我國網路安全信息共享立法的基本思路和制度建構
文 · 劉金瑞
題圖 網路
來源 《暨南學報》2017年第 5 期
【摘要】網路安全信息共享制度具有重大的實踐價值,已成為各國網路安全立法的重點議題,但在隱私權保護、反壟斷、責任承擔和政府許可權等方面也引發了不少爭議。域外法治框架以美國《網路安全信息共享法》為典型代表,界定了應共享的網路安全信息的類型;規定了聯邦政府和非聯邦主體的網路安全信息共享;規定了私主體隱私、自由等權利的保護和共享信息的責任豁免;限制了政府對共享信息的後續利用。在借鑒國外立法經驗的基礎上,對我國未來立法提出如下建議:明確網路安全信息共享的定位和範圍,不僅限於關鍵信息基礎設施保護;規定網信部門負責領導協調信息共享,確立具有軍民融合特色的行政體制機制;規定強制義務與責任豁免相結合,以促進私主體參與信息共享;平衡信息共享與私權保護的關係,避免政府濫用共享信息。
隨著人類社會越來越依賴網路信息系統,網路攻擊和網路威脅也愈演愈烈,如何確保網路信息系統尤其是關鍵基礎設施及其存儲和傳輸信息的安全,成為各國網路空間安全的重要議題。近年來,各國在制定網路安全政策和立法中普遍認為,及時有效地交換共享網路安全信息是防止和應對網路安全威脅和事件的重要舉措。
近期通過的美國《網路安全信息共享法》和歐盟《網路和信息系統安全指令》都對此有較為全面的規定。我國《網路安全法》第三十九條規定「促進有關部門、關鍵信息基礎設施的運營者以及有關研究機構、網路安全服務機構等之間的網路安全信息共享」;第二十五條規定網路運營者應「按照規定向有關主管部門報告」網路安全事件;第五十一條規定「國家建立網路安全監測預警和信息通報制度」。
但這些規定相對比較原則和簡單,如何構建我國網路安全信息共享制度成為貫徹網路安全法、確保我國網路安全亟待研究的重大問題。目前,作為《網路安全法》重要配套規定的《關鍵信息基礎設施安全保護條例》正在加緊制定,而網路安全信息共享制度正是關鍵信息基礎設施保護的重要內容。在這一背景下,本文著重研究和分析了美國和歐盟相關立法的最新進展,並在比較觀察的基礎上提出建立我國網路安全信息共享制度的思考建議。
一
網路安全信息共享議題及其法治化概述
所謂網路安全信息共享,是指與網路信息系統及其存儲傳輸信息的安全有關的一系列信息的交換,這些信息包括但不限於系統風險、程序漏洞、網路威脅、安全管理漏洞以及網路安全應對措施和良好實踐等。網路安全信息共享的內在邏輯在於,有效的網路安全必須基於對潛在威脅的強大認知以及對應對此種威脅最佳方式和策略的廣泛傳播。
(一)網路安全信息共享制度的目標和價值
網路安全信息共享制度實際上是一種風險社會多利益主體協同共治的模式,共同面臨網路安全威脅的多個主體通過相互分享安全信息,提升安全信息共享組織體中每個參與者的網路安全策略和行為,減少同一風險所可能造成的威脅或危害,進而實現降低整個群體所面臨的網路安全風險的目標。
這種制度的重大價值,美國國家標準技術研究所(NIST)在其2016年10月發布的新版《網路威脅信息共享指南》中給出了較為全面的總結,包括共享態勢感知(Shared Situational Awareness)、提升安全姿態(ImprovedSecurity Posture)、增強認知成熟度(Knowledge Maturation)以及提高防禦的敏捷性(Greater Defensive Agility)等四個方面。正是因為這一制度具有重要的實踐意義,美國、歐盟等從很早就開始探索和發展網路安全信息共享的政策和立法。
實踐中,圍繞特定行業和領域進行網路安全信息共享的成效較為明顯,原因在於特定領域的從業者往往使用相同類型的信息系統、存儲傳輸相同類型的數據,也面臨著比較類似的威脅類型和攻擊手段。因此,無論是美國的信息共享和分析中心(ISAC),還是歐盟的信息交換組織(IE),都是按照行業導向建立的,這些行業性的信息共享組織對於形成信息共享行業標準、提升整個行業的網路安全水平發揮了重要作用。
(二)全球網路安全信息共享立法的基本進程
美國最早開始探索網路安全信息共享的立法。早在1998年,柯林頓簽署頒布《第63號總統決策指令》(PDD -63),規定聯邦調查局內部的「國家關鍵基礎設施保護中心」(NIPC)負責政府和私營行業之間的安全信息共享,私營行業建立信息共享和分析中心(Information Sharing and Analysis Center, ISAC),負責私營業者之間以及行業與政府之間的安全信息交換。美國9·11事件之後,《國土安全法》鼓勵發展不以行業導向為要求的「信息共享和分析組織」(Information Sharing and Analysis Organizations, ISAO),國土安全部發展出了「關鍵基礎設施保護行政通知服務處」(ENS )、「關鍵基礎設施警告網路」(CWIN)、國土安全信息網路(HSIN)等一系列安全信息交換系統和機制。
奧巴馬政府上任之後,積極推進網路安全的綜合性立法,但相關立法建議因爭議較大一直無法獲得國會通過,只能先通過了《第13636號行政命令》(E. O.13636)、《第13691號行政命令》(E. O.13691)等繼續推進網路安全信息共享。因為限於總統行政權力有限,行政命令建立的信息共享框架無法創設新的機構,也無法規定鼓勵企業共享信息的責任豁免,奧巴馬從第二任期開始繼續推進相關國會立法,僅第114屆國會就提出了H. R.234、 H. R.1560、 H. R.1731、 S.456和S.754等五部法案。經過漫長的討論和修改,美國《網路安全信息共享法案》(Cybersecurity Information Sharing Act, CISA)終於在2015年10月27日獲得通過,並於2015年12月28日經奧巴馬簽署生效。
歐盟在2004年關於打擊恐怖主義中保護關鍵基礎設施的通報中,明確指出了網路安全信息共享的重要性,並強調應平衡其與市場競爭、責任承擔和敏感信息保護的關係。2006年發布的歐盟《確保信息社會安全戰略》和2013年發布的《歐盟網路安全戰略:開放、安全和可靠的網路空間》,都包括了增強成員國、公共部門、私營部門和私人用戶之間的網路安全信息共享的內容。歐盟自2013年開始推動網路安全的綜合性立法,最終於2016年7月6日正式通過了「確保歐盟統一、高水平網路與信息系統安全之相關措施的指令」(Network and Information Security Directive,以下簡稱NIS指令)。
歐盟NIS指令通過建立計算機安全事件響應團隊和確立網路安全事件報告義務,構建了網路安全信息共享機制以應對網路安全威脅。各成員國計算機安全事件響應團隊的職責在於:監測全國範圍的網路安全事件,向相關利益方提供網路安全風險和事件預警、警報、通知和信息傳播,應對網路安全事件,提供動態的風險事件分析和態勢感知等。指令要求,在各國響應團隊的基礎上,連同歐盟計算機應急響應團隊(CERTEU),構成歐盟計算機安全事件響應團隊網路(CSIRTs network),其職責在於網路安全事件信息交換、為成員國處置跨境安全事件提供支持、探索和認定進一步業務合作的形式等。
NIS指令將重要信息系統運營者區分為「基本服務運營者」和「數字服務提供者」,規定前者有義務報告對其服務持續性造成重大影響的網路安全事件,後者有義務報告對其服務提供具有實質影響的網路安全事件。為了鼓勵基本服務運營者和數字服務提供者履行報告義務的積極性,NIS指令明確規定不得加重報告主體的法律責任。對於非納入監管的其他主體,各國可以建立自願報告制度,但不得使自願報告主體因報告行為而陷入法律的不利地位。
(三)域外網路安全信息共享法治的基本框架
從域外網路安全信息共享立法的基本進程和側重點來看,網路安全信息共享制度的核心架構包括兩個方面的內容:一是設計機制共享對網路安全威脅的認知,二是設計機制共享應對網路安全威脅的措施。從信息共享參與的主體看,包括政府部門、私營主體和行業組織。
各國網路安全信息共享的法治化架構就是圍繞上述兩方面內容和三大類主體展開,主要規定包括以下幾個方面:
(1)所共享網路安全信息的類型;
(2)網路安全信息共享的領導部門和參與主體;
(3)對私營主體共享網路安全信息的激勵措施;
(4)共享網路安全信息與信息上其他保護權益的平衡;
(5)對政府所獲網路安全信息後續使用的限制;
(6)網路安全信息共享的程序機制,涉及政府部門之間的共享、私營主體之間的共享以及政府部門與私營主體之間的共享等三種情形。
(四)網路安全信息共享立法引發的爭議問題
從世界範圍的網路安全信息共享立法尤其是探討較為深入的美國立法看,信息共享立法引發的爭議問題和重點難點就在於如何在共享網路安全信息和保護所涉信息其他權益之間達成平衡。這涉及以下的利益衝突和法律衝突:
(1)可能違反隱私和個人信息保護的規定。
例如美國《電子通信隱私法》(ECPA)對於電子通信監聽規定了一般性禁止,授權運營者監視自身信息系統的網路安全威脅就會違反這一規定。歐盟將個人數據保護上升到人格尊嚴的高度並不斷強化個人對其數據的控制權,美國對消費者個人的信用信息、金融數據、教育信息和健康信息等也有專門性規定,如果共享的安全信息涉及可識別的個人信息,就可能違反這些個人信息保護的專門性規定。
(2)可能違反反壟斷法的規定。
反壟斷法主要規制的行為,根據我國《反壟斷法》的規定,主要包括達成壟斷協議、濫用市場支配地位以及限制競爭的經營者集中等,其中壟斷協議是指就商品價格、市場銷售、技術和產品使用等達成協議。如果不同經營者為了防禦網路安全威脅而共享網路安全信息、採取一致行動,如採用某種技術或者借口防禦威脅增加成本而聯合漲價等,都可能違反反壟斷法的相關規定。
(3)可能讓信息共享主體承擔更多責任或陷入不利地位。
例如,不論是對政府部門還是私營機構,共享網路安全信息往往就要承認自身已遭受網路攻擊或發生數據泄露,這可能引發消費者提起侵權之訴,或者可能追究因違反信息保護義務而構成的法律責任。例如,企業共享網路安全信息,可能泄露類似商業秘密等商業信息,企業可能會喪失競爭優勢或在市場競爭中陷入被動。再如,企業為了應對網路安全威脅而共享給政府的信息,可能會被政府作為執法證據,追究企業的某些法律責任。正因為此,企業一般不願與政府共享涉及商業利益的信息。
(4)可能會便利政府網路監控項目的實施。
以美國為例,2015年6月通過了《美國自由法》,規定美國國家安全局將逐步將大規模電話元數據收集項目轉給電信公司,只有存在證據證實某人或某個組織有恐怖活動嫌疑時才可向電信公司索取相關數據。但美國隨後通過的《網路安全信息共享法》授權私主體可以監視信息系統及其傳輸的信息,私主體可以主動與政府共享網路安全信息,這實際上為政府通過企業監控網路提供了可能的便利條件。
二
域外網路安全信息共享立法的制度設計——以美國為例
網路安全信息共享的意義重大,但也存在著較大的爭議,如何平衡多種利益而設計妥當的法律制度,是各國立法共同面臨的挑戰。美國於2015年10月通過的《網路安全信息共享法》(CISA)是目前此領域較為全面和深入的立法,美國國土安全部根據該法會同有關部門制定了四個相關程序和指南,包括「聯邦政府向非聯邦主體共享網路威脅信息的程序規定」、「非聯邦主體向聯邦機構共享網路威脅信息指南」、「聯邦政府接收網路威脅信息程序」和「隱私和公民自由保護指南」。本部分通過分析CISA及配套規定,探究美國信息共享的法治框架尤其是針對爭議問題的制度設計,以資借鑒。
(一)界定了應共享的網路安全信息的類型
《網路安全信息共享法》(CISA)是美國關於網路安全信息共享的第一部綜合性立法,也是奧巴馬政府最重要的網路安全綜合性立法成果。該法授權政府機構、企業以及公眾之間可以在法定條件和程序下共享網路安全信息,並將網路安全信息界分為「網路威脅指標」(cyber threat indicator)和「防禦措施」(defensivemeasure)兩類信息。
所謂「網路威脅指標」是指描述或識別以下情形的必要信息:
(1)惡意偵查,包括為了收集與網路安全威脅或安全漏洞相關的技術信息的通信流量異常;
(2)突破安全措施或者挖掘安全漏洞的方法;
(3)安全漏洞,包括顯示安全漏洞存在的異常活動;
(4)造成合法訪問信息系統或該系統所存儲、處理或傳輸信息的用戶不經意使得安全措施失效或安全漏洞被挖掘的方法;
(5)惡意的網路命令或控制;
(6)安全事件所造成的實際或潛在損害,包括特定安全威脅所造成的信息泄露;
(7)其他並非法律禁止披露的網路安全威脅的屬性;
(8)上述情形的任意組合。
所謂「防禦措施」是指檢測、防止或減輕信息系統或其所存儲、處理或傳輸信息的已知或者潛在網路安全威脅或安全漏洞的行為、設備、程序、簽名、技術或其他措施。但應排除破壞、癱瘓、提供未經授權訪問或實質性危害信息系統或者信息系統數據的措施,只要這些系統或者數據不屬於實施該措施的私主體、不屬於向實施該措施的私主體授權提供同意或已經提供同意的其他主體或聯邦主體。CISA就是圍繞「網路威脅指標」和「防禦措施」建立了美國網路安全信息共享的基本法治框架。
(二)規定了聯邦政府的網路安全信息共享
對於非機密的「網路威脅指標」和「防禦措施」, CISA授權聯邦政府不僅可以在政府機構間共享,也可以與企業和公眾分享;機密的網路安全信息在政府機構之外的共享,僅限於具有適當安全資質的主體;要求聯邦政府定期發布「網路安全最佳實踐」,以幫助小型企業應對其面臨的網路安全挑戰。
CISA要求制定專門的程序來實現上述分享,這一程序要滿足以下要求:
(1)確保聯邦政府有能力在滿足保護機密信息的前提下,實現網路安全信息的實時分享;
(2)最大可能地整合聯邦機構、非聯邦主體在信息共享方面已有的程序、角色和職責,這包括分行業的信息共享和分析中心(ISAC);
(3)對接收錯誤的或者違反CISA及其他法律要求的網路安全信息的主體,要建立及時通知程序;
(4)要求聯邦機構採取安全措施保護共享的網路安全信息不受未經授權的訪問或獲取;
(5)要求聯邦機構審查或者利用技術手段移除任何與網路安全沒有直接關係的、在分享時知道是特定主體的個人信息或可以識別特定個人的信息;
(6)聯邦機構違反CISA共享個人信息,對這些信息所涉及的美國人,要建立及時通知程序。
(三)規定了非聯邦主體的網路安全信息共享
CISA授權非聯邦主體為了網路安全目的(cybersecuritypurposes)可以與聯邦機構和其他非聯邦主體共享「網路威脅指標」和「防禦措施」。所謂的「網路安全目的」是指保護信息系統或者其所存儲、處理或傳輸的信息免受網路安全威脅或安全漏洞。所謂的非聯邦主體包括私主體、非聯邦政府機關以及州、部落或地方政府。這裡的聯邦機構包括了美國國防部(含國家安全局)、國家情報總監辦公室、國土安全部、司法部等重要情報部門。
CISA要求非聯邦主體採取安全措施保護共享的網路安全信息不受未經授權的訪問或獲取,遵從關於這些信息合法使用或共享限制的規定,並且審查或者利用技術手段移除任何與網路安全沒有直接關係的、在分享時知道是特定主體的個人信息或可以識別特定個人的信息。
CISA理順了聯邦政府接收網路安全信息的機制,規定國土安全部(DHS)應該發展和實施特定的能力和程序(capability and process)來實時接收非聯邦主體分享的網路威脅指標和防禦措施,並將這些網路安全信息在聯邦機構之間通過信息系統自動共享。這些程序包括自動指標共享程序(Automated Indicator Sharing, AIS)、電子郵件、網路表格等。不過,聯邦機構和非聯邦主體關於已經共享的網路安全信息的溝通,以及聯邦監管機構與被監管主體關於網路威脅的溝通並不適用國土安全部的專用程序。
國土安全部的信息共享程序,不是限制或禁止非聯邦主體其他向聯邦機構合法披露涉及網路安全信息的行為,這包括報告犯罪活動、參與聯邦調查以及遵守其他法定或意定的合同要求等。
(四)規定了私主體共享信息的責任豁免
CISA授權私主體為了網路安全目的(cybersecuritypurposes),可以監視信息系統和實施防禦措施。私主體可以監視其自身的信息系統、經其他主體授權或書面同意的其他非聯邦主體和聯邦機構的信息系統,以及在這些信息系統中存儲、處理或者傳輸的信息;可以對其自身的信息系統、經其他主體授權或書面同意的其他非聯邦主體和聯邦機構的信息系統實施防禦措施。CISA明確規定,私主體監視信息系統和信息、共享和接受網路安全信息,只要符合CISA的法定要求,就不會因此而承擔法律責任。
CISA並非設定了網路安全信息共享的強制性義務,其規定不能解釋為允許聯邦機構:要求非聯邦主體向聯邦機構或非聯邦主體提供信息;以非聯邦主體向其或其他非聯邦主體提供網路威脅指標,作為其與該非聯邦主體共享網路威脅指標的條件,或者作為該非聯邦主體獲得聯邦撥款、合同或採購的條件。任何私主體不會因選擇不參加自願的網路安全信息共享而承擔法律責任。
CISA對於網路安全信息共享和網路安全協助規定了反壟斷責任的豁免。兩個或多個私主體,為了網路安全目的交換或提供網路威脅指標,提供防止、調查或減輕網路安全威脅的協助,並不構成對反壟斷法的違反。當然,CISA並不允許聯合定價、市場壟斷等破壞市場競爭的行為。
(五)規定了個人隱私、自由等私權利的保護
根據上文所述,CISA規定聯邦機構和非聯邦主體都要審查其所共享的網路安全信息中的個人信息,並移除與網路安全威脅沒有直接關係的個人信息。除此之外,CISA要求國土安全部長和司法部長聯合制定隱私和公民自由保護指南,這一指南需要包括以下內容:
(1)限制本法規定的聯邦政府活動對隱私和公民自由的影響;
(2)限制含有個人信息的網路威脅指標的接收、留存、使用以及傳播,對相關網路威脅指標規定留存期限,對與本法授權使用無直接關係的信息,建立發現後及時移除程序;
(3)採取安全措施保護含有個人信息的網路威脅指標不受未經授權的訪問或獲取,包括規定政府機構工作人員違反指南時的適當處罰;
(4)對所共享的信息不構成網路安全指標的主體,建立通知程序;
(5)最大限度保護含有個人信息的網路威脅指標的秘密性,並且告知接收者只能在本法授權的目的下使用這些指標。
CISA明確規定,與聯邦政府共享的網路安全信息,並非放棄其本身的法定特權和保護,包括商業秘密的保護;並不適用聯邦、州和地方信息自由法公開披露的規定;並不適用行政法上單方面接觸(ex parte communications)的限制;共享信息的非聯邦主體的商業性、金融性和財產性信息仍受保護。
(六)限制了政府所獲共享信息的後續利用
CISA限制政府通過共享獲得的網路安全信息的用途,以避免政府利用這些信息對分享主體造成不利影響。對於通過合法共享而獲得的網路威脅指標和防禦措施,聯邦政府的披露、留存或者使用只限於以下情形:
(1)網路安全目的;
(2)識別網路安全威脅或者安全漏洞;
(3)應對、防止或者減輕特定的死亡威脅、嚴重的人身或經濟損害,包括恐怖主義行為或大規模殺傷性武器的使用;
(4)應對、調查、追訴、防止或者減輕對未成年人的嚴重威脅,任何可能由(3)所列情形引發的犯罪行為,或者與欺詐、身份盜竊、間諜、審查或商業秘密保護相關的特定犯罪行為。
對於通過合法共享而獲得的網路威脅指標和防禦措施,州、部落或地方政府不得用於監管非聯邦主體的合法行為或非聯邦主體根據強制性標準而採取的行為。但是州、部落或地方政府在防止或減輕信息系統網路威脅的監管權範圍內,可以將這些網路安全信息用於通報特定信息系統監管措施的進展或實施。
此外,CISA還規定了聯邦主要機構向國會定期報告制度,以有利於國會獲知信息共享的成效和確保對政府活動的監督。要求報告的內容包括:信息共享措施的實施情況;信息共享政策、程序和指南的遵從情況;將個人數據從共享的信息中移除來保護個人隱私的情況,以及這些保護措施的充分性;美國所面臨網路安全威脅的情況等。
三
關於我國網路安全信息共享立法的建議
從各國立法看,網路安全信息共享可以分為政府部門之間的共享、私營主體之間的共享以及政府部門與私營主體之間的共享等三種情形。政府部門之間的共享通過行政權力統一安排,私營主體之間的共享以自願加入為原則,並不存在大的爭議。立法的重點難點是政府部門與私營主體之間的網路安全信息共享,這包括政府的信息分享給私營主體和私營主體的信息分享給政府兩個維度。雖然這一立法難點存在較大爭議,但從域外立法看可以通過設計妥當制度來實現利益平衡。
我國《網路安全法》在第三十九條把促進「網路安全信息共享」作為關鍵信息基礎設施保護的重要措施,但信息共享的制度價值絕非僅限於關鍵信息基礎設施保護的範圍;在第二十五條和第五十一條規定了網路安全事件報告和通報,只是側重網路安全事件的報告通報,並沒有充分規定網路威脅應對措施的共享。這些規定只是開始關注了網路安全信息共享的某些方面,遠未將其上升到制度層面。以下借鑒美國、歐盟的相關立法和立法議案,結合我國的具體國情,尤其是針對一些重點難點問題,堅持利益平衡的原則,提出建構我國網路安全信息共享制度的建議。
(一)明確界定網路安全信息共享的定位和範圍
網路安全信息共享制度的定位,取決於信息共享的範圍,信息共享的範圍又是由可共享信息的類型、可獲得共享信息的主體以及共享信息可允許的用途所決定的。我國《網路安全法》將「信息共享」規定在關鍵信息基礎設施保護部分,一定程度上限定了所能共享的信息只是關於關鍵信息基礎設施的信息,這實際上限制了網路安全信息共享制度價值和功能的發揮。建議抓住《關鍵信息基礎設施安全保護條例》制定的立法契機,在條例中確立我國網路安全信息共享制度的基本框架,但之後時機成熟時仍有必要制定專門的網路安全信息共享立法。
對於網路安全共享信息的類型、主體和用途,可以有不同的制度設計方案,本文結合相關方案給出傾向性建議,但未來我國立法可根據具體情況予以選擇。
(1)共享信息的類型:
有的立法採用一般規定加具體列舉的方式寬泛界定網路安全信息,幾乎涵蓋了所有涉及網路安全的信息,例如CISA將共享信息分為「網路威脅指標」和「防禦措施」兩類,並具體列舉了網路威脅、安全漏洞、應對技術措施等;美國國家標準技術研究所(NIST)將網路威脅信息的類型分為指標(Indicators),策略、技術和程序(Tactics, techniques, and procedures, TTP),安全警報(Securityalerts),威脅情報報告(Threat intelligence reports),工具配置(Toolconfigurations)。但有的立法建議卻將共享信息限定在有限的範圍,例如美國參議院《2015年網路威脅共享法案》(S.456, CTSA)並未規定相關主體可以共享網路安全策略。建議我國立法可以採用「網路威脅」和「防禦措施」的分類。
(2)可獲得信息的主體:
有的立法授權私主體可以自願與任何其他主體無論是政府部門還是其他私主體共享網路安全信息。例如CTSA授權私主體可以與聯邦機構和其他非聯邦主體共享。而有的立法建議卻對此作出限制,例如CTSA規定私主體只能與「信息共享和分析組織」(ISAO)和「國家網路安全和通信整合中心」(National Cybersecurity and Communications Integration Center,NCCIC)共享信息,也沒有規定私主體之間可以不通過ISAO共享網路安全信息。建議我國立法授權私主體既可以與政府部門也可以和其他私主體共享信息。
(3)共享信息的後續用途:
所有立法和立法建議都對共享信息的後續用途作出了限制規定,只不過限制性規定的程度不同。例如,美國《網路情報共享和保護法案》(H. R.234,以下簡稱CISPA)規定分享的情報只能用於「網路安全目的」,也規定分享主體可以對共享信息後續使用附加任意限制。CISA規定為了「網路安全目的」共享信息的一般性限定,也對政府後續使用共享信息作出了詳盡的限制性規定。建議我國立法也應確立共享信息用於網路安全這一基本原則,並對政府部門使用私主體共享的信息作出限制性規定。
(二)確立我國網路安全信息共享的行政體制
廣泛存在於政府部門之間、政府部門和私營主體之間的網路安全信息共享,需要強有力的行政體制機製作為保障。 CISA確立了美國國土安全部(DHS)領導網路安全信息共享的中心地位,但同時規定美國國家情報總監(DNI)、國防部(DOD)、司法部(DOJ)與國土安全部一起制定聯邦機構之間網路安全信息共享的程序機制。鑒於網路安全信息很多時候也就是國家網路安全情報,美國稍早一些的立法議案曾建議將國家情報總監或者國防部作為信息共享的主要領導機關。美國2014年通過立法進一步強化了國土安全部下屬的「國家網路安全和通信整合中心」(NCCIC)職能,其負責整合國家情報總監、國土安全部、國防部和司法部之間的信息共享;2015年成立了國家情報總監下屬的網路威脅情報整合中心(Cyber Threat Intelligence Integration Center, CTIIC),該中心將為NCCIC和其他機構防禦網路威脅和應對突發事件提供支持。
我國《網路安全法》第八條規定「國家網信部門負責統籌協調網路安全工作和相關監督管理工作」,第三十九條規定國家網信部門負責領導關鍵信息基礎設施保護的網路安全信息共享。《國家安全法》第五十一條規定「建立情報信息工作協調機制,實現情報信息的及時收集、準確研判、有效使用和共享」,第五十二條規定「國家安全機關、公安機關、有關軍事機關根據職責分工,依法搜集涉及國家安全的情報信息」。
考慮到網路安全大多涉及國家安全,建議未來我國立法在規定國家網信部門負責統一領導協調我國網路安全信息共享工作的同時,規定國家安全機關、有關軍事機關、公安機關、工信部門作為重要的協同領導部門。需要指出的是,網路安全信息共享尤其要注意發揮我國軍事機關的重要作用,要充分發揮軍隊在情報工作方面的獨特優勢和重要經驗。我國近期成立了中央軍民融合發展委員會,對推動軍民融合深度發展作出了重大部署。網路安全領域軍民融合的核心就是共享信息和技術,政府部門和私營主體之間的網路安全信息共享就是軍民融合的典型實例,美國的NCCIC和CTIIC實際上都體現了這一點。
為充分實現信息的交換共享,要建立具體的行政保障機制:
一是要建立網路安全信息共享的政府企業合作機制。在政府部門分工確定主管行業的基礎上,鼓勵引導各個行業領域成立自身的行業協作委員會,授權政府主管部門和相應的行業協作委員會建立公私合作夥伴關係。公私合作夥伴關係的主要職能在於:私營部門通過這一機制反映自身面臨的網路安全威脅,並協助主管部門制定行業網路安全信息共享計劃;國家網信部門等國家機關通過這一機制廣泛徵求產業界的意見,在制定網路安全信息共享政策和標準等過程中,充分反映行業的最佳實踐。
二是要授權國家網信部門建立專門的國家網路安全信息共享中心。目前,我國雖然已建立國家網路與信息安全信息通報中心、國家計算機網路應急技術處理協調中心等網路安全事件監測、通報和處置機構,但力量比較分散,缺乏協調整合,與企業和行業組織的聯繫還不夠充分。建議未來立法授權成立國家級信息共享中心,該中心負責發展相應的信息交換技術和共享標準,定期公布行業的最佳實踐,為中小企業網路安全信息共享提供建議指南。此外,應授權政府各主管部門根據網路安全信息的分級,在國家級信息共享中心的支持下,積極發展多層次多渠道的信息共享機制,推動建立私營行業之間的網路安全信息交換組織。
(三)規定強制義務與責任豁免相結合,以促進共享
私主體不願意與政府部門共享其掌握的網路安全信息是信息共享立法的難點問題之一。對此問題的解決有兩種方式:
一是規定部分私主體有信息共享義務,以強制其參與共享。即規定私主體有義務去監視自身信息系統的網路安全威脅,並將相關信息與其他私主體或政府部門共享,否則要承擔相應的法律責任。在美國,規定強制性信息共享義務,面臨較大的憲法障礙,很可能構成與憲法第四修正案的禁止無理搜查和扣押、憲法第一修正案的言論自由相衝突;而且監視信息系統和分享信息給政府,可能會涉及有關主體的個人信息,可能會構成對個人信息和隱私的侵害,受到民眾的較大反對。正是因為爭議較大,當前各國信息共享的主要立法模式是自願共享,美國CISA並未對私主體設定強制信息共享義務;歐盟NIS指令確立的網路安全事件報告義務,具體監管往往是依靠行業最佳實踐來確定,也並非規定了強制性的監管義務。
但是自願共享模式很難保證相關主體及時分享重要的安全信息,很難切實保障網路安全。鑒於此,建議我國未來立法對極其重要的關鍵信息基礎設施規定強制性的監管義務和標準,此種強制性要求應包括網路安全信息報告和共享的義務。雖然我國關鍵信息基礎設施的具體保護範圍有待進一步明晰,但從域外製度來看,鑒於其直接涉及國家安全往往採用秘密保護制度,對其他私主體個人信息和隱私保護的影響較小,這種強制性義務與其重要性是成比例的,如此才能確保關鍵信息基礎設施的安全。
二是規定私主體的責任豁免,以激勵其參與共享。即規定企業在遵循法定強制標準和按照法定要求共享網路安全信息的情況下,減輕或免除因此而產生的法律責任,以此激勵私營主體主動與政府部門共享網路安全信息。例如,對於遵守監管標準的關鍵基礎設施運營者,可以考慮規定其信息系統被惡意攻擊而導致大規模數據泄露時,可只向消費者承擔補償性賠償責任,而非承擔懲罰性賠償責任。
立法表述上可採用以下多種形式,一是「但書條款」:例如CISA規定,雖然有其他法律規定,但私主體為了網路安全目的,仍然可以監視信息系統和實施防禦措施;二是「責任限制條款」:例如CISA規定只要私主體按照CISA的法定要求監視信息系統,針對該主體的訴因並不存在,法院應該駁回起訴;三是「善意安全港」的規定:例如CISPA規定,如果某一行為欠缺善意,包括故意侵害、詐騙或危害他人的行為,不適用於責任限制條款。
為了提升企業發現網路安全漏洞的能力和打消其因分享信息而承擔責任的顧慮,建議未來我國立法應授權私主體有權監視其負責運營的網路信息系統以及系統內存儲、處理和傳輸的數據,並規定不承擔因此而產生的法律責任。兩個或多個私主體,為了網路安全目的交換網路安全信息或提供相互協助,應規定一般不構成對反壟斷法的違反。對於並未納入強制監管範圍的私營主體,其可自願加入網路安全信息共享機制,只要其按法定要求共享相關信息,可以規定豁免其相應的法律責任。除此之外,還可以考慮政府採購傾斜、稅收減免等激勵措施。
(四)規定利益平衡機制,以避免政府濫用共享信息
公眾對政府部門收集私主體所掌握網路安全信息的擔憂是網路安全信息共享立法的另一難點問題。這些擔憂主要是擔心政府部門獲得這些信息後侵害私主體對這些信息享有的合法權益或者利用這些信息對私主體造成不利,具體可能包括這些共享信息被政府信息公開程序公開、喪失商業秘密等合法權益保護、被作為行政監管的證據以及侵害相關主體隱私和個人信息權益等。建議我國未來立法從以下三個方面作出針對性規定:
一是明確平衡維護網路安全與保護私人權利的關係。在網路安全信息共享中,應尤其重視對私人權利的保護。建議規定政府或其他主體保存、使用或者傳播網路安全信息時,必須保護這些信息里任何可識別的個人信息不被未經授權的披露、處理或者使用。所共享的網路安全信息,應該移除或匿名化其中與網路安全威脅沒有直接關係的個人信息;對於無法移除或匿名化的個人信息,應最大限度地確保其用於法定目的而不被泄露濫用,規定留存這些個人信息的合理期限。在含有個人信息的網路安全信息發生意外泄露事件時,應及時通知這些個人信息所涉及的權利主體。對於政府不同部門信息共享中的個人信息和隱私保護,建議由網信部門牽頭聯合其他部門制定專門的標準或程序。建議規定與政府共享信息和政府使用共享信息時,不能侵害個人隱私、商業秘密、知識產權等合法權益,規定這些信息不適用信息公開的披露義務,不適用行政法上單方面接觸的限制。
二是明確限定政府對所獲共享信息的後續利用。我國《網路安全法》第三十條規定:「網信部門和有關部門在履行網路安全保護職責中獲取的信息,只能用於維護網路安全的需要,不得用於其他用途」,確定了政府履行網路安全保護職責所獲信息用途特定的原則,所獲得的相關信息只能用於維護網路安全的需要,此原則同樣應適於網路安全信息共享領域。
建議進一步細化該原則性規定在網路安全信息共享領域的適用,借鑒美國CISA立法的相關條文,建議規定:對於通過合法共享而獲得的網路安全信息,政府部門的披露、留存、處理或者使用只限於以下情形:
(1)為了網路安全目的;
(2)識別網路安全威脅或者網路安全漏洞;
(3)應對、防止或者減輕對人民群眾生命財產可能造成或已經造成的重大威脅和嚴重損害;
(4)應對、調查、追訴、防止與國家安全、恐怖主義、未成年人保護、電信詐騙、身份盜竊、商業秘密保護等相關的嚴重犯罪行為。政府不得利用這些信息對自願分享主體實施對其不利的監管措施。
三是規定相關的責任機制,確保政府遵守相關規定。可以考慮借鑒CISA所設立的聯邦主要機構向國會定期報告制度,建立我國主要政府部門向全國人大常委會定期彙報制度,主要彙報的內容包括:網路安全信息共享的實施情況;信息共享政策、標準和程序的遵從情況;個人信息和隱私保護的標準、程序和實施成效;我國面臨網路安全威脅的總體情況等。此外,對於政府部門工作人員在網路安全信息共享過程中不遵守個人信息和隱私保護、商業秘密保護規定等情形,可以規定對其處以適當的行政處罰。當然如果是將履行職責或者提供服務過程中獲得的公民個人信息出售或者提供給他人的,要按照《刑法》「侵犯公民個人信息罪」予以從重處罰。(劉金瑞(1987—),男,山東沂南人,中國法學會法治研究所助理研究員,主要從事網路法、信息法和民法研究。)
基金項目:中央馬克思主義理論研究和建設工程重大項目、國家社會科學基金重大項目《全面推進依法治國重大現實問題研究》(批准號:2015MZD042);中國法學會研究課題《我國關鍵基礎設施保護立法研究》(批准號:CLS(2016) D44)。
END
