网络安全立法进一步完善,美莫须有称400万雇员信息

[据联邦计算机周刊2018年2月21日报道] 根据迈克菲和战略与国际研究中心的报告,2017年全球网络犯罪的损失估计达6000亿美元。

当地时间4日,美国人事管理局称其人事档案数据库遭黑客攻击,约400万现任或离任政府雇员的个人信息“可能已经外泄”。美国媒体引述美官员的话再次将矛头指向中国,称人事局网络系统遭攻击可能是“中国黑客”所为,并表示此次事件可能是美国政府网络系统遭受的“最大规模的一次入侵”。中国外交部发言人洪磊5日就美方的指控表示:“类似的报道、类似的言论,近期我们看得比较多了,但是它科学吗?网络黑客攻击具有匿名性、跨国性、溯源难的特点,不经过深入的调查研究,总是说‘可能是’、‘莫须有’,这是不科学的,也是不负责任的。”中国驻美大使馆也表示,美方的说法是“假设性指控”。

2015年,网络安全立法持续升温,多个国家和地区在网络安全立法方面取得显著进展。美国作为网络安全立法走在世界前列的国家,依然毫不松懈,在2014年底通过五部与网络安全相关的法律基础上,积极聚焦网络信息共享立法,推进对现有法律的修订,并开始布局新兴领域网络安全立法。中国也大力加强网络安全立法,随着《中华人民共和国网络安全法》的发布,中国网络安全立法迈出实质性步伐。

图片 1

“这正在改变我们所做的一切,”FBI网络部门副主任霍华德·马歇尔2月21日在CSIS发布该报告的活动上说,该报告调查了全球20%的国家。

据美国《华盛顿邮报》5日报道,此次外泄的信息包括政府雇员的社保号码、工作职务、业绩以及培训情况等人事记录详情。关于泄密信息是否包括政府雇员的收入情况,人事管理局拒绝透露。该机构负责人表示,他们目前仅查到了黑客的“访问权限”,尚不清楚黑客“取走”了哪些资料。法新社称,目前尚不清楚此次事件是否涉及到美国总统奥巴马、美政府高层官员及情报部门的信息。美国有线电视新闻网称,“人事数据被黑”仅涉及美国行政部门雇员,立法、司法及军方机构工作人员信息外泄的可能性已被排除。美联社称,已经了解到奥巴马政府正在评估这次大规模数据外泄的影响。

网络安全立法;欧盟;数据保护;电子科学技术情报研究所;中华人民共和国;信息化部;信息共享;高级工程师;基础设施;关键词

当今世界各国高度重视网络安全,以法律形式、法律思维推动整个网络安全,依法惩治各种网络违法犯罪行为,中国作为网络大国更需与时俱进,走在法治的前列,用法律的手段为网络安全保驾护航

“我们很快就了解到,我们FBI的组织结构图——这已经存在了几十年——可能没有准备好随着它的扩展而处理这个问题,”马歇尔说,并补充说,网络部门横跨其他部门横向扩展,如刑事调查、反恐怖主义和反间谍。

现在,美国联邦调查局和国土安全部已介入调查。美国参议院情报委员会苏珊·柯林斯4日接受美联社采访时表示:“调查人员怀疑,这次网络入侵是中国人干的。”美方认为,该事件可“追溯至中国政府”。美国一名情报官员4日接受CNN采访时表示,“中国黑客”受雇于该国军方,他们“正在致力于构建一个庞大的美国数据库”。美国信息安全公司“iSightPartners”表示,此次事件和今年2月美国医疗保险服务巨头Anthem遭网络攻击系同一伙黑客所为。此前FBI怀疑,入侵Anthem网络系统的也是“中国黑客”。《华盛顿邮报》5日援引人事管理局首席信息官多纳·西摩的话称,人事管理局的数据库对不法人士而言是个“高价值目标”,大量的人事资料是“对手一心想获取的东西”。报道称,此次黑客利用了一款名为“零日漏洞攻击”的网攻工具,该工具在网络领域并不多见。美国国土安全部4日发表声明称,相关部门在5月初就已觉察到美国人事管理局及内政部网络系统被攻击。这两个部门都采用了一个名为“爱因斯坦”的新型网络监测系统,该系统专门用于扫描并识别联邦机构网络系统的威胁。

2015年,网络安全立法持续升温,多个国家和地区在网络安全立法方面取得显著进展。美国作为网络安全立法走在世界前列的国家,依然毫不松懈,在2014年底通过五部与网络安全相关的法律基础上,积极聚焦网络信息共享立法,推进对现有法律的修订,并开始布局新兴领域网络安全立法。欧盟则继续推进数据和隐私保护立法,拟于2016年推出新版《一般数据保护条例》,以期在整个欧盟境内实施统一的数据保护规则。中国也大力加强网络安全立法,随着《中华人民共和国网络安全法》的发布,中国网络安全立法迈出实质性步伐。

互联网时代,很多人都经历过这样的情况:刚网购完东西,就接到类似产品的推销电话;或者刚报完名考试,卖考题、卖答案、办培训班的电话随后就到。

根据白宫经济顾问委员会2月16日发布的报告,2016年网络攻击造成美国570亿至1090亿美元的损失。

《环球时报》记者4日注意到,FBI和人事管理局就此事发表的声明中,都没有提到中国是“嫌犯”。该事件调查才进行不久,美国一些官员和媒体就已急于给中国“定罪”。《华盛顿邮报》称,中国是针对美国和其他西方国家网络系统“最具侵略性的国家之一”。美国前FBI高级官员伯格拉斯说:“中国简直无处不在。中国试图从政治、经济、社会等多个领域超过美国,实现这一目标最简单的方式就是窃取专利产品和敏感信息。”美国参议院国土安全和政府事务委员会主席罗恩·约翰逊表示,如果报道属实,外泄信息已“掌控在中国手中”这一事态“令人不安”。他敦促人事管理局进一步提升信息安全保护措施。美国媒体纷纷渲染,“中国黑客一年之内两次入侵人事局网站”“美国政府几个月里已遭两次大规模网攻”。去年7月,美国《纽约时报》曾爆料人事局被“中国黑客”攻击的消息。今年4月美媒再爆出俄罗斯入侵美国白宫和国务院的邮件系统。

网络安全 法律法规 信息共享 数据保护

今后,这种状况或将随着网络安全法的出台而有所改变。

CEA的报告发现,2016年公共部门遭受最严重的打击,有21239起网络事故——其中20751起针对大型组织——和239起已知的违规行为。

洪磊5日在例行记者会上强调,中方坚决打击一切形式的网络黑客攻击行动。中国自己也是网络黑客攻击的受害者,在这一领域,我们愿意开展国际合作,共建和平、安全、开放、合作的网络空间。我们希望美方不要疑心重重,捕风捉影,而应在这一领域更多展现信任和合作。

刘京娟:情报学硕士,工业和信息化部电子科学技术情报研究所工程师,主要研究方向为网络安全立法、关键信息基础设施保护、大数据网络安全等。

2015年7月初,网络安全法在全国人大网上全文公布,并向社会公开征求意见一个月。

但是,McAfee-CSIS的报告还发现,北美的经济损失落后于欧洲和亚洲。

美国弈图战略咨询公司网络安全咨询总监许婷5日对《环球时报》记者表示,美国官方目前尚在调查此事,美媒现在就指责中国,这很不成熟。如今网络安全没有国际规范,也没有国际治理的有效先例。各国今后很可能大力增强军方网络安全,未来国际网络安全合作前景会趋于复杂化。一名中国网络安全人士5日接受《环球时报》记者采访时表示,要入侵拥有数百万人的信息数据库,需掌握罕见的技术,拥有这种能力的组织很有可能并非来自中国,美方指控中国需拿出确凿的证据。最近美国不断炒作“中国话题”,此前美宾夕法尼亚州立大学工程学院网络遭攻击被美方怀疑是“中国黑客”所为;前不久,美国还通缉了6名中国“经济间谍”,这些都显示美方正采取一种强硬的态度,试图给中国施压,为即将到来的中美战略与经济对话造势。

张慧敏:管理科学与工程专业博士后,工业和信息化部电子科学技术情报研究所高级工程师,主要研究方向为网络安全战略与政策。

草案共7章68条,涉及网络安全战略、运行安全、信息安全、监测预警、法律责任等方面。每一项法条都连接着生动的现实,关乎每一个网民的切身利益与安全。

报告发布时,政策制定者正在努力研究如何最大限度地规范网络安全,确保个人受到收集其数据的政府和私营公司的保护。

【环球时报驻美国特约记者 孙卫赤 环球时报记者 魏莱 周璇】

图片 2

草案中的一些显著条款包括国家实行网络安全等级保护制度、网络运营者应当加强对用户个人信息、隐私和商业秘密的保护等。

但马歇尔表示,尽管美国尚未明确答案,但他不确定像欧盟的《通用数据保护条例》这样的惩罚性立法努力是正确的解决方案,该条例将于5月份实施,其全球税收惩罚率为4%。

图片 3

数据保护也是其中一个重要议题,该草案责令互联网公司加大用户数据保护力度,并在危及用户数据的事件发生时迅速响应。另外,还将推进实名制监管。

“我们在美国没有这种情况。一个高度惩罚性的立法试图说服人们,数据保护是重要的。“我不认为任何人都认为立法是正确的方式,”马歇尔说,“如果我们等待足够长的时间,而这个行业不知道如何自我管理,我担心这将是回应。”

日前,卓亚网络法治研究中心召开圆桌会议对草案进行讨论,该中心作为北京卓亚经济社会发展研究中心网络法治研究平台,致力于我国网络法治重大问题的研究。与会专家们建言:网络安全法最重要的是确定标准,建立规则。

“我们都在全力以赴试图弄清楚该做什么,”他说。

立法进入最后冲刺阶段

在一定程度上,政府也面临着文化挑战。 美国国土安全部国家网络安全通信集成中心主任约翰·菲尔柯表示,政府组织必须与私营部门分享信息,并为他们的员工做好准备,迎接糟糕的一天。

为何要针对网络安全立法?

“我们看到的大多数攻击媒介都是由人类产生的,”菲尔柯说,“现在不再是这样的理念,即坏人用一些真正高技术的手段侵入电脑。通常是一封钓鱼邮件和一个点击错误链接的人。”

全国人大网同时发布的“关于草案的说明”,作出了解释:

网络入侵、网络攻击等非法活动,严重威胁着电信、能源、交通、金融以及国防军事、行政管理等重要领域的信息基础设施的安全;非法获取、泄露甚至倒卖公民个人信息、侮辱诽谤他人、侵犯知识产权等违法活动在网络上时有发生,严重损害公民、法人和其他组织的合法权益。

而且,“宣扬恐怖主义、极端主义,煽动颠覆国家政权、推翻社会主义制度以及淫秽色情等违法信息,借助网络传播、扩散,严重危害国家安全和社会公共利益”。

因此,根据2014年4月发布的全国人大常委会2014年立法工作计划,制定“网络安全法”被列入立法预备项目。

草案的发布,意味着自1994年国务院颁布计算机信息系统安全保护条例后,长期备受关注的网络安全立法工作进入最后冲刺阶段。

卓亚网络法治研究中心负责人、中国政法大学民商经济法学院教授来小鹏在接受法治周末记者采访时说:“目前网络入侵、网络攻击等非法活动已经严重影响到电信、能源以及国防军事等重要领域的安全。”

“同时,非法获取、泄露甚至倒卖公民信息、侮辱诽谤他人、侵犯知识产权的活动也时有发生,宣扬恐怖主义等违法信息也借助网络传播危害到国家安全和社会公共利益。”

在来小鹏看来,网络安全法的制定非常必要。

“这部法律的制定适合我国国情,对国家整个网络安全,甚至经济社会安全起到保障作用,并在国际平台上也能体现我国的立法水平。”来小鹏说。

北京邮电大学互联网治理与法律研究中心主任李欲晓在接受法治周末记者采访时说:“互联网行业越往前发展,越需要建立规则。这20年里,规则只是靠网民的自觉自愿维持,以及政府摸着石头过河的管理方式来建立的。”

李欲晓认为,迅速崛起的互联网使中国快速受益,但网络中极度的自由主义也急需建立相应的规则。“从国际形势上来看,2009年,美国起草网络安全法草案,面对着大量未知的规则体系,我们国家也不能落在后面。”李欲晓说。

“同时从安全角度来看,中美有共同的利益,因为很多不安全的因素都来自恐怖组织,所以都有建立机制的必要性。”

与会专家指出,当今世界各国高度重视网络安全,以法律形式、法律思维推动整个网络安全,依法惩治各种网络违法犯罪行为,中国作为网络大国更需与时俱进,走在法治的前列,用法律的手段为网络安全保驾护航。

一个不争的事实是,互联网在成为全球经济发展新引擎的同时,也逐渐被不法分子当作实施暴力恐怖犯罪的新工具。

据不完全统计,联合国安理会认定的恐怖组织“东伊运”从2010年到2014年共发布了恐怖音视频282部,发布的数量逐年上升。2013年甚至出现爆炸式增长。 面对各种形势,网络安全法草案中提出,“因维护国家安全和社会公共秩序,处置重大突发社会安全事件的需要,国务院或者省、自治区、直辖市人民政府经国务院批准,可以在部分地区对网络通信采取限制等临时措施”。

网络运营者违规最高罚50万元

事实上,我国对于完善网络安全的立法工作一直在不断地尝试和努力中。

1994年,我国就开启了信息安全立法的历史,但现行的信息安全立法现状并不乐观。

2013年9月,最高人民法院和最高人民检察院发布《关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》。

2014年2月,“两高”又发布了《关于办理利用互联网、移动通讯终端、声讯台制作、复制、出版、贩卖、传播淫秽电子信息刑事案件具体应用法律若干问题的解释》。

2014年5月,“两高”和公安部对网络犯罪案件如何适用刑事程序作了专门规制。

上述这些司法解释为严惩网络犯罪提供了必要的法律依据。

但网络安全基本法却一直缺位,相关的法律规定大部分仍然散见于各个部门法,缺乏统一的立法理念,立法层级较低,立法结构不合理。

专家介绍,具体法律规范多缺乏可操作性,且多为事后的惩治和补救规定,缺乏事前预警和风险防范措施,对于云计算和进一步全球化趋势将带来的信息安全风险的保障作用十分有限。

而对于事后惩治,草案中第六章第五十四条规定,对于网络运营者违反本法规定的,处于5万元以上50万元以下的罚款。

李欲晓认为,这样的处罚力度过低。“对于民企,连续罚款营业额的1%,或者关闭一天服务器,这样的处罚力度会起到震慑作用。”

对于第四章网络信息安全方面的公民个人信息,清华大学法学院网络行为研究所副所长吴伟光在接受法治周末记者采访时认为:“在个人信息方面,应该通过个人信息保护法来保护个人信息,而草案中应该增加网络服务提供者在网络空间拥有的权利和责任,以现有的草案来看,更多的是责任而忽视了权利。”

在美国、德国、意大利等国家,不但有完善的法律保障公民的个人信息不被泄露,同时,一整套电子信息验证标准也对法律形成了有力支撑。

欧盟在2005年就推出了相关战略保证网络社会的身份管理。

以德国为例,德国2010年发布新一代身份证,身份证采用eID公民网络电子身份标识,这是一种在网络上用远程证明个人真实身份的权威性电子信息文件。

李欲晓认为,“互联网法律体系不是由运营商、互联网服务机构或者由政府部门去控制一切,更不是网民完全自我表达一切,而应是一种多方面利益平衡的状态”。

事实上,从其他国家的法律和实践来看,英国、韩国、俄罗斯等国均在电信法中规定,国家有紧急状态下暂停或关闭通信服务的权利。

2005年,英国伦敦“7·7”恐怖爆炸发生后,官方曾实行蜂窝通信管制;埃及政府2011年为应对国内骚乱,亦曾对其境内的互联网和移动通信网络实施通信管制。

除社会事件外,自然灾害发生时通信管制也是备选应急管理手段之一。

美国卡特里娜飓风期间,美国联邦通信委员会在加大通信基础设施抢修力度、恢复通信的同时,也限制了部分地区的公众通信,以确保警察、消防等救灾安保部门通信顺畅。

互联网企业怎么看

当前,我国互联网市场活跃,国家推行“互联网+”既是历史机遇,但在快速发展中也容易产生更多问题。

互联网企业对于网络安全,更是有切肤之感。没有明确的规则,企业怎么进行自身的网络管理实务?这成为网络安全管理绕不过去的议题。

北京奇虎科技有限公司总法律顾问傅彤告诉法治周末记者:“网络安全缺乏法律保障是制约大数据、云计算产业发展的关键。”

“互联网企业发展新技术、新应用,需要解决互联网安全领域无法可依的问题。所以网络安全的基本法,让企业能够找到法律依据,在做产品、做业务的时候更有法律保障。”傅彤说。

她举例,360公司在进行一些技术攻防类产品推广时,很难从现有的法律法规中寻找到适用于实际操作层面的依据,一旦出现纠纷,给司法判决带来难题。

对于草案中的法条,傅彤也提出了一些建议。

草案第三章第二十二条规定,任何个人和组织不得从事入侵他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动。

对此条,傅彤觉得还有商榷的空间。她建议,应该存在“入侵”合法的例外情形,比如,为了国家安全、侦查犯罪而进行的“入侵”,或者是经营者应相对人的请求而进行的网络测试等。

草案中第六章第五十三条规定,网络运营者违反本法规定,未要求用户提供真实身份信息,或者对不提供真实身份信息的用户提供相关服务的,由主管部门责令改正。对此,网易法务部法务总监助理常亮也表达了自己的担忧。

常亮向法治周末记者表示:“现实情况,是许多企业很难要求用户提供实名信息,希望这条法条能够进一步具体化,以明确互联网公司的责任。”法治周末记者 高原

  • 首页
  • 电话
  • 重磅热帖