美国数据安全政策的发展与互联网、数字技术的发展有着密切的联系,数据信息安全由克林顿时代的网络基础设施保护,到布什时代的网络反恐,再到奥巴马时代的创建网络司令部,美国数据安全战略经历了一个“从被动预防到主动出击”的演化过程,本文对美国数据安全的政策演化路径进行研究,以期对我国数据安全政策制订予以借鉴。
在信息技术融合应用的新时代,发展大数据已成为不可逆转的历史潮流,网络空间与现实社会一样,既需提倡自由,亦要遵守秩序。一方面,开放数据的应用重塑着我们使用数据的方式,成为社会发展的大势所趋;另一方面,大数据的变革对国家主权、安全、发展提出新的挑战,迫切需要国际社会认真对待,谋求共治,实现共赢,网络安全、数据安全成为社会稳定、经济繁荣的重要保障[1]。从克林顿时代的网络基础设施保护,到布什时代的网络反恐,再到奥巴马时代的创建网络司令部,美国的数据安全战略经历了一个“从被动预防到主动出击”的演化过程。在我国针对数据安全的研究主要是集中于技术与方法层面,政策方面的研究并不充分,鉴于此,本文试图对美国国家宏观层面的数据安全政策演化脉络与特征予以梳理,以期相关经验对我国数据安全政策提供借鉴。
1美国数据安全政策的演化路径
从20世纪70年代至今,美国互联网的应用已由基于军用领域迅速扩散至科研教育领域,并进一步渗透到商业和社会生活的各个领域[2]。从联邦政府到州立政府,再到公民的大量信息,几乎全部存储在计算机系统中。当人们在享用便捷、高效的信息技术所带来的诸多好处时,相应的,信息技术的发展也对人类社会提出了新的问题和挑战,而其中尤为突出的,就是信息技术对数据安全冲击后产生的诸多安全问题。
11克林顿时代:被动防御,基础建设
在这一时期,作为全球信息化程度最高的美国,对信息系统的依赖性最大,政策效应主要体现在关注于电力、通信、交通等对国民经济、国防安全、社会稳定起关键作用的基础设施的建设与保护。1993年,克林顿政府提出兴建“国家信息基础设施”,1995年首次提出“信息安全”的概念,2000年实施的《信息系统保护国家计划》作为美国21世纪总体信息安全战略和行动指南,提出将重要网络信息安全放在优先发展的位置并综合、全面、现实地制订了发展规划。该计划的实施将为美国的经济、国家安全、公共安全中的关键部门提供有效的保护措施[3]。同年,《国家安全战略报告》的颁布,将“信息安全”列为美国国家安全战略的正式组成部分,强调以安全、经济繁荣与民主作为国家安全战略的核心主轴[4]。
12小布什时代:先发制人,安全为先
小布什政府上任之初,因受9·11事件的影响,被保守主义劫持的美国,凭借“顶级大国”(Hyper Power)的实力,开始实施“新帝国”战略,美国对外战略的全球色彩逐渐明朗,为了实施以“先发制人、安全为先”为主的网络反恐战略,较明确地强调以国家安全、生存利益与权利平衡方面为主的政策导向。随之,美国采取了各种有效措施,全民加强网络与信息安全的防范工作。
2001年10月,布什政府意识到9·11事件后信息安全的重要性,发布了第13231号行政令《信息时代的关键基础设施保护》,宣布成立“总统关键基础设施保护委员会”,代表政府全面负责国家的网络空间安全工作。2002年通过的《联邦信息安全管理法案》将“信息安全”定义为“保护信息和信息系统以避免未授权的访问、使用、泄漏、破坏、修改或者销毁,以确保信息的完整性、保密性和可用性”。要求政府建立一套全面的信息安全控制管理框架。2003年发布的《网络空间安全国家战略》重点突出国家政府层面的战略任务,提出国家信息基础设施保障要达到3个战略目标:防止针对美国关键基础设施的数码攻击,降低国家关键基础设施的脆弱性,以及一旦攻击发生将危害和恢复时间降到最低值[5]。较明确地强调以国家安全、生存利益与权利平衡方面为主的政策导向。与此同时,制定了一系列法案,来打击计算机网络犯罪,保障关键信息基础设施的安全,如《加强网络安全法》、《公共网络安全法》、《加强计算机安全法》等。2006年签署的《联邦网络空间安全及信息保护研究与发展规划(CSIA)》确定了13个重要发展领域。
美国数据安全政策的演化路径、特征及启示Jan,2016Vol36No113奥巴马时代:主动出击,网络威慑
在这一时期,面临的是大数据与移动环境、社交媒体相互驱动的社会结合。大量的数据公布于众,美国棱镜门事件的曝光使国家、政府、企业、个人的隐私数据安全受到了政府及有关部门的重视[6]。
2009年5月,奥巴马在白宫公布了《网络空间政策评估——保障可信和强健的信息和通信基础设施》,并发表重要讲话。奥巴马在演讲词中强调,美国21世纪的经济繁荣将依赖于网络空间安全。他将网络空间安全威胁定位为“我们举国面临的最严重的国家经济和国家安全挑战之一”,并宣布数字基础设施将被视为国家战略资产。保护这一基础设施将成为国家安全的优先事项。2012年2月《网络世界中的消费者数据隐私》颁布,该报告提出了在全国数字经济发展中,将隐私数据设为商业数据管理更为现代化的概念,并构建保护隐私和促进创新的基本框架[7]。这份声明不仅强调了消费者有权在数据记录里更正数据的权利,还间接说明消费者可以用多种方式下载自己的隐私数据,并致力推动《消费者隐私权利法案(草案)》的出台。2012年《儿童在线隐私保护法案》(COPPA)关于儿童的隐私进行了修订,规定了网站经营者必须向其父母提供隐私权保护政策的通知,并且扩大了包括地理位置数据和Cookie在内的个人数据收集和处理方式[8]。2012年3月《大数据研究和发展计划》成立“大数据高级指导小组”,旨在通过政府带动引导,鼓励企业、大学和科研机构、非盈利组织从海量复杂的数据集合中获取知识的能力,加速美国在科学与工程领域发明的步伐,增强国家安全,转变现有的教学和学习方式。这是美国政府在政策层面将“大数据”上升为国家意志的重要举措,有着极为深远的影响。2014年5月总统行政办公室发布的《大数据:把握机遇,守护价值》白皮书对美国大数据应用于管理的现状、政策框架和改进建议进行了集中阐述。报告指出,大数据在为社会和经济发展等领域提供科技创新的同时,也对公民隐私产生了巨大的挑战[9]。政府不仅应当制定更多政策来关注大数据的实际应用,也应加强隐私保护技术,推动标准化的建立与应用。
从相关政策文件中可以看出,在这一时期,美国政府对数据安全采取的政策是主动出击、网络威慑,与此同时,相关州立政府也积极响应国家宏观政策。美国加州州长杰里·布朗于2015年10月8日签署了《加利福尼亚电子通信隐私法》以保证州内公民的数据不被警方轻易获取[10]。
2美国数据安全政策演化的特征
互联网与美国社会的运作与发展密不可分,并逐渐融入政治、经济、文化和军事的各个领域,但对互联网过度的依赖必然会给国家带来相应的漏洞与恐慌。于是美国在国际上率先制订了一系列数据安全政策保障其国际领军的地位。
21因时而变的法律导向
在数据安全领域,公众对政府所掌握的信息“监听”能力尤为担忧。在克林顿时代的重点是保护网络基础设施的安全;9·11事件以前公众表现出对政府强烈的不信任感,始终认为政府对国家的未来构成了重大的威胁,但9·11事件发生后,公众虽然对安全的忧虑犹存,但愿意为获得必要的安全保障暂时忍受自由权的侵犯,促使决策权力由立法机关向行政机关转移。布什将重点转为攻防结合,以国防部、国家安全局、中央情报局等为代表的国家信息安全决策机构占据优势地位[11]。自2009年《开放和透明的政府》备忘录的颁布,政府推出Data.gov,各国纷纷加入到开放政府数据运动中。与此同时,伴随着个人信息的大量泄露、企业遭遇信任危机,美国政府开始重视开放政府数据中的个人隐私保护,为能更合理的反映用户对隐私的期待,美国推动对《电子通讯隐私法案》的改革,目前已获众议院多数支持。2015年2月,白宫公布《消费者隐私权利法案(草案)》[12],该草案一方面赋予了美国民众更大的隐私权,旨在数字化时代让消费者更好地控制他们留在互联网上数据足迹的使用、存储和销售;另一方面允许各行业在美国联邦贸易委员会的监督下自主制定有关数据隐私的行为守则,并试图在保障消费者隐私并给予企业一定灵活性间寻求平衡。
22多种战略结合
美国,作为世界上第一个引入网络战的国家,也是第一个积极加强网络安全建设的国家,在制定网络安全战略的同时,也制定并实施了全面的网络安全人才战略,尤其是精英的培养战略。
2000年《国家安全战略报告》的颁布,使信息安全正式成为国家安全战略框架的一部分,2003年《网络空间安全国家战略》的正式出台标志着国家信息安全独立地位的最终确认。从2004年开始,美国国土安全部就与美国国安局(NSA)的“信息保障司”(IAD)合作实施了“国家学术精英中心”计划 。随着数字技术的快速发展,美国先后调整了国家信息安全政策,以巩固其在国际的领先地位,促使数据安全在国家信息安全政策中的地位不断上升。在政策框架中,美国强调大数据科技创新及开放数据、数据安全的重要性。一方面积极推动政府开放数据与数据安全政策的制定;另一方面,加强对人才培养及技术创新研发的投入。2012年6月6日,美国国土安全部将与大学和私企合作启动一项培养新一代网络专业人才的计划。这项计划的任务是:制定人才培养战略,提升国土安全部对网络竞赛和大学计划的参与程度;加强公司合作伙伴关系;通过跨部门合作,组建一支能在联邦政府所有机构工作的网络安全队伍。2012年9月,美国发布了“NICE战略计划”,旨在加强网络安全的人才队伍,通过对网络安全专业人员、在校学生、普通公众这三类群体进行教育和培训,以扩充网络安全人才储备、提高全民网络安全的风险意识、培养具有全球竞争力的网络安全专业队伍[13]。
23加强跨国保护合作
数据的跨国特性和高速发展的经济相互依存,决定了国家必须通过行为体之间的合作来保护特定国境内的数据安全,共同应对来自非国家行为体的挑战,实现共同的国家信息安全。在美国与其他国家的合作中,最引人瞩目的是与欧盟的跨国保护合作。由于美国缺乏统一的数据保护法,未能达到欧盟指令的充分保护要求,这将妨碍个人数据在美欧之间跨境转移。为了解决这一问题,美国和欧盟于2000年达成了一个折衷的安全港协议。这就是在美国和欧盟之间的实现数据跨境流动的“美国——欧盟安全港协议”(Safe Harbor)[14],用于调整美国企业出口以及处理欧洲公民的个人数据,如姓名和住址等。简言之,这份协议主要是为了方便企业在欧盟和美国之间转移数据。协议达成后,欧委会通过“2000/520号欧盟决定”,确认安全港隐私原则以及附属条款,对个人数据的保护达到了欧盟指令的充分保护要求。然而,在美国曝光监听丑闻及棱镜事件后,欧洲议会议员表示,将寻求终止欧美金融数据共享协议,以作为对美国“棱镜”计划窃取部分欧洲国家情报的回应。2015年10月6日,欧盟法院公布了一份无效判决 ,宣布“2000/520号欧盟决定”(Safe Harbor Decision)无效。欧盟法院认为,该决定不仅危害了尊重私生活的基本权利,而且危害了有效司法保护的基本权利,因为其没有给个体提供获取、修改、清除其个人数据的救济。此外,这份无效判决对已经存在了15年之久的美欧安全港协议的效力带来了重大挑战。成员国数据监管机构可以因此禁止美国公司在美国收集、存储其国民的个人数据[15]。尽管如此,该判决对美欧个人数据跨境流动的潜在影响,以及是否会使美国公司在美国收集、存储欧盟公民的个人数据变得更加困难,还有待进一步观察。
24经费向应用性研究倾斜
大数据作为一种重要的战略资源,它将网络空间与现实空间、传统安全与非传统安全熔于一炉,将数据安全带入一个全新又负责的时代。从美国先后制定的战略与法规不难看出,技术发展日新月异,自“9·11”后,美国信息安全技术研究经费主要来源于美国国防部高级计划研究署(DARPA),研究重点倾向于机密项目、武器项目的研究。美国信息安全研究的经费更倾向于工程性、实用技术性研究,希望支持可以立即投入应用,能获得短期回报的项目[16]。政府重视与公司合作,加大了与工业界巨头的合作,工业界已经站到了信息安全的前沿,成为实际信息技术的研究者和实施者。数据安全政策的实施以及新的数据安全技术的推广离不开政府与私营部门间的合作。因此,美国在新的数据安全政策中,把公私合作作为发展的一个重点。美国政府投入大量资金推动公司不断创新其产品内容,更新政府数据安全产品与技术,以便更好地保护国家领域内的数据安全。
3美国数据安全政策对我国的启示
与传统公共政策对比,数据安全政策更为多元、复杂。数据安全和信息化对一个国家诸多领域而言是牵一发而动全身的,我们必须要有一个宽阔的国际视野,打破思想上的束缚,借鉴美国政府在数据安全方面所扮演的重要角色,应势而动,顺势而为,推进政府在战略规划、法律修订、国际合作与科技研发方面的引领作用,加快我国开放数据与数据安全平衡机制的顶层设计,处理好发展与安全的辩证关系。
31推动战略与法律的制定
2015年8月31日,国务院发布了《促进大数据发展行动纲要》[17],这是指导我国大数据发展的国家顶层设计和总体部署,旨在赋予大数据作为建设数据强国、提升政府治理能力推动经济转型升级的战略地位。2015年12月16日,第二届世界互联网大会在我国乌镇举行,大会以构建网络空间命运共同体为主题,围绕全球互联网治理、网络安全等诸多议题进行探讨与交流。有鉴于此,应加快对网络数据采集、传输、存储、使用管理的标准规范研究,加大对隐私数据安全、网络安全保障、跨境数据流动以及国家信息基础设施的建设与保护,建立“边开放边保护”可持续发展的政策原则。此外,强调数据信息资源安全,包括以商业秘密为代表的经济数据和政府部门受保护的数据,以及包括禁止拦截和窃取个人数据、个人数据存储与删除的安全保护要求,提升大数据安全保障与防范能力。
32推进国际合作,维护本国数据跨境流通安全
发展是目的,安全是前提,我们需要更广阔的国际视野与国际社会共同治理日益技术化、数据化的世界,以寻求我国的社会发展与数据跨境流通安全。第一,在研究美国数据安全政策动向基础上,捕捉机遇,以对话的方式来维护我国数据跨境流通的安全性;第二,借鉴欧盟数据安全政策并与其建立合作关系,欧盟作为拥护数据自决权的一大组织机构,将尊重私生活和隐私视为一项基本权利,数据安全在其领域内有着举足轻重的历史地位。2015年10月21日,英国首相卡梅伦与中国国家主席习近平会晤后,两国就打击网络犯罪问题签署了一项“高级别安全对话”协议,旨在防止以盗窃知识产权或瘫痪系统为目的对两国企业的网络攻击。该项协议是中国和英国迈向未来更广泛安全合作的第一步[18];第三,加强与俄罗斯、印度等发展中大国的合作,增进国家政治互信,共同维护地区的安全和稳定,并降低面临美国网络攻击的威慑。随着国际间网络战争的愈演愈烈,互联网成为继陆、海、空、天之后的第五大战略空间,网络信息安全、数据安全以及成为国家安全的重要保障。
33寻找有利的政策工具
面对在数据安全政策、数字技术、控制权及高端设备等“西强我弱”的格局下,我国应当借鉴美国已有的数据政策工具,通过推进数字技术漏洞隐患的分析与发现、人才的培养及储备,大数据学发现与创新研究能力推进我国的数据安全政策的制定与实施。
作者:马海群 王茜茹 来源:现代情报 2016年1期
