯联邦总统签署的第683号命令中所确定的俄罗斯联邦国家安全战略以及其他法令中的战略计划文件的发展”。该文件旨在保证俄罗斯在信息领域的国家安全,并从战略层面防止和遏制与信息科技相关的军事冲突。文件共分为总则、信息领域的国家利益、主要信息威胁和信息安全状况、保障信息安全的战略目标和主要发展方向、信息安全保障的组织基础等五个部分。从国防领域、国家和社会安全领域、经济领域、科研、技术和教育领域、维护战略稳定和平等战略伙伴关系领域提出了保障信息安全的主要发展方向。
简要点评:该学说为俄罗斯后续文件和法案的制定提供了框架和基础。文件显示出俄罗斯政府对外国黑客攻击、媒体负面报道、外国情报部门在俄罗斯活动等一系列威胁的担忧。俄罗斯作为正处在转型期的大国, 国家的对内对外政策一直处于不断调整的态势。俄罗斯与西方,特别是与美国在网络空间领域形成了一种全新的对抗。
       10. 中国发布《国家网络空间安全战略》 
       政策概要:12月27日,国家互联网信息办公室发布《国家网络空间安全战略》,标志着我国国家网络强国顶层设计的基本完备,宣告了我国政府将更加开放和自信地推动网络强国的建设和网络空间的治理。《战略》从机遇与挑战、目标、原则和战略任务四个方面阐述了我国网络空间安全的核心理念和战略主张。《战略》对网络空间的概念和影响做出了系统性的界定,提出推进网络空间和平、安全、开放、合作、有序,维护国家主权、安全、发展利益,实现建设网络强国的战略目标,确定了尊重维护网络空间主权、和平利用网络空间、依法治理网络空间、统筹网络安全与发展的四大原则,提出坚定捍卫网络空间主权、坚决维护国家安全、保护关键信息基础设施、加强网络文化建设、打击网络恐怖和违法犯罪、完善网络治理体系、夯实网络安全基础、提升网络空间防护能力、强化网络空间国际合作等九大战略任务。
        简要点评:《战略》将与法律法规和组织建设一起共同构成我国网络强国的制度性支柱。2014年,党中央从体制机制改革入手,打破网络空间安全管理部门壁垒,成立网络安全与信息化领导小组办公室;在此基础上历时一年多主导推出我国网络空间安全的基本法——《网络安全法》,如今进一步出台《国家网络空间安全战略》,完成了我国网络强国顶层设计的闭环。这一系列的制度举措均体现出我国在网络空间安全治理方面的开放与透明,这是我国融入世界体系建设网络强国的制度标配。同时,战略虽然是顶层设计,但其实现需要依靠自下而上的企业和社会力量,需要立足安全但又要超越安全。《战略》不仅是对新时期我国经济社会发展的全面保障,更是网络时代我国社会发展和治理模式的一次全新探索,只有这样才能从根本上保障我国的公民权益和企业的创新繁荣,更好地融入国际网络空间发展与治理体系。构建网络空间命运共同体,这是我国网络强国建设和网络空间安全的根本之意。