趋势二：电信运营商等大型企业被赋予越来越多的反恐和辅助监控的职责，以美国为代表的少数国家甚至直接让电信企业参与国家反恐。

2015年6月2日，《美国自由法案》正式出台。《法案》是对2013年 “棱镜”监控丑闻的第一次正式回应，也是美国外国情报监控制度实施近40年来的一次重大改革，在禁止国家安全局等情报执法机构再对美国国内公民进行大规模电话监控之外，转而要求电信运营商承接一部分情报执法机构的功能，直接参与国家反恐，对公民“电话细节记录”信息进行留存。这些“电话细节信息”主要是指通话过程信息，具体包括：呼出号码、接收号码、国际移动用户识别码(IMSI)、国际移动站台设备识别码(IMSEI)、电话卡号码、通话时间和时长。不包括通话内容。此外，法案还规定，其自公布之日起180日之内，各家电信公司要建立自己的电话数据搜集和留存制度，并向政府部门备案。该制度今后若有修改，也要及时向政府汇报和备案。此外，情报执法机构在获得外国情报监控法庭的认可，并拿到法庭调取令的情况下，可以要求电信运营商上缴数据。

印度于2013年年中出台《电信安全政策(草案)》，规定电信监管机构可要求电信公司向执法部门提供辅助监控，接入电话、文本信息、数据信息等。但从文本内容上看，印度的这套政策草案照搬美国联邦通讯委员会FCC电子监控辅助监听相关制度的痕迹十分明显。不同之处在于，该政策草案在一定程度上有抬升电信监管机构地位的意图，例如，规定由电信监管机构出面，在特殊情况下赋予执法机构获取公民数据的权利，而不是一般的(通行的)由执法机构直接向电信公司索取公民信息。

　　(三)关键基础设施保护

关键信息基础设施是网络空间和传统物理世界的一种融合体。在恐怖袭击、网络攻击和自然灾害日益频繁的当下，其稳定运行不仅影响其他关键基础设施子部门(银行、水坝、军工等)的安全，更关涉网络空间安全、经济安全，甚至国土安全。近几年，以美国为首的西方各国频繁出台关键基础设施保护方面的立法文件，将其作为网络安全保护的重中之重。

趋势一：以美国为首的西方各国都将关键信息基础设施安全视为网络安全的最核心组成部分。

鉴于其极端重要性，近几年，西方大国对其频出战略政策，甚至将网络安全有关的政策着眼点全部汇聚此中。以美欧为例，2013年年初，白宫于一日之内连发两道最高行政令，(《维护关键基础设施之安全性和可恢复性的总统令》、《促进关键基础设施之网络安全的行政令》)，就关键信息基础设施保障的相关事宜圈定部门职责、划定具体范围、限期执行；2013年年中，欧盟议会发布《关键信息基础设施——面向全球网络安全的决议》，指出欧盟亟需提高应对关键信息基础设施安全挑战的技术能力；2014年年初，白宫发布《促进关键基础设施网络安全的框架》，希望藉此为实际操作和相关技术标准之典范，在全球范围内推动关键基础设施安全要点的统一。总体上，《框架》是自愿适用，旨在加强电力、运输和电信等所谓“关键基础设施”部门的网络安全。“网络安全框架”根据总统奥巴马2013年2月签署的行政命令制定，私营部门可在自愿基础上使用该框架加强自己的网络安全能力。白宫在一份声明中说，“网络安全框架”吸纳了全球现有的安全标准以及做法，以帮助有关机构了解、交流以及处理网络安全风险。此外，该框架也就隐私与公民自由问题提出了指导方针。因此，“通过该框架，美国私营企业和政府部门可以联手加强"关键基础设施"的安全与适应性”。《框架》也可适用于位于美国以外的公共或私营机构，藉此，美国所提倡的加强关键基础设施网络安全方面的《框架》再次体现美国引领全球技术标准的趋势。

趋势二：法律制度设计的着眼点越来越侧重于“基于风险”和“基于攻击”，承认100%安全目标的不可实现。

近年以来，网络空间层出不穷的安全威胁使得各国监管机构都意识到，绝对安全的目标，不仅在技术上难以实现，在风险管理上也难以操作。基于对现实难度的承认，各国监管机构均转而用一个更加立体的、全方位的眼光来看待CII的安全问题，认为是一个由事前、事中和事后所组成的一个程序周期。与之相对应的，是各国相关政策文件在内容上的微妙变化。仅举两例：

2010年之后美国所出台的白宫行政令、总统令、国土安全部的多份文件都将关键基础设施的“弹性”、“受攻击之后的可恢复性”置于同之前所提的单纯的“安全性”放在同等重要的目标位置。

2014年，澳大利亚辖内维多利亚州的立法战略——《关于维持维多利亚政府辖内关键基础设施可恢复性之临时战略》，其着眼点就不再是之前的性能完好、100%安全保障，而是基于关键基础设施“已受风险威胁、已受攻击”的前提假设，与之相关的一整套政策制度也将是围绕着这种“基于风险”、“被攻击”的模型来设计。根据该《战略》，今后正式法律条文的拟定，也将侧重于“事中应对”和“事后恢复”。

　　(四)数据留存

个人数据留存制度方面，立法趋势呈现出截然不同走向。

趋势：一部分国家对数据留存进行新的立法，而另一部分国家则对实施多年的留存制度予以废止。

澳大利亚通过《电信(监控和接入)修正(数据留存)提案》，对数据留存做出强制性法律规定，要求电信运营商对电话、互联网、电子邮件的用户数据(包括发起方、接收方和具体时间等信息)留存两年，司法部负责具体执行。

欧洲作为全球最先设立个人数据留存制度的地区，2014年欧盟法院宣布《欧洲数据留存指令》(2006年)因违反人权而无效。这意味着在欧洲大部分国家，电信运营商已实践多年的留存用户数据的惯例自此终结。

美国正积极寻求对这一制度的立法突破，参议员Sensenbrenner(《爱国者法案》的起草人)作为该制度的主推者，目前已拿出初步草案。不过对于美国电信运营商和互联网巨头而言，实践早已走在了理论之前，公开资料显示，美国时代华纳公司Time Warner留存用户数据的时间是6个月，威瑞森Verizon是18个月。

　　(五)其他

在未成年人保护方面，保护未成年人的网络安全成为一个新的立法点。澳大利亚出台《限制系统接入宣言》14年版本，该宣言主要致力于帮助儿童远离非法在线内容带来的侵害，此外，还新增了“投诉接入限制系统”，赋予内容提供商一定的操作灵活性。

此外，各国的安全战略、预算类法律中，也有为网络安全增加财政支持的内容。如，英国为实施《网络安全战略》，2014年新追加2.1亿英镑用于网络安全保障；美国国会通过《2014预算法案》，其中将用于改善网络安全的预算提高到670亿美元(约合人民币4048亿元)，这笔预算将会被投入到改善联邦网络安全的计划中，投资的主要对象为网络中的资金监控机制和解决最严峻的网络安全问题。

(责任编辑：安博涛)