2021年網絡法治盤點與回顧:網絡和數據安全篇
縱觀2021年,網絡安全形勢依然嚴峻,且呈現兩個顯著性趨勢:一方面,傳統網絡安全威脅不斷上升,《2021上半年全球DDoS威脅報告》指出,在新冠疫情影響下,各類企業業務持續向線上遷移,DDoS攻擊次數已連續4年高速增長,且量級強度、手段方式、攻擊來源相較以往都有明顯的升級變化。另一方面,數據安全問題越來越聚焦,成為網絡安全的典型表現形式,根據身份盜竊資源中心(ITRC)的數據統計,截止2021年12月初,公開報告的數據泄露數量已經超過2020年的總數,全年將創下歷史新高。在這一大背景下,國際國內高度重視日益突出的網絡和數據安全挑戰,國際主要國家和地區在應對傳統網絡安全問題上不斷加大治理力度,強化國際合作;國內持續加快網絡安全相關配套制度建設,強化數據安全的專門治理,制定出臺全球首部數據安全立法。
一、國際:網絡安全制度全面深入展開
全球主要國家和地區在應對網絡安全事件方面持續發力,頂層戰略、供應鏈安全保障、網絡安全事件機制等體系建設穩步推進,云服務安全、關鍵基礎設施等細分領域的制度不斷深入。
(一)建立網絡安全應對的頂層制度設計
一些國家和地區通過政策、戰略、立法等各種形式,從國家層面明確網絡安全頂層制度,為具體部門解決重點問題指明方向。發展中國家注重網絡安全對國家經濟、個人隱私、企業財產安全的影響,1月,巴基斯坦信息技術和電信部(MOITT)發布了《2021年國家網絡安全政策》草案,旨在解決對信息通信技術的日益依賴導致的網絡安全事件增加,威脅個人和企業的隱私和財務安全。2月,尼日利亞總統發布了《2021年國家網絡安全政策和戰略》。該文件將提供一個框架,以利用私營部門、學術界和工業界的努力來實現經濟和國家的逐步發展。3月,發達國家關注網絡安全事項的全球合作,試圖通過外交手段建立打擊網絡安全風險的重要工作,美國兩黨重新引入《網絡外交法案》,主要目的是鞏固美國在網絡領域的全球領導地位,與其國際盟友建立更牢固的伙伴關系,以統一的方式打擊網絡攻擊和其他網絡問題,促進在法治、隱私、人權和言論自由等方面的共同價值觀。
(二)進一步細化供應鏈安全管控規則
供應鏈安全問題一直是歐美發達國家關注的重點安全領域,尤其自新冠疫情爆發以來,美國鼓吹的“中國威脅論”對美國國內和歐洲很多國家形成了持續性影響,2021年,歐美國家在供應鏈相關安全問題上繼續收緊。一方面,強化對供應鏈整體安全的保障,通過指南、行政令方式明確保護要求,1月,美國商務部根據“確保ICTS供應鏈安全”行政令要求發布了ICTS交易規則。4月,美國國土安全部(DHS)發布了有關捍衛供應鏈軟件的新指南。5月,美國總統拜登簽署了《改善國家網絡安全行政令》,提出加強聯邦政府的網絡安全能力,強調要構建軟件供應鏈安全保護機制。6月,德國聯邦議院通過了《供應鏈盡職調查法》以解決供應鏈中侵犯人權的問題。8月,美國聯邦采購安全委員會(FASC)在聯邦公報中發布了一項最終規則,以評估聯邦政府供應鏈風險信息,并刪除和排除構成國家安全風險的IT產品、系統或服務。另一方面,加強對關鍵領域使用的產品和服務安全的保障,英國公布了網絡安全供應商政府計劃,根據規定,英國的網絡安全供應商應當向政府公開它們的供應商。立陶宛議會通過了《電信法》和《重要物體安全法》的修正案,明確立陶宛電信市場禁止不可靠的供應商和生產商進入。
(三)云服務安全成為重點關注
新冠疫情下,云服務的價值不斷凸顯,據Forrester Research稱,隨著云服務在新冠疫情后的復蘇期中占據“中心位置”,全球公共云基礎設施市場在2021年將增長35%,達到1200億美元。但同時,隨之而來的安全風險問題也成倍提升。主要國家和地區通過多種措施防范和治理云服務安全問題,一是強化云服務提供商的義務,1月,美國前總統特朗普在離任前簽署行政命令,賦予云服務提供商新的報告義務。該命令要求對云服務提供商的境外交易履行“記錄保存義務”,希望借此阻止外國行為者對美國基礎設施即服務(IaaS)產品的惡意攻擊。6月,法國國家信息與自由委員會(CNIL)批準了第一個專門針對云基礎設施服務提供商(IaaS)的歐洲行為準則。二是進一步普及和關注導致云服務安全問題產生的原因,2月,新加坡計算機緊急響應小組(SingCERT)發布加強云服務安全性的指南,概述了造成云攻擊的常見原因,包括網絡釣魚電子郵件、身份驗證繞過、修改后的電子郵件轉發規則等。三是強化全球在云服務安全問題上的合作,美國防部發布了針對美國大陸以外區域云戰略,強調為全域作戰創造優勢。
(四)加強基礎設施網絡安全防護和風險控制
保障基礎設施安全,對于維護國家網絡空間主權和國家安全、保障經濟社會健康發展、維護公共利益和公民合法權益具有重大意義。2021年,主要國家和地區對于基礎設施安全的保障突出體現在對于重點領域設施的安全保障。一方面,保障關系國計民生領域基礎設施的安全,5月,日本政府宣布將針對民營企業運營的信息通信、電力、醫療等14個行業的重要基礎設施,制定避免安全保障風險的通用規定。7月,美國眾議院批準了一項法案,將通過使用公私合作伙伴關系來改善電網基礎設施網絡安全。另一方面,保障關系國家安全、社會公共利益領域基礎設施的安全,美國國土安全部運輸安全管理局發布了第二項安全指令,旨在保護運輸危險液體和天然氣的關鍵管道免受網絡入侵,以應對針對美國管道系統的網絡安全威脅。美國眾議院通過了《國土安全部工業控制系統能力增強法案》,要求國土安全部的網絡安全和基礎設施安全局(CISA)帶頭更好地識別和減輕對ICS基礎設施的威脅。
(五)加強網絡攻擊防治制度的構建
隨著傳統網絡安全風險與融合性網絡安全風險不斷增加,主要國家和地區對于風險防范制度的重視也日益凸顯。一方面,強化了發生或者可能發生安全事件時,相關主體的通知和報告義務,7月,美國參議院情報特別委員會成員公布了《網絡事件通知法》,將要求聯邦機構、聯邦承包商和關鍵基礎設施公司在發現網絡安全事件時履行報告義務。8月,澳大利亞工黨在參議院重新提出《勒索軟件法案》,如果該法案獲得通過,將要求企業和政府在為應對網絡攻擊而支付勒索軟件費用之前通知澳大利亞網絡安全中心。該法案還要求政府審查網絡保險制度,以了解其在減輕網絡攻擊方面的作用。另一方面,對于融合性、聯網設備等可能產生新型風險的領域加強關注,2月,韓國科學技術部發布《網絡防御促進戰略》,應對數字經濟時代下融合行業的網絡威脅,保障行業數字化轉型。9月,歐盟宣布了一項《網絡彈性法案》(Cyber Resilience Act),旨在為聯網設備制定通用網絡安全標準。
二、國內:網絡安全和數據安全同步加速推進
2021年,是我國的網絡和數據安全大年。在這一年,我國一方面持續穩步推進關鍵信息基礎設施、網絡安全審查等《網絡安全法》配套制度建設,另一方面也出臺全球首部專門的《數據安全法》,同時加快推動落實配套立法制定,走出一條具有中國特色的數據安全治理之路,為其他國家和地區貢獻中國經驗和中國智慧。
(一)關鍵信息基礎設施安全保護具體規則落地
關鍵信息基礎設施是網絡安全的重中之重,是關乎國家安全的命門所在。習近平總書記在講話中多次強調,要加快構建關鍵信息基礎設施安全保障體系,抓緊制定完善關鍵信息基礎設施保護等法律法規。落實習近平總書記重要講話精神,加快推動關鍵信息基礎設施立法,推動安全保護體系框架不斷健全是必由之路。8月,國務院以745號令公布了《關鍵信息基礎設施安全保護條例》,進一步明確關鍵信息基礎設施安全保護范圍、聯動責任體系、供應鏈安全可控、安全內控和意識培養等方面重點內容。
(二)與時俱進完善網絡安全審查重點關切
網絡安全審查屬于國家安全審查的一種,是重要的國家網絡安全保障制度。2022年1月4日,國家互聯網信息辦公室等十三部門聯合修訂發布《網絡安全審查辦法》(以下簡稱《辦法》),自2022年2月15日起施行。《辦法》以多部重要立法為依據,進一步完善了網絡安全審查的對象、范圍和關注要素,既是落實我國總體國家安全觀、細化國家安全審查制度的重要一環,也是壓實主體責任、防范重點場景下網絡安全風險的必然舉措。修訂后的《辦法》體現出多處制度亮點。一是安全審查對象增加,依據《國家安全法》《網絡安全法》《數據安全法》《關鍵信息基礎設施安全保護條例》,在之前審查“關鍵信息基礎設施運營者采購網絡產品和服務”基礎之上,增加了對“網絡平臺運營者開展數據處理活動”的審查,觸發審查的條件均為“影響或者可能影響國家安全”。二是安全風險的判斷因素增加,在數據資源日益成為各方博弈對象形勢下,對于數據要素的關注度明顯提升,如掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市,核心數據、重要數據、大量個人信息的非法泄露、非法出境、被國外控制等因素成為《辦法》的重點審查內容。三是增加新的監管機構,根據第2條的規定,中國證券監督管理委員會增加成為新的網絡安全審查監管機構。
(三)開啟數據安全治理新篇章
隨著信息技術和人類生產生活交匯融合,各類數據迅猛增長、海量聚集,對經濟發展、社會治理、人民生活都產生了重大而深刻的影響,數據安全已成為事關國家安全與經濟社會發展的重大問題。9月,我國《數據安全法》正式生效,作為數字化經濟時代的數據安全專門立法,在保障我國數字主權,服務總體國家安全,推動要素化市場改革,服務數字經濟發展等方面具有重大意義,影響深遠。第一,完善了我國整體網絡法律體系。近年來,我國在網絡信息服務、網絡安全保護、網絡社會管理三大領域開展了一系列立法活動,隨著《電子商務法》《網絡安全法》《數據安全法》《個人信息保護法》等關鍵立法的制定出臺,中國互聯網領域的法律體系構建已經初步形成。第二,是落實總體國家安全觀的必然要求。2015年通過《國家安全法》首次涉及數據安全問題,《數據安全法》聚焦數據安全領域的風險隱患,加強國家數據安全工作的統籌協調,通過確立數據分類分級管理、數據安全審查、數據安全風險評估、監測預警和應急處置等基本制度,提升國家數據安全保障能力,有效應對數據這一非傳統領域的國家安全風險與挑戰,切實維護國家主權、安全和發展利益。第三,是完善數據治理的必然要求。數據治理越來越成為數字經濟時代網絡治理的聚焦點,網絡安全領域立法和監管更加向數據安全方面集中,制定一部數據安全領域的基礎性法律十分必要。
(四)細分領域的數據安全重點問題配套體系建設加快推進
以《數據安全法》為依據和核心,相關配套立法的制定也非常迅速。如:9月,工業和信息化部公布《工業和信息化領域數據安全管理辦法(征求意見稿)》,進一步在工信領域細化了《數據安全法》規定的分類分級、重要數據、數據出境等重要制度要求。10月,國家互聯網信息辦公室發布了《數據出境安全評估辦法(征求意見稿)》,明確了通過安全評估方式跨境傳輸數據的數據處理者應當遵循的評估程序和評估要求。11月,國家互聯網信息辦公室公布了《網絡數據安全管理條例(征求意見稿)》,以數據分類分級制度為核心,對于重要數據安全、個人信息保護、數據跨境流動等重點制度做了進一步的細化和明確。
三、網絡和數據安全未來趨勢展望
受數字技術全球化飛速發展和網絡空間博弈的影響,未來,網絡和數據領域的國際形勢將日趨復雜。對外,各方對于網絡主權、數據主權的關注將進一步強化和凸顯;對內,對于供應鏈、關鍵信息基礎設施的關注也必將持續。
第一,以數據安全為目標的全球數據博弈將進一步顯性化。數據資源已成為許多國家的重要戰略性資源,數據安全也成為關涉國家安全的重要領域,為了防范數據安全事件發生,主要國家和地區將進一步強化對數據的掌控。我國的《數據安全法》出臺之后引起國際多方關注,一方面,可以中國智慧和中國經驗的方式進行觀念輸出,另一方面,也有可能將觸發全球針對數據安全的重視,開展專門立法。同時,網絡和數據安全方面的資金投入、人才培養等重點支撐領域也將進一步加強。
第二,針對關鍵信息基礎設施的安全保障將全面展開。過去一年,受地緣政治的影響,全球網絡空間局部沖突將不斷升級,以竊取敏感數據、破壞關鍵信息基礎設施為目的的國家級網絡攻擊復雜性持續上升。未來,針對關鍵信息基礎設施的安全保障將進一步成為確保整體網絡空間安全、數據安全、乃至國家安全的關鍵一環。具體到我國來看,表現將更為明顯。《關鍵信息基礎設施安全保護條例》《網絡安全審查辦法》的出臺將進一步在實踐中把關鍵信息基礎設施的安全保護制度落到實處。
第三,針對供應鏈安全的整體維護和保障將進一步深入。軟件系統規模、程序邏輯和生產方式等越發復雜多元,極大增加了供應鏈的攻擊面,供應鏈攻擊變得更加普遍。一方面,重點國家和地區可能會出臺更多針對供應鏈安全審查的立法,疫情開始之后,歐盟對于供應鏈審查的力度不斷強化,歐盟層面的立法出臺之后,成員國有可能會進一步將相關規定落實到國內立法之中;另一方面,供應鏈攻擊具有難發現、難溯源、不可避免的特點,未來國際、區域層面的合作可能將成為重要的應對方式。
