态势概览 | 全球网络安全政策法律发展年度报告 （2022）

关键信息基础设施安全保护加速推进，事件报告成重要关切

网络空间竞争与博弈的加剧使得网络的互联互通遭遇逆流，逆全球化思潮抬头，“筑墙设垒”“脱钩断链”成为个别国家维护自身科技垄断和霸权地位的工具。美国商务部和国土安全部2022年2月发布的《美国IT行业关键供应链评估报告》指出“新冠疫情加剧ICT供应链结构性风险，ICT生产诸多领域缺乏国内生态。美国虽然在许多产品的ICT发展方面处于领先地位，但印刷电路板和显示器等产品的生产与电子组装越来越集中于中国。”对此，报告建议通过适当激励项目或立法推动，支持国内投资和生产关键信息通信技术产品，包括印刷电路板和半导体。8月，美国通过《2022年芯片与科学法》，拨款527亿美元提振本国半导体制造与研发，并通过限制补贴资格来阻止半导体企业在中国新建或扩大产能。欧盟提出《芯片法案》，将投入超过430亿欧元公共和私有资金，用于支持芯片生产、试点项目和初创企业，旨在短期内预测并避免供应链中断，从中期帮助欧盟成为芯片战略市场的领军者。日本总务省网络安全工作组发布修订后的《2022年ICT网络安全综合措施》，要求提高自主应对网络攻击的能力，加强和培育本土网络安全产业，以降低对他国产品和信息的依赖性。

欧美隐私盾协议无效后，如何构建欧美数据跨境流动新秩序成为双方重点工作之一。3月，欧盟委员会主席与美国总统拜登发表声明，宣布欧盟和美国已就跨大西洋数据流动的新框架达成“原则性共识”。10月，拜登签署《关于加强美国信号情报活动保障的行政令》，对情报监视活动赋予进一步的保障措施，旨在落实3月双方发布的框架，为重建有效数据传输机制提供制度支撑。行政令发布后，美国国会研究会发布《欧盟-美国数据隐私框架：背景、实施和下一步》报告，提出进一步担忧，表示美国白宫在未来有权撤销行政令，一旦行政令撤销，欧盟公民将失去基于行政令获得的保障措施和救济途径。同时，欧洲法院可能认为行政令规定的措施不足以缓解对美国监视的担忧。报告认为欧洲可能会继续要求修订FISA第702条。同月，《英美政府间就获取电子数据打击严重犯罪的协定》生效，作为《云法案》框架下的首份协定，将允许两国执法机构在获得适当授权的情况下，在没有法律障碍的前提下，直接从高科技公司获取与严重犯罪相关的电子数据。

我国修订后的《网络安全审查办法》正式施行，将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查范围。《数据出境安全评估办法》正式发布，以《网络安全法》《数据安全法》《个人信息保护法》为上位法依据，标志着我国探索多年的数据出境安全评估制度落地。办法发布后，北京、江苏、上海等多省市网信部门开通申报和咨询通道，指引数据处理者申报数据出境安全评估。我国司法部发布《国际民商事司法协助常见问题解答》，进一步明确涉诉数据信息的跨境调取规则。《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》《个人信息出境标准合同规定（征求意见稿）》相继发布，进一步细化个人信息跨境提供规则。

一直以来，网络空间都是各国塑造国际形象、提升国际影响力的重要舞台。俄乌冲突期间，两国在“舆论战”中的表现充分说明打击外国信息操纵与干扰，强化在线平台，特别是对舆论走势有着强大主导力的大平台非法和有害内容治理能力的重要性。  

一方面，通过将发布特定类型违法有害信息的行为定义为犯罪，强化法律的威慑力。俄罗斯总统普京签署三项修正案，修订《俄罗斯联邦刑法典》《俄罗斯联邦刑事诉讼法典》《俄罗斯联邦行政违法法典》，将军事相关信息的传播纳入刑事规制范畴，明确公开发布俄罗斯联邦武装部队相关虚假信息、诋毁俄罗斯武装力量公开行动及呼吁对俄罗斯进行制裁三类行为的刑罚规则。另一方面，加强平台识别和防范违法有害信息的能力，以及在信息内容治理方面的主体责任。美国网络安全和基础设施安全局发布《准备和减轻针对关键基础设施的外国影响行动》，为关键基础设施所有者和运营商如何识别和减轻错误信息、虚假信息和不实信息（MDM）风险提供指导。在美国白宫发布的大型科技平台改革六项原则中，再次呼吁对《通信规范法》第230条进行根本性改革，以限缩对大型科技平台的特殊法律保护。欧盟《数字服务法》正式通过，要求在欧盟经营的大型门户网站和社交媒体公司必须加强对非法内容的审查，及时删除非法和有害的在线内容，包括仇恨言论、虚假信息和假货交易信息等。同时，《欧盟处理恐怖主义内容在线传播条例》开始施行,要求网络平台接到成员国当局发出的删除命令后，必须在一小时内删除恐怖主义内容。我国建立健全网络综合治理体系，推动形成良好网络生态。国家互联网信息办公室等部门发布《移动互联网应用程序信息服务管理规定》《互联网用户账号信息管理规定》《互联网弹窗信息推送服务管理规定》，要求互联网信息服务提供者落实主体责任，并提出“在互联网用户账号信息页面展示合理范围内的账号的互联网协议地址归属地信息”的要求。

随着勒索攻击、电信网络诈骗等违法犯罪活动持续威胁国家、社会和个人合理利益，各国开始普遍加强网络犯罪打击力度。美国总统拜登签署《优化网络犯罪度量法》，旨在提升网络犯罪数据可见性、提高网络犯罪打击效率。美国司法部发布《2022年-2026年战略计划》，将提升网络安全和打击勒索攻击作为“保护美国国家安全”的战略目标，并做出将DOJ采取扣押或没收手段的勒索攻击结案数量增加10%的承诺。《欧洲刑警组织条例》修正案生效，规定“只要是为支持特定正在进行中的犯罪调查，能够在不明确数据主体类别的情况下处理个人数据。”但欧盟数据保护专员公署认为修正案削弱了数据保护基本权利，扩大欧洲刑警组织权力的同时并未建立强有力的数据保护措施。

与此同时，各国将网络犯罪预防列为重点工作之一，强调潜在犯罪行为的发现与防范。澳大利亚发布《2022年打击网络犯罪国家计划》，从预防与保护，调查、打击与起诉，以及恢复三方面提出具体措施，将支持行业发挥领导力，预防网络犯罪威胁。澳大利亚《2022年电信服务提供商（客户身份验证）判定规则》生效，要求识别客户高风险交易，保护风险客户，对高风险交易实施多因素身份验证。习近平总书记在党的二十大报告中强调，推动公共安全治理模式向事前预防转型，加强重点行业、重点领域安全监管，加强个人信息保护，依法严惩群众反映强烈的各类违法犯罪活动，在社会基层坚持和发展新时代“枫桥经验”，建设人人有责、人人尽责、人人享有的社会治理共同体。我国正式通过《反电信网络诈骗法》，着力加强预防性法律制度构建，推动形成全链条反诈、全行业阻诈、全社会防诈的打防管控格局。《全国人大常委会2022年度立法工作计划》也将制定网络犯罪防治法列为预备审议项目之一。

2022年，各国政策立法同步推进人工智能、后量子密码、元宇宙、数字货币等未来技术的推动创新与安全治理，尤其注重后量子密码的超前部署，以及强调对人工智能安全治理的“适度性”。

一直以来，密码安全问题就是算法构筑的“难解性”与计算能力之间的博弈。但这一传统的攻防关系随着量子计算的成熟而变得不再稳定，量子计算提供的强大计算能力将使现有的绝大部分公钥密码算法被攻破，迄今为止最为有效的“安全屏障”可能不再可靠 。基于此，为预防量子计算对网络安全造成的潜在威胁，美国在后量子密码领域超前布局。国家标准与技术研究院确定了四种后量子加密算法。白宫发布《关于加强国家量子倡议咨询委员会的行政命令》《关于促进美国在量子计算领域领导地位的同时降低易受攻击的密码系统风险的国家安全备忘录》，推动美国在量子信息科学方面的举措，同时减轻量子计算对国家和经济安全构成的风险。网络安全和基础设施安全局发布《为关键基础设施做好后量子密码准备》专项文件，为关键基础设施及政府网络的所有者、运营者向后量子密码转型提供指引。国家安全局发布《商业性国家安全算法组件2.0》，提出针对国家安全系统的后量子算法要求。

与此同时，各国对人工智能的安全治理更加理性，着重强调监管的“适度性”。欧洲议会通过《关于数字时代人工智能的决议》，指出欧盟不应总是将人工智能作为一种技术进行监管，监管干预的程度应与人工智能系统的特定使用风险成正比。英国发布《国家人工智能战略——人工智能行动计划》与《建立一种支持创新的人工智能监管方法》，同样强调监管的合比例性，要求遵循技术的“适应性”和“自主性”。我国六部门联合发布《关于加快场景创新以人工智能高水平应用促进经济高质量发展的指导意见》，将协同治理作为基本原则之一，要求尊重人工智能发展规律，发挥政府和市场的积极性，共同为场景创新提供制度供给，促进人工智能创新发展与监管规范相协调。正如习近平总书记在党的二十大报告中要求的，必须坚持解放思想、实事求是、与时俱进、求真务实，得出符合客观规律的科学认识，形成与时俱进的理论成果，更好指导中国实践，构建新一代信息技术、人工智能等一批新的增长引擎。