网络安全国际立法最新动向及趋势

闫晓丽

（赛迪研究院网络安全研究所，北京 100846）

1 引言

随着经济社会对信息网络依赖程度不断提高，网络安全已经成为事关国家安全与利益的重大议题。针对大规模网络攻击、数据窃取泄露及滥用、新技术新业务安全风险等难题，主要国家和地区纷纷出台法律法规进行规制，以更好地应对网络安全风险。总体看，近年来网络安全国际立法呈现出几个主要动向和趋势：一是从保护隐私和个人基本权利出发加强个人信息保护立法；二是立法提升关键信息基础设施供应链安全、网络风险管理等方面能力；三是探索新技术新业务安全监管思路和规则；四是以国家安全为由收紧出口管制、外国投资；数据跨境等方面的规则。

2 个人信息保护立法

从保护隐私和个人基本权利出发，主要国家和地区加强个人信息保护立法，明确了个人信息范围，设定了个人信息收集、存储、共享等方面的基本规则，赋予了个人对数据的删除权等权利，加强对企业数据保护等行为的监管。

2.1 建立个人信息保护的一般制度

个人信息保护立法以欧盟2016年《通用数据保护条例》（GDPR）、美国2018年《加州消费者隐私法》（CCPA）为代表。两者都是通过规范企业处理和使用数据的行为，强化其与数据相关的责任，并设定较为严格的处罚。两部法律涵盖的核心内容有五方面。一是适用范围：GDPR适用于向欧盟居民提供产品或服务及收集或监控欧盟居民数据的主体；CCPA适用于处理加州居民个人数据的营利性实体，并从年收入、个人信息数量等方面提出了一些限制性要求。二是个人信息界定：GDPR中个人信息是与已识别或可识别的自然人（即数据主体）相关的任何信息；CCPA中个人信息除与特定主体相关外，还可是与特定的家庭相关或合理相关的信息。三是数据处理原则：GDPR中数据的处理以数据主体“明示同意”为原则，而且同意可以在任何时间撤销，只要不影响基于原有同意所作的数据处理；CCPA数据的处理以“通知数据主体”为原则，消费者的同意并非是必须的，而且消费者有权要求向第三方出售其个人信息的企业不得再出售（选择退出权）。四是数据主体的相关权利：GDPR赋予了数据主体删除权、可携带权等新型权利；CCPA也明确消费者有删除请求权、信息披露请求权等。五是救济和惩罚措施：GDPR将违反数据保护规定的行为分为两类，大幅地提高了行政罚款额度，对相关行为可处以不超过2，000万欧元的罚款或全球营业额4%的罚款；CCPA规定企业有30天的纠错期，但如果在规定期限内没有纠正违法行为，则可被处以2，500美元或7，500美元罚款。

2.2 探索面部识别技术使用及隐私保护立法

出于对技术被滥用问题的担忧，美国、欧盟等主要国家和地区对面部识别技术采取谨慎态度。2019年，美国国会引入《商业面部识别隐私法案》《面部识别技术的伦理使用法案》等法案，要求商业公司在使用面部识别数据时提前通知用户，禁止在未经用户同意的情况下使用面部识别数据；美国一些大城市的立法中，也明确禁止政府部门在公共区域使用面部识别技术。例如，2019年5月，旧金山市签署的《反监控条例》首次禁止使用面部识别技术；6月和7月，马萨诸塞州的萨默维尔、加利福尼亚州的奥克兰做出了相同的决定；12月，圣地亚哥禁止在3年内使用面部识别技术。欧盟2020年初发布的《人工智能白皮书》中，曾考虑在公共场所禁止公营、私营机构使用面部识别技术，为期3～5年，尽管后来白皮书正式文本中删去了这一条款，但欧盟认为面部识别技术的使用无法事先取得数据主体的同意，需要采用基于风险的方法引入一些新的规则。目前，国际上已经出台的面部识别技术及隐私保护立法，主要是2020年3月美国华盛顿州通过的《人脸识别服务法》。该法以拟开发、获取或使用人脸识别服务的州或地方政府为主要规制对象，为其设定了向立法机构提交意向通知、编制问责报告、确保重大决定遵守人工审查、对相关人员进行培训等义务；该法严格限制州或地方政府使用人脸识别服务进行持续、实时的监视和追踪，除非获得许可或紧急情况下使用。此外，美国加利福尼亚州《人脸识别法》也在制定中。

2.3 对特殊类型个人数据保护提出指引或要求

一是政治活动中个人数据。2019年，欧洲数据保护委员会发表声明指出：揭示政治观点的个人数据属于GDPR规范下特殊类型的个人数据，处理该类个人数据时需要遵守严格的要求，政党应能对其合法合规使用个人数据进行证明。二是个人健康数据。欧盟及法国、德国等成员国，美国、英国、澳大利亚等国家发布了疫情期间雇员个人数据处理声明或指南，明确了个人数据收集使用原则和要求。2019年，美国国会引入了《移动健康记录法案2019》，旨在提高个人通过移动健康应用程序访问其健康数据的能力；引入《基因信息隐私法案2019》，旨在规范基因测试服务中对个人可识别信息的使用活动。三是儿童个人信息。2020年1月，英国信息专员办公室（ICO）发布了《网络服务适龄设计实践守则》，对信息社会服务提供者提出了儿童利益最大化、数据保护影响评估、一般情况下不得披露儿童信息等十五条要求。

3 关键信息基础设施安全保护立法

美国、欧盟很早就通过立法明确关键信息基础设施的定义和范围、保护主体的责任、保护措施要求等内容。近几年，国际关键信息基础设施安全立法主要从三个方面深入：一是IT产品和服务供应链安全；二是关键基础设施的网络安全保障；三是漏洞管理、网络感知、网络信息共享等基础能力提升。

3.1 通过采购限制、认证等制度确保IT产品和服务供应链安全

IT供应链安全立法的核心内容是优先使用国内产品或限制、禁止国外产品使用及建立IT产品和服务的审查认证制度，以美国《安全和可信电信网络法》《确保信息通信技术与服务供应链安全的行政令》、国防部《网络安全成熟度模型认证》及欧盟《网络安全法》为代表。美国《安全和可信电信网络法》于2020年3月发布，要求联邦通信委员会（FCC）编制一份对美国电信网络构成威胁的公司名单，禁止FCC资助电信企业从被视为威胁的公司购买设备。《确保信息通信技术与服务供应链安全的行政令》于2019年5月发布，禁止任何受美国管辖的个人或实体获取、进口、转让、安装、买卖或使用信息通信技术或服务，只要该信息通信技术或服务由外国对手拥有、控制或受其管辖或指导的人（包括个人或实体）所设计、开发、制造或供应，且对在美国设计、完整、制造、生产、分配、安装、运营或维护的信息通信技术或服务构成破坏或颠覆的不当风险，对美国关键基础设施或美国数字经济的安全性或复原能力造成灾难性影响的不当风险，对美国的国家安全或美国人的安全和保障构成不可接受的风险。《网络安全成熟度模型认证》（CMMC）由美国国防部2020年1月发布，旨在建立一个适用于所有国防承包商的统一认证标准。欧盟《网络安全法》于2019年3月发布，建立了一个欧盟层面的、统一的网络安全认证机制。此外，2019年11月，俄罗斯通过立法，要求所有智能手机、电脑、平板电脑、智能电视等智能设备预装俄罗斯本土软件，推迟至2021年1月生效；2019年12月，印度发布《网络安全产品公共采购（印度优先）令》，要求所有由印度公司或初创企业拥有知识产权的公共采购中，优先考虑本地生产的网络安全产品。

3.2 建立关键信息基础设施网络安全风险管理等保障制度

关键信息基础设施保障立法以美国《增强联邦政府网络与关键性基础设施网络安全的行政令》、俄罗斯《主权互联网法》、澳大利亚《关键基础设施安全法》为代表，核心内容是促进网络安全风险的评估和识别，推动建立关键信息基础设施网络安全保障制度。美国《增强联邦政府网络与关键性基础设施网络安全的行政令》于2017年5月发布，要求各联邦政府机构、关键基础设施行业实施由国家标准与技术研究院制定的《提升关键基础设施网络安全框架》，加强网络安全风险管理。俄罗斯《主权互联网法》于2019年5月发布，主要内容包括建立统一国家域名系统、定期开展维持俄罗斯互联网和公共通信网可持续性和安全的演习、授权监管机构在必要时对通信网络实施中央管理、要求互联网运营商安装“应对威胁的技术手段”等，旨在打造俄罗斯自主互联网系统。澳大利亚《关键基础设施安全法》于2018年7月正式施行，建立了关键基础设施资产登记制度，授权内政事务部部长对其认为任何可能造成安全风险的行为，命令报告行为主体实施或不得实施。

3.3 建立漏洞管理、网络感知、网络信息共享等制度

漏洞共享等相关立法以美国的《网络安全法》《漏洞公平裁决政策和程序》及新加坡的《网络安全法》为代表。美国《网络安全法》作为《2015年度综合财政拨款法》的一部分被通过，由《网络安全信息共享法》《国家网络安全促进法》《联邦网络安全人力资源评估法》等构成，强化了对国土安全部的授权，建立网络信息共享制度，共享内容包括网络威胁迹象、防御措施、安全漏洞等。美国《漏洞公平裁决政策和程序》由白宫于2017年11月发布，描述了政府更新漏洞公平裁决流程的原因、方法和愿景，提出了政府更新漏洞公平裁决的基本流程。新加坡《网络安全法》于2018年2月公布，是落实新加坡网络安全战略的重要举措，明确提出要加强11个领域关键信息基础设施应对网络攻击的能力，建立网络安全事件的响应和预防机制，建立网络安全信息共享机制，明确从事网络安全服务的人员才需获得网络安全服务许可证。

4 新技术新业务安全监管立法

围绕着人工智能、物联网、区块链等新技术新业务，美国、欧盟等在鼓励创新的同时，积极探索网络安全监管思路和规则。

4.1 推动新技术新业务发展和创新

2018年12月，美国发布《国家量子计划法》，计划未来10年内向量子研究注入12亿美元资金，由美国能源部、商务部国家标准与技术研究院和美国国家科学基金会配合联邦政府共同落实量子计划项目。2019年2月，美国发布《人工智能倡议的行政令》，旨在从国家战略层面调动更多联邦资金和资源用于人工智能研发，确保美国在人工智能领域的领导力，应对来自战略竞争者和外国对手的挑战。2019年4月，欧盟发布《人工智能伦理准则》，列明可信赖人工智能的七个关键条件，以确保人工智能足够安全可靠。2019年6月，G20《大阪数字经济宣言》肯定了人工智能对促进包容性经济增长的重要意义，提出了包容性增长、可持续发展和福祉、以人为本和公平、透明和可解释、稳健和安全可靠、责任等五项人工智能基本原则，呼吁采取敏捷灵活的政策和治理路径鼓励创新和竞争。

4.2 探索新技术新业务安全监管思路和规则

2019年3月，美国国会引入《提升物联网网络安全法案》，要求美国国家标准与技术研究院制定物联网设备网络安全风险管理的最低要求，联邦政府预算管理办公室制定联邦机构网络安全准则，且至少每5年审查一次。2019年3月，日本发布《道路交通车辆法》修正案，为自动驾驶汽车的使用行为和车辆安全设定了新的标准。2019年6月，美国佛罗里达州通过《自动驾驶汽车法》，将在道路上操作无人驾驶汽车合法化，提出了自动驾驶汽车共享网络这一全新的客运交通服务。2019年6月，欧盟公布《泛欧通用无人机规则》，规定了无人飞行系统的运作规则，规定了与无人机设计、生产和维护等有关的技术要求和相关主体的义务要求，提出了无人机注册、飞行区域限制等要求，旨在构建欧洲统一的无人机监管立法格局。

5 国家安全审查立法

以美国为代表的一些国家将网络安全问题政治化，为遏制中国等战略对手的发展，以国家安全为由，收紧高技术出口、外国投资、跨境数据流动等规则，实施更严格的安全审查。

5.1 高技术出口管制更为严格

高技术出口管制立法以美国2018年8月发布的《出口管制改革法》（ECRA）及配套制度为代表。ECRA并没有对现行出口管制体系和管制措施做出实质性的改变，但在出口管制范围、严格程度和影响方面较以往更甚、范围最广，主要变化有三方面。一是扩大了管制范围，将对国家安全有关键影响的新兴和基础技术纳入管制范围。二是更严格的出口管制审查，将重大不利影响作为否决出口许可颁发的考虑因素，重大不利影响包括，给予许可将减弱可被美国联邦机构用于国家安全的美国产物项的效用；给予许可将减弱由美国政府基于国家安全目的投资或进行的相关研究所涉物项的生产能力；基于许可将减少对美国联邦机构用于国家安全的物项在美持续生产所必需专业技术人员的就业机会。三是将ECRA的相关管制目录引入到外国投资管理制度中。2018年8月，商务部工业和安全局提出了14类受管制的新兴技术，包括生物技术、人工智能和机器学习、微处理器技术、先进计算技术、数据分析技术、量子信息和传感技术等。2020年1月，商务部工业和安全局修订《出口管理条例》，将“地理空间图像自动分析软件”纳入管制范围。

5.2 收紧外国投资安全审查政策

外国投资安全审查立法以美国《外国投资风险评估现代化法》（FIRRMA）及配套制度为代表，目前包括欧盟、日本、澳大利亚、印度、德国、法国、加拿大、意大利等在内的多个国家都通过或拟采取立法收紧外国投资安全审查政策。美国FIRRMA于2018年11月正式生效，扩大了对外国投资的审查范围和审查力度。2020年1月，美国财政部发布FIRRMA的实施条例。根据FIRRMA及实施条例，CFIUS所管辖的交易扩展到非控制性的投资，只要该非控制性投资涉及某些特定行业的美国企业，且赋予外国实体某些特定权利，包括对“重大非公开技术信息”的访问权，董事会或类似管理机构的成员或观察员席位，或对美国企业涉及关键技术、关键基础设施或敏感个人数据的特定行动作出实质性决策的参与权。非控制性交易涉及拥有、经营、制造、供应或服务于关键基础设施的交易，生产、设计、测试、制造或开发一种或多种关键技术的交易，持有或收集美国公民的个人敏感数据，这些数据可被用于威胁国家安全的交易。

5.3 限制或禁止数据向特定国家流动

2019年11月，美国参议院引入《国家安全和个人数据保护法案》，将中国、俄罗斯列为特别关注国，禁止以“数据为基础”的在线服务公司或其他技术公司向特别关注国传输任何用户数据或解密该数据所需的信息，禁止将数据以及解密改数据所需信息存储在位于美国或与美国据法定程序签有执法共享数据协议的国家之外的服务器上。此外，为了扩展美国政府在全球的数据调取权利，2018年3月，美国通过《澄清域外合法使用数据法》（CLOUD），明确无论通信、记录或其他信息是否存储在美国境内，美国服务提供者均应当按照本法所规定的义务要求保存、备份、披露通信内容、记录或其他信息，只要上述通信内容、记录或其他信息为该服务提供者所拥有、监管或控制。

6 结束语

国际网络安全立法最新动向和趋势对我国完善网络安全法律法规体系是很好的借鉴。基于对国内外网络安全形势的判断，充分考虑信息技术创新应用带来的网络安全挑战，结合我国立法现状并借鉴国外做法，我国应建立健全个人信息保护、关键信息基础设施安全保护、新技术新业务安全监管、国家安全审查等制度。