閆曉麗

（賽迪研究院網(wǎng)絡(luò)安全研究所，北京 100846）

1 引言

隨著經(jīng)濟(jì)社會(huì)對(duì)信息網(wǎng)絡(luò)依賴程度不斷提高，網(wǎng)絡(luò)安全已經(jīng)成為事關(guān)國(guó)家安全與利益的重大議題。針對(duì)大規(guī)模網(wǎng)絡(luò)攻擊、數(shù)據(jù)竊取泄露及濫用、新技術(shù)新業(yè)務(wù)安全風(fēng)險(xiǎn)等難題，主要國(guó)家和地區(qū)紛紛出臺(tái)法律法規(guī)進(jìn)行規(guī)制，以更好地應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)?？傮w看，近年來(lái)網(wǎng)絡(luò)安全國(guó)際立法呈現(xiàn)出幾個(gè)主要?jiǎng)酉蚝挖厔?shì)：一是從保護(hù)隱私和個(gè)人基本權(quán)利出發(fā)加強(qiáng)個(gè)人信息保護(hù)立法；二是立法提升關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全、網(wǎng)絡(luò)風(fēng)險(xiǎn)管理等方面能力；三是探索新技術(shù)新業(yè)務(wù)安全監(jiān)管思路和規(guī)則；四是以國(guó)家安全為由收緊出口管制、外國(guó)投資；數(shù)據(jù)跨境等方面的規(guī)則。

2 個(gè)人信息保護(hù)立法

從保護(hù)隱私和個(gè)人基本權(quán)利出發(fā)，主要國(guó)家和地區(qū)加強(qiáng)個(gè)人信息保護(hù)立法，明確了個(gè)人信息范圍，設(shè)定了個(gè)人信息收集、存儲(chǔ)、共享等方面的基本規(guī)則，賦予了個(gè)人對(duì)數(shù)據(jù)的刪除權(quán)等權(quán)利，加強(qiáng)對(duì)企業(yè)數(shù)據(jù)保護(hù)等行為的監(jiān)管。

2.1 建立個(gè)人信息保護(hù)的一般制度

個(gè)人信息保護(hù)立法以歐盟2016年《通用數(shù)據(jù)保護(hù)條例》（GDPR）、美國(guó)2018年《加州消費(fèi)者隱私法》（CCPA）為代表。兩者都是通過(guò)規(guī)范企業(yè)處理和使用數(shù)據(jù)的行為，強(qiáng)化其與數(shù)據(jù)相關(guān)的責(zé)任，并設(shè)定較為嚴(yán)格的處罰。兩部法律涵蓋的核心內(nèi)容有五方面。一是適用范圍：GDPR適用于向歐盟居民提供產(chǎn)品或服務(wù)及收集或監(jiān)控歐盟居民數(shù)據(jù)的主體；CCPA適用于處理加州居民個(gè)人數(shù)據(jù)的營(yíng)利性實(shí)體，并從年收入、個(gè)人信息數(shù)量等方面提出了一些限制性要求。二是個(gè)人信息界定：GDPR中個(gè)人信息是與已識(shí)別或可識(shí)別的自然人（即數(shù)據(jù)主體）相關(guān)的任何信息；CCPA中個(gè)人信息除與特定主體相關(guān)外，還可是與特定的家庭相關(guān)或合理相關(guān)的信息。三是數(shù)據(jù)處理原則：GDPR中數(shù)據(jù)的處理以數(shù)據(jù)主體“明示同意”為原則，而且同意可以在任何時(shí)間撤銷，只要不影響基于原有同意所作的數(shù)據(jù)處理；CCPA數(shù)據(jù)的處理以“通知數(shù)據(jù)主體”為原則，消費(fèi)者的同意并非是必須的，而且消費(fèi)者有權(quán)要求向第三方出售其個(gè)人信息的企業(yè)不得再出售（選擇退出權(quán)）。四是數(shù)據(jù)主體的相關(guān)權(quán)利：GDPR賦予了數(shù)據(jù)主體刪除權(quán)、可攜帶權(quán)等新型權(quán)利；CCPA也明確消費(fèi)者有刪除請(qǐng)求權(quán)、信息披露請(qǐng)求權(quán)等。五是救濟(jì)和懲罰措施：GDPR將違反數(shù)據(jù)保護(hù)規(guī)定的行為分為兩類，大幅地提高了行政罰款額度，對(duì)相關(guān)行為可處以不超過(guò)2，000萬(wàn)歐元的罰款或全球營(yíng)業(yè)額4%的罰款；CCPA規(guī)定企業(yè)有30天的糾錯(cuò)期，但如果在規(guī)定期限內(nèi)沒有糾正違法行為，則可被處以2，500美元或7，500美元罰款。

2.2 探索面部識(shí)別技術(shù)使用及隱私保護(hù)立法

出于對(duì)技術(shù)被濫用問(wèn)題的擔(dān)憂，美國(guó)、歐盟等主要國(guó)家和地區(qū)對(duì)面部識(shí)別技術(shù)采取謹(jǐn)慎態(tài)度。2019年，美國(guó)國(guó)會(huì)引入《商業(yè)面部識(shí)別隱私法案》《面部識(shí)別技術(shù)的倫理使用法案》等法案，要求商業(yè)公司在使用面部識(shí)別數(shù)據(jù)時(shí)提前通知用戶，禁止在未經(jīng)用戶同意的情況下使用面部識(shí)別數(shù)據(jù)；美國(guó)一些大城市的立法中，也明確禁止政府部門在公共區(qū)域使用面部識(shí)別技術(shù)。例如，2019年5月，舊金山市簽署的《反監(jiān)控條例》首次禁止使用面部識(shí)別技術(shù)；6月和7月，馬薩諸塞州的薩默維爾、加利福尼亞州的奧克蘭做出了相同的決定；12月，圣地亞哥禁止在3年內(nèi)使用面部識(shí)別技術(shù)。歐盟2020年初發(fā)布的《人工智能白皮書》中，曾考慮在公共場(chǎng)所禁止公營(yíng)、私營(yíng)機(jī)構(gòu)使用面部識(shí)別技術(shù)，為期3～5年，盡管后來(lái)白皮書正式文本中刪去了這一條款，但歐盟認(rèn)為面部識(shí)別技術(shù)的使用無(wú)法事先取得數(shù)據(jù)主體的同意，需要采用基于風(fēng)險(xiǎn)的方法引入一些新的規(guī)則。目前，國(guó)際上已經(jīng)出臺(tái)的面部識(shí)別技術(shù)及隱私保護(hù)立法，主要是2020年3月美國(guó)華盛頓州通過(guò)的《人臉識(shí)別服務(wù)法》。該法以擬開發(fā)、獲取或使用人臉識(shí)別服務(wù)的州或地方政府為主要規(guī)制對(duì)象，為其設(shè)定了向立法機(jī)構(gòu)提交意向通知、編制問(wèn)責(zé)報(bào)告、確保重大決定遵守人工審查、對(duì)相關(guān)人員進(jìn)行培訓(xùn)等義務(wù)；該法嚴(yán)格限制州或地方政府使用人臉識(shí)別服務(wù)進(jìn)行持續(xù)、實(shí)時(shí)的監(jiān)視和追蹤，除非獲得許可或緊急情況下使用。此外，美國(guó)加利福尼亞州《人臉識(shí)別法》也在制定中。

2.3 對(duì)特殊類型個(gè)人數(shù)據(jù)保護(hù)提出指引或要求

一是政治活動(dòng)中個(gè)人數(shù)據(jù)。2019年，歐洲數(shù)據(jù)保護(hù)委員會(huì)發(fā)表聲明指出：揭示政治觀點(diǎn)的個(gè)人數(shù)據(jù)屬于GDPR規(guī)范下特殊類型的個(gè)人數(shù)據(jù)，處理該類個(gè)人數(shù)據(jù)時(shí)需要遵守嚴(yán)格的要求，政黨應(yīng)能對(duì)其合法合規(guī)使用個(gè)人數(shù)據(jù)進(jìn)行證明。二是個(gè)人健康數(shù)據(jù)。歐盟及法國(guó)、德國(guó)等成員國(guó)，美國(guó)、英國(guó)、澳大利亞等國(guó)家發(fā)布了疫情期間雇員個(gè)人數(shù)據(jù)處理聲明或指南，明確了個(gè)人數(shù)據(jù)收集使用原則和要求。2019年，美國(guó)國(guó)會(huì)引入了《移動(dòng)健康記錄法案2019》，旨在提高個(gè)人通過(guò)移動(dòng)健康應(yīng)用程序訪問(wèn)其健康數(shù)據(jù)的能力；引入《基因信息隱私法案2019》，旨在規(guī)范基因測(cè)試服務(wù)中對(duì)個(gè)人可識(shí)別信息的使用活動(dòng)。三是兒童個(gè)人信息。2020年1月，英國(guó)信息專員辦公室（ICO）發(fā)布了《網(wǎng)絡(luò)服務(wù)適齡設(shè)計(jì)實(shí)踐守則》，對(duì)信息社會(huì)服務(wù)提供者提出了兒童利益最大化、數(shù)據(jù)保護(hù)影響評(píng)估、一般情況下不得披露兒童信息等十五條要求。

3 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)立法

美國(guó)、歐盟很早就通過(guò)立法明確關(guān)鍵信息基礎(chǔ)設(shè)施的定義和范圍、保護(hù)主體的責(zé)任、保護(hù)措施要求等內(nèi)容。近幾年，國(guó)際關(guān)鍵信息基礎(chǔ)設(shè)施安全立法主要從三個(gè)方面深入：一是IT產(chǎn)品和服務(wù)供應(yīng)鏈安全；二是關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全保障；三是漏洞管理、網(wǎng)絡(luò)感知、網(wǎng)絡(luò)信息共享等基礎(chǔ)能力提升。

3.1 通過(guò)采購(gòu)限制、認(rèn)證等制度確保IT產(chǎn)品和服務(wù)供應(yīng)鏈安全

IT供應(yīng)鏈安全立法的核心內(nèi)容是優(yōu)先使用國(guó)內(nèi)產(chǎn)品或限制、禁止國(guó)外產(chǎn)品使用及建立IT產(chǎn)品和服務(wù)的審查認(rèn)證制度，以美國(guó)《安全和可信電信網(wǎng)絡(luò)法》《確保信息通信技術(shù)與服務(wù)供應(yīng)鏈安全的行政令》、國(guó)防部《網(wǎng)絡(luò)安全成熟度模型認(rèn)證》及歐盟《網(wǎng)絡(luò)安全法》為代表。美國(guó)《安全和可信電信網(wǎng)絡(luò)法》于2020年3月發(fā)布，要求聯(lián)邦通信委員會(huì)（FCC）編制一份對(duì)美國(guó)電信網(wǎng)絡(luò)構(gòu)成威脅的公司名單，禁止FCC資助電信企業(yè)從被視為威脅的公司購(gòu)買設(shè)備?！洞_保信息通信技術(shù)與服務(wù)供應(yīng)鏈安全的行政令》于2019年5月發(fā)布，禁止任何受美國(guó)管轄的個(gè)人或?qū)嶓w獲取、進(jìn)口、轉(zhuǎn)讓、安裝、買賣或使用信息通信技術(shù)或服務(wù)，只要該信息通信技術(shù)或服務(wù)由外國(guó)對(duì)手擁有、控制或受其管轄或指導(dǎo)的人（包括個(gè)人或?qū)嶓w）所設(shè)計(jì)、開發(fā)、制造或供應(yīng)，且對(duì)在美國(guó)設(shè)計(jì)、完整、制造、生產(chǎn)、分配、安裝、運(yùn)營(yíng)或維護(hù)的信息通信技術(shù)或服務(wù)構(gòu)成破壞或顛覆的不當(dāng)風(fēng)險(xiǎn)，對(duì)美國(guó)關(guān)鍵基礎(chǔ)設(shè)施或美國(guó)數(shù)字經(jīng)濟(jì)的安全性或復(fù)原能力造成災(zāi)難性影響的不當(dāng)風(fēng)險(xiǎn)，對(duì)美國(guó)的國(guó)家安全或美國(guó)人的安全和保障構(gòu)成不可接受的風(fēng)險(xiǎn)?！毒W(wǎng)絡(luò)安全成熟度模型認(rèn)證》（CMMC）由美國(guó)國(guó)防部2020年1月發(fā)布，旨在建立一個(gè)適用于所有國(guó)防承包商的統(tǒng)一認(rèn)證標(biāo)準(zhǔn)。歐盟《網(wǎng)絡(luò)安全法》于2019年3月發(fā)布，建立了一個(gè)歐盟層面的、統(tǒng)一的網(wǎng)絡(luò)安全認(rèn)證機(jī)制。此外，2019年11月，俄羅斯通過(guò)立法，要求所有智能手機(jī)、電腦、平板電腦、智能電視等智能設(shè)備預(yù)裝俄羅斯本土軟件，推遲至2021年1月生效；2019年12月，印度發(fā)布《網(wǎng)絡(luò)安全產(chǎn)品公共采購(gòu)（印度優(yōu)先）令》，要求所有由印度公司或初創(chuàng)企業(yè)擁有知識(shí)產(chǎn)權(quán)的公共采購(gòu)中，優(yōu)先考慮本地生產(chǎn)的網(wǎng)絡(luò)安全產(chǎn)品。

3.2 建立關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理等保障制度

關(guān)鍵信息基礎(chǔ)設(shè)施保障立法以美國(guó)《增強(qiáng)聯(lián)邦政府網(wǎng)絡(luò)與關(guān)鍵性基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的行政令》、俄羅斯《主權(quán)互聯(lián)網(wǎng)法》、澳大利亞《關(guān)鍵基礎(chǔ)設(shè)施安全法》為代表，核心內(nèi)容是促進(jìn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的評(píng)估和識(shí)別，推動(dòng)建立關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保障制度。美國(guó)《增強(qiáng)聯(lián)邦政府網(wǎng)絡(luò)與關(guān)鍵性基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的行政令》于2017年5月發(fā)布，要求各聯(lián)邦政府機(jī)構(gòu)、關(guān)鍵基礎(chǔ)設(shè)施行業(yè)實(shí)施由國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院制定的《提升關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》，加強(qiáng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理。俄羅斯《主權(quán)互聯(lián)網(wǎng)法》于2019年5月發(fā)布，主要內(nèi)容包括建立統(tǒng)一國(guó)家域名系統(tǒng)、定期開展維持俄羅斯互聯(lián)網(wǎng)和公共通信網(wǎng)可持續(xù)性和安全的演習(xí)、授權(quán)監(jiān)管機(jī)構(gòu)在必要時(shí)對(duì)通信網(wǎng)絡(luò)實(shí)施中央管理、要求互聯(lián)網(wǎng)運(yùn)營(yíng)商安裝“應(yīng)對(duì)威脅的技術(shù)手段”等，旨在打造俄羅斯自主互聯(lián)網(wǎng)系統(tǒng)。澳大利亞《關(guān)鍵基礎(chǔ)設(shè)施安全法》于2018年7月正式施行，建立了關(guān)鍵基礎(chǔ)設(shè)施資產(chǎn)登記制度，授權(quán)內(nèi)政事務(wù)部部長(zhǎng)對(duì)其認(rèn)為任何可能造成安全風(fēng)險(xiǎn)的行為，命令報(bào)告行為主體實(shí)施或不得實(shí)施。

3.3 建立漏洞管理、網(wǎng)絡(luò)感知、網(wǎng)絡(luò)信息共享等制度

漏洞共享等相關(guān)立法以美國(guó)的《網(wǎng)絡(luò)安全法》《漏洞公平裁決政策和程序》及新加坡的《網(wǎng)絡(luò)安全法》為代表。美國(guó)《網(wǎng)絡(luò)安全法》作為《2015年度綜合財(cái)政撥款法》的一部分被通過(guò)，由《網(wǎng)絡(luò)安全信息共享法》《國(guó)家網(wǎng)絡(luò)安全促進(jìn)法》《聯(lián)邦網(wǎng)絡(luò)安全人力資源評(píng)估法》等構(gòu)成，強(qiáng)化了對(duì)國(guó)土安全部的授權(quán)，建立網(wǎng)絡(luò)信息共享制度，共享內(nèi)容包括網(wǎng)絡(luò)威脅跡象、防御措施、安全漏洞等。美國(guó)《漏洞公平裁決政策和程序》由白宮于2017年11月發(fā)布，描述了政府更新漏洞公平裁決流程的原因、方法和愿景，提出了政府更新漏洞公平裁決的基本流程。新加坡《網(wǎng)絡(luò)安全法》于2018年2月公布，是落實(shí)新加坡網(wǎng)絡(luò)安全戰(zhàn)略的重要舉措，明確提出要加強(qiáng)11個(gè)領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)對(duì)網(wǎng)絡(luò)攻擊的能力，建立網(wǎng)絡(luò)安全事件的響應(yīng)和預(yù)防機(jī)制，建立網(wǎng)絡(luò)安全信息共享機(jī)制，明確從事網(wǎng)絡(luò)安全服務(wù)的人員才需獲得網(wǎng)絡(luò)安全服務(wù)許可證。

4 新技術(shù)新業(yè)務(wù)安全監(jiān)管立法

圍繞著人工智能、物聯(lián)網(wǎng)、區(qū)塊鏈等新技術(shù)新業(yè)務(wù)，美國(guó)、歐盟等在鼓勵(lì)創(chuàng)新的同時(shí)，積極探索網(wǎng)絡(luò)安全監(jiān)管思路和規(guī)則。

4.1 推動(dòng)新技術(shù)新業(yè)務(wù)發(fā)展和創(chuàng)新

2018年12月，美國(guó)發(fā)布《國(guó)家量子計(jì)劃法》，計(jì)劃未來(lái)10年內(nèi)向量子研究注入12億美元資金，由美國(guó)能源部、商務(wù)部國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院和美國(guó)國(guó)家科學(xué)基金會(huì)配合聯(lián)邦政府共同落實(shí)量子計(jì)劃項(xiàng)目。2019年2月，美國(guó)發(fā)布《人工智能倡議的行政令》，旨在從國(guó)家戰(zhàn)略層面調(diào)動(dòng)更多聯(lián)邦資金和資源用于人工智能研發(fā)，確保美國(guó)在人工智能領(lǐng)域的領(lǐng)導(dǎo)力，應(yīng)對(duì)來(lái)自戰(zhàn)略競(jìng)爭(zhēng)者和外國(guó)對(duì)手的挑戰(zhàn)。2019年4月，歐盟發(fā)布《人工智能倫理準(zhǔn)則》，列明可信賴人工智能的七個(gè)關(guān)鍵條件，以確保人工智能足夠安全可靠。2019年6月，G20《大阪數(shù)字經(jīng)濟(jì)宣言》肯定了人工智能對(duì)促進(jìn)包容性經(jīng)濟(jì)增長(zhǎng)的重要意義，提出了包容性增長(zhǎng)、可持續(xù)發(fā)展和福祉、以人為本和公平、透明和可解釋、穩(wěn)健和安全可靠、責(zé)任等五項(xiàng)人工智能基本原則，呼吁采取敏捷靈活的政策和治理路徑鼓勵(lì)創(chuàng)新和競(jìng)爭(zhēng)。

4.2 探索新技術(shù)新業(yè)務(wù)安全監(jiān)管思路和規(guī)則

2019年3月，美國(guó)國(guó)會(huì)引入《提升物聯(lián)網(wǎng)網(wǎng)絡(luò)安全法案》，要求美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院制定物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的最低要求，聯(lián)邦政府預(yù)算管理辦公室制定聯(lián)邦機(jī)構(gòu)網(wǎng)絡(luò)安全準(zhǔn)則，且至少每5年審查一次。2019年3月，日本發(fā)布《道路交通車輛法》修正案，為自動(dòng)駕駛汽車的使用行為和車輛安全設(shè)定了新的標(biāo)準(zhǔn)。2019年6月，美國(guó)佛羅里達(dá)州通過(guò)《自動(dòng)駕駛汽車法》，將在道路上操作無(wú)人駕駛汽車合法化，提出了自動(dòng)駕駛汽車共享網(wǎng)絡(luò)這一全新的客運(yùn)交通服務(wù)。2019年6月，歐盟公布《泛歐通用無(wú)人機(jī)規(guī)則》，規(guī)定了無(wú)人飛行系統(tǒng)的運(yùn)作規(guī)則，規(guī)定了與無(wú)人機(jī)設(shè)計(jì)、生產(chǎn)和維護(hù)等有關(guān)的技術(shù)要求和相關(guān)主體的義務(wù)要求，提出了無(wú)人機(jī)注冊(cè)、飛行區(qū)域限制等要求，旨在構(gòu)建歐洲統(tǒng)一的無(wú)人機(jī)監(jiān)管立法格局。

5 國(guó)家安全審查立法

以美國(guó)為代表的一些國(guó)家將網(wǎng)絡(luò)安全問(wèn)題政治化，為遏制中國(guó)等戰(zhàn)略對(duì)手的發(fā)展，以國(guó)家安全為由，收緊高技術(shù)出口、外國(guó)投資、跨境數(shù)據(jù)流動(dòng)等規(guī)則，實(shí)施更嚴(yán)格的安全審查。

5.1 高技術(shù)出口管制更為嚴(yán)格

高技術(shù)出口管制立法以美國(guó)2018年8月發(fā)布的《出口管制改革法》（ECRA）及配套制度為代表。ECRA并沒有對(duì)現(xiàn)行出口管制體系和管制措施做出實(shí)質(zhì)性的改變，但在出口管制范圍、嚴(yán)格程度和影響方面較以往更甚、范圍最廣，主要變化有三方面。一是擴(kuò)大了管制范圍，將對(duì)國(guó)家安全有關(guān)鍵影響的新興和基礎(chǔ)技術(shù)納入管制范圍。二是更嚴(yán)格的出口管制審查，將重大不利影響作為否決出口許可頒發(fā)的考慮因素，重大不利影響包括，給予許可將減弱可被美國(guó)聯(lián)邦機(jī)構(gòu)用于國(guó)家安全的美國(guó)產(chǎn)物項(xiàng)的效用；給予許可將減弱由美國(guó)政府基于國(guó)家安全目的投資或進(jìn)行的相關(guān)研究所涉物項(xiàng)的生產(chǎn)能力；基于許可將減少對(duì)美國(guó)聯(lián)邦機(jī)構(gòu)用于國(guó)家安全的物項(xiàng)在美持續(xù)生產(chǎn)所必需專業(yè)技術(shù)人員的就業(yè)機(jī)會(huì)。三是將ECRA的相關(guān)管制目錄引入到外國(guó)投資管理制度中。2018年8月，商務(wù)部工業(yè)和安全局提出了14類受管制的新興技術(shù)，包括生物技術(shù)、人工智能和機(jī)器學(xué)習(xí)、微處理器技術(shù)、先進(jìn)計(jì)算技術(shù)、數(shù)據(jù)分析技術(shù)、量子信息和傳感技術(shù)等。2020年1月，商務(wù)部工業(yè)和安全局修訂《出口管理?xiàng)l例》，將“地理空間圖像自動(dòng)分析軟件”納入管制范圍。

5.2 收緊外國(guó)投資安全審查政策

外國(guó)投資安全審查立法以美國(guó)《外國(guó)投資風(fēng)險(xiǎn)評(píng)估現(xiàn)代化法》（FIRRMA）及配套制度為代表，目前包括歐盟、日本、澳大利亞、印度、德國(guó)、法國(guó)、加拿大、意大利等在內(nèi)的多個(gè)國(guó)家都通過(guò)或擬采取立法收緊外國(guó)投資安全審查政策。美國(guó)FIRRMA于2018年11月正式生效，擴(kuò)大了對(duì)外國(guó)投資的審查范圍和審查力度。2020年1月，美國(guó)財(cái)政部發(fā)布FIRRMA的實(shí)施條例。根據(jù)FIRRMA及實(shí)施條例，CFIUS所管轄的交易擴(kuò)展到非控制性的投資，只要該非控制性投資涉及某些特定行業(yè)的美國(guó)企業(yè)，且賦予外國(guó)實(shí)體某些特定權(quán)利，包括對(duì)“重大非公開技術(shù)信息”的訪問(wèn)權(quán)，董事會(huì)或類似管理機(jī)構(gòu)的成員或觀察員席位，或?qū)γ绹?guó)企業(yè)涉及關(guān)鍵技術(shù)、關(guān)鍵基礎(chǔ)設(shè)施或敏感個(gè)人數(shù)據(jù)的特定行動(dòng)作出實(shí)質(zhì)性決策的參與權(quán)。非控制性交易涉及擁有、經(jīng)營(yíng)、制造、供應(yīng)或服務(wù)于關(guān)鍵基礎(chǔ)設(shè)施的交易，生產(chǎn)、設(shè)計(jì)、測(cè)試、制造或開發(fā)一種或多種關(guān)鍵技術(shù)的交易，持有或收集美國(guó)公民的個(gè)人敏感數(shù)據(jù)，這些數(shù)據(jù)可被用于威脅國(guó)家安全的交易。

5.3 限制或禁止數(shù)據(jù)向特定國(guó)家流動(dòng)

2019年11月，美國(guó)參議院引入《國(guó)家安全和個(gè)人數(shù)據(jù)保護(hù)法案》，將中國(guó)、俄羅斯列為特別關(guān)注國(guó)，禁止以“數(shù)據(jù)為基礎(chǔ)”的在線服務(wù)公司或其他技術(shù)公司向特別關(guān)注國(guó)傳輸任何用戶數(shù)據(jù)或解密該數(shù)據(jù)所需的信息，禁止將數(shù)據(jù)以及解密改數(shù)據(jù)所需信息存儲(chǔ)在位于美國(guó)或與美國(guó)據(jù)法定程序簽有執(zhí)法共享數(shù)據(jù)協(xié)議的國(guó)家之外的服務(wù)器上。此外，為了擴(kuò)展美國(guó)政府在全球的數(shù)據(jù)調(diào)取權(quán)利，2018年3月，美國(guó)通過(guò)《澄清域外合法使用數(shù)據(jù)法》（CLOUD），明確無(wú)論通信、記錄或其他信息是否存儲(chǔ)在美國(guó)境內(nèi)，美國(guó)服務(wù)提供者均應(yīng)當(dāng)按照本法所規(guī)定的義務(wù)要求保存、備份、披露通信內(nèi)容、記錄或其他信息，只要上述通信內(nèi)容、記錄或其他信息為該服務(wù)提供者所擁有、監(jiān)管或控制。

6 結(jié)束語(yǔ)

國(guó)際網(wǎng)絡(luò)安全立法最新動(dòng)向和趨勢(shì)對(duì)我國(guó)完善網(wǎng)絡(luò)安全法律法規(guī)體系是很好的借鑒?；趯?duì)國(guó)內(nèi)外網(wǎng)絡(luò)安全形勢(shì)的判斷，充分考慮信息技術(shù)創(chuàng)新應(yīng)用帶來(lái)的網(wǎng)絡(luò)安全挑戰(zhàn)，結(jié)合我國(guó)立法現(xiàn)狀并借鑒國(guó)外做法，我國(guó)應(yīng)建立健全個(gè)人信息保護(hù)、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)、新技術(shù)新業(yè)務(wù)安全監(jiān)管、國(guó)家安全審查等制度。