【数据法学】刘金瑞:美国网络安全信息共享立法及对我国的启示(一)
B D A I L C
欢 迎 关 注
网络安全信息共享已成为各国网络安全立法的重点议题。美国通过一系列政策和行政命令确立了信息共享的基本框架,并于2015年通过了《网络安全信息共享法》。该法规定的主要内容包括:联邦政府的网络安全信息共享;非联邦主体的网络安全信息共享;规定私主体的责任豁免以鼓励信息共享;隐私、自由和私权利的保护;限制政府所获网络安全信息的用途;联邦机构向国会定期报告制度。在借鉴美国立法经验的基础上,本文对我国未来立法提出如下建议:尽快建构网络安全信息共享的法治框架;确立网络安全信息共享的公私合作机制;规定相应的责任豁免制度以激励信息共享;平衡维护网络安全与保护私人权利的关系;限定政府所获网络安全信息的特定用途。
Jacqueline Williams
美国网络安全信息共享立法及对我国的启示
文 / 中国法学会法治研究所副研究员 刘金瑞
近年来, 随着网络攻击和网络威胁等愈演愈烈, 各国纷纷开始重视并加强网络安全立法, 如何使公共部门和私营部门更好地应对网络安全威胁成为全球共同面临的挑战。各国立法中的一个重要共识是, 及时交换共享网络安全信息是预防和充分应对网络安全事件的重要举措, 网络安全信息共享包括私营部门之间的共享、政府部门之间的共享以及私营部门和政府部门之间的共享三个方面。我国2016年11月通过的《网络安全法》第39条明确规定, 对于关键信息基础设施, 国家网信部门应当统筹协调有关部门, “促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享”。
但该规定比较原则和简单, 并没有规定网络安全信息共享的具体负责机构和实现机制, 如何构建我国网络安全信息共享制度成为贯彻《网络安全法》、确保我国网络安全亟待研究的重大问题。作为全球网络信息技术最发达的国家, 美国很早就开始研究制定网络安全信息共享的政策立法, 并于2015年12月正式通过了美国《网络安全信息共享法》, 这对我国相关制度的构建具有重要的借鉴意义。本文着重介绍和分析美国网络安全信息共享立法的最新进展, 在此基础上得出建立我国网络安全信息共享制度的有益启示。
一、美国网络安全信息共享立法的历程和框架
美国早在克林顿政府时期就开始制定网络安全信息共享的政策和立法。1998年5月, 克林顿签署颁布《第6 3号总统决策指令》(PDD-6 3),规定联邦调查局内部的“国家关键基础设施保护中心”(National Infrastructure Protection Center, NIPC) 维持政府和私营部门之间相关信息的流通和共享;与之相对, 规定私营行业建立信息共享和分析中心(Information Sharing and Analysis Center, ISAC),负责收集、分析和共享其成员间的安全事件信息和应对信息, 促成政府和私营行业之间的信息交换。这一设想最后发展成每个行业都有其自身的信息共享和分析中心。相较于关键基础设施保护行业协作委员会(sector coordinating council), ISAC是24小时、365天全天候运行的, 该中心负责通报、分析和共享设施运营者的安全事件报告和来自政府的网络安全威胁信息。
美国在“9·11”事件之后, 于2002年通过了《国土安全法》, 成立了国土安全部。虽然PDD-6 3将ISAC设想成交换关键基础设施信息最主要的渠道, 但国土安全部还是依据自身的授权发展出了一系列其他的信息交换系统和机制, 主要包括设立“关键基础设施保护行政通知服务处”(Infrastructure Protection Executive Notification Service, ENS),该部门直接联系国土安全部和主要产业公司的首席执行官, ENS负责向合作伙伴警示关键技术设施安全事件、发布警告产品和组织电话会议;运营“关键基础设施警告网络”(Critical Infrastructure Warning Network, CWIN),该网络不依靠公共交换电话网和互联网, 为国土安全部与其他联邦、州和地方政府机构、私营行业和国际机构提供安全通信。
国土安全部还开发了国土安全信息网络(Homeland Security Information Network, HSIN),最初是作为联邦、州和地方层级政府执法机构交流和分析威胁信息的主要通信网络。现在HSIN提供5 0个州、5个领地、5 0个城市以及国土安全部的国家行动中心(National Operations Center)的实时连接。HSIN现在正扩展到包含每个关键基础设施行业(称为HSIN-CI),作为关键基础设施保护伙伴关系模式的一部分。除了行业协作协会, 美国计算机应急中心(US-CERT)也接受安全事件报告, 公布最新的计算机漏洞威胁信息以及特定安全事件应对信息, 也负责国家网络警报系统(National Cyber A-lert System),任何组织或者个人都可以订阅这一系统的通报信息。
此外, 《国土安全法》还界定了“信息共享和分析组织”(Information Sharing and Analysis Organizations, ISAO),其是指“以收集、分析、交流或者披露关键基础设施信息为目的, 公共部门或私营行业组织建立或雇用的正式或非正式组织”, “以有助于保护、检测、减轻或者恢复关键基础设施损害所造成的影响”。可以发现, PDD-6 3建立的ISAC是行业导向的, 而ISAO没有此种要求。
奥巴马政府成立之后, 积极推进网络安全的综合性立法, 最主要内容就是关键基础设施保护和网络安全信息共享。但因为争议较大, 相关立法设想在国会一直无法通过, 奥巴马政府转而通过行政命令继续推进网络安全信息共享。2 0 1 3年2月, 《第1 3 6 3 6号行政命令》(E.O.1 3 6 3 6)要求将“增强网络安全服务”项目推广至所有关键基础设施相关部门, 面向私营公司制定推广自愿性信息共享计划。2 0 1 5年2月, 《第1 3 6 9 1号行政命令》(E.O.1 3 6 9 1)要求国土安全部长支持信息共享和分析组织(ISAO)的发展, 以促进网络安全信息分享。
虽然通过一系列行政命令建立了网络安全信息共享的基本框架, 但因为限于总统行政权力有限, 行政命令无法创设新的机构, 也无法规定鼓励企业共享网络安全信息的责任豁免制度, 奥巴马从第二任期开始继续推进相关国会立法。仅第1 1 4届国会, 就提出了H.R.2 3 4、H.R.1 5 6 0、H.R.1 7 3 1、S.4 5 6和S.7 5 4等五部法案, 这些法案经过了参议院和众议院的数次审议和多次修改。2 0 1 5年1 0月2 7日, 美国参议院以7 4票赞成、2 1票反对的表决结果, 通过了《网络安全信息共享法案》(Cybersecurity Information Sharing Act, CISA)。2 0 1 5年1 2月2 8日, 奥巴马总统签署了包含该法案的2 0 1 6综合预算法, 《网络安全信息共享法》(CISA)正式生效。
原载于《财经法学》2017年第1期
转载自数字经济与法治
仅作学习交流之用
Jacqueline Williams
往期荐读
编辑:韩雨硕
欢迎点击“阅读原文”