中国信息安全测评中心桂畅旎:美国各界对特朗普总统的网络安全“政策期待”|网情观察
发布时间:2017年04月21日
发布者:
点击次数:797次
中国信息安全测评中心 桂畅旎
唐纳德·特朗普在美国总统大选中“爆冷而出”,令全球大跌眼镜。其就任前的“推特发声”更是让美国各界应接不暇。人们对这位总统的“雄韬伟略”知之甚少,于是,短短两个月来,美国官、产、学、研各界先后公开就网络安全问题进言献策,表达政策期待,形成了一道别样的议政风景,为我们观察和了解下一届美国政府的网络安全政策走向提供了不少参考与看点。
官方希望奥巴马“政治遗产”得以继承
“承前启后”是任何一个国家执政伦理都推崇的平稳过渡方式,奥巴马政府除了在卸任之前成立专门组织,整理其网络安全成绩单,为继任者写下治网“备忘录”外,相应职能部门的专家也纷纷发声,为下届总统建言献策,希望新一届政府能继承奥巴马的“政治遗产”,对中、俄在网络安全问题上持续施压。在这方面,较具代表性的动向有两方面:
1. 美外交关系委员会高级研究员罗伯特·奈克(曾任美国国家安全委员会网络安全政策主任)和亚当·谢加尔(数字化和网络空间政策项目主任)于2016年10月31日在《国际事务》杂志上发表的《下任美国总统应如何在网络空间压制中国》。文章认为,奥巴马政府施压中国的政策选择效果明显。一是有效回应了网络攻击。通过商业公司披露网络部队、联邦调查局通缉军人、美国土安全部与私营企业共享中国黑客IP地址等方式,美政企合力反击所谓中国网络攻击的效果明显。二是达成“反黑客”协议。2015年9月,中国中央政法委书记孟建柱访美,就共同打击网络犯罪等执法安全领域的问题与美达成共识,并承诺反对网络攻击和网络商业窃密,成为中美网络合作的重要成果。三是对华施压初见成效。经过习奥会的庄园会晤、美官员的公开交涉、奥巴马发布关于制裁黑客的总统令后,针对美黑客攻击明显减少。对此,文章建议下届政府继承奥巴马政府的政治遗产,从以下方面继续施压中国。首先,将网络安全议题置于双边议程首位。下届政府需向中国清楚表明对网络安全这一核心议题的关切,以影响中国在网络空间的行为方式。其次,推动协议履行常规化、公开化。下届政府需设立独立的第三方机构提供法律援助,监督协议实施过程公开。第三,让私营企业走向前台。政府应鼓励私营企业将遭受的网络攻击公诸于众,为政府的反制措施提供证据。第四,将注意力扩展至其他网空领域。下届政府还应与中国在网络空间内容安全和行业监管方面加大沟通协商力度。
2. 美情报界发布的多篇关于“俄罗斯干涉美国选举”评估报告。这些报告的主要内容表现在,一是认定俄罗斯总统普京授意对2016年美国总统选举进行干扰,主要包括针对美国政治组织实施网络间谍活动,并将收集到的数据加以公开披露,以打击民众对美国民主进程之信心,诋毁抹黑国务卿希拉里,并对新任总统特朗普表现出明确支持。二是认为俄罗斯通过网络攻击影响现实政治的活动已是“新常态”,并将继续对美国智囊团及与国家安全、国防以及外交政策领域密切相关的政府人员及个人发起网络攻击。三是美国内部分官员纷纷要求特朗普政府对俄罗斯的网络攻击行为做出有力回应。此外,也有公开言论通过渲染此事向特朗普喝倒彩,以期影响其上任后的对俄政策。
产业界提出九大政策建议
美国互联网协会是由谷歌、雅虎、亚马逊、脸谱、领英、推特、优步等科技巨头在内的40家科技公司组成的产业界团体。2016年11月14日,该协会向候任总统特朗普发出公开信,详列产业界关注的九大政策重点并提出相关建议:
1. 减轻互联网服务商的中介责任
互联网服务商的勃兴正是源于“中介责任”相关法律的出台,即通过立法在一定条件下免除或减轻互联网服务提供商的中介责任。新一届政府需一方面继续维护《通信规范法》第230条规定,不强制要求互联网服务提供商监视用户的行为,并免责于其用户发布的言论,使其专注于提供更好的产品与服务;另一方面继续支持版权“避风港”制度。《千禧年数字版权法》第512条是限制网络服务提供商侵权责任的法律制度设计,其中的“通知+删除”的责任分担机制已成为全球通行的行为准则,为网络服务商提供了一个灵活的法律遵循框架,鼓励创新及言论自由。
2. 加强网络版权保护
美国的互联网全球领先地位即得益于对网络版权的保护。对此,特朗普政府需关注以下三方面。一是维护版权法规的灵活性与平衡原则。版权法中的“合理使用”规定允许人们无需征求版权所有者的同意,即可以自由使用受版权保护的部分内容。因此,特朗普政府需继续平衡好版权法中关于知识产权保护与促进创新之间的关系。二是培育一个成功的数字音乐市场。建立一个功能健全的竞争性音乐生态系统,保护美国艺术家、小企业、数字平台和消费者的权益。三是改革美国版权局。美国版权局在维护公共利益上发挥着关键作用,为确保众多利益攸关方的需求,决策者需重新审视版权局的行政与政策工作。
3. 重视隐私保护和数据安全
一是推动《电子通信隐私法》改革。这部1986年制定的法案已不能应对当前互联网发展,特别是云计算、大数据的新形势,改革势在必行。二是保护强加密技术。强加密技术对于国家与个人安全至关重要。任何弱化加密技术或在产品中植入“后门”的法律提案,都将严重损害个人隐私与国家安全。三是改革监听制度。国会应考虑改革《外国情报监听法》的第702节和前总统里根签署的第12333号行政命令(该命令授权国安局收集外国情报信息),这与美国一直以来隐私保护的价值观严重不符,而且也没有考虑到非美国公民的隐私保护问题。四是提高跨境执法搜集数据的权限。美国和其他国家应共同改进《司法互助协议》(MLAT),使政府之间的数据传输更加透明和高效,并在全球推广美英之间处理跨境数据的模式。
4. 促进全球数字贸易
为加强美国在数字贸易中的领导地位,产业界支持将互联网友好型政策纳入美贸易协定以及外交政策中。一是督促美贸易伙伴协力保护中介者责任。当前,中介者责任保护在多国面临挑战,特别是内容审查以及网站屏蔽极大地增加了美国企业市场准入的成本。对此,美国需联合贸易伙伴在全球推行中介者责任保护的规制。二是支持知识产权利益平衡机制。美国需将知识产权的诉求纳入贸易谈判以及外交政策中去,打造一个富有包容性的贸易生态系统。三是阻止数字经济在欧洲陷入困局。美国应加大与欧盟国家的合作,包括推动欧盟实施创新友好型的改革,建立跨大西洋数字一体化市场。四是推进跨境数据自由流动。美国应积极反制各国在跨境数据上的“不合理”规制,包括在贸易协定中明确保护合法跨境信息流的必要,以及建立跨境数据传输的多边协定等。五是降低关税壁垒。限制贸易国对科技产品实施高税率,确保互联网中小企业公平参与全球贸易活动。
5. 推进专利制度改革
为维持美国的全球竞争力和经济增长,进行全面的专利改革势在必行。一是支持专利司法审判的改革。支持改革专利诉讼制度,确保与专利纠纷有真实联系的法院获得裁决权。二是支持专利诉讼的改革。为打击专利恶意诉讼,应提高诉讼的辩论标准、增加诉讼透明度、确立原告赔偿原则。三是深化美国专利商标局的改革。改进工作指标和评价策略,提高工作质量和行政效率。四是维护严格的事后重审程序。2013年颁布的《美国发明法案》对《美国专利法》进行了大幅修改,提出了“授权后重审”及“双方重审”程序,确保专利质量。五是鼓励推广知识产权的美国式创新。包括知识产权税收改革,吸引境外知识产权回归美国,刺激就业。
6. 重视按需经济与分享经济
分享经济在美国发展前景广阔,但是对分享经济的监管还没有理顺,主要存在联邦法规空白、地方执法碎片化、传统法规强加于分享经济实体等问题。对此,政府需提供持续灵活的政策规章,修改过时的法规,保持政策的灵活化与弹性。
7. 重视新型技术
随着互联网的发展,分享经济、物联网、自动驾驶汽车、人工智能等新型技术方兴未艾,在提供发展机会的同时也带来安全监管的难题。美国政府需在隐私保护、安全标准以及促进创新上实现平衡。
8. 维持互联网的开放和便捷
维持互联网的开放和便捷符合美国的根本利益,具体包括支持建立兼顾多利益攸关方的治理模式,提高宽带接入,推行新型的扩大互联网连接的商业模式,并对其他国家破坏互联网的行为作出积极的回应。
9. 打造21世纪的人才队伍
人才是网络安全的关键,美国需培养下一代高素质的科技工作者。一是提高教育水平,特别是科学、技术、工程、数学以及计算机科学的教育。二是支持移民改革,继续扩大“绿卡”计划。三是提高科技行业从业者的多元性,包括为美国乡村和少数族群的科技教育提供额外的财政支持。
学术界提出“不同时段”行动计划
2016年11月18日,美国加州大学伯克利分校长期网络安全中心(CLTC)发布报告,认为特朗普政府需要树立网络安全政策新理念,改变对网络安全的思考方式,不再将其单纯视为技术问题,而是上升到一个威胁美国价值观和核心利益的核心问题。对此,报告从总统上任“10天内”、“100天内”、“1000天内”三个时间段分别提出了网络安全治理的不同时段计划:
1. 当务之急是要公开表明美国将采取“威慑防卫”的态度
报告认为,特朗普政府应采取主动防卫的政策,上任伊始(10天之内)就应通过对外政策明确宣示,将对攻击美国的各类实体实施网络反制与打击的态度,并引领网络威慑的规则制定。一方面,要求联邦政府在回应国家级别的网络攻击活动方面要更加有所作为,包括鼓励私营企业参与网络反制。另一方面,宣布将选举系统与设施纳入关键基础设施保护的范畴,对涉及破坏美国选举活动的外国网络犯罪行为予以强力回击。
2. 重中之重是要重视“人”的因素
报告提出网络人才培养的金字塔模型。这个模型的底层是决策制定者,需要了解基本的网络技术以辅助决策;顶层则是精通网络技术的专业型人才,特别是能够助力抵御网络攻击的博士。对此,下届政府在三个月(100天)内采取三管齐下的方法加强网络安全教育。一是提升公众的网络安全意识,将网络安全纳入计算机教育的基础课程,发起一项全新的公共教育运动,在小学阶段即开展相关普及教育,让美国公民拥有最先进、最广泛的网络安全意识,即增加金字塔底层人才培养。二是为网络安全专业的学生提供助学贷款减免优惠政策,并通过提供特殊签证等移民优惠政策吸引境外网络安全人才,启动非营利的在线教育和职业技能培训,为在职学习提供方便,增加金字塔顶层人才培养。三是建立网络人才“孵化器”解决政府的人才短缺问题。充分发挥私营企业的人才优势,在确保其创新性的前提下尽量为政府所用,以缓解联邦政府难以招募到顶尖网络安全专家的现实难题。可探索让私营企业的网络安全专家为国家服务,并在一两年后,仍可回到原单位工作的模式。
3. 关键之举在于推进管理体制的改革与创新
报告认为,网络安全不仅关乎国防安全,也涉及消费者权益、中小企业安全、知识产权、个人交往等方方面面,因此,需要在整个国家治理的体制上有所突破和创新。报告建议特朗普政府在三年(1000天)内仿照国防高级研究计划局(DARPA)的成功做法,成立一个网络高级研究计划局(CARPA)的专门机构,致力于推动、整合和组织国民和军队等方向在网络领域的创新。
无独有偶,美国另一著名的信息安全学术团体美国信息系统审计和控制协会(ISACA)副主席、美国众议会总督察特蕾莎·格拉芬蒂尼在2016年10月14日也公开就总统上任100天之内网络安全方向的当务之急提出五条建议:一是建立政府部门之间的网络安全新秩序。将不同部门、领域、地方各级政府的网络安全防护与保障能力来一次填平补齐式的整合与治理,以提高整体防卫水平。二是处理好国家级别的网络攻击新威胁。网络空间已成为新的战场,不能因为缺乏规则约束,就对网络上的犯罪和恐怖行为听之任之,尤其是国家级别的网络攻击,需要进行“以牙还牙”式的反制与回击。三是培养国家的网络安全专业人才。美国政府在网络安全专业人才方向的需求缺口很大,需要有新的倡议、新的刺激措施和优惠政策,推动专业人才进入公共服务和关键基础设施保护领域。四是加强网络安全的国际合作。网络空间的犯罪是跨越国境、跨越司法管辖权的,美国应在业已达成的多个双边安全协议基础上,继续推进网络安全合作,既要在G7、G20、东盟、APEC等国际舞台上,也要在国际交往领导人一对一会面中强调网络安全问题。五是推进政府部门的信息化和现代化。新政府应持续推进《政府技术现代化法案》的落实,加大政府在信息技术机构上的创新和信息安全保障能力的提升。
研究界提出网络安全“新议程”
2017年1月4日,美智库战略与国际问题研究中心(CSIS)发布《从意识到行动:第45任总统网络安全议程》重磅报告,建议下届总统发挥联邦政府的领导作用,从政策制定、机构改革以及资源投入三个方面采取一系列政策举措来加强网络安全。
1. 完善政策制定
下届政府需要从国内外两个层面应对严峻的网络安全挑战。一是制定一项全新的网络安全国际战略。加强与价值观相同的民主国家的网络安全合作与伙伴关系,深化网络威慑,提高网络反制能力。二是加大打击网络犯罪的力度。特别是加强打击僵尸网络和金融犯罪的国际合作,并惩罚拒绝合作的国家。三是保护全球数据自由流动。提高《司法互助协议》的效力,与价值观相同的国家在隐私保护以及公民自由的基本准则上达成共识。四是加强关键基础设施保护力度。扩大美国国家标准技术研究所(NIST)“关键基础设施网络安全框架”的适用范围,可适时将这种自愿性框架上升为强制性实施。五是重视数据保护与个人隐私。将数据保护纳入网络安全战略中,在联邦贸易委员会(FTC)下成立数据保护机构,制定“国家数据泄露法”。六是提高网络安全事件响应能力。打破网络威胁和攻击信息发布的僵局,为网络威胁信息分享行为进行法律免责保护。七是全力应对物联网安全。加快制定物联网安全的标准和原则,将物联网安全纳入联邦政府采购标准中,促使政府部门实施安全操作。八是综合考虑制定加密政策。政府应该支持强加密的使用,同时也允许在特定条件下保障执法部门的合法访问。
2. 推进机构改革
一是提升统筹协调能力。新总统需迅速任命联邦政府网络安全协调员,并升级为总统网络安全助理,统筹协调联邦政府的网络安全事务。二是加强国土安全部的职能。明确国土安全部的网络安全保护职责,成立专职机构“国家网络安全局”,并加强与其他机构的合作,将国土安全部打造成维护网络安全的核心部门。三是实施联邦机构网络安全审查。授权美国政府问责局(GAO)通过渗透测试等措施对联邦机构的网络安全进行专业评估。四是简化国会监督,特别要处理好网络安全管辖权在总统与国会之间的分配问题。
3. 增加资源投入
一是加强对漏洞资源的管理。下届政府应加大力度激励漏洞特别是零日漏洞的发现与挖掘,增加开源软件漏洞研究项目的资金投入。二是提升政府使用云服务的能力。改革美国政府机构网络安全的管理模式,引进云服务技术,充分利用第三方的托管服务,以更低的成本获得更高的效率。三是丰富网络安全人力资源。下届政府需实施一项全新的网络安全教育计划,包括建立完善的认证培训系统,设立网络安全专业资格审查机构,增加H1B签证数量以吸引国外人才等。
各界政策诉求的主要特点
美国各界对网络安全政策的“参政议政”,表现出以下特点:
1. 顺应选情结果,图特朗普之好
特朗普在竞选期间发表的关于削弱科技产品加密、扩大政府监视权力、结束网络中立、实施严格的移民政策等言论与美国科技界一以贯之的价值观“南辕北辙”,造成美国产业界曾一边倒地反对特朗普。但是,随着特朗普最后的胜出,美国产业界不得不开始缓和与候任总统的关系。虽然此次互联网协会在公开信中也谈到对争议问题的担忧,但是在措辞上较为谨慎,在议题选择上也有所回避,更多地聚焦中立的议题,用较大篇幅谈论知识产权政策革新以及税制改革等问题,这与特朗普提出的优先政策符合,体现出美科技界顺应选情结果,回避主要冲突点,尽量最大化既存共识。
2. 应对网空挑战,表发展之需
官、产、学、研分别从不同角度出发,提出了各自的关切,包括网络版权纠纷、跨境数据流动、隐私保护、数据安全、专利制度改革、网络人才短缺等问题,较为实际地反映了互联网发展面临的主要问题,提出了下届政府政策制定的优先方向。当然,这不仅是美国同时也是全球互联网发展面临的主要挑战。
3. 强调政策引领,谋格局之变
随着各国逐渐加强网络规制,碎片化的法规规章不但抬高了美国科技企业境外市场准入的门槛,同时也极大地增加了法律遵循的不确定性。在这种投资环境下,美国产业界认为美国企业在全球的市场推广需要美国政府强有力的政策保驾护航。因此,美国产业界呼吁在贸易谈判以及外交政策中推行美式价值观,如施压欧盟与美国协力应对跨境数据流动问题;指导改进世界范围内的知识产权政策与执法等。同时,针对全球日益增加的网络攻击,美国各界支持政府采取“威慑宣示”,抢占网络威慑的规则制定权。这体现了美国追求网络空间优势地位,引领规则制定的决心。
4. 重视人才队伍,求长久优势
人力资源的短缺已经成为美国网络安全的突出问题,无论是产业界还是学界,都表示了对网络安全人才的需求达到前所未有的高度。为了解决美国内存在的网络专业人才缺乏、分布不均衡、政策保障不到位的情况,上述报告从理论与实践的角度提出了可操性极强的解决措施,一方面是从源头上解决“质”与“量”的问题,包括加强网络安全人才自主培养以及人才引进等方案;另一方面是在实践中解决好分配不均的问题,利用“孵化器”搭建政府与产业界的人才流通桥梁,充分利用已有资源。(本文刊登于《中国信息安全》2017年第1期)
