点击国外网络安全立法

随着互联网在全世界的普及和迅猛发展，人类社会生活越来越离不开互联网，网络安全越来越成为全世界共同关注的问题。截至2015年的数据显示，世界上有90多个国家制定了专门的法律保护网络安全。在管控手段方面，既通过专门的国内立法管制网络安全，也通过积极开展公私合作，推动互联网业界的行业自律以实现网络管制。在管控对象方面，主要涵盖关键基础设施的安全、网络信息安全和打击网络犯罪等方面。

美国的网络安全立法较世界其他国家而言涉及最为全面，涵盖全部的法律体系，包括立法、司法和行政三大领域和联邦与州两个层次，既有宏观规范也有微观规定。

美国的网络安全立法在“9·11事件”之后，主要侧重于“国家安全层面”。如2001年美国通过的《爱国者法案》，该法第215条允许美国国安局以保护“国家安全”的名义，收集反恐调查任何电话通信和数据记录。2002年通过的《国土安全法》第225条“网络安全加强法”，该法以保护“国家安全”的理由扩大警方监视互联网的职权及从互联网服务提供商调查用户数据资料的权力。2002年美国通过的《联邦信息安全管理法案》，该法的目的是全面保护美国政府机构信息系统的信息安全。

2010年后，美国开始关注“社会安全层面”的网络安全立法。如2010年美国审议了《网络安全法案》，该法案对网络安全的人才发展、计划和职权、网络安全知识培养、公私合作进行规定，以确保美国国内及其与国际贸易伙伴通过安全网络交流进行自由贸易。2010年美国还审议了《网络安全加强法案》，该法案以加强网络安全的研究与发展为目的，推进网络安全技术标准制定。此外，美国还高度重视关键基础设施的安全保护。2010年的《国家网络基础设施保护法案》规定，国会应在网络基础设施保护领域设置“安全线”，并在政府和私营部门之间建立起网络防御联盟的伙伴关系，促进私营部门和政府之间关于网络威胁和最新技术信息的共享。2010年的《网络空间作为国有资产保护法案》则授权国土安全部对国家机构的IT系统进行维护监管，规定总统可宣布进入紧急网络状态，并强制私营业主对关键IT系统采取补救措施，以保护国家的利益。

2014年，美国前总统奥巴马为加强美国抵御网络攻击的能力，在12月18日签署了四个法案，这是美国网络安全立法方面的一次重要进展，将网络安全中的国家安全、社会安全、网络基础安全作为一个整体，统筹规范。第一个法案是2014年的《联邦信息安全管理法案》，明确保护联邦计算机网络安全的各个机构之角色，建立对联邦计算机网络的实时、自动监控，减少在安全审查过程中所需的文书工作量；第二个法案是《边境巡逻员薪资改革法案》，该项法案使美国国土安全部与国防部可以相同的速度和可比性的工资聘请网络专家；第三个法案是《国家网络安全保护法》，具体规定了国土安全部国家网络安全和通信集成中心在私营部门和联邦机构共享网络安全信息方面的作用；第四个法案是《网络安全人员评估法案》，该法案要求美国国土安全部评估其网络安全工作人员，以加强其抵御网络攻击保护美国的能力。

2015年10月22日，美国参议院通过了《网络安全信息共享法案（修正案）》，该修正案的主要目标是降低起诉他国网络犯罪嫌疑人的门槛。除复制美国公民信用卡、盗取网络密码等行为外，该修正案还将使用任一美国公司未经授权的信息纳入定罪范围，且不受发生犯罪行为的地域限制。这标志着美国开始推进“世界警察”版网络安全法。2017年5月11日，美国总统特朗普签署一份行政命令，要求在联邦政府网络、关键基础设施网络、民众网络三方面加强安全措施。

英国早期的互联网立法，侧重保护关键性信息基础设施。随着网络的不断发展，逐渐强调网络信息的安全、加强对网络犯罪的打击。2000年制定的《通信监控权法》，规定“为国家安全或为保护英国的经济利益”等目的，可截收某些信息，或强制性公开某些信息。2001年实施的《调查权管理法》，要求所有的网络服务商均要通过政府技术协助中心（该中心由军情五处负责运营）发送数据。官员可以检查和阅读所需的任何电子信息。2008年，英国内政部提出“监听现代化计划”，要求监听并保留英国互联网上所有人的通信数据（但不包括数据的具体内容）。

2009年6月，英国出台首个国家网络安全战略，制定国家层面的信息安全战略计划，成立“网络安全办公室”（OCS）和“网络安全运行中心”（CSOC）支持内阁部长和国家安全委员会来确定与网络空间安全相关问题的优先权，联合为政府网络安全项目提供战略指引。2010年10月，英国发布《战略防务与安全审查——“在不确定的时代下建立一个安全的英国”》，将恶意网络攻击与国际恐怖主义、重大事故或者自然灾害以及涉及英国的国际军事危机共同列入安全威胁的最高级别。

随着英国对于整个网络空间安全所受到的危险的认识程度提高，英国政府将网络安全战略同加强行业自律结合在一起。网络观察基金组织（IWF）、互联网服务提供商协会（ISPA）等互联网自律组织基于《RS安全网络协议》具体从事网络内容的日常监管。2011年11月，英国公布新的网络安全战略，致力于建立更加可信和适应性更强的数字环境，以实现经济繁荣，保护国家安全及公众的生活所需；并加强政府与私有部门的合作，共同创造安全的网络环境和良好的商业环境。2014年7月，英国政府召开特别内阁会议，通过了《紧急通信与互联网数据保留法案》，该法案允许警察和安全部门获得电信及互联网公司用户数据，旨在进一步打击犯罪与恐怖主义活动。

欧盟形成立法、战略、实践三大部分的网络安全体系。

在立法方面，2006年3月马德里和伦敦公交系统遭遇恐怖袭击后，欧盟颁布了《数据保留指令》，该指令要求电信公司将欧盟公民的通信数据保留6个月到两年。2016年7月６日，欧洲议会全体会议通过《欧盟网络与信息系统安全指令》，这是欧盟出台的第一个关于网络与信息安全的指导性法规。其主要内容是，要求欧盟各成员国加强跨境管理与合作，制定本国的网络信息安全战略，建立事故应急机制，对各自在能源、银行、交通运输和饮用水供应等公共服务重点领域的企业进行梳理，强制这些企业加强其网络信息系统的安全，增强防范风险和处理事故的能力，明确要求在线市场、搜索引擎和云计算等数字服务提供商必须采取确保其设施安全的必要措施，在发现和发生重大事故后，及时向本国相关管理机构汇报。

在战略方面，2012年3月28日，欧盟委员会发布欧洲网络安全策略报告，确立了部分具体目标，如加强公私部门合作和早期预警，鼓励网络、服务和产品安全性的改善，促进全球响应、加强国际合作等，旨在为全体欧洲公民、企业和公共机构营造一个安全的、有保障的和弹性的网络环境。2012年5月，欧洲网络与信息安全局发布《国家网络安全策略——为加强网络空间安全的国家努力设定线路》，提出了欧盟成员国国家网络安全战略应该包含的内容和要素。2013年2月7日，欧盟委员会颁布了《欧盟网络安全战略：公开、可靠和安全的网络空间》，设定了网络安全五项原则，力图将欧盟建成世界上最安全的上网环境。

在实践方面，2013年1月，欧盟委员会在荷兰海牙正式成立欧洲网络犯罪中心，网络犯罪中心连通所有欧盟警务部门的网络，整合欧盟各国的资源和信息，支持犯罪调查，旨在维护一个自由、开放和安全的互联网，保护欧洲民众和企业不受网络犯罪的威胁。2013年4月，欧洲部分私人网络安全公司联合成立了欧洲网络安全小组，通过联合600多名网络安全专家针对问题作出快速有效的反应，建立伙伴关系。同时可在网络防御政策、风险预防、缓和实践、跨境信息共享等问题上向政府、企业和监管机构提供更有效和实用的建议。

（作者单位：中国人民公安大学）