刘金瑞:我国网络安全信息共享立法的基本思路和制度建构 | 法宝专题
【作者】刘金瑞(1987-),男,山东沂南人,中国法学会法治研究所助理研究员,主要从事网络法、信息法和民法研究。
【来源】北大法宝法学期刊库《暨南学报(哲学社会科学版)》2017年第5期,因篇幅较长,已将原文注释去掉,建议登录北大法宝法学期刊库阅读原文。
【声明】本文仅限学习交流使用,如遇侵权,我们会及时删除
内容提要:网络安全信息共享制度具有重大的实践价值,已成为各国网络安全立法的重点议题,但在隐私权保护、反垄断、责任承担和政府权限等方面也引发了不少争议。域外法治框架以美国《网络安全信息共享法》为典型代表,界定了应共享的网络安全信息的类型;规定了联邦政府和非联邦主体的网络安全信息共享;规定了私主体隐私、自由等权利的保护和共享信息的责任豁免;限制了政府对共享信息的后续利用。在借鉴国外立法经验的基础上,对我国未来立法提出如下建议:明确网络安全信息共享的定位和范围,不仅限于关键信息基础设施保护;规定网信部门负责领导协调信息共享,确立具有军民融合特色的行政体制机制;规定强制义务与责任豁免相结合,以促进私主体参与信息共享;平衡信息共享与私权保护的关系,避免政府滥用共享信息。
关键词: 网络安全信息共享;网络安全法;关键信息基础设施;美国网络安全信息共享法
随着人类社会越来越依赖网络信息系统,网络攻击和网络威胁也愈演愈烈,如何确保网络信息系统尤其是关键基础设施及其存储和传输信息的安全,成为各国网络空间安全的重要议题。近年来,各国在制定网络安全政策和立法中普遍认为,及时有效地交换共享网络安全信息是防止和应对网络安全威胁和事件的重要举措。近期通过的美国《网络安全信息共享法》和欧盟《网络和信息系统安全指令》都对此有较为全面的规定。我国《网络安全法》第三十九条规定“促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享”;第二十五条规定网络运营者应“按照规定向有关主管部门报告”网络安全事件;第五十一条规定“国家建立网络安全监测预警和信息通报制度”。
但这些规定相对比较有原则和简单,如何构建我国网络安全信息共享制度成为贯彻网络安全法、确保我国网络安全亟待研究的重大问题。目前,作为《网络安全法》重要配套规定的《关键信息基础设施安全保护条例》正在加紧制定,而网络安全信息共享制度正是关键信息基础设施保护的重要内容。在这一背景下,本文着重研究和分析了美国和欧盟相关立法的最新进展,并在比较观察的基础上提出建立我国网络安全信息共享制度的思考建议。
一、网络安全信息共享议题及其法治化概述
所谓网络安全信息共享,是指与网络信息系统及其存储传输信息的安全有关的一系列信息的交换,这些信息包括但不限于系统风险、程序漏洞、网络威胁、安全管理漏洞以及网络安全应对措施和良好实践等。网络安全信息共享的内在逻辑在于,有效的网络安全必须基于对潜在威胁的强大认知以及对应对此种威胁最佳方式和策略的广泛传播。
(一)网络安全信息共享制度的目标和价值
网络安全信息共享制度实际上是一种风险社会多利益主体协同共治的模式,共同面临网络安全威胁的多个主体通过相互分享安全信息,提升安全信息共享组织体中每个参与者的网络安全策略和行为,减少同一风险所可能造成的威胁或危害,进而实现降低整个群体所面临的网络安全风险的目标。
这种制度的重大价值,美国国家标准技术研究所(NIST)在其2016年10月发布的新版《网络威胁信息共享指南》中给出了较为全面的总结,包括共享态势感知(Shared Situational Awareness)、提升安全姿态(Improved Security Posture)、增强认知成熟度(Knowledge Maturation)以及提高防御的敏捷性(Greater Denfensive Agility)等四个方面。 正是因为这一制度具有重要的实践意义,美国、欧盟等从很早就开始探索和发展网络安全信息共享的政策和立法。
实践中,围绕特定行业和领域进行网络安全信息共享的成效较为明显,原因在于特定领域的从业者往往使用相同类型的信息系统、存储传输相同类型的数据,也面临着比较类似的威胁类型和攻击手段。因此,无论是美国的信息共享和分析中心(ISAC),还是欧盟的信息交换组织(IE),都是按照行业导向建立的,这些行业性的信息共享组织对于形成信息共享行业标准、提升整个行业的网络安全水平发挥了重要作用。
(二)全球网络安全信息共享立法的基本进程
美国最早开始探索网络安全信息共享的立法。早在1998年,克林顿签署颁布《第63号总统决策指令》(PDD-63),规定联邦调查局内部的“国家关键基础设施保护中心”(NIPC)负责政府和私营行业之间的安全信息共享,私营行业建立信息共享和分析中心(Information Sharing and Analysis Center,ISAC),负责私营业者之间以及行业与政府之间的安全信息交换。美国 9·11事件之后,《国土安全法》鼓励发展不以行业导向为要求的“信息共享和分析组织”(Information Sharing and Analysis Organizations,ISAO),国土安全部发展出了“关键基础设施保护行政通知服务处”(ENS)、“关键基础设施警告网络”(CWIN)、国土安全信息网络(HSIN)等一系列安全信息交换系统和机制。
奥巴马政府上任之后,积极推进网络安全的综合性立法,但相关立法建议因争议较大一直无法获得国会通过,只能先通过了《第13636号行政命令》(E.O.13636)、《第13691号行政命令》(E.O.13691)等继续推进网络安全信息共享。因为限于总统行政权力有限,行政命令建立的信息共享框架无法创设新的机构,也无法规定鼓励企业共享信息的责任豁免,奥巴马从第二任期开始继续推进相关国会立法,仅第114届国会就提出了H.R.234、H.R.1560、H.R.1731、S.456和S.754等五部法案。经过漫长的讨论和修改,美国《网络安全信息共享法案》(Cyber security Infomation Sharing Act,CISA)终于在2015年10月27日获得通过,并于2015年12月28日经奥巴马签署生效。
欧盟在2004年关于打击恐怖主义中保护关键基础设施的通报中,明确指出了网络安全信息共享的重要性,并强调应平衡其与市场竞争、责任承担和敏感信息保护的关系。 2006年发布的欧盟《确保信息社会安全战略》和2013年发布的《欧盟网络安全战略:开放、安全和可靠的网络空间》,都包括了增强成员国、公共部门、私营部门和私人用户之间的网络安全信息共享的内容。欧盟自2013年开始推动网络安全的综合性立法,最终于 2016年 7月 6日正式通过了“确保欧盟统一、高水平网络与信息系统安全之相关措施的指令”(Network and information Security Directive,以下简称NIS指令)。
欧盟NIS指令通过建立计算机安全事件响应团队和确立网络安全事件报告义务,构建了网络安全信息共享机制以应对网络安全威胁。各成员国计算机安全事件响应团队的职责在于:监测全国范围的网络安全事件,向相关利益方提供网络安全风险和事件预警、警报、通知和信息传播,应对网络安全事件,提供动态的风险事件分析和态势感知等。 指令要求,在各国响应团队的基础上,连同欧盟计算机应急响应团队(CERTEU),构成欧盟计算机安全事件响应团队网络(CSIRTs network),其职责在于网络安全事件信息交换、为成员国处置跨境安全事件提供支持、探索和认定进一步业务合作的形式等。
NIS指令将重要信息系统运营者区分为“基本服务运营者”和“数字服务提供者”,规定前者有义务报告对其服务持续性造成重大影响的网络安全事件,后者有义务报告对其服务提供具有实质影响的网络安全事件。 为了鼓励基本服务运营者和数字服务提供者履行报告义务的积极性,NIS指令明确规定不得加重报告主体的法律责任。对于非纳入监管的其他主体,各国可以建立自愿报告制度,但不得使自愿报告主体因报告行为而陷入法律的不利地位。
(三)域外网络安全信息共享法治的基本框架
从域外网络安全信息共享立法的基本进程和侧重点来看,网络安全信息共享制度的核心架构包括两个方面的内容:一是设计机制共享对网络安全威胁的认知,二是设计机制共享应对网络安全威胁的措施。从信息共享参与的主体看,包括政府部门、私营主体和行业组织。各国网络安全信息共享的法治化架构就是围绕上述两方面内容和三大类主体展开,主要规定包括以下几个方面:(1)所共享网络安全信息的类型;(2)网络安全信息共享的领导部门和参与主体;(3)对私营主体共享网络安全信息的激励措施;(4)共享网络安全信息与信息上其他保护权益的平衡;(5)对政府所获网络安全信息后续使用的限制;(6)网络安全信息共享的程序机制,涉及政府部门之间的共享、私营主体之间的共享以及政府部门与私营主体之间的共享等三种情形。
(四)网络安全信息共享立法引发的争议问题
从世界范围的网络安全信息共享立法尤其是探讨较为深入的美国立法看,信息共享立法引发的争议问题和重点难点就在于如何在共享网络安全信息和保护所涉信息其他权益之间达成平衡。这涉及以下的利益冲突和法律冲突:
(1)可能违反隐私和个人信息保护的规定。例如美国《电子通信隐私法》(ECPA)对于电子通信监听规定了一般性禁止,授权运营者监视自身信息系统的网络安全威胁就会违反这一规定。瑠瑏 欧盟将个人数据保护上升到人格尊严的高度并不断强化个人对其数据的控制权,美国对消费者个人的信用信息、金融数据、教育信息和健康信息等也有专门性规定,如果共享的安全信息涉及可识别的个人信息,就可能违反这些个人信息保护的专门性规定。
(2)可能违反反垄断法的规定。反垄断法主要规制的行为,根据我国《反垄断法》的规定,主要包括达成垄断协议、滥用市场支配地位以及限制竞争的经营者集中等,其中垄断协议是指就商品价格、市场销售、技术和产品使用等达成协议。如果不同经营者为了防御网络安全威胁而共享网络安全信息、采取一致行动,如采用某种技术或者借口防御威胁增加成本而联合涨价等,都可能违反反垄断法的相关规定。
(3)可能让信息共享主体承担更多责任或陷入不利地位。例如,不论是对政府部门还是私营机构,共享网络安全信息往往就要承认自身已遭受网络攻击或发生数据泄露,这可能引发消费者提起侵权之诉,或者可能追究因违反信息保护义务而构成的法律责任。例如,企业共享网络安全信息,可能泄露类似商业秘密等商业信息,企业可能会丧失竞争优势或在市场竞争中陷入被动。再如,企业为了应对网络安全威胁而共享给政府的信息,可能会被政府作为执法证据,追究企业的某些法律责任。正因为此,企业一般不愿与政府共享涉及商业利益的信息。
(4)可能会便利政府网络监控项目的实施。以美国为例,2015年6月通过了《美国自由法》,规定美国国家安全局将逐步将大规模电话元数据收集项目转给电信公司,只有存在证据证实某人或某个组织有恐怖活动嫌疑时才可向电信公司索取相关数据。但美国随后通过的《网络安全信息共享法》授权私主体可以监视信息系统及其传输的信息,私主体可以主动与政府共享网络安全信息,这实际上为政府通过企业监控网络提供了可能的便利条件。
二、域外网络安全信息共享立法的制度设计——以美国为例
网络安全信息共享的意义重大,但也存在着较大的争议,如何平衡多种利益而设计妥当的法律制度,是各国立法共同面临的挑战。美国于2015年10月通过的《网络安全信息共享法》(CISA)是目前此领域较为全面和深入的立法,美国国土安全部根据该法会同有关部门制定了四个相关程序和指南,包括“联邦政府向非联邦主体共享网络威胁信息的程序规定”、“非联邦主体向联邦机构共享网络威胁信息指南”、“联邦政府接收网络威胁信息程序”和“隐私和公民自由保护指南”。 本部分通过分析 CISA及配套规定,探究美国信息共享的法治框架尤其是针对争议问题的制度设计,以资借鉴。
(一)界定了应共享的网络安全信息的类型
《网络安全信息共享法》(CISA)是美国关于网络安全信息共享的第一部综合性立法,也是奥巴马政府最重要的网络安全综合性立法成果。该法授权政府机构、企业以及公众之间可以在法定条件和程序下共享网络安全信息,并将网络安全信息界分为“网络威胁指标”(cyber threat indicator)和“防御措施”(defensive measure)两类信息。
所谓“网络威胁指标”是指描述或识别以下情形的必要信息:(1)恶意侦查,包括为了收集与网络安全威胁或安全漏洞相关的技术信息的通信流量异常;(2)突破安全措施或者挖掘安全漏洞的方法;(3)安全漏洞,包括显示安全漏洞存在的异常活动;(4)造成合法访问信息系统或该系统所存储、处理或传输信息的用户不经意使得安全措施失效或安全漏洞被挖掘的方法;(5)恶意的网络命令或控制;(6)安全事件所造成的实际或潜在损害,包括特定安全威胁所造成的信息泄露;(7)其他并非法律禁止披露的网络安全威胁的属性;(8)上述情形的任意组合。
所谓“防御措施”是指检测、防止或减轻信息系统或其所存储、处理或传输信息的已知或者潜在网络安全威胁或安全漏洞的行为、设备、程序、签名、技术或其他措施。但应排除破坏、瘫痪、提供未经授权访问或实质性危害信息系统或者信息系统数据的措施,只要这些系统或者数据不属于实施该措施的私主体、不属于向实施该措施的私主体授权提供同意或已经提供同意的其他主体或联邦主体。 CISA就是围绕“网络威胁指标”和“防御措施”建立了美国网络安全信息共享的基本法治框架。
(二)规定了联邦政府的网络安全信息共享
对于非机密的“网络威胁指标”和“防御措施”,CISA授权联邦政府不仅可以在政府机构间共享,也可以与企业和公众分享;机密的网络安全信息在政府机构之外的共享,仅限于具有适当安全资质的主体;要求联
邦政府定期发布“网络安全最佳实践”,以帮助小型企业应对其面临的网络安全挑战。
CISA要求制定专门的程序来实现上述分享,这一程序要满足以下要求:
(1)确保联邦政府有能力在满足保护机密信息的前提下,实现网络安全信息的实时分享;(2)最大可能地整合联邦机构、非联邦主体在信息共享方面已有的程序、角色和职责,这包括分行业的信息共享和分析中心(ISAC);(3)对接收错误的或者违反CISA及其他法律要求的网络安全信息的主体,要建立及时通知程序;(4)要求联邦机构采取安全措施保护共享的网络安全信息不受未经授权的访问或获取;(5)要求联邦机构审查或者利用技术手段移除任何与网络安全没有直接关系的、在分享时知道是特定主体的个人信息或可以识别特定个人的信息;(6)联邦机构违反CISA共享个人信息,对这些信息所涉及的美国人,要建立及时通知程序。
(三)规定了非联邦主体的网络安全信息共享
CISA授权非联邦主体为了网络安全目的(cyber security purposes)可以与联邦机构和其他非联邦主体共享“网络威胁指标”和“防御措施”。所谓的“网络安全目的”是指保护信息系统或者其所存储、处理或传输的信息免受网络安全威胁或安全漏洞。 所谓的非联邦主体包括私主体、非联邦政府机关以及州、部落或地方政府。 这里的联邦机构包括了美国国防部(含国家安全局)、国家情报总监办公室、国土安全部、司法部等重要情报部门。
CISA要求非联邦主体采取安全措施保护共享的网络安全信息不受未经授权的访问或获取,遵从关于这些信息合法使用或共享限制的规定,并且审查或者利用技术手段移除任何与网络安全没有直接关系的、在分享时知道是特定主体的个人信息或可以识别特定个人的信息。
CISA理顺了联邦政府接收网络安全信息的机制,规定国土安全部(DHS)应该发展和实施特定的能力和程序(capability and process)来实时接收非联邦主体分享的网络威胁指标和防御措施,并将这些网络安全信
息在联邦机构之间通过信息系统自动共享。 这些程序包括自动指标共享程序(Automated Indicator Sharing, AIS)、电子邮件、网络表格等。不过,联邦机构和非联邦主体关于已经共享的网络安全信息的沟通,以及联邦监管机构与被监管主体关于网络威胁的沟通并不适用国土安全部的专用程序。
国土安全部的信息共享程序,不是限制或禁止非联邦主体其他向联邦机构合法披露涉及网络安全信息的行为,这包括报告犯罪活动、参与联邦调查以及遵守其他法定或意定的合同要求等。
(四)规定了私主体共享信息的责任豁免
CISA授权私主体为了网络安全目的(cyber security purposes),可以监视信息系统和实施防御措施。私主体可以监视其自身的信息系统、经其他主体授权或书面同意的其他非联邦主体和联邦机构的信息系统,以及在这些信息系统中存储、处理或者传输的信息;可以对其自身的信息系统、经其他主体授权或书面同意的其他非联邦主体和联邦机构的信息系统实施防御措施。 CISA明确规定,私主体监视信息系统和信息、共享和接受网络安全信息,只要符合CISA的法定要求,就不会因此而承担法律责任。
CISA并非设定了网络安全信息共享的强制性义务,其规定不能解释为允许联邦机构:要求非联邦主体向联邦机构或非联邦主体提供信息;以非联邦主体向其或其他非联邦主体提供网络威胁指标,作为其与该非联邦主体共享网络威胁指标的条件,或者作为该非联邦主体获得联邦拨款、合同或采购的条件。任何私主体不会因选择不参加自愿的网络安全信息共享而承担法律责任。
CISA对于网络安全信息共享和网络安全协助规定了反垄断责任的豁免。两个或多个私主体,为了网络安全目的交换或提供网络威胁指标,提供防止、调查或减轻网络安全威胁的协助,并不构成对反垄断法的违反。 当然,CISA并不允许联合定价、市场垄断等破坏市场竞争的行为。
(五)规定了个人隐私、自由等私权利的保护
根据上文所述,CISA规定联邦机构和非联邦主体都要审查其所共享的网络安全信息中的个人信息,并移除与网络安全威胁没有直接关系的个人信息。除此之外,CISA要求国土安全部长和司法部长联合制定隐私和公民自由保护指南,这一指南需要包括以下内容:(1)限制本法规定的联邦政府活动对隐私和公民自由的影响;(2)限制含有个人信息的网络威胁指标的接收、留存、使用以及传播,对相关网络威胁指标规定留存期限,对与本法授权使用无直接关系的信息,建立发现后及时移除程序;(3)采取安全措施保护含有个人信息的网络威胁指标不受未经授权的访问或获取,包括规定政府机构工作人员违反指南时的适当处罚;(4)对所共享的信息不构成网络安全指标的主体,建立通知程序;(5)最大限度保护含有个人信息的网络威胁指标的秘密性,并且告知接收者只能在本法授权的目的下使用这些指标。
CISA明确规定,与联邦政府共享的网络安全信息,并非放弃其本身的法定特权和保护,包括商业秘密的保护;并不适用联邦、州和地方信息自由法公开披露的规定;并不适用行政法上单方面接触(exparte communications)的限制;共享信息的非联邦主体的商业性、金融性和财产性信息仍受保护。
(六)限制了政府所获共享信息的后续利用
CISA限制政府通过共享获得的网络安全信息的用途,以避免政府利用这些信息对分享主体造成不利影响。对于通过合法共享而获得的网络威胁指标和防御措施,联邦政府的披露、留存或者使用只限于以下情形:(1)网络安全目的;(2)识别网络安全威胁或者安全漏洞;(3)应对、防止或者减轻特定的死亡威胁、严重的人身或经济损害,包括恐怖主义行为或大规模杀伤性武器的使用;(4)应对、调查、追诉、防止或者减轻对未成年人的严重威胁,任何可能由(3)所列情形引发的犯罪行为,或者与欺诈、身份盗窃、间谍、审查或商业秘密保护相关的特定犯罪行为。
对于通过合法共享而获得的网络威胁指标和防御措施,州、部落或地方政府不得用于监管瑠瑏非联邦主体的合法行为或非联邦主体根据强制性标准而采取的行为。但是州、部落或地方政府在防止或减轻信息系统网络威胁的监管权范围内,可以将这些网络安全信息用于通报特定信息系统监管措施的进展或实施。
此外,CISA还规定了联邦主要机构向国会定期报告制度,以有利于国会获知信息共享的成效和确保对政府活动的监督。要求报告的内容包括:信息共享措施的实施情况;信息共享政策、程序和指南的遵从情况;将个人数据从共享的信息中移除来保护个人隐私的情况,以及这些保护措施的充分性;美国所面临网络安全威胁的情况等。
三、关于我国网络安全信息共享立法的建议
从各国立法看,网络安全信息共享可以分为政府部门之间的共享、私营主体之间的共享以及政府部门与私营主体之间的共享等三种情形。政府部门之间的共享通过行政权力统一安排,私营主体之间的共享以自愿加入为原则,并不存在大的争议。立法的重点难点是政府部门与私营主体之间的网络安全信息共享,这包括政府的信息分享给私营主体和私营主体的信息分享给政府两个维度。虽然这一立法难点存在较大争议,但从域外立法看可以通过设计妥当制度来实现利益平衡。
我国《网络安全法》在第三十九条把促进“网络安全信息共享”作为关键信息基础设施保护的重要措施,但信息共享的制度价值绝非仅限于关键信息基础设施保护的范围;在第二十五条和第五十一条规定了网络安全事件报告和通报,只是侧重网络安全事件的报告通报,并没有充分规定网络威胁应对措施的共享。这些规定只是开始关注了网络安全信息共享的某些方面,远未将其上升到制度层面。以下借鉴美国、欧盟的相关立法和立法议案,结合我国的具体国情,尤其是针对一些重点难点问题,坚持利益平衡的原则,提出建构我国网络安全信息共享制度的建议。
(一)明确界定网络安全信息共享的定位和范围
网络安全信息共享制度的定位,取决于信息共享的范围,信息共享的范围又是由可共享信息的类型、可获得共享信息的主体以及共享信息可允许的用途所决定的。我国《网络安全法》将“信息共享”规定在关键信息基础设施保护部分,一定程度上限定了所能共享的信息只是关于关键信息基础设施的信息,这实际上限制了网络安全信息共享制度价值和功能的发挥。建议抓住《关键信息基础设施安全保护条例》制定的立法契机,在条例中确立我国网络安全信息共享制度的基本框架,但之后时机成熟时仍有必要制定专门的网络安全信息共享立法。
对于网络安全共享信息的类型、主体和用途,可以有不同的制度设计方案,本文结合相关方案给出倾向性建议,但未来我国立法可根据具体情况予以选择。
(1)共享信息的类型:有的立法采用一般规定加具体列举的方式宽泛界定网络安全信息,几乎涵盖了所有涉及网络安全的信息,例如 CISA将共享信息分为“网络威胁指标”和“防御措施”两类,并具体列举了网络威胁、安全漏洞、应对技术措施等;美国国家标准技术研究所(NIST)将网络威胁信息的类型分为指标(Indicators),策略、技术和程序(Tactics,techniques,and procedures,TTP),安全警报(Security alerts),威胁情报报告(Threat inteligence reports)。但有的立法建议却将共享信息限定在有限的范围,例如美国参议院《2015年网络威胁共享法案》(S.456,CTSA)并未规定相关主体可以共享网络安全策略。 建议我国立法可以采用“网络威胁”和“防御措施”的分类。
(2)可获得信息的主体:有的立法授权私主体可以自愿与任何其他主体无论是政府部门还是其他私主体共享网络安全信息。例如CTSA授权私主体可以与联邦机构和其他非联邦主体共享。而有的立法建议却对此作出限制,例如 CTSA规定私主体只能与“信息共享和分析组织”(ISAO)和“国家网络安全和通信整合中心”(National Cyber security and Communications Integration Center,NCCIC)共享信息,也没有规定私主体之间可以不通过ISAO共享网络安全信息。建议我国立法授权私主体既可以与政府部门也可以和其他私主体共享信息。
(3)共享信息的后续用途:所有立法和立法建议都对共享信息的后续用途作出了限制规定,只不过限制性规定的程度不同。例如,美国《网络情报共享和保护法案》(H.R.234,以下简称CISPA)规定分享的情报只能用于“网络安全目的”,也规定分享主体可以对共享信息后续使用附加任意限制。 CISA规定为了“网络安全目的”共享信息的一般性限定,也对政府后续使用共享信息作出了详尽的限制性规定。建议我国立法也应确立共享信息用于网络安全这一基本原则,并对政府部门使用私主体共享的信息作出限制性规定。
(二)确立我国网络安全信息共享的行政体制
广泛存在于政府部门之间、政府部门和私营主体之间的网络安全信息共享,需要强有力的行政体制机制作为保障。CISA确立了美国国土安全部(DHS)领导网络安全信息共享的中心地位,但同时规定美国国家情报总监(DNI)、国防部(DOD)、司法部(DOJ)与国土安全部一起制定联邦机构之间网络安全信息共享的程序机制。鉴于网络安全信息很多时候也就是国家网络安全情报,美国稍早一些的立法议案曾建议将国家情报
总监或者国防部作为信息共享的主要领导机关。 美国2014年通过立法进一步强化了国土安全部下属的“国家网络安全和通信整合中心”(NCCIC)职能,其负责整合国家情报总监、国土安全部、国防部和司法部之间的信息共享;2015年成立了国家情报总监下属的网络威胁情报整合中心(National Cyber security and Communications Integration Center,CTIC),该中心将为NCCIC和其他机构防御网络威胁和应对突发事件提供支持。
我国《网络安全法》第八条规定“国家网信部门负责统筹协调网络安全工作和相关监督管理工作”,第三十九条规定国家网信部门负责领导关键信息基础设施保护的网络安全信息共享。《国家安全法》第五十一条规定“建立情报信息工作协调机制,实现情报信息的及时收集、准确研判、有效使用和共享”,第五十二条规定“国家安全机关、公安机关、有关军事机关根据职责分工,依法搜集涉及国家安全的情报信息”。
考虑到网络安全大多涉及国家安全,建议未来我国立法在规定国家网信部门负责统一领导协调我国网络安全信息共享工作的同时,规定国家安全机关、有关军事机关、公安机关、工信部门作为重要的协同领导部门。需要指出的是,网络安全信息共享尤其要注意发挥我国军事机关的重要作用,要充分发挥军队在情报工作方面的独特优势和重要经验。我国近期成立了中央军民融合发展委员会,对推动军民融合深度发展作出了重大部署。网络安全领域军民融合的核心就是共享信息和技术,政府部门和私营主体之间的网络安全信息共享就是军民融合的典型实例,美国的NCCIC和CTIC实际上都体现了这一点。
为充分实现信息的交换共享,要建立具体的行政保障机制:一是要建立网络安全信息共享的政府企业合作机制。在政府部门分工确定主管行业的基础上,鼓励引导各个行业领域成立自身的行业协作委员会,授权政府主管部门和相应的行业协作委员会建立公私合作伙伴关系。公私合作伙伴关系的主要职能在于:私营部门通过这一机制反映自身面临的网络安全威胁,并协助主管部门制定行业网络安全信息共享计划;国家网信部门等国家机关通过这一机制广泛征求产业界的意见,在制定网络安全信息共享政策和标准等过程中,充分反映行业的最佳实践。
二是要授权国家网信部门建立专门的国家网络安全信息共享中心。目前,我国虽然已建立国家网络与信息安全信息通报中心、国家计算机网络应急技术处理协调中心等网络安全事件监测、通报和处置机构,但力量比较分散,缺乏协调整合,与企业和行业组织的联系还不够充分。建议未来立法授权成立国家级信息共享中心,该中心负责发展相应的信息交换技术和共享标准,定期公布行业的最佳实践,为中小企业网络安全信息共享提供建议指南。此外,应授权政府各主管部门根据网络安全信息的分级,在国家级信息共享中心的支持下,积极发展多层次多渠道的信息共享机制,推动建立私营行业之间的网络安全信息交换组织。
(三)规定强制义务与责任豁免相结合,以促进共享
私主体不愿意与政府部门共享其掌握的网络安全信息是信息共享立法的难点问题之一。对此问题的解决有两种方式:
一是规定部分私主体有信息共享义务,以强制其参与共享。即规定私主体有义务去监视自身信息系统的网络安全威胁,并将相关信息与其他私主体或政府部门共享,否则要承担相应的法律责任。在美国,规定强制性信息共享义务,面临较大的宪法障碍,很可能构成与宪法第四修正案的禁止无理搜查和扣押、宪法第一修正案的言论自由相冲突;而且监视信息系统和分享信息给政府,可能会涉及有关主体的个人信息,可能会构成对个人信息和隐私的侵害,受到民众的较大反对。正是因为争议较大,当前各国信息共享的主要立法模式是自愿共享,美国CISA并未对私主体设定强制信息共享义务;欧盟NIS指令确立的网络安全事件报告义务,具体监管往往是依靠行业最佳实践来确定,也并非规定了强制性的监管义务。
但是自愿共享模式很难保证相关主体及时分享重要的安全信息,很难切实保障网络安全。 鉴于此,建议我国未来立法对极其重要的关键信息基础设施规定强制性的监管义务和标准,此种强制性要求应包括网络安全信息报告和共享的义务。虽然我国关键信息基础设施的具体保护范围有待进一步明晰,但从域外制度来看,鉴于其直接涉及国家安全往往采用秘密保护制度,对其他私主体个人信息和隐私保护的影响较小,这种强制性义务与其重要性是成比例的,如此才能确保关键信息基础设施的安全。
二是规定私主体的责任豁免,以激励其参与共享。即规定企业在遵循法定强制标准和按照法定要求共享网络安全信息的情况下,减轻或免除因此而产生的法律责任,以此激励私营主体主动与政府部门共享网络安全信息。例如,对于遵守监管标准的关键基础设施运营者,可以考虑规定其信息系统被恶意攻击而导致大规模数据泄露时,可只向消费者承担补偿性赔偿责任,而非承担惩罚性赔偿责任。立法表述上可采用以下多种形式,一是“但书条款”:例如 CISA规定,虽然有其他法律规定,但私主体为了网络安全目的,仍然可以监视信息系统和实施防御措施;二是“责任限制条款”:例如CISA规定只要私主体按照 CISA的法定要求监视信息系统,针对该主体的诉因并不存在,法院应该驳回起诉;三是“善意安全港”的规定:例如 CISPA规定,如果某一行为欠缺善意,包括故意侵害、诈骗或危害他人的行为,不适用于责任限制条款。
为了提升企业发现网络安全漏洞的能力和打消其因分享信息而承担责任的顾虑,建议未来我国立法应授权私主体有权监视其负责运营的网络信息系统以及系统内存储、处理和传输的数据,并规定不承担因此而产生的法律责任。两个或多个私主体,为了网络安全目的交换网络安全信息或提供相互协助,应规定一般不构成对反垄断法的违反。对于并未纳入强制监管范围的私营主体,其可自愿加入网络安全信息共享机制,只要其按法定要求共享相关信息,可以规定豁免其相应的法律责任。除此之外,还可以考虑政府采购倾斜、税收减免等激励措施。
(四)规定利益平衡机制,以避免政府滥用共享信息
公众对政府部门收集私主体所掌握网络安全信息的担忧是网络安全信息共享立法的另一难点问题。这些担忧主要是担心政府部门获得这些信息后侵害私主体对这些信息享有的合法权益或者利用这些信息对私主体造成不利,具体可能包括这些共享信息被政府信息公开程序公开、丧失商业秘密等合法权益保护、被作为行政监管的证据以及侵害相关主体隐私和个人信息权益等。建议我国未来立法从以下三个方面作出针对性规定:
一是明确平衡维护网络安全与保护私人权利的关系。在网络安全信息共享中,应尤其重视对私人权利的保护。建议规定政府或其他主体保存、使用或者传播网络安全信息时,必须保护这些信息里任何可识别的个人信息不被未经授权的披露、处理或者使用。所共享的网络安全信息,应该移除或匿名化其中与网络安全威胁没有直接关系的个人信息;对于无法移除或匿名化的个人信息,应最大限度地确保其用于法定目的而不被泄露滥用,规定留存这些个人信息的合理期限。在含有个人信息的网络安全信息发生意外泄露事件时,应及时通知这些个人信息所涉及的权利主体。对于政府不同部门信息共享中的个人信息和隐私保护,建议由网信部门牵头联合其他部门制定专门的标准或程序。建议规定与政府共享信息和政府使用共享信息时,不能侵害个人隐私、商业秘密、知识产权等合法权益,规定这些信息不适用信息公开的披露义务,不适用行政法上单方面接触的限制。
二是明确限定政府对所获共享信息的后续利用。我国《网络安全法》第三十条规定:“网信部门和有关部门在履行网络安全保护职责中获取的信息,只能用于维护网络安全的需要,不得用于其他用途”,确定了政府履行网络安全保护职责所获信息用途特定的原则,所获得的相关信息只能用于维护网络安全的需要,此原则同样应适于网络安全信息共享领域。建议进一步细化该原则性规定在网络安全信息共享领域的适用,借鉴美国CISA立法的相关条文,建议规定:对于通过合法共享而获得的网络安全信息,政府部门的披露、留存、处理或者使用只限于以下情形:(1)为了网络安全目的;(2)识别网络安全威胁或者网络安全漏洞;(3)应对、防止或者减轻对人民群众生命财产可能造成或已经造成的重大威胁和严重损害;(4)应对、调查、追诉、防止与国家安全、恐怖主义、未成年人保护、电信诈骗、身份盗窃、商业秘密保护等相关的严重犯罪行为。政府不得利用这些信息对自愿分享主体实施对其不利的监管措施。
三是规定相关的责任机制,确保政府遵守相关规定。可以考虑借鉴CISA所设立的联邦主要机构向国会定期报告制度,建立我国主要政府部门向全国人大常委会定期汇报制度,主要汇报的内容包括:网络安全信息共享的实施情况;信息共享政策、标准和程序的遵从情况;个人信息和隐私保护的标准、程序和实施成效;我国面临网络安全威胁的总体情况等。此外,对于政府部门工作人员在网络安全信息共享过程中不遵守个人信息和隐私保护、商业秘密保护规定等情形,可以规定对其处以适当的行政处罚。当然如果是将履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人的,要按照《刑法》“侵犯公民个人信息罪”予以从重处罚。