普华永道网络安全立法洞察研究报告

Discussionpaper 网络安全立法见解 未来网络安全立法的比较研究和思考 第 1 第1卷-介绍和研究总结 Contents 1.前言22.国家网络安全战略（NCS）33.网络安全立法54.设计网络安全立法305.网络安全立法的新趋势49Acknowledgements54尾注55 1卷1-介绍和研究总结 1.前言 数字时代是互联互通和创新的新时代。世界各地的人们已经将信息和通信技术（ICT）整合到他们的日常生活和关键业务中 。数字化现在已经成为全球社会经济发展不可分割和不可避免的一部分。不可避免的结果是，对技术的依赖增加导致更多的网络威胁和挑战。为了应对网络攻击的脆弱性，全球各国已经或正在不断制定和更新其国内立法，并与国际同行合作应对网络威胁。 各国在设计网络安全立法时采用的方法各不相同，取决于许多因素，如国家社会经济地位或历史背景。本文对不同国家的方法之间的异同进行了详细分析。我们对不同大洲的13个国家（或以下称为“主题”）进行了抽样，并研究了其网络安全环境，特别是关注其立法策略。这些样本国家是。巴西、智利、中国、德国 、印度、墨西哥、新加坡、南非、阿拉伯联合酋长国(UAE)、英国(UK)、美国(US)、越南和欧盟(EU)。 本文旨在分享包括网络安全和隐私政策研究人员在内的各种利益相关者的观察，分析和见解。本文还旨在在制定网络安全立法战略的早期阶段为决策者和关键利益相关者提供见解和指导。概述，本报告包括以下内容。 国家网络安全战略（NCS）：我们的团队首先分析了国家网络安全战略（NCS）文件，这些文件是设计国家网络安全战略的基础和基石。本节概述了我们对研究对象采用的NCS常见结构和组件的发现。 9个网络安全领域：我们对受试者的网络安全立法进行了彻底的比较研究，并入围了九个共同感兴趣的领域： 1.关键基础设施(CI)保护 2.事件响应和危机管理 3.网络犯罪法 4.个人数据保护 5.非个人数据保护 6.信息和通信技术脆弱性管理 7.意识和能力 8.国际合作 9.网络安全技术和解决方案市场 Thissectionprovidesageneraloverviewofvariationsandsimilitiesinsecurityandlegislationdesignapproachesinthenineareasofsecurityandlegislationdesignapproachesinthenineareasofnetwork. 五个考虑因素：在汇总了比较研究期间收集的知识和见解后，我们的团队确定了各国在制定网络安全战略（包括立法）的早期阶段可以考虑的五个因素。 立法的未来趋势：最后，该报告阐明了新兴的网络安全立法趋势，以便各国可以更好地为快速发展的数字范式做好准备。 第1卷-介绍和研究总结2 2.国家网络安全战略（NCS ） 国家网络安全战略（NCS）是一份文件，强调了指导一个国家解决其网络安全需求的挑战，高层次的目标，原则和优先事项。有了明确的愿景，政策制定者和主要利益攸关方可以推动采取更全面、一致和连贯的方法。NCS塑造了一个国家的网络安全方法的战略指导方针，并在其网络安全协议中发挥着至关重要的作用。这是总结性的 ，其原则将影响一个国家的网络安全立法。所有国家在其整个NCS中共享的一个共同点是将其全国愿景转化为可实施且连贯的网络安全立法和法规的目标。因此，NCS应基于对整个数字环境的全面理解和分析，同时适合该国的具体情况和优先事项。 如上所述，NCS是制定网络安全立法的垫脚石。它阐明了一个国家面临的网络安全挑战及其旨在实现的相应目标。 此外，它还可以说明要解决的特定网络安全问题和要采取的行动。以下是我们 13个主题的NCS中常见的一些挑战，目标和问题。 挑战 •越来越多的网络犯罪 •网络攻击的复杂程度不断提高 •关键基础设施的脆弱性不断增加 目标 •增强网络弹性 •控制网络安全风险 •利用国际合作打击网络犯罪 •构建开放且支持连接的网络空间 有待解决的问题 •国内立法和法规建设 •识别并强调关键基础设施(CI) •打击网络犯罪 •国际合作 •扩大公共部门和私营部门之间的伙伴关系 •促进网络安全产业的发展 •提高国家网络安全成熟度 •提高认识和能力 总而言之，NCS对于发展一个国家的网络安全至关重要。其中提出的挑战，目标或措施反映了网络安全发展的总体要求，可以作为关键的参考点。 第1卷-介绍和研究总结4 3.网络安全立法 本节概述和比较分析了九个网络安全领域采用的各种方法和主题。 3.1关键基础设施 (CI)保护 3.1.1立法模式 关键基础设施保护立法已进入成熟阶段。我们抽样的大多数国家都有CI保护立法；他们是巴西1,2,智利3,中国4,德国5,印度6,新加坡7,南非8，阿联酋9，英国10，美国11,越南12和欧盟13,14。有两种立法模式，一种专门针对CI保护法，另一种将相关要求纳入更广泛的网络安全立法或战略举措。 3.1.2立法框架 WeobservedcommonitalitiesinthewritingstructureandcontentcoverageofnumerousCIprotectionlaws.Thestructureofthecomponentsisasfollows: 1.CI保护法的介绍、定义和范围-它涵盖了CI保护法的目的和范围。 2.执行机构和职责-它描述了政府机构在CI保护中的责任，包括“执法机构”和国家 “计算机安全事件响应小组（CSIRT）”。 3.运营商职责-它描述了CI操作员的管理和技术要求，包括他们的安全和事件报告要求。 4.杂项-它包括不符合上述任何部分但被认为对CI保护至关重要的条款或条款。通常，本部分将涵盖与处罚、宽限期、过渡措施、差距分析和补救等相关的内容。 第1卷-介绍和研究总结6 3.1.3定义和范围 根据国家优先事项和个别国家的情况，CI可能涵盖广泛的行业和部门。一般来说，能源、运输、银行和金融以及电信在大多数国家被定义为CI。 关键基础设施可以有不同的名称，具体取决于相关国家。它通常被称为“关键基础设施” 、“关键实体(CE)”或“基本服务(ES)”。关键信息基础设施（CII）是指基于CI承载和运行的系统，是一个范围较小的概念。CI、CE和ES在本报告以下统称为CI。 3.1.4政府当局的作用和责任 为了不断改善国家CI保护，一些国家实施了风险管理周期，包括管理关键基础设施的脆弱性；管理关键基础设施事件报告；进行事件调查；为关键基础设施提供网络安全建议和支持；实施纪律处分；并建立相关的CI保护标准。CI保护有两种权限模型。一个是由中央机构监督整个CI保护行动，另一个是将权力下放给不同的机构。但是，CI保护涉及许多任务和多个利益相关者，我们样本中的许多国家都提名机构来协调和负责CI保护。 7卷1-介绍和研究总结 3.1.5事件报告机制 大多数国家/地区都为其CI运营商/所有者指定了网络安全事件/威胁报告要求。这项研究发现，大多数司法管辖区的事件报告要求包括三个主要组成部分：报告路径，报告时间要求和报告内容。 网络安全事件报告路径 大多数立法概述了安全事件发生时的报告路径，通常会立即报告给国家计算机安全事件响应小组（CSIRT）。尽管大多数国家/地区都有CSIRT作为报告CI事件的机构，但美国已经建立了CISA（网络安全和基础设施安全局）来处理CI操作员的事件报告 。 报告时间要求 报告时间要求从6到72小时不等，视情况而定。此外，一些国家没有时间要求，或者有“立即”或“尽快”等模糊措辞描述的时间要求。 网络安全事件报告内容 网络安全成熟度较高的国家/地区提供了有关需要在事件报告中包含哪些内容的详细指南。内容一般应包括：安全事件的描述；事件发生的时间；事件的持续时间；已采取的安全防御措施；以及事件的影响和跨境影响。另一方面，成熟度较低的国家在内容覆盖指南中缺乏细节。 第1卷-介绍和研究总结8 9第1卷-介绍和研究总结 3.1.6CI操作员的安全要求 网络安全框架版本1.1 信用：N.Hanacek/NIST15 CI运营商在CI运营过程中遵守许多安全要求。大多数国家的CI安全要求基于或源自国家标准与技术网络安全框架(NISTCSF)16。安全要求的五个核心部分按功能划分如下： •Identify-通过安全风险评估等评估，组织了解组织运营（包括任务，职能，形象或声誉），组织资产和个人的网络安全风险。 •保护-通过安全意识和培训等计划，为组织的人员，业务合作伙伴和供应商提供网络安全意识教育，并接受培训，以根据相关政策，程序和协议履行其与网络安全相关的职责。 •检测-通过安全持续监控等活动，在此期间对信息系统和资产进行监控，以识别网络安全事件并验证保护措施的有效性。 •回应-通过网络事件响应程序，响应计划，沟通，分析，缓解和改进等过程。 •恢复-通过网络事件中的业务连续性管理以及恢复计划或改进等举措。 第1卷-介绍和研究总结10 3.2突发事件应对和危机管 理 网络安全事件响应和危机管理是网络安全的重要组成部分。它指导各级政府和 非政府组织（NGO）以及私营部门共同努力预防，减轻，应对和从事件中恢复。我们的研究指出了网络安全事件响应立法日益成熟的全球趋势，许多国家发布了其网络安全事件响应法律，包括印度的CERT-IN指令17，中国国家网络安全事件计划18以及美国2022年关键基础设施网络事件报告法案19. 对我们样本的研究表明，网络安全事件响应法的框架通常包括事件分类和报告机制 。 3.2.1网络安全事件的分类 研究发现，大多数国家都制定了对安全事件进行分类的法律要求。例如，中国的《国家网络安全事件计划》表明，网络安全事件可以分为四个级别之一，特别重大，重大，相对重大和一般。 3.2.2报告机制 报告机构 所有研究对象都已确定应向其报告网络安全事件的机构或实体，例如国家计算机安全事件响应小组（CSIRT，也称为CERT）。CSIRT的职责主要涵盖以下领域： •安全事件响应管理 •信息共享管理 •协作关系管理 •知识建设 11卷1-介绍和研究总结 但是，发展中国家的国家CSIRT主要侧重于应对安全事件，而较少强调通过定期培训和提高认识研讨会来提高公众认识。 报告内容 大多数国家的立法没有规定安全事件发生时的报告内容,根据发达国家的要求,报告信息可能包括谁报告了事件、谁经历了事件、发生了什么类型的事件、最初检测到事件的方式和时间、采取了什么应对措施以及通知了谁。 报告时间要求 大多数法规都描述了发生安全事件时的特定报告时间要求。大多数国家预计网络安全事件将在48-72小时内报告。但是，在某些情况下，报告要求相对较短，为6-24小时。与此同时，一些国家没有规定报告安全事件的具体时限，只表示应尽快或在发生后立即报告。 第1卷-介绍和研究总结12 3.3网络犯罪法 为了确保准确和集中的分析，本文重点关注仅在数字空间中发生的网络犯罪。例如，这些网络犯罪包括系统或用户帐户的黑客攻击，系统干扰，恶意软件，网络钓鱼和勒索软件等 。我们的范围不包括在非网络环境中发生但使用数字空间作为工具的传统犯罪，例如人口贩运或儿童色情制品。此外，根据法律特征，我们将打击网络犯罪的各个阶段分为预防，调查和恢复。值得注意的是，我们对网络犯罪立法的分析指出了一个明显的趋势，即许多国家越来越优先考虑预防措施而不是调查和惩罚。 3.3.1预防 预防网络犯罪是应对网络空间日益增长的挑战的关键方面。网络空间可以比作战场。因此，增强我们的“战争”防御能力势在必行。作为法学上公认的原则，在预防犯罪方面，积极主动的措施比被动措施更有效。 各国政府采用各种战略来预防网络犯罪，包括强制实施预防措施，例如以下文件中规定的措施： •中国·关于促进网络安全产业发展的指导意见（征求意见稿）20《网络安全威胁信息发