網絡安全國際立法最新動向及趨勢

閆曉麗

（賽迪研究院網絡安全研究所，北京 100846）

1 引言

隨著經濟社會對信息網絡依賴程度不斷提高，網絡安全已經成為事關國家安全與利益的重大議題。針對大規模網絡攻擊、數據竊取泄露及濫用、新技術新業務安全風險等難題，主要國家和地區紛紛出臺法律法規進行規制，以更好地應對網絡安全風險。總體看，近年來網絡安全國際立法呈現出幾個主要動向和趨勢：一是從保護隱私和個人基本權利出發加強個人信息保護立法；二是立法提升關鍵信息基礎設施供應鏈安全、網絡風險管理等方面能力；三是探索新技術新業務安全監管思路和規則；四是以國家安全為由收緊出口管制、外國投資；數據跨境等方面的規則。

2 個人信息保護立法

從保護隱私和個人基本權利出發，主要國家和地區加強個人信息保護立法，明確了個人信息范圍，設定了個人信息收集、存儲、共享等方面的基本規則，賦予了個人對數據的刪除權等權利，加強對企業數據保護等行為的監管。

2.1 建立個人信息保護的一般制度

個人信息保護立法以歐盟2016年《通用數據保護條例》（GDPR）、美國2018年《加州消費者隱私法》（CCPA）為代表。兩者都是通過規范企業處理和使用數據的行為，強化其與數據相關的責任，并設定較為嚴格的處罰。兩部法律涵蓋的核心內容有五方面。一是適用范圍：GDPR適用于向歐盟居民提供產品或服務及收集或監控歐盟居民數據的主體；CCPA適用于處理加州居民個人數據的營利性實體，并從年收入、個人信息數量等方面提出了一些限制性要求。二是個人信息界定：GDPR中個人信息是與已識別或可識別的自然人（即數據主體）相關的任何信息；CCPA中個人信息除與特定主體相關外，還可是與特定的家庭相關或合理相關的信息。三是數據處理原則：GDPR中數據的處理以數據主體“明示同意”為原則，而且同意可以在任何時間撤銷，只要不影響基于原有同意所作的數據處理；CCPA數據的處理以“通知數據主體”為原則，消費者的同意并非是必須的，而且消費者有權要求向第三方出售其個人信息的企業不得再出售（選擇退出權）。四是數據主體的相關權利：GDPR賦予了數據主體刪除權、可攜帶權等新型權利；CCPA也明確消費者有刪除請求權、信息披露請求權等。五是救濟和懲罰措施：GDPR將違反數據保護規定的行為分為兩類，大幅地提高了行政罰款額度，對相關行為可處以不超過2，000萬歐元的罰款或全球營業額4%的罰款；CCPA規定企業有30天的糾錯期，但如果在規定期限內沒有糾正違法行為，則可被處以2，500美元或7，500美元罰款。

2.2 探索面部識別技術使用及隱私保護立法

出于對技術被濫用問題的擔憂，美國、歐盟等主要國家和地區對面部識別技術采取謹慎態度。2019年，美國國會引入《商業面部識別隱私法案》《面部識別技術的倫理使用法案》等法案，要求商業公司在使用面部識別數據時提前通知用戶，禁止在未經用戶同意的情況下使用面部識別數據；美國一些大城市的立法中，也明確禁止政府部門在公共區域使用面部識別技術。例如，2019年5月，舊金山市簽署的《反監控條例》首次禁止使用面部識別技術；6月和7月，馬薩諸塞州的薩默維爾、加利福尼亞州的奧克蘭做出了相同的決定；12月，圣地亞哥禁止在3年內使用面部識別技術。歐盟2020年初發布的《人工智能白皮書》中，曾考慮在公共場所禁止公營、私營機構使用面部識別技術，為期3～5年，盡管后來白皮書正式文本中刪去了這一條款，但歐盟認為面部識別技術的使用無法事先取得數據主體的同意，需要采用基于風險的方法引入一些新的規則。目前，國際上已經出臺的面部識別技術及隱私保護立法，主要是2020年3月美國華盛頓州通過的《人臉識別服務法》。該法以擬開發、獲取或使用人臉識別服務的州或地方政府為主要規制對象，為其設定了向立法機構提交意向通知、編制問責報告、確保重大決定遵守人工審查、對相關人員進行培訓等義務；該法嚴格限制州或地方政府使用人臉識別服務進行持續、實時的監視和追蹤，除非獲得許可或緊急情況下使用。此外，美國加利福尼亞州《人臉識別法》也在制定中。

2.3 對特殊類型個人數據保護提出指引或要求

一是政治活動中個人數據。2019年，歐洲數據保護委員會發表聲明指出：揭示政治觀點的個人數據屬于GDPR規范下特殊類型的個人數據，處理該類個人數據時需要遵守嚴格的要求，政黨應能對其合法合規使用個人數據進行證明。二是個人健康數據。歐盟及法國、德國等成員國，美國、英國、澳大利亞等國家發布了疫情期間雇員個人數據處理聲明或指南，明確了個人數據收集使用原則和要求。2019年，美國國會引入了《移動健康記錄法案2019》，旨在提高個人通過移動健康應用程序訪問其健康數據的能力；引入《基因信息隱私法案2019》，旨在規范基因測試服務中對個人可識別信息的使用活動。三是兒童個人信息。2020年1月，英國信息專員辦公室（ICO）發布了《網絡服務適齡設計實踐守則》，對信息社會服務提供者提出了兒童利益最大化、數據保護影響評估、一般情況下不得披露兒童信息等十五條要求。

3 關鍵信息基礎設施安全保護立法

美國、歐盟很早就通過立法明確關鍵信息基礎設施的定義和范圍、保護主體的責任、保護措施要求等內容。近幾年，國際關鍵信息基礎設施安全立法主要從三個方面深入：一是IT產品和服務供應鏈安全；二是關鍵基礎設施的網絡安全保障；三是漏洞管理、網絡感知、網絡信息共享等基礎能力提升。

3.1 通過采購限制、認證等制度確保IT產品和服務供應鏈安全

IT供應鏈安全立法的核心內容是優先使用國內產品或限制、禁止國外產品使用及建立IT產品和服務的審查認證制度，以美國《安全和可信電信網絡法》《確保信息通信技術與服務供應鏈安全的行政令》、國防部《網絡安全成熟度模型認證》及歐盟《網絡安全法》為代表。美國《安全和可信電信網絡法》于2020年3月發布，要求聯邦通信委員會（FCC）編制一份對美國電信網絡構成威脅的公司名單，禁止FCC資助電信企業從被視為威脅的公司購買設備。《確保信息通信技術與服務供應鏈安全的行政令》于2019年5月發布，禁止任何受美國管轄的個人或實體獲取、進口、轉讓、安裝、買賣或使用信息通信技術或服務，只要該信息通信技術或服務由外國對手擁有、控制或受其管轄或指導的人（包括個人或實體）所設計、開發、制造或供應，且對在美國設計、完整、制造、生產、分配、安裝、運營或維護的信息通信技術或服務構成破壞或顛覆的不當風險，對美國關鍵基礎設施或美國數字經濟的安全性或復原能力造成災難性影響的不當風險，對美國的國家安全或美國人的安全和保障構成不可接受的風險。《網絡安全成熟度模型認證》（CMMC）由美國國防部2020年1月發布，旨在建立一個適用于所有國防承包商的統一認證標準。歐盟《網絡安全法》于2019年3月發布，建立了一個歐盟層面的、統一的網絡安全認證機制。此外，2019年11月，俄羅斯通過立法，要求所有智能手機、電腦、平板電腦、智能電視等智能設備預裝俄羅斯本土軟件，推遲至2021年1月生效；2019年12月，印度發布《網絡安全產品公共采購（印度優先）令》，要求所有由印度公司或初創企業擁有知識產權的公共采購中，優先考慮本地生產的網絡安全產品。

3.2 建立關鍵信息基礎設施網絡安全風險管理等保障制度

關鍵信息基礎設施保障立法以美國《增強聯邦政府網絡與關鍵性基礎設施網絡安全的行政令》、俄羅斯《主權互聯網法》、澳大利亞《關鍵基礎設施安全法》為代表，核心內容是促進網絡安全風險的評估和識別，推動建立關鍵信息基礎設施網絡安全保障制度。美國《增強聯邦政府網絡與關鍵性基礎設施網絡安全的行政令》于2017年5月發布，要求各聯邦政府機構、關鍵基礎設施行業實施由國家標準與技術研究院制定的《提升關鍵基礎設施網絡安全框架》，加強網絡安全風險管理。俄羅斯《主權互聯網法》于2019年5月發布，主要內容包括建立統一國家域名系統、定期開展維持俄羅斯互聯網和公共通信網可持續性和安全的演習、授權監管機構在必要時對通信網絡實施中央管理、要求互聯網運營商安裝“應對威脅的技術手段”等，旨在打造俄羅斯自主互聯網系統。澳大利亞《關鍵基礎設施安全法》于2018年7月正式施行，建立了關鍵基礎設施資產登記制度，授權內政事務部部長對其認為任何可能造成安全風險的行為，命令報告行為主體實施或不得實施。

3.3 建立漏洞管理、網絡感知、網絡信息共享等制度

漏洞共享等相關立法以美國的《網絡安全法》《漏洞公平裁決政策和程序》及新加坡的《網絡安全法》為代表。美國《網絡安全法》作為《2015年度綜合財政撥款法》的一部分被通過，由《網絡安全信息共享法》《國家網絡安全促進法》《聯邦網絡安全人力資源評估法》等構成，強化了對國土安全部的授權，建立網絡信息共享制度，共享內容包括網絡威脅跡象、防御措施、安全漏洞等。美國《漏洞公平裁決政策和程序》由白宮于2017年11月發布，描述了政府更新漏洞公平裁決流程的原因、方法和愿景，提出了政府更新漏洞公平裁決的基本流程。新加坡《網絡安全法》于2018年2月公布，是落實新加坡網絡安全戰略的重要舉措，明確提出要加強11個領域關鍵信息基礎設施應對網絡攻擊的能力，建立網絡安全事件的響應和預防機制，建立網絡安全信息共享機制，明確從事網絡安全服務的人員才需獲得網絡安全服務許可證。

4 新技術新業務安全監管立法

圍繞著人工智能、物聯網、區塊鏈等新技術新業務，美國、歐盟等在鼓勵創新的同時，積極探索網絡安全監管思路和規則。

4.1 推動新技術新業務發展和創新

2018年12月，美國發布《國家量子計劃法》，計劃未來10年內向量子研究注入12億美元資金，由美國能源部、商務部國家標準與技術研究院和美國國家科學基金會配合聯邦政府共同落實量子計劃項目。2019年2月，美國發布《人工智能倡議的行政令》，旨在從國家戰略層面調動更多聯邦資金和資源用于人工智能研發，確保美國在人工智能領域的領導力，應對來自戰略競爭者和外國對手的挑戰。2019年4月，歐盟發布《人工智能倫理準則》，列明可信賴人工智能的七個關鍵條件，以確保人工智能足夠安全可靠。2019年6月，G20《大阪數字經濟宣言》肯定了人工智能對促進包容性經濟增長的重要意義，提出了包容性增長、可持續發展和福祉、以人為本和公平、透明和可解釋、穩健和安全可靠、責任等五項人工智能基本原則，呼吁采取敏捷靈活的政策和治理路徑鼓勵創新和競爭。

4.2 探索新技術新業務安全監管思路和規則

2019年3月，美國國會引入《提升物聯網網絡安全法案》，要求美國國家標準與技術研究院制定物聯網設備網絡安全風險管理的最低要求，聯邦政府預算管理辦公室制定聯邦機構網絡安全準則，且至少每5年審查一次。2019年3月，日本發布《道路交通車輛法》修正案，為自動駕駛汽車的使用行為和車輛安全設定了新的標準。2019年6月，美國佛羅里達州通過《自動駕駛汽車法》，將在道路上操作無人駕駛汽車合法化，提出了自動駕駛汽車共享網絡這一全新的客運交通服務。2019年6月，歐盟公布《泛歐通用無人機規則》，規定了無人飛行系統的運作規則，規定了與無人機設計、生產和維護等有關的技術要求和相關主體的義務要求，提出了無人機注冊、飛行區域限制等要求，旨在構建歐洲統一的無人機監管立法格局。

5 國家安全審查立法

以美國為代表的一些國家將網絡安全問題政治化，為遏制中國等戰略對手的發展，以國家安全為由，收緊高技術出口、外國投資、跨境數據流動等規則，實施更嚴格的安全審查。

5.1 高技術出口管制更為嚴格

高技術出口管制立法以美國2018年8月發布的《出口管制改革法》（ECRA）及配套制度為代表。ECRA并沒有對現行出口管制體系和管制措施做出實質性的改變，但在出口管制范圍、嚴格程度和影響方面較以往更甚、范圍最廣，主要變化有三方面。一是擴大了管制范圍，將對國家安全有關鍵影響的新興和基礎技術納入管制范圍。二是更嚴格的出口管制審查，將重大不利影響作為否決出口許可頒發的考慮因素，重大不利影響包括，給予許可將減弱可被美國聯邦機構用于國家安全的美國產物項的效用；給予許可將減弱由美國政府基于國家安全目的投資或進行的相關研究所涉物項的生產能力；基于許可將減少對美國聯邦機構用于國家安全的物項在美持續生產所必需專業技術人員的就業機會。三是將ECRA的相關管制目錄引入到外國投資管理制度中。2018年8月，商務部工業和安全局提出了14類受管制的新興技術，包括生物技術、人工智能和機器學習、微處理器技術、先進計算技術、數據分析技術、量子信息和傳感技術等。2020年1月，商務部工業和安全局修訂《出口管理條例》，將“地理空間圖像自動分析軟件”納入管制范圍。

5.2 收緊外國投資安全審查政策

外國投資安全審查立法以美國《外國投資風險評估現代化法》（FIRRMA）及配套制度為代表，目前包括歐盟、日本、澳大利亞、印度、德國、法國、加拿大、意大利等在內的多個國家都通過或擬采取立法收緊外國投資安全審查政策。美國FIRRMA于2018年11月正式生效，擴大了對外國投資的審查范圍和審查力度。2020年1月，美國財政部發布FIRRMA的實施條例。根據FIRRMA及實施條例，CFIUS所管轄的交易擴展到非控制性的投資，只要該非控制性投資涉及某些特定行業的美國企業，且賦予外國實體某些特定權利，包括對“重大非公開技術信息”的訪問權，董事會或類似管理機構的成員或觀察員席位，或對美國企業涉及關鍵技術、關鍵基礎設施或敏感個人數據的特定行動作出實質性決策的參與權。非控制性交易涉及擁有、經營、制造、供應或服務于關鍵基礎設施的交易，生產、設計、測試、制造或開發一種或多種關鍵技術的交易，持有或收集美國公民的個人敏感數據，這些數據可被用于威脅國家安全的交易。

5.3 限制或禁止數據向特定國家流動

2019年11月，美國參議院引入《國家安全和個人數據保護法案》，將中國、俄羅斯列為特別關注國，禁止以“數據為基礎”的在線服務公司或其他技術公司向特別關注國傳輸任何用戶數據或解密該數據所需的信息，禁止將數據以及解密改數據所需信息存儲在位于美國或與美國據法定程序簽有執法共享數據協議的國家之外的服務器上。此外，為了擴展美國政府在全球的數據調取權利，2018年3月，美國通過《澄清域外合法使用數據法》（CLOUD），明確無論通信、記錄或其他信息是否存儲在美國境內，美國服務提供者均應當按照本法所規定的義務要求保存、備份、披露通信內容、記錄或其他信息，只要上述通信內容、記錄或其他信息為該服務提供者所擁有、監管或控制。

6 結束語

國際網絡安全立法最新動向和趨勢對我國完善網絡安全法律法規體系是很好的借鑒。基于對國內外網絡安全形勢的判斷，充分考慮信息技術創新應用帶來的網絡安全挑戰，結合我國立法現狀并借鑒國外做法，我國應建立健全個人信息保護、關鍵信息基礎設施安全保護、新技術新業務安全監管、國家安全審查等制度。