一、美国网络安全法律体系
美国网络安全法律体系分为两个层次,第一层次是法律。美国首部专门针对网络安全的立法规范是1966 年国会颁布的《信息自由法》,这是美国国家信息安全立法起步阶段的标志,在美国信息安全法律史上具有举足轻重的地位。此后,随着网络安全新问题的凸显,以《信息自由法》为中心,又制定包括《隐私权法》(1974)、《计算机欺诈与滥用法》(1984)、《电子通信隐私法》(1986)、《计算机安全法》(1987)、《信息技术管理改革法》(1995)、《通信净化法》(1996)、《国家信息基础设施保护法》(1996)、《数据保密法》(1997)、《公共网络安全法》(1997)、《加强计算机安全法》(1997)、《儿童在线隐私权保护法》(1998)、《网络电子安全法案》(1999)、《政府信息安全改革法案》(2000)、《全球及全国电子商务签名法》(2000)、《网络安全信息法》(2000)、《网络安全研究与开发法》(2001)、《联邦信息安全管理法》(2002)、《国土安全法》(2002)、《爱国者法》(2002)、《网络安全法案》(2009)在内的共21部法律。以上法律均由美国最高立法机构国会制定,构成了美国网络安全法律体系最基本的框架。在此后网络安全管理的实践中,为适应网络安全管理的需要,对相关法律进行了修正,如《信息自由法》分别在1974年、1976年、1978年、1984年、1986年、1996年、2007年进行了七次修订。
第二层次是法规。美国对网络安全管理的具体政策指令是来自历届总统颁布的总统令,在管理实践中坚持的指导思想是国家安全战略报告。20世纪60~70年代,互联网雏形阿帕网诞生,针对这一时期网络安全问题,卡特政府于1978年颁布第12065号总统令,该命令是美国政府颁布的第一份专门解答如何有效管理与国家安全相关信息的政策文件。它体现了对于涉及国家信息安全的信息的基本管理方式,是美国政府关于网络安全问题法规政策具有独立性的开端。随后,各时期的美国政府也相继颁布关于网络安全问题总统令或国家战略报告,如克林顿政府《关于保护美国关键基础设施的第63号总统令》、小布什政府《信息时代保护关键基础设施第13231号总统令》、奥巴马政府《国家基础设施保护计划》等总统令。
二、欧盟及其成员国的网络安全法律体系
欧盟在1992年颁布了《信息安全框架协议》,这是欧盟第一部针对计算机信息安全的法律。此后欧盟签署了一系列协议来保障计算机信息安全的法律,例如《打击计算机犯罪协定共同宣言》、《电子签名指令》、《网络刑事公约》等。又于2001年,欧盟通过了世界上第一部关于打击网络犯罪的《网络犯罪公约》,明确了公约规制的几种网络犯罪行为,并要求各签约国加强关于网络犯罪的国内立法,按公约要求建立相应的执法部门和执法程序,贯彻落实公约的内容。通过这一系列法律,欧盟已经构建了一个系统的网络安全法律体系。2013年,欧盟颁布《欧盟网络安全战略》提出了欧盟的网络安全发展战略和具体措施,同时成立统一处理网络犯罪的执法机构,负责协调各成员国进行合作,统筹安排处理网络犯罪的工作。
欧盟的成员国的法律包括两种:一种是自己本国政府发布的法律,还有一种是欧盟颁布的法律。但这两种法律在适用上并不冲突,是兼容的。比如英国,由于有很浓厚的自由主义传统,其互联网空间在受欧盟和本国网络安全法律规制外,网络自治自律机制也在网络净化和网络秩序的维护起着非常重要的作用。1990年,英国政府制定了《计算机滥用法》列举了几类侵犯互联网系统和信息的违法行为,2001 年颁布的《调查权管理法》规定国内全部的网络服务提供商都应当按照政府指定方式的为用户传输数据信息。
1996年9月,网络服务提供商协会、伦敦互联网交流平台和安全网络基金共同颁布了第一个自律性的网络管理规范《r3 安全网络协议》,并由此建立了网络观察基金组织(iwf)。iwf 是英国最大的网络自律管理机构,建立了完整的信息等级分类划分标准。2009年6月英国为了应对外来网络威胁,首次制定了网络安全战略,将网络安全提升到国家战略高度,并成立 ocs 和 csoc 这两个网络安全机构,通过制定具体网络安全管理措施,来营造网络空间的安全环境,从而保障网络信息产业的健康发展。总体上看,英国在网络空间治理方面实行的是一种由政府部门、行业组织和普通民众相互联合的模式,既有政府的管束,又有社会的自律自治。