【摘要】近年來(lái)，西方國(guó)家制定、頒布相關(guān)法律法規(guī)，將信息活動(dòng)納入法律框架。通過(guò)立法確保信息安全，特別是通過(guò)法律的方式，明確對(duì)于不同程度危害信息安全的行為的處罰，是西方各國(guó)普遍采用的手段，也是被實(shí)踐證明行之有效的手段。

【關(guān)鍵詞】西方國(guó)家  信息安全  政府機(jī)構(gòu)  監(jiān)管治理    【中圖分類號(hào)】D815    【文獻(xiàn)標(biāo)識(shí)碼】A

網(wǎng)絡(luò)時(shí)代信息安全的范圍及特點(diǎn)

2017年5月12日，一款利用Windows操作系統(tǒng)漏洞的勒索病毒席卷全球，近百個(gè)國(guó)家的數(shù)以萬(wàn)計(jì)的電腦遭到攻擊，由此帶來(lái)的損失尚難以估量。可見(jiàn)，在網(wǎng)絡(luò)已經(jīng)構(gòu)筑了世界主要國(guó)家生產(chǎn)、生活基礎(chǔ)設(shè)施的現(xiàn)代社會(huì)，信息安全跟網(wǎng)絡(luò)安全是密不可分的近義詞，甚至可以說(shuō)現(xiàn)階段的信息安全主要就體現(xiàn)在網(wǎng)絡(luò)安全上。

信息是構(gòu)成當(dāng)前社會(huì)運(yùn)行的基本要素。因此，信息安全所涉及的范圍十分寬泛，其主體包括個(gè)人、企業(yè)、機(jī)構(gòu)、政府組織乃至國(guó)家，其主旨是保障信息本身不缺失、不泄露、不失實(shí)，不因自然的、人為的或是惡意的干預(yù)攻擊等原因而出現(xiàn)損害、泄露、異常或中斷的情況；同時(shí)，信息安全也涉及信息硬件設(shè)施的安全、傳輸渠道的安全、應(yīng)用程序的安全、正當(dāng)內(nèi)容的安全等多個(gè)層次。

在互聯(lián)網(wǎng)環(huán)境下，世界各國(guó)都面臨著信息安全的挑戰(zhàn)。僅以美國(guó)為例，F(xiàn)acebook、Linkedin、Myspace等社交網(wǎng)站，雅虎、谷歌、微軟等軟件或網(wǎng)絡(luò)服務(wù)企業(yè)，以及凱悅酒店集團(tuán)等企業(yè)，均曾經(jīng)遭遇大規(guī)模的用戶信息泄露或被黑客竊取的事件。此外，美國(guó)很多地區(qū)也曾在2016年遭遇網(wǎng)絡(luò)攻擊，直接導(dǎo)致網(wǎng)絡(luò)服務(wù)癱瘓。不僅是作為信息網(wǎng)絡(luò)世界第一強(qiáng)國(guó)的美國(guó)無(wú)法避免出現(xiàn)信息安全問(wèn)題，其他國(guó)家同樣如此。例如，2017年5月初，英國(guó)文化、媒體和體育部（DCMS）發(fā)布《2017年網(wǎng)絡(luò)安全漏洞調(diào)查》報(bào)告稱，近一半（46%）的英國(guó)企業(yè)在2016年遭遇過(guò)信息泄露或網(wǎng)絡(luò)攻擊，這一數(shù)字在中型企業(yè)和大型企業(yè)中則高達(dá)2/3。

從近年來(lái)頻發(fā)的信息安全事件所涉主體來(lái)看，網(wǎng)絡(luò)時(shí)代的信息安全主要體現(xiàn)在微觀、中觀及宏觀三個(gè)層面上。在微觀層面，主要是個(gè)體的信息安全會(huì)受到來(lái)自互聯(lián)網(wǎng)的影響。網(wǎng)絡(luò)技術(shù)的發(fā)展讓個(gè)體在互聯(lián)網(wǎng)上的行為留下越來(lái)越多的痕跡，而當(dāng)下基于大數(shù)據(jù)、用戶監(jiān)測(cè)的智能推薦軟件更讓這種對(duì)個(gè)體用戶行為的分析與建模在向著逼近真實(shí)的角度發(fā)展，必然觸及個(gè)體的信息安全。在中觀層面，互聯(lián)網(wǎng)亦會(huì)對(duì)企業(yè)、事業(yè)單位、機(jī)構(gòu)等的信息安全產(chǎn)生影響。當(dāng)前，企事業(yè)單位等通過(guò)網(wǎng)絡(luò)進(jìn)行信息交換、資源共享、業(yè)務(wù)實(shí)施、公文往來(lái)、跨境貿(mào)易、資產(chǎn)管理等，幾乎所有業(yè)務(wù)流程都已經(jīng)實(shí)現(xiàn)網(wǎng)絡(luò)化，對(duì)于信息安全提出了很高的要求。在宏觀層面上，信息安全同樣也包含一個(gè)國(guó)家和地區(qū)的公共安全，以及一個(gè)主權(quán)國(guó)家的信息空間主權(quán)的完整與不受侵犯。

西方主要國(guó)家在國(guó)家層面制訂戰(zhàn)略與政策，宏觀統(tǒng)籌信息安全治理

在信息安全的戰(zhàn)略政策部分，2003年美國(guó)便公布了《保護(hù)網(wǎng)絡(luò)空間國(guó)家戰(zhàn)略》，2013年美國(guó)政府責(zé)任辦公室特別發(fā)布了調(diào)查報(bào)告《網(wǎng)絡(luò)空間安全：要更有效地定義與實(shí)施國(guó)家戰(zhàn)略、功能及責(zé)任》。美國(guó)的做法是一方面?zhèn)戎鼐W(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全維護(hù)，包括設(shè)備的維修、網(wǎng)絡(luò)加密技術(shù)以及網(wǎng)絡(luò)病毒攻擊的阻斷技術(shù)等，其主旨是維護(hù)網(wǎng)絡(luò)空間安全；另一方面?zhèn)戎乇O(jiān)控、管理網(wǎng)絡(luò)信息的內(nèi)容，主要包括治理信息的網(wǎng)絡(luò)泄露、色情及暴力內(nèi)容、輿論的煽動(dòng)，以及散布恐怖信息等非法或不良的傳播活動(dòng)，其主旨是維護(hù)網(wǎng)絡(luò)信息內(nèi)容安全。整體而言，美國(guó)對(duì)網(wǎng)絡(luò)信息安全的維護(hù)戰(zhàn)略從國(guó)內(nèi)、國(guó)外兩端著手，對(duì)內(nèi)倡導(dǎo)“網(wǎng)絡(luò)中立”、對(duì)外推行“互聯(lián)網(wǎng)自由”。

在英國(guó)，首個(gè)《網(wǎng)絡(luò)信息安全戰(zhàn)略》頒布于2009年，這也是其第一次將網(wǎng)絡(luò)信息安全與國(guó)家安全政策等同視之。2011年英國(guó)再次頒布了新版《網(wǎng)絡(luò)信息安全戰(zhàn)略》，將網(wǎng)絡(luò)安全的戰(zhàn)略級(jí)別再次提升，直至與戰(zhàn)爭(zhēng)、恐怖襲擊與自然災(zāi)害共視為國(guó)家主要威脅。2016年，英國(guó)又發(fā)布了《國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略2016-2021》。這些策略主要包括成立網(wǎng)絡(luò)安全中心、開展國(guó)民科普、培養(yǎng)高級(jí)技術(shù)人才、維護(hù)公民信息安全、促進(jìn)企業(yè)提升安全水準(zhǔn)以及開發(fā)更高的國(guó)際標(biāo)準(zhǔn)等。2012年，德國(guó)公布了《歐洲網(wǎng)絡(luò)信息安全策略報(bào)告》，這一報(bào)告將網(wǎng)絡(luò)安全戰(zhàn)略聚焦于官方與民間協(xié)作、預(yù)先示警、提升網(wǎng)絡(luò)服務(wù)安全性以及強(qiáng)化地區(qū)協(xié)作等。此外，芬蘭和法國(guó)等國(guó)家也陸續(xù)出臺(tái)了重點(diǎn)防范破壞網(wǎng)絡(luò)基礎(chǔ)設(shè)施、傳播不良信息內(nèi)容以及保障公民多項(xiàng)個(gè)人權(quán)益的信息安全戰(zhàn)略規(guī)劃。

西方主要國(guó)家加大技術(shù)研發(fā)投入，不斷升級(jí)技術(shù)標(biāo)準(zhǔn)

網(wǎng)絡(luò)時(shí)代的信息安全具有典型的高技術(shù)特性。對(duì)高新科技的不良應(yīng)用和對(duì)這種不良應(yīng)用的防御，一直是信息安全領(lǐng)域的主題。作為互聯(lián)網(wǎng)技術(shù)的“創(chuàng)始國(guó)”，美國(guó)一直致力于借助在互聯(lián)網(wǎng)技術(shù)的頂端位置，通過(guò)科技的持續(xù)投入、互聯(lián)網(wǎng)企業(yè)的全球擴(kuò)張來(lái)鞏固技術(shù)的霸主地位。例如，2014年8月美國(guó)政府宣布已成立了一個(gè)全新的數(shù)字服務(wù)部門團(tuán)隊(duì)（US Digital Service，簡(jiǎn)稱USDS），以負(fù)責(zé)美國(guó)醫(yī)保等諸多政府網(wǎng)站的數(shù)據(jù)服務(wù)，當(dāng)年團(tuán)隊(duì)的預(yù)算額度高達(dá)2000萬(wàn)美元。在企業(yè)收購(gòu)領(lǐng)域，2016年6月，思科公司收購(gòu)Cloudlock，這家企業(yè)專門致力于云訪問(wèn)安全代理（CASB）技術(shù)，圍繞云服務(wù)中的用戶行為和敏感數(shù)據(jù)為企業(yè)提供可見(jiàn)性和分析服務(wù)，成為思科的“安全無(wú)處不在”戰(zhàn)略的一部分，該項(xiàng)收購(gòu)的標(biāo)的接近3億美元。類似的收購(gòu)案例還有很多。

在英國(guó)，技術(shù)創(chuàng)新研發(fā)一直被置于網(wǎng)絡(luò)安全防護(hù)體系的重要位置。技術(shù)創(chuàng)新側(cè)重于多領(lǐng)域相結(jié)合、基礎(chǔ)性支持以及攻擊恢復(fù)能力的研究。近年來(lái)，英國(guó)愈加注重技術(shù)人才的儲(chǔ)備，在2014年及2015年，英國(guó)分別在多所大學(xué)里設(shè)立專家課程并提出“網(wǎng)絡(luò)安全學(xué)徒計(jì)劃”，旨在號(hào)召青年人加入網(wǎng)絡(luò)信息安全領(lǐng)域。德國(guó)的信息安全技術(shù)研發(fā)，一直以來(lái)都以核心基礎(chǔ)設(shè)施的防衛(wèi)為主，同時(shí)強(qiáng)化網(wǎng)絡(luò)安全技術(shù)。2005年與2008年德國(guó)曾分別啟動(dòng)了用以支持公私聯(lián)合技術(shù)研發(fā)的“關(guān)鍵設(shè)施實(shí)施計(jì)劃”和“安全合作伙伴關(guān)系計(jì)劃”，后者由國(guó)家教研部資助。

西方主要國(guó)家將信息活動(dòng)納入法律框架

制定、頒布相關(guān)法律法規(guī)，通過(guò)立法確保信息安全，特別是通過(guò)法律的方式，明確對(duì)于不同程度危害信息安全的行為的處罰，是西方各國(guó)普遍采用的手段，也是被實(shí)踐證明行之有效的手段。

美國(guó)作為網(wǎng)絡(luò)技術(shù)的全球發(fā)源地，其頒布過(guò)的網(wǎng)絡(luò)信息安全相關(guān)法條眾多，至今共計(jì)已高達(dá)一百余部，涉及計(jì)算機(jī)系統(tǒng)的運(yùn)行標(biāo)準(zhǔn)、信息處理的方法和具體技術(shù)操作、不同群體的網(wǎng)絡(luò)權(quán)益等領(lǐng)域，對(duì)破壞網(wǎng)絡(luò)基礎(chǔ)設(shè)施的犯罪行為也制定了嚴(yán)格的懲處標(biāo)準(zhǔn)。在網(wǎng)絡(luò)信息安全方面，美國(guó)有嚴(yán)格的數(shù)據(jù)信息保密法，如規(guī)定公民隱私權(quán)不容侵犯且使用者有義務(wù)對(duì)信息進(jìn)行保密等。“9·11事件”發(fā)生后，美國(guó)將打擊恐怖主義作為信息安全的管理重點(diǎn)，政府甚至限定各項(xiàng)法律的建立皆需以首先保證互聯(lián)網(wǎng)戰(zhàn)略與信息安全為前提。

德國(guó)于20世紀(jì)70年代制定個(gè)人信息保護(hù)法，其主要?jiǎng)右蛟谟谠噲D限制國(guó)家對(duì)公民個(gè)人信息的處理。1977年其制定了首部《聯(lián)邦資料保護(hù)法》，并于2009年制定了《聯(lián)邦信息技術(shù)安全法》，2013年再次修訂，其主要目的在于確?；ヂ?lián)網(wǎng)企業(yè)落實(shí)保護(hù)網(wǎng)絡(luò)信息安全的相關(guān)責(zé)任。

在亞洲國(guó)家里面，日本早在1988年就制定了《關(guān)于保護(hù)行政機(jī)關(guān)所持有之個(gè)人信息的法律》；2003年5月頒布了日本《個(gè)人信息保護(hù)法》，并相繼制定、頒布了針對(duì)行政機(jī)關(guān)、獨(dú)立行政法人等持有個(gè)人信息機(jī)關(guān)的多部法律。針對(duì)公共部門，韓國(guó)于1994年1月7日制定了《公共機(jī)關(guān)個(gè)人信息保護(hù)法》，于1995年1月8日起正式實(shí)施；在2011年3月29日公布了《個(gè)人信息保護(hù)法》，規(guī)定了個(gè)人信息保護(hù)的基本原則、個(gè)人信息保護(hù)的基準(zhǔn)、信息主體的權(quán)利保障、個(gè)人信息自決權(quán)的救濟(jì)等。

借助國(guó)際組織，掌握技術(shù)標(biāo)準(zhǔn)或治理規(guī)則

美國(guó)聯(lián)邦政府中雖然沒(méi)有設(shè)立專職負(fù)責(zé)網(wǎng)絡(luò)與信息安全問(wèn)題的機(jī)構(gòu)，但負(fù)責(zé)分散承擔(dān)網(wǎng)絡(luò)信息安全管理的具體組織部門數(shù)量眾多。這些組織和部門主要由上級(jí)委員會(huì)領(lǐng)導(dǎo)，例如“總統(tǒng)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)委員會(huì)”等。這些直屬委員會(huì)都由政府設(shè)立，成員來(lái)自不同的內(nèi)閣部門，負(fù)責(zé)分散承擔(dān)網(wǎng)絡(luò)信息安全管理的具體組織機(jī)構(gòu)還會(huì)下轄不同的地方行政機(jī)構(gòu)。在日常工作中，整個(gè)組織體系有機(jī)配合、形成合力，共同行使保障國(guó)家信息安全的管理職能。同時(shí)，美國(guó)商務(wù)部長(zhǎng)期通過(guò)總部設(shè)在華盛頓的民間團(tuán)體互聯(lián)網(wǎng)域名與地址管理機(jī)構(gòu)（ICANN）實(shí)際實(shí)現(xiàn)對(duì)互聯(lián)網(wǎng)的管理霸權(quán)，即使美國(guó)商務(wù)部同意于2016年10月開始把互聯(lián)網(wǎng)域名管理權(quán)正式移交給ICANN，但實(shí)際上，全球互聯(lián)網(wǎng)的13臺(tái)根服務(wù)器，仍然大多數(shù)在美國(guó)手中，而且國(guó)際互聯(lián)網(wǎng)工程任務(wù)組（IETF）、萬(wàn)維網(wǎng)聯(lián)盟（W3C）、國(guó)際互聯(lián)網(wǎng)協(xié)會(huì)（ISOC）這樣的互聯(lián)網(wǎng)領(lǐng)域的標(biāo)準(zhǔn)制定組織仍然在美國(guó)的科技界占據(jù)主導(dǎo)地位，制定全球大多數(shù)的網(wǎng)絡(luò)技術(shù)標(biāo)準(zhǔn)。

除了美國(guó)之外，歐盟這樣的區(qū)域一體化組織同樣是各成員國(guó)進(jìn)行信息安全治理的重要憑借。1995年，剛剛成立不久的歐盟即出臺(tái)《關(guān)于涉及個(gè)人數(shù)據(jù)處理的個(gè)人保護(hù)及此類數(shù)據(jù)自由流動(dòng)的指令》。據(jù)此，歐盟各成員國(guó)相繼制定了個(gè)人數(shù)據(jù)資料保護(hù)法或者類似的法律。此后，歐盟通過(guò)了多部指令、原則或建議等不同形式的組織法規(guī)，從而敦促各成員國(guó)內(nèi)有效地建立起了有關(guān)網(wǎng)絡(luò)隱私權(quán)保護(hù)的統(tǒng)一的法律體系。此外，歐盟成立了歐洲信息安全局，該機(jī)構(gòu)作為超越成員國(guó)和歐盟委員會(huì)之外的機(jī)構(gòu)，對(duì)促進(jìn)各利益主體間的協(xié)作具有基礎(chǔ)性意義。

強(qiáng)化具體操作規(guī)范的執(zhí)行，確保信息安全治理效果

在具體操作規(guī)范的執(zhí)行方面，面對(duì)當(dāng)前“信息大爆炸”的時(shí)代背景，世界各國(guó)對(duì)網(wǎng)絡(luò)信息的審查與管控能力皆不斷受到挑戰(zhàn)。在美國(guó)，面對(duì)浩如煙海的網(wǎng)絡(luò)信息環(huán)境，司法機(jī)關(guān)通過(guò)一系列的摸索與實(shí)踐，最終形成了一種對(duì)網(wǎng)絡(luò)信息既進(jìn)行一定限制，但又盡力避免以立法方式對(duì)言論自由范圍做“一刀切”的范式。美國(guó)法院倡導(dǎo)對(duì)個(gè)案進(jìn)行逐個(gè)判斷，再評(píng)估政府是否有管制該信息的足夠理由。美國(guó)依此總結(jié)出了一系列的信息審查原則，已在全球眾多國(guó)家被廣泛討論甚至借鑒引入。

英國(guó)曾于2008年發(fā)布過(guò)一份旨在使國(guó)家執(zhí)法機(jī)關(guān)在打擊網(wǎng)絡(luò)信息犯罪時(shí)，能夠獲得必要關(guān)鍵資料的“監(jiān)聽現(xiàn)代化計(jì)劃”，其要求互聯(lián)網(wǎng)及通訊企業(yè)搭建有能力保存用戶信息的數(shù)據(jù)平臺(tái)。該計(jì)劃可同時(shí)用于阻擊常規(guī)網(wǎng)絡(luò)犯罪與嚴(yán)重的恐怖襲擊。2014年英國(guó)還通過(guò)了《緊急通信與互聯(lián)網(wǎng)數(shù)據(jù)保留法案》，批準(zhǔn)執(zhí)法機(jī)構(gòu)在必要時(shí)可以提取網(wǎng)絡(luò)使用者的信息。

作為正處于轉(zhuǎn)型時(shí)期的發(fā)展中國(guó)家，我國(guó)網(wǎng)絡(luò)信息安全面臨著愈加嚴(yán)峻、復(fù)雜的挑戰(zhàn)。我國(guó)除了在立法、制定政策、提高信息素養(yǎng)、提升企業(yè)自律水平等方面進(jìn)行改善之外，還需進(jìn)一步增強(qiáng)在國(guó)際組織中制定標(biāo)準(zhǔn)的話語(yǔ)權(quán)。我們需要在借鑒西方國(guó)家先進(jìn)信息管理經(jīng)驗(yàn)的同時(shí)，結(jié)合我國(guó)實(shí)際，以期最終形成符合我國(guó)國(guó)情、媒介發(fā)展趨勢(shì)、我國(guó)大眾心理特性，以及防控并重且兼顧穩(wěn)定性、靈活性與科學(xué)性的信息安全監(jiān)管治理體系，為具有中國(guó)特色的社會(huì)主義和諧社會(huì)創(chuàng)建更加安全的信息環(huán)境。

（作者為清華大學(xué)國(guó)家文化產(chǎn)業(yè)研究中心副主任，清華大學(xué)文化創(chuàng)意發(fā)展研究院副院長(zhǎng)、研究員）

【參考文獻(xiàn)】

①?gòu)堉救A、蔡蓉英、張凌軻：《主要發(fā)達(dá)國(guó)家網(wǎng)絡(luò)信息安全戰(zhàn)略評(píng)析與啟示》，《現(xiàn)代情報(bào)》，2017年第1期。

②尹建國(guó)：《美國(guó)網(wǎng)絡(luò)信息安全治理機(jī)制及其對(duì)我國(guó)之啟示》，《法商研究》，2013年第2期。

責(zé)編/張寒    美編/李祥峰

聲明：本文為人民論壇雜志社原創(chuàng)內(nèi)容，任何單位或個(gè)人轉(zhuǎn)載請(qǐng)回復(fù)本微信號(hào)獲得授權(quán)，轉(zhuǎn)載時(shí)務(wù)必標(biāo)明來(lái)源及作者，否則追究法律責(zé)任。