在斯诺登阴影笼罩下的美国网络安全立法

【热点观察】背负“信任赤字”，奥巴马向网络攻击宣战

《中国经济周刊》 特约撰稿人 青砚

“今晚，我呼吁本届国会最终通过我们需要的法案，以更好地应对不断变化的网络攻击、打击身份盗窃，保护我们孩子的信息。”

在2015年的国情咨文中，美国总统奥巴马向国会喊话，希望能携手共同“塑造即将到来的世界”，因为“如果我们不采取行动，我们将让我们的国家和经济易受攻击。如果我们采取措施，我们可以继续保护那些为全球各地人们带来数不清机遇的技术”。

近日，美国著名智库对外关系委员会（Council on Foreign Relations）在总结2014年全球网络空间五大新变化时，将2014年评为“商业网络攻击的一年”。美国去年一年中，除针对索尼影业的网络攻击外，还有数起“千万级”的数据泄露事件，造成了不可估量的经济损失：

2014年1月，美国著名零售公司Target宣布黑客窃取了超过7000万顾客包括姓名、地址等在内的个人信息，以及高达4000万张信用卡的数据；2014年8月，美国摩根大通银行承认，在一次网络袭击中，7600万家庭用户和700万小型企业的信息被泄露，涉及人数超过美国人口的四分之一。

奥巴马提前造势却吃闭门羹

按照惯例，国情咨文在公布前严格保密。而这次奥巴马一反常态，赶在国情咨文前就抛出三项网络安全立法建议：一是增强国土安全部在网络安全方面的职权和安全信息的共享；二是修改《计算机欺诈和滥用法案》以加强打击网络犯罪；三是建立全国性的数据泄露事件强制披露的法律。

在白宫看来，这是一种“新的沟通策略”：一来是趁着索尼影业遭受攻击一事还有新鲜劲，早早摆出姿态，展现总统的领导力；二来是国情咨文的观众人数逐年下降，提前“放风”能勾起民众的兴趣，为之造势。

奥巴马此举可谓是用心良苦，但是似乎他也没有别的选择。今年1月6日宣誓就职的美国第114届国会中，共和党占据参众两院的多数。在“政治瘫痪”已经成为华盛顿标签的现实下，奥巴马只能依靠争取民意，才能避免历史上“跛脚鸭”总统难有作为的命运。尽管如此，就在奥巴马发表国情咨文之后，《纽约时报》还是很不客气地说道，“推动仅存微弱希望或根本毫无可能得到国会通过的倡议，到底体现了无畏的领导力，还是在不负责任地浪费大家的时间？”

国会上下齐动员推动停滞的立法

在网络安全方面，美国法律有两个显著特点：首先是美国联邦至今没有一部统一的框架性立法，关于网络安全不同方面的条款主要散见于现有的法律规定中。截至2014年年末，美国有将近60部联邦法律直接或间接与网络安全有关。

其次，虽然美国被公认为当今世界网络技术和网络安全立法方面最为发达的国家，但近年来美国在网络安全立法上一直停滞不前。在第111 届国会期间（2009—2010年），共有涉及网络安全的法案、决议案逾60件。在第112 届（2011—2012年）和第113届国会（2013—2014年）期间均有逾40件法案、决议案。但直到第113届国会最后时刻，国会才通过四项法案。这也是自顶着“互联网总统”称号的奥巴马2009年就任以来，美国国会首次就网络安全通过了法案。

即便如此，事实表明，自2002年通过《联邦信息安全管理法》以来，美国没有通过任何重要的综合性网络安全立法。2014年年末通过的四项法案也仅是对已有法律的修正案或者是就人员和机构等局部事项作出规定。

在索尼影业遭受网络攻击之后，美国民众要求政府加强网络安全的呼声空前。对自己提出的三项网络安全综合性立法建议，奥巴马寄予厚望，希望能一改在网络安全立法方面无所作为的形象，并以此作为自己重要的“政治遗产”之一。

然而国会显然也不会放过“争取民意分”的好机会，就在国情咨文之后，国会参众两院立刻全面开启了网络安全立法的引擎。

1月21日，国情咨文第二天。参议院商务、科学和交通委员会举行听证会，讨论如何通过“国会行动来保护互联网和消费者”。2月4日，该委员会还将就美国国家标准与技术研究院制定的《网络安全框架》举行听证。

1月27日，众议院能源和商务委员会下属的商业、制造业及贸易小组委员会就数据泄露事件强制披露法律举行听证会。

1月28日，参议院国土安全和政府事务委员会就网络安全信息的共享举行听证会。

趁着民意高涨之时，不少国会议员也重新提交曾在往届国会中提交过的网络安全方面的法案，希望能顺势推舟，迅速推动法案通过，为自己赚取政绩。为同一个议题，短短时间内国会上下齐动员，可真是空前绝后。

难以摆脱的信任赤字

近期，奥巴马和国会网络安全综合性立法的重点放在促进网络安全信息共享，以及建立个人数据泄露窃取事件的强制披露机制。原因是在美国，90%的关键基础设施为私人所有，美国法律又将这些私有关键基础设施的安全防护责任放在设施所有人身上，而非政府。因此，美国政府增强基础设施安全的最主要手段就是通过促进政府部门和私人部门之间的公私合作，实现网络威胁的“群防群治”，同时借由事件强制公开，督促私人部门改进网络安全措施。这两个方面中，网络安全的信息共享是公认的重中之重。

网络安全信息共享，顾名思义就是政府把关于网络安全的情报和研判等信息分享给私人部门，同时私人部门将其防护情况、受到威胁和攻击的有关信息报告给政府。如果说信息情报共享是美国“9·11”反恐战争最重要的经验教训之一的话，无疑这是网络安全保障必须要走的一步。现有的各种立法草案均包含私人部门提供的信息将会在包括国土安全部、联邦调查局、国家安全局等在内的联邦政府各机构间共享的条款。

不少媒体和专家发出同样的疑问，为什么国家安全局要掺和进来？难道国家安全局截获信息的渠道还不够多吗？它的权力还要扩大吗？自从斯诺登文件不断曝光以来，在公共舆论中，国家安全局就是一副站在暗处窥探所有人的隐私、无处不在、无所不用其极的形象。美国战略与国际问题研究中心专家詹姆斯·刘易斯总结得好，“在当下美国的政治气候决定了，一旦国家安全局参与到国内安全保障中来，网络安全看起来就特别像对境内的全方位监控”。

在1月28日参议院国土安全和政府事务委员会就网络安全信息共享举行的听证会上，参加听证的所有五位专家也一致认为，通过信息共享法案最大的障碍就是对政府有可能通过信息共享进一步侵犯公民隐私的担忧。

另一方面，奥巴马和国会似乎也有其道理，索尼影业遭攻击之所以能溯源至朝鲜，多亏了国家安全局2010年就开始的对朝鲜的网络渗透监控。

现在，摆在奥巴马和国会面前的选择是，如果不先解决大众对国家安全局“脱缰式”的监控项目的担忧，重建对政府的信心，那无论总统的演讲有多激动人心，无论国会多么热火朝天，“信任赤字”将如同枷锁一般，让奥巴马和国会寸步难行。

其实，再往深一层说，自从2013年“棱镜”等项目曝光以来，奥巴马和国会的承诺仅停留在嘴上，至今没能通过对国家安全局实质性的限制措施。渴望安全和尊重隐私同样都是民众的心愿，现在奥巴马和国会厚此薄彼，这到底是领导力的体现，还是在投机而已？

（作者系法学博士，文章仅代表个人观点）