查看原文
其他

态势概览 | 全球网络安全政策法律发展年度报告 (2022)

球网络安全政策法律发展年度报告(2022)》提出2022年全球网络安全形势与政策法律发展七大态势。
01

全球网络空间局势动荡,竞争与合作并存

2022 年全球网络空间竞争与博弈持续加剧。受局部地区冲突影响,网络空间冲突对抗风险上升。个别国家将互联网作为维护霸权的工具,联合发起《互联网未来宣言》,列出旨在维护所谓“自由与开放互联网”的五项主张,在互联网领域以意识形态划线,煽动网络空间分裂和对抗,用集团性“帮规”破坏全球性互联网治理原则。北约发布新的《北约2022 年战略概念》,首次提及中国,称中国对北约构成“系统性挑战”,表示将强化在网络空间有效运作的能力,利用所有的可用工具,预防、探测、对抗和应对各种威胁。美国国家情报总监办公室发布的《美国情报界年度威胁评估报告》称“中国仍将是美国技术竞争力的最大威胁”,白宫发布的新版《国家安全战略》表示“未来十年是美国与中国竞争的决定性十年”,将动用所有的国家工具来超越战略性对手,并将建立尽可能强大的国家联盟,以增强集体影响力。与此同时,各国持续加强本国网络安全顶层设计,通过战略、总统令等形式明确网络安全保障任务。美国白宫发布《关于确保美国外国投资委员会认真考虑不断演变的国家安全风险的行政令》,系外国投资委员会(CFIUS)成立以来首份界定外商投资审查中应考量的国家安全因素的行政令,将网络安全和敏感个人数据安全列为重要考量因素。美国总统拜登签署《提升国家安全、国防和情报系统网络安全备忘录》,设定国家安全系统多项网络安全新要求,推进网络安全防御现代化。英国政府发布《政府网络安全战略:2022年至2030 年》,系英国首份针对政府的网络安全战略,意在确保公共部门所有政府组织都对已知漏洞和攻击方法具有弹性。作为全球最大的发展中国家和网民数量最多的国家,我国展现负责任大国担当,加强国际网络空间对话合作,推动互联网全球治理体系变革。正如习近平总书记在党的二十大报告中指出的,中国始终坚持维护世界和平、促进共同发展的外交政策宗旨,致力于推动构建人类命运共同体——一方面,践行共商共建共享的全球治理观,促进大国协调和良性互动,推动构建和平共处、总体稳定、均衡发展的大国关系格局;另一方面,贯彻总体国家安全观,完善国家安全法治体系、战略体系、政策体系,强化网络、数据安全保障体系建设,健全反制裁、反干涉、反“长臂管辖”机制,统筹维护和塑造国家安全,推进国家安全体系和能力现代化。2022 年,金砖国家领导人第十四次会晤达成《金砖国家数字经济伙伴关系框架》,系金砖经贸领域第一份数字经济合作专门文件。“中国+中亚五国”外长第三次会晤通过《“中国+中亚五国”数据安全合作倡议》;中国全面推进加入《数字经济伙伴关系协定》谈判。中俄两国发表《中华人民共和国和俄罗斯联邦关于新时代国际关系和全球可持续发展的联合声明》,国家互联网信息办公室与泰王国国家网络安全办公室签署《关于网络安全合作的谅解备忘录》,与印尼国家网络与密码局签署网络安全合作行动计划。同时,面对网络安全保障的现实需求和时代诉求,我国适时修改网络安全领域的基础性立法《网络安全法》,旨在做好《网络安全法》与新实施的法律之间衔接协调,为高质量发展提供有力制度支撑和保障。
02

关键信息基础设施安全保护加速推进,事件报告成重要关切


2022 年勒索攻击等网络安全事件威胁不减,关键信息基础设施的外部攻击仍是重大威胁来源。数字化转型过程中的关键信息基础设施安全保护现代化成为各国亟待解决的现实难题,引发各界对既有政策立法的反思和调整,全球关键信息基础设施规则体现出威胁攻击与保障防御两端的特点。欧盟2022 年5 月发布的《欧盟安全联盟战略》第四次进展报告对俄乌冲突国际环境下欧盟面临的安全威胁进行梳理。报告指出,尽管俄乌冲突在很大程度上仍然是通过常规手段推进,溢出效应有限,但也充分说明网络和关键基础设施领域面临的风险是真实存在的,进一步凸显落实现有立法及推动制定中立法的紧迫性。基于此,欧盟加快立法进程,密集推动NIS2 指令、《关于关键实体弹性指令的提案》(CER 指令)、《数字运营弹性法案》等。其中,CER 指令提案将关键实体中为三分之一以上成员国提供基本服务的实体明确为“欧洲具有特定重要性的关键实体”,在安全保护方面获得额外建议,这与澳大利亚4 月正式生效的《2022 年安全立法修正案(关键基础设施保护)法》相类似。澳大利亚在立法中建立“具有国家意义的系统(SoNS)”制度,在现有关键基础设施保护体系中将一小部分具有国家意义的关键基础设施资产认定为SoNS,并对SoNS 赋予更严苛的保护义务。此类立法举措反映出部分国家在当前安全形势下对关键基础设施保护的新探索。同时,被认为是“最严重和最广泛的安全威胁之一”的Log4j 漏洞风险持续发酵,美国网络安全审查委员会认为该漏洞将在未来十年甚至更长时间持续引发风险,使得各国对于感知网络安全态势、及时洞察网络安全事件的需求更加迫切。基于此,强制性的事件报告义务成为普遍选择。美国通过《关键基础设施网络安全事件报告法》《投资顾问、注册投资公司和业务发展公司的网络安全风险管理》《银行机构及其银行服务提供者的计算机安全事件报告要求》等,对事件报告提出24 小时至72 小时不等的时间要求。印度发布《关于<2000 年信息技术法>第70B 条第(6)款,可信网络的信息安全实践、程序、预防、响应和网络安全事件报告指令》,要求在发现或被告知发生网络安全事件后6 小时内向CERT-In 报告。我国持续推动关键基础设施安全保护工作,重要的国家标准之一GB/T39204-2022《信息安全技术关键信息基础设施安全保护要求》正式发布。交通、能源、证券期货业等行业和领域主管部门加快推动关保工作在本行业、本领域的落地实施。交通运输部发布《公路水路关键信息基础设施安全保护管理办法(征求意见稿)》,就公路水路的关保工作进行专项规定;国家卫生健康委等部门发布《医疗卫生机构网络安全管理办法》、中国证监会发布《证券期货业网络安全管理办法(征求意见稿)》、国家能源局发布《电力行业网络安全管理办法(修订征求意见稿)》,将关键信息基础设施运行安全作为重要内容之一。从具体内容来看,细化的制度设计主要围绕深化组织机构设置及人员管理,增设专项评审要求、强调全天候态势感知能力,重视压力测试、攻防演练、应急演练等在风险隐患发现方面的作用,加强供应链风险管理和网络安全事件管理等方面展开,突出行业特性,旨在保障关键信息基础设施的持续稳定运行。
03

全球供应链不稳定因素增多,“国产化”成为关键词

网络空间竞争与博弈的加剧使得网络的互联互通遭遇逆流,逆全球化思潮抬头,“筑墙设垒”“脱钩断链”成为个别国家维护自身科技垄断和霸权地位的工具。美国商务部和国土安全部2022年2月发布的《美国IT行业关键供应链评估报告》指出“新冠疫情加剧ICT供应链结构性风险,ICT生产诸多领域缺乏国内生态。美国虽然在许多产品的ICT发展方面处于领先地位,但印刷电路板和显示器等产品的生产与电子组装越来越集中于中国。”对此,报告建议通过适当激励项目或立法推动,支持国内投资和生产关键信息通信技术产品,包括印刷电路板和半导体。8月,美国通过《2022年芯片与科学法》,拨款527亿美元提振本国半导体制造与研发,并通过限制补贴资格来阻止半导体企业在中国新建或扩大产能。欧盟提出《芯片法案》,将投入超过430亿欧元公共和私有资金,用于支持芯片生产、试点项目和初创企业,旨在短期内预测并避免供应链中断,从中期帮助欧盟成为芯片战略市场的领军者。日本总务省网络安全工作组发布修订后的《2022年ICT网络安全综合措施》,要求提高自主应对网络攻击的能力,加强和培育本土网络安全产业,以降低对他国产品和信息的依赖性。

与此同时,“国产化”“供应链韧性”成为关键词。俄罗斯总统普京相继签发俄罗斯联邦第166号总统令《确保俄罗斯联邦关键信息基础设施技术独立和安全的措施》和第250号总统令《保障俄罗斯联邦信息安全的补充措施》,设定国产化替代目标期限,禁止未经批准采购外国软件和相关服务用于关键信息基础设施重要客体。我国《“十四五”数字经济发展规划》要求“推动关键产品多元化供给,着力提高产业链供应链韧性,增强产业体系抗冲击能力”。习近平总书记在党的二十大报告中提出进一步指示,要求加强重点领域安全能力建设,着力提升产业链供应链韧性和安全水平,在关系安全发展的领域加快补齐短板,提升战略性资源供应保障能力,严密防范系统性安全风险。




04

数据跨境流动新秩序加速构建

欧美隐私盾协议无效后,如何构建欧美数据跨境流动新秩序成为双方重点工作之一。3月,欧盟委员会主席与美国总统拜登发表声明,宣布欧盟和美国已就跨大西洋数据流动的新框架达成“原则性共识”。10月,拜登签署《关于加强美国信号情报活动保障的行政令》,对情报监视活动赋予进一步的保障措施,旨在落实3月双方发布的框架,为重建有效数据传输机制提供制度支撑。行政令发布后,美国国会研究会发布《欧盟-美国数据隐私框架:背景、实施和下一步》报告,提出进一步担忧,表示美国白宫在未来有权撤销行政令,一旦行政令撤销,欧盟公民将失去基于行政令获得的保障措施和救济途径。同时,欧洲法院可能认为行政令规定的措施不足以缓解对美国监视的担忧。报告认为欧洲可能会继续要求修订FISA第702条。同月,《英美政府间就获取电子数据打击严重犯罪的协定》生效,作为《云法案》框架下的首份协定,将允许两国执法机构在获得适当授权的情况下,在没有法律障碍的前提下,直接从高科技公司获取与严重犯罪相关的电子数据。

我国修订后的《网络安全审查办法》正式施行,将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查范围。《数据出境安全评估办法》正式发布,以《网络安全法》《数据安全法》《个人信息保护法》为上位法依据,标志着我国探索多年的数据出境安全评估制度落地。办法发布后,北京、江苏、上海等多省市网信部门开通申报和咨询通道,指引数据处理者申报数据出境安全评估。我国司法部发布《国际民商事司法协助常见问题解答》,进一步明确涉诉数据信息的跨境调取规则。《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》《个人信息出境标准合同规定(征求意见稿)》相继发布,进一步细化个人信息跨境提供规则。






05

立法威胁和平台责任成为信息内容治理的首选路径

一直以来,网络空间都是各国塑造国际形象、提升国际影响力的重要舞台。俄乌冲突期间,两国在“舆论战”中的表现充分说明打击外国信息操纵与干扰,强化在线平台,特别是对舆论走势有着强大主导力的大平台非法和有害内容治理能力的重要性。  

一方面,通过将发布特定类型违法有害信息的行为定义为犯罪,强化法律的威慑力。俄罗斯总统普京签署三项修正案,修订《俄罗斯联邦刑法典》《俄罗斯联邦刑事诉讼法典》《俄罗斯联邦行政违法法典》,将军事相关信息的传播纳入刑事规制范畴,明确公开发布俄罗斯联邦武装部队相关虚假信息、诋毁俄罗斯武装力量公开行动及呼吁对俄罗斯进行制裁三类行为的刑罚规则。另一方面,加强平台识别和防范违法有害信息的能力,以及在信息内容治理方面的主体责任。美国网络安全和基础设施安全局发布《准备和减轻针对关键基础设施的外国影响行动》,为关键基础设施所有者和运营商如何识别和减轻错误信息、虚假信息和不实信息(MDM)风险提供指导。在美国白宫发布的大型科技平台改革六项原则中,再次呼吁对《通信规范法》第230条进行根本性改革,以限缩对大型科技平台的特殊法律保护。欧盟《数字服务法》正式通过,要求在欧盟经营的大型门户网站和社交媒体公司必须加强对非法内容的审查,及时删除非法和有害的在线内容,包括仇恨言论、虚假信息和假货交易信息等。同时,《欧盟处理恐怖主义内容在线传播条例》开始施行,要求网络平台接到成员国当局发出的删除命令后,必须在一小时内删除恐怖主义内容。我国建立健全网络综合治理体系,推动形成良好网络生态。国家互联网信息办公室等部门发布《移动互联网应用程序信息服务管理规定》《互联网用户账号信息管理规定》《互联网弹窗信息推送服务管理规定》,要求互联网信息服务提供者落实主体责任,并提出“在互联网用户账号信息页面展示合理范围内的账号的互联网协议地址归属地信息”的要求。






06

网络犯罪打击更加精细 犯罪防治成为重点

随着勒索攻击、电信网络诈骗等违法犯罪活动持续威胁国家、社会和个人合理利益,各国开始普遍加强网络犯罪打击力度。美国总统拜登签署《优化网络犯罪度量法》,旨在提升网络犯罪数据可见性、提高网络犯罪打击效率。美国司法部发布《2022年-2026年战略计划》,将提升网络安全和打击勒索攻击作为“保护美国国家安全”的战略目标,并做出将DOJ采取扣押或没收手段的勒索攻击结案数量增加10%的承诺。《欧洲刑警组织条例》修正案生效,规定“只要是为支持特定正在进行中的犯罪调查,能够在不明确数据主体类别的情况下处理个人数据。”但欧盟数据保护专员公署认为修正案削弱了数据保护基本权利,扩大欧洲刑警组织权力的同时并未建立强有力的数据保护措施。

与此同时,各国将网络犯罪预防列为重点工作之一,强调潜在犯罪行为的发现与防范。澳大利亚发布《2022年打击网络犯罪国家计划》,从预防与保护,调查、打击与起诉,以及恢复三方面提出具体措施,将支持行业发挥领导力,预防网络犯罪威胁。澳大利亚《2022年电信服务提供商(客户身份验证)判定规则》生效,要求识别客户高风险交易,保护风险客户,对高风险交易实施多因素身份验证。习近平总书记在党的二十大报告中强调,推动公共安全治理模式向事前预防转型,加强重点行业、重点领域安全监管,加强个人信息保护,依法严惩群众反映强烈的各类违法犯罪活动,在社会基层坚持和发展新时代“枫桥经验”,建设人人有责、人人尽责、人人享有的社会治理共同体。我国正式通过《反电信网络诈骗法》,着力加强预防性法律制度构建,推动形成全链条反诈、全行业阻诈、全社会防诈的打防管控格局。《全国人大常委会2022年度立法工作计划》也将制定网络犯罪防治法列为预备审议项目之一。






07

后量子密码的“超前性”与人工智能的“适度性”并存

2022年,各国政策立法同步推进人工智能、后量子密码、元宇宙、数字货币等未来技术的推动创新与安全治理,尤其注重后量子密码的超前部署,以及强调对人工智能安全治理的“适度性”。

一直以来,密码安全问题就是算法构筑的“难解性”与计算能力之间的博弈。但这一传统的攻防关系随着量子计算的成熟而变得不再稳定,量子计算提供的强大计算能力将使现有的绝大部分公钥密码算法被攻破,迄今为止最为有效的“安全屏障”可能不再可靠 。基于此,为预防量子计算对网络安全造成的潜在威胁,美国在后量子密码领域超前布局。国家标准与技术研究院确定了四种后量子加密算法。白宫发布《关于加强国家量子倡议咨询委员会的行政命令》《关于促进美国在量子计算领域领导地位的同时降低易受攻击的密码系统风险的国家安全备忘录》,推动美国在量子信息科学方面的举措,同时减轻量子计算对国家和经济安全构成的风险。网络安全和基础设施安全局发布《为关键基础设施做好后量子密码准备》专项文件,为关键基础设施及政府网络的所有者、运营者向后量子密码转型提供指引。国家安全局发布《商业性国家安全算法组件2.0》,提出针对国家安全系统的后量子算法要求。

与此同时,各国对人工智能的安全治理更加理性,着重强调监管的“适度性”。欧洲议会通过《关于数字时代人工智能的决议》,指出欧盟不应总是将人工智能作为一种技术进行监管,监管干预的程度应与人工智能系统的特定使用风险成正比。英国发布《国家人工智能战略——人工智能行动计划》与《建立一种支持创新的人工智能监管方法》,同样强调监管的合比例性,要求遵循技术的“适应性”和“自主性”。我国六部门联合发布《关于加快场景创新以人工智能高水平应用促进经济高质量发展的指导意见》,将协同治理作为基本原则之一,要求尊重人工智能发展规律,发挥政府和市场的积极性,共同为场景创新提供制度供给,促进人工智能创新发展与监管规范相协调。正如习近平总书记在党的二十大报告中要求的,必须坚持解放思想、实事求是、与时俱进、求真务实,得出符合客观规律的科学认识,形成与时俱进的理论成果,更好指导中国实践,构建新一代信息技术、人工智能等一批新的增长引擎。





即将发布 | 全球网络安全政策法律发展年度报告 (2022)背景及导读

即将开始!| 第十二届中国信息安全法律大会特别会议第十一号通告

第三份重要成果即将重磅发布!| 第十二届中国信息安全法律大会特别会议第九号通告

第二份重要成果即将重磅发布!| 第十二届中国信息安全法律大会特别会议第八号通告

征文获奖名单 | 第十二届中国信息安全法律大会特别会议第七号通告

首份重要成果即将重磅发布!| 第十二届中国信息安全法律大会特别会议第六号通告

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存