日本:政府与民间“协同作战”
特点:在网络安全方面,2013年6月10日,日本正式发布《日本网络安全战略》,提出了创建“领先世界的强大而有活力的网络空间”,实现“网络安全立国”的目标。
2014年11月6日,日本国会众议院表决通过《网络安全基本法》,规定电力、金融等重要社会基础设施运营商、网络相关企业、地方自治体等有义务配合网络安全相关举措或提供相关情报,此举旨在加强日本政府与民间在网络安全领域的协调和运用,更好应对网络攻击。该法还规定,日本政府将新设以内阁官房长官为首的“网络安全战略本部”,协调各政府部门的网络安全对策,与日本国家安全保障会议、IT综合战略本部等其他相关机构加强合作。
在消灭垃圾邮件、计算机病毒以及保护网民隐私信息方面,日本也有明确的法律。日本2011年对《刑法》进行了部分修正,要求网络运营商原则上保存用户30天上网和通信记录,根据必要还可以再延长30天。2015年1月8日,日本总务省就网络接入服务提供商如何保存用户的通信记录召开专家会议进行了讨论,拟明确此前由服务商自行确定的保存的内容和时长。
此外,日本还采取了完善信息安全机构、扩充网络安全力量、健全信息安全保障机制、研发网络安全技术、举行信息安全演习、举办黑客技术比赛、严厉打击网络违法行为、广泛开展交流合作等一系列举措,加强信息网络安全建设。
新加坡:内容管制和信息保护不可偏废
特点:新加坡在网络安全立法主要涉及对网络内容安全、垃圾邮件管控和个人信息保护等方面。主要立法包括:《国内安全法》、《个人信息保护法》、《垃圾邮件控制法》、《网络行为法》、《广播法》、《互联网操作规则》等。
《国内安全法》是新加坡国家安全的基础性法规,其在管理网络安全方面规定了禁止性文件与禁止性出版物,互联网服务提供商的报告义务,以及为了维护国家安全,国家机关拥有的调查权与执法权。《网络行为法》同样也明确规定了对网络内容进行管制的条款。此外,《广播法》与《互联网操作规则》则较为具体的规定了网站禁止发布的内容,如规定互联网禁止出现危及公共安全和国家防务的内容等,同时明确网络服务提供商与网络内容提供商在网络内容传播方面负有无可推卸的责任,包括其负有的审查义务、报告义务和协助执法的义务。《互联网操作规则》明确规定互联网服务提供者和内容提供商应承担自审义务,配合政府的要求对网络内容自行审查,发现违法信息时应及时举报,且有义务协助政府屏蔽或删除非法内容。
保护个人信息及隐私最早体现在新加坡政府与互联网服务商共同制定的《行业内容操作守则》中,其规定互联网服务必须尊重用户的个人资料。个人信息保护的专项立法是2012年10月新加坡国会通过的《个人信息保护法案》,该法案的制定目的在于保护个人信息不被盗用,或滥用于市场营销等途径。法案规定,机构或个人在收集、使用或披露个人资料时必须征得同意,必须为个人提供可以接触或修改其信息的渠道。手机软件等应用服务平台也属于该法案的管控范围,法案规定禁止向个人发送市场推广类短信,用网络发送信息的软件也同样受到该法案的管制。
印度:“母法”和部门法规相辅相成
特点:印度以《信息技术法》的专门立法为中心,各部门法相关规定相辅佐,形成点、线、面结合的互联网法律体系。
2000年是印度互联网发展史上具有里程碑意义的一年,2000年5月,内阁议会通过了《信息技术法》,并于2000年8月15日正式生效。该法的立法目的之一,便是规范电子商务活动,防范与打击针对计算机和网络的犯罪。《信息技术法》第九章规定了8类行为构成“破坏计算机和计算机系统”犯罪,一经查实,犯罪者要负担的民事赔偿金额最高可达1000万卢比(约合200万元人民币)。这八类行为包括未经许可侵入他人计算机、计算机系统和网络,私自下载他人计算机或系统中的数据信息,制造和散播计算机病毒等。第十章规定了“网络上诉法庭”用以专门受理计算机和互联网领域的争议案件。详细规定了网络上诉法庭的人员组成、法庭组成、管辖范围、审理程序和权限。第十一章详细规定了计算机相关犯罪。如篡改计算机源文件即故意隐瞒、销毁、破坏、更改计算机源代码的行为可判处3年监禁或多达2万卢比的罚款。
印度在2006年和2008年修正又增加了很多新的计算机犯罪类型。两次修改主要是对新型的网络犯罪作出了规定,并在2008年的修正案中重点规定了网络恐怖主义的内容,将网络反恐上升到了新的高度。规定通过拒绝计算机访问或未经授权企图侵入计算机系统或引起计算机病毒传播等方式威胁印度的领土完整和主权统一以及引起人民的恐慌、或通过其他类似手段导致人们生命财产受到损害、对人民必不可少的生活设施以及关键信息基础设施造成破坏的行为,以及未经授权侵入或访问因国家安全或外交关系原因采取了访问限制手段的信息、数据或计算机数据库的行为。
该法案被认为是规范互联网的“母法”,针对该法案,自2000年开始,印度先后出台了一些相关的法律法规,并在2006年和2008年出台了修正案,同时,印度刑法典、刑事诉讼法、银行法、证据法也进行了相应的修改以适应信息网络发展的要求。至此,印度形成了以《信息技术法》的专门立法为中心,各部门法相关规定相辅佐,政府政策为指导的国家互联网管理法律体系。
国外网络安全立法对我国的启示
通过立法保障网络安全已成为全球各国的共识,分析来看,我国网络安全立法可借鉴国外在网络安全方面的立法、战略和实践三大方面。
中国的网络安全法应当立足全球视野,全面覆盖“国际法层面”、“国家安全层面”、“社会安全层面”和“企业个人安全层面”的网络安全内容。
在国际法层面,包括国家网络主权、国际条约适用等,可参考欧洲理事会《网络犯罪公约》;在国家安全层面,包括国家权力与责任等,可以参考美国《2001年爱国者法》、《2002年国土安全法》第225条“网络安全加强法”;在社会安全层面,包括网络安全人才培养、网络安全研究、网络安全技术标准制定等,可参考美国《2010年网络安全法案》、《2010年网络安全加强法案》;在企业个人安全层面,包括电子商务安全、个人信息安全等,可参考美国1997年《全球电子商务框架》、《2005年个人数据隐私与安全法》。此外,还可借鉴印度的做法,以《网络安全法》为基础,同时对《刑法》、《网络信息传播条例》等法律法规和部门规章进行调整,形成以《网络安全法》为中心,各部门法相辅相成的网络安全法律体系。
在战略层面不断适应新形势,出台国家战略维护网络安全。
可借鉴欧盟的做法,成立网络安全保障机构,为政府网络安全项目提供战略指引,以此来增进国家对于网络空间和信息安全的保障。此外,适应信息技术的发展和恐怖主义新态势的出现,时隔相应周期则更新出台新的“国家安全战略”,为新形势下的国家、政府、社会和个人网络安全提供战略指导。
可借鉴澳大利亚的做法,根据我国互联网的现状和特点,制定信息安全的战略或规划,明确不同阶段的信息安全目标,划定政府部门、运营商及用户保护信息安全的责任。
在实践上,应加强公私部门合作,加大网络安全保障力度。
可借鉴英国、欧盟等的做法。一是成立网络犯罪中心,科学合理地划分各个部门的职责;建立情报事务处理部门,负责网络安全威胁信息的搜集与研判;建立网络安全国际合作部门,负责加强国际网络安全合作。
二是加强公私部门之间的联动机制,发挥公私部门的优势。引导私营部门成立网络安全小组或协会,加强业内之间、业内与政府之间的网络安全威胁信息共享与沟通,提升应对网络威胁和攻击的能力;同时可加强产学研和政企合作,通过企业与高校合作、政府与企业合作、政府与高校合作等多方机制,培养高学历、高水平的网络安全人才。
