閆曉麗

（賽迪研究院網(wǎng)絡(luò)安全研究所，北京 100846）

1 引言

隨著經(jīng)濟(jì)社會對信息網(wǎng)絡(luò)依賴程度不斷提高，網(wǎng)絡(luò)安全已經(jīng)成為事關(guān)國家安全與利益的重大議題。針對大規(guī)模網(wǎng)絡(luò)攻擊、數(shù)據(jù)竊取泄露及濫用、新技術(shù)新業(yè)務(wù)安全風(fēng)險等難題，主要國家和地區(qū)紛紛出臺法律法規(guī)進(jìn)行規(guī)制，以更好地應(yīng)對網(wǎng)絡(luò)安全風(fēng)險?？傮w看，近年來網(wǎng)絡(luò)安全國際立法呈現(xiàn)出幾個主要動向和趨勢：一是從保護(hù)隱私和個人基本權(quán)利出發(fā)加強(qiáng)個人信息保護(hù)立法；二是立法提升關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全、網(wǎng)絡(luò)風(fēng)險管理等方面能力；三是探索新技術(shù)新業(yè)務(wù)安全監(jiān)管思路和規(guī)則；四是以國家安全為由收緊出口管制、外國投資；數(shù)據(jù)跨境等方面的規(guī)則。

2 個人信息保護(hù)立法

從保護(hù)隱私和個人基本權(quán)利出發(fā)，主要國家和地區(qū)加強(qiáng)個人信息保護(hù)立法，明確了個人信息范圍，設(shè)定了個人信息收集、存儲、共享等方面的基本規(guī)則，賦予了個人對數(shù)據(jù)的刪除權(quán)等權(quán)利，加強(qiáng)對企業(yè)數(shù)據(jù)保護(hù)等行為的監(jiān)管。

2.1 建立個人信息保護(hù)的一般制度

個人信息保護(hù)立法以歐盟2016年《通用數(shù)據(jù)保護(hù)條例》（GDPR）、美國2018年《加州消費(fèi)者隱私法》（CCPA）為代表。兩者都是通過規(guī)范企業(yè)處理和使用數(shù)據(jù)的行為，強(qiáng)化其與數(shù)據(jù)相關(guān)的責(zé)任，并設(shè)定較為嚴(yán)格的處罰。兩部法律涵蓋的核心內(nèi)容有五方面。一是適用范圍：GDPR適用于向歐盟居民提供產(chǎn)品或服務(wù)及收集或監(jiān)控歐盟居民數(shù)據(jù)的主體；CCPA適用于處理加州居民個人數(shù)據(jù)的營利性實體，并從年收入、個人信息數(shù)量等方面提出了一些限制性要求。二是個人信息界定：GDPR中個人信息是與已識別或可識別的自然人（即數(shù)據(jù)主體）相關(guān)的任何信息；CCPA中個人信息除與特定主體相關(guān)外，還可是與特定的家庭相關(guān)或合理相關(guān)的信息。三是數(shù)據(jù)處理原則：GDPR中數(shù)據(jù)的處理以數(shù)據(jù)主體“明示同意”為原則，而且同意可以在任何時間撤銷，只要不影響基于原有同意所作的數(shù)據(jù)處理；CCPA數(shù)據(jù)的處理以“通知數(shù)據(jù)主體”為原則，消費(fèi)者的同意并非是必須的，而且消費(fèi)者有權(quán)要求向第三方出售其個人信息的企業(yè)不得再出售（選擇退出權(quán)）。四是數(shù)據(jù)主體的相關(guān)權(quán)利：GDPR賦予了數(shù)據(jù)主體刪除權(quán)、可攜帶權(quán)等新型權(quán)利；CCPA也明確消費(fèi)者有刪除請求權(quán)、信息披露請求權(quán)等。五是救濟(jì)和懲罰措施：GDPR將違反數(shù)據(jù)保護(hù)規(guī)定的行為分為兩類，大幅地提高了行政罰款額度，對相關(guān)行為可處以不超過2，000萬歐元的罰款或全球營業(yè)額4%的罰款；CCPA規(guī)定企業(yè)有30天的糾錯期，但如果在規(guī)定期限內(nèi)沒有糾正違法行為，則可被處以2，500美元或7，500美元罰款。

2.2 探索面部識別技術(shù)使用及隱私保護(hù)立法

出于對技術(shù)被濫用問題的擔(dān)憂，美國、歐盟等主要國家和地區(qū)對面部識別技術(shù)采取謹(jǐn)慎態(tài)度。2019年，美國國會引入《商業(yè)面部識別隱私法案》《面部識別技術(shù)的倫理使用法案》等法案，要求商業(yè)公司在使用面部識別數(shù)據(jù)時提前通知用戶，禁止在未經(jīng)用戶同意的情況下使用面部識別數(shù)據(jù)；美國一些大城市的立法中，也明確禁止政府部門在公共區(qū)域使用面部識別技術(shù)。例如，2019年5月，舊金山市簽署的《反監(jiān)控條例》首次禁止使用面部識別技術(shù)；6月和7月，馬薩諸塞州的薩默維爾、加利福尼亞州的奧克蘭做出了相同的決定；12月，圣地亞哥禁止在3年內(nèi)使用面部識別技術(shù)。歐盟2020年初發(fā)布的《人工智能白皮書》中，曾考慮在公共場所禁止公營、私營機(jī)構(gòu)使用面部識別技術(shù)，為期3～5年，盡管后來白皮書正式文本中刪去了這一條款，但歐盟認(rèn)為面部識別技術(shù)的使用無法事先取得數(shù)據(jù)主體的同意，需要采用基于風(fēng)險的方法引入一些新的規(guī)則。目前，國際上已經(jīng)出臺的面部識別技術(shù)及隱私保護(hù)立法，主要是2020年3月美國華盛頓州通過的《人臉識別服務(wù)法》。該法以擬開發(fā)、獲取或使用人臉識別服務(wù)的州或地方政府為主要規(guī)制對象，為其設(shè)定了向立法機(jī)構(gòu)提交意向通知、編制問責(zé)報告、確保重大決定遵守人工審查、對相關(guān)人員進(jìn)行培訓(xùn)等義務(wù)；該法嚴(yán)格限制州或地方政府使用人臉識別服務(wù)進(jìn)行持續(xù)、實時的監(jiān)視和追蹤，除非獲得許可或緊急情況下使用。此外，美國加利福尼亞州《人臉識別法》也在制定中。

2.3 對特殊類型個人數(shù)據(jù)保護(hù)提出指引或要求

一是政治活動中個人數(shù)據(jù)。2019年，歐洲數(shù)據(jù)保護(hù)委員會發(fā)表聲明指出：揭示政治觀點的個人數(shù)據(jù)屬于GDPR規(guī)范下特殊類型的個人數(shù)據(jù)，處理該類個人數(shù)據(jù)時需要遵守嚴(yán)格的要求，政黨應(yīng)能對其合法合規(guī)使用個人數(shù)據(jù)進(jìn)行證明。二是個人健康數(shù)據(jù)。歐盟及法國、德國等成員國，美國、英國、澳大利亞等國家發(fā)布了疫情期間雇員個人數(shù)據(jù)處理聲明或指南，明確了個人數(shù)據(jù)收集使用原則和要求。2019年，美國國會引入了《移動健康記錄法案2019》，旨在提高個人通過移動健康應(yīng)用程序訪問其健康數(shù)據(jù)的能力；引入《基因信息隱私法案2019》，旨在規(guī)范基因測試服務(wù)中對個人可識別信息的使用活動。三是兒童個人信息。2020年1月，英國信息專員辦公室（ICO）發(fā)布了《網(wǎng)絡(luò)服務(wù)適齡設(shè)計實踐守則》，對信息社會服務(wù)提供者提出了兒童利益最大化、數(shù)據(jù)保護(hù)影響評估、一般情況下不得披露兒童信息等十五條要求。

3 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)立法

美國、歐盟很早就通過立法明確關(guān)鍵信息基礎(chǔ)設(shè)施的定義和范圍、保護(hù)主體的責(zé)任、保護(hù)措施要求等內(nèi)容。近幾年，國際關(guān)鍵信息基礎(chǔ)設(shè)施安全立法主要從三個方面深入：一是IT產(chǎn)品和服務(wù)供應(yīng)鏈安全；二是關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全保障；三是漏洞管理、網(wǎng)絡(luò)感知、網(wǎng)絡(luò)信息共享等基礎(chǔ)能力提升。

3.1 通過采購限制、認(rèn)證等制度確保IT產(chǎn)品和服務(wù)供應(yīng)鏈安全

IT供應(yīng)鏈安全立法的核心內(nèi)容是優(yōu)先使用國內(nèi)產(chǎn)品或限制、禁止國外產(chǎn)品使用及建立IT產(chǎn)品和服務(wù)的審查認(rèn)證制度，以美國《安全和可信電信網(wǎng)絡(luò)法》《確保信息通信技術(shù)與服務(wù)供應(yīng)鏈安全的行政令》、國防部《網(wǎng)絡(luò)安全成熟度模型認(rèn)證》及歐盟《網(wǎng)絡(luò)安全法》為代表。美國《安全和可信電信網(wǎng)絡(luò)法》于2020年3月發(fā)布，要求聯(lián)邦通信委員會（FCC）編制一份對美國電信網(wǎng)絡(luò)構(gòu)成威脅的公司名單，禁止FCC資助電信企業(yè)從被視為威脅的公司購買設(shè)備?！洞_保信息通信技術(shù)與服務(wù)供應(yīng)鏈安全的行政令》于2019年5月發(fā)布，禁止任何受美國管轄的個人或?qū)嶓w獲取、進(jìn)口、轉(zhuǎn)讓、安裝、買賣或使用信息通信技術(shù)或服務(wù)，只要該信息通信技術(shù)或服務(wù)由外國對手擁有、控制或受其管轄或指導(dǎo)的人（包括個人或?qū)嶓w）所設(shè)計、開發(fā)、制造或供應(yīng)，且對在美國設(shè)計、完整、制造、生產(chǎn)、分配、安裝、運(yùn)營或維護(hù)的信息通信技術(shù)或服務(wù)構(gòu)成破壞或顛覆的不當(dāng)風(fēng)險，對美國關(guān)鍵基礎(chǔ)設(shè)施或美國數(shù)字經(jīng)濟(jì)的安全性或復(fù)原能力造成災(zāi)難性影響的不當(dāng)風(fēng)險，對美國的國家安全或美國人的安全和保障構(gòu)成不可接受的風(fēng)險。《網(wǎng)絡(luò)安全成熟度模型認(rèn)證》（CMMC）由美國國防部2020年1月發(fā)布，旨在建立一個適用于所有國防承包商的統(tǒng)一認(rèn)證標(biāo)準(zhǔn)。歐盟《網(wǎng)絡(luò)安全法》于2019年3月發(fā)布，建立了一個歐盟層面的、統(tǒng)一的網(wǎng)絡(luò)安全認(rèn)證機(jī)制。此外，2019年11月，俄羅斯通過立法，要求所有智能手機(jī)、電腦、平板電腦、智能電視等智能設(shè)備預(yù)裝俄羅斯本土軟件，推遲至2021年1月生效；2019年12月，印度發(fā)布《網(wǎng)絡(luò)安全產(chǎn)品公共采購（印度優(yōu)先）令》，要求所有由印度公司或初創(chuàng)企業(yè)擁有知識產(chǎn)權(quán)的公共采購中，優(yōu)先考慮本地生產(chǎn)的網(wǎng)絡(luò)安全產(chǎn)品。

3.2 建立關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全風(fēng)險管理等保障制度

關(guān)鍵信息基礎(chǔ)設(shè)施保障立法以美國《增強(qiáng)聯(lián)邦政府網(wǎng)絡(luò)與關(guān)鍵性基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的行政令》、俄羅斯《主權(quán)互聯(lián)網(wǎng)法》、澳大利亞《關(guān)鍵基礎(chǔ)設(shè)施安全法》為代表，核心內(nèi)容是促進(jìn)網(wǎng)絡(luò)安全風(fēng)險的評估和識別，推動建立關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保障制度。美國《增強(qiáng)聯(lián)邦政府網(wǎng)絡(luò)與關(guān)鍵性基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的行政令》于2017年5月發(fā)布，要求各聯(lián)邦政府機(jī)構(gòu)、關(guān)鍵基礎(chǔ)設(shè)施行業(yè)實施由國家標(biāo)準(zhǔn)與技術(shù)研究院制定的《提升關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》，加強(qiáng)網(wǎng)絡(luò)安全風(fēng)險管理。俄羅斯《主權(quán)互聯(lián)網(wǎng)法》于2019年5月發(fā)布，主要內(nèi)容包括建立統(tǒng)一國家域名系統(tǒng)、定期開展維持俄羅斯互聯(lián)網(wǎng)和公共通信網(wǎng)可持續(xù)性和安全的演習(xí)、授權(quán)監(jiān)管機(jī)構(gòu)在必要時對通信網(wǎng)絡(luò)實施中央管理、要求互聯(lián)網(wǎng)運(yùn)營商安裝“應(yīng)對威脅的技術(shù)手段”等，旨在打造俄羅斯自主互聯(lián)網(wǎng)系統(tǒng)。澳大利亞《關(guān)鍵基礎(chǔ)設(shè)施安全法》于2018年7月正式施行，建立了關(guān)鍵基礎(chǔ)設(shè)施資產(chǎn)登記制度，授權(quán)內(nèi)政事務(wù)部部長對其認(rèn)為任何可能造成安全風(fēng)險的行為，命令報告行為主體實施或不得實施。

3.3 建立漏洞管理、網(wǎng)絡(luò)感知、網(wǎng)絡(luò)信息共享等制度

漏洞共享等相關(guān)立法以美國的《網(wǎng)絡(luò)安全法》《漏洞公平裁決政策和程序》及新加坡的《網(wǎng)絡(luò)安全法》為代表。美國《網(wǎng)絡(luò)安全法》作為《2015年度綜合財政撥款法》的一部分被通過，由《網(wǎng)絡(luò)安全信息共享法》《國家網(wǎng)絡(luò)安全促進(jìn)法》《聯(lián)邦網(wǎng)絡(luò)安全人力資源評估法》等構(gòu)成，強(qiáng)化了對國土安全部的授權(quán)，建立網(wǎng)絡(luò)信息共享制度，共享內(nèi)容包括網(wǎng)絡(luò)威脅跡象、防御措施、安全漏洞等。美國《漏洞公平裁決政策和程序》由白宮于2017年11月發(fā)布，描述了政府更新漏洞公平裁決流程的原因、方法和愿景，提出了政府更新漏洞公平裁決的基本流程。新加坡《網(wǎng)絡(luò)安全法》于2018年2月公布，是落實新加坡網(wǎng)絡(luò)安全戰(zhàn)略的重要舉措，明確提出要加強(qiáng)11個領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)對網(wǎng)絡(luò)攻擊的能力，建立網(wǎng)絡(luò)安全事件的響應(yīng)和預(yù)防機(jī)制，建立網(wǎng)絡(luò)安全信息共享機(jī)制，明確從事網(wǎng)絡(luò)安全服務(wù)的人員才需獲得網(wǎng)絡(luò)安全服務(wù)許可證。

4 新技術(shù)新業(yè)務(wù)安全監(jiān)管立法

圍繞著人工智能、物聯(lián)網(wǎng)、區(qū)塊鏈等新技術(shù)新業(yè)務(wù)，美國、歐盟等在鼓勵創(chuàng)新的同時，積極探索網(wǎng)絡(luò)安全監(jiān)管思路和規(guī)則。

4.1 推動新技術(shù)新業(yè)務(wù)發(fā)展和創(chuàng)新

2018年12月，美國發(fā)布《國家量子計劃法》，計劃未來10年內(nèi)向量子研究注入12億美元資金，由美國能源部、商務(wù)部國家標(biāo)準(zhǔn)與技術(shù)研究院和美國國家科學(xué)基金會配合聯(lián)邦政府共同落實量子計劃項目。2019年2月，美國發(fā)布《人工智能倡議的行政令》，旨在從國家戰(zhàn)略層面調(diào)動更多聯(lián)邦資金和資源用于人工智能研發(fā)，確保美國在人工智能領(lǐng)域的領(lǐng)導(dǎo)力，應(yīng)對來自戰(zhàn)略競爭者和外國對手的挑戰(zhàn)。2019年4月，歐盟發(fā)布《人工智能倫理準(zhǔn)則》，列明可信賴人工智能的七個關(guān)鍵條件，以確保人工智能足夠安全可靠。2019年6月，G20《大阪數(shù)字經(jīng)濟(jì)宣言》肯定了人工智能對促進(jìn)包容性經(jīng)濟(jì)增長的重要意義，提出了包容性增長、可持續(xù)發(fā)展和福祉、以人為本和公平、透明和可解釋、穩(wěn)健和安全可靠、責(zé)任等五項人工智能基本原則，呼吁采取敏捷靈活的政策和治理路徑鼓勵創(chuàng)新和競爭。

4.2 探索新技術(shù)新業(yè)務(wù)安全監(jiān)管思路和規(guī)則

2019年3月，美國國會引入《提升物聯(lián)網(wǎng)網(wǎng)絡(luò)安全法案》，要求美國國家標(biāo)準(zhǔn)與技術(shù)研究院制定物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)安全風(fēng)險管理的最低要求，聯(lián)邦政府預(yù)算管理辦公室制定聯(lián)邦機(jī)構(gòu)網(wǎng)絡(luò)安全準(zhǔn)則，且至少每5年審查一次。2019年3月，日本發(fā)布《道路交通車輛法》修正案，為自動駕駛汽車的使用行為和車輛安全設(shè)定了新的標(biāo)準(zhǔn)。2019年6月，美國佛羅里達(dá)州通過《自動駕駛汽車法》，將在道路上操作無人駕駛汽車合法化，提出了自動駕駛汽車共享網(wǎng)絡(luò)這一全新的客運(yùn)交通服務(wù)。2019年6月，歐盟公布《泛歐通用無人機(jī)規(guī)則》，規(guī)定了無人飛行系統(tǒng)的運(yùn)作規(guī)則，規(guī)定了與無人機(jī)設(shè)計、生產(chǎn)和維護(hù)等有關(guān)的技術(shù)要求和相關(guān)主體的義務(wù)要求，提出了無人機(jī)注冊、飛行區(qū)域限制等要求，旨在構(gòu)建歐洲統(tǒng)一的無人機(jī)監(jiān)管立法格局。

5 國家安全審查立法

以美國為代表的一些國家將網(wǎng)絡(luò)安全問題政治化，為遏制中國等戰(zhàn)略對手的發(fā)展，以國家安全為由，收緊高技術(shù)出口、外國投資、跨境數(shù)據(jù)流動等規(guī)則，實施更嚴(yán)格的安全審查。

5.1 高技術(shù)出口管制更為嚴(yán)格

高技術(shù)出口管制立法以美國2018年8月發(fā)布的《出口管制改革法》（ECRA）及配套制度為代表。ECRA并沒有對現(xiàn)行出口管制體系和管制措施做出實質(zhì)性的改變，但在出口管制范圍、嚴(yán)格程度和影響方面較以往更甚、范圍最廣，主要變化有三方面。一是擴(kuò)大了管制范圍，將對國家安全有關(guān)鍵影響的新興和基礎(chǔ)技術(shù)納入管制范圍。二是更嚴(yán)格的出口管制審查，將重大不利影響作為否決出口許可頒發(fā)的考慮因素，重大不利影響包括，給予許可將減弱可被美國聯(lián)邦機(jī)構(gòu)用于國家安全的美國產(chǎn)物項的效用；給予許可將減弱由美國政府基于國家安全目的投資或進(jìn)行的相關(guān)研究所涉物項的生產(chǎn)能力；基于許可將減少對美國聯(lián)邦機(jī)構(gòu)用于國家安全的物項在美持續(xù)生產(chǎn)所必需專業(yè)技術(shù)人員的就業(yè)機(jī)會。三是將ECRA的相關(guān)管制目錄引入到外國投資管理制度中。2018年8月，商務(wù)部工業(yè)和安全局提出了14類受管制的新興技術(shù)，包括生物技術(shù)、人工智能和機(jī)器學(xué)習(xí)、微處理器技術(shù)、先進(jìn)計算技術(shù)、數(shù)據(jù)分析技術(shù)、量子信息和傳感技術(shù)等。2020年1月，商務(wù)部工業(yè)和安全局修訂《出口管理條例》，將“地理空間圖像自動分析軟件”納入管制范圍。

5.2 收緊外國投資安全審查政策

外國投資安全審查立法以美國《外國投資風(fēng)險評估現(xiàn)代化法》（FIRRMA）及配套制度為代表，目前包括歐盟、日本、澳大利亞、印度、德國、法國、加拿大、意大利等在內(nèi)的多個國家都通過或擬采取立法收緊外國投資安全審查政策。美國FIRRMA于2018年11月正式生效，擴(kuò)大了對外國投資的審查范圍和審查力度。2020年1月，美國財政部發(fā)布FIRRMA的實施條例。根據(jù)FIRRMA及實施條例，CFIUS所管轄的交易擴(kuò)展到非控制性的投資，只要該非控制性投資涉及某些特定行業(yè)的美國企業(yè)，且賦予外國實體某些特定權(quán)利，包括對“重大非公開技術(shù)信息”的訪問權(quán)，董事會或類似管理機(jī)構(gòu)的成員或觀察員席位，或?qū)γ绹髽I(yè)涉及關(guān)鍵技術(shù)、關(guān)鍵基礎(chǔ)設(shè)施或敏感個人數(shù)據(jù)的特定行動作出實質(zhì)性決策的參與權(quán)。非控制性交易涉及擁有、經(jīng)營、制造、供應(yīng)或服務(wù)于關(guān)鍵基礎(chǔ)設(shè)施的交易，生產(chǎn)、設(shè)計、測試、制造或開發(fā)一種或多種關(guān)鍵技術(shù)的交易，持有或收集美國公民的個人敏感數(shù)據(jù)，這些數(shù)據(jù)可被用于威脅國家安全的交易。

5.3 限制或禁止數(shù)據(jù)向特定國家流動

2019年11月，美國參議院引入《國家安全和個人數(shù)據(jù)保護(hù)法案》，將中國、俄羅斯列為特別關(guān)注國，禁止以“數(shù)據(jù)為基礎(chǔ)”的在線服務(wù)公司或其他技術(shù)公司向特別關(guān)注國傳輸任何用戶數(shù)據(jù)或解密該數(shù)據(jù)所需的信息，禁止將數(shù)據(jù)以及解密改數(shù)據(jù)所需信息存儲在位于美國或與美國據(jù)法定程序簽有執(zhí)法共享數(shù)據(jù)協(xié)議的國家之外的服務(wù)器上。此外，為了擴(kuò)展美國政府在全球的數(shù)據(jù)調(diào)取權(quán)利，2018年3月，美國通過《澄清域外合法使用數(shù)據(jù)法》（CLOUD），明確無論通信、記錄或其他信息是否存儲在美國境內(nèi)，美國服務(wù)提供者均應(yīng)當(dāng)按照本法所規(guī)定的義務(wù)要求保存、備份、披露通信內(nèi)容、記錄或其他信息，只要上述通信內(nèi)容、記錄或其他信息為該服務(wù)提供者所擁有、監(jiān)管或控制。

6 結(jié)束語

國際網(wǎng)絡(luò)安全立法最新動向和趨勢對我國完善網(wǎng)絡(luò)安全法律法規(guī)體系是很好的借鑒?；趯鴥?nèi)外網(wǎng)絡(luò)安全形勢的判斷，充分考慮信息技術(shù)創(chuàng)新應(yīng)用帶來的網(wǎng)絡(luò)安全挑戰(zhàn)，結(jié)合我國立法現(xiàn)狀并借鑒國外做法，我國應(yīng)建立健全個人信息保護(hù)、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)、新技術(shù)新業(yè)務(wù)安全監(jiān)管、國家安全審查等制度。