2.保护隐私与公民自由

这篇国家计划中的提议将会加强公民的自由与隐私权。人们早就认为,某些计算机安全工具可能会给言论自由迎头泼上冷水。还有些人认为,如果限制公民的匿名通信,或者收集和分析与网络使用相关的数据,则政府和私营部门会侵犯到网络用户的隐私。

关键基础设施保护总统委员会(PCCIP)是应行政令13010创建的。自从该行政令发布以来,管理部门已经分析了在维护和加强美国公民隐私权的情况下对关键基础设施保障对象提供支持的过程和组织结构。在PDD63中,总统强调了隐私权的重要性。

正如本章所描述的,政府将把公民自由与隐私权作为基础设施保护综合性国家战略的一部分。仅仅关注公民特权而不在一个特定的过程中研究各种相关复杂问题是不够的。本章讨论信息保障与隐私保护之间的关键问题与潜在冲突,还介绍了这篇国家计划对该类问题的解决途径。

可提高隐私保护的关键基础设施项目

在实现基础设施保障目标的同时还必须维护甚至加强美国公民的隐私与自由权。一些基础设施保障项目可以通过提高网络环境中数据与通信的安全级别来增强个人隐私权及其他公民自由权。虽然基础设施保护将导致雇主,包括政府和私营业主保留一定的网络监控权利,但如果与现行法律和保护条例保持一致的话,这将不会与公民自由发生矛盾。既然这些监控是发生在雇主拥有的网络上,并且是专门用来发现网络滥用的,那么这些项目既保护了公司和用户,也没有对隐私保护权造成无理侵犯。

国家计划中包括了一系列能够保护个人隐私的项目,包括:

要求政府“成为领导范例”并“促进安全意识”,在政府内支持对隐私和通信可靠性给予更多的关注和强调,从而设置强制性标准以供私营部门遵循。

开展教育和培训,包括对计算机伦理学的强调,促进大家对通信隐私的尊重。

施行脆弱性评估,为保护政府和私营部门的关键性资产而投入资金,确保这些网络上的通信保密。

在政府和私营部门之间建立伙伴关系,促进在信息安全目标下的自愿合作。

作为关键基础设施保护计划的一个重要部分,对公民信息加以保护;加强对公民个人保密性信息的安全保障。

使所有的基础设施保障项目与现有法律保持一致,如《电子通信隐私法》(ECPA)、《隐私法》以及其他相关法律。

必要的时候,对监控进行认真规划,使其限制在取得预定的基础设施保障目标活动和目的范围之内。

联邦政府认识到,如果不慎重使用为信息和系统保护所设计的技术,公民自由就会受到不可避免的伤害。即使出于最善意的目的,如果技术使用的范围太广,那些清白的活动也有可能处于监视之下。在涉及个人权利时,慎重考虑所有相关问题是很有必要的。

法律并不总能在权限、安全标准、许可协定等方面提供清楚的指导方针。计算机入侵常常造成复杂的法律和司法问题。因此,保护基础设施和公民自由的政府项目要求进行仔细的计划和分析,并需要考虑到所有的参与方。

这篇国家计划中的提议保持了与现行隐私法和期望的完全一致。计划号召每年召开一次有关计算机安全、公民自由和公民权利的公共-私营界讨论会,以确保计划的实施中时刻考虑到公民自由,并确保与政府内外计算机安全专家的提议和公民的权利考虑保持一致。

国家基础设施保障委员会(NIAC)由来自联邦政府之外的参与者组成,它也将每年对计划执行中有关公民自由、隐私权、私有数据保护的活动进行审查。

国家计划的目的

在这个复杂的环境中,有必要理解本计划的历史以及政府在实施各类项目时的意图。以下三个方面尤其值得注意。

第一,本计划是多方参与和努力的结果。早在1995年,当政府对几个可能的基础设施保障战略进行评审时,多方合作就被认为是一个好方法。PCCIP报告中的总结和建议(已并入PDD63和本计划中)中包含了很多来自于学术界、工业界和很多政府机构团体的富有价值的看法和见识。政府已经把这些年来获得的知识融入到这篇计划中的项目和实施战略中。

第二,本计划的启动和初期阶段主要依靠现有的法律、制度及项目,因此计划中融入了这些法规和条例中的保护事项。这种理念与已有的机制协调、利用并合作,是基于这样一种认识:基础设施的保障是不会一蹴而就的。其他的一些相关理念包括:

依靠自愿性合作来实施计划;

与私营部门,包括所有者和运营者合作,而不是施加新的联邦法规。

关注并促进私营部门和政府间的合作联盟,这样各方均能够明晰并认可其私有利益将遭到的冲击。

第三,也是最重要的,这个计划不会以牺牲公民自由为代价来换取基础设施的保障。国家计划的实施将严格遵守现有的传统和制度,也不会违背宪法和联邦法律所规定的安全措施。在计划的实施过程中,联邦政府必须遵守所有保护公民自由和隐私权的现行法律,并且不会为了实现其基础设施保护目标而制定侵犯性的政府条例。

关注

计划中列举的一些项目可能会引起对公民自由的关注。但是由于计划的很多其他部分对公民自由保护机制和实施战略只字不提,也许会使读者错误地得出如下结论:基础设施保障目标的实现可能会以个人隐私权的牺牲来换取。但事实并非如此。

在计划中最重要的一部分是联邦入侵检测网络(FIDNet)。FIDNet是一个入侵检测感应器网络,用以保护民事联邦机构中的关键系统。这些感应器以多种方式来搜寻攻击者并发布警报。

FIDNet的几个重要特点,包括:

对关键系统节点上的入侵进行检测;

是一个事件报告和处理的自动系统;

位于总务管理局(GSA)的中央管理式的运行结构用于对受感染的关键基础设施系统的状态进行处理、发布、报警以及协调。

重要的是,FIDNet的构架非常精细,可以确认出很小的入侵类型。FIDNet着重关注对联邦所有非公众网络系统或领域发动的攻击。FIDNet要求任何政府机构参与方在与现有法律保持一致的前提下持续监控其各自的网络。司法部所做的一次法律上的预审早已得出结论:在一定限制下,FIDNet的概念遵循了《电子通信隐私法》(ECPA)。然而,随着FIDNet概念的不断发展,一个跨机构的法律审查小组将继续检查FIDNet对ECPA以及很多其他法规,如1974年的《隐私法》的遵循问题。

解决方案

在基础设施保障中对公民自由的保护是一个动态过程,这个过程既涉及了政府,也涉及了私营部门。在这一过程中,我们必须认识到现有司法制度的复杂性和重要性,并要建立新的项目来预防意外结果的出现。

在这样的大势之下,作为分析这些项目的起始点,有9个关键准则要遵循。

与隐私权团体协商以定义解决方案:联邦政府应该要求隐私权团体加入解决方案的起草,以支持国家计划和公民自由权。要关注3种复杂性,即(1)公民隐私法和政策;(2)国家计划中的项目;(3)支持这些项目的技术问题。隐私支持者要确定其可能的关注范围并制定出合适且合法的解决方案。

对国家计划中各项目的严格而彻底的法律审查:一个跨部门的法律评审小组将检查这一国家计划的初期活动,以确保有关隐私与公民自由权的事项在计划中得到了考虑。

遵循现有的立法机构所制定的保护法案:国家计划中的项目必须满足国会认真制定的标准。各种法规,包括《电子通信隐私法》、1974年《隐私法》以及1987年《计算机安全法》,要对国家计划的相关活动做出管理和约束。这篇国家计划认识到各种公民自由法案的复杂性,尤其是国会和司法部所扮演的重要角色。

领导榜样:在信息安全和相关的基础设施保护领域中,政府仍将成为领导榜样。这包括更优、更完备的信息安全培训和教育以及对政府手中信息的保护。例如,在政府的新型计算机系统开发的标准步骤中将加入对安全和隐私的评审。

对各种各样的隐私解决方案的评审:关键基础设施共同体要参与对隐私解决方案和操作的彻底评审。具有隐私问题实践技能和专业知识的政府机构,包括OMB(管理和预算办公室)和联邦贸易委员会,将继续协助相关隐私政策的开发。

与国会合作:国会负责隐私和公民自由的立法事项。作为评审过程的一部分,国家计划起草者将会向国会咨询,包括具有专业技术的国会机构,如国家审计总署等。

与国家科学院合作:政府所面临的挑战之一就是要开发保护基础设施和公民自由所需的技术。而国家科学院和国家工程院在这些领域具有丰富的经验。它们中的很多组织,如计算机科学技术学部已经对医疗信息的保护和其他技术做了研究。

关注教育和培训:国家计划的任务包括对公众加强公民自由和隐私问题的教育。教育和意识培养项目将关注计算机伦理学和其他相关主题。

遵守隐私原则:国家计划将遵守由信息基础设施任务组隐私工作组制定的《个人信息提供和使用原则》。这些原则涉及信息隐私、信息完整性、信息质量、信息获取、信息提供、个人信息保护以及信息使用公平性等事项。

遵循这9个原则将有助于促进对国家计划的目标和美国隐私保护的清晰理解,确保个人自由这一信条能融入到国家计划的项目中去。