支振鋒:信息安全治理的域外經驗
作者:
時間:2023-01-09 17:00:43
來源:
瀏覽:1293 次
信息安全是日益數字化����、網絡化和智能化社會的基礎性問題����。信息安全領域寬泛�����,既包括網絡空間得以安全穩定運行的互聯網基礎設施安全�,也包括在新技術新應用新業態中起基礎性驅動作用的數據安全����,還包括對國家政治和社會穩定有重大影響的內容安全���。在美國“棱鏡計劃”為斯諾登披露之后��,世界各國前所未有地重視信息安全��,并在戰略設計��、技術創新和法規政策上取得一系列進展����,其中有不少值得為我國所借鑒的經驗���。
信息安全成為國家安全和發展戰略的重要部分�����。作為全球網絡空間的主要締造者����,美國很早就意識到信息安全的重要意義��,并把信息安全納入到國家安全整體框架之中�,從觀念���、理論���、戰略和行動上豐富了信息時代國家安全的內涵��。近半個世紀來��,美國通過1978年《第12065號總統行政令》��、1987年《關于通信和自動化信息系統安全的國家政策》���、1988年《保護美國關鍵基礎設施》�����、1997年美國國防小組提交的《轉變中的國防:21世紀的國家安全》���、2000年國會研究署提交的《關于網絡戰的戰略報告》�、2003年《網絡空間安全國家戰略》等舉措�,國家信息安全政策漸成體系�����;近十年來��,美國國家信息安全政策不斷擴張���,2011年發布《網絡空間國際戰略》《網絡空間行動戰略》��,將網絡空間與陸?���?仗煲黄鸩⒘袨槊儡姷摹靶袆宇I域”�。特朗普政府和拜登政府更是將網絡安全置于國家安全中更加優先的地位���,2021年5月拜登簽署關于增強國家網絡安全的行政命令��,提出要加強基礎設施的安全可信����,2022年9月美國網絡安全和基礎設施安全局(CISA)發布綜合性的《網絡安全戰略規劃2023-2025》�。英國�����、德國�、法國也都在信息安全領域較為“先知先覺”��,不斷出臺相關網絡或信息安全國家戰略�,近期更是跟隨美國����,濫用國家安全名義�,對華為等中國高科技公司進行不正當限制����。而由于特殊的戰略環境�,俄羅斯對信息安全同樣敏感�����,早在1995年就在討論《俄羅斯聯邦信息安全綱要》中提出“信息安全”概念�,1997年在《國家安全構想》中明確提出信息安全是經濟安全的重中之重����,并于2000年正式由普京總統簽署《國家信息安全學說》���,構筑“未來國家信息安全政策大廈”�。特別是2014年以來���,隨著與西方關系的變化��,俄羅斯在信息安全國家戰略和法規政策上不斷出臺新政策��、新舉措��,2021年7月發布新版《國家安全戰略》��,為維護國家安全奠定更加堅實的信息底座����。
關鍵信息基礎設施安全成為信息安全的重中之重?����,F代社會數字化程度日益加深�,公共通信和信息服務����,以及能源�、交通���、水利�����、金融��、電子政務等重要行業和領域信息系統一旦遭到破壞����、喪失功能或者數據泄露���,可能嚴重危害國家安全���、國計民生����、公共利益�����,成為需要重點保護的關鍵信息基礎設施���。近年來��,網絡攻擊����、勒索攻擊�、利用安全漏洞的攻擊�����、數據泄露事件等層出不窮�,有些甚至是國家層面發起的攻擊����。早在20世紀末的克林頓時期�,美國就著手出臺關鍵信息基礎設施領域保護的政策和法律����,確立保護機構��,明確職責分工����。2021年��,在美國成品油供應商科洛尼爾和最大肉類加工商JBS被網絡勒索之后�����,白宮迅速發布第14028號行政令《提升國家網絡安全》和《改善關鍵基礎設施控制系統網絡安全的國家安全備忘錄》����,2022年3月拜登又簽署了《關鍵基礎設施網絡安全事件報告法》����;歐盟高度重視整體層面的網絡攻擊防御和復原能力�����,歐洲議會2021年通過《關于歐盟數字十年網絡安全戰略的決議》�,重申為歐盟關鍵基礎設施建立新的�、強大的安全框架的重要性���;新加坡《2021年網絡安全戰略》進一步明確和強化關鍵信息基礎設施保護過程�����;澳大利亞《2022年安全立法修正案(關鍵基礎設施保護)法》就關鍵信息基礎設施保護進行了新的探索���。在安全環境急劇變化的情況下�,俄羅斯更加強調關鍵信息基礎設施的保護和防御�,普京總統在2022年3月底簽署總統令�����,要求關鍵信息基礎設施部門自2025年1月1日起全面禁用外國軟件����,還要求政府在最短時間內建立一個現代化的國產電子元件基地�����。
數據安全成為信息安全的基礎性問題�。數據是映射世界的符碼�����,更是數字經濟的關鍵要素����,智慧治理的基礎支撐�。數據承載著個人���、市場主體與國家的大量信息�,關系到公民個體人格權益���、市場主體財產權益以及國家安全和社會公共利益���。美國雖然在數據與個人信息保護上立法較為碎片化�,但聯邦和州層面通過各種專門立法��,已經形成了數據安全保護的制度體系�����。特別是�,美國奉行“數據霸權”��,不停以“數據安全”為借口抹黑中國產品����,以“用戶隱私”為由叫囂封殺制裁Tiktok等平臺��,大肆在數據領域實施“長臂管轄”���,企圖焊造全球“數字鐵幕”����。歐盟特別注意數據和個人信息保護���,1995年就通過《數據保護指令》���,2016年通過《通用數據保護條例》���,2022年又通過《數字服務法》和《數字市場法》�,形成了在全世界都極有特色的嚴密數據安全法律體系�����。特別是在數據跨境流動問題上��,不同國家和地區之間在數據安全方面存在嚴重的信任危機���,2000年和2016年歐盟與美國先后簽訂《安全港協議》和《隱私盾協議》�,但均被歐盟法院判決無效���。2022年3月�����,美歐宣布達成《跨大西洋數據隱私框架》��,10月美國總統拜登簽署《關于加強美國信號情報活動保障措施的行政命令》����,12月歐盟委員會啟動了《歐盟-美國數據隱私框架充分性決定草案》的推進進程�。
內容安全成為信息安全的焦點議題����。劍橋分析事件不僅導致臉書付出了50億多美元的代價��,也引發了美國對大型社交媒體平臺的警惕����,開始討論《通信規范法》第230條對平臺責任的豁免問題���。2020年����,時任美國總統的特朗普簽署《防止在線審查行政令》�。歐盟�、英國�����、法國��、德國����、俄羅斯�、巴西等紛紛出臺法律���,對社交媒體進行規范�����,強化內容治理���。
供應鏈安全成為信息安全的前瞻性關切�。由于現代產品和服務依賴于供應鏈���,產品的組件和軟件來源眾多���,設備可能在一個國家設計而在另一個國家制造��,這意味著產品可能包含惡意軟件���、易受到網絡攻擊����,而供應鏈本身存在的安全漏洞也會影響公司安全基線���。美國從小布什政府時期就開始重視供應鏈安全��,特朗普政府上臺后進一步完善了產業鏈供應鏈安全體系的戰略設計���,關注重點也由災難性風險轉向了大國政治博弈風險����。2021年2月24日���,拜登總統簽署行政令����,要求對半導體�����、新能源電池��、關鍵礦物和醫藥用品四大關鍵領域的供應鏈彈性進行評估���,6月8日�,白宮發布了題為《建設有彈性的供應鏈��,振興美國制造業��,促進廣泛增長:根據第14017號行政命令的百日評估》的報告�,此后美國通過2021年《兩黨基礎設施法》�,2022年《芯片和科學法》和《削減通脹法》����,不斷強調供應鏈安全�����。英國�、歐盟以及其他國家和地區也都把產業鏈供應鏈安全視為國家安全的重要關切而投入大量立法���、規制和政策資源����。
黨的二十大報告提出��,以新安全格局保障新發展格局����,強化網絡�����、數據等安全保障體系建設���。信息安全是一項長期���、復雜���、系統的綜合工程�����。在以中國式現代化全面推進中華民族偉大復興新征程上����,必須堅持以習近平總書記關于網絡強國的重要思想為指導����,統籌中華民族偉大復興戰略全局和世界百年未有之大變局��,以高水平信息安全促進高質量發展�����,構筑國家競爭新優勢���,塑造數字文明新形態��。
作者:支振鋒:中國社會科學院法學研究所研究員�、中國社會科學院臺港澳法研究中心主任�����、《環球法律評論》雜志副主編����,博士生導師��。
來源:《經濟日報》2023年1月4日第11版����。
