信息网络安全法律体系初探 __长沙律师湖南律师湖南李健律师

您的当前位置：首页 >> 网络法律 >> 网络犯罪 >> 文章正文

信息网络安全法律体系初探

阅读选项: 自动滚屏[左键停止]

作者: 来源: 阅读:

信息网络技术的发展程度已经成为衡量国家现代化水平与综合国力的一个重要标志，信息网络的安全问题又是衡量信息网络技术使用和管理是否有效的重要标准。信息安全是国家安全的重要组成部分。原来意义上的国家安全中的经济安全、军事安全。政治安全、文化安全和信息安全，其中的“信息安全”上升到更加重要的位置，因为信息安全成为其他安全的基础，其他安全必须依赖于信息安全。这一特殊性已经引起了党中央的高度重视，2001年7月中央领导听取关于“运用法律手段保障和促进信息网络健康发展”的法制讲座后，提出了“积极发展，加强管理，趋利避害，为我所用，努力在全球信息网络化的发展中占据主动地位”的要求，这是保障我国信息网络健康发展，也是相关立法的重要指导思想。
　　
一、信息网络安全法律在我国法律体系中应有的地位
　　
　　（一）信息网络安全问题对安全立法提出要求
　　2003年12月31日，我国上网人数达7950万，全世界排列第二；2003年12月，我国信息技术发展从2002年的世界排行第43位降到第51位。尽管对安全状况，没有评估数据，但可以肯定，与排行情况相当，因为排名的首要指标是“信息技术发展的宏观经济环境和法制环境”。网络用户持续增长，社会各界对网络信息依赖加剧，而信息技术发展却相对滞后。相对落后的技术对信息传递、使用不能提供技术上的安全保障，相反，信息技术被不当利用，却加剧了网络信息安全隐患，使得保障信息网络安全成为信息网络自身发展的首要问题，对信息安全立法提出了迫切要求。
　　（二）信息网络安全法律的性质
　　1．信息安全的特定含义。这里的信息安全应做侠义的理解，包括：第一，社会公共安全；第二，国家安全。不应当将一般的财产安全和人身权纳入其中，涉及公民、法人的民事权利的“安全”应当属于民事法律调整的范围。
　　安全立法大体可分为两大类：一类是涉及社会公共安全的立法。如，治安、传染病防治、自然灾害防止、消防等立法。另一类是涉及国家安全的立法，如国防法等。信息网络跨越两个领域，对其最初研制是为了军事目的，但网络的迅猛发展却是在非军事领域；近年来网络的发展已经成为经济、政治、各行各业无不依赖的对象，成为社会公共设施与国家安全设施的最重要组成部分，一旦遭受到安全威胁，后果不堪设想。因此，信息网络安全立法兼有保护社会安全和国家安全的双重任务。
　　2．信息网络安全的界定。究竟是“信息网络”还是“网络信息”安全问题，在2004年西安交通大学召开的“信息安全立法研讨会”上存在很大争论。还有人称笼统称之为“信息安全”立法问题，但是这个概念无论内涵外延和前两个概念区别很大，一般人不会产生混淆。无论如何，不能用“信息安全”立法问题替代“信息网络”安全立法或者“网络信息”安全立法。因为“信息安全法”是上位法，需要解决的主要矛盾不同，它只能指导但是解决不了更加具体的网络信息的安全法律问题。
　　笔者坚持使用“信息网络”的概念。理由是：第一，我们目前急需解决的是信息经过网络传输而引起的安全问题。第二，我们要解决的是网络化了的信息的安全问题。信息安全问题自古存在，而现在的重点是解决信息被网络化或成为网络信息后的安全问题。重点和特点都是“网络”，所以“信息网络”的安全是新问题，是目前主要解决的问题。第三，我国在对“信息网络”安全的称谓在政策和法学研究中已经广泛使用，含义明确。公安部为此主办了专门的刊物，名称就是《信息网络安全》；法学研究、政策研究、技术研究都以此为视角。2001年郑成思研究员在中共中央法治讲座的题目就是《运用法律手段保障和促进信息网络健康发展》，当时江泽民总书记做了题为“运用法律手段保障和促进信息网络发展”的讲话，此外，郑成思研究员在此方面发表的多篇论文，均称“信息网络”安全。其他学者对信息网络安全立法的注意程度也在加强。所以，只要强调了网络安全，就抓住了信息安全的主要矛盾，网络才是信息安全的基础，它本身就是信息技术的组成部分，又是信息存在和传输的载体。规范了网络的安全，自然可以达到网络信息的安全问题。而强调“网络信息”安全，其重点放在了信息，尽管是指限定于网络上的信息，但是，并不自然就能够涵盖对网络的安全规范。所以，使用这一概念，无论从内涵、外延，都与我们要解决的问题有一定差异，而立法必须明确其规范的范围。
　　（三）信息网络安全立法必须与网络立法同步
　　信息网络安全法律的特点、地位都与网络有关。甚至可以说信息网络安全依赖于网络的安全，所以，对信息网络安全的立法必须像网络法律体系一样健全才能有效。
　　1．侵害信息网络安全目的具有多样性。危害信息网络安全的人可能是出于经济目的，如利用信息网络进行的各种经济诈骗活动或者直接攫取钱财；也可能为了政治目的破坏对方网络系统或利用网络传输破坏性材料，如法轮功成员利用网站通过电子邮箱大量散布其材料；还有一部分是为了军事目的，战争伊始就首先破坏对方的信息网络系统，所谓“电子战”，从而破坏对方的指挥系统；另一类特殊的目的，既非政治、经济，也非军事目的，仅仅是出于显示自己的才能而破坏信息网络，如真正的少年黑客。这说明信息网络安全仅就破坏者这一个方面而言也是极其复杂多样的。
　　2．信息网络安全的综合性、广泛性。信息网络安全，不仅涉及到所有的经济部门，如金融、工业、商业、农林牧副渔、交通、通讯等无不涉及，还有全部行政部门，如文化、教育、卫生，司法以及军事等，涉及领域之广，无可比拟。
　　3．信息网络安全的技术性。特别要注意的是，网络本身是一项技术，其安全保护不仅需要法律，还需要技术措施，而保护信息网络安全的技术本身也需要法律保护。所以，在研究法律保护时，一定要考虑其技术性的特征，符合技术规律的要求。
　　4．信息网络安全法律优先地位。综上所述，信息网络安全的法律保护不是靠一部法律所能实现，而是要靠像网络结构一样的一个安全法律法规体系才能有效保障信息网络系统的安全。因此，信息网络安全法律在我国法律体系中具有特殊地位，兼具有安全法、网络法的双重地位，必须与网络技术和网络立法同步建设，因此，具有优先发展的地位。
　　
二、我国信息网络安全立法的现状及评析
　　
　　（一）我国信息网络立法现状
　　1．立法层次：
　　（1）全国人大常务委员会的决定，如《关于维护工联网安全的决定》（2000年12月28日）；
　　（2）《刑法》相关规定，第285条“非法侵入计算机信息系统罪”、第286条“破坏计算机信息系统罪”；
　　（3）国务院行政法规，《中华人民共和国信息系统安全保护条例》（1994年2月18日），《中华人民共和国电信条例》（2000年9月25日发布），《互联网信息服务管理办法》（2000年9月25日发布施行），《中华人民共和国计算机信息网络国际联网管理暂行规定》（1996年2月1日发布1997年5月20日修正），《商用密码管理条例》（国务院1999年10月7日发布）；
　　（4）最高人民法院司法解释，《最高人民法院关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释》（2000年11月22日通过，12月21日施行；2003年12月23日修改，2004年1月7日施行），《关于审理涉及计算机网络域名民事纠纷案件适用法律若干问题的解释》（2001年6月26日）；
　　（5）国务院信息办，《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》（国务院信息办1998年3月6日发布）；
　　（6）各部委制定的规章，涉及到信息网络安全的各个方面。如：《国际通信设施建设管理规定》（信息产业部2002年6月23日）；《计算机信息系统安全专用产品检测和销售许可证管理办法》（公安部1997年12月12日）；《计算机信息网络国际联网安全保护管理办法》（公安部1997年12月30日）；《计算机病毒防治管理办法》（公安部2000年4月26日）；《互联网站从事登载新闻业务管理暂行规定》（国务院新闻办公室、信息产业部2000年11月6日）；《铁路计算机信息系统安全保护办法》（铁道部2003年7月15日）；《计算机信息网络国际联网保密管理规定》（国家保密局发布，自2000年1月1日起施行）。
　　2．立法的数量和涉及的方面。根据统计，与信息网络有关的网络安全的立法已经接近百件，涉及面广泛。仅从以上列举的部分立法就可以看出，不同部门，不同行业所关心的信息网络安全的重点是不同的。在安全内容上，有设施安全、专用产品安全、国际联网安全、病毒防治安全、信息内容安全、行业安全等；在法律效力等级上，有法律、行政法规、行政规章，规章占主导地位；在法律措施上，主要采用对破坏信息安全责任人追究责任刑事、行政、民事责任的方式，对潜在的破坏人起到威慑作用。
　　（二）对我国现有信息网络安全立法评析
　　对信息网络系统安全立法的性质，以及建立系统的法律体系的必要性的认识不能适应形势的要求。将现有的全部信息网络安全法律、法规和规章进行排列，就可以看出两个问题：一是所有法规规章都缺乏立法依据，全部关于信息网络安全的规章大都没有充分体现积极防御的方针；二是可以看出国务院至少有三个部门在进行权力之争。最明显的是公安部、安全部、信息产业部。这也显示了我们对信息网络安全立法的性质认识不足。据说根据中央领导指示，由信息产业部牵头进行信息安全法的立法工作，可以预计，将又是一次难以协调的权力分配之争。有关国家安全的立法不应容许部门利益渗入，更不应将我国内部的矛盾用立法的形式有意无意向全世界披露。
　　我国始终应当将“防御”作为信息网络安全立法的宗旨，树立“国家安全至上”的立法目的。美国在9．11事件后，通过的《国主安全法》，把一切有关国家安全的事务都归到一部法律一个部门来管理，为了国家安全，不惜牺牲部分宪法赋予的权利。美国“国家安全第一”的思想值得我国在研究信息安全立法时借鉴。
　　为此，我国需要制定专门的信息网络安全法。许多不同领域的专家都有基本一致的看法，如赵林、李菁警建议，“制定一部信息网络安全法”，华东政法学院的学者建设“通过专门法律，解决信息网络出现的新问题”，也有提出制定一部涉及网络安全各方面的统一的信息网络安全法的建议。这些建议都只是在分析了我国信息网络安全立法现状基础上，借鉴国外立法经验基础上提出的。共同的特点是，就事论事，针对性很强。但是，很难从总体上系统地解决我国信息网络安全问题。因为，我国在信息网络的管理体制止和立法体制上存在特殊性，需要从管理体制和法律体系上理顺，才能够在立法追求并实现最佳效用。
　　
三、我国信息网络安全法律体系的初步设想
　　
　　（一）建立信息网络安全法律体系的必要性
　　网络创始之初衷是企图寻找一种撕破了仍能够互相联系的信息传输网络，但是今天的网络却相反，网络技术给互联网提供了无比快捷和便利。但是，一旦被侵害，极易瘫痪，事实上，并达不到原来想像的那样撕破了的渔网照样可以联系的效果。网络的发展从横向上使社会的各行各业从经济、政治、文化，纵向使上过去、现在、未来都纳入了一个极其脆弱的、难守易攻的系统。每一个直接使用网络的人，每时每刻都为各种各样病毒入侵担忧、烦恼，但是又被这个奇怪的网络驱赶着，为网络向人类生活的一切角落延伸、发展而努力。这是一种不以人的意志为转移的浪潮。这个浪潮在带给我们前所未有的快捷便利的同时，也给我们带来越来越严重的不安全。
　　人类历史上许多重大的技术成果都给人类带来巨大的进步和灾难，但是最终人类使用法律的手段将技术带来的负面影响限制在最小的范围。汽车的发明给人类文明带来的推动力无法估量，但是，累计因汽车事故给人类带来的死亡人数大大超过了世界大战造成的数字。可是经过对比可知，法制完善的国家比法制不完善的国家汽车数量要多，而因汽车事故造成的死亡的人数却要少得多。“中国的机动车保有量是美国的1/16，而交通事故死亡人数是美国的35倍；和日本相比，我国的汽车保有量是其1／9，而交通事故死亡人数是他们的22倍。”这说明，法制的完善有助于遏制技术发展带来的风险和负面影响。
　　网络技术在中国发展的势头高于任何其他技术，各行各业对网络的依赖程度近乎于疯狂，以至于任何不用网络的活动都被贬为落后。这与对网络安全的考虑相比极其不相称。今天全世界制造计算机病毒的力量肯定大于防范的力量，几乎是破坏者引领着防范者和救济者的步伐前进的。利用网络破坏我国经济建设的力量似乎也比防范的力量大，否则，就不会有那么多破坏者屡屡得手。而人们对网络安全的关心，甚至还不如对交通安全的关心。大部分网络使用者很少关心如何用法律手段来保护网络的安全。网络技术的发展与安全保护的失衡，表现之一就是没有把网络看作是一个重要的“战场”，信息网络所涉及的社会关系十分广泛，不仅成为社会生活的重要组成部分，而且与国家的政治、经济、军事紧密联系，围绕信息网络而展开的国际斗争已成为一场“没有硝烟的战争”。需要有一个司令部来统一指挥，需要充分发挥法律的功能，需要建立一张从技术到法律，从硬件到软件、从进口到出口、从设施到信息内容的法律法规构成为纬线，各行各业、各部门的法规为经线而织成的中国信息网络安全的“法网”，只有建立这样的法律体系，我们才能讲中国的信息网络安全的“法网恢恢，疏而不漏。”
　　（二）制定《中华人民共和国信息网络安全法》的建议
　　1．性质。《中华人民共和国信息网络安全法》是我国信息网络安全的基本法、或称“母法”，其他一切有关信息网络安全法规只能根据该母法制定。没有该法，形不成法律体系，就无法织出一张强有力的法网。
　　2．任务（目的）。应当明确：
　　第一，我国信息网络安全防护领导、管理体制；
　　第二，我国信息网络安全防护基本战略；
　　第三，信息网络安全保护的技术对策；
　　第四，信息网络安全执法者的权利限制及其对公民、法人法定权益侵害的赔偿；
　　第五，违反信息网络安全法律法规应承担的法律责任形式；
　　第六，信息网络安全有关证据的特殊规定；
　　第七，作为“母法”，对“子法”立法应当规定的事项；
　　第八，基本法应规定的其他事项。
　　3．信息网络安全法立法需要研究的几个问题。
　　（1）领导管理体制。A．正确认识信息网络安全的性质。最早的争议是：由国务院的一个部门来领导管理还是由国务院直接领导管理？如果由一个部门来管理，那么，由哪个部门或以哪个部门为主？虽然这种争议目前尚未彻底消除，但是，形势的发展迫使我们不得不将争议的焦点问题转变为：是由国务院来领导还是与军委联合领导、管理。如果承认信息网络安全是涉及国家安全和公众安全的特殊安全问题，那么问题的回答只能有一个，即只能采取军委与国务院共同领导、管理才能有效。共同领导和管理，存在如何分工问题，直接影响我国信息网络安全法律体系的建立。
　　从战略的角度讲，分别领导不仅浪费人力、物力，而且给敌对势力以及其他潜在的安全破坏者留下攻击的空隙。统一领导不排斥可以分别制定实施办法，以对应特殊管理的要求。
　　B．阻力最小的处理办法是，在基本法中不明确规定领导机构的名称。但是最理想的办法是在基本法中规定，由国务院与军委共同领导。明确规定，有助于发挥法律的确定性作用，以免在其他立法中走样、变形。
　　（2）安全防卫的基本战略。基本战略本来并不是必须规定的，但是也是可以规定的。我国许多领域的基本法，如《教育法》和《科学技术进步法》就明确规定了方针。信息网络安全基本法应当明确实行“积极防御”方针，有利于扭转长期对信息网络安全立法中消极防御为主导的思想。
　　（3）信息网络安全的技术对策。今年，我国在出现禽流感时，采取的对策是对疫区以外一定距离的禽类均注射防疫疫苗。这就是有效的积极防御。如果没有有效防止疫情传播的疫苗这一技术手段，我们就难以实行“积极防御”，能够做出的措施只能是提醒养鸡场或养鸡户注意卫生，在道路、鸡舍喷洒一般的消毒剂，结果流感必然继续蔓延，由于我们没有掌握医治受感染病鸡的药物，最强有力的措施只能是杀死深埋。从信息网络安全讲，我们还不掌握防御计算机病毒的技术手段，所以，很难有效实行“积极防御”的方针。其他国家我们无法知晓其是否有此技术，这是当今世界技术领域的绝密，远远高于“核技术”的密级。即使别国有，我们也不能得到，唯一的办法是我们自己研究，这需要大量的人力、才力、物力和风险承受能力，立法不能回避这一问题。要给予开发这种技术的人特殊的法律保障和保护，其权利义务与一般技术研究也应有所不同。
　　（4）信息网络安全法律法规执行中强制措施的限制与损害赔偿。任何安全保障法律法规执行中，不可避免会侵害相关人员的合法权益，法律要不要规定允许侵害的限度？具体讲《刑法》第21条第1款规定的“为了使国家、公共利益、本人或者他人的人身、财产和其他权利免受正在发生的危险，不得已采取的紧急避险行为，造成损害的，不负刑事责任。”但《民法通则》第121条规定：“国家机关或者国家机关工作人员在执行职务中，侵犯公民、法人的合法权益造成损害的，应当承担民事责任”。在信息网络安全上如何处理这类行为和后果？要不要在“母法”中规定，这是立法需要研究的又一问题。在发生严重恶性病毒攻击，无法制止时，为了国家的整体利益和安全，可能不得不暂时关闭一些网络通道，使一些使用网络通道的企业与第三方订立的合同不能正常履行，因而承担违约责任，基本法是否应当明确规定，由做出决定的部门承担赔偿责任，还是以紧急避险为由，免除赔偿，仅作适当补偿，或者作为不可抗力对待？为了制止侵害国家和公民利益的行为，采取防止损失扩大的措施，有权做出决定的部门采取法定，还是个案临时请示，也应当由法律明确。
　　（5）违反信息网络安全法律法规应承担的法律责任的形式
　　A．现行信息网络安全法律法规规章，因受到立法层次的限制，对违反规定承担法律责任的形式只限于《中华人民共和国行政处罚法》第8条“关于行政处罚的种类”规定的7种处罚形式。但信息网络安全立法是一种防御性的法律法规，要求有关人员和单位必须采取一定预防措施，而这种预防措施往往要求相关企业或其他单位、个人增加防护投入，从而增加成本，因而常常发生以不作为的方式不履行法定预防措施，对这些单位及其负责人只能采取罚款和责令停产停业。但这两种形式对不作为的单位或其负责人不起任何威慑作用。罚款不论数量大小，都由单位承担，不作为的领导人毫发不伤。至于“停产停业”看起来很严重，实际上没有可操作性，因为没有一个部门敢责令信息网络企业停业，涉及影响面太大。因此，现有法规的法律责任形式实际上没有威慑作用。
　　B．对信息网络企业只要有两条措施即可使法律法规起到威慑作用，一是对不履行法定预防措施的，给予治安处罚。《行政处罚法》虽然规定了行政拘留，但没有实际的执行人员和地点，所以是空话。而治安处罚不同，它由公安部门实施，由警察和看守所执行，不论多么“个性”的老总也不敢轻视不履行的后果。二是对拒不履行安全防御措施的企业，可以规定由政府委托其他企业代管，直至履行了安全防御措施为止。
　　C．违反信息网络法律法规的责任，必须有效率，要有效就要有威慑力，并有可操作性。
　　（6）信息网络安全纠纷有关证据的特殊规定
　　信息网络作为证据有以下特点：
　　A．无原件；
　　B．证据基本掌握在违反信息网络安全法规一方和境内外服务商，政府不掌握也无法掌握；
　　C．信息网络系统中的证据易修改、删除且不留痕迹，一旦删除无法恢复；
　　D．信息网络系统中存储的信息因设备容量有限，正常情况超过一定数量即自动删除更新，证据往往未及取得即被删除；
　　E．有的证据存在境外设备中，难以取得。
　　由于上述特点，涉及信息网络的证据，难以适用我国《民事诉讼法》、《刑事诉讼法》及最高人民法院《关于民事诉讼证据的若干规定》（2001年12月21日）和《关于行政诉讼证据若干问题的规定》（2002年7月24日），需要专门规定，另行研究。
　　（7）作为“母法”为“子法”立法应规定的事项
　　为避免我国长期以来存在的先有子法后有母法的不正常情况，我国信息网络安全母法应为子法立法明确规定法律依据，如：
　　A．各行各业信息网络安全规定由各业务主管部门制定，有必要报经国务院审批；
　　B．有关信息网络系统设施安全的法规由国务院发布；
　　C．有关信息网络系统信息内容安全的规定由国务院发布；
　　D．有关信息网络保密的规定由保密局制定，国务院发布；
　　E．信息网络涉及卫星的规定由国务院规定并发布；
　　F．信息网络涉及互联网或涉外的规定由国务院公布；
　　G．以上法规、规章的起草、补充、修改、审议、公布程序由国务院公布。
　　关于基本法的实施条例，究竟制定一部包罗一切的详细的实施条例好还是分别制定法规规章？这决定着基本法的实施速度与效率。前一种方式的最大缺点是因涉及面太广，容易拖延出台时间，影响母法的及早有效实施。分别制定可能更加有效。
　　H．对地方性立法的限制。安全立法必须统一，地方立法应有限制。
　　（8）作为基本法应规定的其他事项
　　A．定义，信息网络安全包括设施、软件及信息内容对国家的安全的预防和发生不安全情况的处理以及涉及信息网络安全法律的主体责任人。
　　B．配套法规的公布日期。配套法规直接影响《信息网络安全法》的实施，如能与法律一并实施无疑是有利的，但是我国立法没有这种惯例，可否借鉴日本法，与实施令同时公布生效；对这一事关国家、社会公共安全的重要立法，可以明确对一部分法规的法定公布日期、限期作出规定。
　　C．法律及相关法规、规章的解释权法定。
　　D．原有信息网络安全专门法规、规章的存、废、修改是否要明确规定。
　　E．对其他法律法规规章中有关信息网络安全的规定的审核（审核的责任人、期限、审议期间的效力）。
　　F．信息网络安全法律法规的执法部门是法定，还是由国务院规定？前者可以避免争议，后者较为灵活。
　　
四、结论
　　
　　信息网络安全立法必须统一，并自成体系，形成一张与信息网络一样的法网。其中最主要的纲绳就是《信息网络安全法》，处于中央地位，辐射出网状的各效力等级不同的、又相互衔接的规则，构建起保护国家、社会安全的基本法律制度。清理现存凌乱的信息网络安全法规规章，以基本法制定为主的信息网络安全法律体系的建立是当务之急。
　　

【大中小】【关闭窗口】

:: 站内搜索 ::

设为主页 | 收藏本站 | 友情链接 | 管理登录

本站主办：湘法社编辑：陈凯冰杜雨飞张兵廖学勤李东国王远向芳章静民田美娟赵群友邓涛王勤沙郭卫兵陈强伟曹明贾冉源策划：周军李佳嘉美编：邹碧霞韩君周翔技术：吴刚孙哲推广：郑民伟魏俊广告：穆隽许曾丰站长：吴伟联系电话：13508494647本站声明：湖南律师服务网的内容部分来源于网上，我们在这里转载的目的是为了提供更好的法律知识来普及法律，服务公众。但网站上的内容难以判断是否有侵权问题，故此如果您发现本站的内容侵犯了您的权益，请及时联系站长，我们会立即删除，保证您的合法权益。

本站QQ群：47609439 44894663 44894907 8837365 37823184

关键字：湖南省律师协会湖南长沙律师，李健律师，长沙律师事务所，湖南律师事务所，长沙房地产律师，婚姻法律师

网站备案编号:湘ICP备07000951号