网络安全信息共享的意义重大，但也存在着较大的争议，如何平衡多种利益而设计妥当的法律制度，是各国立法共同面临的挑战。美国于2015 年10 月通过的《网络安全信息共享法》（CISA） 是目前此领域较为全面和深入的立法，美国国土安全部根据该法会同有关部门制定了四个相关程序和指南，包括“联邦政府向非联邦主体共享网络威胁信息的程序规定”、“非联邦主体向联邦机构共享网络威胁信息指南”、“联邦政府接收网络威胁信息程序”和“隐私和公民自由保护指南”。 本部分通过分析CISA及配套规定，探究美国信息共享的法治框架尤其是针对争议问题的制度设计，以资借鉴。

　　1. 界定了应共享的网络安全信息的类型

　　《网络安全信息共享法》（CISA） 是美国关于网络安全信息共享的第一部综合性立法，也是奥巴马政府最重要的网络安全综合性立法成果。该法授权政府机构、企业以及公众之间可以在法定条件和程序下共享网络安全信息，并将网络安全信息界分为“网络威胁指标”（cyber threat indicator）和“防御措施”（defensive measure）两类信息。

　　所谓的“网络威胁指标”是指描述或识别以下情形的必要信息：（1）恶意侦查，包括为了收集与网络安全威胁或安全漏洞相关的技术信息的通信流量异常；（2）突破安全措施或者挖掘安全漏洞的方法；（3）安全漏洞，包括显示安全漏洞存在的异常活动；（4）造成合法访问信息系统或该系统所存储、处理或传输信息的用户不经意使得安全措施失效或安全漏洞被挖掘的方法；（5）恶意的网络命令或控制；（6）安全事件所造成的实际或潜在损害，包括特定安全威胁所造成的信息泄露；（7）其他并非法律禁止披露的网络安全威胁的属性；（8）上述情形的任意组合。 

　　所谓的“防御措施”是指检测、防止或减轻信息系统或其所存储、处理或传输信息的已知或者潜在网络安全威胁或安全漏洞的行为、设备、程序、签名、技术或其他措施。但应排除破坏、瘫痪、提供未经授权访问或实质性危害信息系统或者信息系统数据的措施，只要这些系统或者数据不属于实施该措施的私主体、不属于向实施该措施的私主体授权提供同意或已经提供同意的其他主体或联邦主体。 CISA就是围绕“网络威胁指标”和“防御措施”建立了美国网络安全信息共享的基本法治框架。

　　2. 规定了联邦政府的网络安全信息共享

　　对于非机密的“网络威胁指标”和“防御措施”，CISA授权联邦政府不仅可以在政府机构间共享，也可以与企业和公众分享；机密的网络安全信息在政府机构之外的共享，仅限于具有适当安全资质的主体；要求联邦政府定期发布“网络安全最佳实践”，以帮助小型企业应对其面临的网络安全挑战。 

　　CISA要求制定专门的程序来实现上述分享，这一程序要满足以下要求：

　　（1）确保联邦政府有能力在满足保护机密信息的前提下，实现网络安全信息的实时分享；（2）最大可能地整合联邦机构、非联邦主体在信息共享方面已有的程序、角色和职责，这包括分行业的信息共享和分析中心（ISAC）；（3）对接收错误的或者违反CISA及其他法律要求的网络安全信息的主体，要建立及时通知程序；（4）要求联邦机构采取安全措施保护共享的网络安全信息不受未经授权的访问或获取；（5）要求联邦机构审查或者利用技术手段移除任何与网络安全没有直接关系的、在分享时知道是特定主体的个人信息或可以识别特定个人的信息；（6）联邦机构违反CISA共享个人信息，对这些信息所涉及的美国人 ，要建立及时通知程序。 

　　3. 规定了非联邦主体的网络安全信息共享

　　CISA授权非联邦主体为了网络安全目的（cybersecurity purposes）可以与联邦机构和其他非联邦主体共享“网络威胁指标”和“防御措施”。所谓的“网络安全目的”是指保护信息系统或者其所存储、处理或传输的信息免受网络安全威胁或安全漏洞。 所谓的非联邦主体包括私主体、非联邦政府机关以及州、部落或地方政府。 这里的联邦机构包括了美国国防部（含国家安全局）、国家情报总监办公室、国土安全部、司法部等重要情报部门。

　　CISA要求非联邦主体采取安全措施保护共享的网络安全信息不受未经授权的访问或获取，遵从关于这些信息合法使用或共享限制的规定，并且审查或者利用技术手段移除任何与网络安全没有直接关系的、在分享时知道是特定主体的个人信息或可以识别特定个人的信息。 

　　CISA理顺了联邦政府接收网络安全信息的机制，规定国土安全部（DHS）应该发展和实施特定的能力和程序（capability and process）来实时接收非联邦主体分享的网络威胁指标和防御措施，并将这些网络安全信息在联邦机构之间通过信息系统自动共享。 这些程序包括自动指标共享程序（Automated Indicator Sharing, AIS）、电子邮件、网络表格等。不过，联邦机构和非联邦主体关于已经共享的网络安全信息的沟通，以及联邦监管机构与被监管主体关于网络威胁的沟通并不适用国土安全部的专用程序。 

　　国土安全部的信息共享程序，不是限制或禁止非联邦主体其他向联邦机构合法披露涉及网络安全信息的行为，这包括报告犯罪活动、参与联邦调查以及遵守其他法定或意定的合同要求等。 

　　4. 规定了私主体共享信息的责任豁免

　　CISA授权私主体为了网络安全目的（cybersecurity purposes），可以监视信息系统和实施防御措施。私主体可以监视其自身的信息系统、经其他主体授权或书面同意的其他非联邦主体和联邦机构的信息系统、以及在这些信息系统中存储、处理或者传输的信息 ；可以对其自身的信息系统、经其他主体授权或书面同意的其他非联邦主体和联邦机构的信息系统实施防御措施。 CISA明确规定，私主体监视信息系统和信息、共享和接受网络安全信息，只要符合CISA的法定要求，就不会因此而承担法律责任。  

　　CISA并非设定了网络安全信息共享的强制性义务，其规定不能解释为允许联邦机构：要求非联邦主体向联邦机构或非联邦主体提供信息；以非联邦主体向其或其他非联邦主体提供网络威胁指标，作为其与该非联邦主体共享网络威胁指标的条件，或者作为该非联邦主体获得联邦拨款、合同或采购的条件。任何私主体不会因选择不参加自愿的网络安全信息共享而承担法律责任。 

　　CISA对于网络安全信息共享和网络安全协助规定了反垄断责任的豁免。两个或多个私主体，为了网络安全目的交换或提供网络威胁指标，提供防止、调查或减轻网络安全威胁的协助，并不构成对反垄断法的违反。 当然，CISA并不允许联合定价、市场垄断等破坏市场竞争的行为。 

　　5. 规定了个人隐私、自由等私权利的保护

　　根据上文所述，CISA规定联邦机构和非联邦主体都要审查其所共享的网络安全信息中的个人信息，并移除与网络安全威胁没有直接关系的个人信息。除此之外，CISA要求国土安全部长和司法部长联合制定隐私和公民自由保护指南，这一指南需要包括以下内容：（1）限制本法规定的联邦政府活动对隐私和公民自由的影响；（2）限制含有个人信息的网络威胁指标的接收、留存、使用以及传播，对相关网络威胁指标规定留存期限，对与本法授权使用无直接关系的信息，建立发现后及时移除程序；（3）采取安全措施保护含有个人信息的网络威胁指标不受未经授权的访问或获取，包括规定政府机构工作人员违反指南时的适当处罚；（4）对所共享的信息不构成网络安全指标的主体，建立通知程序；（5）最大程度保护含有个人信息的网络威胁指标的秘密性，并且告知接收者只能在本法授权的目的下使用这些指标。 

　　CISA明确规定，与联邦政府共享的网络安全信息，并非放弃其本身的法定特权和保护，包括商业秘密的保护；并不适用联邦、州和地方信息自由法公开披露的规定；并不适用行政法上单方面接触（ex parte communications）的限制；共享信息的非联邦主体的商业性、金融性和财产性信息仍受保护。 

　　6. 限制了政府所获共享信息的后续利用

　　CISA限制政府通过共享获得的网络安全信息的用途，以避免政府利用这些信息对分享主体造成不利。对于通过合法共享而获得的网络威胁指标和防御措施，联邦政府的披露、留存或者使用只限于以下情形：（1）网络安全目的；（2）识别网络安全威胁或者安全漏洞；（3）应对、防止或者减轻特定的死亡威胁、严重的人身或经济损害，包括恐怖主义行为或大规模杀伤性武器的使用；（4）应对、调查、追诉、防止或者减轻对未成年人的严重威胁，任何可能由（3）所列情形引发的犯罪行为，或者与欺诈、身份盗窃、间谍、审查或商业秘密保护相关的特定犯罪行为。 

　　对于通过合法共享而获得的网络威胁指标和防御措施，州、部落或地方政府不得用于监管 非联邦主体的合法行为或非联邦主体根据强制性标准而采取的行为。但是州、部落或地方政府在防止或减轻信息系统网络威胁的监管权范围内，可以将这些网络安全信息用于通报特定信息系统监管措施的进展或实施。 

　　此外，CISA还规定了联邦主要机构向国会定期报告制度，以有利于国会获知信息共享的成效和确保对政府活动的监督。要求报告的内容包括：信息共享措施的实施情况；信息共享政策、程序和指南的遵从情况；将个人数据从共享的信息中移除来保护个人隐私的情况，以及这些保护措施的充分性；美国所面临网络安全威胁的情况等。

苹果手机用户长按扫码可赞赏