《共享与互利:美国关键基础设施信息保护法律模式的新发展》由会员分享,可在线阅读,更多相关《共享与互利:美国关键基础设施信息保护法律模式的新发展(7页珍藏版)》请在金锄头文库上搜索。
1、共享与互利:美国关键基础设施信息保护法律模式的新发展以美国关键基础设施信息法为分析对象王新雷1,作者简介:王新雷 (1985-),男,河南灵宝人,助研,硕士。Email: ,黄道丽2(1 西安交通大学信息安全法律研究中心,西安710049)(2 公安部第三研究所,上海201204)摘要:9 11恐怖袭击事件至今,美国政府在国家信息安全法律政策方面,不断进行着重要转变。恐怖主义威胁使政府和民众重新审视信息完全自由政策的弊端,适当加强政府的信息监督权和情报收集权。具有独特的信息和分析能力的政府需要同经营关键基础设施的私营部门进行合作,共同分析和使用关键基础设施信息,以 应对恐怖主义。关键基础 设施
2、信息保护法巧妙地将私营部门利益与关键基础设施安全 联系起来。在私营部门利益与国家、社会利益的冲突中找 到了一个合理的平衡点:在保障国家安全的同时,尽可能尊重个人隐私、私营机构意愿 和利益,联邦政府和私营机构在 信息自愿共享之下,实现了安全互利。关键字:关键基础设施信息保护法自愿共享安全2009年5月底,美国总统奥巴马公布了备受关注的60日网络安全报告(60-day cyber-security review),这项报告认为美国主要 建立在互联网基础上的数字基础设施安全 现状“不可接受”,再次强调 了保护国家关键基础设施信息的 紧迫性。事实上,早在9 11恐怖事件以后,美国政府 就对关键基础设施
3、 信息保护作了专门立法,确立了至今仍在沿用和完善的新保护模式。2001年10月26日美国国会参众两院通过了通过提供为阻止恐怖主义所 需的必要手段巩固和加强美 国法(即爱国者法),授权司法部防止泄密,限制传播仇恨 的信息,对可疑电讯及商业记录予 以 监视等。1此后不久,致力于从事信息时代个人隐私保护 的非政府组织电子隐私保护中心向联邦最高法 院提出诉讼请求,要求司法部公布窃听材料。这一事件引发了朝野各方对其违宪性的怀疑和争论。政府 在通过控制信息流动,保障国家安全的同时,如何平衡国家安全利益、公民个人隐私利益、私营 部门利 益的诉求,成为国家信息安全的 核心问题2。在这样的背景 下,2002年,
4、关键基础设施信息 保护法(Critical In frastructure In formation Act of 2002 , 简称Cll Act of 2002 )出台,该法案对法案的目的、保护的原则、适用范围和效力、保护关键基础设施 信息项目管理、保护的条件(要求)、程序、保护措施、信息披露的条件与程序、对违反受保护的关键 基础设施信息 程序的调查和报告及法律责任方面都做了详细规定,充分体现了控制信息流动,保障国家 安全的同时,尽可能尊重个人隐私、私营机构意愿 和利益的理念,联邦政府和私营机构在信息自愿共享 之下,实现了安全互利。1. 关键基础设施信息保护法的立法背景随着信息基础设施 之
5、间,信息基础设施和国家关键基础设施 之间的进 一步融合,病毒威胁造成的后 果将变得更加严峻。病毒在破坏信息基础设施的 同时,将导致灾难性的连锁反 应,极大地增加了造成基 础设施坍塌的“多米诺”骨牌效 应的可能性。美国是高度信息化的国家, 国民经济和社会发展日益依赖于国家基础设施的 提供者 。例如卫星控制 失灵,几乎导 致传呼通信系统全部 瘫痪,医院难以及时找到医生和应急人员,甚至还影响 了消费者在加 油站的正常信用卡结算。此外,联邦政府审计局发布的报告显示美国发生的计算机安全事件 逐年急剧增 加,国会也收到了成千上万的反映联邦机构 所面临的信息 风险的建议报告,呼吁联邦政府必须与私营部 门共享
6、有 关系统脆弱性的信息, 只有这样才能保护国家关键基础设施的安全。在美国, 私营部门拥有和经营管理着主要的关键基础设施, 但政府却具有独特 的信息和分析 能力, 因此政府和私营部门应当进行合作,共同分析和使 用这些信息,以应对网络恐怖和攻击。强调联邦政府 与私营部门之间的合作,主要基 于以下几点理由:网络恐怖和 攻击的多数受害者为私营部门;受害者的 网络管理员对信息 系统配置最了解,有助于协同调查取证;私营部门的技术专家有助于解决关键基础设 施信息 系统的技术问题,而国家信息安全部 门拥有各种类型 的技术专家是不现实, 也是不必要的。但是,在私营机构与 政府共享关键基础设施信息 问题上存在着法
7、律 障碍。美国政府还没有制定对关 键基础设施信息 共享和分析的 框架。也就是说,关键基础设施信息的 范围 如何界定,关键基础设施信息 是强制提供还是自愿提供,以及如何运用这些信息等问题尚缺乏具体、明确的法律规定。私营机构 担忧 提供的信息 能否得到有效的保护,同时不被任意泄露和滥用。另外,信息自由法中 有关公开信息的 免责规定范围 过窄,与政府和 私营 部门合作的要求相冲突。私营部门把信息透露给政府的 同时 ,也可能 被信息自由法要 求将信息向公众披露。美国政府 召集政府和私营部门的专家共同讨论如何 应对信息 共享造成的法律障碍。之后不久,Mr. Bennett提出关键基础设施信息 保护法案,
8、美国国会通过了 该法案。2关键基础设施信息保护法的内容关键基础设施 保护法 无疑有效清除了私营 部门和政府共享关键基础设施信息的法律 障碍。该法 案对法案的目的、保护的原则、适用范围和效力、保护关键基础设施信息 项目管理、保护的条件(要求)、 程序、保护措施、信息披露的条件与程序、对违反受保护的关键基础设施信息 程序的调查和报告及法律 责任方面都做了详细规定 。关键基础设施 机构可以自愿向国土安全部(DHS)提交关键基础设施 及其保护系统的漏洞信息,“可 以自愿”是一种“谨慎地”信息共享的理念。政府只要求私营部门“自 愿”提供关键基础设施信息, 而 不能强制性地要求私营部门提供这些信息, 这是
9、该法案的核心原则,一定程度 上兼顾了打击网络犯罪和 尊重私营机构 的私权益。涉及“关键基础设施和 保护系统 抵御冲击、危害、瘫痪的能力;关键基础设施和保护系统 的脆弱性;及对关键基础设施和 保护系统 进行的安全 测试,风险评估 ,风险管理规划及风险 审计结果”等信息, 均属可以受该法案保护的关键基础设施信息。该法为关键基础设施信息 保护建立 的程序主要 包括如下组成: 1)国土安全部 确认接受 自愿提交的 关键基础设施信息 ;2)根据关键基础设施信息法的 规定,对自 愿提交给国土安全部的关键基础设施 漏 洞信息进行 识别存留;3)收集,处理,储存,并注明“受保护 的关键基础设施信息 ”保护 标
10、记;4)保 护和维持 在联邦政府之内,以及联邦政府和外国,州,地方政府,政府 官员,以及私营部门或一般市民 之间以情况通知或警告等形式共享的信息的 秘密性;5)联邦政府向相关企业,目标攻击部门,其它政 府实体或公众就关键基础设施 漏洞提供建议,警报和 预警。法案设立了保护 关键基础设施信息 项目( Critical Infrastructure Information Program ),由国 土安全 部部长任命信息分析和基础设施 保护理事会(IAIP )的副秘书长为国土安全部的高级官员,负责指导和 管理保护 关键基础设施信息 项目:1)在执行关键基础设施信息 管理的理事会人员中, 任命一位保
11、护关 键基础设施信息 项目管理人( CII Program Manager) ;2) 投入保护关键基础设施信息 项目有效执行必 须的财力;3) 确保充足的人员(包括从副秘书长认为合适的其他联邦国家安全,国 土安全或执法实体 借调的或者委托的人),分派给保护关键基础设施信息 项目,以促进官方部门迅捷、安全地共享关键基 础设施信息, 这些部门包括:符合 2002 关键基础设施信息法的, 并与州和地方官员协调一致的联邦国 家安全,国 土安全和 执法实体。这项措施一定程度 上有助于预防,化解针对国家的恐怖威胁, 并对恐怖 主义进行 先发制人的打击;4) 颁布实 施指令和编写培训教 材供妥善处理受保护
12、的关键基础设施 漏洞等 信息 之用 。保护 关键基础设施信息 项目管理人应当制定相应程序,以确保与保护 关键基础设施 漏洞信息有关的 国土安全部各机构,联邦,州,地方组织等分别委任至少 1名职员作为保护关键基础设施 漏洞信息官员 执行以下职能:1)监督受保护的漏洞信息的 处理,使用和存储;2)确保受保护 的漏洞信息在适当部 门 之间的迅捷、安全共享;3)建立和维持长效的自我检查机制, 定期对受保护漏洞信息的 处理,使用, 存储进行检讨和评估;4)增设必要的程序,以防止非法窃取受保护的漏洞信息;5)保证与保护关键基 础设施信息 项目管理人,就在执行这些程序规定 中产生的要求、挑战、以及投诉,迅速
13、适当的 保持协调 一致。关键基础设施 机构自愿将关键基础设施信息 提交以后,只有国土安全部保护关键基础设施信息 项目 管理人有权确认接收、批准、认可这 些信息成为受保护的关键基础设施信息。 保护关键基础设施信息 项 目管理人对照下列条件, 确定和标记提交的漏洞信息为受保护的关键基础设施信息 :1)自愿地信息提 交给关键基础设施信息 保护项目管理人;2)信息被提交给国土安全部使 用,用于关键基础设施的安全 和保护体系的分析, 预警,相互依赖性的研究, 恢复,重组,或其他参考之用,同时也包括:查明,分 析, 预防, 化解恐怖分裂分子对国家的威胁, 并对恐怖主义 采取先发制人措施;3)在该信息或记录
14、上 作出如下的书面标记:“这些信息自 愿提交给联邦政府,以 期望在 2002年关键基础设施信息法 各项规定保护下免遭披露。关键基础设施信息 被做了“受保护的关键基础设施信息”的标识之后,即享受关 键基础设施信息 保护法的保护:一方面,关键基础设施信息 保护项目管理人可以将受保护的关键基础 设施信息提交给联邦政府,州政府或者地方政府,但应当符合如下条件:共享信息是为了维护关键基础 设施及保护系统的安全,分析,恢复,重建,相互依赖性研究,或作出预警;或是为了识别、分析、预 防、化解对国家的恐怖威胁,及对恐怖主义采取先发制人措施。另一方面,上述获准使用、占有和控制 这些信息的机构,应当采取严格安全措
15、施保护关键基础设施信息的安全, 并采取适当的预防措施,以确 保信息不会被未经授权的人或机构获取。同时,法案对受保护的关键基础设施信息的 披露例外作了详细规定:州和地方政府对信息的进 一步利用和披露。1)收到标识有“受保护的关键基础设施信息”的信息 的州和地方政府,没有首先取得关键基础设施信息 保护项目管理人授权,不得和其他任何团体共享该信 息,或移除该信息受保护的标识。2)关键基础设施信息 保护项目管理人未获得信息提交者或实体的书 面同意,不得授权州或地方政府进一步将信息披露给其他团体。3)州和地方政府只能以维护关键基础 设施或保护系统,或推动调查、起诉犯罪行为为目的,使用关键基础设施信息。对
16、美国联邦承包商的信息披露。向美国联邦承包商披露受保护的关键基础设施信息 必须的条件:关 键基础设施信息 保护项目管理人或保护官员已经证实该承包商从事于帮助国土安全部实现职能的工作, 且该承包商已经在签署了共同的或单独的保密协议,同时必须通过合同方式表明遵守关键基础设施信息 保护项目的全部要求。承包商必须遵守这些程序规定,为受保护的信息提供安全保卫措施,不得移除“受 保护的关键基础设施信息”标识。未提前获得关键基础设施信息 保护项目管理人批准,承包商不得将受 保护的关键基础设施信息进 一步披露给它的分支机构。在民事诉讼中对关键基础设施信息的 披露。对于善意提交的关键基础设施信息,未经提交者或实体 书面同意,联邦,州,或地方当局,或者任何第三方,不 得在民事诉讼中直接使用该信息。对外国政府的披露。关键基础设施信息 保护项目管理人可以不经信息
