浅析日本国家网络安全与防御政策

2020年9月，苏黎世联邦理工学院安全研究中心发布题为 《日本国家网络安全与防御态势》 研究报告，从相关政策领域、主要政策文件等方面，阐述了2000年以来日本国家网络安全和网络防御的发展路径。本文摘取日本国家网络安全与防御领域的相关政策进行梳理编译。

（一）网络安全

2000年1月，日本政府发布网络安全领域首个政策文件——《保护信息系统免受网络攻击行动计划》，同年，制定“确保政府IT安全性”和“保护关键基础设施”双向战略，旨在从战略角度谋划解决网络安全问题。2014年，出台《网络安全基本法》，首次对“网络安全”一词进行法律界定，并明确规定了日本政府、地方当局、关键信息基础设施提供商、网络相关企业经营者、教育/研究机构等的相关职责。在个人身份信息（PII）保护方面，日本于2003年5月颁布了《个人信息保护法》，是日本保护个人身份信息的法律基础，2019年1月，欧盟委员会允许“在得到有效保护的基础上，个人数据可在日本和欧盟两个经济体之间自由流动”。

（二）网络犯罪

2001年11月，日本政府签署《网络犯罪公约》，该法案由欧盟委员会的26个成员国以及美国、加拿大、日本和南非等30个国家在布达佩斯共同签署，是全世界第一部针对网络犯罪行为的国际公约，目标是“制定旨在保护社会免遭网络犯罪侵害的共同刑事政策，并通过适当立法促进国际合作”。

（三）网络恐怖活动

2000年12月，日本“针对关键基础设施的网络恐怖主义对策特别行动计划”将网络恐怖活动定义为“使用信息通信网络和系统开展的对人们生活和社会经济活动产生重大影响的攻击”，如拒绝服务攻击、部署震网病毒等高级破坏工具。目前，“网络恐怖”一词在日本仍广泛使用，如国家警察厅“网络恐怖活动对策委员会”负责确保2021年东京奥运会和残奥会等大型活动的网络安全。

（四）网络外交

外务省牵头日本的网络外交工作。早在2000年，外务省就负责促进互联网治理（标准和规则）和保护关键基础设施（打击网络恐怖行动）等领域的国际合作，2009年，日本政府第二版《国家信息安全战略》扩展了这一使命，2013年，外务省的职责进一步升级，致力于为日本打造世界领先的网络空间。《国家信息安全战略》明确规定了外务省的职责：促进网络法治化建设，制定建立信任的措施，促进发展中国家能力建设合作。

2012年2月，日本设立了负责网络政策的大使，6月，由其率领的日本政府代表团首次开展双边网络对话。此外，自2012年以来，日本还积极参与联合国政府专家组在国际安全背景下推进的网络空间相关工作。2016年5月，日本主办G7伊势志摩峰会并发布《关于网络空间原则和行动的声明》，峰会还成立伊势志摩网络集团，致力于提高网络稳定与安全。2016年7月12日，外务省成立外交政策局网络安全政策司，负责引导确保网络空间安全的国际讨论，并加强与其他国家的合作与协调。

（五）网络防御

“网络防御”一词主要用于由防卫省、自卫队和日本情报机构开展的网络相关活动。2010年日本《防卫白皮书》专门用“网络战争能力的趋势”一章，阐述网络空间或网络战问题。“震网”事件后，美日安全咨询委员会于2011年提出网络空间合作。2015年，日美联盟达成共识：①及时、正常、适当地分享网络空间威胁和漏洞信息，确保网络空间的安全和稳定；②酌情分享有关网络空间各种能力发展的信息，包括培训和教育方面的最佳实践等；③合力保护日本自卫队和美国武装部队的关键基础设施，如适当与私营部门共享信息等。美日网络防御合作框架是两国进行政策协调和信息交流的主要工具。

在网络防御行动方面，日本自卫队主要负责监控和保护其信息系统，并在发生武装攻击时，利用空间、网络和电磁领域的能力阻止攻击行为，为此，防卫省将其2019年开发网络攻击能力的任务外包给私营公司。这表明日本自卫队将利用这些进攻性网络能力实现“战时防御、平时威慑”的目的。

在重大网络防御演习方面，日本派遣代表参加了美国国土安全部举行的网络风暴系列演习；2015年，日本首次参加了北约年度网络联盟演习，网络联盟演习是自2008年11月以来联盟最大的网络演习，在爱沙尼亚塔尔图的北约网络靶场进行。

（一）主要政策文件

《2000基本法》。2000年12月，日本发布《建立先进信息和电信网络社会基本法案》，提出制定基本战略方针和政策，指导建设可“通过互联网获取、分享或在全球传播各种信息和知识，以促进创新和发展”的社会，并设立了IT战略总部（时称促进先进信息和电信网络社会的战略总部）。

《2000特别行动计划》。为了保护人们生活和社会经济活动免受恶性网络事件的影响，2000年12月，日本出台《应对针对关键基础设施的网络恐怖主义特别行动计划》，概述了提高关键基础设施部门网络安全水平的措施，包括开展风险分析、重新审查安全指导方针以及推动政府与关键基础设施供应商的信息交流等。此外，在日本电子政务启动的背景下，该计划还指示政府各部委和机构提高自身的安全水平，要求内阁秘书处针对各部门信息系统的安全措施开展技术研究，并提供相应的咨询。

《第一版国家战略》。2006年2月，日本发布首个《国家信息安全战略——创建一个值得信赖的社会》，旨在为日本的信息安全制定一个系统的中长期计划。该文件强调了《基本法》中未提及的几个问题：①近年来大多数安全措施仅仅是为了解决眼前的问题；②在信息技术社会，各类组织实体遵从官僚主义做法，限制了相关措施发挥作用。为了解决这些问题，《第一版国家战略》提出建立新型公私伙伴关系模式，帮助各组织充分了解信息安全的重要性，这些组织包括中央/地方政府、关键基础设施提供商、企业和个人以及媒体、非政府组织和教育/研究机构等。该战略为各组织设定了不同的目标，包括防止政府机构受到欺骗；促进信息安全审计；为每个关键基础设施部门开发保护工程、技术运营、分析和响应能力；开展跨部门演习，以建立统一的信息安全资格认证体系等。

《第二版国家战略》。2009年2月，日本发布《第二版国家信息安全战略——在IT时代建立强大的“个人”和社会》。《第一版国家战略》有效提高了各组织的信息安全意识，包括对点对点软件风险、信息窃取风险等，并建立了政策促进框架，如政府机构与关键基础设施提供商信息共享框架以及日本与美国、东盟的国际信息共享协议。但随着新的风险不断出现和变化，这些预防措施难以实施。因此，《第二版国家战略》不再强调预防措施，而是着手加强对“事故假定社会（accident assumed society）”的响应，即相关部门必须特别注意采取事后措施，例如对事故的确认和分析、沟通、即时对策和恢复等。

《信息安全战略》。2009年7月，美韩27个政府和金融机构遭受DDoS攻击，导致私人信息大规模泄露。受该事件影响，日本政府于2010年5月颁布《保护国家信息安全战略》，再次强调现有的信息安全政策，并列出了几项具体措施，如密切协调公私营部门之间的演习活动、全面监控网络犯罪和加强国际联盟的协作等。日本政府还着手整合各机构的首席信息安全官职能，加强与政府安全运行协调小组的协调，并搭建政府机构的远程工作环境，以促进云的使用。该战略还呼吁“立即采取行动，阐明下载或进行反向工程以分析可疑恶意软件样本的合法性”，同时“必须立即发布有关漏洞和相关补救措施的信息，以预防恶意活动”。此外，《信息安全战略》强调了确保物联网（IoT）设备安全、医疗和教育领域信息安全的必要性，并推广加密甚至“匿名”隐私保护技术的使用。

（二）国家网络安全战略

《第一版网络安全战略》。2013年6月10日，日本发布了首个网络安全战略，目标是建设世界领先的、有韧性的、充满活力的网络空间。与之前将网络安全视为纯粹的技术问题、不涉及政治和国家安全的战略形成鲜明对比，新的战略尤其强调外交和国防，并首次明确提出“在国外，针对交通信号设备和关键基础设施（如控制系统）的网络攻击，其复杂性和复杂程度都令人怀疑政府组织参与其中”。

在外交方面，该战略强调了政府的工作：①《联合国宪章》和国际人道主义法在网络领域应用；②继续执行建立信任措施；③为双边和区域讨论等提供支持，如东盟区域论坛内；④基于美日军事同盟，从联合训练、共享威胁信息和制定国际规则方面加紧合作。