互联网前沿

互联网前沿31

本期杂志,推出腾讯研究院“互联网+”系列研究报告。就产业而言,互联网可以+农业,可以+工业,也可以+第三产业。而且,“互联网+”指数与三大产业的比重呈现很强的对应关系。目前“互联网+”还主要体现在与第三产业的结合上,而工业互联网尚处于起步阶段,未来“互联网+”的内涵会不断丰富,涵盖政府和市场两个维度。

作者:lilian 2015-10-10
《德国网络安全法》对我国网络安全立法的启示

张绍武 中国人民公安大学侦查学院
  自人类社会进入信息时代,网络安全问题就已经成为各国政府面临的巨大挑战。为了有效应对各类频发的网络安全事件,各国政府大多采取网络安全专门立法的方式加强对网络安全威胁的防范与控制。2015年7月10日,德国议会通过《德国网络安全法》,标志着德国网络安全立法由分散走向统一。尽管众多隐私权倡导者和相关企业对该法案的部分条款予以质疑甚至反对,但该法案所体现的价值取舍和先进措施却值得我们研究、借鉴。
  一、《德国网络安全法》概况
  1.1立法沿革
  德国是信息化强国,其对网络安全的重视由来已久。早在2001年,为了应对日益增多的黑客威胁,德国政府组建了相应的网络应急预警系统,该系统联邦内政部主导,旨在把社会各方的网络安全保护力量进行有效地整合,搭建一个安全的网络平台 。2005年,德国政府出台了全国性的IT安全计划,建立了电脑紧急情况应对中心;2008年,德国政府出于打击恐怖组织和恐怖活动的需要,批准了一部饱受争议的互联网监管法案,该法案允许警方在特别授权的情况下,通过向嫌疑人发送带有木马病毒的匿名电子邮件来实现对该嫌疑人电脑的监控,旨在帮助警方迅速锁定嫌疑人 。值得一提的是,为了加强网络安全的顶层设计,德国政府于2011年出台了首部《网络安全国家战略》(以下简称《战略》),在该战略中,德国政府首次对德国IT产业所面临的威胁进行了评估,指出网络犯罪、恐怖活动以及针对关键基础设施开展的网络攻击是影响德国网络安全的三大重要因素。在具体的保护措施方面,《战略》提出了包括加强对关键信息基础设施的保护力度,建立国家网络响应中心(Nation cyber Response Center),组建国家网络安全委员会(National Cyber Security Council)在内的多条措施。此外,该战略还进一步对德国政府维护本国网络安全的基本原则、目标以及后续的保护策略等做出了较为详细的规定 。
  1.2主要内容
  (1)首次明确了“关键基础设施”运营者的责任
  明确“关键基础设施”运营者的法律责任是《德国网络安全法》的一大亮点。德国此前出台的《战略》虽然对“关键基础设施”的范围进行了界定,但由于《战略》仅仅是德国内政部发布的发展纲要,并不具有法律效力。而新出台的《德国网络安全法》不仅吸收了《战略》中关于“关键基础设施”的定义,还在此基础上明确了“关键基础设施”运营者的法律责任。《战略》规定,关键基础设施是指对公共生活安全具有重大影响的设施或机构,这些设施或机构一旦遭受损害或破坏将会对整个社会的公共秩序产生难以估计的影响;从构成来看,这些设施或机构主要涉及能源、信息技术和通信。交通运输、公共卫生、水资源、食品、金融和保险、政府部门和主要媒体 。《德国网络安全法》在肯定了这一概念的基础上又进一步规定,凡是涉及水资源、能源、通信、医疗、交通、金融、保险等与德国民众日常生活紧密相关的行业或企业均属于关键基础设施的保护范围。该法案进一步规定,凡是本法规定的关键基础设施保护范围的企业或实际经营者应当在2年的时间内逐步采取并完善本法规定的相应保护措施,对于逾期未完成相关保护任务的企业或个人,政府将处以100000欧元的罚款 。
  (2)扩大网络监控权
  《德国网络安全法》规定,德国联邦刑事侦查局(BKA)将专门负责各种网络犯罪的侦查工作。在具体职权方面,《德国网络安全法》授权德国联邦刑事侦查局对网络犯罪嫌疑人实施数据拦截和数据监控的权力。这项职权的授予意味着警方可以在特别授权的情况下,对网络犯罪嫌疑人进行抓包分析和点对点的数据监控。由于内容特殊,这条规定在德国饱受争议。不少隐私团体和相关人士认为,受斯诺登事件影响,世界各国政府在网络监控的立法方面都保持审慎的态度,而《德国网络安全法》的这一条款却扩大了政府部门的监控权限,这不免让人们对自身的隐私产生新的担忧。
  (3)确定网络安全报告制度
  《德国网络安全法》为关键基础设施的运营商设置了两项具体的报告义务。一项是最低网络安全标准报告义务,另一项是网络安全事件动态报告义务。所谓最低网络安全标准报告义务,是指《德国网络安全法》中规定的所有关键基础设施的运营商应当根据本部门实际情况,在规定的时间内向联邦信息安全办公室(BSI)上交一份网络安全方面报告,该报告主要内容是本单位为应对网络攻击而安装相关系统的情况。该报告义务的意义在于使联邦信息安全办公室准确掌握各个关键基础设施的网络安全状况,并有针对性地提出指导。而网络安全事件动态报告义务则要求关键基础设施的运营商应当及时向联邦信息安全办公室报告本部门发生的重大网络安全事故,以便使联邦信息安全办公室第一时间了解事故情况并采取相应措施。
  (4)增设了电信运营商的义务
  《德国网络安全法》规定,电信运营商应当主动收集、储存用户的通信业务信息,且储存周期不应少于6个月。警方为了侦查犯罪的需要可以从电信运营商处依法获取这些数据。此外,为了保证用户的数据信息不被非法使用,《德国网络安全法》规定,当电信运营商的链接或数据信息被泄漏或滥用时,电信运营商负有及时通知本单位客户的义务。
  此外,《德国网络安全法》还增加了对联邦信息安全办公室和德国联邦刑事警察局的资金和人员投入,旨在进一步充实德国网络安全保卫部门的力量。
  二、促进我国网络安全立法的建议
  我国是网络大国,也是受到各类网络攻击最为频繁的国家之一。面对来自内部和外部的各种威胁,我国应当加强网络安全领域的立法活动,将网络安全上升到国家安全的层面予以考量。2015年7月6日,我国《网络安全法》草案正式公布,在一些立法细节方面,《德国网络安全法》对我国网络安全立法具有较大的借鉴价值。
  (1)制定最低限度的网络安全标准
  行业领域的不同势必导致网络安全状况的差异。为此,我国《网络安全法》应当规定,国家网络安全的主管部门应当根据不同行业的运营特点有针对性地展开调研,在听取相关从业人员的基础的上,适当借鉴国外相同行业的经验,制定出符合中国国情特点的最低限度的网络安全标准。标准制定后,应当根据其实施的情况进行不断调整,最终形成全行业普遍适行的网络安全准则。国家网络安全的主管部门应当以该准则为依据,分门别类地对不同行业进行指导和检查。
  (2)明确通信信息储存的最短时效
  通信信息储存时效的长短对电信运营商和警方都有较大影响。储存时间过长会增加运营商的维护成本,时间过短则会制约警方侦查活动的效能。因此,我国《网络安全法》应当全面考量两者的利弊,制定出合理的储存时效。在具体时间方面,国家网络安全的主管部门可以会同公安机关和通信运营商共同协商,在维护企业利益和不妨碍公安机关侦查活动的情况下确定通信信息储存的最短时效。
  (3)细化网络运营商的协助义务
  我国《网络安全法(草案)》第23条规定,为国家安全和侦查犯罪的需要,侦查机关依照法律规定,可以要求网络运营者提供必要的支持与协助。从立法意图来看,该条款旨在为网络运营商负担协助侦查机关调查的义务。但“必要的支持与协助”究竟指何种协助方式,该条款并未详述。在实践中,侦查机关要求网络运营商实时抓取嫌疑用户的通信数据是否符合该条款的规定?网络运营商仅向侦查机关提交基础数据而非经提炼、分析后的专门数据是否违反协助义务?因此,在具体条款的设置上,我国《网络安全法》有必要借鉴《德国网络安全法》的立法模式,将网络运营商的协助义务具体指明。例如,网络运营商只能向侦查机关提供用户通信信息的元数据,侦查机关不得要求网络运营商从事违反法律规定的行为,如窃听、数据抓包等。
  三、小结

  网络世界不是无主地,更不是任何人都可以肆意妄为的“法外之地”。当网络空间逐渐和现实空间相互交织甚至难解难分的时候,网络空间就不再是虚拟的数字世界,而是我们日常生活中不可或缺的公共场所。因此,加强网络空间的监管力度,维护网络空间的公共秩序应当成为我国网络安全领域立法的核心目标之一。



  参考文献:
  [1] 新华网.各国打响网络安全“保卫战”[EB/OL]. http://news.xinhuanet.com/world/2009-08/15/content_11884732_1.htm,2009-08-15/2015-07-20.
  [2] 新华网.各国打响网络安全“保卫战”[EB/OL]. http://news.xinhuanet.com/world/2009-08/15/content_11884732_2.htm,2009-08-15/2015-07-20.
  [3] http://www.bmi.bund.de/SharedDocs/Downloads/DE/Themen/OED_Verwaltung/Informationsgesellschaft/cyber_eng.pdf;jsessionid=CF44438700D4995082E75C0EFA91D11C.2_cid373?__blob=publicationFile.
  [4] http://www.bmi.bund.de/SharedDocs/Downloads/DE/Themen/OED_Verwaltung/Informationsgesellschaft/cyber_eng.pdf;jsessionid=CF44438700D4995082E75C0EFA91D11C.2_cid373?__blob=publicationFile.
  [5] Help Net Security.Germany's new cyber-security law aimed at securing critical infrastructure[EB/OL].http://www.net-security.org/secworld.php?id=18623.2015-07-14/2015-07-20.
前沿杂志
互联网前沿61

2022年,从引爆AI作画领域的DALL-E 2、Stable Diffusion等AI模型,到以ChatGPT为代表的接近人类水平的对话机器人,AIGC不断刷爆网络,其强大的内容生成能力给人们带来了巨大的震撼。

2023-05-12

全站精选