支振锋:各国前所未有重视信息安全

2023/01/05

  信息安全领域宽泛,既包括网络空间得以安全稳定运行的互联网基础设施安全,也包括在新技术新应用新业态中起基础性驱动作用的数据安全,还包括对国家政治和社会稳定有重大影响的内容安全。美国“棱镜计划”被斯诺登披露之后,世界各国前所未有地重视信息安全,并在战略设计、技术创新和法规政策上取得一系列进展,其中有不少可借鉴经验。

  信息安全成为国家安全和发展战略的重要部分。近半个世纪以来,美国通过《第12065号总统行政令》《关于通信和自动化信息系统安全的国家政策》《转变中的国防:21世纪的国家安全》《网络空间安全国家战略》等举措,国家信息安全政策渐成体系。近10年来,其国家信息安全政策不断扩张,2011年《网络空间行动战略》将网络空间与陆海空天并列为行动领域,2021年增强国家网络安全的行政命令签署、2022年《网络安全战略规划2023—2025》发布,进一步将网络安全置于国家安全优先位置。由于特殊战略环境,俄罗斯对信息安全同样敏感,1995年在讨论《俄罗斯联邦信息安全纲要》时提出信息安全概念,1997年《国家安全构想》提出信息安全是经济安全的重中之重,2000年《国家信息安全学说》为构筑未来国家信息安全政策大厦奠定基础。2014年以来,俄罗斯在信息安全国家战略和法规政策上不断出台新举措,2021年发布新版《国家安全战略》,为维护国家安全奠定了更加坚实的基础。

  关键信息基础设施安全成为信息安全的重中之重。现代社会数字化程度日益加深,公共通信和信息服务,以及能源、交通、水利、金融、电子政务等重要行业和领域信息系统一旦遭到破坏、丧失功能或数据泄露,可能严重危害国家安全、国计民生、公共利益,是需要重点保护的关键信息基础设施。20世纪末美国出台关键信息基础设施领域保护的政策,确立保护机构,明确职责分工,此后相继发布第14028号行政令《提升国家网络安全》和《改善关键基础设施控制系统网络安全的国家安全备忘录》《关键基础设施网络安全事件报告法》;欧盟高度重视整体层面的网络攻击防御和复原能力,2021年通过《关于欧盟数字十年网络安全战略的决议》,重申为欧盟关键基础设施建立新的、强大的安全框架的重要性;新加坡《2021年网络安全战略》进一步明确和强化关键信息基础设施保护过程;澳大利亚《2022年安全立法修正案(关键基础设施保护)法案》就关键信息基础设施保护进行了新的探索;俄罗斯强调关键信息基础设施的保护和防御,要求关键信息基础设施部门自2025年1月1日起全面禁用外国软件,政府在最短时间内建立一个现代化的国产电子元件基地。

  数据安全成为信息安全的基础性问题。数据承载着个人、市场主体与国家的大量信息,关系到公民人格权益、市场主体财产权益以及国家安全和社会公共利益。美国在数据与个人信息保护方面立法较为碎片化,但联邦和州层面通过专门立法,已形成数据安全保护的制度体系。欧盟特别注重数据和个人信息保护,通过《数据保护指令》《通用数据保护条例》《数字服务法》《数字市场法》,形成了极具特色的严密数据安全法律体系。在数据跨境流动问题上,不同国家地区之间在数据安全方面存在信任危机,2022年3月美欧达成《跨大西洋(3.230, 0.00, 0.00%)数据隐私框架》,10月美国签署《关于加强美国信号情报活动保障措施的行政命令》,12月欧盟委员会启动《欧盟—美国数据隐私框架充分性决定草案》推进进程。

  内容安全成为信息安全的焦点议题。剑桥分析丑闻引发了美国对大型社交媒体平台的警惕,开始讨论《通信规范法》第230条对平台责任的豁免问题,2020年签署《防止在线审查行政令》。欧盟、英国、法国、德国、俄罗斯、巴西等纷纷出台法律,对社交媒体进行规范,强化内容治理。

  供应链安全成为信息安全的重要内容。由于现代产品和服务依赖于供应链,产品的组件和软件来源众多,设备可能在一个国家设计而在另一个国家制造,这意味着产品可能包含恶意软件、易受到网络攻击,而供应链本身的安全漏洞也会影响公司安全基线。美国一直以来重视供应链安全,不断完善产业链供应链安全体系的战略设计,关注重点也逐步由灾难性风险转向大国政治博弈风险。2021年美国对半导体、新能源电池、关键矿物和医药用品四大关键领域的供应链弹性进行评估,此后通过《两党基础设施法》强调供应链安全。英国、欧盟以及其他国家和地区也都把产业链供应链安全视为国家安全的重要内容而投入大量立法、规制和政策资源。

  信息安全是一项长期、复杂、系统的综合工程,我们要以新安全格局保障新发展格局,加快建设网络强国,以高水平信息安全促进高质量发展,构筑竞争新优势。(中国社会科学院法学研究所研究员 支振锋)