在斯諾登陰影籠罩下的美國網絡安全立法

　　【熱點觀察】背負“信任赤字”，奧巴馬向網絡攻擊宣戰

　　《中國經濟周刊》 特約撰稿人 青硯

　　“今晚，我呼吁本屆國會最終通過我們需要的法案，以更好地應對不斷變化的網絡攻擊、打擊身份盜竊，保護我們孩子的信息。”

　　在2015年的國情咨文中，美國總統奧巴馬向國會喊話，希望能攜手共同“塑造即將到來的世界”，因為“如果我們不采取行動，我們將讓我們的國家和經濟易受攻擊。如果我們采取措施，我們可以繼續保護那些為全球各地人們帶來數不清機遇的技術”。

　　近日，美國著名智庫對外關系委員會（Council on Foreign Relations）在總結2014年全球網絡空間五大新變化時，將2014年評為“商業網絡攻擊的一年”。美國去年一年中，除針對索尼影業的網絡攻擊外，還有數起“千萬級”的數據泄露事件，造成了不可估量的經濟損失：

　　2014年1月，美國著名零售公司Target宣布黑客竊取了超過7000萬顧客包括姓名、地址等在內的個人信息，以及高達4000萬張信用卡的數據；2014年8月，美國摩根大通銀行承認，在一次網絡襲擊中，7600萬家庭用戶和700萬小型企業的信息被泄露，涉及人數超過美國人口的四分之一。

　　奧巴馬提前造勢卻吃閉門羹

　　按照慣例，國情咨文在公布前嚴格保密。而這次奧巴馬一反常態，趕在國情咨文前就拋出三項網絡安全立法建議：一是增強國土安全部在網絡安全方面的職權和安全信息的共享；二是修改《計算機欺詐和濫用法案》以加強打擊網絡犯罪；三是建立全國性的數據泄露事件強制披露的法律。

　　在白宮看來，這是一種“新的溝通策略”：一來是趁著索尼影業遭受攻擊一事還有新鮮勁，早早擺出姿態，展現總統的領導力；二來是國情咨文的觀眾人數逐年下降，提前“放風”能勾起民眾的興趣，為之造勢。

　　奧巴馬此舉可謂是用心良苦，但是似乎他也沒有別的選擇。今年1月6日宣誓就職的美國第114屆國會中，共和黨占據參眾兩院的多數。在“政治癱瘓”已經成為華盛頓標簽的現實下，奧巴馬只能依靠爭取民意，才能避免歷史上“跛腳鴨”總統難有作為的命運。盡管如此，就在奧巴馬發表國情咨文之后，《紐約時報》還是很不客氣地說道，“推動僅存微弱希望或根本毫無可能得到國會通過的倡議，到底體現了無畏的領導力，還是在不負責任地浪費大家的時間？”

　　國會上下齊動員推動停滯的立法

　　在網絡安全方面，美國法律有兩個顯著特點：首先是美國聯邦至今沒有一部統一的框架性立法，關于網絡安全不同方面的條款主要散見于現有的法律規定中。截至2014年年末，美國有將近60部聯邦法律直接或間接與網絡安全有關。

　　其次，雖然美國被公認為當今世界網絡技術和網絡安全立法方面最為發達的國家，但近年來美國在網絡安全立法上一直停滯不前。在第111 屆國會期間（2009—2010年），共有涉及網絡安全的法案、決議案逾60件。在第112 屆（2011—2012年）和第113屆國會（2013—2014年）期間均有逾40件法案、決議案。但直到第113屆國會最后時刻，國會才通過四項法案。這也是自頂著“互聯網總統”稱號的奧巴馬2009年就任以來，美國國會首次就網絡安全通過了法案。

　　即便如此，事實表明，自2002年通過《聯邦信息安全管理法》以來，美國沒有通過任何重要的綜合性網絡安全立法。2014年年末通過的四項法案也僅是對已有法律的修正案或者是就人員和機構等局部事項作出規定。

　　在索尼影業遭受網絡攻擊之后，美國民眾要求政府加強網絡安全的呼聲空前。對自己提出的三項網絡安全綜合性立法建議，奧巴馬寄予厚望，希望能一改在網絡安全立法方面無所作為的形象，并以此作為自己重要的“政治遺產”之一。

　　然而國會顯然也不會放過“爭取民意分”的好機會，就在國情咨文之后，國會參眾兩院立刻全面開啟了網絡安全立法的引擎。

　　1月21日，國情咨文第二天。參議院商務、科學和交通委員會舉行聽證會，討論如何通過“國會行動來保護互聯網和消費者”。2月4日，該委員會還將就美國國家標準與技術研究院制定的《網絡安全框架》舉行聽證。

　　1月27日，眾議院能源和商務委員會下屬的商業、制造業及貿易小組委員會就數據泄露事件強制披露法律舉行聽證會。

　　1月28日，參議院國土安全和政府事務委員會就網絡安全信息的共享舉行聽證會。

　　趁著民意高漲之時，不少國會議員也重新提交曾在往屆國會中提交過的網絡安全方面的法案，希望能順勢推舟，迅速推動法案通過，為自己賺取政績。為同一個議題，短短時間內國會上下齊動員，可真是空前絕后。

　　難以擺脫的信任赤字

　　近期，奧巴馬和國會網絡安全綜合性立法的重點放在促進網絡安全信息共享，以及建立個人數據泄露竊取事件的強制披露機制。原因是在美國，90%的關鍵基礎設施為私人所有，美國法律又將這些私有關鍵基礎設施的安全防護責任放在設施所有人身上，而非政府。因此，美國政府增強基礎設施安全的最主要手段就是通過促進政府部門和私人部門之間的公私合作，實現網絡威脅的“群防群治”，同時借由事件強制公開，督促私人部門改進網絡安全措施。這兩個方面中，網絡安全的信息共享是公認的重中之重。

　　網絡安全信息共享，顧名思義就是政府把關于網絡安全的情報和研判等信息分享給私人部門，同時私人部門將其防護情況、受到威脅和攻擊的有關信息報告給政府。如果說信息情報共享是美國“9·11”反恐戰爭最重要的經驗教訓之一的話，無疑這是網絡安全保障必須要走的一步。現有的各種立法草案均包含私人部門提供的信息將會在包括國土安全部、聯邦調查局、國家安全局等在內的聯邦政府各機構間共享的條款。

　　不少媒體和專家發出同樣的疑問，為什么國家安全局要摻和進來？難道國家安全局截獲信息的渠道還不夠多嗎？它的權力還要擴大嗎？自從斯諾登文件不斷曝光以來，在公共輿論中，國家安全局就是一副站在暗處窺探所有人的隱私、無處不在、無所不用其極的形象。美國戰略與國際問題研究中心專家詹姆斯·劉易斯總結得好，“在當下美國的政治氣候決定了，一旦國家安全局參與到國內安全保障中來，網絡安全看起來就特別像對境內的全方位監控”。

　　在1月28日參議院國土安全和政府事務委員會就網絡安全信息共享舉行的聽證會上，參加聽證的所有五位專家也一致認為，通過信息共享法案最大的障礙就是對政府有可能通過信息共享進一步侵犯公民隱私的擔憂。

　　另一方面，奧巴馬和國會似乎也有其道理，索尼影業遭攻擊之所以能溯源至朝鮮，多虧了國家安全局2010年就開始的對朝鮮的網絡滲透監控。

　　現在，擺在奧巴馬和國會面前的選擇是，如果不先解決大眾對國家安全局“脫韁式”的監控項目的擔憂，重建對政府的信心，那無論總統的演講有多激動人心，無論國會多么熱火朝天，“信任赤字”將如同枷鎖一般，讓奧巴馬和國會寸步難行。

　　其實，再往深一層說，自從2013年“棱鏡”等項目曝光以來，奧巴馬和國會的承諾僅停留在嘴上，至今沒能通過對國家安全局實質性的限制措施。渴望安全和尊重隱私同樣都是民眾的心愿，現在奧巴馬和國會厚此薄彼，這到底是領導力的體現，還是在投機而已？

　　（作者系法學博士，文章僅代表個人觀點）