网络时代信息安全的范围及特点
2017年5月12日,一款利用Windows操作系统漏洞的勒索病毒席卷全球,近百个国家的数以万计的电脑遭到攻击,由此带来的损失尚难以估量。可见,在网络已经构筑了世界主要国家生产、生活基础设施的现代社会,信息安全跟网络安全是密不可分的近义词,甚至可以说现阶段的信息安全主要就体现在网络安全上。
信息是构成当前社会运行的基本要素。因此,信息安全所涉及的范围十分宽泛,其主体包括个人、企业、机构、政府组织乃至国家,其主旨是保障信息本身不缺失、不泄露、不失实,不因自然的、人为的或是恶意的干预攻击等原因而出现损害、泄露、异常或中断的情况;同时,信息安全也涉及信息硬件设施的安全、传输渠道的安全、应用程序的安全、正当内容的安全等多个层次。
在互联网环境下,世界各国都面临着信息安全的挑战。仅以美国为例,Facebook、Linkedin、Myspace等社交网站,雅虎、谷歌、微软等软件或网络服务企业,以及凯悦酒店集团等企业,均曾经遭遇大规模的用户信息泄露或被黑客窃取的事件。此外,美国很多地区也曾在2016年遭遇网络攻击,直接导致网络服务瘫痪。不仅是作为信息网络世界第一强国的美国无法避免出现信息安全问题,其他国家同样如此。例如,2017年5月初,英国文化、媒体和体育部(DCMS)发布《2017年网络安全漏洞调查》报告称,近一半(46%)的英国企业在2016年遭遇过信息泄露或网络攻击,这一数字在中型企业和大型企业中则高达2/3。
从近年来频发的信息安全事件所涉主体来看,网络时代的信息安全主要体现在微观、中观及宏观三个层面上。在微观层面,主要是个体的信息安全会受到来自互联网的影响。网络技术的发展让个体在互联网上的行为留下越来越多的痕迹,而当下基于大数据、用户监测的智能推荐软件更让这种对个体用户行为的分析与建模在向着逼近真实的角度发展,必然触及个体的信息安全。在中观层面,互联网亦会对企业、事业单位、机构等的信息安全产生影响。当前,企事业单位等通过网络进行信息交换、资源共享、业务实施、公文往来、跨境贸易、资产管理等,几乎所有业务流程都已经实现网络化,对于信息安全提出了很高的要求。在宏观层面上,信息安全同样也包含一个国家和地区的公共安全,以及一个主权国家的信息空间主权的完整与不受侵犯。
西方主要国家在国家层面制订战略与政策,宏观统筹信息安全治理
在信息安全的战略政策部分,2003年美国便公布了《保护网络空间国家战略》,2013年美国政府责任办公室特别发布了调查报告《网络空间安全:要更有效地定义与实施国家战略、功能及责任》。美国的做法是一方面侧重网络基础设施的安全维护,包括设备的维修、网络加密技术以及网络病毒攻击的阻断技术等,其主旨是维护网络空间安全;另一方面侧重监控、管理网络信息的内容,主要包括治理信息的网络泄露、色情及暴力内容、舆论的煽动,以及散布恐怖信息等非法或不良的传播活动,其主旨是维护网络信息内容安全。整体而言,美国对网络信息安全的维护战略从国内、国外两端着手,对内倡导“网络中立”、对外推行“互联网自由”。
在英国,首个《网络信息安全战略》颁布于2009年,这也是其第一次将网络信息安全与国家安全政策等同视之。2011年英国再次颁布了新版《网络信息安全战略》,将网络安全的战略级别再次提升,直至与战争、恐怖袭击与自然灾害共视为国家主要威胁。2016年,英国又发布了《国家网络安全战略2016-2021》。这些策略主要包括成立网络安全中心、开展国民科普、培养高级技术人才、维护公民信息安全、促进企业提升安全水准以及开发更高的国际标准等。2012年,德国公布了《欧洲网络信息安全策略报告》,这一报告将网络安全战略聚焦于官方与民间协作、预先示警、提升网络服务安全性以及强化地区协作等。此外,芬兰和法国等国家也陆续出台了重点防范破坏网络基础设施、传播不良信息内容以及保障公民多项个人权益的信息安全战略规划。
西方主要国家加大技术研发投入,不断升级技术标准
网络时代的信息安全具有典型的高技术特性。对高新科技的不良应用和对这种不良应用的防御,一直是信息安全领域的主题。作为互联网技术的“创始国”,美国一直致力于借助在互联网技术的顶端位置,通过科技的持续投入、互联网企业的全球扩张来巩固技术的霸主地位。例如,2014年8月美国政府宣布已成立了一个全新的数字服务部门团队(US Digital Service,简称USDS),以负责美国医保等诸多政府网站的数据服务,当年团队的预算额度高达2000万美元。在企业收购领域,2016年6月,思科公司收购Cloudlock,这家企业专门致力于云访问安全代理(CASB)技术,围绕云服务中的用户行为和敏感数据为企业提供可见性和分析服务,成为思科的“安全无处不在”战略的一部分,该项收购的标的接近3亿美元。类似的收购案例还有很多。
在英国,技术创新研发一直被置于网络安全防护体系的重要位置。技术创新侧重于多领域相结合、基础性支持以及攻击恢复能力的研究。近年来,英国愈加注重技术人才的储备,在2014年及2015年,英国分别在多所大学里设立专家课程并提出“网络安全学徒计划”,旨在号召青年人加入网络信息安全领域。德国的信息安全技术研发,一直以来都以核心基础设施的防卫为主,同时强化网络安全技术。2005年与2008年德国曾分别启动了用以支持公私联合技术研发的“关键设施实施计划”和“安全合作伙伴关系计划”,后者由国家教研部资助。
西方主要国家将信息活动纳入法律框架
制定、颁布相关法律法规,通过立法确保信息安全,特别是通过法律的方式,明确对于不同程度危害信息安全的行为的处罚,是西方各国普遍采用的手段,也是被实践证明行之有效的手段。
美国作为网络技术的全球发源地,其颁布过的网络信息安全相关法条众多,至今共计已高达一百余部,涉及计算机系统的运行标准、信息处理的方法和具体技术操作、不同群体的网络权益等领域,对破坏网络基础设施的犯罪行为也制定了严格的惩处标准。在网络信息安全方面,美国有严格的数据信息保密法,如规定公民隐私权不容侵犯且使用者有义务对信息进行保密等。“9·11事件”发生后,美国将打击恐怖主义作为信息安全的管理重点,政府甚至限定各项法律的建立皆需以首先保证互联网战略与信息安全为前提。
德国于20世纪70年代制定个人信息保护法,其主要动因在于试图限制国家对公民个人信息的处理。1977年其制定了首部《联邦资料保护法》,并于2009年制定了《联邦信息技术安全法》,2013年再次修订,其主要目的在于确保互联网企业落实保护网络信息安全的相关责任。
在亚洲国家里面,日本早在1988年就制定了《关于保护行政机关所持有之个人信息的法律》;2003年5月颁布了日本《个人信息保护法》,并相继制定、颁布了针对行政机关、独立行政法人等持有个人信息机关的多部法律。针对公共部门,韩国于1994年1月7日制定了《公共机关个人信息保护法》,于1995年1月8日起正式实施;在2011年3月29日公布了《个人信息保护法》,规定了个人信息保护的基本原则、个人信息保护的基准、信息主体的权利保障、个人信息自决权的救济等。
借助国际组织,掌握技术标准或治理规则
美国联邦政府中虽然没有设立专职负责网络与信息安全问题的机构,但负责分散承担网络信息安全管理的具体组织部门数量众多。这些组织和部门主要由上级委员会领导,例如“总统关键基础设施保护委员会”等。这些直属委员会都由政府设立,成员来自不同的内阁部门,负责分散承担网络信息安全管理的具体组织机构还会下辖不同的地方行政机构。在日常工作中,整个组织体系有机配合、形成合力,共同行使保障国家信息安全的管理职能。同时,美国商务部长期通过总部设在华盛顿的民间团体互联网域名与地址管理机构(ICANN)实际实现对互联网的管理霸权,即使美国商务部同意于2016年10月开始把互联网域名管理权正式移交给ICANN,但实际上,全球互联网的13台根服务器,仍然大多数在美国手中,而且国际互联网工程任务组(IETF)、万维网联盟(W3C)、国际互联网协会(ISOC)这样的互联网领域的标准制定组织仍然在美国的科技界占据主导地位,制定全球大多数的网络技术标准。
除了美国之外,欧盟这样的区域一体化组织同样是各成员国进行信息安全治理的重要凭借。1995年,刚刚成立不久的欧盟即出台《关于涉及个人数据处理的个人保护及此类数据自由流动的指令》。据此,欧盟各成员国相继制定了个人数据资料保护法或者类似的法律。此后,欧盟通过了多部指令、原则或建议等不同形式的组织法规,从而敦促各成员国内有效地建立起了有关网络隐私权保护的统一的法律体系。此外,欧盟成立了欧洲信息安全局,该机构作为超越成员国和欧盟委员会之外的机构,对促进各利益主体间的协作具有基础性意义。
强化具体操作规范的执行,确保信息安全治理效果
在具体操作规范的执行方面,面对当前“信息大爆炸”的时代背景,世界各国对网络信息的审查与管控能力皆不断受到挑战。在美国,面对浩如烟海的网络信息环境,司法机关通过一系列的摸索与实践,最终形成了一种对网络信息既进行一定限制,但又尽力避免以立法方式对言论自由范围做“一刀切”的范式。美国法院倡导对个案进行逐个判断,再评估政府是否有管制该信息的足够理由。美国依此总结出了一系列的信息审查原则,已在全球众多国家被广泛讨论甚至借鉴引入。
英国曾于2008年发布过一份旨在使国家执法机关在打击网络信息犯罪时,能够获得必要关键资料的“监听现代化计划”,其要求互联网及通讯企业搭建有能力保存用户信息的数据平台。该计划可同时用于阻击常规网络犯罪与严重的恐怖袭击。2014年英国还通过了《紧急通信与互联网数据保留法案》,批准执法机构在必要时可以提取网络使用者的信息。
作为正处于转型时期的发展中国家,我国网络信息安全面临着愈加严峻、复杂的挑战。我国除了在立法、制定政策、提高信息素养、提升企业自律水平等方面进行改善之外,还需进一步增强在国际组织中制定标准的话语权。我们需要在借鉴西方国家先进信息管理经验的同时,结合我国实际,以期最终形成符合我国国情、媒介发展趋势、我国大众心理特性,以及防控并重且兼顾稳定性、灵活性与科学性的信息安全监管治理体系,为具有中国特色的社会主义和谐社会创建更加安全的信息环境。
(作者为清华大学国家文化产业研究中心副主任,清华大学文化创意发展研究院副院长、研究员)
