您当前的位置 :古交新闻网 > 数码 > 专家分析了国际网络安全立法的趋势:边界逐渐扩大

专家分析了国际网络安全立法的趋势:边界逐渐扩大



近年来,随着网络技术的不断发展,云服务和大数据等新服务的广泛使用,以及突发事件的影响(如2013年的“棱镜”事件),网络安全领域的立法已经集中出现了。潜在。除了传统的法律改革,提高网络安全技术水平,提高安全标准,加强安全教育,网络监控和反恐内容,关键信息基础设施保护,数据保留等相关问题。总的来说,专题立法提出了“攻守兼备”的立法理念。在法律文本中,大多数解决方案都基于特定内容,例如关键基础设施保护,网络监控,数据保留等,并且已成功引入全面的基本网络安全法,仅限日本和美国。在总体趋势上,网络安全立法的界限正在逐步扩大。从传统的重点是提高网络安全技术水平,信息系统安全性,标准,组织等,逐步与其他法律相结合,如数据保留,实际上和网络安全。立法和个人隐私保护立法都是相关的;网络监测与国家安全和反恐密切相关。从近年来各国的立法趋势来看,未来网络安全立法将与更多问题挂钩,展现全面,全面的扩张。

以下国家,美国,欧洲,日本,澳大利亚,英国,印度等国家作为目标,反过来,近年来,国际网络安全立法的重点(如网络监测和反恐,关键信息基础设施)保护,数据保留)趋势,介绍国际网络安全立法的总趋势。

(1)网络安全基本规律

趋势1:网络安全的基本法律覆盖范围已扩大。除了加强网络安全技术的传统研究外,它还包括中长期安全发展战略,人才选拔和培训以及国际盟友的扩张。 。

2014年11月,美国推出《网络安全增强法案》。与以往的网络安全综合法案相比,法律的布局更具宏观性和长期性,更具操作性。在短期内,美国将启动一项为期四年的网络安全研究计划,其中包括许多参与者,包括美国的国际盟友,涵盖网络系统安全,无线安全,工业控制系统安全,高性能计算机,甚至纳米技术。从长远来看,美国一直专注于网络安全人才的教育和培训,并制定了选择标准,甚至调整了课程。以人才选拔标准为例,法律对专业性,思想素质和国籍实行严格限制。要求必须是那些非常精通数学,工程和信息技术的人,并且决心为国家网络信息安全建设服务。美国国籍官员(公民)。2013年底,日本国民议会通过《网络安全基本法》。法律规定了网络安全的定义,基本概念,相关责任,法律措施,行政机构,战略和基本政策措施。它是日本网络安全的基本法。

趋势2:在许多方面加强网络安全技术和提高网络安全标准仍然是国家安全立法的传统保留。

欧盟《网络与信息安全指令》和英国《网络安全实施概要》专注于增强安全技术和标准。欧洲议会投票通过《网络与信息安全指令》,重点关注三个方面:标准化安全技术和组织机制要求;建立成员国之间的合作机制,特别是信息共享;并为关键部门建立预防能力。英国颁布了《网络安全实施概要》,涵盖了五个基本控件,包括安全配置,访问控制,恶意软件防护,补丁管理以及防火墙和Internet网关。

(2)网络监测和反恐

9.11之后,美国《爱国者法案》和《国土安全法》代表的一系列法律大大扩展了国家情报执法机构的监督和反恐当局。然而,2013年的“棱镜”事件使公民的隐私保护机构和世界各国政府开始反思,过度扩大的监督权将对公民的利益和国家利益产生不可预测的负面影响。在“棱镜事件”之后,各国开始修改网络监测和反恐立法,其中大部分都集中在情报执法机构,电信监管机构的电力调整以及监测和监测程序的调整上。提出以下趋势:

趋势1:情报执法机构的力量呈现出整体扩张趋势。

7月,虽然欧洲法院宣布数据保留制度无效,但联合王国已通过《数据留存和调查权法案》专门为警察和国家安全机构分配特别权力,以确认警察(执法)机构和国家安全机构有权从电信运营商那里运营。获取用户的通信数据和互联网数据,包括电子邮件,电话,短信发送者和接收者,时间和其他数据信息。值得注意的是,《法案》同样适用于国内外的外国公司。 9月,澳大利亚的《反恐法》草案极大地扩展了国内安全情报机构的权力,例如,尽可能多次登录第三方计算机。趋势2:电信运营商等大型企业正在被赋予越来越多的反恐和辅助监控职责。一些由美国代表的国家甚至直接让电信公司参与国家反恐。

2015年6月2日,《美国自由法案》正式发布。《法案》是对2013年“Prisma”监控丑闻的第一次正式回应。这也是过去40年来美国外国情报监测系统的重大改革。它禁止国家安全局和其他情报执法机构开展大规模的国内公民。除电话监控规模外,电信运营商还要承担部分情报执法机构的职能,直接参与国家反恐,并保留公民“电话细节”的信息。这些“电话细节”主要是指呼叫处理信息,包括:电话号码,接收号码,国际移动用户识别码(IMSI),国际移动台设备识别码(IMSEI),电话卡号码,通话时间和持续时间。不包括通话内容。此外,该法还规定,自公布之日起180天内,每个电信公司应建立自己的电话数据收集和保留系统,并向政府提交。如果系统将来修改,应该向政府报告并及时提交。此外,情报执法机构可以要求电信运营商在外国情报监控法院批准并收到法院命令后交出数据。

印度于2013年中期推出《电信安全政策(草案)》,要求电信监管机构要求电信公司向执法机构提供辅助监控,电话,短信和数据信息。但是,从文中的内容来看,美国联邦通信委员会FCC电子监控援助监控系统的印度政策草案非常明显。不同之处在于该政策草案旨在在一定程度上提升电信监管机构的地位。例如,电信监管机构规定,执法机构有权在特殊情况下获得公民数据,而不是一般(传代)执法机构直接向电信公司索取公民信息。

(3)关键基础设施保护

关键信息基础设施是网络空间与传统物理世界的融合。在当前恐怖袭击,网络攻击和自然灾害的情况下,其稳定运行不仅影响其他关键基础设施子行业(银行,水坝,军队等)的安全,而且还涉及网络空间安全,经济安全,甚至是国土安全。近年来,以美国为首的西方国家经常发布关于保护关键基础设施的立法文件,将其作为网络安全保护的重中之重。趋势1:以美国为首的西方国家将关键信息基础设施安全视为网络安全的核心组成部分。

鉴于其极端重要性,近年来,西方大国已经收集了他们的战略政策,甚至专注于与网络安全相关的政策。就美国和欧洲而言,2013年初,白宫在一天内发布了两项最高行政命令(《维护关键基础设施之安全性和可恢复性的总统令》,《促进关键基础设施之网络安全的行政令》),界定了部门职责,并划定了与关键信息基础设施保障相关的具体事项。范围,截止日期实施; 2013年年中,欧洲议会发布了《关键信息基础设施——面向全球网络安全的决议》,指出欧盟迫切需要提高技术能力,以应对关键信息基础设施的安全挑战; 2014年初,白宫发布了《促进关键基础设施网络安全的框架》,希望将其付诸实践。一种相关技术标准模型,旨在促进全球范围内关键基础设施安全点的统一。总的来说,《框架》是自愿的,旨在加强所谓的“关键基础设施”部门的网络安全,如电力,交通和电信。网络安全框架基于奥巴马总统于2013年2月签署的行政命令,私营部门可以在自愿的基础上使用该框架来加强其网络安全能力。白宫在一份声明中表示,“网络安全框架”结合了现有的全球安全标准和实践,以帮助组织了解,沟通和解决网络安全风险。此外,该框架还为隐私和公民自由提供了指导方针。因此,“通过这个框架,美国私营公司和政府机构可以共同努力,加强'关键基础设施'的安全性和适应性”。《框架》也可以应用于美国以外的公共或私人组织,其中美国加强关键基础设施网络安全的努力《框架》再次反映了美国引领全球技术标准的趋势。

趋势2:法律系统设计的重点越来越集中在“基于风险”和“基于攻击”,并认识到100%的安全目标是无法实现的。

近年来,网络空间中无休止的安全威胁使得国家监管机构意识到绝对安全的目标不仅在技术上难以实施,而且在风险管理中也难以操作。基于对现实困难的认识,国家监管机构已经转向对CII安全性采取更加全面和全面的观点,CII被认为是由事前,事后和事后组成的计划周期。 。与此相对应的是各国相关政策文件内容的细微变化。只有两个例子:2010年之后,白宫行政命令,总统令和美国国土安全部的多份文件将关键基础设施的“弹性”和“攻击后的可恢复性”放在同一个简单的“安全”中同样重要目标位置。

2014年,澳大利亚的维多利亚州立法战略——《关于维持维多利亚政府辖内关键基础设施可恢复性之临时战略》,其重点不再是以前的表现,100%的安全性,而是基于关键基础设施“受到威胁,遭到攻击”的前提假设一套与之相关的政策体系也将围绕这种“基于风险”和“受攻击”的模式进行设计。根据《战略》,未来正式法律规定的制定还将侧重于“事情的回应”和“事后的恢复”。

(4)数据保留

就个人数据保留系统而言,立法趋势显示出完全不同的趋势。

趋势:一些国家制定了新的数据保留立法,而其他国家则废除了多年来实施的保留制度。

澳大利亚已采用《电信(监控和接入)修正(数据留存)提案》强制执行数据保留的强制性法律要求,要求电信运营商保留两年的电话,互联网和电子邮件的用户数据(包括发起人,接收人和特定时间),以及司法部负责具体实施。

作为世界上第一个建立个人数据保留系统的地区,欧洲法院于2014年宣布《欧洲数据留存指令》(2006)因侵犯人权而无效。这意味着在欧洲大多数国家,电信运营商多年来一直保留用户数据的做法已经结束。

美国正在积极寻求该体系的立法突破。 Sensenbrenner参议员(《爱国者法案》的起草人)作为该系统的主要推动者,现已制定初步草案。但对于美国电信运营商和互联网巨头而言,实践早已超前于理论。公开信息显示,美国时代华纳公司时代华纳保留了六个月的用户数据,而Verizon Verizon则保留了18个月。

(5)其他

在保护未成年人方面,保护未成年人的网络安全已成为一个新的立法点。澳大利亚推出了《限制系统接入宣言》14年版,致力于帮助儿童远离非法在线内容。此外,还增加了“投诉访问限制系统”,为内容提供商提供了一定的操作灵活性。此外,在国家安全战略和预算法中,还有越来越多的对网络安全的财政支持的内容。例如,在英国实施《网络安全战略》,2014年为网络安全增加了2.1亿英镑;美国国会通过《2014预算法案》,将改善网络安全的预算提高到670亿美元(约合人民币404.8亿元),这笔预算将用于改善联邦网络安全的计划。投资的主要目标是网络中的资金监控机制和最严重的网络安全问题。 (深圳中国信息通信研究院)