全球网络安全政策法律依旧高度繁荣,“冲突与合作”仍然是主旋律。各国对于新兴网络安全议题的反应更加迅速,在重点领域取得诸多进展。
2024 年国际秩序重塑与利益格局调整仍处于深刻而复杂的蜕变期。全球网络空间中,一方面各国在经济、政治等多个安全层面和维度的角逐依然激烈,俄乌冲突延宕、巴以冲突扩大蔓延背景下的外溢风险加剧,网络空间“升格”为主要战场,为全球安全格局增添诸多不确定性,安全风险的应对机制面临严峻挑战;另一方面,全球主要经济体在既有的地缘政治经纬上加强合作,探索网络空间中的数字经济贸易、智能科技创新等方面的新型合作路径。
面对变乱交织的国际形势和日趋严峻的网络安全态势,保障关键信息基础设施(以下简称“关基”)的安全弹性依旧是各国网络安全保障的重中之重,外国势力、勒索攻击、人工智能等新技术在安全威胁中的应用、物理破坏等都成为各国关键信息基础设施安全保护的考量因素。美国国家网络主任办公室发布的首份《2024 年美国网络安全态势报告》表示,“美国关键基础设施面临着不断演变和不可接受的网络风险。民族国家的对手正在发展网络能力并获得访问权限,以破坏或摧毁美国及其盟国的关键基础设施。”CISA表示“涉及关键基础设施的网络事件会迅速蔓延至相互依赖的基础设施,甚至影响公众”。
同时,多国网络安全机构均指出诸多关键基础设施并未为未来的网络安全风险做好准备。如五眼联盟网络安全机构发布的《关键五国适应不断变化的威胁:关键五国保障关键基础设施安全弹性的方法概要》报告中表示“许多关键基础设施对未来没有做好准备”。CISA的网络安全咨询委员会(CSAC)发布的《构建关键基础设施弹性》报告草案指出“除少数例外情况,关键基础设施和政府机构尚未为国家冲突造成的竞争环境做好准备。”澳大利亚网络和基础设施安全中心发布的第二版《关键基础设施年度风险评估》报告也认为“大部分行业仍未达到网络素养和意识的基本水平。”2024 年,以美国、欧盟、中国在内的主要国家和地区在关基安全保护的政策立法及安全实践方面持续推进,延续、更新、细化保护规则,深化关键基础设施内涵,强调风险发现和安全评估,并进一步加强行业、国家间协调配合。
2024 年,数据安全依然是全球网络安全法治重点,数据安全制度、规则建设持续推进。包括数据安全在内的数据法治成为深度影响新一轮数字科技革命和产业变革乃至全球数字竞争的重要因素,各国数据政策立法安全与发展取向深度调整,数据法治体系在数据安全保护的基础上愈加充盈,作为数字经济立法的数据立法进一步发展,以促进技术进步与法治变革的良性互动。数字竞争、地缘政治等因素持续深度影响全球数据安全法治态势,随着对数字贸易需求的认知增加和经济增长的迫切需求,数据跨境的便利性和安全性如何协调,仍是各国数据安全政策立法的重中之重。以人工智能技术为代表的新一轮信息技术变革带来数据安全风险持续引发关注并导致部分既有政策法律的失效,各国开始积极探索、建立人工智能中的数据安全监管规则。
个人信息政策立法在国际环境的复杂性与不确定性中不断演进、持续完善,执法力度不断强化。同时,地缘政治影响个人信息跨境流动规则,人工智能等新技术持续冲击个人信息保护的传统规则。
1. 保护规则精细化趋势明显,法律贯彻实施力度加强全球个人信息或者隐私保护专项立法制定修订频繁。智利、埃塞俄比亚等国家颁布首部个人数据保护基本法,填补本国在该领域的立法空白,全球拥有统一个人数据保护制度的国家群体进一步壮大。部分国家紧密贴合个人信息保护新形势和新需求,及时调整、优化已有立法,典型如,澳大利亚皇室批准《2024 年隐私和其他立法修正案》,修订《1988 年隐私法》以落实政府在回应《1988 年隐私法》审查报告时所承诺的首批改革措施。马来西亚通过《个人数据保护法(修正案)》,修订 2010 年《个人数据保护法》,增加强制数据泄露通知义务,将生物识别数据纳入敏感个人数据,加大处罚力度等。以色列通过《隐私保护法(修正案)》,强化隐私保护机构的监督执法权力,减少数字信息数据库的注册义务降低监管负担等。土耳其通过《个人信息保护法(修正案)》,对敏感个人数据处理以及个人数据跨境传输等方面进行修订。智利官方公报公布《个人数据保护法》,以使其个人数据保护水平接近欧盟 GDPR 以及其他拉美个人数据保护先进国家的标准和水平。
同时,欧盟、英国、美国等个人数据保护或隐私保护立法先行地区或者国家持续细化、完善个人信息保护规则。欧盟持续推进GDPR适用和执法一致性工作。欧盟数据保护委员会发布《2024—2025年工作计划》,围绕四大支柱提出关键行动,包括针对GDPR的关键问题和概念制定进一步指导方针,支持制定和实施针对控制者和处理者的合规措施,针对欧盟个人数据保护方面的重要问题向欧盟立法机构提供建议等。欧盟网络安全局发布《欧盟数据空间中个人数据保护工程》报告,强调欧洲数据空间中个人数据保护的设计原则。美国犹他州通过有关特殊领域、特殊主体个人信息保护的立法。其中,《机动车消费者数据保护法》对联网或“智能”车辆供应商管理作出要求和限制,《社交媒体监管修正案》要求社交媒体平台对未成年人账户实施年龄验证和家长控制,《访问受保护健康信息》澄清第三方请求提供医疗记录或付款和余额信息所涉及的个人权利和义务。加利福尼亚州发布首份针对《加州消费者隐私法》的执法建议《将数据最小化应用于消费者请求》,将数据最小化作为CCPA的一项基本原则,防范未经授权的数据访问活动。
韩国持续发布相关指南,强化个人信息保护合规指引,包括《假名信息处理指南(修订)》《个人信息处理政策评估通知》《公共机关提供假名信息实务指南(21.1)》《海外企业个人信息保护法适用指南》《处理人工智能(AI)开发和服务中使用“公开数据”标准指南》《数据主体自动化决策指南》《移动型影像信息处理设备个人信息保护指南》等。 中国《网络数据安全管理条例》进一步完善细化个人信息保护要求。国务院发布《消费者权益保护法实施条例》,对经营者的个人信息保护义务作出规定。国家邮政局发布《寄递服务用户个人信息安全管理办法(征求意见稿)》,规范寄递企业用户个人信息处理活动。公安部、国家互联网信息办公室等发布《国家网络身份认证公共服务管理办法(征求意见稿)》,旨在实施网络可信身份战略,强化公民个人信息保护。国家标准层面,《数据安全技术基于个人请求的个人信息转移要求(征求意见稿)》《数据安全技术个人信息保护合规审计要求(征求意见稿)》《网络安全标准实践指南——敏感个人信息识别指南》等相继发布。
执法方面,欧盟及其成员国围绕 GDPR 的执法持续活跃。其中,爱尔兰数据保护委员会因职业社交平台LinkedIn 违反GDPR规定,将用户个人数据用于行为分析和定向广告,对其处以3.1 亿欧元罚款,是 2024 年度 GDPR 执法中最高的一笔罚款。美国个人信息与隐私保护相关执法力度进一步强化。州层面,得克萨斯州检察长与Meta达成 14 亿美元的和解,原因是 Meta 在未经用户授权的情况下使用个人生物识别数据。该和解结束了得克萨斯州总检察长在2022 年向州法院提起的诉讼指控,即 Meta 在未经德克萨斯民众同意的情况下对上传到 Facebook 的照片使用面部识别软件。韩国大力推进《个人信息保护法》实施,个人信息保护委员会因未经许可处理个人敏感信息对Meta 处以 216 亿多韩元(约合人民币 1.12 亿多元)的行政罚款。
