摘要:分析了我国信息安全法律体系的现状、主要特点及不足,简要回顾了我国信息安全法律体系的发展历程,展望了我国下一步的信息安全立法。
关键词:信息安全、法律体系、法律、法规
随着经济全球化和信息化的快速发展,信息安全威胁日益严峻。恶性病毒的危害、黑客攻击的日益猖獗、垃圾邮件的不断侵扰以及不良信息内容的肆意传播,使得全球信息安全形势越发严峻。美国、俄罗斯、日本和韩国等国家均把信息安全摆到与国家安全同等高度进行了相应的机构整合,制订了指导整个国家信息安全发展的战略和规划。我国政府对信息安全工作也给予了高度重视,进一步明确了国家信息安全领导体制,组织研究国家信息安全发展战略,实行积极防御、综合防范的方针,全面、系统地规划我国的信息安全保障体系建设。
在我国信息安全保障体系的建设中,法律环境的建设是必不可少的一环,也可以说是至关重要的一环,信息安全的基本原则和基本制度、信息安全保障体系的建设、信息安全相关行为的规范、信息安全中各方权利义务的明确、违反信息安全行为的处罚,等等,都是通过相关法律法规予以明确的。有了一个完善的信息安全法律体系,有了相应的严格司法、执法的保障环境,有了广大机关、企事业单位及个人对法律规定的遵守及应尽义务的履行,才可能创造信息安全的环境,保障国家、经济建设和信息化事业的安全。
经过十多年的发展,目前我国现行法律法规及规章中,与信息安全有关的已有近百部,它们涉及网络与信息系统安全、信息内容安全、信息安全系统与产品、保密及密码管理、计算机病毒与危害性程序防治、金融等特定领域的信息安全、信息安全犯罪制裁等多个领域,在文件形式上,有法律、有关法律问题的决定、司法解释及相关文件、行政法规、法规性文件、部门规章及相关文件、地方性法规与地方政府规章及相关文件多个层次,初步形成了我国信息安全的法律体系。当然,这一体系还很不完善,尤其是缺乏一部信息安全的基本法,在一些信息化的具体应用领域,还缺乏可操作的规范,这些都还有待于国家通过进一步的立法来解决。
在目前我国信息化事业发展的关键阶段,在我国信息安全法律体系建设承上启下的重要时期,对我国信息安全体系进行系统的盘点、分析,找出目前法律环境的不足,为下一步的信息化立法献计献策都非常必要。基于这种考虑,本文试图抛砖引玉,谈一下对目前我国信息安全法律体系整体的粗浅认识。
一、目前我国信息安全法律体系的主要特点
通过对目前我国现行信息安全相关法律法规的整理分析,我们可以初步概括出目前我国信息安全法律体系的主要特点:
1、信息安全法律法规体系初步形成
目前我国现行法律法规及规章中,与信息安全直接相关的是65部,它们涉及网络与信息系统安全、信息内容安全、信息安全系统与产品、保密及密码管理、计算机病毒与危害性程序防治、金融等特定领域的信息安全、信息安全犯罪制裁等多个领域,在文件形式上,有法律、有关法律问题的决定、司法解释及相关文件、行政法规、法规性文件、部门规章及相关文件、地方性法规与地方政府规章及相关文件多个层次。
其中,全面规范信息安全的法律法规有18部,包括94年的《中华人民共和国计算机信息系统安全保护条例》等法规,也包括2003年的《广东省计算机信息系统安全保护管理规定》,98年的《重庆市计算机信息系统安全保护条例》等地方法规;侧重于互联网安全的有7部,包括2000年《全国人民代表大会常务委员会关于维护互联网安全的决定》等法律层面的文件,也包括97年的《计算机信息网络国际联网安全保护管理办法》等部门规章;侧重于信息安全系统与产品的有3部,包括97年的《计算机信息系统安全专用产品检测和销售许可证管理办法》等部门规章;侧重于保密的有10部,既包括89年的《中华人民共和国保守国家秘密法》等法律,也包括98年的《计算机信息系统保密管理暂行规定》、2000年的《计算机信息系统国际联网保密管理规定》、97年的《农业部计算机信息网络系统安全保密管理暂行规定》等部门规章;侧重于密码管理及应用的有5部,包括99年的《商用密码管理条例》等法规,也包括2005年的《电子认证服务管理办法》、《电子认证服务密码管理办法》等部门规章,还包括2002年的《上海市数字认证管理办法》、2001年的《海南省数字证书认证管理试行办法》等地方法规或规章;侧重于计算机病毒与危害性程序防治的有9部,包括2000年的《计算机病毒防治管理办法》等部门规章,也包括94年的《北京市计算机信息系统病毒预防和控制管理办法》、2002年的《天津市预防和控制计算机病毒办法》等地方法规或规章;侧重于特定领域信息安全的有9部,包括98年的《金融机构计算机信息安全保护工作暂行规定》、2003年的《铁路计算机信息系统安全保护办法》、2005年的《证券期货业信息安全保障管理暂行办法》等部门规章,也包括2003年的《广东省电子政务信息安全管理暂行办法》等地方法规或规章;侧重于信息安全监管的有3部,包括2004年的《上海市信息系统安全测评管理办法》等地方法规或规章;侧重于信息安全犯罪处罚的主要是我国刑法第285条、286条、287条等相关规定。
总体来看,这些信息安全法律法规或多或少所体现的我国信息安全的基本原则可以简单归纳为国家安全、单位安全和个人安全相结合的原则,等级保护的原则,保障信息权利的原则,救济原则,依法监管的原则,技术中立原则,权利与义务统一的原则;而基本制度可以简单归纳为统一领导与分工负责制度,等级保护制度,技术检测与风险评估制度,安全产品认证制度,生产销售许可制度,信息安全通报制度,备份制度等。
2、与信息安全相关的司法和行政管理体系迅速完善
有了《中华人民共和国刑法》第217、218、285、286、287、288条、《全国人民代表大会常务委员会关于维护互联网安全的决定》、《中华人民共和国计算机信息系统安全保护条例》、《电信条例》、《互联网信息服务管理办法》等法律依据,有了《最高人民法院最高人民检察院关于办理利用互联网、移动通讯端、声讯台制作、复制、出版、贩卖、传播、淫秽电子信息刑事案件具体应用法律若干问题的解释》等司法解释,一些危害信息安全的案例迅速得到裁判,如广州市中级人民法院裁判的吕薛文破坏计算机信息系统案、乌鲁木齐市中级人民法院裁判的何朴利用其担任银行计算机操作员的职务便利贪污巨额公款案等,震慑了违法犯罪分子,维护了计算机信息网络的正常秩序。
经过多年的工作,在我国信息安全行政管理方面,信息安全保障体系建设也已初见成效,与信息安全法律法规体系相配套的标准体系建设、应急处理体系建设、等级保护体系建设、电子认证体系建设、安全测评体系建设、计算机病毒疫情调查和控制体系建设以及违法和不良信息举报制度建设等都得到较快的发展,为电子政务、电子商务及信息化做出了贡献。
3、目前法律规定中法律少而规章等偏多,缺乏信息安全的基本法。
虽然可以说目前我国信息安全的法律体系已初步形成,但还很不成熟,在这一体系中,部门规章、地方法规及规章等占了绝大多数,而法律、法规只占到65部中的8部,为12%。部门规章、地方法规及规章等效力层级较低,适用范围有限,相互之间可能产生冲突,也不能作为法院裁判的依据,直接影响了这些措施的效果。并且十分关键的是,目前我们还没有一部信息安全的基本法,对于信息安全的基本法,我们理解为一部确立信息安全的基本原则、基本制度及一些核心内容的法律,而我们前面提到的很多规定都应是从这部法律的基本框架中延伸出来的,只有有了这部法律,我们的信息安全法律体系才能说是有了主干。国外类似的法律如美国2002年的《联邦信息安全管理法》、87年的《计算机安全法案》、俄罗斯95年的《联邦信息、信息化和信息保护法》等。
4、相关法律规定篇幅偏小,行为规范较简单。
我国现有信息安全相关法律规定普遍存在的问题是篇幅较小,规定得比较笼统,比如《全国人民代表大会常务委员会关于维护互联网安全的决定》共7条,《中华人民共和国计算机信息系统安全保护条例》共31条,《中华人民共和国计算机信息网络国际联网管理暂行规定》共17条,《计算机信息网络国际联网安全保护管理办法》(公安部)共25条,《互联网信息服务管理办法》共27条,《计算机信息系统安全专用产品检测和销售许可证管理办法》(公安部)共26条,《商用密码管理条例》共27条,《计算机信息系统国际联网保密管理规定》(国家保密局)共20条,《计算机病毒防治管理办法》(公安部)为22条。
此外,总体看来,目前这些法律法规主要存在三个方面有待完善的地方:第一,这些法律法规主要内容集中在对物理环境的要求、行政管理的要求等方面,对于涉及信息安全的行为规范一般都规定的比较简单,在具体执行上指引性还不是很强;第二,目前这些法律法规普遍在处罚措施方面规定得不够具体,导致在信息安全领域实施处罚时法律依据的不足;第三,在一些特定的信息化应用领域,如电子商务、电子政务、网上支付等,相应的信息安全规范相对欠缺,有待于进一步发展。
5、与信息安全相关的其他法律有待完善
在建立健全信息安全法律体系的同时,与信息安全相关的其他法律法规的出台和完善也非常必要,如电信法、个人数据保护法等,这些法律法规与信息安全法律体系一起构成我国信息安全大的法律环境并且互为支撑、缺一不可。
在这里,我们还可以简单理一下这个大信息安全法律环境的脉络:
首先,从权利的角度看,信息安全中涉及的个人权利主要包括通信秘密、言论自由、隐私权、著作权及相关知识产权,而与通信秘密、言论自由相关的法律是宪法、国家安全法和警察法,与隐私权相关的法律是民法通则,与著作权及相关知识产权相关的法律是著作权法、合同法,此外,还可能涉及的法律有行政许可法、行政处罚法和国家赔偿法;信息安全中涉及的单位的权利主要包括商业秘密、技术秘密、著作权及相关知识产权等,而与商业秘密、技术秘密相关的法律有反不正当竞争法、技术合同法,与著作权及相关知识产权相关的法律有著作权法、合同法,此外,还可能涉及的法律有行政许可法、行政处罚法和国家赔偿法;再从国家的角度看,信息安全涉及国家安全、保密和金融安全等,与国家安全相关的法律是国家安全法,与保密相关的法律是保守国家秘密法,与金融安全相关的法律是银行法。
其次,从应用的角度看,与信息安全相邻或相交的领域包括:电信、无线电、集成电路、计算机软件与系统集成、网络及网络信息服务、电子商务与现代物流、电子政务、信息资源公开、利用等。在这些领域我们又可以看到电信条例、无线电管理条例、集成电路布图设计保护条例、计算机软件保护条例、中华人民共和国计算机信息网络国际联网管理暂行规定、互联网信息服务管理办法、互联网上网服务营业场所管理条例、电子签名法等一系列法律、法规、部门规章及地方法规、规章。
二、我国信息安全法律体系的发展过程
虽然早在91年劳动部就出台了《全国劳动管理信息计算机系统病毒防治规定》,但那时类似信息安全法规和规定还是非常少的,这一局面到1994年2月18日有了根本转变,这一天国务院颁布了《中华人民共和国计算机信息系统安全保护条例》,该条例规定了计算机信息系统安全保护的主管机关、安全保护制度、安全监管等。从94年以后,我国信息安全法律法规体系进入了初步建设的阶段,一大批相关法律法规先后出台,如《计算机信息网络国际联网安全保护管理办法》(公安部)、《计算机信息系统安全专用产品检测和销售许可证管理办法》(公安部)、《计算机信息系统保密管理暂行规定》(国家保密局)、《商用密码管理条例》、《金融机构计算机信息安全保护工作暂行规定》等。
而2000年12月28日《全国人民代表大会常务委员会关于维护互联网安全的决定》的出台又代表着我国信息安全法律体系建设进入了一个新的阶段,《全国人民代表大会常务委员会关于维护互联网安全的决定》规定了一系列禁止利用互联网从事的危害国家、单位和个人合法权益的活动。这个阶段的标志就是更加重视网络及互联网的安全,也更加重视信息内容的安全。这一阶段的法律法规有《互联网信息服务管理办法》、《计算机信息系统国际联网保密管理规定》(国家保密局)、《计算机病毒防治管理办法》(公安部)等。
2003年7月22日,国家信息化领导小组第三次会议通过了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号),则标志这我国信息安全法律体系的建设进入一个更高的阶段。该意见明确了加强信息安全保障工作的总体要求和主要原则,确定了实行信息安全等级保护、加强以密码技术为基础的信息保护和网络信任体系建设、建设和完善信息安全监控体系、重视信息安全应急处理工作、加强信息安全技术研究开发、推进信息安全产业发展、加强信息安全法制建设和标准化建设、加快信息安全人才培养、增强全民信息安全意识等工作重点,使得我国信息安全法律体系的建设进入了目标明确的新阶段。这一阶段,有代表性的法律法规包括《电子签名法》、《电子认证服务管理办法》、《证券期货业信息安全保障管理暂行办法》、《广东省电子政务信息安全管理暂行办法》、《上海市信息系统安全测评管理办法》、《北京市信息安全服务单位资质等级评定条件(试行)等》。
三、我国信息安全法律体系的发展
对于下一步我国信息安全法律环境的发展,就象前文提到,一方面我们需要一部信息安全的基本法,另一方面与信息化相关的法律也亟待完善,如电信法、个人数据保护法等。在具体内容上,目前我国信息安全法律范畴比较薄弱或需要提高规定的层级的环节主要可以概括为:信息安全的基本原则与制度、信息安全的监管模式、信息安全的等级保护、网络与信息系统的建设与运行中的信息安全、信息内容安全、信息安全预警通报和应急处理、特定领域的信息安全——电子政务与电子商务、信息或信息财产的基本法律地位、个人信息保护的基本规范、政府信息公开中的相关信息安全问题等。
