2019年国外网络安全 发展态势及启示

当今，科技社会日益发展，信息互联网连接万物，生活中的方方面面都离不开网络。尤其是近年来发展迅猛的移动物联网，让人们的生产生活方式发生了翻天覆地的变化，人们对网络的依赖度也达到了前所未有的高度，这一背景下，网络安全的重要性就显得尤为突出。2019年，世界各国采取多种措施，强化网络安全保障能力，更好适应日益严峻的网络安全态势。

国家网络安全顶层设计

不断完善

网络安全是一个关系着国家安全和主权、关系着社会稳定、关系着民族文化继承和发扬的重要问题，其重要性随着全球信息化步伐的加快与信息技术的深入发展不断提升。2019年，各国通过制定网络安全战略、完善网络安全法律法规，调整网络安全机构设置等方式，不断强化国家网络安全顶层设计。

（一）加紧出台国家网络安全战略。2019年1月，挪威政府发布第四版《国家网络安全战略》，将进一步加强公私合作、军民合作以及国际合作，并预计投资16亿挪威克朗用于加强网络安全。2月，美国国土安全部实施网络信息共享与协作计划，转向整体风险管理方式以提供更安全的网络空间。8月，加拿大政府发布《国家网络安全行动计划（2019—2024）》，将在五年内提供1030万美元用于推进加拿大的网络安全建设。10月，波兰总理批准《波兰网络安全战略（2019—2024）》，旨在改进波兰的网络弹性，更好保护公私部门及军事系统的数据。11月，美国网络安全与基础设施安全局发布《网络要点指南》，通过简单步骤和少量资源来帮助小型组织和政府机构改进其网络安全状况。

（二）加速调整法律法规体系。2019年2月，泰国国会通过《电子交易组织重组法案》《个人数据保护法案》《网络安全法案》《数字经济及社会委员会法案》《数字身份证法案》及《电子交易官法案》六项数字法案，将共同推动“数字政府”计划，建设包括大数据、数字中心、云服务等一站式服务基础设施，减少政府机构在大数据和数据保护方面的重复性投资。3月，德国联邦参议院引入新立法，将那些为暗网平台提供技术架构使违法行为有可乘之机的行为定为刑事犯罪。5月，欧盟出台新网络制裁机制，相关机构将面向对欧盟构成重大威胁的网络攻击负责的个人实施入境禁令和资产冻结等详细惩罚措施。6月，《欧盟网络安全法案》生效，将欧洲网络与信息安全局将重新命名为欧洲网络安全局，授权其制定自愿认证框架，以确保在欧盟范围内销售产品和服务的安全标准。英国2019年《网络攻击（资产冻结）条例》生效，赋予欧洲联盟理事会冻结涉嫌参与这类攻击的个人或实体资产的能力，打击欧盟以外针对欧盟机构和成员国的网络攻击。

（三）加强建设网络安全机构。2019年2月，美国国务院表示正计划在国务院内建立一个网络局，分析网络攻击的增长。3月，丹麦财政大臣宣布政府将建立新的网络安全理事会，加强网络与信息安全领域相关信息和知识的交流，应对不断增长的网络安全威胁。4月，荷兰政府成立跨部会专案小组，评估5G电信网络潜在的安全风险。5月，伊朗通信和信息技术部成立特别工作组并制定了多项举措，以应对网络恐怖主义行为和敌对措施。新加坡海事和港务局启动新的海上网络安全行动中心，旨在通过早期侦查、监测、分析以及应对潜在的网络攻击，加强海上网络安全。9月，北约秘书长宣布将在比利时蒙斯建立一个新的网络行动中心以保障其成员国的军事网络态势感知，同时利用盟国的国家网络能力为北约的任务和行动提供支持。英国政府通信总部和英国国防部表示将联合组建国家网络部队，将负责对大型数据库入侵、在社交网络上传播假新闻等网络威胁行为进行报复性攻击以及打击恐怖分子和犯罪分子的网络平台。10月，越南信息通信部决定成立越南网络安全应急响应小组/协调中心，该机构将协调对安全事件的响应，并在全国范围内验证信息安全。

网络信息管控力度

不断加强

在目前的互联网信息时代中，网络已经对民众学习、生活及思维产生巨大影响，在客观上改变了现今的社会化方式。而网络虚假信息、不良信息极易对社会造成不同程度的负面影响，加强网络内容管理无疑是目前亟待解决的重点问题之一。2019年，多国加强对虚假网络信息和恐怖主义等不良信息的打击力度，同时强化对社交媒体的管控手段。

（一）严厉打击虚假网络信息。2019年3月，俄罗斯总统普京签署通过《侮辱国家法》和《假新闻法》，加大对“公然传播不尊重俄罗斯社会、宪法或政府机构的信息”的惩罚力度，以打击错误信息传播和网络侮辱言论。4月，新加坡政府将《防止网络假信息和网络操纵法案》提交国会进行一读，将赋予政府更大的权力，可强制刊登假信息的个人或网络平台更正信息或撤下假新闻。不遵守指示的网络平台可被判罚款100万新元，恶意散播假信息、企图损害新加坡公共利益的个人可被判处10年徒刑、罚款最高10万新元。8月，韩国表示，总统办公室青瓦台最近下令要求多个政府机构采取强硬措施，应对虚假新闻的传播，韩国通信委员会已承诺进行干预，以防范虚假新闻的发布。10月，为帮助协调打击虚假信息，欧盟委员会计划建造欧洲数字媒体观测中心，并开始了一项高达250万欧元的招标。11月，一个具有日本政府官方性质的团队起草提案，建议创建一个打击网络传播假新闻的公私合营团队，以打击在互联网上传播虚假新闻。

（二）严格规范网络信息内容。2019年1月，越南开始实施《网络安全法》，要求互联网公司必须删除被政府认定为“有毒”的网上内容，越南互联网用户也不得在互联网上散布反政府信息或歪曲历史。2月，英国王室批准《反恐和边境安全法案》，在原有犯罪认定中关于“获取可能对执行或准备实施恐怖主义行为的人有用的信息”，将“浏览或传播在线内容”也纳入其中，同时加大了对某些恐怖主义犯罪筹备行为的处罚力度。4月，澳大利亚《2019年刑法修正案》有关禁止展示暴力视频内容的条款经参议院审议通过，要求网站所有者在其服务被用于访問非法内容时通知警方。英国政府发布的《网络危害白皮书》，赋予英国通信管理局法律权力，对分享或直播“有害”视频，包括色情、暴力和虐童的社交平台进行监控、调查和罚款。8月，土耳其发布法规授权土耳其广播电视最高委员会全面监督所有在线内容，包括Netflix等流媒体平台和在线新闻媒体。8月，澳大利亚总理在法国比亚里茨的7国集团（G7）峰会上表示，政府将在危机事件发生期间屏蔽存放恐怖主义内容的互联网网站，并考虑立法强制数字平台提高其服务的安全性。

（三）收紧社交媒体监管。2019年1月，印度政府制定信息技术指导方针，要求社交媒体平台必须在24小时内删除任何可能影响“印度主权和完整性”的非法内容。5月，法国政府计划出台相关法律，要求目前普遍使用的社交媒体公司履行“审慎责任”，对用户在旗下平台上发布的仇恨言论加以审查，同时计划授予该国监管机构对大型社交媒体公司进行审查和处罚的广泛权力。7月，法国国民议会通过《反网络仇恨法案》，要求脸谱网、推特网等月访问量超过200万次的网络社交媒体对法国境内的网络活动加强管控，遏制网络仇恨言论。8月，英国政府拟向英国通信管理局提供新的临时权力，允许其向优兔网、Instagram或脸谱网等社交媒体公司实施监管。9月，美国国土安全部计划搜集难民和某些移民的社交媒体数据，并在全球19个主流平台上监视其可获得的公开信息。

进一步对重要关键信息

基础设施进行安全防护

随着信息化的快速普及和发展，关键信息基础设施作为事关国家安全和社会稳定的重要战略资源的地位日益凸显，它承载或支撑部门行业关键核心业务，对于部门或行业稳定运行具有战略性作用，对于公民福祉的保障意义重大。2019年，各国不断完善关键信息基础设施安全保障制度，同时强化关键领域供应链安全管理水平。

（一）关键信息基础设施管理制度不断得到完善。2019年1月，美国国会批准《能源基础设施保障法案》，能源部将获得1000万美元的拨款，与私营部门合作伙伴建立试点项目，研究非数字控制系统以及如何保障其免受网络攻击。2月，俄罗斯政府通过一项决议，要求俄罗斯的所有卫星通信（包括电话和互联网通信）必须通过地面站进行传输。6月，加拿大公共安全部发布《增强加拿大关键基础设施应对内部网络风险能力指南》，明确关键基础设施的定义并且确定10个行业的关键基础设施，呼吁政府与行业利益相关者建立安全伙伴关系。9月，意大利政府通过第105号立法令，要求通信运营商向部长会议主席和经济发展部长通报通信经营者使用关键信息系统的清单，根据程序将影响关键信息系统的事件通报意大利计算机安全事故应急小组，并遵守关键信息系统安全标准的具体要求。11月，德国政府通过“移动通信战略”，将专门成立一家企业，支持或直接参与移动通信基础设施建设，同时投入11亿欧元新建5000个移动通信基站。12月，法国国家工业委员会与法国电信行业的多个协会及代表签署协议成立了一个旨在支持四个公用项目的数字基础设施战略委员会。

（二）供应链网络安全管理能力增强。2019年5月，美国总统特朗普签署行政令，要求美国进入紧急状态，美国企业不得使用对国家安全构成威胁的企业所生产的电信设备。美国国防部拟成立非营利组织负责运行五角大楼新的网络安全成熟度模型认证下的供应商认证流程，评估其承包商网络安全措施的效果。美国医疗保健和公共卫生部门协调委员会发布工具包，旨在帮助中小型医疗保健机构通过企业供应链网络安全风险管理项目提高采购产品和服务的安全性。12月，美国众议院通过《安全和可信通信网络法》，法案禁止联邦通信委员会拨款从构成国家安全风险的公司购买电信设备，并要求FCC建立一个10亿美元的项目，帮助小型和农村通信提供商移除可疑的网络设备，并用更安全的产品替代。

数据安全保障水平

持续提升

随着云计算、物联网等新兴技术的蓬勃发展，数据资源的重要性在数字社会越发凸显，其安全问题也持续受到广泛关注，全球范围内数据安全法律法规密集出台，积极探索数据跨境流动规则的制定，并大力加强数据安全执法监督。

（一）数据安全保护法律密集出台。2019年1月，芬兰强化版《数据保护法》生效，赋予当局更大权力，限制私人公司对个人数据的使用。4月，美国马萨诸塞州《消费者安全保护法》正式生效，旨在保护消费者免受数据泄露侵害。5月，新加坡公布关于数据泄露通知的指导方针，旨在帮助机构更好地管理数据泄露问题。6月，埃及国会通过数据保护法规，保护所有埃及公民以及在埃及的欧盟人士数据和隐私。7月，印度尼西亚通信和信息部完成起草《个人信息保护法案》，指导行业利益相关者合理使用个人数据，要求组建独立数据保护机构，负责监控和分析各类组织对个人数据的使用，并确保数据法规不会阻碍技术的发展。8月，日本公平贸易委员会表示已经制定了加强对科技巨头监管的指南草案，以加强对用户数据的保护。9月，新加坡新修订的《个人资料保护条例》正式生效，规定商家和业者只能在法律规定下或有必要证明身份时，才能向公众索取身份证号码。10月，美国加利福尼亚州州长签署加州立法机构对《2018加州消费者隐私法案》修订的全部五项修正案，并使之成为法律。11月，欧洲数据保护委员会通过《一般数据保护条例》领土范围的最终准则，指导数据保护机构评估管理者或处理者的处理是否属于《一般数据保护条例》的范围。12月，印度内阁通过《个人数据保护法案》，包含有关个人数据适用范围，处罚和赔偿，行为守则和执行模式等要素。巴西参议院通过一项宪法修正案，将数字平台上的个人数据保护作为公民基本权利纳入宪法。

（二）数据跨境流动规则不断完善。2019年1月，欧盟委员会通过决议，允许在强有力的保障基础上，实现欧盟和日本之间自由的数据传输。9月，俄罗斯国家杜马提出法律修正案，拟对将俄罗斯公民个人数据存储在俄境外的第三方进行罚款。10月，美国贸易代表罗伯特·莱特希泽与日本驻美国大使杉山晋辅签署了《数字贸易协议》，重申了支持跨境数据流、反对数据本地化的立场，还允许公开访问政府数据。新加坡个人数据保护委员会10月9日发布了《云服务跨境数据传输指南》，明确企业及云服务提供商在进行数据跨境传输时应承担数据保护等义务，重点是确保在云环境中跨境传输的数据得到保护。11月，欧盟数据保护委员会发布2019年度《欧美“隐私盾”第三年度审查报告》，对美国商务部和联邦贸易委员会的努力表示赞赏，但总体上认为美国方面“实质上缺乏监督”。

（三）数据安全执法检查力度不断加大。2019年1月，法国國家信息与自由委员会因美国谷歌公司违反了数据隐私保护相关规定对其处以5000万欧元罚款。2月，德国反不正当竞争监管部门联邦卡特尔局宣布限制美国社交媒体脸书从第三方服务收集用户数据。3月，波兰个人数据保护办公室就某公司未能履行《公开资料规例》第14条的资讯透明度规定，在从公众登记册收集及处理个人资料时未能履行其资讯责任，对其罚款约22万元。5月，立陶宛数据保护监管机构对互联网支付公司MisterTango违反GDPR的行为处以6.15万欧元的罚款。

土耳其个人数据保护机构就2018年12月Facebook数据安全事件致30万土耳其用户信息泄露事件，对其处以165万土耳其里拉（约合27万美元）的罚款。7月，美国联邦贸易委员会就“剑桥分析”公司非法访问脸谱网用户数据事件与脸谱网达成和解协议，对脸谱网开出50亿美元罚单。征信机构Equifax宣布将支付6.5亿美元的费用，就2017年一起大规模的数据泄露事件与FTC、消费者金融保护委员会以及50个州和地区的检察机构达成和解。英国数据专员办公室对英国航空公司处以逾1.83亿英镑的罚款，因其安全保障措施不到位导致黑客窃取50万客户个人数据。9月，美国联邦贸易委员会宣布，将对谷歌处以1.7亿美元罚款，理由是其视频平台YouTube涉嫌违反儿童隐私法。12月，欧盟再次命令谷歌披露其对雇员和广告公司共享数据做法的细节，并再次向区域内运营的企业发出了问题清单，要求在一个月内提交谷歌如何与其共享数据的答案。

新兴技术网络安全

新技术的发展为网络安全能力的提升带来了新机会，也提出了新挑战，各国对其重视程度也逐渐提升。多国陆续发布人工智能、物联网、5G等新技术发展战略，并探索建立新技术安全保障手段。

（一）推进新兴技术安全应用。2019年2月，欧洲电信标准协会推出了新的全球通用标准，旨改进消费级物联网产品的基准安全性。3月，欧盟委员发布《5G网络安全建议》，要求成员国在6月底前向欧盟报告其本国5G网络面临的潜在网络安全威胁，而欧盟将在10月1日前完成协调一致的5G网络风险评估。4月，欧盟委员会发布人工智能道德准则，列出了7个关键条件，并要求建立对人工智能系统的究责机制，确保人工智能算法足够安全可靠。6月，美国国家标准与技术研究院公布《物联网网络安全和隐私风险管理的注意事项》，该文件旨在帮助物联网用户保护自己的数据以及网络免受攻击和伤害。8月，美国国家标准与技术研究院发布一份跨部门指南报告草案，旨在确立保护物联网设备的核心基线。9月，美国数字经济安全委员会发布《关于物联网设备安全基线能力的共识》指南，召集了行业协会、标准制定组织和行业联盟共同制定关于物联网设备安全共识基线。

10月，德国联邦网络局发布针对希望帮助德国建设下一代5G基础设施的公司的安全准则草案，提出关键组件的认证、产品完整性的认证、安全监控程序、仅适用在安全相关领域训练有素的专业人员、足够的冗余等要求。11月，由澳大利亚内政部和澳大利亚网络安全中心共同制定的针对物联网安全的业务守则草案近日发布并向公众征求意见，草案列出了针对物联网设备的13条网络安全原则。

（二）加紧研发新兴技术安全保障手段。2019年1月，日本通过了一项法律修正案，允许日本情报通信研究机构在总务省的监督下使用默认密码和密码字典尝试登录日本民众的物联网设备，而后整理出一份使用默认密码或密码强度弱的不安全设备清单，将其传递给有关部门和互联网服务提供商，提醒民众保护设备。2月，日本政府计划推出一套系统，要求政府机构将只能使用经过认证的服务，并要求电力和铁路等重要基礎设施的公司使用安全云服务，增强对来自其他国家的网络攻击的防御能力。

10月，日本“重要生活设备合作安全协议会”宣布启动“物联网”设备的安全认证，将就物联网产品抵御网络攻击的安全程度，进行1至3星的评定。星级评定工作将分为三个阶段。第一阶段为设定最低限度保护等级，第二阶段为根据产品种类评定等级，第三阶段为根据各产品功能评定等级。11月，芬兰交通运输和通信管理局宣布了新的标识机制，带有网络安全标识的物联网设备能保证具备基本的信息安全，网络安全标识只授予符合EN303645认证标准的联网智能设备。

2019年以来，面对国际网络安全形势的新变化、新问题，世界各国积极探索完善创新网络安全管理与技术手段，我国应持续加强对国外网络安全态势跟踪，充分借鉴国外网络安全最佳实践，积极推动网络安全国际合作，加速健全网络安全制度体系，进一步提升网络数据安全保护能力，做好新兴技术网络安全风险应对，不断提升网络安全保障水平。