德国网络空间战略体系研究
2016-03-14夏立款
◆夏立款 姜 达
(中国人民公安大学 北京 100038)
德国网络空间战略体系研究
◆夏立款 姜 达
(中国人民公安大学 北京 100038)
作为传统的信息技术强国,德国的互联网发展起步早、各方面都形成了较为成熟和完善的制度。在网络安全成为人类在21世纪面临的重大课题的背景下,德国联邦政府积极应对,重视网络空间治理,形成完备的网络空间战略体系,有力支撑了德国信息技术产业和关键基础设施建设。
德国;网络空间;监管;关键基础设施
0 前言
随着互联网技术的迅猛发展,网络犯罪造成的损失已经超过毒品犯罪,网络犯罪在一定程度上直接威胁国家安全,应引起足够重视。德国作为信息强国,研究其网络空间战略体系,学习其先进做法,有利于为构建我国的网络空间战略体系提供思路和启发,并能为我国的网络安全事业提供经验。
1 网络空间领导体制机制
1.1 网络安全领导体制
2011年2月,德国成立“国家网络安全理事会”,负责德全境网络安全管理领导事务。该委员会属副总理级,由联邦总理府和内政部、国防部、财政部、教育部、司法部、外交部、联邦经济和技术部等七个联邦政府部门副部级官员组成,其主要职责是从政策层面加强网络事务的沟通和协调,保持联邦政府及与私营部门合作。
(1)德外交部“网络事务专员”协调德国参与网络空间国际规则制定及相关网络安全事务国际讨论。
(2)德联邦内政部是国家网络安全建设的牵头单位。联邦内政部下属联邦信息技术安全局则是有关信息安全工作的具体指导和组织机构。近年来,该局已牵头成立了四大主要职能部门:
联邦计算机应急响应分队。主要任务是处理日常计算机安全事件,提供预警信息服务。内政部充分利用民间专业力量,在政府要害部门、大学和重点企业内组建15支计算机应急响应分队,构成德维护网络安全的重要力量。
信息形势中心。主要任务是跟踪研究信息安全形势动态发展,评估和协助处理信息领域安全事件,提供早期预警。
信息危机反应中心。主要行使国家级危机管理部门职能,侧重于针对重大信息危机事件的快速反应和跟踪评估,并协调跨地区跨部门危机管理机构之间的合作。
国家网络防御中心。主要负责协调政府各部门间相关合作。
(3)德国联邦经济和劳工部下属的联邦电信和邮政总局,主要负责联邦电信基础设施的安全维护工作。此外,其还为政府其他部门提供基础电信服务、负责起草和制定《电信法》和《数字签名法》等法律。[1]
(4)联邦危害青少年媒体检查处。该部门主要负责政府媒体信息安全工作。自2003年起,这一检查处开始负责识别和检查所有互联网内容,目前有多个媒体已被该检查处列为对青少年健康不宜的媒体。[2]
1.2 民间组织
德国信息、通讯和新媒体行业协会(BITKOM)是德国信息产业界主要的行业协会。它的主要职责是:组织专家和政府人员的持续交流;通知其成员相关的发展;推进技术发展和标准化;推进和发展信息技术和通信领域的市场等。
德国全国性的自愿自我检查多媒体服务提供商组织(FSM)致力于青少年的保护工作。作为互联网的一个自律组织,FSM提供热线以处理任何个人或组织关于任何有害或非法网站信息的报告。
1.3 网络安全工作有关机制
国家网络防御中心于2011年4月在波恩成立,启动编制约50人,由联邦内政部危机指挥部直接领导,联邦信息技术安全局具体组织实施,联邦宪法保卫局、联邦民防与救灾局直接参与,并通过立法形式与联邦刑警局、联邦情报局、联邦警察局、海关刑警局、联邦国防军等保持密切合作。主要职能是指导和优化国家信息安全工作,协调防范措施,分析网络安全重大事件风险,提供信息保障平台,为国家网络安全委员会提供决策建议。为加强政府机构与经济界之间合作,2012年德国成立了“网络安全联盟”。
2 网络空间战略与规划
2.1 战略目标
2011年2月,联邦内政部公布《国家网络安全战略》(简称《战略》),确定了目前及未来一段时间德国网络攻防能力建设的基本方针和发展路线,将网络安全建设提升到国家战略高度,提出综合性的网络安全观。一是认为网络攻击可能对德社会造成重大损害,是德政府和全社会面临的“核心挑战”之一。二是将“整合官民力量”、“民事重于军事”和“不妨碍网络产业发展”作为网络能力建设的三大原则,由政府牵头,进一步整合企业、科研和民间力量,共同应对网络安全威胁。三是根本目标是保障并促进德经济社会发展。在不妨碍网络空间使用和开发的前提下,开展网络安全防护工作,确保关键基础设施安全。
2.2 战略规划
《战略》确立了德国网络安全发展的十大重点领域:保护关键信息基础设施;确保德国IT 系统的安全;设立国家网络响应中心;设立国家网络安全理事会;有效控制网络犯罪;开展有效的协同行动以确保全球网络安全;使用可信的信息技术,确保可信IT 系统与元件的永久可用性;促进联邦政府人才发展;创建一套协调、全面的网络安全工具。要求建立更加密集的信息共享与协调;关注民间方式和措施;联邦国防军充当网络安全能力的补充力量;关注国际网络安全政策的协调,确保国际社会保护网络行动的一致性。
3 网络空间监管
3.1 相关立法
首先需要明确的是,作为欧盟成员,德国必须遵守欧盟宪法和各种条约。在德国的法制体系中,国际条约的地位优于宪法适用。且德国是联邦制国家,各州都制定有自己的法律。
1997年6月13日,德国联邦议院通过了世界上第一部全面调整信息时代新型通信媒体Internet的法律,规定信息和通信服务的一般条件的联邦法令——《信息和通讯服务规范法》(德文简称IUKDG),也被称为《多媒体法》。[3]该法由三个新的联邦法律[信息服务利用法(The Tele-Service Act)、数据保护法(The Data Protection Act)和数字签名法(The Digital Signature Act)]和六个将现有法律适用于新媒体的附属条款组成。于1997年8月1日开始生效。该法涉及了互联网的方方面面,从ISP的责任、保护个人隐私、数字签名、网络犯罪到保护未成年人等,是一部全面的综合性法律。[4]
2001年5月16日,德国公布了使电子签名具有与手写签名同样法律效力的议案——《德国电子签名框架条件法》。该法共6章,25条,属原则性的立法。鉴于欧盟发布的《关于建立有关电子签名共同法律框架的指令》,德国作为欧盟成员国,有义务在规定期限内制定或修改国内法,所以该法既是国内立法,又是实施欧盟电子签名指令的具体措施。[5]
2003年9月德国提出了信息社会版权保护行动法案,增加了使用电子签名的规定,在其他许多领域,对例如公共合同签订的法律、商业注册法、信息公开法等法律、法规也进行了修改。
2006年3月22日,德国内阁会议讨论通过新的《版权法》修订案,法律允许消费者从一个合法来源,比如没有设防拷贝保护的来源复制数码形式的私用拷贝,但如果对防拷贝保护进行了破解,即使只是为了自家私用,也可以受到最长一年的判刑惩罚。如今,德国所有DVD和最流行的音乐CD都加了防拷贝保护。新法依然不允许利用互联网上的违法来源制作私用拷贝。如果商业经销违法拷贝,就会受到刑期最长可达5年的法律追究。
3.2 主要措施
(1)重视法律约束。德国是世界上第一个对互联网络应用与行为规范提出法律约束的国家,《信息和通讯服务规范法》涉及了互联网的方方面面。德国政府和行业协会非常重视信息安全技术标准的研究与推广,近几年来,德国标准化所(DIN)主持制订了信息技术安全领域列入最高优先级的37个国际标准和专业报告。
(2)明确运营商责任。《信息和通信服务规范法》规定,网络服务商应对其制作的内容负责,由此条款发展出著名的“避风港”原则。为了保护消费者的利益,《信息和通信服务规范法》要求网络服务商公开披露其名称、地址、授权代表机构等某些可靠信息。同时,网络服务商还应在屏幕上免费向用户提供其产品和服务的、可被用户关闭的价格信息。
(3)有害信息治理。德国在《公共场所青少年保护法》等法律中明确禁止“极端言行、纳粹主义、恐怖主义、种族歧视、儿童色情”等非法及有害信息在网络上制作和传播。
(4)加强技术管控。2013年起5年内政府投入1亿欧元加强互联网监控;德国联邦情报局计划开展“数据流实时分析”计划,2020年前投入3亿欧元进行大规模技术升级,使用特定加密技术对互联网上受保护的链接进行监控,对社交网络进行嗅探并设立预警系统。
(5)创新纠纷解决机制。德内政部表示考虑建立“网络法院”以解决科技公司与个人用户间的纠纷。
4 关键信息基础设施保护
4.1 关键信息基础设施保护法律框架体系
2005年,德国出台《信息基础设施保护计划》和《关键基础设施保护的基本概念》,对国家关键基础设施安全进行了全面界定和评估。2011年《德国网络安全战略》将“保护中小企业信息技术系统安全”与“保护关键信息基础设施”并列出来,突出网络脆弱环节的理解和应对。
4.2 关键信息基础设施保护主要做法
2005年,德国政府在“关键基础设施实施计划”框架下,与大约40家德国大型基础设施企业及其利益团体在信息技术安全领域展开合作。2011年出台《德国网络安全战略》,以保护关键基础设施为核心,建立了一系列相关机构,提出了一系列措施做法。德国“网络安全理事会”负责政府与经济界之间的合作,该理事会每年召开三次有政府部门、行业协会及大企业代表参加的会议。此外,国家网络防御中心、网络安全联盟也被赋予网络安全管理协调功能。建有国家网络安全信息共享平台,负责接受、汇总各成员单位通报的情况信息和突发事件,组织分析研判并提出防范处置对策,重点保障联邦政府网络和关键基础设施的运行安全。通过了关于保障电信技术安全的一揽子措施计划,提出德国必须脱离在电信技术领域对美国的依赖关系,加强自身的电信产业发展和安全。
[1]孙红豹.城市规划信息管理的困境及对策研究——以上海为例.上海交通大学硕士学位论文,2010.
[2]德国注重引导青少年培养健康网络行为.互联网.科技时代_新浪网.http://tech.sina.com.cn/i/2005.
[3]国家互联网应急中心.http://www.cert.org.cn/publish/ main/98/2013/20130816103309218475486/20130816103309218 475486_.html.
[4]多重制度保证德国网络安全-新华网.http://news.xinh uanet.com/world/2013-08/13/c_116924502.htm.
[5]余红升.论网络虚拟财产的民事法律保护.厦门大学硕士论文,2007.
[6]北京大学法学院互联网法律中心.努力构筑互联网健康运行的法律屏障(续)——国外互联网立法综述.中国工商管理研究,2012.
[7]赵彦昌.浅论国外电子签名法的主要内容及特点.云南档案,2007.
