全球網(wǎng)絡安全政策法律發(fā)展年度報告2023

公安部第三研究所網(wǎng)絡安全法律研究中心執(zhí)行概要法，并引入其他治理理念和工具，試圖預判風險、提前規(guī)避。本報告全面回顧律發(fā)展總結為十大特點1）全球網(wǎng)絡空間治理區(qū)域合作加強，共同安全成為關鍵詞2）關鍵信息基礎設施保護重者恒重，且向著細分領域下沉3）內生安全風險與外界政府干預共同加劇全球供應鏈安全風險4）漏洞資源價值持續(xù)凸顯，激勵漏洞披露與發(fā)現(xiàn)仍是關鍵環(huán)節(jié)5）數(shù)據(jù)精細化、場景化立法蓬勃發(fā)展，數(shù)據(jù)跨境成為關注焦點6）信任成為信息內容治理核心，未成年人保護與網(wǎng)絡暴力為重點關切7）基于風險的人工智能法治趨于理性，軟硬法協(xié)同推進向善包容治理8）監(jiān)管行動持續(xù)推進，聚焦平臺與規(guī)模效應的網(wǎng)絡執(zhí)法效能日漸突出9）安全與發(fā)展辯證關系在量子技術推進與后量子密碼空間大國博弈背景下局部和暫時性妥協(xié)有望達成和延續(xù)2）數(shù)據(jù)賦能發(fā)展的智慧化水平將大幅提升4）人工智能包容性、參與式治理縱深發(fā)展5）新型網(wǎng)絡犯罪治理趨向生態(tài)化、預防化、智能化6）后量子密碼標準化將加速出品單位指導單位參編單位課題支持2020年度國家社會科學基金項目《網(wǎng)絡安全新業(yè)態(tài)視角下的關鍵技術風險分析專家指導組總負責人執(zhí)行負責人報告撰寫組—————— -26-（一）趨勢一：網(wǎng)絡空間大國博弈背景下局部和暫時性妥協(xié)有望（二）趨勢二：數(shù)據(jù)賦能發(fā)展的制度保障仍需加強，跨境流動面 （六）趨勢六：后量子密碼標準化將加速“特定重要”一2023年全球網(wǎng)絡安全政策法律發(fā)展回顧內涵更加深刻。如果說防入侵、防泄露、防篡改等是網(wǎng)絡安全的初期目標，那么在遭遇不論是內在風險，還是因政治、外交、貿(mào)易等外部風險時能夠保持穩(wěn)定、及時從風險中恢復則成為網(wǎng)絡安全的長期目標。因此，韌性成為2023年網(wǎng)絡安全領域的高頻詞匯。無論是關鍵基礎設施韌性、產(chǎn)業(yè)鏈供應鏈韌信任”，美國《國家網(wǎng)絡安全戰(zhàn)略》的“建立可防御性、有韌性的數(shù)字生態(tài)環(huán)境”回顧2023年，面對全球網(wǎng)絡安全傳統(tǒng)風險更加復雜多變與新興風險多面出現(xiàn)相互交織的局面，各國政策立法總體呈現(xiàn)出優(yōu)化調整、細化落實現(xiàn)有立法要求，使其適應新形勢下風險防御新特點的同時，針對新興風險提出突破性、前瞻性立法，并引入其他治理理念和工具，試圖預判風險、提前規(guī)避。2023年是習近平主席提出構建人類命運共同體理念的十周年。網(wǎng)絡空間命運類整體利益，也考驗著各國的智慧?！?023年，盡管地緣政治變化所引發(fā)的國家間戰(zhàn)略競爭仍然十分激烈，但越來越多的區(qū)域性合作開始被觀察到，特別是諸如“集體安全”“共同安全”等一些極具“示范”意義的話語力量開始廣泛出現(xiàn)。這意味著在信息技術和數(shù)字經(jīng)濟成為國家發(fā)展基本條件的大背景下，基于特定利益、信任或價值關系的國際合作的深度和廣度都在持續(xù)加深。變得不再穩(wěn)定，“進攻性”的政策法律會越來越多的出現(xiàn)，需要引起警醒?！靶湃巍睂⒃谙喈旈L的時間內作為全球網(wǎng)絡空間治理的核心議題，這可能并不是單純通過技術方案能夠解決的。對此，我國持續(xù)致力于為動蕩變化的時代注入更多穩(wěn)定性和確定性，倡導通過對話達成安全共識。我國提出《全球安全全，深化對話合作，完善全球數(shù)字治理體系，構建網(wǎng)絡空間命建和平、開放、安全、合作、有序的網(wǎng)絡空間，共同落實好《“中國－中亞五國”2023年，俄烏沖突、混合攻擊激增以及北溪天然氣管道破壞等不穩(wěn)定因素對關鍵基礎設施安全穩(wěn)定運行帶來挑戰(zhàn)。歐盟網(wǎng)絡安全局基于2022年1月至2023訪問權限。CISA表示盡管該組織擁有成熟的網(wǎng)絡態(tài)勢感知能力，但并未在整個評估過程中檢測到紅隊行動。這使得關鍵基礎設施保護在2023年發(fā)布的國家戰(zhàn)略中仍占據(jù)重要地位，各國普遍認識到關鍵基礎設施面臨著重大威脅，關基保護需要在立法、公私合作等方面進一步推進。美國《國家網(wǎng)絡安全戰(zhàn)略》將供基本安全和韌性?！睂Υ耍绹鴮?chuàng)新機制，使關美國國防部《2023年網(wǎng)絡戰(zhàn)略》也表示將借助現(xiàn)有所有合法可用的合同機制、資在總體戰(zhàn)略指引和安全形勢驅動下，各國關鍵基礎設施保護開始走向精細化、行業(yè)化和專業(yè)化。近兩年澳大利亞關鍵基礎設施保護立法取得重大進展，2023年進入細化立法要求階段，發(fā)布《關鍵基礎設施安全（關鍵基礎設施風險管和政府基礎系統(tǒng)能夠抵御網(wǎng)絡攻擊并從中恢復。同時也表示盡管《2018年關鍵基礎設施安全與韌性?！?023年，美國供水、航空、海洋運輸、證券、行業(yè)、領域的細化和下沉工作。首個相關國家標準《信出臺專門的關鍵信息基礎安全保護管理辦法或將其作為重要內容一并寫入行業(yè)網(wǎng)出供應鏈安全問題將強勢“擴張”，成為網(wǎng)絡安全的主線之一。2環(huán)境、社會和經(jīng)濟領域的各類潛在破壞性風險中。歐盟網(wǎng)絡安全局發(fā)布的《2030一方面，供應鏈自身面臨的安全風險更加突出，供應鏈的擴張增加網(wǎng)絡攻擊暴露面，特別是當供應鏈上不同主體的網(wǎng)絡安全成熟度參差不齊時。因此，提高供應鏈風險感知能力，提高網(wǎng)絡產(chǎn)品安全性成為各國立法重點。美品生命周期。法案生效后，此類產(chǎn)品將帶有CE標志，以表明它們符合安全標準。另一方面，個別國家泛化國家安全風險，在芯片、半導體、人工智能技術等領域濫用出口管制措施，人為設置網(wǎng)絡空間和信息技術發(fā)展障礙，加劇1商務部.美國收緊半導體出口/article/zjsj/202311/923），例./n2254536/n2254544/n2254552/n930924/s/W7BtGPPo2FpeOvLLS/s/EKfMqB8fR31oYPGuV鼓勵安全研究人員善意發(fā)現(xiàn)并報告成為各國有效緩主要路徑。洞披露（CVD）生態(tài)系統(tǒng)仍然支離破碎，成員國中僅比利時、法國、立陶宛和荷蘭制定了完整的國家CVD政策。從而在勒索攻擊事件發(fā)生前進行緩解。CISA也持續(xù)根據(jù)掌握的信息在其已知漏洞還發(fā)布其首份《漏洞披露政策（VDP）平臺年度報告（2022）劃是安全研究人員參與漏洞治理的有效途徑之一。2023年，美國防部發(fā)起“黑掉也需要給予高度重視。比利時網(wǎng)絡安全中心（CCB）發(fā)布新法律框架《向CCB報告2023年，全球主要經(jīng)濟體數(shù)據(jù)治理持續(xù)發(fā)展并逐漸進入規(guī)則的細化、完善及調整期。歐盟方面，繼《數(shù)字市場法》《數(shù)字服務法》《數(shù)據(jù)治理法》后要制度規(guī)范正在加緊研制。印度歷經(jīng)五年的討論及修改終于出臺《2023年數(shù)字個作為數(shù)據(jù)法治的重點議題，數(shù)據(jù)跨境流動治理方面的沖突與融合在2023年更加凸顯。歐盟及其成員國針對中美大型平臺的執(zhí)法力度持續(xù)加大。愛爾蘭數(shù)得突破。歐盟委員會通過《歐盟－美國數(shù)據(jù)隱私框架的充分性決定》，個人數(shù)據(jù)據(jù)此可以從歐盟的控制者和處理者轉移到美國經(jīng)認證的組織，而無需獲得任何進一步的授權。歐盟與日本達成《歐據(jù)本地化要求，確保企業(yè)在無需應對繁瑣行政或存儲要求的情況下有效處理數(shù)據(jù)。“英美數(shù)據(jù)橋”正式確定，英國企業(yè)和組織可根據(jù)數(shù)據(jù)橋安全可靠地將個絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》構筑的數(shù)據(jù)出境基本規(guī)則下，不斷完善配套制度措施。《個人信息出戶（B2C）、企業(yè)－企業(yè)（B2B）、企業(yè)－公共部門（B2G）世界經(jīng)濟論壇《未來網(wǎng)絡安全2030：新基整性和來源的關注將有所增加。”度的國家之一，在長期的法治實踐中逐步形成了頗具中國特色的制度結構。2023容治理難度持續(xù)加大。對于ChatGPT“一本正經(jīng)胡說八道”的擔憂似乎仍然縈繞在耳畔，不論是個體利用人工智能生成虛假信息，還是國家行為體借此實現(xiàn)政治企圖，均使得信息內容治理難度持續(xù)加大，公眾對于所見所聞的信息內容的信任正在接受校驗。美國國土安全部發(fā)布的《國土威脅評估2024》中指操作，對國家安全構成潛在威脅?！盓PIC發(fā)布的《危害產(chǎn)生：生成式人工智能的布的相關聲明或指南文件中均關注到人工智能引入的信息安全風險問題。我國在信息內容生產(chǎn)者責任，履行網(wǎng)絡信息安全義務；美國白宮召集OpenAI、谷歌等七成部分。各國對人工智能發(fā)展和應用而引致的現(xiàn)實性和潛在性安全風險都有關注，試圖厘清算法和模型背后的邏輯與法律邏輯之間的關系，在具體的監(jiān)管方式與規(guī)制重點上各有特色，但基于風險的分類分級管理已然成為基本共識。歐盟以風險水平為導向，希望通過《人工智能法案》全面監(jiān)管人工智能。高善基于風險識別的監(jiān)管體系，將人工智能應用的風險分為四類，尤其對“高風險”人工智能風險管理法案》等多項立法案，其中《2023年人工智能研究、創(chuàng)新和問法律之外，還有倫理、信念、教育等引導人工智能向善發(fā)展，設計和發(fā)展“有道德”的人工智能是全人類共同追求。德治是適用范圍最廣泛的社會行為調節(jié)機制，2023年以來，各國在人工智能技術倫理規(guī)范方面深入推進，重點關部分。站在當前的歷史節(jié)點，僅從立法角度看待網(wǎng)絡安全治理已不能滿足需求，評估立法實施效能，總結立法執(zhí)法情況，理清主要違法行為和聚焦的違法對象，思考從個案爭議到立法完善的距離很有必要。從觀察到的2023年全球網(wǎng)絡執(zhí)法情況來看，互聯(lián)網(wǎng)巨頭及大型平臺是重點網(wǎng)易等在2023年均遭遇不同類型的執(zhí)法行動。從針對的違法行為來看，數(shù)據(jù)安全、個人信息保護、信息內容治理、供應鏈安全、類ChatGPT生成式人工智能、反電信網(wǎng)絡詐騙構成網(wǎng)絡執(zhí)法核心關注。5。除持續(xù)針對大型平臺開展監(jiān)管行動以外，中小型甚至微型組織同樣進入執(zhí)法視政執(zhí)法質量三年行動計劃（2023—2025年）》，指出行政執(zhí)法是行政機關履行政5中國網(wǎng)信網(wǎng).聚焦違法違規(guī)加大執(zhí)法力度./2023此外，部分重要立法雖施行不久，但對監(jiān)管對象產(chǎn)生重要影響的監(jiān)管舉措已正式啟動。2023年，歐盟委員會《數(shù)字市場法》《數(shù)字服務法》相繼生效。《數(shù)定結果并未取得一致認可，部分互聯(lián)網(wǎng)公司表示異議，如Meta對其提供的/2023-12/20/content_3703939量子計算的巨大潛力引發(fā)新一輪技術變革和激烈競爭，量子信息技術及其產(chǎn)業(yè)鏈已成為國家安全的新內容。正如《數(shù)字中國發(fā)展報告（2022年）》指出，量一直以來，密碼安全問題就是算法構筑的“難解性”與計算能力之間的博弈。但這一傳統(tǒng)的攻防關系隨著量子計算的成熟而變得不再穩(wěn)定，量子計算提供的強大計算能力將使現(xiàn)有的絕大部分公鑰密碼算法被攻破，迄今為止最為有效的“安全屏障”可能不再可靠。因此，盡管量子技術發(fā)展將帶來新的云服務商在內的技術供應商的合作。NIST發(fā)布《遷移到后量子密碼：為考慮實施與傳統(tǒng)犯罪不同，網(wǎng)絡犯罪具有高度可復制性，一旦開發(fā)，網(wǎng)絡技術可共享、化、泛產(chǎn)業(yè)化、泛地域化等特點，給社會安全治理帶來諸多挑戰(zhàn)。2023年，勒索鑒于此，各國網(wǎng)絡犯罪治理思路從“回應型”趨向“預防型”。有效治理因誤用、濫用新型網(wǎng)絡技術導致的網(wǎng)絡犯罪新業(yè)態(tài)的關鍵并不是從法律上否定技術本身的合法性，而是順應新型網(wǎng)絡技術被用于犯罪的進化趨勢，轉變犯罪治理邏輯，在規(guī)制流程上從下游犯罪穿透至源頭規(guī)制?；ヂ?lián)網(wǎng)服務提7ASDCyberThreatReport2022-2023..au/about-us/reports-and-statistics/asd-cyber-threat-report-july-202當局可將該服務認定為“與網(wǎng)絡犯罪相關的網(wǎng)可對該網(wǎng)絡服務提供者），內生要求。網(wǎng)絡犯罪的跨國性和復雜性的特征日趨凸顯，依賴傳統(tǒng)的國家治理機制難以抵御各類新型網(wǎng)絡犯罪帶來的風險和安全隱患，“建立國際合作快速反應機制，逐步建立全球性網(wǎng)絡犯罪治理模式”是現(xiàn)實之需。2023年，二2024年全球網(wǎng)絡安全政策法律趨勢展望世界經(jīng)濟論壇在《未來網(wǎng)絡安全2030：新會必須從根本上重新調整應對數(shù)字安全長期挑戰(zhàn)的方式?！北緢蟾嬲J為，本輪數(shù)字革命帶來法律治理工具的蓬勃發(fā)展，同時也在一定程度上導致單一工具供給透支和暫時枯竭。未來網(wǎng)絡安全治理除立法、執(zhí)法、司法等手段外，倫理、社會學、哲學底座等治理工具將發(fā)揮重要作用。2024年全球網(wǎng)絡安全政策法技術、軍民兩用、共同語境的數(shù)字、網(wǎng)絡安全議題上，各國仍有極大可能達成妥協(xié)和一致。2023年11月全球人工智能安全峰會達成的《布萊切利宣言》和球經(jīng)濟復蘇背景下的強烈政策導向。盡管各國出于多重價值考慮的數(shù)據(jù)治理規(guī)則存在差異、分歧和博弈，但整體經(jīng)濟態(tài)勢仍在基礎性上影響并最終決定了作為全球互聯(lián)互通、數(shù)字經(jīng)濟全球化發(fā)展的重要支撐，全球主要經(jīng)濟體在數(shù)據(jù)跨境流動治理方面沖突與融合進一步凸顯，表明數(shù)據(jù)跨境流動的規(guī)制分歧將在相當長一段時間內持續(xù)存在且難以彌合。同時，數(shù)據(jù)在全球范圍內持續(xù)流動的現(xiàn)實需要對國家間開展數(shù)據(jù)跨境流動合作提出要求，各國基于雙邊或多邊共同利益訴求，在數(shù)據(jù)跨境流動方面的共同體建設將持續(xù)加強。而規(guī)定（征求意見稿）》，國務院發(fā)布的《關于進一步優(yōu)化外商投策法律保障將進一步完善。但其中，由于關涉國家安全、公共利益、經(jīng)濟發(fā)展等重要方面，國家在重要數(shù)據(jù)出境安全與便利之間的權衡將更為謹慎。對于堅持嚴格規(guī)范公正文明執(zhí)法是《法治中國建設規(guī)劃(2020－2025年)》《法治政府建設實施綱要（2021－2025年）》的共同要求，也是落實網(wǎng)絡安全法治體系的必然要求。隨著法律實施的不斷深入，網(wǎng)絡執(zhí)法更加精細化，使得多法并行背景下執(zhí)法的細節(jié)問題開始顯現(xiàn)，如供應鏈中網(wǎng)絡運營者和網(wǎng)絡產(chǎn)品、服務提供者認定、云計算等新技術中的責任劃分、涉案虛擬貨幣處置、執(zhí)法管轄權等問題，均需在法理、法律研究、實踐指引的共同推動下尋求破解之道。入常態(tài)化階段對執(zhí)法本身的規(guī)范性要求將更加凸顯。多法并行如何準確適用法律，如何實現(xiàn)不同執(zhí)法部門、不同層級、不同地域執(zhí)法的一致性、協(xié)調性、讓執(zhí)法既有力度又有溫度。如何在海量的個案中實現(xiàn)執(zhí)法效果最大化，達到政治效果、社會效果、法律效果、輿論效果的統(tǒng)一需要監(jiān)管部門、學術界、產(chǎn)業(yè)界的共同思考?？梢灶A見的是，我國公安、網(wǎng)信、工信等監(jiān)管部門已充分意識到強化報告要求的重要性，除了繼續(xù)通過制度文件要求網(wǎng)絡運營者、數(shù)據(jù)處理者、個人信息處理者上報安全風險和安全事件外，在行政執(zhí)法過程中也將進一步提高對于報告義務落實情況的重視程度，將其列為監(jiān)督檢查、專項行動重要檢查內容之一。工智能法律3.0帶來的思考，是規(guī)則的適用性和技術修正的可能性。在正確認