導(dǎo)讀:本文梳理全球主要國家在 2021 年上半年發(fā)布的政策法規(guī),從國家戰(zhàn)略、新興技術(shù)、數(shù)字治理、供應(yīng)鏈安全和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)等角度,展示全球網(wǎng)絡(luò)安全發(fā)展態(tài)勢。
轉(zhuǎn)眼間,2021 年已過大半?;仡?2021 年上半年,新冠疫情的影響還未消退,網(wǎng)絡(luò)攻擊態(tài)勢卻愈演愈烈。
勒索軟件為代表的安全事件頻發(fā)。據(jù)統(tǒng)計(jì),2021 年平均每 11 秒就發(fā)生一次勒索攻擊事件,預(yù)計(jì)今年全球勒索軟件損失將達(dá)到 200 億美元。5 月,美國最大燃油運(yùn)輸管道公司科洛尼爾和全球最大肉類供應(yīng)商 JBS 集團(tuán)遭勒索攻擊,造成短期內(nèi)石油、肉類供應(yīng)緊張。
數(shù)據(jù)泄露數(shù)量規(guī)模不斷擴(kuò)大,對國家安全、企業(yè)安全、民眾安全均帶來了嚴(yán)重的危害。2021 年以來,社交巨頭LinkedIn 已經(jīng)歷了三輪大規(guī)模用戶個人資料被惡意抓取,共計(jì) 18 億用戶數(shù)據(jù)遭泄露;4 月,F(xiàn)acebook 超 5 億用戶信息泄露,涉及全球 106 個國家。
此外,重大安全漏洞不斷涌現(xiàn),涉及眾多知名廠商。3 月,蘋果公司緊急修復(fù)遠(yuǎn)程命令執(zhí)行漏洞,影響涉及數(shù)十億設(shè)備;4 月,國內(nèi)廠商小米披露了其 MIUI 系統(tǒng)的越權(quán)漏洞預(yù)警,攻擊者可利用該漏洞獲取前臺運(yùn)行進(jìn)程信息;5 月,高通移動調(diào)制解調(diào)器 MSM 芯片被曝存在安全漏洞,影響全球 40% 手機(jī)。
2021 年網(wǎng)絡(luò)安全進(jìn)入新階段:安全事件頻發(fā)、影響日益嚴(yán)重,促使多國競相出臺加強(qiáng)網(wǎng)絡(luò)安全建設(shè)的政策、法律和規(guī)劃。
本文梳理全球主要國家在 2021 年上半年發(fā)布的政策法規(guī),從國家戰(zhàn)略、新興技術(shù)、數(shù)字治理、供應(yīng)鏈安全和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)等角度,展示全球網(wǎng)絡(luò)安全發(fā)展態(tài)勢。
一、多國出臺國家網(wǎng)絡(luò)安全戰(zhàn)略,占據(jù)網(wǎng)絡(luò)空間競爭優(yōu)勢
2021 年上半年,美國、歐盟、英國、俄羅斯、日本等國紛紛出臺國家安全總體戰(zhàn)略,重點(diǎn)加強(qiáng)網(wǎng)絡(luò)安全頂層規(guī)劃建設(shè),力圖在全球網(wǎng)絡(luò)空間激烈競爭局勢中占得先機(jī)。
1. 美國將網(wǎng)絡(luò)安全列為國家優(yōu)先級別
隨著年初美國總統(tǒng)拜登正式上任,加之近期出現(xiàn)的一系列重大安全事件,美國政府加緊出臺新版國家安全總體戰(zhàn)略,并提出將網(wǎng)絡(luò)安全列為國家安全首位。
2021 年 3 月,美國白宮發(fā)布《國家安全戰(zhàn)略臨時指南》,作為拜登政府發(fā)布的第一份全面應(yīng)對國際國內(nèi)局勢的政策指導(dǎo)文件,該指南提出加強(qiáng)美國在網(wǎng)絡(luò)空間中的能力和彈性。通過鼓勵公私合作、加大資金投資、加強(qiáng)國際合作、制定網(wǎng)絡(luò)空間全球規(guī)范、追求網(wǎng)絡(luò)攻擊責(zé)任、增加網(wǎng)絡(luò)攻擊成本等方式保護(hù)美國網(wǎng)絡(luò)安全,同時特別強(qiáng)調(diào)國家網(wǎng)絡(luò)人才庫多樣化的重要性。
2021 年 5 月,美國總統(tǒng)拜登簽署發(fā)布了《改善國家網(wǎng)絡(luò)安全行政令》,旨在從保護(hù)聯(lián)邦網(wǎng)絡(luò)、改善美國政府與私營部門間信息共享以及增強(qiáng)美國對安全事件響應(yīng)能力等方面,提高國家網(wǎng)絡(luò)安全防御能力。美國政府將通過推動聯(lián)邦政府采用零信任架構(gòu)、改善軟件供應(yīng)鏈安全、建立網(wǎng)絡(luò)安全審查委員會以及提升漏洞和事件處置能力等措施,實(shí)現(xiàn)網(wǎng)絡(luò)安全現(xiàn)代化的目標(biāo)。
2021 年 6 月,美國國會參議院高票通過了《2021美國創(chuàng)新和競爭法案》,該法案主要由 1 個撥款方案和4 個相互獨(dú)立的法案構(gòu)成,涉及芯片、5G、航空航天、網(wǎng)絡(luò)安全及人工智能、醫(yī)學(xué)研究、美國制造等多個領(lǐng)域,相關(guān)投資額約 2500 億美元,包括:向半導(dǎo)體制造業(yè)補(bǔ)貼逾 500 億美元;向美國國家科學(xué)基金會(NSF)撥款810 億美元,用于人工智能、計(jì)算機(jī)技術(shù)等 10 個重點(diǎn)領(lǐng)域研究;向 5G 行業(yè)提供 15 億美元以鼓勵技術(shù)創(chuàng)新等。
2. 歐盟制定數(shù)字十年的網(wǎng)絡(luò)安全戰(zhàn)略
歐盟在“戰(zhàn)略自主”的框架下全面提出數(shù)字主權(quán)建設(shè),并計(jì)劃圍繞這一整體戰(zhàn)略出臺一系列政策法規(guī)。未來十年,歐盟將通過大力發(fā)展數(shù)字技術(shù)和數(shù)字基礎(chǔ)設(shè)施,推進(jìn)全球網(wǎng)絡(luò)空間開放合作。
2021 年 3 月,歐盟委員會發(fā)布《關(guān)于歐盟數(shù)字十年網(wǎng)絡(luò)安全戰(zhàn)略的結(jié)論》文件。該戰(zhàn)略于 2020 年 12 月底發(fā)布,旨在增強(qiáng)歐洲抵御網(wǎng)絡(luò)威脅的能力,并指出未來歐盟主要行動包括建立歐盟安全運(yùn)營中心網(wǎng)絡(luò)計(jì)劃;明確歐盟網(wǎng)絡(luò)安全危機(jī)管理框架;加強(qiáng)與國際組織和伙伴國家的合作,以增強(qiáng)網(wǎng)絡(luò)威脅形勢的共識等。
2021 年 3 月,歐盟委員會發(fā)布《2030 數(shù)字指南針:歐洲數(shù)字十年之路》報告,明確了到 2030 年,歐洲數(shù)字化轉(zhuǎn)型的目標(biāo)和實(shí)現(xiàn)途徑。報告制定了包括提升公民數(shù)字素養(yǎng)、建立安全和可持續(xù)的數(shù)字基礎(chǔ)設(shè)施、推動企業(yè)數(shù)字化轉(zhuǎn)型、促進(jìn)公共服務(wù)數(shù)字化在內(nèi)的四大類目標(biāo)。為落實(shí)歐盟總體數(shù)字計(jì)劃中的部分規(guī)定,歐盟委員會于2021 年 6 月提出歐盟數(shù)字身份框架計(jì)劃,敦促成員國為歐盟所有公民設(shè)立數(shù)字身份檔案系統(tǒng),提供數(shù)字身份錢包。
3. 英國制定戰(zhàn)略重塑國家網(wǎng)絡(luò)安全愿景
在面對新冠疫情、地緣政治與脫歐等多重挑戰(zhàn)的背景下,英國政府制定“全球英國”的戰(zhàn)略規(guī)劃愿景,并提出總體目標(biāo),將網(wǎng)絡(luò)安全列為英國目前面臨的核心問題。
2021 年 3 月,英國政府正式發(fā)布《競爭時代的全球英國:安全、國防、發(fā)展與外交政策綜合評估》報告,該報告提出四項(xiàng)總體目標(biāo):一是通過科學(xué)和技術(shù)來維持戰(zhàn)略優(yōu)勢;二是塑造未來的開放國際秩序;三是加強(qiáng)國內(nèi)外的安全與防御;四是在國內(nèi)外建立彈性。
根據(jù)報告顯示,英國即將發(fā)布 2021 年新版網(wǎng)絡(luò)戰(zhàn)略。該戰(zhàn)略明確了五大優(yōu)先事項(xiàng):一是加強(qiáng)英國的網(wǎng)絡(luò)生態(tài)系統(tǒng),采取一種整體的網(wǎng)絡(luò)方法,并加深政府、學(xué)術(shù)界和業(yè)界之間的合作伙伴關(guān)系;二是建立一個彈性和繁榮的“數(shù)字英國”,使民眾在網(wǎng)絡(luò)中感到安全,并對個人數(shù)據(jù)受到保護(hù)充滿信心;三是引領(lǐng)對網(wǎng)絡(luò)力量至關(guān)重要的技術(shù),包括微處理器、安全系統(tǒng)設(shè)計(jì)、量子技術(shù)和新形式數(shù)據(jù)傳輸?shù)?四是與其他政府和業(yè)界合作,并利用英國在網(wǎng)絡(luò)安全方面的思想領(lǐng)導(dǎo)力,促進(jìn)自由、開放、和平與安全的網(wǎng)絡(luò)空間;五是發(fā)現(xiàn)、破壞和威懾英國的對手。
4. 俄羅斯新版國家戰(zhàn)略中新增信息安全保障
2021 年 7 月,俄羅斯總統(tǒng)普京簽署新版《國家安全戰(zhàn)略》。此戰(zhàn)略由俄羅斯聯(lián)邦安全會議制定,是國家安全保障領(lǐng)域的最高層次指導(dǎo)文件。俄羅斯《國家安全戰(zhàn)略》每六年更新修訂一次,與 2015 年底頒布的上一版戰(zhàn)略相比,新版戰(zhàn)略首次加入信息安全章節(jié),體現(xiàn)了俄羅斯對于網(wǎng)絡(luò)信息安全的重視程度日益增加。
新版《戰(zhàn)略》主要分析了當(dāng)前全球和俄羅斯的發(fā)展態(tài)勢及安全環(huán)境,提出了國家和社會安全、信息安全、科學(xué)技術(shù)發(fā)展等九個國家戰(zhàn)略性優(yōu)先事項(xiàng),并明確了各優(yōu)先事項(xiàng)框架下的形勢、目標(biāo)與任務(wù)。
在信息安全領(lǐng)域,該戰(zhàn)略明確反對他國運(yùn)用信息通信技術(shù)對俄羅斯實(shí)施網(wǎng)絡(luò)攻擊、情報偵察,防止運(yùn)用互聯(lián)網(wǎng)散布不利于俄羅斯政治局勢穩(wěn)定的不實(shí)信息等,提出包括加強(qiáng)電子數(shù)據(jù)管理系統(tǒng)防護(hù)、建立信息安全威脅預(yù)警系統(tǒng)、應(yīng)用人工智能技術(shù)和量子計(jì)算等先進(jìn)技術(shù)改進(jìn)信息安全保障方法等 16 項(xiàng)任務(wù)。
5. 日本發(fā)布網(wǎng)絡(luò)安全戰(zhàn)略應(yīng)對復(fù)雜安全形勢
為應(yīng)對日益嚴(yán)峻的數(shù)字化威脅以及東京奧運(yùn)會網(wǎng)絡(luò)安全挑戰(zhàn),日本發(fā)布一系列網(wǎng)絡(luò)安全戰(zhàn)略文件。2021 年5 月,日本內(nèi)閣秘書處內(nèi)閣網(wǎng)絡(luò)安全中心(NISC)發(fā)布《下一代網(wǎng)絡(luò)安全戰(zhàn)略綱要》《網(wǎng)絡(luò)安全研發(fā)戰(zhàn)略(修訂版)》
《網(wǎng)絡(luò)安全委員會倡議》等多份有關(guān)網(wǎng)絡(luò)安全的政策文件,進(jìn)一步推進(jìn)數(shù)字社會建設(shè),構(gòu)建網(wǎng)絡(luò)防御體系,以建立自由安全的公共網(wǎng)絡(luò)空間。
2021 年 7 月,日本發(fā)布新版《網(wǎng)絡(luò)安全戰(zhàn)略》草案并征求公眾意見,戰(zhàn)略草案確定了實(shí)施有關(guān)網(wǎng)絡(luò)安全措施的五項(xiàng)基本原則,確保信息的自由傳播、法治、開放性、自主性和多方合作。戰(zhàn)略草案指出,為確保“自由、公平和安全的網(wǎng)絡(luò)空間”,應(yīng)從以下三個方向推進(jìn)相關(guān)工作:一是在數(shù)字化變革的基礎(chǔ)上,同步推進(jìn)數(shù)字化轉(zhuǎn)型和網(wǎng)絡(luò)安全;二是促進(jìn)網(wǎng)絡(luò)空間安全,“實(shí)現(xiàn)公民在社會能夠安全的生活”;三是從安全角度加強(qiáng)努力,增強(qiáng)參與、協(xié)調(diào)和合作。
二、新興技術(shù)構(gòu)建萬物互聯(lián),制度建設(shè)推動安全建設(shè)
近年來,以 5G、人工智能、物聯(lián)網(wǎng)等為代表的新興技術(shù)迅猛發(fā)展,一個萬物互聯(lián)的智能時代即將誕生。物聯(lián)網(wǎng)正在推動人類社會從“信息化”向“智能化”轉(zhuǎn)變,促進(jìn)信息科技與產(chǎn)業(yè)發(fā)生巨大變化。
在新興技術(shù)為人類社會帶來新一輪科技革命與產(chǎn)業(yè)變革的同時,其中也蘊(yùn)藏著許多網(wǎng)絡(luò)安全風(fēng)險。
縱觀全球,各國都在加快新興技術(shù)戰(zhàn)略布局,出臺相應(yīng)政策法規(guī),確保智能時代的經(jīng)濟(jì)發(fā)展安全有序。
1. 5G 建設(shè)步入高速發(fā)展期,安全風(fēng)險引發(fā)關(guān)注
如果說 2020 年是 5G 建設(shè)之年,那么 2021 年就是5G 高速發(fā)展之年。隨著 5G 技術(shù)的蓬勃發(fā)展,由此引發(fā)的網(wǎng)絡(luò)安全問題成為各界關(guān)注的重點(diǎn)。2021 年 2 月,移動安全公司 AdaptiveMobile 向 GSM 協(xié)會報告了最新研究成果,發(fā)現(xiàn) 5G 架構(gòu)的網(wǎng)絡(luò)切片與虛擬化網(wǎng)絡(luò)功能存在安全漏洞,惡意攻擊者可能借此跨越移動運(yùn)營商 5G網(wǎng)絡(luò)上的各個不同網(wǎng)絡(luò)切片,發(fā)動數(shù)據(jù)訪問與拒絕服務(wù)攻擊。
因此,各國紛紛發(fā)布與 5G 安全相關(guān)的戰(zhàn)略、政策和標(biāo)準(zhǔn),同時加大資金投入,致力于建立一個完善的 5G發(fā)展體系。
美國方面,在 2021 年 2 月,美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)發(fā)布了《5G 網(wǎng)絡(luò)安全實(shí)踐指南》草案,該指南旨在幫助使用 5G 網(wǎng)絡(luò)的組織以及網(wǎng)絡(luò)運(yùn)營商和設(shè)備供應(yīng)商提高安全能力。
2021 年 3 月,美國國際戰(zhàn)略研究中心(CSIS)發(fā)布《加速美國 5G 發(fā)展》報告,報告提出完善電信法規(guī)以消除監(jiān)管障礙、與盟國建立網(wǎng)絡(luò)安全合作機(jī)制等 11 項(xiàng)具體建議,確保美國 5G 發(fā)展能夠最大程度的降低國家安全風(fēng)險,同時最大化經(jīng)濟(jì)回報。
2021 年 5 月,美國國家情報總監(jiān)辦公室、美國國家 安全局和國土安全部網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局聯(lián)合發(fā) 布《5G 基礎(chǔ)設(shè)施潛在威脅載體報告》,分析了 5G 在政 策標(biāo)準(zhǔn)、供應(yīng)鏈、5G 系統(tǒng)架構(gòu)三個領(lǐng)域的威脅載體,以 加強(qiáng)對 5G 應(yīng)用面臨威脅的了解,制定全面的解決方案。歐盟方面,在 2020 年 12 月,歐盟網(wǎng)絡(luò)安全局 (ENISA)發(fā)布《5G 網(wǎng)絡(luò)威脅態(tài)勢報告》,探討了未 來應(yīng)如何利用安全技術(shù)幫助減輕 5G 網(wǎng)絡(luò)安全風(fēng)險的措 施,對 5G 安全生態(tài)系統(tǒng)中的利益相關(guān)方提出了創(chuàng)新性 建議。
2021 年 3 月,歐盟委員會在《關(guān)于歐盟數(shù)字十年網(wǎng) 絡(luò)安全戰(zhàn)略的結(jié)論》文件中要求實(shí)施并加速完成歐盟 5G 工具箱,努力確保 5G 網(wǎng)絡(luò)安全性和未來網(wǎng)絡(luò)發(fā)展。對我國來說,2021 年 6 月,國家發(fā)展改革委等四部 門聯(lián)合發(fā)布《能源領(lǐng)域 5G 應(yīng)用實(shí)施方案》。實(shí)施方案 提出進(jìn)一步拓展能源領(lǐng)域 5G 應(yīng)用場景、加快能源領(lǐng)域 5G 專用技術(shù)研發(fā)、加大相關(guān)基礎(chǔ)設(shè)施和安全保障能力建 設(shè)三項(xiàng)重點(diǎn)任務(wù)。在安全保障能力建設(shè)方面,實(shí)施方案 要求構(gòu)建 5G 應(yīng)用安全保障體系,確保 5G 融合應(yīng)用相 關(guān)網(wǎng)絡(luò)基礎(chǔ)設(shè)施和核心系統(tǒng)安全。同時健全能源領(lǐng)域 5G 應(yīng)用安全技術(shù)標(biāo)準(zhǔn),將 5G 網(wǎng)絡(luò)安全保障納入能源領(lǐng)域 5G 應(yīng)用的全流程、全環(huán)節(jié)。
2021 年 7 月,工信部、中央網(wǎng)絡(luò)安全和信息化委員 會辦公室等十部門聯(lián)合發(fā)布《5G 應(yīng)用“揚(yáng)帆”行動計(jì)劃 (2021-2023 年)》,旨在顯著提升我國 5G 應(yīng)用發(fā)展 水平,保護(hù) 5G 應(yīng)用安全等。根據(jù)行動計(jì)劃,提升 5G 應(yīng) 用安全的具體舉措包括以下四個方面,一是加強(qiáng) 5G 應(yīng) 用安全風(fēng)險評估;二是開展 5G 應(yīng)用安全示范推廣;三 是提升 5G 應(yīng)用安全評測認(rèn)證能力;四是強(qiáng)化 5G 應(yīng)用安 全供給支撐服務(wù)。
2. 人工智能引發(fā)雙重考驗(yàn),政策監(jiān)管仍需加強(qiáng)
近年來,人工智能技術(shù)日趨成熟,應(yīng)用十分廣泛。伴隨而來的網(wǎng)絡(luò)安全問題對現(xiàn)實(shí)生活也造成一定影響,F(xiàn)acebook 創(chuàng)始人兼 CEO 扎克伯格、美國前總統(tǒng)奧巴馬均遭遇過“AI 換臉”,引發(fā)社會廣泛關(guān)注。目前,以美歐為代表的西方國家正加快出臺監(jiān)管政策,規(guī)范人工智能領(lǐng)域發(fā)展。
美國方面,2021 年 3 月,美國國家人工智能安全委員會向國會提交發(fā)展人工智能的最終建議報告。報告規(guī)劃了美國在人工智能時代取勝的戰(zhàn)略,并制定了行動路線圖。報告中首次提及,中國擁有在未來 10 年超越美國成為人工智能領(lǐng)域領(lǐng)導(dǎo)者的“潛力”,建議美國政府在領(lǐng)導(dǎo)力、人才、硬件和創(chuàng)新投資等四個方面立即采取應(yīng)對行動。
2021 年 7 月,美國國土安全部科學(xué)技術(shù)局發(fā)布《人工智能與機(jī)器學(xué)習(xí)戰(zhàn)略計(jì)劃》,提出了未來三大戰(zhàn)略目標(biāo):一是推動用于跨領(lǐng)域國土安全能力的下一代人工智能和機(jī)器學(xué)習(xí)技術(shù)發(fā)展;二是促進(jìn)在國土安全任務(wù)中使用經(jīng)過驗(yàn)證的人工智能與機(jī)器學(xué)習(xí)能力;三是建立經(jīng)人工智能與機(jī)器學(xué)習(xí)技術(shù)培訓(xùn)的跨學(xué)科員工隊(duì)伍。
歐盟方面,2021 年 4 月,歐盟委員會通過了《人工智能法》提案,旨在建立關(guān)于人工智能技術(shù)的統(tǒng)一規(guī)則。提案不僅對人工智能技術(shù)在諸如汽車自動駕駛、銀行貸款、社會信用評分等一系列日?;顒又械膽?yīng)用設(shè)定了限制,而且還對歐盟內(nèi)部的執(zhí)法系統(tǒng)和司法系統(tǒng)使用人工智能的情形提出了相應(yīng)的問題解決方案。
2021 年 5 月,歐洲政策研究中心(CEPS)成立的人工智能和網(wǎng)絡(luò)安全工作組,發(fā)布了《人工智能與網(wǎng)絡(luò)安全:技術(shù)、治理和政策挑戰(zhàn)》報告。該報告概述了人工智能在網(wǎng)絡(luò)安全領(lǐng)域的有效應(yīng)用,以及人工智能系統(tǒng)可能被操縱所帶來的風(fēng)險,并介紹了與人工智能實(shí)施相關(guān)的主要倫理影響和政策問題。報告根據(jù)歐盟數(shù)字戰(zhàn)略的目標(biāo),提出了建設(shè)性和具體的政策建議,以確保人工智能的安全應(yīng)用。
3. 物聯(lián)網(wǎng)成攻擊重災(zāi)區(qū),相關(guān)政策加緊出臺
隨著萬物互聯(lián)時代的到來,機(jī)構(gòu)物聯(lián)網(wǎng)設(shè)備數(shù)量不斷增加,但缺乏對應(yīng)保護(hù)措施,相關(guān)網(wǎng)絡(luò)攻擊事件頻發(fā)。2021 年 3 月,特斯拉工廠攝像頭供應(yīng)商被黑,導(dǎo)致多家機(jī)構(gòu)共計(jì) 15 萬個監(jiān)控訪問權(quán)限被獲取。近期,各國政府加快出臺有關(guān)政策法規(guī),加強(qiáng)物聯(lián)網(wǎng)安全防范。
美國方面,在 2021 年 3 月,美國參議院與眾議院再次引入《網(wǎng)絡(luò)護(hù)盾法案》,其中建議為物聯(lián)網(wǎng)設(shè)備創(chuàng)建一個自愿的網(wǎng)絡(luò)安全認(rèn)證計(jì)劃。該法案建議由各界網(wǎng)絡(luò)安全專家組成的咨詢委員會負(fù)責(zé)為物聯(lián)網(wǎng)設(shè)備定義一個安全標(biāo)準(zhǔn)。所生產(chǎn)產(chǎn)品符合這些標(biāo)準(zhǔn)的物聯(lián)網(wǎng)制造商可以將此認(rèn)證展示給公眾并打上“網(wǎng)絡(luò)護(hù)盾”標(biāo)簽,這將有助于消費(fèi)者在購買物聯(lián)網(wǎng)設(shè)備時做出決策。
英國方面,2021 年 4 月,英國數(shù)字、文化、傳媒和體育部(DCMS)發(fā)布了對《物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)安全提案》征求意見稿的回復(fù)。該提案概述了英國政府對調(diào)控物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)安全的意圖和政策主張,并倡導(dǎo)通過完善立法來促進(jìn)消費(fèi)者使用物聯(lián)網(wǎng)設(shè)備的安全性。根據(jù)該提案,英國政府將制定新的監(jiān)管計(jì)劃,以保護(hù)消費(fèi)者免受不安全的物聯(lián)網(wǎng)設(shè)備的傷害。同時能夠在不影響有效性的情況下,采取合適的方法賦予制造商一定的義務(wù)和責(zé)任,以實(shí)現(xiàn)對公民、網(wǎng)絡(luò)和物聯(lián)網(wǎng)基礎(chǔ)設(shè)施的持續(xù)性保護(hù)。
在我國,2021 年 6 月,工信部發(fā)布《車聯(lián)網(wǎng)(智能網(wǎng)聯(lián)汽車)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系建設(shè)指南》(征求意見稿)。該指南針對車載聯(lián)網(wǎng)設(shè)備、基礎(chǔ)設(shè)施、網(wǎng)絡(luò)通信、數(shù)據(jù)信息、平臺應(yīng)用、車聯(lián)網(wǎng)服務(wù)等關(guān)鍵環(huán)節(jié),提出覆蓋終端與設(shè)施安全、網(wǎng)聯(lián)通信安全、數(shù)據(jù)安全、應(yīng)用服務(wù)安全、安全保障與支撐等方面的技術(shù)架構(gòu)。
2021 年 6 月,工信部發(fā)布《關(guān)于加強(qiáng)車聯(lián)網(wǎng)(智能網(wǎng)聯(lián)汽車)網(wǎng)絡(luò)安全工作的通知》(征求意見稿),其中要求加強(qiáng)車聯(lián)網(wǎng)網(wǎng)絡(luò)安全、平臺安全、數(shù)據(jù)安全防護(hù),強(qiáng)化安全漏洞管理。具體包括落實(shí)企業(yè)網(wǎng)絡(luò)安全主體責(zé)任,建立健全數(shù)據(jù)安全管理制度,加強(qiáng)個人信息與重要數(shù)據(jù)保護(hù)等。
三、數(shù)據(jù)安全成為全球關(guān)注重點(diǎn),各國加快數(shù)據(jù)治理進(jìn)程
隨著全球數(shù)字化轉(zhuǎn)型,數(shù)據(jù)資源已經(jīng)成為數(shù)字時代的“軟黃金”,推動國民經(jīng)濟(jì)快速發(fā)展。與此同時,數(shù)據(jù)泄露事件屢見不鮮,對國家安全、企業(yè)安全和民眾安全均帶來了嚴(yán)重的危害。根據(jù)安全公司 Risk BasedSecurity 最近發(fā)布的《2021 年上半年數(shù)據(jù)泄露速覽報告》顯示,2021 年上半年共有 1767 起公開報告的泄露事件,美國報告的泄露事件數(shù)量增長了 1.5%,泄露數(shù)據(jù)總量達(dá)188 億條記錄。
當(dāng)前,各國都在加緊制定數(shù)字戰(zhàn)略,力求在數(shù)字化發(fā)展的浪潮中為數(shù)據(jù)安全保駕護(hù)航。以歐盟、美國為代表的西方國家和組織,相繼推出較成熟且側(cè)重點(diǎn)不同的配套數(shù)據(jù)安全政策法規(guī)。我國在數(shù)據(jù)安全方面也陸續(xù)推出了一系列法律法規(guī)及標(biāo)準(zhǔn)規(guī)范。
1. 加強(qiáng)數(shù)據(jù)安全頂層規(guī)劃
對歐盟來說,其數(shù)據(jù)安全立法處于全球領(lǐng)先地位,頒布的眾多政策法規(guī)都頗具影響力。2018 年 5 月正式實(shí)施的歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)是全球第一部全面的隱私保護(hù)法,對各國的立法均具有啟示意義。2021 年 2 月,歐盟發(fā)布的《電子隱私條例》草案,是作為 GDPR 在電子通信領(lǐng)域的細(xì)化和補(bǔ)充的特別法,通過對數(shù)據(jù)類型的分類保護(hù)(例如區(qū)分電子通信內(nèi)容和元數(shù)據(jù))和對法人、自然人共同保護(hù)的方式加強(qiáng)和擴(kuò)大了對隱私保護(hù)的力度和范圍。
對美國來說,其跨國信息巨頭遍布全球,數(shù)據(jù)資源為美國創(chuàng)造了巨大的利益,因此美國數(shù)據(jù)治理模式更偏向于利益導(dǎo)向。美國目前尚未出臺國家層面統(tǒng)一的數(shù)據(jù)安全立法,大多是各州頒布的數(shù)據(jù)法案。例如,美國加利福尼亞州的《加州隱私權(quán)法案》、弗吉尼亞州的《消費(fèi)者數(shù)據(jù)保護(hù)法》和科羅拉多州的《科羅拉多州隱私法案》等。此外,美國政府還通過了《統(tǒng)一個人數(shù)據(jù)保護(hù)法》,該法案將成為各州數(shù)據(jù)隱私法案范本。
對我國來說,隨著數(shù)據(jù)安全保護(hù)浪潮的興起和各國數(shù)據(jù)安全保護(hù)實(shí)踐的深入,我國逐步建立了以《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》為統(tǒng)領(lǐng),專項(xiàng)法律、行政法規(guī)、部門規(guī)章為支撐,標(biāo)準(zhǔn)規(guī)范文件為配套的制度體系。同時,《個人信息保護(hù)法》正式通過,進(jìn)一步完善了我國個人隱私保護(hù)法律體系。
2. 規(guī)范數(shù)據(jù)跨境流動制度
近年來,各國都在出臺有關(guān)數(shù)據(jù)保護(hù)的法律法規(guī),其中大多涉及數(shù)據(jù)跨境流動的法律或政策,但不同國家的立法標(biāo)準(zhǔn)不一致。
歐盟以“構(gòu)筑單一數(shù)字市場”為戰(zhàn)略目標(biāo),按照“外嚴(yán)內(nèi)松”原則引領(lǐng)建立全球數(shù)據(jù)規(guī)則體系。2021年6月,歐洲數(shù)據(jù)保護(hù)委員會正式通過關(guān)于英國的充分性決定,該決定表明未來 4 年內(nèi),英國和歐盟的個人數(shù)據(jù)可以自由合法地流動。同月,作為對 Schrem II 案(該案廢止了美歐數(shù)據(jù)跨境轉(zhuǎn)移機(jī)制“隱私盾協(xié)議”)的回應(yīng),歐盟數(shù)據(jù)保護(hù)委員會正式通過兩份關(guān)于數(shù)據(jù)跨境傳輸合法性的指導(dǎo)性意見。此外,歐盟委員會還頒布了新的關(guān)于數(shù)據(jù)跨境傳輸?shù)臉?biāo)準(zhǔn)合同條款的最終版本。
美國以維護(hù)數(shù)字競爭優(yōu)勢和強(qiáng)化“長臂管轄”為主旨,構(gòu)建數(shù)據(jù)跨境流動與限制政策。2021 年 6 月,美國白宮頒布《關(guān)于保護(hù)美國公民敏感數(shù)據(jù)免受外國對手侵害的行政令》,該行政令撤銷了特朗普政府針對 TikTok 等與中國相關(guān)軟件應(yīng)用程序的限制性政策,同時提出了一套全新的審查流程,由美國商務(wù)部持續(xù)評估國外聯(lián)網(wǎng)軟件應(yīng)用的安全風(fēng)險。該行政令表明美國政府正逐步出臺相關(guān)法規(guī)限制本國數(shù)據(jù)跨境流動。
我國以維護(hù)國家數(shù)據(jù)主權(quán)、確保安全與發(fā)展并重為目的,逐步建立數(shù)據(jù)跨境流動保護(hù)體系。首先,《數(shù)據(jù)安全法》中規(guī)定了對跨境數(shù)據(jù)實(shí)施數(shù)據(jù)安全審查制度和數(shù)據(jù)出口管制,初步確立了我國針對數(shù)據(jù)跨境流動的基本法律框架。其次,《個人信息保護(hù)法》中規(guī)定跨境傳輸個人信息時需要對數(shù)據(jù)進(jìn)行脫敏處理,同時在操作前要進(jìn)行風(fēng)險評估。最后,新修訂的《網(wǎng)絡(luò)安全審查辦法》也增加了對數(shù)據(jù)安全方面的審查,同時要求掌握超過100 萬用戶個人信息的企業(yè)赴國外上市,必須申報網(wǎng)絡(luò)安全審查。
可以看出,各國數(shù)據(jù)跨境流動法律法規(guī)的主旨是在本國利益最大化的前提下合法推進(jìn)數(shù)據(jù)跨境流動。在復(fù)雜形勢下,我國應(yīng)當(dāng)建立完善數(shù)據(jù)跨境流動保障機(jī)制,確保國家安全、經(jīng)濟(jì)發(fā)展、維護(hù)公民權(quán)益的有效協(xié)同,真正推動我國數(shù)字經(jīng)濟(jì)的發(fā)展,維護(hù)數(shù)據(jù)主權(quán)。
3. 個人隱私保護(hù)成為熱點(diǎn)
隨著新技術(shù)、新應(yīng)用的快速發(fā)展,以人臉識別為代表的人工智能技術(shù)帶來的隱私問題持續(xù)引發(fā)全球關(guān)注。今年 3·15 晚會,央視曝光了不少非法采集用戶人臉信息的不良商家,引發(fā)民眾對隱私數(shù)據(jù)的擔(dān)憂。
生物識別數(shù)據(jù)披露的個人特征精確,且采集門檻較低、極易獲取,一旦遭到泄露、篡改或非法共享,極易帶來“身份盜竊”風(fēng)險,且正在成為攻擊者的主要目標(biāo)。對此,各國政府紛紛出臺相關(guān)政策,開始規(guī)范和限制生物識別數(shù)據(jù)的使用。
在人臉識別信息保護(hù)方面,2021 年 3 月,我國國家互聯(lián)網(wǎng)信息辦公室、公安部發(fā)布通告稱將加強(qiáng)對語音社交軟件和涉“深度偽造”技術(shù)的互聯(lián)網(wǎng)新技術(shù)新應(yīng)用安全評估工作。騰訊、阿里巴巴、字節(jié)跳動、快手、小米等 11 家企業(yè)因未履行安全評估程序被國家有關(guān)部門約談。2021 年 7 月,我國最高人民法院審委會通過的《最高人民法院關(guān)于審理使用人臉識別技術(shù)處理個人信息相關(guān)民事案件適用法律若干問題的規(guī)定》也進(jìn)一步明確,處理人臉信息必須征得自然人同意,不得強(qiáng)迫、變相強(qiáng)迫同意處理其人臉信息。
在車聯(lián)網(wǎng)數(shù)據(jù)保護(hù)方面,2021 年 3 月,歐盟數(shù)據(jù)保護(hù)機(jī)構(gòu)發(fā)布了《車聯(lián)網(wǎng)個人數(shù)據(jù)保護(hù)指南》。該指南聚焦于歐洲車聯(lián)網(wǎng)個人數(shù)據(jù)保護(hù),并提出指紋等生物識別數(shù)據(jù)應(yīng)當(dāng)存儲在車內(nèi),應(yīng)當(dāng)從車聯(lián)網(wǎng)設(shè)計(jì)階段即將數(shù)據(jù)保護(hù)納入考慮等建議。我國也發(fā)布了一系列有關(guān)聯(lián)網(wǎng)汽車的數(shù)據(jù)保護(hù)制度,2021 年 8 月,國家互聯(lián)網(wǎng)辦公室等五部門出臺《汽車數(shù)據(jù)安全管理若干規(guī)定 ( 試行 )》;2021 年 6 月,工信部出臺《關(guān)于加強(qiáng)車聯(lián)網(wǎng)(智能網(wǎng)聯(lián)汽車)網(wǎng)絡(luò)安全工作的通知》(征求意見稿)。
在 APP 個人信息保護(hù)方面,近期我國有關(guān)機(jī)構(gòu)頒布一系列技術(shù)規(guī)范與標(biāo)準(zhǔn)文本,旨在規(guī)范 APP 個人信息收集行為,保障公民個人信息安全。2021 年 3 月,國家互聯(lián)網(wǎng)信息辦公室秘書局、工信部辦公廳、公安部辦公廳、國家市場監(jiān)督管理總局辦公廳四部門聯(lián)合發(fā)布《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》;2021年 4 月,工信部發(fā)布《移動互聯(lián)網(wǎng)應(yīng)用程序個人信息保護(hù)管理暫行規(guī)定(征求意見稿)》。
此外,我國不同行業(yè)主管部門也針對各領(lǐng)域特點(diǎn)制定相應(yīng)政策法規(guī),重點(diǎn)保護(hù)各行業(yè)有關(guān)數(shù)據(jù)。例如 , 交通運(yùn)輸部制定《交通運(yùn)輸政務(wù)數(shù)據(jù)共享管理辦法》、國家醫(yī)療保障局制定《加強(qiáng)網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)工作指導(dǎo)意見》等。
四、加強(qiáng)勒索軟件防范,完善供應(yīng)鏈風(fēng)險管理與關(guān)基保護(hù)制度
近年來,勒索軟件事件頻發(fā),造成的危害也愈加嚴(yán)重。近期,一起影響廣泛的軟件供應(yīng)鏈勒索攻擊事件引發(fā)全球關(guān)注。美國 IT 管理軟件廠商卡西亞(Kaseya)遭遇勒索軟件攻擊,黑客組織利用一個 0day 漏洞將惡意軟件部署至卡西亞的管理系統(tǒng),全球上千家企業(yè)客戶超 100萬個系統(tǒng)通過軟件更新感染了勒索病毒,而勒索團(tuán)伙開出了價值 7000 萬美元的比特幣贖金。
隨著安全防護(hù)技術(shù)的升級,黑客開始對軟件供應(yīng)鏈及能源、醫(yī)療等關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)等薄弱環(huán)節(jié)實(shí)施攻擊。因此,各國紛紛出臺相關(guān)舉措以應(yīng)對此類安全威脅。
1. 積極防范勒索軟件攻擊
2021 年上半年以來,勒索軟件攻擊十分猖獗,根據(jù)安全廠商 SonicWall 報告顯示,該公司檢測到的攻擊嘗試達(dá)到 3.047 億次,超過了 2020 年全年的攻擊總數(shù)。美國是受勒索軟件攻擊最嚴(yán)重的國家之一,其中美國受影響較大的地區(qū)是佛羅里達(dá)州,有 1.111 億次攻擊嘗試。美國政府近期接連出臺多項(xiàng)打擊勒索軟件攻擊的新舉措。
一是出臺有關(guān)政策法規(guī)。2021 年 6 月,美國司法部提交《關(guān)于勒索軟件和數(shù)字勒索調(diào)查和案件的指導(dǎo)意見》備忘錄,旨在通過一系列安全指令實(shí)踐來阻止勒索軟件感染、數(shù)據(jù)盜竊和向網(wǎng)絡(luò)犯罪集團(tuán)支付巨額款項(xiàng)等違法行為。
二是成立打擊勒索軟件工作組。成員包括網(wǎng)絡(luò)安全和互聯(lián)網(wǎng)企業(yè)、政府部門、執(zhí)法機(jī)構(gòu)、非營利組織以及國際組織等 50 余家機(jī)構(gòu)。工作組通過公私部門合作的方式,共同研究提出應(yīng)對勒索軟件攻擊的解決方案。
三是建立專門網(wǎng)站。主要用于匯集各機(jī)構(gòu)最新勒索軟件預(yù)警信息和應(yīng)對指南。民眾也可通過該網(wǎng)站向政府報送遭受勒索軟件攻擊的情況。
四是美國司法部實(shí)施獎勵計(jì)劃,提供 1000 萬美元的獎金,用于鼓勵相關(guān)機(jī)構(gòu)和個人提供具有國家背景的黑客身份或位置信息。
對我國來說,尚未出臺專門針對勒索軟件攻擊的法律法規(guī),更多是偏執(zhí)行層面的規(guī)章制度。2021 年 7 月,國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布了《勒索軟件防范指南》,其中規(guī)定了防范勒索軟件要做到九要、四不要。包括要備份重要數(shù)據(jù)和系統(tǒng)、要設(shè)置復(fù)雜密碼并保密、要做好身份驗(yàn)證和權(quán)限管理、要制定應(yīng)急響應(yīng)預(yù)案等九項(xiàng)建議。不要點(diǎn)擊來源不明郵件、不要打開來源不可靠網(wǎng)站、不要安裝來源不明軟件,以及不要插拔來歷不明的存儲介質(zhì)等四項(xiàng)建議。
2. 著力加強(qiáng)軟件供應(yīng)鏈風(fēng)險管理
根據(jù)奇安信《2021 中國軟件供應(yīng)鏈分析報告》數(shù)據(jù)顯示,國內(nèi)企業(yè)軟件項(xiàng)目 100% 使用開源軟件;近 9 成軟件項(xiàng)目存在已知開源軟件漏洞;平均每個軟件項(xiàng)目存在 66 個已知開源軟件漏洞,軟件供應(yīng)鏈安全面臨巨大風(fēng)險。
美國在遭遇 SolarWinds 大型供應(yīng)鏈安全事件后,緊急出臺了一系列有關(guān)供應(yīng)鏈安全的政策法規(guī)。2021 年2 月,美國總統(tǒng)拜登簽署《確保信息和通信技術(shù)及服務(wù)供應(yīng)鏈安全》行政令,要求對半導(dǎo)體芯片等四類供應(yīng)鏈產(chǎn)品開展審查,并在一年內(nèi)完成對美國國防、通信科技、能源等六大部門的生產(chǎn)供應(yīng)鏈進(jìn)行風(fēng)險評估,提出改善措施。
2021 年 4 月,美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)和美國國家標(biāo)準(zhǔn)技術(shù)研究院(NIST)聯(lián)合發(fā)布《防御軟件供應(yīng)鏈攻擊》報告,描述了與軟件供應(yīng)鏈攻擊相關(guān)的信息、關(guān)聯(lián)風(fēng)險及緩解措施。
2021 年 5 月,美國總統(tǒng)簽署的《關(guān)于改善國家網(wǎng)絡(luò)安全的行政命令》,要求聯(lián)邦政府采取行動確保軟件供應(yīng)鏈的安全性和完整性,其中包括要求向政府出售的軟件必須符合基準(zhǔn)安全標(biāo)準(zhǔn),并引入軟件物料清單。
2021 年 6 月,美國參議院在通過的《2021 年美國創(chuàng)新和競爭法案》中也提到要推進(jìn)“彈性供應(yīng)鏈戰(zhàn)略”、幫助美國公司“獲得穩(wěn)定可控的全球供應(yīng)鏈”等,從而確保美國在供應(yīng)鏈安全方面的領(lǐng)導(dǎo)地位,減少網(wǎng)絡(luò)攻擊的產(chǎn)生。
目前,我國在軟件供應(yīng)鏈方面的政策法規(guī)較為缺失,從國家和行業(yè)監(jiān)管層面來講,應(yīng)當(dāng)制定有關(guān)政策要求、標(biāo)準(zhǔn)規(guī)范和實(shí)施指南,確保我國軟件供應(yīng)鏈安全有序的發(fā)展。
3. 加大關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)力度
美國是世界上最早意識到關(guān)鍵信息基礎(chǔ)設(shè)施重要性并出臺一系列完備政策法規(guī)的國家,但依然面臨嚴(yán)峻的網(wǎng)絡(luò)安全態(tài)勢。最為嚴(yán)重的是美國最大燃油運(yùn)輸管道公司科洛尼爾遭到網(wǎng)絡(luò)攻擊后被迫停運(yùn),直接造成美國東海岸燃油短缺,美國運(yùn)輸安全管理局(TSA)由此宣布美國多個州進(jìn)入緊急狀態(tài)。針對該事件,美國政府部門隨即出臺了一系列措施。
2021 年 5 月,美國國土安全部運(yùn)輸安全管理局(TSA)發(fā)布一項(xiàng)關(guān)于加強(qiáng)管道網(wǎng)絡(luò)安全的安全指令,要求各管道供應(yīng)商應(yīng)及時向運(yùn)輸安全管理局與網(wǎng)絡(luò)安全及基礎(chǔ)設(shè)施安全管理局上報網(wǎng)絡(luò)安全事件,并指派一位網(wǎng)絡(luò)安全協(xié)調(diào)員,全天候待命。
2021 年 7 月,TSA 再次發(fā)布針對關(guān)鍵管道運(yùn)營者的網(wǎng)絡(luò)安全新要求的安全指令,該安全指令要求 TSA 指定的關(guān)鍵管道的所有者和運(yùn)營商實(shí)施具體的緩解措施,以防止勒索軟件攻擊和對信息技術(shù)和運(yùn)營技術(shù)系統(tǒng)的其他已知威脅,制定并實(shí)施網(wǎng)絡(luò)安全應(yīng)急和恢復(fù)計(jì)劃,并進(jìn)行網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)審查。
此外,美國政府還采取建立網(wǎng)絡(luò)安全審查委員會、啟動針對關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的試點(diǎn)項(xiàng)目等措施,保障關(guān)鍵基礎(chǔ)設(shè)施的安全,如電力行業(yè)網(wǎng)絡(luò)安全“百日計(jì)劃”等。
我國正加速推進(jìn)以《網(wǎng)絡(luò)安全法》為核心的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)法律體系建設(shè)。近日,國務(wù)院頒布出臺《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》(以下簡稱《條例》),這是我國首部專門針對關(guān)基安全保護(hù)工作的行政法規(guī),開啟了我國網(wǎng)絡(luò)安全工作的新篇章。
《條例》對《網(wǎng)絡(luò)安全法》所確立的關(guān)基安全保護(hù)制度作了進(jìn)一步細(xì)化完善,明確了國家網(wǎng)信部門、國務(wù)院公安部門以及重要行業(yè)和領(lǐng)域的主管部門、監(jiān)督管理部門等相關(guān)職能部門的責(zé)任邊界和職責(zé)要求,明確了關(guān)基認(rèn)定原則和認(rèn)定機(jī)制,細(xì)化了運(yùn)營者的主體責(zé)任和義務(wù),形成了關(guān)基安全保護(hù)工作相關(guān)各方的法律責(zé)任體系。
此外,漏洞管理也屬于關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的重要組成部分。2021 年 7 月,工信部、國家互聯(lián)網(wǎng)信息辦公室、公安部聯(lián)合發(fā)布《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》,其中明確了網(wǎng)絡(luò)產(chǎn)品提供者、網(wǎng)絡(luò)運(yùn)營者,以及從事漏洞發(fā)現(xiàn)、收集、發(fā)布等活動的各類主體的責(zé)任和義務(wù)。此項(xiàng)規(guī)定的出臺,推動了網(wǎng)絡(luò)產(chǎn)品安全漏洞管理工作的制度化、規(guī)范化、法制化。
回顧 2021 年上半年,全球面臨嚴(yán)峻的網(wǎng)絡(luò)安全態(tài)勢,各類攻擊事件層出不窮。各國都在加強(qiáng)網(wǎng)絡(luò)安全頂層規(guī)劃及細(xì)分領(lǐng)域制度建設(shè)。
2021 年下半年,數(shù)據(jù)安全及個人隱私、供應(yīng)鏈安全和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)等方面仍將是網(wǎng)絡(luò)安全行業(yè)討論的熱點(diǎn)。我國對網(wǎng)絡(luò)空間安全的重視程度正日益增強(qiáng),未來網(wǎng)絡(luò)安全行業(yè)必將迎來高速發(fā)展期。