论坛·原创 | 上海合作组织信息安全合作的机制建设与挑战
2021-09-23
来源: 中国信息安全
2021 年 6 月 15 日是上海合作组织(以下简称“上合组织”)成立 20 周年。20 年来,上合组织从为解决边境划界问题的地区性组织发展为具有国际影响力的综合性区域组织。其中,信息安全合作对上合组织区域各国的政治稳定、经济发展和社会安全意义越来越凸显,被置于越来越重要的地位。20 年来,上合组织成员国对信息安全领域合作形成了高度共识,在拓宽合作领域、机制建设等方面获得了多项进展和开创性成果,但也面临多方挑战,需合力应对。
一、建立多层次多轨信息安全合作机制
随着上合组织合作的深入和交流的需要,2005年起,成员国开始探讨建立信息安全的多层次多轨合作机制,为该组织信息安全合作提供了制度基础。
1. 主张推动在联合国框架下的国际信息安全领域合作
一是上合组织成员国重视并多次重申联合国在应对国际信息安全威胁方面具有关键作用,呼吁国际社会在信息领域紧密协作,共同构建网络空间命运共同体,包括预防因利用信息通信技术引发的冲突,确保信息通信技术用于经济发展和民生改善。
二是提出发展和利用信息通信技术,以及在该领域开展国际和地区合作应基于包括《联合国宪章》在内的国际法公认原则,对构建和平、安全、开放和稳定的全球信息空间具有重大意义,各国应为新技术利用合力营造公平、公正、非歧视性的营商环境,在国际专业机构框架内制定信息安全领域的公认技术标准。
三是欢迎第 73 届联合国大会通过的《在国际安全背景下的信息和电信领域发展》和《反对将信息通信技术用于犯罪》两项决议,支持并呼吁所有联合国成员国进一步推动制定信息空间负责任国家行为规则,并制定各方可普遍接受的、有约束力的法律文件,打击将信息和通信技术用于犯罪的行为,愿继续在联合国相关重要谈判机制内开展协作。
四是呼吁在联合国主导下制定维护国际信息安全和打击信息犯罪的通用法律文书,如制定关于反对将信息通信技术用于犯罪目的的全面国际公约。
五是提出全球信息和网络安全治理应在联合国和其他国际平台间加强相互协调,推动完善现有网络管理模式,包括维护各国平等参与网络管理进程的权利,提升国际电信联盟的作用;所有国家应平等参与互联网的发展和治理,互联网核心资源管理架构应当国际化、更具代表性和更加民主。
六是为坚决反对公开宣传和教唆恐怖主义、分裂主义和极端主义的“三股势力”,支持各国在打击利用互联网等渠道传播“三股势力”思想方面发挥中心作用,呼吁有序履行联合国安理会第 1624号和 2354 号决议。
2. 相关专业工作组和机构将信息安全合作落到实处
一是建立上合组织现代信息与电信技术专业工作组。2006 年 8 月,上合组织成员国经贸部长会议机制下的现代信息和电信技术专业工作组在北京成立,确定吉尔吉斯共和国为电信工作组的牵头方,并根据《〈上海合作组织多边经贸合作纲要〉实施措施计划》关于“信息和电信技术领域合作”的内容,确定了电信工作组的优先合作方向。
二是常设反恐机构执委会。上合组织地区反恐怖机构执行委员会设在乌兹别克斯坦首都塔什干,于 2004 年 1 月正式启动。该机构在信息方面的主要职能包括收集并分析反恐机构从成员国获取的信息,建立及补充反恐机构资料库;参与建立应对全球挑战与威胁的有效机制;准备及举行学术会议、研讨会;就打击“三股势力”协助交换信息并协调行动。
3. 系列文件提供实施信息安全合作的重要法律保障
一是在国际信息安全领域与时俱进地推出和补充合作的协议。2006 年 6 月 15 日,在上合组织成立五周年之际,首次签署《上海合作组织成员国元首关于国际信息安全的声明》;2007 年,六国元首批准为落实该声明而制定的《上海合作组织成员国保障国际信息安全行动计划》;2009 年,签署《上合组织成员国保障国际信息安全政府间合作协定》;2019 年,通过《上合组织成员国关于数字化和信息通信技术领域合作的构想》;2020 年,签署《上海合作组织成员国元首理事会关于数字经济领域合作的声明》并批准《上合组织成员国关于在数字化时代发展偏远和农村地区的合作构想》。这些为上合组织框架下的国际信息安全合作确定了合作的基本准则、合作重点和实施办法。
二是反恐和犯罪信息合作领域成为信息安全合作的重中之重。2001 年,在上合组织成立之日,即签署《打击恐怖主义、分裂主义和极端主义上海公约》,在国际上首次对“三股势力”作了明确定义,提出合作打击“三股势力”的具体方向、方式及原则。2002 年签署的《上海合作组织成员国关于地区反恐怖机构的协定》,规定上合组织地区反恐怖机构执行委员会在信息安全领域合作的基本任务和职能。2010 年签署的《上海合作组织成员国政府间合作打击犯罪协定》,确定联手打击非法移民、人口贩运、洗钱、资助“三股势力”和经济犯罪等跨国有组织犯罪和现代信息技术犯罪,巩固边境安全,仍是上合组织的迫切议题。2020 年签署的《上海合作组织成员国元首理事会关于打击利用互联网等渠道传播恐怖主义、分裂主义和极端主义思想的声明》提出加强合作,共同打击和阻止“三股势力”思想传播,组织有效防范和反宣传活动。这些为上合组织双边和多边联合反恐军演及信息合作奠定了坚实的法律基础。
三是海关信息合作领域的相关信息合作协议较多并越来越具体。2001 年以来,上合组织成员国先后签署《上海合作组织成员国政府海关合作和互助协定》(2007 年)、《上海合作组织成员国海关对能源监管信息交换议定书》(2008 年)、《上海合作组织成员国海关知识产权保护合作备忘录》(2012 年)、《上海合作组织成员国海关关于交换跨境运输消耗臭氧层物质信息合作的备忘录》(2018年)、《上海合作组织成员国海关关于利用莫斯科地区情报联络中心案件数据库执法平台渠道全天候联络站开展信息互助的规程》(2018 年)等一系列专门领域的信息合作文件,为成员国海关实施具体信息合作奠定了重要法律基础。
四是采用技术规则、标准和评定合格程序制定并通过了一系列措施。这些措施是为落实关于执行《(上海合作组织成员国多边经贸合作纲要)落实措施计划》第三部分《采用技术规则、标准和评定合格程序领域合作》条款,明确了各项目的执行阶段、期限和执行单位。
二、信息安全领域合作面临的挑战
信息安全已经成为国家安全的重要内涵,并成为上合组织未来安全合作的重要方向。随着网络和数字技术的快速发展,上合组织信息安全领域合作面临越来越多的挑战。
1. 上合组织信息安全合作水平亟待提高
20 年来,上合组织在信息安全合作上已达成广泛和高度的共识,但在实际合作中还存在诸多问题:一是上合组织各国间的信息安全合作缺乏制度性的刚性约束,成员国之间的信息合作不连贯,合作较为松散。二是行动力不够,上合组织各方对共同进行信息安全合作的目标很明确,但由于信息行动滞后,有许多还停留于达成共识上。三是信息提供不够充分及时,上合组织历史较短,信息安全合作也在逐步摸索中,与美国为首的“五眼联盟”信息安全合作的深度和广度相比差距还很大。四是上合组织区域面临越来越复杂的多种信息安全威胁,传统的网络安全技术已不能满足新一代信息安全产业的发展,企业对信息安全的需求不断发生变化,也成为信息安全合作面临的新挑战。
2. 成员国间数字治理和信息安全监管水平差异较大
一是在数字经济领域,上合组织各成员国数字化发展快于相关立法和规则制定,包括数字竞争、电子税收、跨境数据流、知识产权、数字贸易和数字使用政策等,中国与上合组织国家数字治理和监管水平差异较大,还缺乏明晰统一的治理规则和监管政策。二是在网络安全领域,上合组织区域数字和信息安全规则尚未建立和统一,上合各国网络诈骗和网络犯罪时有发生,网民面临垃圾邮件、网络病毒和网络攻击等风险,普遍存在涉及消费者隐私、个人数据保护、电子政务信息安全等多方面的网络安全担忧,成员国还需要建立健全相关法律法规。三是在跨境司法合作领域,上合组织各国法律体系差异和技术差距较明显,管辖权冲突问题需得到有效解决,国际网络反恐力量需进一步形成合力并不断提升反恐积极性,高效的情报交换、司法协助机制亟待建立,关于各国协同开展引渡起诉、羁押逮捕、调查取证、缴没财产等具体事务的流程细则还需进一步明确。四是在反恐领域,“三股势力”等网络和信息传播存在取证难、惩治难,隐蔽性强、危害性大等特点。国际上至今仍未有一部公认的、专门打击网络恐怖主义的法律,各国在网络反恐斗争中存在标准不一、保障无据、协同困难等问题。
3. 互联网快速发展给信息安全合作带来巨大挑战
新技术、新应用、新网络和新计算成为未来信息安全的方向和热点,给上合组织信息安全合作带来新挑战。物联网和移动互联网等新网络的快速发展给信息安全带来更大的挑战,物联网的业务认证机制和加密机制是保障安全最重要的两个环节,也是信息安全产业中保障信息安全的薄弱环节。移动互联网快速发展带来的是移动终端存储的隐私信息的安全风险越来越大,给信息安全也带来了新挑战,信息安全产业也将在融合开放的大安全环境中探寻发展。
三、对信息安全领域合作未来的思考
信息安全领域的合作仍将是保障上合组织未来行稳致远发展的重要领域。为应对上述挑战,需要思考以下问题。
1. 有效对接数字发展规划和信息安全相关法律法规
为进一步深化上合组织信息安全合作,需将俄罗斯联邦政府 2017 年 7 月发布的《俄罗斯联邦数字经济规划》、哈萨克斯坦 2017 年 12 月通过的《“数字哈萨克斯坦”国家规划》、土库曼斯坦 2018 年 11 月批准的《土库曼斯坦 2019 年 -2025年数字经济发展构想》、吉尔吉斯斯坦 2018 年12 月通过的《2019-2023 年吉尔吉斯斯坦数字化转型构想》决议及 2019 年 2 月出台的实施路线图、塔吉克斯坦政府 2019 年 1 月通过的《关于塔吉克斯坦 2018 年社会经济发展的结果和 2019 年任务》决议、乌兹别克斯坦 2019 年 11 月发布的《数字乌兹别克斯坦 2030 国家战略构想》草案讨论稿与实施路线图,以及各国的反恐法等多个文件,与中国近年来先后出台的《网络安全法》《国家网络空间安全战略》《反恐怖主义法》等对接。积极推进上合各国数字经济和网络快速发展。建议相关部门组织力量尽快对成员国相关法律法规进行研究,同时明确信息安全合作的主管机关;加大成员国执法部门间在信息安全合作中联合打击行动和线索通报的力度,开展一系列打击跨国犯罪联合行动,使各成员国在有效对接的基础上开展更加密切、高效、实质的合作。
2. 积极落实成员国提出的一系列新的务实合作倡议
一是尽早落实上合组织成员国政府首脑(总理)理事会各代表团团长一致提出的在人工智能等前沿技术领域开展科技创新与研发项目合作,应用先进和高效的交通技术解决方案,发展上合数字技术、卫星导航和多式联运物流中心等倡议,促进提高上合区域的整体信息技术水平;建立包括电子单据运转、担保机制和货物跟踪信息统一高效的过境系统和监测与应对全球信息空间潜在威胁系统,将海关等功能领域信息合作系统化,争取系统性地降低上合区域信息安全威胁。二是促进哈方提出的关于建立上合组织科技园区库和在现代信息通信技术特别工作组框架内进一步开展对话、乌兹别克斯坦提出的建立信息技术发展部门负责人会议机制和中方提出的建立电子商务合作机制等倡议,共同推动上合组织框架下信息科技和创新务实合作,联合开展科学研究、学者交流、人才培养,组织各类专业竞赛,培育新的经济增长点。三是共建上合组织网络反恐的技术平台,落实上合组织秘书处同中亚禁毒信息协调中心建立合作关系的倡议,共同开展反恐、禁毒、网络传播和犯罪等信息安全合作。
3. 推进区域数字治理和联合国框架下信息安全合作
中国可与上合国家秉持共同参与、共享红利、共担责任的原则,打造数字治理的样板区域。一是充分利用中国与上合国家都参与的互联网治理论坛、区域通信联合体、“一带一路”高峰论坛“数字丝绸之路”分论坛等机制,以及上合组织、亚信会议等区域性合作机制,逐步建立上合区域数字合作的定期交流机制,共同设立上合数字和信息安全治理网,分享数字和信息安全治理经验 , 探讨建立统一的数据标准、数据使用原则,并共同制定相关的治理规则、协调政策、竞争政策、跨境数据交流政策、跨境税收政策、监管政策等。二是共同构建规范有序、开放安全的网络世界。中国和上合国家可加强数据和信息安全法制建设交流合作,推进数据和信息保护法规建设;规范中国与上合国家个人出入境、海关商品进出口、电子支付、跨境物流、跨境运输等信息的收集、处理、交流等活动。三是加强在数据和信息保护领域的协商,共同维护网络空间安全和公平竞争的环境,打击侵犯个人信息等危害数据安全的跨境犯罪行为,共同构建上合信息安全领域的法律法规保障体系。共同提高上合区域数据治理的水平,共建网络空间命运共同体。四是继续推动《国际信息安全行为准则》在联合国成为正式文件并获得广泛应用,这是目前国际社会就信息和网络安全国际规则提出的首份较全面、系统的文件,将维护国际互联网和信息安全,有力推动信息和网络空间国际规则制定进程。
4. 加强区域网络基础设施建设领域合作
一是缩小上合组织各国间的数字鸿沟,通过数字基础设施硬件和 5G 等软件建设在各领域全面提升各国网络与信息安全技术保障水平,从优化信息安全技术保障、强化网络安全保障、加快推进网络与信息安全核心技术攻关与突破等方面展开。二是加快构建网络基础设施安全保障体系,主要涵盖深入推进网络基础设施安全防护、提升网络基础设施安全可控水平、加强网络安全态势感知能力建设、强化互联网网络安全威胁治理等多方面合作。三是大力强化上合组织区域的网络数据和用户信息保护,重点从建立网络数据安全管理体系、强化用户个人信息保护、建立完善数据与个人信息泄露公告和报告机制等方面展开。四是深入推进行业信息安全监管,重点从加强基础资源信息安全管理、强化增值电信业务信息安全监管、深化互联网新技术新业务信息安全评估、积极营造清朗网络生态环境等方面展开。