360集团法务中心 2023年12月 公安部第三研究所 网络安全法律研究中心 公安部第三研究所网络安全法律研究中心 执行概要 信息技术革命的成就令人印象深刻,这并不仅仅是指生产力和生产关系的跃迁,而是触及社会运行底层逻辑的系统性变化。很少有法律议题像网络安全这般复杂且具有挑战性——这几乎涉及到过去、现在和未来人类想象力能够覆盖到的所有领域和场景——在任何语境下,能够被称之为“安全”的问题无疑最为核心且优先,其隐含了关于“生存和发展”的终极阐释,但“安全”本身的“主体间性”却往往令与此相关的法律议题陷于困惑,网络安全尤为如此。其中最为艰难的部分可能不仅仅在于找到某种可行的“安全”途径或方法,而且包括促进这种途径和方法在尽可能多的价值层面上形成共识或达成妥协。 基于后工业时代“风险社会”中那些显著“现代性特征”所揭示的经验和教训,网络安全几乎从一开始就成为与信息技术革命同步考虑的问题。在过去的三年中,人类社会向信息系统迁移的速度明显加快,新技术新应用不断出现。其中,尽管大部分的技术“外观”可能是陈旧的,但其技术“体验”绝对是全新的。站在实用主义的角度,由“人机交互”向“人机融合”的过渡已经渐成现实,“虚拟”与“现实”之间产生了几乎可以“触碰”到的紧密联系,这也导致全球网络安全政策立法的整体态势在2023年出现了两个方面的显著变化。其一,社会公众对政策法律的“工具性价值”更为认同,这进一步强化了政府持续塑造和改良规范体系的内驱动力,促进全球网络安全政策立法的全面繁荣。其二,全球网络安全政策立法在表现出高度技术敏感性的同时,也开始修正早期为迅速填补规范空白而略带盲目性的“扩张”思路,对于技术利用与限制的平衡被更多的予以考虑。类似于在数据问题上全面复刻欧盟GDPR蓝本的情况已经很少出现,这可能预示了一个更为多元而审慎的网络安全政策立法态势。此外,鉴于技术自身的高速发展,“出台即过时”也成为决策者必须纳入考量的影响因素,这要求制度设计必须足够弹性,网络安全政策立法无疑将变得更为复杂。 回顾2023年,面对全球网络安全传统风险更加复杂多变与新兴风险多面出现相互交织的局面,各国政策立法总体呈现出优化调整、细化落实现有立法要求,使其适应新形势下风险防御新特点的同时,针对新兴风险提出突破性、前瞻性立法,并引入其他治理理念和工具,试图预判风险、提前规避。本报告全面回顾 2023年全球网络安全政策立法与典型执法情况,将2023年全球网络安全政策法律发展总结为十大特点:(1)全球网络空间治理区域合作加强,共同安全成为关键词;(2)关键信息基础设施保护重者恒重,且向着细分领域下沉;(3)内生安全风险与外界政府干预共同加剧全球供应链安全风险;(4)漏洞资源价值持续凸显,激励漏洞披露与发现仍是关键环节;(5)数据精细化、场景化立法蓬勃发展,数据跨境成为关注焦点;(6)信任成为信息内容治理核心,未成年人保护与网络暴力为重点关切;(7)基于风险的人工智能法治趋于理性,软硬法协同推进向善包容治理;(8)监管行动持续推进,聚焦平台与规模效应的网络执法效能日渐突出;(9)安全与发展辩证关系在量子技术推进与后量子密码迁移中深刻诠释;(10)网络犯罪预防、打击、治理一体化基本共识形成,防治相关立法加速推进。 展望2024年,信息技术发展与风险迭代升级相伴而生,技术利用与风险防范并行不悖,安全与发展的辩证统一将始终是各国网络安全对内治理和对外合作的底层逻辑。报告研判出2024年全球网络安全政策法律的六大趋势:(1)网络空间大国博弈背景下局部和暂时性妥协有望达成和延续;(2)数据赋能发展的制度保障仍需加强,跨境流动面临不确定性;(3)网络执法的精细化、专业化、智慧化水平将大幅提升;(4)人工智能包容性、参与式治理纵深发展;(5)新型网络犯罪治理趋向生态化、预防化、智能化;(6)后量子密码标准化将加速“特定重要”领域后量子密码迁移进程。 出品单位 公安部第三研究所网络安全法律研究中心360集团法务中心 指导单位 中国信息安全法律大会专家委员会密码法治实践创新基地 中国计算机学会计算机安全专业委员会 参编单位 中国人民公安大学 西交苏州信息安全法学所 网络安全等级保护与安全保卫技术国家工程研究中心信息网络安全公安部重点实验室 数字丝路安全智库 西交科教院网络安全法治研究所 上海市信息网络安全管理协会互联网安全法律服务专家委员会江苏竹辉律师事务所 北京中企数安咨询有限公司 课题支持 2020年度国家社会科学基金项目《网络安全新业态视角下的关键技术风险分析及防控对策研究》(20AZD114) 专家指导组 马民虎密码法治实践创新基地主任 严明中国计算机学会计算机安全专业委员会主任宋燕妮全国人大常委会法工委经济室原副巡视员金波公安部第三研究所副所长 张薇情报杂志主编 焦娇360集团副总裁/董事/法务部总法律顾问吴松洋公安部第三研究所研究员 孙艳玲360集团高级法务总监吴佳丽360集团法务总监 王斌君中国人民公安大学教授 鲍亮公安部第三研究所副研究员于月霞宁夏公安厅网安总队总工程师 朱莉欣西交苏州信息安全法学所执行所长尹鹏翎励讯集团数据战略官 赵艳华为中国区网络安全与隐私保护总监刘春梅上海市信息网络安全管理协会秘书长 总负责人 黄道丽公安部第三研究所研究员 执行负责人 梁思雨公安部第三研究所助理研究员何治乐公安部第三研究所副研究员 报告撰写组 原浩马宁王彩玉胡文华胡柯洋俞少华王明一洪慧英方婷谢永红 ——目录—— 一、2023年全球网络安全政策法律发展回顾.-1- (一) 全球网络空间治理区域合作加强,共同安全成为关键词..- 3 - (二) 关键信息基础设施保护重者恒重,且向着细分领域下沉..- 5 - (三) 内生安全风险与外界政府干预共同加剧全球供应链安全风险..- 7 - (四) 漏洞资源价值持续凸显,激励漏洞披露与发现仍是关键环节..- 9 - (五) 数据精细化、场景化立法蓬勃发展,数据跨境成为关注焦点..- 12 - (六) 信任成为信息内容治理核心,未成年人保护与网络暴力为重点关切..- 14 - (七) 基于风险的人工智能法治趋于理性,软硬法协同推进向善包容治理..- 16 - (八) 监管行动持续推进,聚焦平台与规模效应的网络执法效能日渐突出..- 18 - (九) 安全与发展辩证关系在量子技术推进与后量子密码迁移中深刻诠释..- 21 - (十)网络犯罪预防、打击、治理一体化基本共识形成,防治相关立法加速推进-23- 二、2024年全球网络安全政策法律趋势展望.........................-26- (一) 趋势一:网络空间大国博弈背景下局部和暂时性妥协有望达成和延续- 27 - (二) 趋势二:数据赋能发展的制度保障仍需加强,跨境流动面临不确定性- 28 - (三) 趋势三:网络执法的精细化、专业化、智慧化水平将大幅提升..- 29 - (四) 趋势四:人工智能包容性、参与式治理纵深发展..- 31 - (五) 趋势五:新型网络犯罪治理趋向生态化、预防化、智能化..- 32 - (六)趋势六:后量子密码标准化将加速“特定重要”领域后量子密码迁移进程-33- 一 2023年全球网络安全政策法律发展回顾 2023年世界进入经济复苏的重要时期,全球新一轮科技和产业变革加速升级,以ChatGPT、量子计算等为代表的颠覆性技术迭代更新,信息技术创新发展、数据价值最大化利用、人工智能通用化等技术带来的产业动能成为经济社会发展过程中的重要引擎,引发各国对其予以前所未有的关注。与此同时,随着不稳定、不确定、难预料因素的显著增多,新旧问题与复杂矛盾叠加碰撞,安全风险变得不总是“可见的”、可以预测的,未知来源、未知类型、未知后果风险的难以捉摸使得安全的 内涵更加深刻。如果说防入侵、防泄露、防篡改等是网络安全的初期目标,那么在遭遇不论是内在风险,还是因政治、外交、贸易等外部风险时能够保持稳定、及时从风险中恢复则成为网络安全的长期目标。因此,韧性成为 2023年网络安全领域的高频词汇。无论是关键基础设施韧性、产业链供应链韧性,还是《G20领导人新德里宣言》提出“在数字经济中构建安全、保障、韧性和信任”,美国《国家网络安全战略》的“建立可防御性、有韧性的数字生态环境” 目标,均致力于确保网络安全各环节在面对内生和外部风险时能够保持动态稳定。 作为固根本、利长远、稳预期的重要治理工具,法治在2023年仍然是各国强化网络安全的关注重点,通过立法引导、规范、支持信息技术发展和数据价值利用,保障网络安全。复杂多变的外部环境、法治建设的内在驱动与未来技术的迭代升级,推动全球网络安全领域政策立法和监管实践不断加强,采取的政策不仅寻求更佳的社会秩序,同时赋予法律更强的政策导向和工具属性。 回顾2023年,面对全球网络安全传统风险更加复杂多变与新兴风险多面出现相互交织的局面,各国政策立法总体呈现出优化调整、细化落实现有立法要求,使其适应新形势下风险防御新特点的同时,针对新兴风险提出突破性、前瞻性立法,并引入其他治理理念和工具,试图预判风险、提前规避。 本报告将其总结为十大特点。 (一)全球网络空间治理区域合作加强,共同安全成为关键词 2023年是习近平主席提出构建人类命运共同体理念的十周年。网络空间命运共同体是网络强国重要思想的重大理论创新,为全球网络空间治理贡献“中国方案”。如《携手构建人类命运共同体:中国的倡议与行动》白皮书中所说“站在历史的十字路口,是团结还是分裂,是开放还是封闭,是合作还是对抗?如何抉择,关乎人 类整体利益,也考验着各国的智慧。”2023年,尽管地缘政治变化所引发的国家间战略竞争仍然十分激烈,但越来越多的区域性合作开始被观察到,特别是诸如“集体安全”“共同安全”等一些极具“示范”意义的话语力量开始广泛出现。这意味着在信息技术和数字经济成为国家发展基本条件的大背景下,基于特定利益、信任或价值关系的国际合作的深度和广度都在持续加深。 这也似乎建立了一种可预期的良好开端,或将为网络空间治理的各方参与者提供更 多的机会。 联合国发布极具代表性的政策简报《全球数字契约》,旨在为全人类构建一个开放、自由和安全的数字未来,其中的一项关键目标就是弥合各国数字鸿沟并推进可持续发展。中俄发布《关于深化新时代全面战略协作伙伴关系的联合声明》,深刻指出应秉持普遍、开放、包容、非歧视和兼顾各方利益的原则,实现世界多极化和各国可持续发展。中俄呼吁各国弘扬和平、发展、公平、正义、民主、自由的全人类共同价值,对话而不对抗,包容而不排他,和睦相处,合作共赢,促进世界的和平与发展。美国在新版《国家网络安全战略》中明确提出建立网络空间国际伙伴关系,促进网络空间负责任的国家行为,重点包括共同应对数字生态系统威胁、提高合作伙伴抵御网络威胁能力、打造安全可靠和值得信赖的全球供应链。新西兰发布首份国家安全战略《共同安全》,其强调的优先事项就包括加强国内和国际伙伴之间的信任理解,共同合作应对挑战。澳大利亚、印度、日本、美国在《四方伙伴关系领导人联合声明》中指出,面对数字化世界中复杂的网络威胁,迫切需要共同加强集体网络安全。 此外,各国网络安全区域合作开始通过更为丰富而多元化的方式加以呈现,具有共识性的联合声明成为塑造国际规则和主张国家立场的重要渠道。例如,美欧就 加强网络弹性领域合作发表联合声明,拟在欧美网络对话框架下深化网络安全治理合作。美国和印度签署《美印关键和新兴技术倡议》,提出双方政府、企业界和学术界将致力于在加强两国间创新生态系统(人工智能、量子技术等)、建立有韧性的半导体供应链等领域展开密切合作。美国、日本发布联合声明,就可信数据自由流动和跨境数据流达成共识。美国、加拿大发布联合声明,寻求共同改善半导体供应链和关键基础设施安全。欧盟、拉丁美洲和加勒比发布《数字联盟联合声明》,旨在提升公民基本数字能力,缩小数字鸿沟。 需要承认的是,现有的网络安全国际合作具有强烈的地缘政治属性