近年来,各国网络安全领域的立法呈现集中爆发之势。由于网络安全越来越同国家安全、反恐等密切相关,因此网络安全立法的外延也在不断扩展,关键基础设施、网络人才储备、网络监控、信息共享等都被纳入其中。美国的《网络安全法案》就相当有代表性。
2015年年底,在美国国会例行通过的年度《综合财政拨款法》中,《网络安全法案》被夹在其中,一并出台。法案由《网络安全信息共享法》、《国家网络安全促进法》、《联邦网络安全人力资源评估法》等共计四章四十七节构成,是一部组合性质的法律。
——系列核心定义的范围被扩展,“网络安全”所指内容由之前单一的“信息系统安全”调整为“信息系统安全和网络数据安全”两大部分。
法案所谓“网络安全”,一是传统意义上的“信息系统安全”,二是“数据安全”,具体包括三种形态,“存储在信息系统上的”、“正处于处理过程中的”、“途经该信息系统的”,所有牵涉到这三种形态的数据,都属于这部法案最新调整的范围。
在新思路的引领之下,系列定义被重新调整。如,法案SEC.102(5)“网络安全威胁”,是指“可能对某一信息系统的安全、有效、机密和完整等属性造成负面影响的未经授权的行动,或者对存储于该信息系统的数据、正在该信息系统上处理的数据、途经该信息系统的数据造成负面影响的未经授权的行动”。
——法案对国土安全部大力授权,助其成为美国网络安全权力架构的最核心。
体现在三个方面,其一,法案授权国土安全部作为美国网络安全信息共享的枢纽,不仅是私营部门向联邦政府机构进行信息传递的枢纽,也是联邦政府各机构之间信息共享的枢纽,由此,国土安全部将一举跃升为美国网络数据最大的存储基地和中转港。其二,法案重新确认国土安全部在网络安全事故应急处置和关键基础设施安全保障两大任务中的牵头部门地位,新增其在网络安全人才教育培养中的负责部门地位。其三,法案授权新设国家网络安全和通信一体化中心,为国土安全部下设机构的权力再度加码。
——以网络安全为名,法案赋予美国网络服务提供商史无前例的网络监控权。
法案SEC.104节名为“网络安全威胁之防止、发现、分析和减轻等系列行动之授权”,其核心是授予网络提供商对网络实施监控,并采取所有必要的防御行动。
依据SEC.104(a),监控目标可以是自家网络信息系统,也可以是其他任何网络提供商的信息系统,只要获得书面同意即可。此外,对于那些被存储于、正处于处理过程中的、途经该信息系统的数据,均可实施监控。
启动监控之后,网络提供商可采取SEC.104(b)所规定的各项防御措施。值得注意的是,法案授权网络提供商可以与其他主体签订书面协议,授权其代表自己对网络实施监控和采取防御行动,即,监控行动可以被外包出去。此类规定给人的想象空间实在巨大,比如,外包的主体可以理解为市场上专业的网络安全公司,但也极有可能是国家安全局、中央情报局这样的老牌情报机构。法案这种无所控制的规定,基本可以视为2013年棱镜事件之后,美国在网络监控方面的又一次立法大扩张。
——新设信息共享制度,将私营部门和联邦政府各部门拧成一股绳。
信息共享的主线有两条,一是私营机构向联邦政府进行信息共享,二是联邦政府各部门之间的信息共享。共享的内容包括网络威胁迹象、防御措施、安全漏洞等等。共享主体上,主要由国土安全部部长、国家情报总监、国防部部长领衔,具体牵涉某一类信息到底在何种范围共享之类的法律细则将再行制定。
——网络安全人才教育和专业培养,百年树人,着眼长远。
网络安全的特殊重要性促使法案将网络安全人才单独列出来进行重点培养。法案提出“网络安全教育之国家倡议”,由国土安全部、国家标准技术研究院、联邦情报机构牵头,对网络安全和信息技术类人才进行专门培养,设定人员上岗要求,并对网络安全、相关工种进行全国统一职业编码。法案要求立即启动全国网络安全紧缺人才的申报和确认工作。
除以上之外,法案还规定了其他内容,如,要求对移动设备安全、网络医疗、网络金融等领域的安全予以前瞻性研究,进行重点关注。对2011年白宫《网络空间国际战略》发布5年以来的实施效果进行评估,并计划2016年年底之前出台新版《网络空间国际战略》。
总体上看,《网络安全法案》是美国立法机构动用国家强制力对网络空间进行规则重塑的又一部文本典范。其思想基本延续了《国土安全法案》、《爱国者法案》、《外国情报监控法案》、《美国自由法案》的立法精髓,体现了美国思维。
制度搭建方面,很多构想十分超前,力透纸背。比如,关键基础设施的安全保障计划从之前的“100%安全目标”调整为“基于风险”,将“某一”关键基础设施遭受网络攻击的情景假设调整为“多个”关键基础设施“同时”遭到极其重大网络攻击,并引发毁灭性后果的情景假设。类似此类的考虑,其实质是将立法思路整体转变为重大灾难很难回避的假设,这在全球恐怖主义袭击线上线下联动的背景之下,是有其现实意义的。
管辖范围方面,条文跨越国界,对全球网络安全进行管控。一方面,对于自然人,一旦触犯美国法律,不管你是哪国人,翻遍全球也要追捕到底。SEC.403节规定,美国法官在“确信”的情况下,可以向任何国家网络犯罪分子发布逮捕令,可以动用国际刑警组织发布红色通缉令,实施抓捕行动。另一方面,对于其他国家,美国并不致力于塑造和谐、和平、友好的对外形象,尤其是对中国、俄罗斯、巴西和印度,美国将特别关注其在国际网络空间规则制定方面的一举一动,比如这些国家提出的一些新词汇。
时间效力方面,法案有效期为10年,截至2025年年底失效,这与那些致力于法典化的国家相比,期限的确短暂,但也恰恰因此,法案的思路不以理论公正为目标,而是追求一种立竿见影的实际效果,有些制度甚至以1年或者3年为期。相比于那些反反复复斟酌词汇、希望网络安全立法条文“一部永流传”的国家,美国的出发点是角力当下。
很难想象10年之后,另一部美国网络安全法将会以何种面目出现。但变化的其实是形式,不会改变的,是美国立法机构将网络空间视为自家资产并掌控全球的惯性思维。从9·11之后的《爱国者法案》,到反恐背景下的《美国自由法案》,再到目前的《网络安全法案》,脉络其实始终清晰,美国立法不追求说服别人,只要说服自己即可。
本文转自d1net(转载)