美國網(wǎng)絡(luò)安全信息共享立法及對我國的啟示

近年來，隨著網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)威脅等愈演愈烈，各國紛紛開始重視并加強(qiáng)網(wǎng)絡(luò)安全立法，如何使公共部門和私營部門更好地應(yīng)對網(wǎng)絡(luò)安全威脅成為全球共同面臨的挑戰(zhàn)。各國立法中的一個重要共識是，及時交換共享網(wǎng)絡(luò)安全信息是預(yù)防和充分應(yīng)對網(wǎng)絡(luò)安全事件的重要舉措，網(wǎng)絡(luò)安全信息共享包括私營部門之間的共享、政府部門之間的共享以及私營部門和政府部門之間的共享三個方面。我國2016年11月通過的《網(wǎng)絡(luò)安全法》第39條明確規(guī)定，對于關(guān)鍵信息基礎(chǔ)設(shè)施，國家網(wǎng)信部門應(yīng)當(dāng)統(tǒng)籌協(xié)調(diào)有關(guān)部門，“促進(jìn)有關(guān)部門、關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者以及有關(guān)研究機(jī)構(gòu)、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)等之間的網(wǎng)絡(luò)安全信息共享”。

但該規(guī)定比較原則和簡單，并沒有規(guī)定網(wǎng)絡(luò)安全信息共享的具體負(fù)責(zé)機(jī)構(gòu)和實(shí)現(xiàn)機(jī)制，如何構(gòu)建我國網(wǎng)絡(luò)安全信息共享制度成為貫徹《網(wǎng)絡(luò)安全法》、確保我國網(wǎng)絡(luò)安全亟待研究的重大問題。作為全球網(wǎng)絡(luò)信息技術(shù)最發(fā)達(dá)的國家，美國很早就開始研究制定網(wǎng)絡(luò)安全信息共享的政策立法，并于2015年12月正式通過了美國《網(wǎng)絡(luò)安全信息共享法》，這對我國相關(guān)制度的構(gòu)建具有重要的借鑒意義。本文著重介紹和分析美國網(wǎng)絡(luò)安全信息共享立法的最新進(jìn)展，在此基礎(chǔ)上得出建立我國網(wǎng)絡(luò)安全信息共享制度的有益啟示。

一、美國網(wǎng)絡(luò)安全信息共享立法的歷程和框架

美國早在克林頓政府時期就開始制定網(wǎng)絡(luò)安全信息共享的政策和立法。1998年5月，克林頓簽署頒布《第63號總統(tǒng)決策指令》(PDD-63)，規(guī)定聯(lián)邦調(diào)查局內(nèi)部的“國家關(guān)鍵基礎(chǔ)設(shè)施保護(hù)中心”(National Infrastructure Protection Center, NIPC)維持政府和私營部門之間相關(guān)信息的流通和共享；與之相對，規(guī)定私營行業(yè)建立信息共享和分析中心(Information Sharing and Analysis Center，ISAC)，負(fù)責(zé)收集、分析和共享其成員間的安全事件信息和應(yīng)對信息，促成政府和私營行業(yè)之間的信息交換。這一設(shè)想最后發(fā)展成每個行業(yè)都有其自身的信息共享和分析中心。相較于關(guān)鍵基礎(chǔ)設(shè)施保護(hù)行業(yè)協(xié)作委員會(sector coordinating council)，ISAC是24小時、365天全天候運(yùn)行的，該中心負(fù)責(zé)通報、分析和共享設(shè)施運(yùn)營者的安全事件報告和來自政府的網(wǎng)絡(luò)安全威脅信息。

美國在“9·11”事件之后，于2002年通過了《國土安全法》，成立了國土安全部。雖然PDD-63將ISAC設(shè)想成交換關(guān)鍵基礎(chǔ)設(shè)施信息最主要的渠道，但國土安全部還是依據(jù)自身的授權(quán)發(fā)展出了一系列其他的信息交換系統(tǒng)和機(jī)制，主要包括設(shè)立 “關(guān)鍵基礎(chǔ)設(shè)施保護(hù)行政通知服務(wù)處”(Infrastructure Protection Executive Notification Service，ENS)，該部門直接聯(lián)系國土安全部和主要產(chǎn)業(yè)公司的首席執(zhí)行官，ENS負(fù)責(zé)向合作伙伴警示關(guān)鍵技術(shù)設(shè)施安全事件、發(fā)布警告產(chǎn)品和組織電話會議；運(yùn)營“關(guān)鍵基礎(chǔ)設(shè)施警告網(wǎng)絡(luò)”(Critical Infrastructure Warning Network，CWIN)，該網(wǎng)絡(luò)不依靠公共交換電話網(wǎng)和互聯(lián)網(wǎng)，為國土安全部與其他聯(lián)邦、州和地方政府機(jī)構(gòu)、私營行業(yè)和國際機(jī)構(gòu)提供安全通信。

國土安全部還開發(fā)了國土安全信息網(wǎng)絡(luò)(Homeland Security Information Network ，HSIN)，最初是作為聯(lián)邦、州和地方層級政府執(zhí)法機(jī)構(gòu)交流和分析威脅信息的主要通信網(wǎng)絡(luò)?，F(xiàn)在HSIN提供50個州、5個領(lǐng)地、50個城市以及國土安全部的國家行動中心(National Operations Center)的實(shí)時連接。HSIN現(xiàn)在正擴(kuò)展到包含每個關(guān)鍵基礎(chǔ)設(shè)施行業(yè)(稱為HSIN-CI)，作為關(guān)鍵基礎(chǔ)設(shè)施保護(hù)伙伴關(guān)系模式的一部分。除了行業(yè)協(xié)作協(xié)會，美國計(jì)算機(jī)應(yīng)急中心(US-CERT)[注]承擔(dān)了國家關(guān)鍵基礎(chǔ)設(shè)施保護(hù)中心(NIPC)的大部分職能。也接受安全事件報告，公布最新的計(jì)算機(jī)漏洞威脅信息以及特定安全事件應(yīng)對信息，也負(fù)責(zé)國家網(wǎng)絡(luò)警報系統(tǒng)(National Cyber Alert System)，任何組織或者個人都可以訂閱這一系統(tǒng)的通報信息。

此外，《國土安全法》還界定了“信息共享和分析組織”(Information Sharing and Analysis Organizations，ISAO)，其是指“以收集、分析、交流或者披露關(guān)鍵基礎(chǔ)設(shè)施信息為目的，公共部門或私營行業(yè)組織建立或雇用的正式或非正式組織”，“以有助于保護(hù)、檢測、減輕或者恢復(fù)關(guān)鍵基礎(chǔ)設(shè)施損害所造成的影響”。[注]Critical Infrastructure Information Act of 2002, 6 U.S.C. 131 (5).可以發(fā)現(xiàn)，PDD-63建立的ISAC是行業(yè)導(dǎo)向的，而ISAO沒有此種要求。

奧巴馬政府成立之后，積極推進(jìn)網(wǎng)絡(luò)安全的綜合性立法，最主要內(nèi)容就是關(guān)鍵基礎(chǔ)設(shè)施保護(hù)和網(wǎng)絡(luò)安全信息共享。但因?yàn)闋幾h較大，相關(guān)立法設(shè)想在國會一直無法通過，奧巴馬政府轉(zhuǎn)而通過行政命令繼續(xù)推進(jìn)網(wǎng)絡(luò)安全信息共享。2013年2月，《第13636號行政命令》(E.O. 13636)[注]See Executive Order 13636: Improving Critical Infrastructure Cybersecurity, Federal Register 78, No. 33, February 19, 2013, pp. 11737～11744.要求將“增強(qiáng)網(wǎng)絡(luò)安全服務(wù)”項(xiàng)目推廣至所有關(guān)鍵基礎(chǔ)設(shè)施相關(guān)部門，面向私營公司制定推廣自愿性信息共享計(jì)劃。2015年2月，《第13691號行政命令》(E.O. 13691)[注]See E.O. 13691: Promoting Private Sector Cybersecurity Information Sharing, Federal Register, Vol. 80, No. 34, February 20, 2015, pp. 9347～9353.要求國土安全部長支持信息共享和分析組織(ISAO)的發(fā)展，以促進(jìn)網(wǎng)絡(luò)安全信息分享。

雖然通過一系列行政命令建立了網(wǎng)絡(luò)安全信息共享的基本框架，但因?yàn)橄抻诳偨y(tǒng)行政權(quán)力有限，行政命令無法創(chuàng)設(shè)新的機(jī)構(gòu)，也無法規(guī)定鼓勵企業(yè)共享網(wǎng)絡(luò)安全信息的責(zé)任豁免制度，奧巴馬從第二任期開始繼續(xù)推進(jìn)相關(guān)國會立法。僅第114屆國會，就提出了H.R. 234、H.R. 1560、H.R. 1731、S. 456和S. 754等五部法案，這些法案經(jīng)過了參議院和眾議院的數(shù)次審議和多次修改。2015 年10 月27 日，美國參議院以74 票贊成、21票反對的表決結(jié)果，通過了《網(wǎng)絡(luò)安全信息共享法案》(Cybersecurity Information Sharing Act，CISA)。2015年12月28日，奧巴馬總統(tǒng)簽署了包含該法案的2016綜合預(yù)算法，《網(wǎng)絡(luò)安全信息共享法》(CISA)正式生效。

二、美國《網(wǎng)絡(luò)安全信息共享法》的主要內(nèi)容

《網(wǎng)絡(luò)安全信息共享法》(CISA)[注]See Cybersecurity Information Sharing Act of 2015, https://www.congress.gov/bill/114th-congress/senate-bill/754, last visited on Jan.8, 2017.是美國關(guān)于網(wǎng)絡(luò)安全信息共享的第一部綜合性立法，也是奧巴馬政府最重要的網(wǎng)絡(luò)安全綜合性立法成果。該法授權(quán)政府機(jī)構(gòu)、企業(yè)以及公眾之間可以在法定條件和程序下共享網(wǎng)絡(luò)安全信息，并將網(wǎng)絡(luò)安全信息界分為“網(wǎng)絡(luò)威脅指標(biāo)”(cyber threat indicator)和“防御措施”(defensive measure)兩類信息。

所謂的“網(wǎng)絡(luò)威脅指標(biāo)”是指描述或識別以下情形的必要信息：(1)惡意偵查，包括看起來是為了收集與網(wǎng)絡(luò)安全威脅或安全漏洞相關(guān)的技術(shù)信息的通信流量異常；(2)突破安全措施或者探偵安全漏洞的方法；(3)安全漏洞，包括看起來顯示安全漏洞存在的異常活動；(4)造成合法訪問信息系統(tǒng)或信息系統(tǒng)所存儲、處理或傳輸信息的用戶不經(jīng)意使得安全措施失效或安全漏洞被探偵的方法；(5)惡意的網(wǎng)絡(luò)命令或控制；(6)安全事件所造成的實(shí)際或可能的損害，包括特定安全威脅所泄露信息的描述；(7)其他并非法律禁止披露的網(wǎng)絡(luò)安全威脅的屬性；(8)上述情形的任意組合。[注]See CISA, Sec.102(6).

所謂的“防御措施”是指檢測、防止或減輕信息系統(tǒng)或信息系統(tǒng)所存儲、處理或傳輸信息的已知或者可能的網(wǎng)絡(luò)安全威脅或安全漏洞的行為、設(shè)備、程序、簽名、技術(shù)或其他措施。但應(yīng)排除破壞、癱瘓、提供未經(jīng)授權(quán)訪問或?qū)嵸|(zhì)性危害信息系統(tǒng)或者信息系統(tǒng)數(shù)據(jù)的措施，只要這些系統(tǒng)或者數(shù)據(jù)不屬于實(shí)施該措施的私主體、不屬于向?qū)嵤┰摯胧┑乃街黧w授權(quán)提供同意或已經(jīng)提供同意的其他主體或聯(lián)邦主體。[注]See CISA, Sec.102(7).CISA圍繞“網(wǎng)絡(luò)威脅指標(biāo)”和“防御措施”建立了美國網(wǎng)絡(luò)安全信息共享的基本法治框架。

(一)規(guī)定了聯(lián)邦政府的網(wǎng)絡(luò)安全信息共享

CISA授權(quán)聯(lián)邦政府共享非機(jī)密的“網(wǎng)絡(luò)威脅指標(biāo)”和“防御措施”；授權(quán)不僅可以在政府機(jī)構(gòu)間分享此種非機(jī)密的信息，也可以與企業(yè)和公眾分享；機(jī)密的網(wǎng)絡(luò)安全信息在政府機(jī)構(gòu)之外的共享，僅限于具有適當(dāng)安全資質(zhì)的主體；要求聯(lián)邦政府定期發(fā)布“網(wǎng)絡(luò)安全最佳實(shí)踐”，以幫助小型企業(yè)應(yīng)對其面臨的網(wǎng)絡(luò)安全挑戰(zhàn)。[注]See CISA, Sec. 103(a).

CISA要求制定專門的程序來實(shí)現(xiàn)上述分享，這一程序要滿足以下要求：(1)確保聯(lián)邦政府有能力在滿足保護(hù)機(jī)密信息的前提下，實(shí)現(xiàn)網(wǎng)絡(luò)安全信息的實(shí)時分享；(2)最大可能地整合聯(lián)邦機(jī)構(gòu)、非聯(lián)邦主體在信息共享方面已有的程序、角色和職責(zé)，這包括分行業(yè)的信息共享和分析中心(ISAC)；(3)對接收錯誤的或者違反CISA及其他法律要求的網(wǎng)絡(luò)安全信息的主體，要建立及時通知程序；(4)要求聯(lián)邦機(jī)構(gòu)采取安全措施保護(hù)共享的網(wǎng)絡(luò)安全信息不受未經(jīng)授權(quán)的訪問或獲?。?5)要求聯(lián)邦機(jī)構(gòu)審查或者利用技術(shù)手段移除任何與網(wǎng)絡(luò)安全沒有直接關(guān)系的、在分享時知道是特定主體的個人信息或可以識別特定個人的信息；(6)對個人信息已明知或者確定被聯(lián)邦機(jī)構(gòu)違反CISA而共享的美國人[注]此處的美國公民既包括美國公民，也包括依法獲得永久居住權(quán)的外國人。，要建立及時通知程序。[注]See CISA, Sec. 103(b).

(二)規(guī)定了非聯(lián)邦主體的網(wǎng)絡(luò)安全信息共享

CISA授權(quán)非聯(lián)邦主體為了網(wǎng)絡(luò)安全目的(cybersecurity purposes)可以與聯(lián)邦機(jī)構(gòu)和其他非聯(lián)邦主體共享“網(wǎng)絡(luò)威脅指標(biāo)”和“防御措施”。所謂的“網(wǎng)絡(luò)安全目的”是指保護(hù)信息系統(tǒng)或者信息系統(tǒng)所存儲、處理或傳輸?shù)男畔⒚馐芫W(wǎng)絡(luò)安全威脅或安全漏洞。[注]See CISA, Sec. 102(4).所謂的非聯(lián)邦主體包括私主體、非聯(lián)邦政府機(jī)關(guān)以及州、部落或地方政府。[注]See CISA, Sec. 104(c).這里的聯(lián)邦機(jī)構(gòu)包括了美國國防部(含國家安全局)、國家情報總監(jiān)辦公室、國土安全部、司法部等重要情報部門。

CISA要求非聯(lián)邦主體采取安全措施保護(hù)共享的網(wǎng)絡(luò)安全信息不受未經(jīng)授權(quán)的訪問或獲取，遵從關(guān)于這些信息合法使用或共享限制的規(guī)定，并且審查或者利用技術(shù)手段移除任何與網(wǎng)絡(luò)安全沒有直接關(guān)系的、在分享時知道是特定主體的個人信息或可以識別特定個人的信息。[注]See CISA, Sec. 104(d).

CISA理順了聯(lián)邦政府接收網(wǎng)絡(luò)安全信息的機(jī)制，規(guī)定國土安全部(DHS)應(yīng)該發(fā)展和實(shí)施特定的能力和程序(capability and process)來實(shí)時接收非聯(lián)邦主體分享的網(wǎng)絡(luò)威脅指標(biāo)和防御措施，并將這些網(wǎng)絡(luò)安全信息在聯(lián)邦機(jī)構(gòu)之間通過信息系統(tǒng)自動共享。[注]See CISA, Sec. 105(c).這些程序包括自動指標(biāo)共享程序(Automated Indicator Sharing, AIS)、電子郵件、網(wǎng)絡(luò)表格等。不過，聯(lián)邦機(jī)構(gòu)和非聯(lián)邦主體關(guān)于已經(jīng)共享的網(wǎng)絡(luò)安全信息的溝通，以及聯(lián)邦監(jiān)管機(jī)構(gòu)與被監(jiān)管主體關(guān)于網(wǎng)絡(luò)威脅的溝通并不適用國土安全部的專用程序。[注]See CISA, Sec. 105(c)(1)(B).

國土安全部的信息共享程序，不是限制或禁止非聯(lián)邦主體其他的向聯(lián)邦機(jī)構(gòu)合法披露網(wǎng)絡(luò)安全信息的行為，這包括報告犯罪活動、參與聯(lián)邦調(diào)查以及遵守其他法定或意定的合同要求。[注]See CISA, Sec. 105(c)(E).

(三)規(guī)定私主體的責(zé)任豁免以鼓勵信息共享

CISA授權(quán)私主體可以監(jiān)視信息系統(tǒng)和實(shí)施防御措施。為了網(wǎng)絡(luò)安全目的(cybersecurity purposes)，私主體可以監(jiān)視其自身的信息系統(tǒng)、經(jīng)其他主體授權(quán)或書面同意的其他非聯(lián)邦主體和聯(lián)邦機(jī)構(gòu)的信息系統(tǒng)以及在這些信息系統(tǒng)中存儲、處理或者傳輸?shù)男畔?。[注]See CISA, Sec. 104(a).此外，CISA也授權(quán)私主體為了網(wǎng)絡(luò)安全目的可以對其自身的信息系統(tǒng)、經(jīng)其他主體授權(quán)或書面同意的其他非聯(lián)邦主體和聯(lián)邦機(jī)構(gòu)的信息系統(tǒng)實(shí)施防御措施。[注]See CISA, Sec. 104(b).

CISA明確規(guī)定，私主體監(jiān)視信息系統(tǒng)和信息、共享和接受網(wǎng)絡(luò)安全信息，只要符合CISA的法定要求，就不會因此而承擔(dān)法律責(zé)任。[注]See CISA, Sec. 106.

CISA并非設(shè)定了網(wǎng)絡(luò)安全信息共享的強(qiáng)制性義務(wù)，其規(guī)定不能解釋為允許聯(lián)邦機(jī)構(gòu)：要求非聯(lián)邦主體向聯(lián)邦機(jī)構(gòu)或非聯(lián)邦主體提供信息；以非聯(lián)邦主體向其或其他非聯(lián)邦主體提供網(wǎng)絡(luò)威脅指標(biāo)，作為其與該非聯(lián)邦主體共享網(wǎng)絡(luò)威脅指標(biāo)的條件，或者作為該非聯(lián)邦主體獲得聯(lián)邦撥款、合同或采購的條件。任何私主體不會因選擇不參加自愿的網(wǎng)絡(luò)安全信息共享而承擔(dān)法律責(zé)任。[注]See CISA, Sec. 108(h) (i).

CISA對于網(wǎng)絡(luò)安全信息共享和網(wǎng)絡(luò)安全協(xié)助規(guī)定了反壟斷責(zé)任的豁免。兩個或多個私主體，為了網(wǎng)絡(luò)安全目的交換或提供網(wǎng)絡(luò)威脅指標(biāo)，提供防止、調(diào)查或減輕網(wǎng)絡(luò)安全威脅的協(xié)助，并不構(gòu)成對反壟斷法的違反。[注]See CISA, Sec. 104(e).當(dāng)然，CISA并不允許聯(lián)合定價、市場壟斷等破壞市場競爭的行為。[注]See CISA, Sec. 108(e).

(四)規(guī)定了隱私、自由和私權(quán)利的保護(hù)

根據(jù)上文所述，CISA規(guī)定聯(lián)邦機(jī)構(gòu)和非聯(lián)邦主體都要審查其所共享的網(wǎng)絡(luò)安全信息中的個人信息，并移除與網(wǎng)絡(luò)安全威脅沒有直接關(guān)系的個人信息。除此之外，CISA要求國土安全部長和司法部長聯(lián)合制定隱私和公民自由保護(hù)指南，這一指南需要包括以下內(nèi)容：(1)限制本法規(guī)定的聯(lián)邦政府活動對隱私和公民自由的影響；(2)限制含有個人信息的網(wǎng)絡(luò)威脅指標(biāo)的接收、留存、適用以及傳播，對相關(guān)網(wǎng)絡(luò)威脅指標(biāo)規(guī)定特定留存期限，對與本法授權(quán)使用無直接關(guān)系的信息，規(guī)定建立發(fā)現(xiàn)后及時移除程序；(3)采取安全措施保護(hù)含有個人信息的網(wǎng)絡(luò)威脅指標(biāo)不受未經(jīng)授權(quán)的訪問或獲取，包括規(guī)定政府機(jī)構(gòu)工作人員違反指南時的適當(dāng)懲處；(4)對于已明知或者確定所共享的信息不構(gòu)成網(wǎng)絡(luò)安全指標(biāo)的主體，要建立通知程序；(5)最大程度保護(hù)含有個人信息的網(wǎng)絡(luò)威脅指標(biāo)的秘密性，并且告知接收者只能在本法授權(quán)的目的下使用這些指標(biāo)。[注]See CISA, Sec. 105(b).

CISA明確規(guī)定，與聯(lián)邦政府共享的網(wǎng)絡(luò)安全信息，并非放棄其本身的法定特權(quán)和保護(hù)，包括商業(yè)秘密的保護(hù)；并不適用聯(lián)邦、州和地方信息自由法公開披露的規(guī)定；并不適用行政法上單方面接觸(ex parte communications)的限制；最初共享這些信息的非聯(lián)邦主體的商業(yè)性、金融性和財產(chǎn)性信息仍受保護(hù)。[注]See CISA, Sec. 105(d)(1)—(4).

(五)限制政府所獲網(wǎng)絡(luò)安全信息的用途

CISA限制政府通過共享獲得的網(wǎng)絡(luò)安全信息的用途，以避免政府利用這些信息對分享主體造成不利。對于通過合法共享而獲得的網(wǎng)絡(luò)威脅指標(biāo)和防御措施，聯(lián)邦政府的披露、留存或者使用只限于以下情形：(1)網(wǎng)絡(luò)安全目的；(2)識別網(wǎng)絡(luò)安全威脅或者安全漏洞；(3)應(yīng)對、防止或者減輕特定的死亡威脅、嚴(yán)重的人身或經(jīng)濟(jì)損害，包括恐怖主義行為或大規(guī)模殺傷性武器的使用；(4)應(yīng)對、調(diào)查、追訴、防止或者減輕對未成年人的嚴(yán)重威脅，任何可能由(3)所列情形引發(fā)的犯罪行為，或者與欺詐、身份盜竊、間諜、審查或商業(yè)秘密保護(hù)相關(guān)的特定犯罪行為。[注]See CISA, Sec. 105(d)(5).

對于通過合法共享而獲得的網(wǎng)絡(luò)威脅指標(biāo)和防御措施，州、部落或地方政府不得用于監(jiān)管[注]包括采取強(qiáng)制措施。非聯(lián)邦主體的合法行為或非聯(lián)邦主體根據(jù)強(qiáng)制性標(biāo)準(zhǔn)而采取的行為。但是州、部落或地方政府在防止或減輕信息系統(tǒng)網(wǎng)絡(luò)威脅的監(jiān)管權(quán)范圍內(nèi)，可以將這些網(wǎng)絡(luò)安全信息用于通報特定信息系統(tǒng)監(jiān)管措施的進(jìn)展或?qū)嵤?。[注]See CISA, Sec. 104(d)(4)(C).

(六)規(guī)定了聯(lián)邦機(jī)構(gòu)向國會定期報告制

CISA規(guī)定了聯(lián)邦主要機(jī)構(gòu)向國會定期報告制度，以利于國會獲知信息共享的成效和確保對政府活動的監(jiān)督。要求報告的內(nèi)容包括：信息共享措施的實(shí)施情況；信息共享政策、程序和指南的遵從情況；通過將個人數(shù)據(jù)從共享的信息中移除來保護(hù)個人隱私的情況，以及這些保護(hù)措施的充分性；美國所面臨網(wǎng)絡(luò)安全威脅的情況等。CISA還規(guī)定了該法的“日落條款”，該法將于2025年9月30日停止適用，即該法的適用期限大概為十年。

根據(jù)CISA，美國國土安全部會同有關(guān)部門制定了四個相關(guān)程序和指南。除了2016年2月制定的聯(lián)邦政府向非聯(lián)邦主體共享網(wǎng)絡(luò)威脅信息的程序規(guī)定之外，還包括2016年6月15日發(fā)布的“非聯(lián)邦主體向聯(lián)邦機(jī)構(gòu)共享網(wǎng)絡(luò)威脅信息指南”、“聯(lián)邦政府接收網(wǎng)絡(luò)威脅信息程序”和“隱私和公民自由保護(hù)指南”。[注]See DHS, DOJ Release 4 Final Guidance Documents on Cyber Threat Data Sharing, http://www.executivegov.com/2016/06/dhs-doj-release-4-final-guidance-documents-on-cyber-threat-data-sharing/, last visited on Jan.8, 2016.

在美國，CISA和類似網(wǎng)絡(luò)安全信息共享立法引發(fā)的爭議主要包括：(1)企業(yè)采取技術(shù)措施監(jiān)控自身的網(wǎng)絡(luò)設(shè)施和共享網(wǎng)絡(luò)威脅信息等，可能違反《電子通信隱私法》(ECPA)等隱私權(quán)保護(hù)的法律規(guī)定[注]See Aaron J. Burstein, Amending the ECPA to Enable a Culture of Cybersecurity Research, Harvard Journal of Law & Technology, 2008, 167.，CISA對此雖然規(guī)定了企業(yè)責(zé)任豁免，但爭議仍然存在。(2)規(guī)定豁免企業(yè)共享信息的法律責(zé)任，有兩方面的爭議：一方面私主體對這種豁免仍存在不信任，聯(lián)邦機(jī)構(gòu)可能以此作為不利于當(dāng)事人的證據(jù)用于行政執(zhí)法等；另一方面，責(zé)任豁免如涉及舍棄第三方私主體的合法權(quán)益，其正當(dāng)性受到質(zhì)疑。(3)共享信息可能會侵害企業(yè)的商業(yè)利益。類似商業(yè)秘密等商業(yè)信息，可能發(fā)生泄露而被競爭對手獲取。因此，企業(yè)一般不愿與政府共享涉及商業(yè)利益的信息，此類立法的成效有限。(4)CISA可能會便利政府監(jiān)控項(xiàng)目的實(shí)施。2015年6月，美國通過《美國自由法》，根據(jù)該法規(guī)定，美國國家安全局會逐步將大規(guī)模電話元數(shù)據(jù)收集項(xiàng)目轉(zhuǎn)給電信公司，待有證據(jù)確認(rèn)某人或某個組織有恐怖活動嫌疑時才可向電信公司索取相關(guān)數(shù)據(jù)。CISA授權(quán)私主體可以監(jiān)視信息系統(tǒng)及傳輸?shù)男畔?，私主體可以主動與政府共享網(wǎng)絡(luò)安全信息，這實(shí)際上為政府通過企業(yè)監(jiān)控網(wǎng)絡(luò)提供了可能的便利條件。

三、美國網(wǎng)絡(luò)安全信息共享立法對我國的啟示

雖然網(wǎng)絡(luò)安全信息共享制度存在一定的爭議，但鑒于其在實(shí)踐中已被證明確實(shí)是維護(hù)網(wǎng)絡(luò)安全的有效制度設(shè)計(jì)，我國《網(wǎng)絡(luò)安全法》第39條也已明確規(guī)定要促進(jìn)關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全信息共享，建議借鑒美國等國家在網(wǎng)絡(luò)安全信息共享方面的立法經(jīng)驗(yàn)，結(jié)合我國的具體國情，盡快立法確立我國網(wǎng)絡(luò)安全信息共享制度。

(一)盡快建構(gòu)網(wǎng)絡(luò)安全信息共享的法治框架

《網(wǎng)絡(luò)安全法》通過之后，作為重要配套規(guī)定的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》(以下簡稱“條例”)正在加緊制定，而促進(jìn)網(wǎng)絡(luò)安全信息共享，正是規(guī)定在《網(wǎng)絡(luò)安全法》保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施的部分。雖然網(wǎng)絡(luò)安全信息共享制度不僅適用于關(guān)鍵信息基礎(chǔ)設(shè)施，但建議抓住此次立法契機(jī)，在條例制定中確立我國網(wǎng)絡(luò)安全信息共享制度的基本框架。

建議明確由國家網(wǎng)信部門負(fù)責(zé)統(tǒng)一領(lǐng)導(dǎo)協(xié)調(diào)我國網(wǎng)絡(luò)安全信息共享工作，公安部、工信部等其他部委根據(jù)未來關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的分工來分別負(fù)責(zé)所主管行業(yè)領(lǐng)域的網(wǎng)絡(luò)安全信息共享。網(wǎng)絡(luò)安全信息共享法治的基本框架應(yīng)該著重考慮以下問題：(1)所共享的網(wǎng)絡(luò)安全信息的類型；(2)網(wǎng)絡(luò)安全信息共享的主體；(3)網(wǎng)絡(luò)安全信息共享的目的限定；(4)所共享的網(wǎng)絡(luò)安全信息的分級；(5)網(wǎng)絡(luò)安全信息共享的體制機(jī)制。

(二)確立網(wǎng)絡(luò)安全信息共享的公私合作機(jī)制

為充分實(shí)現(xiàn)網(wǎng)絡(luò)安全信息的交換共享，應(yīng)該建立網(wǎng)絡(luò)安全信息共享的政府企業(yè)合作機(jī)制。在政府部門分工確定主管行業(yè)的基礎(chǔ)上，鼓勵引導(dǎo)各個行業(yè)領(lǐng)域成立自身的行業(yè)協(xié)作委員會，授權(quán)政府主管部門和相應(yīng)的行業(yè)協(xié)作委員會建立公私合作伙伴關(guān)系。

公私合作伙伴關(guān)系的主要職能在于：私營部門通過這一機(jī)制反映自身面臨的網(wǎng)絡(luò)安全威脅，并協(xié)助主管部門制定行業(yè)網(wǎng)絡(luò)安全信息共享計(jì)劃；國家網(wǎng)信部門等國家機(jī)關(guān)通過這一機(jī)制廣泛征求產(chǎn)業(yè)界的意見，在制定網(wǎng)絡(luò)安全信息共享政策和標(biāo)準(zhǔn)等過程中，充分反映行業(yè)的最佳實(shí)踐。

應(yīng)該授權(quán)國家網(wǎng)信部門建立專門的網(wǎng)絡(luò)安全信息共享國家中心，發(fā)展相應(yīng)的信息交換技術(shù)和共享標(biāo)準(zhǔn)；授權(quán)網(wǎng)信部門推動建立政府內(nèi)部、政府與行業(yè)之間的網(wǎng)絡(luò)安全信息交換組織；定期公布行業(yè)的最佳實(shí)踐，為中小企業(yè)網(wǎng)絡(luò)安全信息共享提供建議指南。應(yīng)該授權(quán)政府各主管部門根據(jù)網(wǎng)絡(luò)安全信息的分級，積極發(fā)展多層次多渠道的網(wǎng)絡(luò)安全信息交換和共享機(jī)制。

(三)規(guī)定相應(yīng)的責(zé)任豁免制度以激勵信息共享

雖然我國關(guān)鍵信息基礎(chǔ)設(shè)施的具體保護(hù)范圍有待進(jìn)一步明晰，但建議對極其重要的關(guān)鍵信息基礎(chǔ)設(shè)施規(guī)定強(qiáng)制性的監(jiān)管義務(wù)和標(biāo)準(zhǔn)，此種強(qiáng)制性要求應(yīng)包括網(wǎng)絡(luò)安全信息報告和共享的義務(wù)。

為激勵相應(yīng)的主體尤其是私營主體主動與政府部門共享網(wǎng)絡(luò)安全信息，建議規(guī)定相應(yīng)的責(zé)任豁免制度，即規(guī)定企業(yè)在遵循法定強(qiáng)制標(biāo)準(zhǔn)和按照法定要求共享網(wǎng)絡(luò)安全信息的情況下，減輕或免除因此而產(chǎn)生的法律責(zé)任。例如，對于遵守監(jiān)管標(biāo)準(zhǔn)的關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營者，可以考慮規(guī)定其信息系統(tǒng)被惡意攻擊而導(dǎo)致大規(guī)模數(shù)據(jù)泄露時，可只向消費(fèi)者承擔(dān)補(bǔ)償性賠償責(zé)任，而非承擔(dān)懲罰性賠償責(zé)任。

為了提升企業(yè)發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞的能力和打消其因分享信息而承擔(dān)責(zé)任的顧慮，應(yīng)授權(quán)私營主體監(jiān)視其負(fù)責(zé)運(yùn)營的網(wǎng)絡(luò)信息系統(tǒng)以及系統(tǒng)內(nèi)存儲、處理和傳輸?shù)臄?shù)據(jù)，并規(guī)定不承擔(dān)因此而產(chǎn)生的法律責(zé)任。兩個或多個私主體，為了網(wǎng)絡(luò)安全目的交換網(wǎng)絡(luò)安全信息或提供相互協(xié)助，應(yīng)規(guī)定一般不構(gòu)成對反壟斷法的違反。對于并未納入強(qiáng)制監(jiān)管范圍的私營主體，其可自愿加入網(wǎng)絡(luò)安全信息共享機(jī)制，只要其按法定要求共享相關(guān)信息，可以規(guī)定豁免其相應(yīng)的法律責(zé)任。

(四)平衡維護(hù)網(wǎng)絡(luò)安全與保護(hù)私人權(quán)利的關(guān)系

在網(wǎng)絡(luò)安全信息共享中，應(yīng)尤其重視對私人權(quán)利的保護(hù)。建議規(guī)定政府或其他主體保存、使用或者傳播網(wǎng)絡(luò)安全信息時，必須保護(hù)這些信息里任何可識別的個人信息不被未經(jīng)授權(quán)地披露、處理或者使用。所共享的網(wǎng)絡(luò)安全信息，應(yīng)該移除或匿名化其中與網(wǎng)絡(luò)安全威脅沒有直接關(guān)系的個人信息；對于無法移除或匿名化的個人信息，應(yīng)最大程度地確保其用于法定目的而不被泄露濫用，規(guī)定留存這些個人信息的合理期限。在含有個人信息的網(wǎng)絡(luò)安全信息發(fā)生意外泄露事件時，應(yīng)及時通知這些個人信息所涉及的權(quán)利主體。

建議規(guī)定與政府共享網(wǎng)絡(luò)安全信息和政府使用網(wǎng)絡(luò)安全信息時，不能侵害個人隱私、商業(yè)秘密和其他合法權(quán)益，規(guī)定這些信息不適用信息公開的披露義務(wù)，不適用行政法上單方面接觸的限制，政府不得利用這些信息對自愿分享主體實(shí)施對其不利的監(jiān)管措施。

(五)限定政府所獲網(wǎng)絡(luò)安全信息的特定用途

我國《網(wǎng)絡(luò)安全法》第30條規(guī)定：“網(wǎng)信部門和有關(guān)部門在履行網(wǎng)絡(luò)安全保護(hù)職責(zé)中獲取的信息，只能用于維護(hù)網(wǎng)絡(luò)安全的需要，不得用于其他用途”，確定了政府履行網(wǎng)絡(luò)安全保護(hù)職責(zé)所獲信息用途特定的原則，所獲得的相關(guān)信息只能用于維護(hù)網(wǎng)絡(luò)安全的需要，此原則同樣應(yīng)適于網(wǎng)絡(luò)安全信息共享領(lǐng)域。

建議進(jìn)一步細(xì)化該原則性規(guī)定在網(wǎng)絡(luò)安全信息共享領(lǐng)域的適用，借鑒美國CISA立法的相關(guān)條文，建議規(guī)定：對于通過合法共享而獲得的網(wǎng)絡(luò)安全信息，政府部門的披露、留存、處理或者使用只限于以下情形：(1)為了網(wǎng)絡(luò)安全目的；(2)識別網(wǎng)絡(luò)安全威脅或者網(wǎng)絡(luò)安全漏洞；(3)應(yīng)對、防止或者減輕對人民群眾可能造成或已經(jīng)造成的重大人身威脅和財產(chǎn)損害；(4)應(yīng)對、調(diào)查、追訴、防止對未成年人的嚴(yán)重威脅，以及與國家安全、恐怖主義、電信詐騙、身份盜竊、間諜、商業(yè)秘密保護(hù)相關(guān)的特定犯罪行為。