与风险共舞:以色列新版网络安全法评析
2021年2月,以色列总理办公室(PMO)发布了《INCD网络安全法案》(尚未经议会通过;Israel National Cyber Directorate,以色列国家网络局,本文统称为“INCD”)。法案赋予INCD一项为期两年的监管职责,这被视为是通过2016年和2019年修正《公共机构安全管理法》,将网络安全的部分职能归入INCD之后进一步对其赋权的重要举措。本文对法案的制定背景和监管趋势、对其引以为傲的安全企业和产业发展的影响,以及如何从中国法视角看待这些问题等进行了研究,以期有关各界思考。
1、从监管主体看,法案通过职责再划分,进一步形成和强化了INCD、情报机构(Mossad)、安全局、国防军(IDF)/国防部等多主体的网络安全监管体系。尽管持续引发了其他主体的掣制、不适,但法案还是通过小心的设定以平衡和安抚其他职能主体,特别是强调INCD侧重于协调、指导的职能,试图成为连接部门监管机构和私营企业的枢纽,并承担和充当技术信息和专业知识的角色(而不是取代其他安全和执法机构)。
从此项设定的背景看,概与所谓的(物理)地缘政治因素,和(网络)远程互通因素有关,体现出其立法机构应对日益复杂和叠加的传统风险(疫情)、跨境网络攻击风险的重视。同时将原先碎片化的部门监管、企业自决模式啮合到统一和整体化的监管范式下,以提升监管效率。当然,由此带来的对原先监管格局的冲击可能仍成为其施行的阻碍。
2、从监管对象看,法案通过对重要公共利益的影响和危害性识别,将网络安全风险区分为一般网络攻击和严重网络攻击,并分别采取相应的网络保护行动(Cyber Protection Actions)。
其监管路径包括三个层级:一是一般组织(包括网络接入、服务提供商等,应提供公共产品/服务)和运营重要活动的组织应指定具备相应资质的适格人员(Qualified Employee)履行法案职责,组织负责人应规划和落实体系化的应对网络攻击的准备工作;二是接受INCD的指导,通过其提供的专业网络安全指引(Professional Guidelines,包括导入行业最佳实践和安全框架等)响应网络攻击事件,INCD指导介入的前提是组织未能采取必要的应对行动和为了避免对重要公共利益的损害;三是在触发某些条件的情况下,特别是内部响应机制失灵或者严重不足时,以申请法院调查令等网络防御行动(Cyber Defense Actions)方式获得对组织运营的重要设施、活动的访问权限,以维护和保障重要公共利益的实现。
3、考虑到不同层级的网络攻击风险可能带来的对个人信息和隐私的损害,新版法案收紧了对隐私信息访问的限制性条件,包括法律规定可访问、法院确认为保护重要公共利益必要而同意访问、不用于网络安全之外目等等。法案明确不会收集受保护的隐私信息,除非该信息属于法案所定义的“具有防御性价值的信息”,或者存在以下情况之一:(1)该收集符合法律规定;(2)法院经综合考虑权衡对个人信息的损害程度后同意收集,以保护更为重要的公共利益。这些措施与之前任命内部 INCD 隐私监督员和外部监督委员会的方式,可视为对以色列互联网协会(IIA)等质询意见的回应。但是,法案为隐私信息在公共主体之间的传递留有接口,以及INCD可以接受组织的(商业)客户识别信息和联系方式,也被解读为是严重的“侵入”性的行政权力,这些数据共享引发了市场对数据(包括个人信息)保护和泄漏的更多担忧。
4、考虑到法案与之前监管模式有较大不同,法案设定了为期两年的有效期,因此也被视为是一项过渡性法案,这显然是考虑到新冠疫情和网络攻击风险变化的结果。以色列面临的网络攻击(可能是源于地缘政治的紧张局势加剧,也可能是对全球格局变动的态势感知)环境下,这种修法和快速反应的愿望变得更加迫切,而较短的有效期也有利于淡化不同监管主体、部门监管机构的不满,但本质上也是对INCD究竟是政策制定主体还是有必要作为执法主体而引入之间的不决。
法案的一些规定体现了以色列法律的政治特点,同时有些方面也可以放到中国法的背景下进行审视,并通过比照研究,得出对中国网络安全政策法律的某些比较法结论。
1、在监管主体的职责问题上,INCD此前的监管权力有限。通过法案扩大了INCD的职责,并事实上“凌驾”在部门监管之上,这体现出网络安全风险迭代下行政机构不断自我赋权的内在驱动。作为平衡,法案引入了法院调查令的方式加以妥协,以显得INCD的权力并非无差别的普遍权力,而是基于网络攻击风险的特定、个案“赋能”。
通过法院调查令的方式获得执法权,是执法机构获得个人信息和维护公共安全的某种通行范式,一般而言其限定于司法个案,例如在苹果与FBI在2017年中为解密iPhone5发生的争议,以及为此启动百年法案AWA最为有名。非个案的普遍的授权,则以美国的外国情报监视法案(FISA)的调查和专门法院模式为典型——这至少需要一个完整的提案和成文法的过程。无论如何,通过调查令的方式可以解决授权不足的问题,但效率显然不如规定执法权来的直接(当然,必需同时考虑执法机构权力膨胀和规范的问题)。
由此,在为网络安全供应新的法律工具时,应当对国家安全、重要公共利益、个人信息和隐私等不同权益进行考虑。以色列作为一个兼具大陆法系和英美法系特点的“混合法系”国家,做出的是一种短期和折衷的解决方案(特别是调查令和法案期限的有效性设定);中国方案应当体现自身特点,也需要关注他国实践。特别是对政策法律制定的社会效应评估、评价,将成为未来网络安全综合治理领域的持续课题。
2、从监管对象看,由于法案考虑到网络安全监管框架的弹性,整体上对以色列网络安全行业的创新活动影响有限,以色列仍扮演着其网络安全创新策源地的国际角色,并通过保持在部分行业、领域的安全优势,持续向外输出安全解决方案。这体现了网络安全行业(其最重要的输出可能就是安全技术和安全方法论)在数据产业和数字经济中的锚定效用。无疑,中国的网络安全综合治理也应特别注重发挥网络安全行业的独特价值,这在发生重大国家安全或公共利益的未知风险时将尤为重要。毕竟已知的风险是相似的,未知的风险却各有不同。
对关键信息基础设施运营者而言,法案也重申了与国际上主要的安全框架的衔接与兼容【例如INCD在2017年基于NIST的关键基础设施框架和SP 800-53,搭建了自身的网络防御方法(ICDM,2.0)】,进一步强化和整合了关键信息基础设施的内在保障能力。发掘市场主体的主动和自觉,有利于普遍赋能和提升短板,而如果一味地强调“接管”安全,则不仅可能会损害市场主体的权益,在某些情况下甚至产生对监管机构的过度依赖。这一做法也可视为一种告诫:应当避免向提供重要公共服务的市场企业发出错误信号——即运营者可能对网络安全现状产生自满,或削弱对网络安全的风险管理和保障机制——以为可以“躺平”,并完全依靠外部多层级的监管响应和恢复关键设施和重要服务。
3、对于个人信息和隐私保护,法案的规定类似于中国《个人信息保护法》,将为(重要)公共利益的个人信息使用作为知情同意的例外。同样,法案也为这一例外的准确适用规定了条件。这些条件的规定显然非常必要,但其执行取决于INCD对自身权限的使用,是基于合作为主的指导模式,还是启动调查令的“侵入”监管,最终决定了隐私保护的实现程度。
这一问题带来的启示在于,作为个人信息保护监管主体的机构,应当考虑其自身权力行使可能对个人信息产生的影响,以协调为主的多部门联席机制和强势的单一主体主导监管模式,虽然程度上可能存在差异,但网络安全信息共享、个人信息和数据的共享,都可能在“为保护而获取”的目的下放大,而最终成为个人信息主体的“不能承受之重”。此类种种,以及如何构建、实现个人信息主体、企业市场主体等针对行政程序的救济机制,也都是中国网络安全法律框架下需要努力的方向。
以色列网络安全新法案呈现出了其在强行政监管和司法权力平衡之间的艰难选择,国家安全、(重要)公共利益、隐私和个人信息等不同诉求不断重塑着法案从2018年至今的内容调整。法案不同版本的演进也是近年来国际背景下网络安全风险矛盾更迭的缩影。
如果将法案对中国网络安全法律政策的启示归结于一点,便是在快速行动与打破规则之间,在设施、数据不断变化的重要性与关键性之间,应当非常甚至极度的注重立法前、立法后的法律适用性评估——这体现了网络与数据安全立法不同于传统民商事立法的特点——通过评估和时效设定使得法案的修订和延长都更具弹性,并为如何评价“良法”提供了多一重衡量。
第八十八期网络安全政策法律动态半月刊(2022.3.1—2022.3.15)
报告全文发布 | 全球网络安全政策法律发展年度报告 (2021)