栏目简介
伴随数字化和网络安全深入发展,网络安全市场的政策性特征日渐显著,合规需求已与攻防需求一道,成为引领网络安全产业发展的两大核心驱动力。
本栏目基于团队在网络安全政策法规方面的日常跟踪,筛选国内外近期热点政策法规文件,并重点结合网络安全产业发展,对其内容和影响等进行分析。本期选取并分析2023年6月国外发布的热点政策法规。
本期目录
1 | 美国白宫发布《2025财年网络安全投资优先事项备忘录》,细化国家网络安全战略投资方向 |
2 | 欧洲议会通过《人工智能法案》草案,提出全球AI治理新思路 |
3 | 美国参议院提出《2023年保护美国人数据免受外国监视法案》,保障美国公民个人信息安全 |
4 | 美国白宫更新《利用安全的软件开发实践增强软件供应链的安全性》备忘录,强化软件供应链产业主导权 |
国外篇
1.美国白宫发布《2025财年网络安全投资优先事项备忘录》,细化国家网络安全战略投资方向
【内容概述】2023年6月27日,美国白宫管理和预算办公室(OMB)与国家网络总监办公室(ONCD)联合发布《2025财年网络安全投资优先事项备忘录》(Administration Cybersecurity Priorities for the FY 2025 Budget)(以下简称《备忘录》),概述了美国联邦部门和机构根据拜登政府《国家网络安全战略》(以下简称《战略》)开展2025财年网络安全预算时的5个优先事项。
《备忘录》提出了以下5个重点任务,并将审查联邦机构提交的预算提案,以确定“潜在差距”和“解决方案”。第一,关键基础设施防护,预算提案必须体现:实现联邦零信任战略目标、优先考虑网络安全能力与性能、优先建立与关基设施运营者合作的能力与机制等。第二,破坏和摧毁威胁行为者,预算提案必须体现:优先调查勒索软件犯罪、优先打击滥用虚拟货币洗钱、参加打击网络犯罪的跨机构工作组等。第三,塑造市场力量以推动安全和弹性,预算提案必须体现:能力满足安全软件和服务要求、保护联邦关基设施免受网络威胁、鼓励跨机构合作等。第四,投资于下一代技术,预算提案必须体现:培养网络人才、对敏感网络系统使用后量子加密技术等。第五,建立国际伙伴合作关系,预算提案必须体现:加强与外国伙伴和盟友的合作、评估交易对美国和美国民众可能产生的威胁等。
【导读分析】《备忘录》的发布进一步强化了对《战略》重点任务的资金落实,细化了美国2025财年网络安全优先事项的预算要求。
《备忘录》细化落实《战略》的建设内容,或将产生以下两方面影响。一方面带动网络安全市场发展。如《备忘录》提出的零信任、量子计算等相关技术和信息基础设施、半导体供应链等应用场景,对其国内乃至国外网络安全相关的市场发展起到拉动作用。另一方面对产业、外交等领域的溢出效应或将持续显现。《备忘录》所涉及的网络安全重点领域建设方向、管理思路等,也极有可能启发其他国家的趋同举措,通过固化当前的网络空间生态,进而潜移默化地强化以美国为首的产业、技术、研究乃至外交领域同盟、联盟的发展。
2.欧洲议会通过《人工智能法案》草案,提出全球AI治理新思路
【内容概述】2023年6月14日,欧洲议会投票通过《人工智能法案》(Artificial Intelligence Act)草案(以下简称《AI法案》),该法案侧重于对AI系统的具体利用及其相关风险做出规定,旨在对任何使用AI系统的产品或服务进行管理。
《AI法案》在2021年4月由欧盟委员会首次提出,本次修改后的法案内容主要包括以下5方面。一是扩大禁止的AI做法名单,例如,限制远程生物特征识别系统的应用、禁止使用敏感或受保护特征的生物识别分类系统等;二是更新高风险AI名单,包括生物识别应用的关键用例、执法领域的具体用例、关键数字基础设施领域供应管理和运行的AI系统、影响选举结果的AI系统等;三是进一步明确了通用AI及基础模型提供者的义务,包括评估和减轻AI系统的风险和影响、向国家主管当局提交技术文件和使用说明、遵守透明度要求等;四是促进AI创新和中小企业发展,包括增加对开源许可下提供的研究活动和AI组件的豁免、加快监管沙盒建立等;五是加强保障措施,包括提高公民对AI系统提出投诉的权利、改革欧盟人工智能办公室等。
【导读分析】伴随ChatGPT的爆红网络,生成式人工智能(AGI)技术及其安全性问题,日益成为全球关注的焦点,各国纷纷加强出台人工智能监管政策法规。如美国白宫发布2023版《国家人工智能研发战略计划》、NIST发布《人工智能风险管理框架》等。我国已明确将“人工智能法草案”列入国务院2023年立法工作的预备提请审议计划中,并正式发布了《生成式人工智能服务暂行管理办法》等规章,规范引导AI相关技术服务的健康发展。
本次通过的《AI法案》是欧盟首部针对人工智能风险管控的综合法律。其首次明确了欧盟在开发和使用人工智能问题上的基本价值观和战略导向,也为全球AI安全治理提供了新思路。下一步,欧洲议会、欧盟委员会和成员国将进行“三方”谈判,以确定法案的最终条款。
欧盟《AI法案》的某些管理举措,对进一步完善健全我国AI管理政策法规体系也具有参考意义。一是其所提出的“风险分级”管理模式,将人工智能应用分为四个风险级别:不可接受的风险、高风险、有限风险和最低风险,并根据风险级别为提供者和用户规定义务。二是其所提出的专门监管机制,即对ChatGPT等生成式人工智能设立专门监管制度,每个欧盟成员国都将设立一个监督机构等,对我国后续完善AI管理相关政策措施体系,都具有一定的参考价值。
3.美国参议院提出《2023年保护美国人数据免受外国监视法案》,保障美国公民个人信息安全
【内容概述】2023年6月14日,美国参议院重新提出《2023年保护美国人数据免受外国监视法案》(以下简称《法案》)(Protecting Americans' Data From Foreign Surveillance Act of 2023),《法案》拟通过修订《2018年出口管制改革法案》(Export Control Reform Act of 2018),旨在控制将某些敏感类别的美国公民数据共享和传输给可能对美国国家安全造成风险的外国实体。
《法案》主要内容包括以下6方面:一是要求美国商务部及其他相关机构协商,确定可能会损害美国国家安全的个人数据类别名单和个人数据数量门槛;二是编制“低风险国家”和“高风险国家”名单进行数据传输管制;三是限制数据经纪人和中介机构,以及TikTok等公司的数据传输行为,包括直接向受限制的外国政府、位于该限制国家的母公司,以及位于产业安全局发布的实体清单中的实体进行数据传输的活动;四是豁免NIST批准的技术加密的数据;五是确保新闻业和受《第一修正案》保护的言论不受该法案限制;六是对知晓或应该知晓其下属员工未经允许出口美国人个人信息的高管人员实施出口管制处罚。
【导读分析】拜登总统上任以来,美国政府持续加强个人数据跨境传输保护工作,发布了一系列政策法规。主要包括2021年6月拜登签署《关于保护美国公民敏感数据免受外国对手侵害的行政令》、2022年6月美国参议院提出《2022年健康和位置数据保护法案》以及《2022年保护美国人数据免受外国监视法案》等。
本次更新的《法案》主要增加了对数据经纪人和中介机构、以及TikTok等公司数据传输行为的限制要求。可见其在立法思路上,不仅监管要求日益具体化,而且重点监管对象的范围也日渐明确。
尽管目前《法案》仍处于提出阶段,但其立法思路及对大型互联网及科技企业提出的明确要求,值得我们重点关注。一方面对于涉及海外业务或需要开展个人数据跨境相关业务的国内公司而言,宜加强对此类法规关注,并推进优化业务布局和相关个人数据跨境保护机制的建立,以避免届时对业务产生影响。另一方面,从保护产业发展层面而言,需持续关注此类法案中“借安全为由、行遏制之实”的意图,并推动相关应对机制的建立健全,保护企业合法权益。
4.美国白宫更新《利用安全的软件开发实践增强软件供应链的安全性》备忘录,强化软件供应链产业主导权
【内容概述】2023年6月9日,美国白宫管理和预算办公室(OMB)发布更新后的《利用安全的软件开发实践增强软件供应链的安全性》(Enhancing the Security of the Software Supply Chain through Secure Software Development Practices)备忘录(以下简称新版《备忘录》),旨在强化2022年9月旧版《备忘录》的要求,重申安全的软件开发实践的重要性,并延长了美国各机构从软件生产制造商处获取证明文件的截止时间。
新版《备忘录》主要对以下3方面进行了补充更新。第一,延长了各联邦机构从软件生产制造商获取证明文件的截止日期。各机构必须在CISA发布旧版备忘录要求的证明通用表格(以下简称“通用表格”)后三个月内,根据新旧备忘录的要求收集关键软件证明,通用表格由OMB根据《减少文书法案》批准发布;在通用表格获得OMB批准后的六个月内,各机构必须遵循新旧备忘录要求收集齐所有软件类目的证明文件。第二,细化了旧版备忘录的要求范围,各联邦机构无需获得第三方软件组件生产商、免费获取且公开可用的专有软件生产商、以及联邦承包商开发的软件等类目的证明文件。第三,为软件生产商向联邦机构提交的行动计划和关键节点提供了补充指导,如果软件生产商无法提供软件证明,并提供了关于无法证明的实践文档,则联邦机构需要将此事通知OMB并获得对证明文件最后期限的延期等。
【导读分析】新版《备忘录》是美国保持其政策连贯性、发挥软件供应链政策双重战略价值的方式。一方面,软件供应链政策的对内价值在于维护其自身软件供应链的安全和连续性;另一方面,软件供应链政策的对外价值在于可作为一种遏制手段或筹码,维护美国在相关技术产业生态中的主导权,如出口管制、断供、禁用等是其常见的具体管理措施。
新版《备忘录》反映出目前美国联邦机构落实软件供应链安全的现实状况。一方面,从第14028号行政令的时间进度表来看,部分重要任务的实施进度已经滞后。另一方面,新版《备忘录》延长了各联邦机构从软件生产制造商获取证明文件的截止日期,为实际规则的落地实施预留了一定裁量空间。
由于美国在信息技术多个领域处于领先地位,故其发布的关于软件供应链安全管理方面的实践,也极有可能会在世界范围内产生一定示范效应。在一定程度上也会促进其他国家完善软件供应链相关管理机制和规范、并加强自身软件供应链供给能力建设。
原文链接:
1.美国白宫发布《2025财年网络安全投资优先事项备忘录》,细化国家网络安全战略投资方向
https://www.whitehouse.gov/wp-content/uploads/2023/06/M-23-18-Administration-Cybersecurity-Priorities-for-the-FY-2025-Budget-s.pdf?trk=feed_main-feed-card_feed-article-content
2.欧洲议会通过《人工智能法案》草案,提出全球AI治理新思路
https://www.europarl.europa.eu/news/en/press-room/20230609IPR96212/meps-ready-to-negotiate-first-ever-rules-for-safe-and-transparent-ai
3.美国参议院提出《2023年保护美国人数据免受外国监视法案》,保障美国公民个人信息安全https://m.21jingji.com/article/20230628/herald/4dba73ab5c2b7cb445bd00e697548a82.html
4.美国白宫更新《利用安全的软件开发实践增强软件供应链的安全性》备忘录,强化软件供应链产业主导权
https://www.whitehouse.gov/wp-content/uploads/2023/06/M-23-18-Administration-Cybersecurity-Priorities-for-the-FY-2025-Budget-s.pdf?trk=feed_main-feed-card_feed-article-content