2019年國外網絡安全 發展態勢及啟示

當今，科技社會日益發展，信息互聯網連接萬物，生活中的方方面面都離不開網絡。尤其是近年來發展迅猛的移動物聯網，讓人們的生產生活方式發生了翻天覆地的變化，人們對網絡的依賴度也達到了前所未有的高度，這一背景下，網絡安全的重要性就顯得尤為突出。2019年，世界各國采取多種措施，強化網絡安全保障能力，更好適應日益嚴峻的網絡安全態勢。

國家網絡安全頂層設計

不斷完善

網絡安全是一個關系著國家安全和主權、關系著社會穩定、關系著民族文化繼承和發揚的重要問題，其重要性隨著全球信息化步伐的加快與信息技術的深入發展不斷提升。2019年，各國通過制定網絡安全戰略、完善網絡安全法律法規，調整網絡安全機構設置等方式，不斷強化國家網絡安全頂層設計。

（一）加緊出臺國家網絡安全戰略。2019年1月，挪威政府發布第四版《國家網絡安全戰略》，將進一步加強公私合作、軍民合作以及國際合作，并預計投資16億挪威克朗用于加強網絡安全。2月，美國國土安全部實施網絡信息共享與協作計劃，轉向整體風險管理方式以提供更安全的網絡空間。8月，加拿大政府發布《國家網絡安全行動計劃（2019—2024）》，將在五年內提供1030萬美元用于推進加拿大的網絡安全建設。10月，波蘭總理批準《波蘭網絡安全戰略（2019—2024）》，旨在改進波蘭的網絡彈性，更好保護公私部門及軍事系統的數據。11月，美國網絡安全與基礎設施安全局發布《網絡要點指南》，通過簡單步驟和少量資源來幫助小型組織和政府機構改進其網絡安全狀況。

（二）加速調整法律法規體系。2019年2月，泰國國會通過《電子交易組織重組法案》《個人數據保護法案》《網絡安全法案》《數字經濟及社會委員會法案》《數字身份證法案》及《電子交易官法案》六項數字法案，將共同推動“數字政府”計劃，建設包括大數據、數字中心、云服務等一站式服務基礎設施，減少政府機構在大數據和數據保護方面的重復性投資。3月，德國聯邦參議院引入新立法，將那些為暗網平臺提供技術架構使違法行為有可乘之機的行為定為刑事犯罪。5月，歐盟出臺新網絡制裁機制，相關機構將面向對歐盟構成重大威脅的網絡攻擊負責的個人實施入境禁令和資產凍結等詳細懲罰措施。6月，《歐盟網絡安全法案》生效，將歐洲網絡與信息安全局將重新命名為歐洲網絡安全局，授權其制定自愿認證框架，以確保在歐盟范圍內銷售產品和服務的安全標準。英國2019年《網絡攻擊（資產凍結）條例》生效，賦予歐洲聯盟理事會凍結涉嫌參與這類攻擊的個人或實體資產的能力，打擊歐盟以外針對歐盟機構和成員國的網絡攻擊。

（三）加強建設網絡安全機構。2019年2月，美國國務院表示正計劃在國務院內建立一個網絡局，分析網絡攻擊的增長。3月，丹麥財政大臣宣布政府將建立新的網絡安全理事會，加強網絡與信息安全領域相關信息和知識的交流，應對不斷增長的網絡安全威脅。4月，荷蘭政府成立跨部會專案小組，評估5G電信網絡潛在的安全風險。5月，伊朗通信和信息技術部成立特別工作組并制定了多項舉措，以應對網絡恐怖主義行為和敵對措施。新加坡海事和港務局啟動新的海上網絡安全行動中心，旨在通過早期偵查、監測、分析以及應對潛在的網絡攻擊，加強海上網絡安全。9月，北約秘書長宣布將在比利時蒙斯建立一個新的網絡行動中心以保障其成員國的軍事網絡態勢感知，同時利用盟國的國家網絡能力為北約的任務和行動提供支持。英國政府通信總部和英國國防部表示將聯合組建國家網絡部隊，將負責對大型數據庫入侵、在社交網絡上傳播假新聞等網絡威脅行為進行報復性攻擊以及打擊恐怖分子和犯罪分子的網絡平臺。10月，越南信息通信部決定成立越南網絡安全應急響應小組/協調中心，該機構將協調對安全事件的響應，并在全國范圍內驗證信息安全。

網絡信息管控力度

不斷加強

在目前的互聯網信息時代中，網絡已經對民眾學習、生活及思維產生巨大影響，在客觀上改變了現今的社會化方式。而網絡虛假信息、不良信息極易對社會造成不同程度的負面影響，加強網絡內容管理無疑是目前亟待解決的重點問題之一。2019年，多國加強對虛假網絡信息和恐怖主義等不良信息的打擊力度，同時強化對社交媒體的管控手段。

（一）嚴厲打擊虛假網絡信息。2019年3月，俄羅斯總統普京簽署通過《侮辱國家法》和《假新聞法》，加大對“公然傳播不尊重俄羅斯社會、憲法或政府機構的信息”的懲罰力度，以打擊錯誤信息傳播和網絡侮辱言論。4月，新加坡政府將《防止網絡假信息和網絡操縱法案》提交國會進行一讀，將賦予政府更大的權力，可強制刊登假信息的個人或網絡平臺更正信息或撤下假新聞。不遵守指示的網絡平臺可被判罰款100萬新元，惡意散播假信息、企圖損害新加坡公共利益的個人可被判處10年徒刑、罰款最高10萬新元。8月，韓國表示，總統辦公室青瓦臺最近下令要求多個政府機構采取強硬措施，應對虛假新聞的傳播，韓國通信委員會已承諾進行干預，以防范虛假新聞的發布。10月，為幫助協調打擊虛假信息，歐盟委員會計劃建造歐洲數字媒體觀測中心，并開始了一項高達250萬歐元的招標。11月，一個具有日本政府官方性質的團隊起草提案，建議創建一個打擊網絡傳播假新聞的公私合營團隊，以打擊在互聯網上傳播虛假新聞。

（二）嚴格規范網絡信息內容。2019年1月，越南開始實施《網絡安全法》，要求互聯網公司必須刪除被政府認定為“有毒”的網上內容，越南互聯網用戶也不得在互聯網上散布反政府信息或歪曲歷史。2月，英國王室批準《反恐和邊境安全法案》，在原有犯罪認定中關于“獲取可能對執行或準備實施恐怖主義行為的人有用的信息”，將“瀏覽或傳播在線內容”也納入其中，同時加大了對某些恐怖主義犯罪籌備行為的處罰力度。4月，澳大利亞《2019年刑法修正案》有關禁止展示暴力視頻內容的條款經參議院審議通過，要求網站所有者在其服務被用于訪問非法內容時通知警方。英國政府發布的《網絡危害白皮書》，賦予英國通信管理局法律權力，對分享或直播“有害”視頻，包括色情、暴力和虐童的社交平臺進行監控、調查和罰款。8月，土耳其發布法規授權土耳其廣播電視最高委員會全面監督所有在線內容，包括Netflix等流媒體平臺和在線新聞媒體。8月，澳大利亞總理在法國比亞里茨的7國集團（G7）峰會上表示，政府將在危機事件發生期間屏蔽存放恐怖主義內容的互聯網網站，并考慮立法強制數字平臺提高其服務的安全性。

（三）收緊社交媒體監管。2019年1月，印度政府制定信息技術指導方針，要求社交媒體平臺必須在24小時內刪除任何可能影響“印度主權和完整性”的非法內容。5月，法國政府計劃出臺相關法律，要求目前普遍使用的社交媒體公司履行“審慎責任”，對用戶在旗下平臺上發布的仇恨言論加以審查，同時計劃授予該國監管機構對大型社交媒體公司進行審查和處罰的廣泛權力。7月，法國國民議會通過《反網絡仇恨法案》，要求臉譜網、推特網等月訪問量超過200萬次的網絡社交媒體對法國境內的網絡活動加強管控，遏制網絡仇恨言論。8月，英國政府擬向英國通信管理局提供新的臨時權力，允許其向優兔網、Instagram或臉譜網等社交媒體公司實施監管。9月，美國國土安全部計劃搜集難民和某些移民的社交媒體數據，并在全球19個主流平臺上監視其可獲得的公開信息。

進一步對重要關鍵信息

基礎設施進行安全防護

隨著信息化的快速普及和發展，關鍵信息基礎設施作為事關國家安全和社會穩定的重要戰略資源的地位日益凸顯，它承載或支撐部門行業關鍵核心業務，對于部門或行業穩定運行具有戰略性作用，對于公民福祉的保障意義重大。2019年，各國不斷完善關鍵信息基礎設施安全保障制度，同時強化關鍵領域供應鏈安全管理水平。

（一）關鍵信息基礎設施管理制度不斷得到完善。2019年1月，美國國會批準《能源基礎設施保障法案》，能源部將獲得1000萬美元的撥款，與私營部門合作伙伴建立試點項目，研究非數字控制系統以及如何保障其免受網絡攻擊。2月，俄羅斯政府通過一項決議，要求俄羅斯的所有衛星通信（包括電話和互聯網通信）必須通過地面站進行傳輸。6月，加拿大公共安全部發布《增強加拿大關鍵基礎設施應對內部網絡風險能力指南》，明確關鍵基礎設施的定義并且確定10個行業的關鍵基礎設施，呼吁政府與行業利益相關者建立安全伙伴關系。9月，意大利政府通過第105號立法令，要求通信運營商向部長會議主席和經濟發展部長通報通信經營者使用關鍵信息系統的清單，根據程序將影響關鍵信息系統的事件通報意大利計算機安全事故應急小組，并遵守關鍵信息系統安全標準的具體要求。11月，德國政府通過“移動通信戰略”，將專門成立一家企業，支持或直接參與移動通信基礎設施建設，同時投入11億歐元新建5000個移動通信基站。12月，法國國家工業委員會與法國電信行業的多個協會及代表簽署協議成立了一個旨在支持四個公用項目的數字基礎設施戰略委員會。

（二）供應鏈網絡安全管理能力增強。2019年5月，美國總統特朗普簽署行政令，要求美國進入緊急狀態，美國企業不得使用對國家安全構成威脅的企業所生產的電信設備。美國國防部擬成立非營利組織負責運行五角大樓新的網絡安全成熟度模型認證下的供應商認證流程，評估其承包商網絡安全措施的效果。美國醫療保健和公共衛生部門協調委員會發布工具包，旨在幫助中小型醫療保健機構通過企業供應鏈網絡安全風險管理項目提高采購產品和服務的安全性。12月，美國眾議院通過《安全和可信通信網絡法》，法案禁止聯邦通信委員會撥款從構成國家安全風險的公司購買電信設備，并要求FCC建立一個10億美元的項目，幫助小型和農村通信提供商移除可疑的網絡設備，并用更安全的產品替代。

數據安全保障水平

持續提升

隨著云計算、物聯網等新興技術的蓬勃發展，數據資源的重要性在數字社會越發凸顯，其安全問題也持續受到廣泛關注，全球范圍內數據安全法律法規密集出臺，積極探索數據跨境流動規則的制定，并大力加強數據安全執法監督。

（一）數據安全保護法律密集出臺。2019年1月，芬蘭強化版《數據保護法》生效，賦予當局更大權力，限制私人公司對個人數據的使用。4月，美國馬薩諸塞州《消費者安全保護法》正式生效，旨在保護消費者免受數據泄露侵害。5月，新加坡公布關于數據泄露通知的指導方針，旨在幫助機構更好地管理數據泄露問題。6月，埃及國會通過數據保護法規，保護所有埃及公民以及在埃及的歐盟人士數據和隱私。7月，印度尼西亞通信和信息部完成起草《個人信息保護法案》，指導行業利益相關者合理使用個人數據，要求組建獨立數據保護機構，負責監控和分析各類組織對個人數據的使用，并確保數據法規不會阻礙技術的發展。8月，日本公平貿易委員會表示已經制定了加強對科技巨頭監管的指南草案，以加強對用戶數據的保護。9月，新加坡新修訂的《個人資料保護條例》正式生效，規定商家和業者只能在法律規定下或有必要證明身份時，才能向公眾索取身份證號碼。10月，美國加利福尼亞州州長簽署加州立法機構對《2018加州消費者隱私法案》修訂的全部五項修正案，并使之成為法律。11月，歐洲數據保護委員會通過《一般數據保護條例》領土范圍的最終準則，指導數據保護機構評估管理者或處理者的處理是否屬于《一般數據保護條例》的范圍。12月，印度內閣通過《個人數據保護法案》，包含有關個人數據適用范圍，處罰和賠償，行為守則和執行模式等要素。巴西參議院通過一項憲法修正案，將數字平臺上的個人數據保護作為公民基本權利納入憲法。

（二）數據跨境流動規則不斷完善。2019年1月，歐盟委員會通過決議，允許在強有力的保障基礎上，實現歐盟和日本之間自由的數據傳輸。9月，俄羅斯國家杜馬提出法律修正案，擬對將俄羅斯公民個人數據存儲在俄境外的第三方進行罰款。10月，美國貿易代表羅伯特·萊特希澤與日本駐美國大使杉山晉輔簽署了《數字貿易協議》，重申了支持跨境數據流、反對數據本地化的立場，還允許公開訪問政府數據。新加坡個人數據保護委員會10月9日發布了《云服務跨境數據傳輸指南》，明確企業及云服務提供商在進行數據跨境傳輸時應承擔數據保護等義務，重點是確保在云環境中跨境傳輸的數據得到保護。11月，歐盟數據保護委員會發布2019年度《歐美“隱私盾”第三年度審查報告》，對美國商務部和聯邦貿易委員會的努力表示贊賞，但總體上認為美國方面“實質上缺乏監督”。

（三）數據安全執法檢查力度不斷加大。2019年1月，法國國家信息與自由委員會因美國谷歌公司違反了數據隱私保護相關規定對其處以5000萬歐元罰款。2月，德國反不正當競爭監管部門聯邦卡特爾局宣布限制美國社交媒體臉書從第三方服務收集用戶數據。3月，波蘭個人數據保護辦公室就某公司未能履行《公開資料規例》第14條的資訊透明度規定，在從公眾登記冊收集及處理個人資料時未能履行其資訊責任，對其罰款約22萬元。5月，立陶宛數據保護監管機構對互聯網支付公司MisterTango違反GDPR的行為處以6.15萬歐元的罰款。

土耳其個人數據保護機構就2018年12月Facebook數據安全事件致30萬土耳其用戶信息泄露事件，對其處以165萬土耳其里拉（約合27萬美元）的罰款。7月，美國聯邦貿易委員會就“劍橋分析”公司非法訪問臉譜網用戶數據事件與臉譜網達成和解協議，對臉譜網開出50億美元罰單。征信機構Equifax宣布將支付6.5億美元的費用，就2017年一起大規模的數據泄露事件與FTC、消費者金融保護委員會以及50個州和地區的檢察機構達成和解。英國數據專員辦公室對英國航空公司處以逾1.83億英鎊的罰款，因其安全保障措施不到位導致黑客竊取50萬客戶個人數據。9月，美國聯邦貿易委員會宣布，將對谷歌處以1.7億美元罰款，理由是其視頻平臺YouTube涉嫌違反兒童隱私法。12月，歐盟再次命令谷歌披露其對雇員和廣告公司共享數據做法的細節，并再次向區域內運營的企業發出了問題清單，要求在一個月內提交谷歌如何與其共享數據的答案。

新興技術網絡安全

新技術的發展為網絡安全能力的提升帶來了新機會，也提出了新挑戰，各國對其重視程度也逐漸提升。多國陸續發布人工智能、物聯網、5G等新技術發展戰略，并探索建立新技術安全保障手段。

（一）推進新興技術安全應用。2019年2月，歐洲電信標準協會推出了新的全球通用標準，旨改進消費級物聯網產品的基準安全性。3月，歐盟委員發布《5G網絡安全建議》，要求成員國在6月底前向歐盟報告其本國5G網絡面臨的潛在網絡安全威脅，而歐盟將在10月1日前完成協調一致的5G網絡風險評估。4月，歐盟委員會發布人工智能道德準則，列出了7個關鍵條件，并要求建立對人工智能系統的究責機制，確保人工智能算法足夠安全可靠。6月，美國國家標準與技術研究院公布《物聯網網絡安全和隱私風險管理的注意事項》，該文件旨在幫助物聯網用戶保護自己的數據以及網絡免受攻擊和傷害。8月，美國國家標準與技術研究院發布一份跨部門指南報告草案，旨在確立保護物聯網設備的核心基線。9月，美國數字經濟安全委員會發布《關于物聯網設備安全基線能力的共識》指南，召集了行業協會、標準制定組織和行業聯盟共同制定關于物聯網設備安全共識基線。

10月，德國聯邦網絡局發布針對希望幫助德國建設下一代5G基礎設施的公司的安全準則草案，提出關鍵組件的認證、產品完整性的認證、安全監控程序、僅適用在安全相關領域訓練有素的專業人員、足夠的冗余等要求。11月，由澳大利亞內政部和澳大利亞網絡安全中心共同制定的針對物聯網安全的業務守則草案近日發布并向公眾征求意見，草案列出了針對物聯網設備的13條網絡安全原則。

（二）加緊研發新興技術安全保障手段。2019年1月，日本通過了一項法律修正案，允許日本情報通信研究機構在總務省的監督下使用默認密碼和密碼字典嘗試登錄日本民眾的物聯網設備，而后整理出一份使用默認密碼或密碼強度弱的不安全設備清單，將其傳遞給有關部門和互聯網服務提供商，提醒民眾保護設備。2月，日本政府計劃推出一套系統，要求政府機構將只能使用經過認證的服務，并要求電力和鐵路等重要基礎設施的公司使用安全云服務，增強對來自其他國家的網絡攻擊的防御能力。

10月，日本“重要生活設備合作安全協議會”宣布啟動“物聯網”設備的安全認證，將就物聯網產品抵御網絡攻擊的安全程度，進行1至3星的評定。星級評定工作將分為三個階段。第一階段為設定最低限度保護等級，第二階段為根據產品種類評定等級，第三階段為根據各產品功能評定等級。11月，芬蘭交通運輸和通信管理局宣布了新的標識機制，帶有網絡安全標識的物聯網設備能保證具備基本的信息安全，網絡安全標識只授予符合EN303645認證標準的聯網智能設備。

2019年以來，面對國際網絡安全形勢的新變化、新問題，世界各國積極探索完善創新網絡安全管理與技術手段，我國應持續加強對國外網絡安全態勢跟蹤，充分借鑒國外網絡安全最佳實踐，積極推動網絡安全國際合作，加速健全網絡安全制度體系，進一步提升網絡數據安全保護能力，做好新興技術網絡安全風險應對，不斷提升網絡安全保障水平。