第二節 國外主要國家及地區網絡安全立法情況概述

自計算機和網絡誕生之初，安全問題就相伴而生，飛速的技術和其他應用形式的更迭，使得網絡空間安全形勢也越發嚴峻并逐漸上升為影響國家安全和社會安定的全局性問題。目前全世界90多個國家均已制定、頒布針對網絡安全及相關問題的管控措施和專門立法。對于網絡空間進行科學的治理已經成為世界各國的共同態度。美國、俄羅斯、英國、德國、澳大利亞、新加坡、印度等國家都制定了專門的國內立法，歐盟等國際組織也積極推動相關決議維護網絡空間安全秩序（見表2-1），而我國也在經歷了長期的積累和充足的研討后制定、發布了《網絡安全法》，正式進入網絡治理的法治時代。

一、美國法

美國是全球網絡技術發源地，在新技術方面占有絕對優勢地位，同時其頒布的網絡信息安全相關法案也是最多的，據不完全統計至今共計高達130余部，具體涉及計算機系統的運行標準、信息處理的方法和具體技術操作、不同群體的網絡權益等領域，規制了行業準入、電話通信、數據保護、消費者保護、版權保護等方面，對破壞網絡基礎設施的犯罪行為也制定了嚴格的懲處標準。

在網絡信息安全方面，美國有嚴格的數據信息保密法，規定公民隱私權不容侵犯且使用者有義務對信息進行保密等。而“9·11事件”的發生直接導致美國將立法重點放在保護國家安全和打擊恐怖主義之上，對于網絡空間的管轄也必須充分考慮安全可控性。例如，2001年通過的《愛國者法案》，明確授予美國國家安全局以保護國家安全，打擊恐怖主義為目的收集調查任意美國民眾電話記錄和數據記錄的權利，這無疑是對網絡空間管控的極大強化。近幾年的《國土安全法案》和《國防授權法案》也都對網絡部分的國家部門設置、職責劃分和國家預算進行不斷的更新和細化。

除了國家層面外，在社會安全層面美國也進行了系統化的網絡安全立法。例如，2010年美國審議了《2010年網絡安全加強法案》，該法案的目的是加強網絡安全的研究與發展，推進網絡安全技術標準制定。2015年美國審議了《美國創新與競爭力法案》，這項法案要求國家科學基金會發布并定期更新其工作人員和政策指導意見，研究滿足未來網絡安全需求的信息系統，并制定流程用以研究能夠滿足未來網絡安全需求的加密標準和準則。

此外，美國還高度重視關鍵基礎設施的安全保護，以及國家網絡安全審查制度建設。例如，2017年特朗普政府簽發的《增強聯邦政府網絡與關鍵性基礎設施網絡安全》行政令。這項行政令要求采取一系列措施來增強聯邦政府及關鍵基礎設施的網絡安全，并按聯邦政府、關鍵基礎設施和國家三個領域來規定將采取的增強網絡安全的措施。在關鍵基礎設施網絡安全方面，要求按關鍵基礎設施名單進行評估，并提交網絡安全風險評估報告，之后每年重新評估并提交一次評估報告。該項行政令還要求政府機構為重要行業的私有部門和運營商（例如，銀行、通信和水電等公共事業）提供更多幫助。

二、俄羅斯法

在網絡安全日趨重要的新形勢下，俄羅斯一直非常注重網絡防護。《俄羅斯聯邦憲法》已經將信息安全納入了國家安全管理范圍，在此基礎上制定頒布了《俄聯邦信息、信息化和信息網絡保護法》，以此規范俄互聯網行為。除此之外，俄羅斯針對信息安全還進行了部分專項立法，從上到下形成了較為完備的多層級信息安全法律體系。

俄聯邦安全局的統計數據顯示，俄羅斯總統辦公廳、國家杜馬、聯邦委員會網站每天遭受黑客攻擊達1萬余次，俄計算機用戶面臨來自互聯網的風險水平連續數年高居全球首位。而在“棱鏡門”事件中，美國對各國進行網絡攻擊及監視范圍之廣也讓俄羅斯政府及軍方大為警覺。因此，提高網絡安全應對能力成為俄政府和軍方近年來的重要議題。2013年1月普京簽署總統令，要求俄聯邦安全局建立國家計算機信息安全機制來監測、防范和消除計算機信息隱患，具體內容包括評估國家信息安全形勢、保障重要信息基礎設施的安全、對計算機安全事故進行鑒定、建立計算機攻擊資料庫等。

俄羅斯在信息安全立法方面較為重視綱領性文件的作用。先后出臺了《俄羅斯網絡立法構想》、《俄羅斯聯邦信息和信息化領域立法發展構想》、《信息安全學說》等綱領性文件，在這些指導性文件和綱領性文件的指導下，涉及各領域的網絡安全立法工作得以有序進行，并通過了一系列包括《俄聯邦計算機軟件和數據庫法律保護法》、《俄聯邦保密法》、《俄聯邦著作權法》、《個人信息法》、《電子合同法》、《電子商務法》、《電子數字簽名法》、《產品和服務認證法》、《信息保護設備認證法》等法律。

2017年7月，俄羅斯議會上院通過了一攬子政府法案，以保護關鍵信息基礎設施免遭網絡攻擊，其中明確關鍵基礎設施包括政府數字系統和電信網絡、國防行業技術流程自動化控制系統、醫療保健、交通、通信、金融、能源、核、航空航天等行業。法律同時規定，創建惡意軟件，并對關鍵基礎設施造成嚴重損害者可能被判處長達10年的監禁。

三、歐盟法

歐盟是較早擁有網絡安全管制意識的國際組織之一，多年的立法實踐過程使其在網絡安全體系建設方面成效顯著。早在2001年歐盟就提出了“網絡和信息安全相關建議”，并在隨后的2004年成立歐盟網絡和信息安全局，收集分析歐洲網絡安全事件數據并提高歐盟各國應對信息安全風險的能力，協調信息安全領域各個參與主體活動，協助各國計算機應急響應組織的各項活動。

在個人數據保護立法方面，歐盟立法機構的態度存在較為明顯的轉變。2006年3月馬德里和倫敦公交系統遭遇恐怖襲擊后，歐盟頒布了《數據保留指令》，該指令要求電信公司將歐盟公民的通信數據保留6個月到兩年。但隨著“棱鏡門”曝光及一系列個人數據泄露和監聽行為的披露，2014年4月8日，歐洲法院裁定《數據保留指令》無效，理由是該項指令允許電信公司對使用者的日常生活習慣進行跟蹤，侵犯了公民人權。

2016年7月6日，歐盟立法機構正式通過首部網絡安全法《網絡與信息系統安全指令》，旨在加強基礎服務運營者、數字服務提供者的網絡與信息系統之安全，要求這兩者履行網絡風險管理、網絡安全事故應對與通知等義務。此外，該法要求成員制定網絡安全國家戰略，要求加強成員間合作與國際合作，要求在網絡安全技術研發方面加大資金投入與支持力度。

在實踐方面，2013年1月，歐盟委員會在荷蘭首都海牙正式成立歐洲網絡犯罪中心，以應對歐洲日益增加的網絡犯罪案件。網絡犯罪中心連通所有歐盟警務部門的網絡，整合歐盟各國的資源和信息，支持犯罪調查，從而在歐盟層面找到解決方案，維護一個自由、開放和安全的互聯網，保護歐洲民眾和企業不受網絡犯罪的威脅。2013年4月，歐洲部分私人網絡安全公司聯合成立了歐洲網絡安全小組，通過聯合600多名網絡安全專家針對問題做出快速有效的反應，建立伙伴關系。同時利用“一線經驗”優勢，在網絡防御政策、風險預防、跨境信息共享等問題上向政府、企業和監管機構提供更有效和實用的建議。

四、英國法

目前，英國的網絡安全立法較為完整。英國不僅通過國家網絡安全戰略等形式對網絡安全治理方向進行規制，還在關鍵信息基礎設施保護、個人信息安全、跨境數據流動等方面進行專門立法。除此之外的一系列實踐措施也有助于政府、企業、民眾相互配合，完善互聯網的治理和管控。

2000年，英國制定了《通信監控權法》，規定在法定程序條件下，為維護公眾的通信自由和安全及國家利益，可以動用皇家警察和網絡警察。該法規定了對網上信息的監控。“為國家安全或為保護英國的經濟利益”等目的，可截收某些信息，或者強制性公開某些信息。2001年實施的《調查權管理法》，要求所有的網絡服務商均要通過政府技術協助中心發送數據。2014年7月，英國政府召開特別內閣會議，通過了《緊急通信與互聯網數據保留法案》，該法案允許警察和安全部門獲得電信及互聯網公司用戶數據的應急法案，旨在進一步打擊犯罪與恐怖主義活動。

2009年6月，英國出臺了首個國家網絡安全戰略，宣布成立“網絡安全辦公室”和“網絡安全運行中心”，提出建立新的網絡管理機構的具體措施，以促進產業發展和維護網絡安全。2010年10月，英國政府發布了《戰略防務與安全審查——在不確定的時代下建立一個安全的英國》，將惡意網絡攻擊與國際恐怖主義、重大事故或自然災害，以及涉及英國的國際軍事危機共同列入安全威脅的最高級別，建議啟動為期四年、總額達6.5億英鎊的國家網絡安全計劃。2011年11月，英國公布新的《網絡安全戰略》，表示將建立更加可信和適應性更強的數字環境，以實現經濟繁榮，保護國家安全及公眾的生活所需；并將加強政府與私有部門的合作，共同創造安全的網絡環境和良好的商業環境。近年來，英國愈加注重技術人才的儲備，在2014—2015年，英國分別在多所大學里設立專家課程并提出“網絡安全學徒計劃”，旨在號召青年人加入網絡信息安全領域。

五、澳大利亞法

澳大利亞有著良好的信息安全保護傳統，其信息安全立法可謂走在世界前列。早在1988年，澳大利亞就專門制定了保護個人信息安全的《隱私法》。隨著通信技術的發展，澳大利亞政府及各部門制定了一系列與信息安全有關的法律、標準和指南，包括《電信傳輸法》、《反垃圾郵件法》、《數字保護法》、《信息安全手冊》等，修訂了《刑法》，以適應打擊新型網絡犯罪。2000年，澳大利亞政府發布信息安全風險管理指南。2001年，發布“保護國家信息基礎設施政策”，即政府信息安全行動計劃，用以對澳大利亞的關鍵基礎設施進行保護。此外，澳大利亞標準局還制定和采納了一系列信息安全標準，主要包括信息安全管理體系標準、澳大利亞和新西蘭信息安全管理標準、澳大利亞聯邦政府IT安全手冊、IT安全管理的信息技術指南等。政府部門都被要求遵循這些標準，執行情況由國家審計署進行審查。

2009年澳大利亞政府發布《網絡安全戰略》，從此將網絡安全提升到國家戰略的高度。該戰略詳細描述了澳大利亞政府將如何保護經濟組織、關鍵基礎設施、政府機構、企業和家庭用戶，使之免受網絡威脅；并確立了國家領導、責任共擔、伙伴關系、積極的國際參與、風險管理和保護價值觀六大指導原則。該戰略還提出了信息安全三大戰略目標：一是讓澳大利亞所有公民都意識到網絡風險，確保其計算機安全，并采取行動確保其身份信息、隱私和網上金融的安全；二是讓澳大利亞企業能利用安全、靈活的信息和通信技術，確保自身操作和客戶身份信息與隱私的完整性；三是讓澳大利亞政府能確保其信息與通信技術是安全的且對風險有抵抗力。

2016年，澳大利亞政府公布了新的《澳大利亞網絡安全戰略》。此安全戰略的重點是提升澳大利亞在網絡環境中的保護能力，以及提高對網絡惡意行為的抵抗力。澳大利亞政府計劃撥款2.3億澳元加強網絡安全，并為澳大利亞聯邦警署、犯罪委員會和通信局等部門聘請網絡安全專家。同時，澳大利亞制定了一系列與信息安全有關的法律、標準和指南，包括《廣播服務法》、《反垃圾郵件法》、《互聯網內容法規》、《數字保護法》等，規定各社會主體對網絡安全承擔的責任和義務。政府部門和司法機構也必須根據這些法律采取管理措施，懲治破壞網絡安全的行為。

澳政府還積極開展網絡安全教育，提高全民網絡風險意識。例如，免費在計算機上安裝軟件，屏蔽不良網站，建立青少年網絡安全保護公益組織，并為公眾投訴非法的互聯網內容設立了舉報投訴機制。

六、新加坡法

新加坡的網絡安全指數位列全球第一位，這得益于其嚴格的網絡管理體制和超前的網絡治理思維。早在1997年，新加坡就成立了國家計算機應急響應隊伍。2005年，新加坡發布了該國首個《信息安全總體規劃（2005—2007年）》，旨在保護國家網絡環境，建立公共領域面對網絡威脅時響應和處理的基本能力。隨后，在2008年和2013年，新加坡又先后推出了第二、第三部《信息安全總體規劃》。尤其是第三部《信息安全總體規劃》，旨在使新加坡在2018年之前發展成為值得信賴并健全的資訊通信樞紐。

《國內安全法》是新加坡國家安全的基礎性法規，其在管理網絡安全方面規定了禁止性文件與禁止性出版物，互聯網服務提供商的報告義務，以及為了維護國家安全，國家機關擁有的調查權與執法權。《互聯網操作規則》明確規定互聯網服務提供者和內容提供商應承擔自審義務，配合政府的要求對網絡內容自行審查，發現違法信息時應及時舉報，且有義務協助政府屏蔽或刪除非法內容。同時，新加坡還將上百個政治性網站列入禁訪者清單，不遵守規定的網絡服務供應將被吊銷執照或罰款，私下訪問者也會受到刑罰。政府還鼓勵服務供應商開發推廣“家庭上網系統”，協助用戶過濾不適宜看到的內容。

在網絡安全實踐方面，新加坡也做出了許多創新性嘗試。2009年新加坡成立了資訊通信科技安全局，主要職責包括監管和保障關鍵信息基礎設施領域的網絡安全問題，保護新加坡免受網絡攻擊和網絡間諜活動的威脅。隨后的2015年4月，新加坡又成立了網絡安全局，以統籌政府各部門的網絡安全事宜應對網絡安全威脅日益增加、個人信息泄露事件接連發生的情況。

2016年，隨著新加坡提出打造數字化智能國家的計劃，相應對網絡和數字科技的依賴與日俱增，新加坡對網絡安全越發重視，推出了《新加坡網絡安全策略》，旨在推動政府機構、網絡行業、專家學者和主要服務業者等各利益方共同努力來打擊網絡犯罪。新加坡網絡安全局將成立網絡安全學院，通過相關培訓提高政府機構及關鍵信息基礎設施網絡安全人員的技能水平，確保新加坡有足夠的能力更好地應對網絡襲擊。網安局也會連同資訊通信專才協會和其他機構推出網絡安全獎，肯定杰出網安專家、機構，以及學生對本地網安系統做出的貢獻。

2017年，新加坡發布了《網絡安全法案（草案）》，該法案聚焦應對網絡安全威脅和事故、維護關鍵信息基礎設施、促進信息的分享、管制網絡安全行業四方面。它將授權新加坡網絡安全局在發生網絡襲擊時立即展開調查，并要求受影響單位提供事故報告和其他關鍵資料，其效力將凌駕于新加坡的資料與隱私保護條例之上。

七、日本法

在亞洲國家之中，日本網絡技術發展起點高、速度快，網絡規制意識成型較早。在1988年日本就制定了《關于保護行政機關所持有之個人信息的法律》;2003年5月頒布了日本《個人信息保護法》，并相繼制定、頒布了針對行政機關、獨立行政法人等持有個人信息機關的多部法律。

在消滅垃圾郵件、計算機病毒及保護網民隱私信息方面，日本也有明確的法律。日本2011年對《刑法》進行了部分修正，要求網絡運營商原則上保存用戶30天上網和通信記錄，根據必要還可以再延長30天。在網絡安全方面，2013年6月10日，日本正式發布《日本網絡安全戰略》，提出了創建“領先世界的強大而有活力的網絡空間”，實現“網絡安全立國”的目標。

2014年1l月6日，日本國會眾議院表決通過《網絡安全基本法》，規定電力、金融等重要社會基礎設施運營商、網絡相關企業、地方自治體等有義務配合網絡安全相關舉措或提供相關情報，此舉旨在加強日本政府與民間在網絡安全領域的協調和運用，更好應對網絡攻擊。該法還規定，日本政府將新設以內閣官房長官為首的“網絡安全戰略本部”，協調各政府部門的網絡安全對策，與日本國家安全保障會議、IT綜合戰略本部等其他相關機構加強合作。

在實踐方面，日本還采取了完善信息安全機構、擴充網絡安全力量、健全信息安全保障機制、研發網絡安全技術、舉行信息安全演習、舉辦黑客技術比賽、嚴厲打擊網絡違法行為、廣泛開展交流合作等一系列舉措，加強信息網絡安全建設。

八、印度法

印度一直非常重視網絡監管，懲罰措施也相當嚴厲。印度是世界上為數不多專門為信息技術立法的國家之一。早在2000年，印度就頒布了《信息技術法》，規定了八類行為構成“破壞計算機和計算機系統”犯罪，一經查實，犯罪者要負擔的民事賠償金額最高可達1000萬盧比。除此之外，該法還涉及刑事、行政管理、電子商務等內容，為該國網絡監管提供了法律框架。印度的刑法典、刑事訴訟法、銀行法、證據法也進行了相應的修改以適應信息網絡發展的要求。

2007年，印度政府下決心將網絡監管系統化。2008年孟買連環恐怖襲擊事件的發生，促使印度政府重新修訂《信息技術法》，特別將移動通信納入監管范疇。2011年印度政府進一步修訂了《信息技術法》，重點加大對網站的規范管理，并規定印度政府有關部門有權查封可疑網站、刪除不良內容。

在實踐方面，印度政府成立了印度數據安全委員會，專門針對日益增多的網絡數據安全問題提供權威監測和管理方法。印度當局建立了針對網絡犯罪的警察局和計算機犯罪分析實驗室等專門機構，中央調查局也開始與美國等一些國家的安全機構共享情報，共同打擊跨國網絡犯罪。

九、以色列法

1995年4月，以色列政府正式成立了名為“計算機系統和信息安全審查顧問委員會”的職能機構，組織以國防部門職業軍人為主的專業隊伍，為政府研究設計信息安全領域的管理標準，承擔IT系統的安全審計，并就計算機敏感領域的安全管理提供對策性建議。

2002年以后，以色列的內外安全形勢發生了較大變化。一方面，在國內安全環境上，以色列民眾和關鍵基礎設施日益遭受巴勒斯坦抵抗組織的襲擊，并且出現了利用移動電話、互聯網絡等IT技術組織、協調恐怖行動的苗頭；另一方面，在國際安全環境上，針對國家關鍵基礎設施的網絡攻擊初現端倪，特別是2007—2008年所發生的愛沙尼亞和格魯吉亞網絡被攻事件給以色列政府敲響了警鐘。在這種情況下，以色列國家安全委員會于2002年12月11日出臺了名為《以色列信息化系統保護職責》的“B/84號特別決議”，這是以色列正式公布的首例網絡安全政策。該政策與美國2002年所頒布的《關鍵基礎設施信息保護法》幾乎處于同一時期，這使得以色列迅速躋身于全球關鍵基礎設施保護的先驅國家行列。在“B/84號特別決議”中，以色列對關鍵基礎設施的相關概念進行了清晰的定義，并明確了未來網絡安全政策的實施手段和建設目標，同時還表示關鍵基礎設施的保護工作需由使用者和監管者共同承擔，實施義務上的分攤協作，發揮監管組織上的專項職責。

2010年，以色列參照美國發布《網絡安全評估報告》的方式，對國家現有網絡安全的整體狀況進行了全面評估。啟動此次評估項目的主要目的是進一步摸清以色列網絡政策的實施效果、預判網絡安全的風險挑戰，進而為下一階段以色列網絡空間優勢能力的提升奠定扎實的基礎。經過“國家網絡計劃”的評估診斷后，以色列政府于2011年8月7日正式公布了關于推動國家網絡空間能力的“3611決議”，即《2011以色列國家網絡戰略》。該戰略采用了“國家網絡計劃”中的多項政策建議，提出要強化以色列國內各領域網絡安全設施的防護水平，鼓勵政府部門、學術界、工商界和企業界等單位協同攻關、通力合作，推動以色列網絡空間能力建設，改進國家網絡安全治理水平，進而確保以色列全球五大網絡強國的優勢地位。

十、越南法

盡管越南在國際電信聯盟發布的《2017年全球網絡安全指數》報告中位于東南亞國家網絡安全排名的較后位置，但越南國家和政府已經逐漸意識到網絡所帶來的機遇及應對相關安全威脅的重要性，先后在2011年和2015年頒布了《密碼法》和《網絡信息安全法》，在網絡治理規范化、系統化的道路上進行不斷探索。

2011年，越南頒布了《密碼法》，從整體上規定了國家密碼活動及其參與人員的權利、義務和責任，并重點關注國家機密領域的密碼管理。這一舉措在當時的東南亞地區屬于先進的立法實踐。

2015年年初，越南《信息安全法（草案）》被更名為《網絡信息安全法（草案）》，其于2015年11月19日上午由越南國會表決通過，并于2016年7月1日起生效。該法規定了機關、組織和個人在保護網絡信息安全過程中的網絡信息安全活動、權利和義務、民用密碼、網絡信息安全的技術標準與規范、信息安全業務、網絡信息安全的人員發展、國家網絡信息安全管理等內容。該法普遍適用于任何越南機關、組織或個人，以及越南境內直接參與或從事越南網絡信息安全相關活動的外國組織和個人。從內容上來看，這部《網絡信息安全法》是越南國家和政府在面對來自互聯網安全挑戰時制定的一部較為完整的“參考答案”；從已有的密碼管理和使用領域上來看，它在一定程度上是對越南《密碼法》的補充和細化。