美国最高法院阻碍美国网络战略

为了在不依赖停滞不前的国会的情况下保护美国重要基础设施免受黑客攻击，拜登政府大胆尝试创造性地运用现有法律。

但最高法院可能推翻了这一做法。

总统乔·拜登的策略依赖于各机构对赋予他们监管权力（包括网络安全）的法律进行解释，并期望法院能够根据数十年历史的法律原则（即“雪佛龙尊重”）遵从他们对这些法律的解释。

但在六月下旬判决的具有里程碑意义的案件，Loper Bright Enterprises 诉 Raimondo 案中，美国最高法院的保守派绝大多数取消了对雪佛龙的尊重，并命令法院自行决定模棱两可的法律规定——而几乎不给予机构的解释太多权重。

现在，这项备受争议的裁决可能会彻底颠覆多个机构要求医院、供水系统和发电厂等关键基础设施实体加强网络安全的计划。

它甚至可能帮助美国企业推翻旨在阻止黑客入侵云平台、保护管道和机场安全以及改善重大违规行为披露的现有规则。

很多法规都有可能通过诉讼来试水。在没有健全或明确法律支持的领域，关键基础设施网络安全监管肯定会变得更加困难。

里程碑式网络计划面临威胁

拜登的标志性网络监管法规也可能是最濒危的：一项即将生效的要求是关键基础设施组织必须在 72 小时内报告网络攻击，并在 24 小时内支付勒索软件费用。

该法规由 2022 年《关键基础设施网络事件报告法案》（CIRCIA）授权制定，旨在弥补政府对每天困扰美国公司的网络攻击的认识方面的巨大差距。

但当美国国土安全部的网络安全和基础设施安全局（CISA）于 4 月发布拟议规则时，商界猛烈抨击该规则超出了立法者的意图。

到本月初公众意见征询期结束时，许多公司和贸易团体已敦促 CISA 缩减该规则——其中一些甚至引用了Loper Bright 的裁决。

批评主要集中在该规则的三个方面，这三个方面可能代表该规则在未来的诉讼中最大的漏洞：受报告要求约束的“涵盖实体”的定义、需要披露的“涵盖事件”的定义以及需要报告的信息清单。

企业表示，CISA 对这三项规定的措辞比国会的意图要宽泛得多。

他们已经远远超出了文本的范围，这里面有很多薄弱之处。

参议院国土安全委员会主席加里·彼得斯 (Gary Peters) 领导了 CIRCIA 的起草工作，他公开发表评论称“拟议规则过于宽泛，需要进一步明确”，包括涵盖事件和涵盖实体的定义，这进一步增加了该法规的法律风险。

彼得斯的反对意见意义重大，因为法院在分析不明确的法律时可能会严重依赖国会的意图。

目前尚不清楚 CISA 是否会在这些不利因素面前退缩。一位发言人表示，该机构“仍在评估” Loper Bright 的裁决“以及这可能对该机构的规则制定行动产生的任何潜在影响。”发言人表示，最终法规将“与国会赋予我们的权力相一致”。

CISA 官员似乎非常致力于他们所瞄准的范围，因为他们似乎真的认为这对他们的使命很重要。即便如此，CISA 现在必须思考，鉴于最近的这些决定，我们是否走得太远了，我们是否需要对我们的抱负稍微谦虚一点？

政府撤退的后果很难预测，但可能很严重。缩减 CIRCIA 要求可能会让更多公司免于报告或减少它们必须报告的信息量，从而减轻这些组织的负担，但会削弱政府对数字威胁的理解。

大多数专家预测只会有轻微的变化。希望他们会尽量按照他们的律师所说的做出有限的反应。

不过，很明显，政府有史以来最大的网络监管法规（将于 2025 年 10 月最终确定）背后的官员已经注意到了这一点。

CISA 不可能在接下来的 [14] 个月内制定这条规则，而不考虑Loper Bright的影响和雪佛龙失去尊重。

飞机、火车和云服务

尽管 CISA 的事件报告授权在Loper Bright裁决后吸引了大部分关注，但该裁决却威胁到了许多其他现有和待决的网络法规。

美国卫生与公众服务部正在制定一项规则，该规则要求医院在获得联邦医疗保险和医疗补助资金时必须遵守网络要求。

这项备受关注的卫生与公众服务部规则代表了拜登政府试图阻止大规模勒索软件攻击医院和其他医疗部门的企图。但强大的医院行业反对新的规定，称这些规定将给本已陷入困境的医疗机构带来过重负担。

关于该规则的细节知之甚少——包括其确切的法律依据——因此目前尚不清楚卫生与公众服务部是否已在重写该规则以解决洛珀·布莱特的问题。

美国企业最讨厌的网络监管是美国证券交易委员会 2023 年的规定，该规定要求上市公司在四个工作日内宣布具有“重大”影响的网络事件。

鉴于证券交易委员会有明确的法律权力要求披露对股价有重大影响的信息，这项规定可能不会引发新的诉讼。企业可能会挑战证券交易委员会惩罚黑客企业的权力，因为基本法律和法规没有提到网络安全。

美国运输安全管理局 (TSA) 也可能因其对管道、铁路和航空运营商的网络要求而遭到诉讼。TSA大幅修改了其紧急指令以应对行业批评，但随着该机构将这些指令编入更正式的规则，心怀不满的公司可能会抓住机会提起诉讼。

该机构没有开展网络工作的历史，也没有很好的法定依据，网络律师表示，TSA “不断援引正在进行但未描述的紧急情况”来证明这些要求是合理的，这“令人非常沮丧”。

美国商务部提出的要求云计算公司核实客户身份并报告其活动的提案可能会遇到法律障碍。这项即将出台的规定是打击黑客滥用云服务的努力的一部分，因涉嫌越权而受到业界批评。一家大型科技贸易组织警告商务部，其“拟议的法规可能会超出国会授予的规则制定权。”

诉讼还可能针对其他法规，包括联邦贸易委员会、联邦通信委员会和金融监管机构的数据泄露报告要求，这些法规依赖于政策制定者考虑网络安全之前制定的法律。

这位网络律师表示：“机构最紧张的挑战在于，他们已经解读了 20 年以前的事物，或者刚刚解读了 30 年前的事物。”

白宫已经遭遇了一次重大挫折。去年 10 月，美国环境保护署撤回了行业组织和共和党领导的各州在法庭上质疑的供水系统网络安全要求。反对者表示，环保署在解释 1974 年的一项法律时超越了其权限，该法律要求各州将网络安全纳入其供水设施检查中，而白宫一位高级网络官员此前曾称赞这一策略是“一种创造性的方法”。

所有人的目光都集中在国会

政府的网络监管举措很可能会陷入司法困境。

联邦法官可能会对同一项法规得出不同的结论，从而向有着截然不同记录的地区巡回法院提起上诉。司法机构本身并不是一个整体。此外，机构比法官更了解前沿技术问题，法官可能很难解析网络法规的复杂性。

专家表示，这个问题只有一个真正的解决方案：如果国会希望各机构能够强制要求改进网络设施，就必须通过新的法律赋予它们这样做的权力。

国会现在肩负着更大的责任，需要采取果断行动，帮助确保社会所依赖的关键服务得到保护。

清晰度是关键。国会越具体，法院就越有可能以机构同样的方式看待它。

国会很少通过重大立法，尤其是具有新的监管权力的立法，但网络安全一直是个例外。

国会的行动非常非常缓慢，但在这方面并非完全被动。

如果监管机构无法向前迈进，你有可能看到特定行业出台有意义的网络立法。

一个主要问题是，如果共和党在 11 月的选举中夺取对政府的统一控制权，这一进展是否会继续下去。共和党纲领中提出以更高标准保障关键基础设施安全是“国家优先事项”。

目前，两党都认为，在某些领域确实存在一定程度的市场失灵，政府采取某种行动是适当的。

无论明年一月谁将控制国会，最高法院都已赋予立法者在打击黑客方面的巨大责任。