大数跨境

经济洞见367:巴西网络安全治理的未来在何方?(下)

经济洞见367:巴西网络安全治理的未来在何方?(下) 拉美经济观察
2025-08-06
37

巴西《国家网络安全政策》的演进与治理挑战

从制度构建到现实落差:巴西网络安全治理的现状与未来

作者:Luiz Rogério Franco Goldoni(巴西陆军指挥和参谋学院、网络动力实验室),Karina Furtado Rodrigues(巴西陆军指挥和参谋学院、国防治理、管理和公共政策实验室),Breno Pauli Medeiros(巴西陆军指挥和参谋学院、网络动力实验室,Getúlio Vargas基金会技术与社会中心)

巴西自2008年起将“网络防御”纳入《国家防务战略》,确立其为战略性重点领域,标志着国家系统性应对网络空间安全挑战的开端。2010年发布的《网络安全绿皮书》为后续制定《国家网络安全政策》奠定了理论与制度基础。

此后,巴西陆续出台多项关键法律,包括2012年《网络犯罪法》(第12.737号法律)和设立数字犯罪执法机构的第12.735号法律;2014年《网络民事法典》(Marco Civil)与2018年《通用个人数据保护法》(LGPD)则构建了公民权利与数据隐私的法律框架。

伴随公共行政数字化转型,巴西推出《数字化转型战略》(E-Digital,2018)、《数据治理与共享法令》(2019)及《数字政府战略》(2020—2022),强化网络治理顶层设计。其中,《数字化转型战略》由科技、创新与通信部主导,提出针对关键基础设施的安全实践建议,并配套形成《国家关键基础设施安全政策》《国家关键基础设施安全战略》(PLANSIC)等多层次防护体系。

《国家信息安全政策》(ENSIC)处于现行治理体系核心地位,初版发布于2018年,2021年修订后扩展了信息安全范畴,涵盖网络安全、网络防御、数据物理安全及信息的保密性、完整性与可用性。该政策由国家制度安全局(GSI)牵头,采用自上而下的治理模式,覆盖所有公私部门。

尽管《国家信息安全战略》尚未完整出台,目前仅有有效期至2023年的《国家网络安全战略》(E-Ciber)正式发布,但《国家信息安全政策》已明确要求国防部支持GSI开展网络安全工作,体现其与国防领域的深度融合。

2021年修订版还要求联邦各部门建立事件响应小组,并由CTIR统筹协调,推动形成《联邦网络安全事件管理网络》(ReGIC)。该机制强制所有公共行政机构加入,设定12个月内全面实施期限,虽未直接使用“治理”一词,实则构建了高度集中、结构化的事件响应体系。

在行业层面,国家电信监管局(ANATEL)第740号决议规定最严重网络安全事件须横向通报至同行、纵向上报监管机构;而国家电力能源局(Aneel)仅要求向本机构报告重大事件,缺乏横向协同机制。尽管《国家网络安全战略》倡导各行业建立监管体系,ReGIC进一步要求制定强制性应对计划,相关责任由行业协调小组承担,GSI于2022年发布《行业计划》(GSI/PR第120号通告)提供指导。

然而,行业级制度建设尚未实现全覆盖,部分领域仍存在监管空白。

2023年5月,GSI发布《国家网络安全政策》草案,提出设立国家网络安全局(ANCiber)、国家网络安全委员会及网络危机管理内阁等多项重大改革。该草案长达45页,系统列举国家面临的网络安全脆弱性,引用国内外研究论证成立ANCiber的紧迫性,将其定位为政策执行的核心支柱。

但草案对现有制度如《国家关键基础设施安全政策》《国家信息安全政策》几乎未予提及,《国家网络安全战略》仅被简要带过,《联邦网络安全事件管理网络》仅被点名一次,反映出对既有体系的忽视或边缘化倾向。

此外,草案虽设定了宏大目标,却缺乏具体执行路径,未说明如何整合现有机构权限或保障财政资源。例如,拟设ANCiber需新增800个公务员编制和300个委任岗位,在专业人才短缺背景下,人力与财政成本可能成为现实障碍。最终,2023年12月26日颁布的总统法令中,ANCiber被完全删除,仅保留政策总体框架和国家网络安全委员会的设立。

当前巴西网络安全治理仍呈现碎片化特征:并非所有机构接入ReGIC,关键基础设施防护水平跨行业差异显著。原草案被视为整合治理的契机,但最终版本未能实现结构性变革。

国家网络安全委员会的实际职能尚不明确——是具备实质决策影响力的治理主体,还是仅对GSI方案进行形式背书?这一问题关乎未来改革走向。同时,《国家网络安全战略》与行动计划的具体设计仍未披露。

综上所述,巴西虽已建立较为完整的网络安全政策框架,但在机构整合、执行落地与跨部门协同方面仍面临严峻挑战。国家网络安全局的缺席使治理体系的核心驱动力缺失,未来能否重建统一高效的治理架构,仍有待观察。

(文章仅为原文作者观点,不代表本公众号立场)

来源:Goldoni, L. R. F., Rodrigues, K. F., & Medeiros, B. P.. (2024). WHAT IS THE FUTURE OF BRAZIL’S CYBERSECURITY GOVERNANCE?. Cadernos Gestão Pública E Cidadania, 29, e90972.

翻译:李俊霖 校对:JC
【声明】内容源于网络
0
0
拉美经济观察
1234
内容 1317
粉丝 0
拉美经济观察 1234
总阅读20.9k
粉丝0
内容1.3k