查看原文
其他

原创|关于我国网络安全信息共享立法的建议

刘金瑞 网络法前哨 2020-02-27
点击标题下「网络法前哨」可快速关注


前哨按语

网络安全信息共享制度具有重大的实践价值,已成为各国网络安全立法的重点议题。近期通过的美国《网络安全信息共享法》和欧盟《网络和信息系统安全指令》都对此有较为全面的规定,而我国《网络安全法》对此规定的比较原则和简单。在今天《网络安全法》生效实施的重大历史时刻,前哨继续关注《网络安全法》的配套制度建构,推送关于我国网络安全信息共享立法的思考和建议,欢迎一起关注探讨。


  从各国立法看,网络安全信息共享可以分为政府部门之间的共享、私营主体之间的共享以及政府部门与私营主体之间的共享等三种情形。政府部门之间的共享通过行政权力统一安排,私营主体之间的共享以自愿加入为原则,并不存在大的争议。立法的重点难点是政府部门与私营主体之间的网络安全信息共享,这包括政府的信息分享给私营主体和私营主体的信息分享给政府两个维度。虽然这一立法难点存在较大争议,但从域外立法看可以通过设计妥当制度来实现利益平衡。

  我国《网络安全法》在第39条把促进“网络安全信息共享”作为关键信息基础设施保护的重要措施,但信息共享的制度价值绝非仅限于关键信息基础设施保护的范围;在第25条和第51条规定了网络安全事件报告和通报,只是侧重网络安全事件的报告通报,并没有充分规定网络威胁应对措施的共享。这些规定只是开始关注了网络安全信息共享的某些方面,远未将其上升到制度层面。以下借鉴美国、欧盟的相关立法和立法议案,结合我国的具体国情,尤其是针对一些重点难点问题,坚持利益平衡的原则,提出建构我国网络安全信息共享制度的建议。

  1. 明确界定网络安全信息共享的定位和范围

  网络安全信息共享制度的定位,取决于信息共享的范围,信息共享的范围又是由可共享信息的类型、可获得共享信息的主体以及共享信息可允许的用途所决定的。我国《网络安全法》将“信息共享”规定在关键信息基础设施保护部分,一定程度上限定了所能共享的信息只是关于关键信息基础设施的信息,这实际上限制了网络安全信息共享制度价值和功能的发挥。建议抓住《关键信息基础设施安全保护条例》制定的立法契机,在条例中确立我国网络安全信息共享制度的基本框架,但之后时机成熟时仍有必要制定专门的网络安全信息共享立法。

  对于网络安全共享信息的类型、主体和用途,可以有不同的制度设计方案,本文结合相关方案给出倾向性建议,但未来我国立法可根据具体情况予以选择:

  (1)共享信息的类型:有的立法采用一般规定加具体列举的方式宽泛界定网络安全信息,几乎涵盖了所有涉及网络安全的信息,例如CISA将共享信息分为“网络威胁指标”和“防御措施”两类,并具体列举了网络威胁、安全漏洞、应对技术措施等;美国国家标准技术研究所(NIST)将网络威胁信息的类型分为指标(Indicators),策略、技术和程序(Tactics, techniques, and procedures,TTP),安全警报(Security alerts),威胁情报报告(Threat intelligence reports),工具配置(Tool configurations) 。但有的立法建议却将共享信息限定在有限的范围,例如美国参议院《2015年网络威胁共享法案》(S. 456,CTSA)并未规定相关主体可以共享网络安全策略。 建议我国立法可以采用“网络威胁”和“防御措施”的分类。

  (2)可获得信息的主体:有的立法授权私主体可以自愿与任何其他主体无论是政府部门还是其他私主体共享网络安全信息。例如CISA授权私主体可以与联邦机构和其他非联邦主体共享。而有的立法建议却对此作出限制,例如CTSA规定私主体只能与“信息共享和分析组织”(ISAO)和“国家网络安全和通信整合中心”(National Cybersecurity and Communications Integration Center, NCCIC)共享信息 ,也没有规定私主体之间可以不通过ISAO而共享网络安全信息。建议我国立法授权私主体既可以与政府部门也可以和其他私主体共享信息。

  (3)共享信息的后续用途:所有立法和立法建议都对共享信息的后续用途作出了限制规定,只不过限制性规定的程度不同。例如,美国《网络情报共享和保护法案》(H.R. 234,以下简称CISPA)规定分享的情报只能用于“网络安全目的”,也规定分享主体可以对共享信息后续使用附加任意限制。 CISA规定了为了“网络安全目的”共享信息的一般性限定,也对政府后续使用共享信息作出了详尽的限制性规定。建议我国立法也应确立共享信息用于网络安全这一基本原则,并对政府部门使用私主体共享的信息作出限制性规定。

  2. 确立我国网络安全信息共享的行政体制

  广泛存在于政府部门之间、政府部门和私营主体之间的网络安全信息共享,需要强有力的行政体制机制作为保障。CISA确立了美国国土安全部(DHS)领导网络安全信息共享的中心地位,但同时规定美国国家情报总监(DNI)、国防部(DOD)、司法部(DOJ)与国土安全部一起制定联邦机构之间网络安全信息共享的程序机制。鉴于网络安全信息很多时候也就是国家网络安全情报,美国稍早一些的立法议案曾建议将国家情报总监或者国防部作为信息共享的主要领导机关。 美国2014年通过立法进一步强化了国土安全部下属的“国家网络安全和通信整合中心”(NCCIC)职能,其负责整合国家情报总监、国土安全部、国防部和司法部之间的信息共享;2015 年成立了国家情报总监下属的网络威胁情报整合中心(Cyber Threat Intelligence Integration Center, CTIIC),该中心将为NCCIC 和其他机构防御网络威胁和应对突发事件提供支持。

  我国《网络安全法》第8条规定“国家网信部门负责统筹协调网络安全工作和相关监督管理工作”,第39条规定国家网信部门负责领导关键信息基础设施保护的网络安全信息共享。《国家安全法》第51条规定“建立情报信息工作协调机制,实现情报信息的及时收集、准确研判、有效使用和共享”,第52条规定“国家安全机关、公安机关、有关军事机关根据职责分工,依法搜集涉及国家安全的情报信息。”

  考虑到网络安全大多涉及国家安全,建议未来我国立法在规定国家网信部门负责统一领导协调我国网络安全信息共享工作的同时,规定国家安全机关、有关军事机关、公安机关、工信部门作为重要的协同领导部门。需要指出的是,网络安全信息共享尤其要注意发挥我国军事机关的重要作用,要充分发挥军队在情报工作方面的独特优势和重要经验。我国近期成立了中央军民融合发展委员会,对推动军民融合深度发展作出了重大部署。网络安全领域军民融合的核心就是共享信息和技术,政府部门和私营主体之间的网络安全信息共享就是军民融合的典型实例,美国的NCCIC和CTIIC实际都体现了这一点。

  为充分实现信息的交换共享,要建立具体的行政保障机制:一是要建立网络安全信息共享的政府企业合作机制。在政府部门分工确定主管行业的基础上,鼓励引导各个行业领域成立自身的行业协作委员会,授权政府主管部门和相应的行业协作委员会建立公私合作伙伴关系。公私合作伙伴关系的主要职能在于:私营部门通过这一机制反映自身面临的网络安全威胁,并协助主管部门制定行业网络安全信息共享计划;国家网信部门等国家机关通过这一机制广泛征求产业界的意见,在制定网络安全信息共享政策和标准等过程中,充分反映行业的最佳实践。

  二是要授权国家网信部门建立专门的国家网络安全信息共享中心。目前,我国虽然已建立国家网络与信息安全信息通报中心、国家计算机网络应急技术处理协调中心等网络安全事件监测、通报和处置机构,但力量比较分散缺乏协调整合,与企业和行业组织的联系还不够充分。建议未来立法授权成立国家级信息共享中心,该中心负责发展相应的信息交换技术和共享标准,定期公布行业的最佳实践,为中小企业网络安全信息共享提供建议指南。此外,应授权政府各主管部门根据网络安全信息的分级,在国家级信息共享中心的支持下,积极发展多层次多渠道的信息共享机制,推动建立私营行业之间的网络安全信息交换组织。

  3. 规定强制义务与责任豁免相结合以促进共享

  私主体不愿意与政府部门共享其掌握的网络安全信息是信息共享立法的难点问题之一。对此问题的解决有两种方式:

  一是规定部门私主体有信息共享义务以强制其参与共享。即规定私主体有义务去监视自身信息系统的网络安全威胁并将相关信息与其他私主体或政府部门共享,否则要承担相应的法律责任。在美国,规定强制性信息共享义务,面临较大的宪法障碍,很可能构成与宪法第四修正案的禁止无理搜查和扣押、宪法第一修正案的言论自由相冲突;而且监视信息系统和分享信息给政府,可能会涉及有关主体的个人信息,可能会构成对个人信息和隐私的侵害,受到民众的较大反对。正是因为争议较大,当前各国信息共享的主要立法模式是自愿共享,美国CISA并未对私主体设定强制信息共享义务;欧盟NIS指令确立的网络安全事件报告义务,具体监管往往是依靠行业最佳实践来确定,也并非规定了强制性的监管义务。

  但是自愿共享模式很难保证相关主体及时分享重要的安全信息,很难切实保障网络安全。 鉴于此,建议我国未来立法对极其重要的关键信息基础设施规定强制性的监管义务和标准,此种强制性要求应包括网络安全信息报告和共享的义务。虽然我国关键信息基础设施的具体保护范围有待进一步明晰,但从域外制度来看鉴于其直接涉及国家安全往往采用秘密保护制度 ,对其他私主体个人信息和隐私保护的影响较小,这种强制义务与其重要性是成比例的,如此才能确保关键信息基础设施的安全。

  二是规定私主体的责任豁免以激励其参与共享。即规定企业在遵循法定强制标准和按照法定要求共享网络安全信息的情况下,减轻或免除因此而产生的法律责任,以此激励私营主体主动与政府部门共享网络安全信息。例如,对于遵守监管标准的关键基础设施运营者,可以考虑规定其信息系统被恶意攻击而导致大规模数据泄露时,可只向消费者承担补偿性赔偿责任,而非承担惩罚性赔偿责任。立法表述上可采用以下多种形式,一是“但书条款”:例如CISA规定,虽然有其他法律规定,但私主体为了网络安全目的仍然可以监视信息系统和实施防御措施 ;二是“责任限制条款”:例如CISA规定只要私主体按照CISA的法定要求监视信息系统,针对该主体的诉因并不存在,法院应该驳回起诉 ;三是“善意安全港”的规定:例如CISPA规定,如果某一行为欠缺善意,包括故意侵害、诈骗或危害他人的行为,不适用于责任限制条款 。

  为了提升企业发现网络安全漏洞的能力和打消其因分享信息而承担责任的顾虑,建议未来我国立法应授权私主体有权监视其负责运营的网络信息系统以及系统内存储、处理和传输的数据,并规定不承担因此而产生的法律责任。两个或多个私主体,为了网络安全目的交换网络安全信息或提供相互协助,应规定一般不构成对反垄断法的违反。对于并未纳入强制监管范围的私营主体,其可自愿加入网络安全信息共享机制,只要其按法定要求共享相关信息,可以规定豁免其相应的法律责任。除此之外,还可以考虑政府采购倾斜、税收减免等激励措施。 

  4. 规定利益平衡机制以避免政府滥用共享信息

  公众对政府部门收集私主体所掌握网络安全信息的担忧是网络安全信息共享立法的另一难点问题。这些担忧主要是担心政府部门获得这些信息后侵害私主体对这些信息享有的合法权益或者利用这些信息对私主体造成不利,具体包括这些共享信息被政府信息公开程序公开、丧失商业秘密等合法权益保护、被作为行政监管的证据以及侵害相关主体隐私和个人信息权益等。建议我国未来立法从以下三个方面作出针对性规定:

  一是明确平衡维护网络安全与保护私人权利的关系。在网络安全信息共享中,应尤其重视对私人权利的保护。建议规定政府或其他主体保存、使用或者传播网络安全信息时,必须保护这些信息里任何可识别的个人信息不被未经授权的披露、处理或者使用。所共享的网络安全信息,应该移除或匿名化其中与网络安全威胁没有直接关系的个人信息;对于无法移除或匿名化的个人信息,应最大程度地确保其用于法定目的而不被泄露滥用,规定留存这些个人信息的合理期限。在含有个人信息的网络安全信息发生意外泄露事件时,应及时通知这些个人信息所涉及的权利主体。对于政府不同部门信息共享中的个人信息和隐私保护,建议由网信部门牵头联合其他部门制定专门的标准或程序。建议规定与政府共享信息和政府使用共享信息时,不能侵害个人隐私、商业秘密、知识产权等合法权益,规定这些信息不适用信息公开的披露义务,不适用行政法上单方面接触的限制。

  二是明确限定政府对所获共享信息的后续利用。我国《网络安全法》第30条规定:“网信部门和有关部门在履行网络安全保护职责中获取的信息,只能用于维护网络安全的需要,不得用于其他用途”,确定了政府履行网络安全保护职责所获信息用途特定的原则,所获得的相关信息只能用于维护网络安全的需要,此原则同样应适于网络安全信息共享领域。建议进一步细化该原则性规定在网络安全信息共享领域的适用,借鉴美国CISA立法的相关条文,建议规定:对于通过合法共享而获得的网络安全信息,政府部门的披露、留存、处理或者使用只限于以下情形:(1)为了网络安全目的;(2)识别网络安全威胁或者网络安全漏洞;(3)应对、防止或者减轻对人民群众生命财产可能造成或已经造成的重大威胁和严重损害;(4)应对、调查、追诉、防止与国家安全、恐怖主义、未成年人保护、电信诈骗、身份盗窃、商业秘密保护等相关的严重犯罪行为。政府不得利用这些信息对自愿分享主体实施对其不利的监管措施。

  三是规定相关的责任机制确保政府遵守相关规定。可以考虑借鉴CISA所设立的联邦主要机构向国会定期报告制度,建立我国主要政府部门向全国人大常委会定期汇报制度,主要汇报的内容包括:网络安全信息共享的实施情况;信息共享政策、标准和程序的遵从情况;个人信息和隐私保护的标准、程序和实施成效;我国面临网络安全威胁的总体情况等。此外,对于政府部门工作人员在网络安全信息共享过程中不遵守个人信息和隐私保护、商业秘密保护规定等情形,可以规定对其处以适当的行政处罚,当然如果是将履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人的,要按照《刑法》“侵犯公民个人信息罪”予以从重处罚。


网络法前哨 网络法前沿的侦察兵


感兴趣可长按关注前哨君

长按扫码可赞赏


    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存