美国是全球网络技术的发源地,掌握着网络空间的核心技术并处于绝对优势地位。美国在网络安全领域的立法也起步最早, 数量最多, 覆盖面最宽,内容最复杂。近年来,出于对“所遭受网络攻击”的担心,美国国会更是加快了网络安全的立法进程。
第111 届国会以前(1984 年—2009 年) :起支架作用的法律明确了网络安全的基本内容及政府各部门职责。
据美国国会研究部统计,1984 年至2009 年,美国通过成法、含有网络安全相关条文的法律有36 部。根据其规范的主要内容,这些相关法律大致可分为网络基础设施保护、网络泄密与数据保密、打击网络恐怖主义、网络色情等犯罪活动治理、惩治网络信息滥用与欺诈、网络知识产权保护等6 类。其中,以下9部起支架性作用的法律对有关网络安全的重要内容作出了规定。
( 一)《1984 年伪造接入设备及计算机欺诈与滥用法》:将侵入美国特定部门或专用计算机系统以窃取美国政府涉密信息、金融档案信息的行为界定为犯罪。
( 二)《1986 年电子通信隐私法》: 禁止未经授权的电子窃听,规定政府访问电子通信记录、拦截通信信号的范围和标准。
( 三)《1987 年计算机安全法》:规定美国政府在提高联邦计算机系统安全性和隐私保护方面可采取的措施,赋予国家标准与技术研究院为联邦计算机制订安全标准。
( 四)《1995 年削减公文法》:赋予白宫管理和预算办公室制定并颁布国家网络安全政策的职责。
( 五)《1996 年信息技术管理改革法》: 要求美国政府部门长官负责制定本部门的信息安全政策和程序,并在各政府部门设立“首席信息官”。
( 六)《2002 年国土安全法》:赋予国土安全部部分网络安全职责。
( 七)《2002 年网络安全研发法》: 赋予国家科学基金会和国家标准与技术研究院开展网络安全研究的职责。
( 八)《2002 年电子政务法》: 用以指导联邦信息技术管理的基础性立法,其中包含在白宫管理和预算办公室下设电子政务办公室、政府和私营部门之间开展相关专业人才交流等多项网络安全方面的内容。
( 九)《2002 年联邦信息安全管理法》: 进一步明确并加强国家标准与技术研究院在制订网络安全标准方面的职责,建立联邦计算机事故反应中心。
上述法律大致划分了美国联邦各政府部门在网络安全领域的职责,即所有联邦部门均肩负与本部门业务相关的网络安全职责,一些部门( 如运输部)还肩负着特定的“关键性基础设施”保护职责,具体为:1. 商务部下属的国家标准与技术研究院负责制订网络安全标准和指导原则,并通过白宫管理和预算办公室颁布实施;2. 国土安全部及国家科学基金会、国家标准与技术研究院负责网络安全研发;3. 司法部负责网络安全执法;4. 国家安全局为国家安全设施网络安全的主管部门;5. 国土安全部为民用设施网络安全的主管部门;6. 国防部下属的网络司令部负责指挥网络作战。
第111 届国会以来(2009 年—2013 年) :相关立法大量增多,但没有通过综合性的网络安全法律;与行政部门采取的行动相比,国会立法相对滞后。
在第111 届国会(2009 年—2010 年) 期间,共提出涉及网络安全的法案、决议案逾60 件。在第112 届国会(2011 年—2012 年) 期间逾40 件。第113 期国会自今年1 月成立以来,参院正在审议涉及网络安全的法案4 件,众院正在审议7 件。本届国会参院已就网络安全问题举行了5 次听证会,众院举行了13 次。虽然提出了许多法案,但自2002 年以来,美国国会没有通过一部综合性的网络安全法律,也没有形成网络安全立法的基本框架。
事实上,近两届美国国会并没有放弃网络安全综合性立法的努力。例如,自2011 年以来,参院一直在试图将第111 届国会期间国土安全和政府事务委员会提出的S.3480 号法案和商务、科学和运输委员会提出的S.773 号法案合并成一部综合性的网络安全法律。2012 年2 月,参院提出吸收了上述两个法案主要内容的《2012 年网络安全法案》(S.2105),并随后又提出了该法案的修正版本(S.3414) 和替代版本(S.3342),但这些法案在第112 届国会均未获通过。众院方面,博纳众议长在2011 年10 月指定12 名共和党众议员成立特别工作组,用以协调众院各委员会提出的网络安全相关法案并提出立法建议。虽然众院相关法案在第112 届国会未获通过,但融入特别工作组立法建议的《网络情报共享和保护法案》《网络安全研发法案》《2013 年推进美国网络和信息技术研发法案》《2013 年联邦信息安全修正法案》等已于今年4 月在众院获得通过( 尚需参院通过并经总统签署后成法)。
相对于国会,美国行政部门的动作明显要快得多。2008 年,小布什政府确立了“综合性国家网络安全倡议”( 机密文件)。2009 年,奥巴马政府设立白宫网络安全协调官,专门负责政府部门间网络安全事务的协调,其工作重点包括建立对联邦信息系统的自动监控、制定统一的网络安全战略、建立联邦计算机事故反应制度以及加强政府与私营部门的合作等。2010 年,奥巴马政府对“综合性国家网络安全倡议”的主要内容进行了“解密性”的说明,包括:强化联邦计算机系统的外部接入点,在计算机系统中安装外部侵入侦测设备,提高网络安全研发的相互协调和优先配置,发展“下一代”安全技术、信息共享及网络安全教育,降低来自于信息技术全球供应链的风险,进一步明确联邦在保护关键性基础设施上的作用等。2011 年4 月,白宫向国会提交了一份综合性、包含7 部分内容的立法建议,其中部分建议陆续融入到参、众两院的法案中。2013 年2 月,奥巴马政府颁布“提高关键性基础设施网络安全”的第13636号行政令,进一步拓展了政府与私营部门间的信息共享和协作,细化了“确定关键性基础设施的步骤”等诸多内容。
当前美国国会网络安全立法:解决6 个方面的重点问题,修订现有法律中网络安全相关条文。
归纳起来,近几届美国国会网络安全立法旨在推动解决以下6 个方面的重点问题。
( 一) 国土安全部在保护联邦信息系统方面的授权:近期国会的相关法案均主张增加对国土安全部在保护联邦信息系统方面的授权,但在 “度”的问题上意见不一。
( 二) 网络安全专业人员:主要涉及增加联邦政府网络安全专业人员规模、加强对“下一代”网络安全专业人员的培训、实现联邦与私营部门专业人员交流等。
( 三) 研发:《2002 年国土安全法》没有提及网络安全研发问题,但实际上国土安全部、国家安全局及其他一些联邦机构在网络安全研发方面投入了大量资金,因此,涉及网络威胁和侵入的侦测设备、身份管理、各种测试设备以及电子设备全球供应链安全的研发究竟由谁负责需通过立法进一步明确。
( 四) 修改《2002 年联邦信息安全管理法》:该法自通过之日起就因存在诸多漏洞而饱受批评,包括:所规定的网络安全标准不被广泛认可;对联邦机构相关授权的解释含混不清;过于强调个人信息系统而忽视了整个联邦信息系统;过于强调程序性的报告制度,可操作性不强;对加强联邦机构间协作缺乏明确的规定等。
( 五) 保护私有关键性基础设施:美国联邦确定的16个领域关键性基础设施(即核心制造业、核工业、化工业、国防基础工业、能源业、运输业、金融服务业、信息技术、通信设施、政府设施、商务设施、医疗和公共健康、急救、食品和农业、水资源和废水处理、水坝) 绝大多数为私有,由于担心联邦政府以网络安全为名加强对这些私有部门的管理,因此,国会在这一问题上分歧很大。
( 六) 信息共享:为有效保护信息系统,应减少或移除有关部门内部及部门间的信息共享壁垒,包括:明确信息共享的主体、规定如何共享某些机密信息、规定如何与私营部门进行信息交换、限定政府部门将共享信息用于特定目的等。
在当前的整合修订过程中,美国国会除需要重点考虑1984 年以后的36 部相关法律外,还需要研究另外20 部1984 年以前通过成法、年代久远但仍现行有效,甚至看似毫无关联但实际上其中某些条款在“根子上”与网络安全密切相关的法律。例如,美国早在1890 年通过的《反托拉斯法》禁止“任何旨在限制贸易的契约、联合或通谋行为”,有人认为,网络安全立法推动的信息共享有悖于这一原则,因此在制定新的法律时,需要研究有无对《反托拉斯法》相关条款进行修订的必要性。再如,1966 年通过的《信息自由法》限制了私营部门从联邦政府获取信息的范围和类别,因此,新的网络安全立法要推动政府和私营部门间的信息交换,也要重新审视是否与《信息自由法》的有关条款相冲突。
2010 年12月21日,美国联邦通讯委员会(FCC) 五位成员以3 票赞成对2 票反对的表决结果批准了旨在保护网络中立新的规则。这个原则要求平等地对待合法的网络通讯。图/CFP
此外,随着近两年所谓“网络盗窃”“网络间谍”问题被炒热,网络安全的外延被扩展并滋生出《阻止网络盗窃法案》《网络经济间谍责任法案》等一批新的法案。如何确保新旧法律的系统性、一致性也是美国国会网络安全立法面临的一大问题。
一点启示
当前美国国会的网络安全立法是包括整合修订旧法律、审议通过新法律在内的一项系统工程,头绪繁多、覆盖面宽、内容复杂,但脉络清晰且立法进程在加快。其主要做法和路径似可归纳为:制定网络安全国家战略;明确网络安全定义,确定保护对象,界定犯罪行为;建立权责统一、层级分明、分工协作的执行体系和应急机制;完善网络安全的硬件和软件;加强信息和情报共享;加大研发投入,加强专业人才培养和交流;根据形势发展推出新的法律、整合修订旧的法律等。
网络涉及国家安全和国计民生,在我国经济社会发展方面发挥着重要作用。截至2012 年年底,我国的互联网普及率达到42.1%,网民规模达到5.64 亿。同时,我国也是世界上黑客攻击的主要受害国。国家互联网应急中心数据显示,2012 年,我国境内1400万余台主机遭受攻击,3.8 万个网站遭受远程控制。严峻的网络安全形势需要我们加强对相关问题的研究,汲取包括美国在内的其他国家的经验,为制定和完善我国相关法律提供参考。
(作者单位:全国人大外事委办公室)
