摘要:自从进入信息化时代,网络信息安全逐渐成为国家安全的重要组成部分,关系到国家主权的稳固及社会经济的发展。英国作为世界上信息化水平最发达的国家之一,其社会经济生活高度依赖互联网,随着信息安全形势日益严峻,面对不断出现的网络攻击和威胁,英国政府意识到网络信息安全对于国家安全和经济社会发展的重要作用,不断加强对网络空间领域的规范、管制活动,试图通过加强对网络信息安全的问责为英国的商业经济发展创造良好的投资和經营环境,网络信息安全问责制由此展开。
关键词:英国;网络;信息安全;问责
一、英国网络信息安全的法律法规
第一、三R互联网络安全规则。三R互联网络安全规则,主要从分级认定、举报告发、承担责任三方面来协调实施。英国设立网络安全基金会来负责网络非法信息的举报处理,以及支持对网络上的内容信息进行分级认定的系统开发。对网络上发布的合法内容提供一个合法标识,指明日常发布的信息内容是否非法以及属于什么性质的非法内容。通过设立专门的热线举报电话以供公众举报网络上的非法内容和危害社会的信息。公民可以通过电话、邮件、传真等多种方式进行举报,举报内容会被随即转换成标准形式转送给直接提供服务的机构和部门。网络基金会用标准化的分级准则对举报内容进行核实,并将检测结果答复给举报人,通知当事人撤销信息,情况严重时可以联系负责处理全国刑事案件的警察服务中心(NCIS)。
第二、英国网络信息安全战略。为了应对日益严峻的网络安全问题,英国先后出台两份网络信息安全战略的重要文件。2009年英国首次出台国家网络信息安全方面的战略文件——《英国网络信息安全战略》。文件指出英国政府将成立两个网络安全新部门——网络安全办公室(OCS)和网络安全行动中心(CSOCA)。OCS负责处理政府内部关于网络安全的各种方针政策,CSOCA负责协调政府与各民间机构的重要计算机安全保护工作。该战略主要从降低网络空间风险、抓住网络发展机遇、提升政府对网络安全事件的反应能力等方面做出规划。2011年11月英国政府颁布了新的网络信息安全战略文件——《2012网络信息安全战略》,表示将建立更加可信和适应性更强的数字环境以促进经济繁荣,提出英国正面临来自其他国家的网络安全攻击和网络犯罪的威胁,因此英政府要不断提高国家的网络安全水平,通过营造良好的网络安全环境来保障英国的商业活力和经济增长。强调要以网络安全来促进经济繁荣,此外通过与国际社会一道来形成国际网络安全准则,建立互信机制,降低网络风险。
第三、数据保护法。英国政府在1998年出台了新的《数据保护法》并且在2000年3月1日生效。该法律对个人数据及某些敏感数据的使用和保存管理做了规范性要求,在强化个人权利的同时保障了个人的隐私安全。该法案要求数据控制者必须遵循以下原则:一是处理个人数据必须按照正当合法渠道和程序;二是获得个人数据必须有明确合法的目的,未经数据主体允许,对个人数据进行使用和披露的行为都是违法行为;三是个人数据应当保持充分相关原则,不得超出约定的处置目的和范围;四是保持个人信息的正确性,在必要时及时更新数据;五是依据一定目的被处置的个人数据保留时间不得超过约定目的所必需的时间。英国的数据保护法不仅赋予了公民享有个人信息安全的权利,也强调了公民必须履行不损害、披露非法使用他人个人数据信息的义务。这在保护公民个人隐私不受侵犯,维护网络信息安全秩序的稳定方面起到积极性作用。
二、英国政府网络信息安全责任的体系构成
(一)信息安全审查机构
英国对于信息安全审查比美国这一信息化强国更加透明,因为英国缺乏强实力的信息技术企业,政府采购的电子产品大多需要从国外引进。为了保障国家信息安全,英国探索建立了对公共部门采购的信息产品进行源代码审查和托管的制度。在英国负责信息源代码审查和安全认证工作的是电子通信安全组被称为英国的信息保证能力部门,部分被CESG认可的商业机构可以帮助CESG进行一些具体的测试工作。通常源代码审查工作需要细化到不同的业务上,针对不同的客户和信息产品进行分类审查。在英国,进入政府及公共部门的关键信息类基础设施都要接受源代码审查,通过后才能为政府和公共部门提供信息产品和服务。目前英国已建立起比较完善的源代码审查和安全认证操作流程,设备商需要向CESG申请,提交源代码以及可执行代码,CESG经过严格审查后对产品的安全等级做出评定。
(二)政府责任
英国是具有浓厚自由主义传统的宪政国家,政府在互联网空间领域的规范和管制具有不可避免的责任。英国的网络信息安全监管将政府、行业、国家安全部门与民众相结合,是一种政府指导下的行业自治模式。政府对于网络信息安全的管制,主要涉及互联网安全、儿童色情、个人信息及隐私保护、网络犯罪等方面,分领域设立诸多安全机构。英政府于2003年成立通信办公室重点负责对网络信息的安全维护和内容管制,推动建立以分级认证和信息过滤为基础的网络系统,引导网络终端用户正确、安全选择网络内容。各个机构既有独立的工作内容又相互协作,并且与欧盟国家积极开展合作交流。2016年英国财政大臣哈蒙德提出,英国政府将在未来五年里投资19亿美元进行“世界级”互联网安全建设,这将对英国受到的网络攻击和威胁做出强有力的回应。
(三)行业自律组织
英国的网络安全管理具有轻政府管制、重行业自律的特点,一直贯彻“监督而不监控”的理念,主要依靠行业组织来发挥作用而非强制性的政府行为。1996年在政府的鼓励下,英国网络服务商成立网络观察基金会。基金会的主要工作是监督网民的非法及不道德行为,协助英国工业贸易部、内政部、城市警察蜀解决互联网违法、犯罪问题。其管理原则包括:一切其他媒介适用的法律如刑法、公共秩序法、猥亵出版物法等都适用于互联网安全管理;二是对网络非法内容的认定主要指儿童色情内容,对于那些非儿童色情内容但是会引起用户反感的不良信息采取分级认定和标注系统,尊重用户使用的个人意愿。基金会进行监督管理的依据主要来自《三R互联网络安全规则》协议,此外基金会还自主制定了从业人员行为守则,它是由网络服务提供商协会、伦敦互联网交流平台和安全网络基金联合颁布。英国政府还重视与私营部门开展合作,发挥学术科研机构的智囊作用,鼓励社会各界人士参与到网络安全保护的行动中去。
