1 《加强国家网络安全》行政令,Executive Order on Improving the Nation's Cybersecurity。
网信安全政策法律动态观察
贵重,何鹏,何瑛,刘畅,李云翔,杜鹃,杜雅端(中国移动通信集团有限公司,北京 100053)
【专栏介绍】《中华人民共和国国家安全法》规定,要“坚持总体国家安全观”,”统筹传统安全和非传统安全”。网信安全作为总体国家安全观中13类非传统安全的重要组成部分,与其他领域安全相互交融、相互影响。
中国移动《网安观察》智库密切追踪近期国内外网信安全政策法律动态、技术热点焦点,积极研判网络安全产业整体发展态势,提出相关建议,力求在网络安全领域提供有价值的信息参考。
一、美国总统签署《加强国家网络安全》行政令1
【内容简介】 5月12日, 美国总统拜登签署名为《加强国家网络安全》行政令(第14028号)。行政令分为11个部分,主要包括以下5个方面内容。
玉溪团购
一是修订联邦政府采购标准合同条款,要求供应商与政府共享网络漏洞等可能影响政府网络的威胁信息。二是采用零信任架构、部署认证和加密等措施,提升政府IT 服务现代化水平。三是制定联邦政府采购软件的安全基线标准和评定流程,强化软件供应链安全管理。四是建立由政府和私营公司组成的网络安全楼兰汽车
审查委员会,研究分析重大网络安全事件。五是创建联邦政府部门应对网络安全事件标准化手册,并为私营公司应对网络安全威胁提供指引。六是建立终端检测和响应系统,加强上网日志管理,提高对恶意网络活动的监测防范能力。
【点评分析】自2021年3月美国公布《国家安全战略临时指南》开始,美国总统拜登就在多个公开场合透露,政府正在起草关于加强网络安全的行政令,可以说该行政令酝酿已久。近期,美国先后发生“太阳风”(SolarWinds)、科洛尼尔(Colonial Pipeline)石油运输管道事件等网络安全事件,加速了行政令的出台。行
政令着眼于提升联邦政府的网络安全水平,从政府采购关键信息基础设施、政务上云的安全防护、部署政府范围内的网络安全态势感知系统、加强与私营公司合作调查网络安全事件等方面,列出了实施
举措和具体时间表,具有较强的可操作性,对于各国提升政务系统的网络安全水平具有较强参考意义。
二、美国参议院商务、科学与交通委员会通过《无尽前沿
法案》2
汉兰达2018款报价
【内容简介】2021年5月17日,美国参议院商务、科学与交通委员会投票通过了《无尽前沿法案》(以下简称《法案》),旨在加强技术领域的资金投入。这项法案最初是由美国共和党参议员托德·杨(Todd Young)与民主党成员查克·舒默(Chuck Schumer)在2020年5月28日共同发起的。
《法案》授权美国政府在未来5年内,向基础和先进技术研究提供超过1 100亿美元的资金,其中有1 000亿美元将投资于人工智能、半导体、量子计算、机器人、自然或人为灾害的预防、先进通讯、生物、网络安全、数据存储、数据管理、先进能源、材料科学等关键技术领域。其余100亿美元,用以设立至少10个区域技术中心,并创建一个供应链危机应对计划,以解决影响汽车制造的半导体芯片缺口等问题。此外,《法案》还寻求推进关键的矿产开采战略和技术研究,以消除美国对易受供应中断影响的矿产和矿物材料的依赖。
汽车点评网
【点评分析】《法案》旨在动用政府力量加强科研投入,促成核心领域的重大创新与技术突破。美国
总统拜登5月17日公开表态支持这项法案,称这是“确保美国在21世纪保持全球竞争力的重要一步”。《法案》还规定了一些防止美国科技成果泄露的条文,并明确指向中国、俄罗斯、朝鲜、伊朗等国。后续《法案》将交付参议院、众议院讨论投票,如果两院达成一致,最后由总统签字生效。距《法案》生效还有较长的立法流程,建议密切追踪后续立法进程。
三、美国3家国家安全有关机构联合发布《5G基础设施
潜在威胁载体》报告3
【内容简介】2021年5月10日,美国国家情报总监办公室(ODNI)、美国国家安全局(NSA)、美国国土安全部网络安全与基础设施安全局(CISA)联合发布《5G 基础设施潜在威胁载体》报告,以识别和评估5G应用带来的风险和漏洞。
该报告分析了5G面临的政策与标准、供应链和5G 系统架构三大威胁载体。一是政策与标准方面,包括标准缺乏开放性,致使客户只能使用指定设备或软件,以及因标准指向错误,导致将必要安全控制措施设置为可选措施所产生的风险。二是供应链方面,包括5G供应链中引入不可信或假冒组件,导致网络更易遭攻击或被植入难以检测的后门与恶意软件的风险。三是5G系统架构方面,软件定义网络(SDN)、云基础设施、网络切片、边缘计算会增加恶意行为的攻击面。豪车标志
【点评分析】该报告由3个与网络安全密切相关的部门共同发布,凸显出5G部署和应用对美国全球情报能力、网络空间作战、关键信息基础设施保护所带来的全新挑战。辽e88888
当前,我国正在加快推进以5G为代表的新型基础设施建设,随着5G网络的规模化部署,5G技术加速与各类垂直行业融合,安全风险与威胁也随之增多。建议高度重视5G基础设施安全,结合实际制定有针对性的安全解决方案,并推动执行。
2 《无尽前沿法案》,Endless Frontier Act。“无尽前沿”这一名称源于二战时期美国科学家万尼瓦尔·布什向总统杜鲁门提交的《科学,无尽的前沿》报告。报告指出“科学研究就像战争的前沿阵地一样必须坚守”。
3 《5G基础设施潜在威胁载体》报告,Potential Threat Vectors to 5G Infrastructure。
四、挪威、爱尔兰等国关键基础设施遭到软件攻击
【内容简介】2021年5月4日,挪威Volue公司遭遇软件攻击。该公司为欧洲能源及基础设施企业提供技术方案,软件关闭了挪威国内200座城市供水与水处理设施的应用程序,影响范围覆盖全国约85%的居民。Volue公司发言人表示,目前很难确定攻击者,公司还没有发现数据泄露的证据。
2021年 5月14日,爱尔兰卫生服务执行局(HSE)宣布遭受重大软件攻击,Conti软件团伙4要求HSE支付约2 000万美元赎金,否则将永久封锁系统或公开相关数据。HSE随即关闭了其计算机系统,导致爱尔兰全国医疗保健系统受到广泛影响。事发后,为防止个人及医疗敏感数据泄露,爱尔兰高等法院对Conti 软件团伙发布了专项禁令,要求其返还盗取的数据,并不得以任何形式出售、公布或分享数据。
【点评分析】近期,美欧等国家地区的关键基础设施频繁遭到软件攻击。通信、能源、医疗等关键基础设施一旦中断运行,会对社会生产生活乃至国家安全造成严重影响。因此,关键基础设施运营者应积极加强网络安全防护,及时制定完善的应急预案,以应对网络攻击事件。
五、英国发布《在线安全法案(草案)》5
【内容简介】2021年5月12日,英国数字、文化、媒体和体育部(DCMS)在英国政府发布《在线安全法案(草案)》。《在线安全法案(草案)》强调政府要加强对互联网社交媒体的管控,以更好地保护用户免受在线非法内容的伤害。
《在线安全法案(草案)》规定,英国通信管理局(OFCOM)作为执法机构,有权要求互联网企业及时“删除并限制非法内容的传播”,包括恐怖主义、极端思想等内容,否则该公司将被处以最高1 800万英镑或全球年营业额10%(以较高者为准)的,公司的高级管理人员甚至可能面临刑事指控。
《在线安全法案(草案)》还要求互联网企业建立自动审查系统,对聊天应用或封闭组的产品进行审查,在保护用户隐私的情况下对非法信息进行实时识别、监控并及时处置。
【点评分析】新冠疫情在全球大流行引发了网络空间大量不实、虚假信息的传播,各国多通过立法手段加强内容安全治理。欧盟在2020年底出台了《数字服务法案》,加强网络平台在处理虚假信息、恐怖主义等内容方面的责任。2020年3月,俄罗斯通过法律修正案,规定传播网络谣言者最高将面临5年监禁的惩罚。
2020年3月,我国正式开始实施《网络信息内容生态治理规定》,构建了“政府、企业、社会、网民”等多元主体参与的网络生态综合治理体系。网络信息内容的生产者、服务平台和服务使用者都应履行各自的主体责任,共同构建清朗网络空间。
六、小米集团被移出美国国防部“军方公司”清单6
【内容简介】2021年5月25日,美国哥伦比亚特区地方法院颁布最终判决,解除了美国国防部对于小米集团“军方公司”的认定,正式撤销了美国投资者购买或持有该公司证券的全部限制。
2021年1月14日,美国政府将小米集团等9家中国企业列入所谓“军方公司”清单中,阻止美国投资者对这些企业进行投资。2021年1月29日,小米集团在
4 Conti软件团伙是2020年出现的新兴黑客组织。该组织采用信息加密与数据窃取的双重模式,如受害者拒绝支付赎金,将在网上公开相关数据。
5 《在线安全法案》,Online Safety Bill。
6 列入“军方公司”清单的实体,主要指中国政府、军队、国防产业所拥有、控制或存在关联的实体,媒体一般简称“军方公司”。
美国哥伦比亚特区地方法院起诉美国国防部和财政部,称上述两部门在将其列入“军方公司”清单过程中,存在程序不公与事实认定错误,要求法院裁定该决定违法并予以撤销。
【点评分析】2020年6月12日,中国移动等20家中国企业被美国国防部列入第一批“军方公司”清单。据不完全统计,除小米集团外,目前还有43家中国企业被列入“军方公司”清单。据悉,部分同样被列入清单的中国企业近期也将就此起诉美国政府。目前只有小米集团一家胜诉,并确定被移出清单。这一事件作为个案,并不意味着美国针对中国企业的一系列禁令将有所松动,但为列入清单的企业通过司法途径维护自身权益提供了启示。
七、国家互联网信息办公室发布《汽车数据安全管理若干
规定(征求意见稿)》
【内容简介】2021年5月12日,国家互联网信息办公室发布《汽车数据安全管理若干规定(征求意见稿)》(以下简称《规定》)。《规定》共21条,主要包括以下3个方面内容。
一是数据收集方面。《规定》倡导车企原则上默认不收集用户数据,驾驶人的同意授权只对本次驾驶有效。如果确有必要收集,应坚持匿名化处理、脱敏处理、最小保存期限和精度范围适用原则。
二是数据存储安全方面。《规定》要求个人信息或者重要数据应当依法在境内存储,确需向提供的,应当通过国家网信部门组织的数据出境安全评估。
三是数据查询利用方面。严格限制对车辆位置、驾驶人或乘车人生物特征、车内音视频等重要数据以及可用于判断违法违规驾驶的数据等敏感数据的查询利用。
【点评分析】近年来,智能网联汽车发展方兴未艾,不可避免地涉及到与汽车相关的重要数据、个人信息的收集和使用。《规定》对智能网联汽车行业的数据采集和应用划定了红线,具有标志性意义。近日,特斯拉、福特、宝马、戴姆勒等跨国车企,均表示已经或准备在中国建立数据中心,以实现数据存储本地化。