想必大家在写论文的时候都会遇到烦恼,小编特意整理了一些《信息安全法律法规论文(精选5篇)》,仅供参考,大家一起来看看吧。摘要:当前,我国在个人信息安全及保护方面,一直还没有出台专门的法律,相关的法律规定零散地体现在多个法律规范中。《宪法》第三十八条对公民人格权的规定,被认为是作为公民人格权重要组成部分的个人信息权的宪法基础。虽然现行宪法并没有直接将个人信息权列入公民的基本权利之中,但一般来说人们均将个人信息权作为公民人格权的重要组成部分进行处理。
加强我军信息安全的法律保护
摘要:我军信息安全的法律保护,首先要有完善的信息安全法律体系,其次要加强信息安全普法教育,最后要加大信息安全执法力度。
关键词:信息安全;法律;保护
信息化时代信息安全问题是我军现代化建设和打赢信息化条件下局部战争所面临的一个关键的问题,单靠技术手段和行政手段来保障信息安全难以完全满足新形势下我军开展各项工作的客观需要。我们必须要用法律的手段来加强信息安全保护,为我军推进机械化信息化建设和打赢信息化战争提供安全保障。
一、完善信息安全法律体系
近年来,国家和军队先后制定颁发了一系列关于信息安全的法律法规,为维护国家和军队的安全与利益,整治与打击各种危害信息安全的违法犯罪行为提供了法律依据。但总体上还处于起步阶段,尤其是军队,还没有形成完善的法律体系,大多都是散见于各种条令条例,信息安全法制建设落后于形勢的发展和实际需要。因此,建立完善的信息安全法律体系已成为保证我军信息安全的基础工程。
(一)明确信息安全立法的目的
立法目的是衡量立法价值的基本标准,体现立法的宗旨、精神和基本原则。就军事信息安全法律来讲,立法目的本身的好坏,立法对其调整对象所采取的政策、方法是否符合和能实现信息安全法律立法的目的,是判断信息安全法律体系和优势的重要标准。随着以计算机技术为基础的信息化飞速发展,网络的高度普及,使得其成为了军队的神经中枢。近几场高技术局部战争已经给我们上了很好的一课,科技迅猛发展,军队比以往更加依赖网络信息系统,确保信息安全是当前我军各项工作面临的重大挑战。严峻的客观形势迫使我们必须加强军队信息安全立法,在原有的法律法规的基础上,把立法的重点放在计算机网络方面,加紧制定符合我军特点的网络信息安全法律,加强军队信息安全的法律保护,真正做到有法可依。
(二)理顺军队信息安全法律体系结构
国家的法律体系是一个完整的体系,不是各个部门法的简单堆砌,其理想要求是门类齐全、结构严谨、内在协调。军队信息安全法律作为军队法律部门的一支,制订过程中一定要根据自己的特点,充分考虑军队和地方其它相关法律,统筹规划,确保与其它法律的相通性、互补性。首先,要确立军事信息安全领域的基本法律原则、基本法律制度和基本法律责任,规范信息安全各方主体的权利义务关系。系统、全面地解决我军信息安全立法、执法中的基本问题。其次,具体的军队信息安全法律应由中央军委制定,各总部在依据中央军委制定的法律前提下,可以颁布各部门具体的实施细则,各大军区、各军兵种在法律和实施细则的指导下,根据自身的实际可以制定相应的军队信息安全行政法规。同普通的法律与法规的关系不同,军队信息安全立法除了上下位法的密切配合外,还要求上下位法的高度统一。其他法律法规可以根据各地方的情况作灵活的变通,军队信息安全法由于其特殊性,则不能有讨价还价的余地。因为军队信息安全作为打赢信息化战争的重要支撑,其重要地位不言而喻,绝不容许在上下位法出现间隙。
(三)确保军队信息安全法律的可行性
多年来,关于信息安全的法律出台多,基本立法原则和总体法律框架的搭建欠合理,立法总体上缺乏前瞻性、协调性和适应性。这些法律规范大多内容重复、交叉,造成多头执法和多头管理,重管理、处罚,轻服务、保障。另外,信息安全刑事法律规范实体法缺乏程序法的支撑,法律规定可操作性不强。如:我国刑事实体法对计算机犯罪的规定过于原则;刑事程序法在计算机犯罪案件管辖确定、侦察取证程序、电子数据证据效力、证明标准上存在立法空白,实践中难以操作。因此,军队信息安全法律在完善的法律体系下,应该适应信息化社会、信息化军队迅速发展的趋势,作出与之相适应的调整。从维护军队信息资源合理使用,维护信息正常流通,维护用户正当权利出发,更正“重实体、轻程序”的传统,在制定信息安全实体法的同时,也要制定相应的程序法,不但要明确“当如何”,更要明确“如何做”,使法律的功效落到实处,确保军队信息安全法律的可行性。
二、加大军队信息安全执法力度
军队信息安全法律的生命力在于它在军队各项工作中的具体实施,军队信息安全执法是军队信息安全法律实施的重要组成部分,也是军队信息安全法律实现的主要途径。
(一)确立军队信息安全的执法主体
军队信息安全执法是指军队各级保卫部门、军事检察院、依职权委托的其它组织及其个人,依照法定职权和程序,贯彻实施军队信息安全法律的活动,它包括一切执行法律、适应法律的活动。在建设法治国家的进程中,执法主体必须经法律授权。军队信息安全法的执法主体也不例外。所有执法行为必须都要有法律依据。军队信息安全的执法主体主要有军队保卫部门、军事检察院。然而,互联网不仅服务军队,同时也面向民众,这给军队信息的保密带来了极大的挑战。如何有效地保证军队信息不泄漏,仅仅依靠军队相关部门是不能完成这一任务的,必须同地方公安机关以及国家安全机关加强配合。建立起全面的执法网络,有效地监控打击关于军队信息安全的违法犯罪活动。
(二)把握军队信息安全的执法原则
政治工作信息安全执法原则是政治工作信息安全执法主体在执法活动中所应遵循的基本准则,根据我军开展各项工作的特点,我们认为军队信息安全执法原则有三:一是合法性原则。合法性原则是军队信息安全执法的基本要求,它包含主体合法、内容合法、程序合法三部分,以此来保障军队信息安全执法活动的权威性,防止执法权利的滥用。二是合理性原则。军队信息安全执法主体在执法活动中,必须要做到适当、合理、公正,即要符合军队信息安全法律的基本精神和目的,具有客观、充分的事实根据和法律依据,与部队日常管理相一致。三是正当程序原则。军队信息安全执法主体在实施执法行为的过程中必须遵循法定的步骤、方式、形式、顺序和时限,确保执法行为的公平、公开、民主,维护军队信息安全法律的权威性。
(三)提高军队信息安全的执法效率
军队信息安全执法作为一种特殊的执法,是与军事斗争的特征紧密联系的。军事法以维护国家的军事利益为根本目的和核心内容,军事领域的斗争是最为残酷的,军事斗争事关国家的存亡。作为军事斗争重要的信息安全领域,其得失直接关系各个军事斗争的组织、领导,关系着军事斗争的成败。因此,军队信息安全执法不最大限度的追求效率,就会给军队和国家带来无可估量的损失。它要求执法主体在执法时尊重科学,考虑客观规律,作必要的可行性分析和一定的成本—效益分析,效率优先,使信息安全执法行为具有最大可能的合理性。
三、加强军队信息安全普法教育
搞好信息安全普法教育是确保军队信息安全的治本之策,也是做好信息安全保密工作的基础和前提。随着我国上网用户的增加,上网信息的多元化,不可避免地带来了泄密隐患,增加了军队信息网络被侵入、被窃密的机会和可能。因此必须提高认识,从打赢信息化战争的高度抓好官兵的信息安全普法教育。
军队信息安全普法教育主要分为两类:
一类是军内人员。军内人员对军队情报信息的掌握是最直接最全面的,事实表明,很多军队信息的泄漏是因为军内人员造成。这主要是由于有部分官兵对国家军队制定的各项信息安全法律法规缺乏了解或者即使了解了也不严肃对待,以致在处理信息的时候具有很强的随意性。如有些军人在上网的时候随意谈论有关军事信息,其中有些信息已经达到了一定的密级,经过互联网迅速的传播,造成了极其恶劣的后果。因此对军内人员的军队信息安全法律法规的普法教育应该常抓不懈,深入细致。一是要营造信息安全普法教育氛围。要开展经常性的军队信息安全普法教育,普及信息安全法律知识,切实提高全军官兵的信息安全保密观念和警觉性。组织开展针对性、科学性强的多种形式的宣传、教育、学习活动,同时结合分析典型泄密事件,提高官兵对军队信息安全保密重要性和泄密危害性的认识。二是要建立信息安全普法教育制度。要有明确的教育任务、严密的教育组织、优化的教育形式,从而实现信息安全普法教育的制度化、规范化、经常化。三是要丰富信息安全普法教育内容。信息安全普法教育内容应随保密工作的形势变化和任务要求确定,并根据对象、时间、地点等客观情况的不同而有所侧重。四是要拓宽信息安全普法教育途径。可根据情况,因地制宜,结合时事政治教育、节假日等重要时机以及典型案例进行信息安全普法教育。
另一类是军外人员。一些地方人员对军事信息安全对国防的重要性缺乏认识,对相关的法律知之甚少。许多网络高手自以为互联网世界是其自治区,并以窃取军事信息这一互联网上最敏感、防范最严密的信息为荣,一旦获取,便四处夸耀,使得信息广为传播,对国防安全造成了极大的破坏。如1988年11月2日,美国康奈尔大学一计算机专业研究生通过网络入侵美国国防部、美军军事基地、宇航局等机构,导致电脑突然瘫痪,造成巨大损失。又如1999年几名英国电脑黑客通过计算机控制了英国一颗军事卫星,并向政府勒索巨额钱财。因此,随着因特网的迅速普及,加强对地方网民的军事信息安全普法教育已经迫在眉睫。对军外人员的军事信息安全普法教育要与地方相关部门密切配合,以地方为主。一是要大力宣传保证军事信息安全的重要性。利用各种媒体和渠道大力宣传国家军事信息安全的重要意义,使军外人员认识到保证军事信息安全,就是保部队安全,就是保国防安全和国家安全。随着这几年部队编制体制调整,在军事部门的非现役人员逐步增多,他们接触军事信息的机会、途径多,更是要重点加强教育。二是要结合地方的普法教育。各地方在进行普法教育时,应根据当地实际情况,增加相关国防法律和军事法律的教育,特别是部队驻地周边地区民众,更是要重点加强政治工作信息安全普法教育,使他们提高警觉,防止泄密。
参考文献:
[1]沈伟光著.解密信息安全.新华出版社,2000年第一版.
[2]张文显主编.法理学.高等教育出版社,2003年第二版.
[3]李玉茹.电子政务中的信息安全及其法律保护.信息系统工程,2004年第5期.
[4]刘品新.大力构建信息安全法律体系.信息安全与通信保密,2003年第2期.
本文为“985工程”二期——信息化条件下军队政治工作与院校建设国家哲学社会科学创新基地项目
作者:刘付军 许小明 匡巧艳
摘要:企业信息安全法律治理可有效保障国家网络与信息安全,捍卫个人权益,促进产业在“安全”中得以“发展”。我国相关立法中规定的企业安全保护义务多为静态性、措施性的管理性义务,不足以防御多变的安全风险;企业安全法规遵从激励机制缺失,合规动力不足;企业信息安全文化的普及力度欠缺。解决以上难题,应基于“法律治理”思维,将“法人治理”定位为企业信息安全法律治理的重心。在制度设计层面,适当借鉴美国企业信息安全法律治理在立法监管与企业自治中的有益经验,以信息安全法律治理的基本原则为指引,充分发挥立法激励作用,鼓励所有企业建立强制与自愿相结合的信息安全“法人治理”结构,对企业董事、高官人员的信息安全义务之履行予以充分重视,增强企业信息安全文化建设,凸显安全文化的价值。
关键词:法律治理;协同治理;信息安全义务;信息安全法人治理
文献标志码:A
以云计算、大数据等为驱动的新技术在引领企业向智慧企业转型的同时也打开了安全威胁的潘多拉魔盒:一方面,针对国家关键信息基础设施的持续性大规模网络攻击、企业系统漏洞、数据泄露等安全威胁呈现升级化态势;另一方面,因欧美网络与信息安全立法变革浪潮冲击、跨国IT企业合规僵局、贸易大战与地缘政治安全的复杂结构相交织,进一步加剧了我国信息安全的严峻态势。我国《网络安全法》将网络运营者定位为“协同治理”的中坚力量,并为其量身设定了安全义务体系。在此背景下,我国亟需以《网络安全法》的安全“保障法”定位为指引,在谨慎权衡“安全”与“发展”的基础上,积极探索中国本土化的企业信息安全法律治理之道,以提升《网络安全法》执法和企业合规的有效性,最大化企业在国家信息安全保障中的能量。
一、企业信息安全法律治理的提出
(一)企业信息安全法律治理之内涵解析:基于“治理”理论视角
“法律治理(Legal Governance)”的理论根基深植于“治理(Governance)”理论。“治理”理论源于西方,流派众多且各具差异,但对“治理”的核心要素即主体多元、平等、协作、共赢等存在共识。全球化趋势使带有工具理性特征的治理理论与法律相结合,在不同国家被重塑与本地化,领域多涉及国家、社会、城市、公司、网络等。新中国成立以来,中国法制建设开启了从管理迈向“法律治理”的革命性变革,对“法律治理”的倚重亦是国家治理能力现代化的标志。“法律治理”是指依据国家权力机关依法律程序制定的法律规则,政府、社会、市场等存在利益分化的多元主体通过合作、协调与互动的方式,实现共同利益与促进社会发展目标。我国学界亦认识到,“与高度复杂性和高度不确定性的时代相适应的社会治理模式应当是一种合作行动模式,只有多元社会治理主体在合作的意愿下共同开展社会治理活动,才能解决已出现的各种各样的社会问题”。
当我国从工业社会迈入网络与数字化社会,安全与发展成为基本的时代诉求。得益于治理理论对网络与信息安全立法的滋养,“协同治理”成为有效应对网络安全威胁的核心理念。“协同治理”是指处于同一治理网络中的多元主体间通过协调合作,形成彼此啮合、相互依存、共同行动、共担风险的局面,产生有序的治理结构,以促进公共利益的实现,其强调不同主体间合作的匹配性、动态性、有序性与有效性。我国《网络安全法》将“协同治理”定位为基本原则,其智慧在于:一是强调了安全治理应立足于政府的规范、引导与监督,政府决策应建立在统筹考虑、利益平衡的基础之上;二是强调应发挥政府、企业、社会团体及公民在内的多元主体参与,鼓励多元主体责任分担、协同合力,避免传统“善政”思维对政府责任的无限放大。
企业信息安全法律治理的提出是对“协同治理”理念的践行,其制度内涵包括:一是政府应不断优化网络与信息安全相关立法规范,提升立法技术,发挥“硬法”与“软法”的各自优势,為企业信息安全治理创造良好的外部法治环境;二是立法应引导和激励企业充分发挥“协同治理”的作用,将企业信息安全法人治理作为“重心”。在所有企业中建立自愿与强制相结合的信息安全法人治理结构,明确企业高管之信息安全义务,促进法人治理与安全文化相交融。
立法监管与企业法人治理是企业信息安全法律治理的有机组成部分,两者相辅相依。企业信息安全法律治理应立足于立法的引导、监督与鼓励,可分别通过设定指引性与禁止性法律规则为企业信息安全自治设定法定“基线”与违法“红线”,设定激励性规则鼓励企业守法与合规。企业应以法律原则、规则为治理依据,根据风险变化灵活优化企业法人治理结构,最终在政府与企业“二元”治理的有机互动中保障信息在处理、存储及流转中的完整性、机密性与可用性。
(二)企业信息安全法律治理的制度价值
企业信息安全法律治理凭借蕴含价值理性和道德判断的法律的介入,用法律权威将安全义务归化到企业,从而实现以下制度价值。
1.有效保障国家网络与信息安全,维护公共利益
网络安全现已对国家安全产生了全面的颠覆性影响,成为国家安全竞争的最前沿领域和国家安全变革的最难以预测的因素。威胁国家网络安全因素复杂多样,黑客攻击与数据泄露最为典型。大规模、高级可持续性攻击的目标正在从传统的IT系统转向石油、天然气、航空运输等关键行业的工业控制系统。关键信息基础设施运营者向社会公众提供的产品及服务具有公共产品属性,其安全防范中的弱项可能成为黑客攻击的“短板”,从法律治理的高度去应对企业安全难题则是较为有效的手段。
2.有效保障个人信息安全,捍卫个人权益
个人信息蕴含财产利益与人格尊严,我国立法将其视为基本民事权利。个人信息泄露常规路径有三种:(1)内部人员非法盗取、转卖;(2)企业在非授权范围内利用与经营用户信息;(3)恶意程序利用网络漏洞非法入侵数据库进而盗取、劫持个人信息。随着电子商务与社交平台迈入鼎盛时期,海量用户数据被企业抓取、整合、分析、画像,严重危及个人权益。很多人将数据泄露的“原罪”归于个人信息立法的不完备,而忽视了立法并未真正映射、内生于企业治理层面是数据泄露有增无减的内因。
3.促進产业在“安全”中得以“发展”
在信息化时代,很多企业(尤其是发展中国家企业)的信息安全治理水平令人忧虑。只有在解决安全问题的前提下,企业发展才能没有后顾之忧。从合规角度,欧美网络安全及数据保护立法变革给企业亦带来考验,如何进行安全合规、降低战略运营风险已成为大型企业走出国门时应考虑的问题。法规遵从并非结果,而是一个持续渐进的过程。建立内生于企业、业务流程及产品设计相融的安全治理机制才能促进产业在“安全”中得以“发展”。
二、我国企业信息安全法律治理:问题检视及治理“重心”的定位
(一)我国企业信息安全义务的法律渊源
法的渊源是指由不同国家机关制定、认可和变动的,具有不同法的效力或地位的各种法的形式。我国企业信息安全义务来源于三层面:一是《网络安全法》(简称“网安法”)及其配套的下位法;二是网络安全等级保护制度;三是相关国家标准及行业标准。网安法及相关配套性制度是我国企业信息安全义务的主要法律渊源,相关国家标准与行业性标准为网安法确立的安全义务提供了更为具体的实施依据。
(二)我国企业信息安全法律治理在立法实践中存在的问题检视:基于网安法“保障法”定位展开
网安法是国家网络与信息安全治理的基础性“保障法”。网安法颁布近3年来,国家层面和地方政府机构都开始专项检查和执法行动,从“执法第一案”进入执法常态化。从网安法的“保障法”定位去检视立法制度以及执法效果,仍存在一些问题。
1.企业安全义务多为静态性、具体措施性的管理性义务,而非内生于企业“治理”层面的义务
网安法明确了网络运营者的安全义务体系,其建构在实体性法律规范的基础上,并附加一些履行不能的法律责任,但仍暴露出一些问题:其一,网安法对网络运营者的诸多义务性规定多由政府主导自上而下施加,并通过国家、行业标准规定非常具体的措施性要求作为义务的主要内容,然后通过行政处罚等手段强制要求管理对象合规。而传统法律理论认为,过多禁止性法律规范会造成“管理型”立法而非“治理型”立法,减损执法效果。网安法及其下位法在规则设计时偏重于以技术性措施与管理性手段防控企业安全风险,以行政处罚手段震慑企业逾越法律“红线”的规制思路,易导致企业负责人以“不出事”的“管理”式思维被动合规,影响执法效果。其二,网安法设定的企业安全保护义务多为静态性、具体措施性的义务,缺乏对内生于企业的治理层面的义务的宏观考量,不足以应对多变的网络安全风险。如网安法第10条、第21条、第34条、第42条详细规定了网络运营者在保障网络数据三性、等级保护、个人信息保护方面的具体性规定,该规定多以“技术措施”“其他必要措施”及“补救性措施”等静态性、措施性规定为主。但网络的“静态”安全或“形式安全”无法从根本上应对网络安全风险的无界传播与溢出效应。随着技术的发展,移动设备、路由器、可穿戴设备、物联网等已逐步成为顶级攻击者的目标。美国国家安全局技术总监戴夫·霍格(Dave Hogue)称,黑客的速度非常快,只要安全漏洞公开发布,国家资助的攻击者可在不到一天的时间内将其武器化。快速化、新型化的安全威胁使企业的整体安全水平只取决于企业最“弱”的一环,而不是最“强”的地方。静态的企业安全风险管理思维已无法防御严峻的安全风险。正如有学者所言,“挂在墙上的资质证书完全无法应对真刀真枪的战略威胁”。
2.企业安全法规遵从的激励机制缺失,难以扭转企业信息安全治理的“被动”思维
在全球行政改革浪潮中,命令控制式规制受到广泛批评,激励性监管得到重视,人们发现规则如果能够与被管理者激励相容,会极大降低执法成本,提高合规动力。我国网安法建立起企业安全义务体系框架,并通过设置法律责任予以震慑并督促企业遵从,故企业法规遵从的基本动因仍基于法律的强制力。企业多具有逐利的理性人特征,多会将“安全”投入视为“成本”负担,加之安全意识普遍淡薄和违法不利后果的威慑力有限,易导致企业负责人以“不出事”的“管理”式思维被动合规。尤其是中、小型企业,网络安全资源有限,安全意识更为淡薄,对安全威胁的识别、防御能力低,易成为供应链安全的“短板”而降低整个供应链的安全性。对安全风险的静态与被动防御思维根本无法有效应对日益严重的安全危机。Cybereason联合创始人兼首席执行官所言:“企业在网络安全领域的投入每年都在增加,但新型攻击的发生率以及企业遭遇黑客入侵的情况并没有发生实质性的好转。”
3.企业信息安全文化的引导与塑造力度欠缺,不利于形成良好的治理生态
网络安全立法属于政治上层建筑,信息安全文化属于意识形态上层建筑,二者具有正相关的交互作用。尽管网安法已颁布并进入实施正轨,国家和各级政府也积极组织举办“网络安全宣传周”等活动,以此形式宣传安全文化,但安全文化仍然难以在企业层面深入人心。企业中的每一个个体都是安全链条中的重要环节,任何缺乏安全意识的基层员工及管理层的疏漏都会引发安全风险乃至整个安全防御链条断裂,引发难以预测的安全危机。
(三)我国企业信息安全法律治理的“重心”:法人治理
1.企业信息安全“法人治理”的内涵
法人治理在公司法学上主要指有关公司机关的权力分配与行使关系的制度体系。企业信息安全法人治理是指企业将信息安全保护义务充分融入企业机关的权力分配与权力行使关系中,以明确董高监及中基层员工的安全义务为核心,是企业内生的且能不断优化的信息安全治理结构。
2.企业信息安全“法人治理”的比较优势
其一,与技术治理及管理相比,“法人治理”可以充分发挥技术与法律二元共治,有机互补的优势。技术治理是一种运用确定性和精确性的科学知识,对网络社会中的人们的行为进行一定的管制,以期符合治理者自身利益的活动。然而,没有绝对完美的技术,安全风险总是存在。为了确保安全,技术人员也可能会过度使用验证、加密等技术而无形造成企业发展的壁垒。技术主管或安全监管部门仅是企业整体结构的一个很小的部分,仅从网络技术角度采取安全措施或是在发生安全事故时采取一定的措施,不能从全局的角度出发解决日益严峻的信息安全问题。故,我们需要蕴含价值理性和道德判断的法律的介入,通过自上而下的权力运作,用法律的规范作用将技术与人、部门、组织有机且动态相连,将对信息的“安全”“可控”的治理目标以“责任”的形式传递、归化到企业中的个体。
其二,“法人治理”可充分發挥企业自治的优势,以较少成本控制安全风险。企业是网络安全事件的受害者,同时也是施害者。在安全风险治理中,与政府、个人相比,企业具有天然的优势。企业是安全事件的直接参与者或受害者,对风险和安全隐患具有更强的感知、分析和应对能力。此外,企业具有保障网络安全的软硬件设施、专业的技术人才与资源优势,更易以较少的成本控制安全风险。
其三,企业信息安全法人治理回应了企业履行保障信息安全“社会责任”的时代诉求。施托伊雷尔认为,现代多中心主义的治理方式与企业社会责任是一体两面。它们以相似的路径重塑着国家与私人之间的关系。参与政府治理既是企业和个人享有的一项权利,也是其承担的一项社会责任。企业内部安全事件常导致社会及国家层面的较大负外部效应,作为国家网络安全保障的核心力量,企业应时刻意识到信息安全治理的社会责任往往蕴含着人权、社会稳定及国家整体安全的内容。
三、美国企业信息安全法律治理:立法监管、企业自治及启示
(一)立法渊源广泛,重视保障数据的“机密性”“可用性”与“完整性”
美国企业的信息安全义务的立法渊源广泛,主要包括联邦、州层面的法律法规、普通法、侵权法、合同承诺、商业标准、政府规章、国际法律法规及执法行动等。联邦及州层面的成文法律、法规是最主要的立法渊源,在立法措辞上多使用“安全(security)”与“保障(safeguards)”。企业的信息安全义务多以保护信息安全的三性为目的,在措辞上多使用“认证(authenticate)”、保护数据的“完整性(integrity)”“机密性(confidentiality)”及“数据可用性(availability of data)”等予以体现。如,联邦层面的立法包括1996年《健康保险携带和责任法案》、1999年《统一电子商务法案》、1999年《金融服务现代化法案》、2000年《全球及国内商务电子签名法案》、2002年《萨班斯-奥克斯利法案》、2003年《保护网络空间的国家战略》、2015年《网络安全法》等。以上立法涉及医疗健康、电子商务、金融、企业内控等方面,涵盖企业保障信息安全“三性”的一般义务性规定。
(二)企业信息安全义务主体为所有企业,义务客体涵盖“所有数据”
美国企业信息安全治理义务主体涵盖所有行业部门的所有企业。尽管早期的个别成文法将企业的信息安全义务限定于某一行业内的企业,但随着美国网络与信息安全立法数量的增多,实际上所有企业承担了立法赋予的信息安全义务。在司法实践中,美国企业信息安全义务的法律演进始于联邦贸易委员会(FTC)反公平贸易的实践,随后众多的州立法持续跟进,法院通过一系列司法判例将企业信息安全义务扩展至所有企业。2002年起,借助于一系列的执法行动及同意令,美国FTC根据《联邦贸易委员会法》(FTC Act)关于反公平贸易的规定扩大了其执法行动的范围,认为企业即使未对信息安全状况作出虚假陈述,但怠于履行个人信息安全保障义务本身就是一种不公平的贸易行为。2004年,加州颁布了一项立法,规定所有企业应采取合理的安全措施与实践,保护加州居民的个人信息免受未经授权的访问、破坏、使用、修改或披露。随后,其他州也纷纷效仿,加入立法行列。此外,通过典型案例的审判,法院也开始意识到所有企业都有保障个人信息安全的普通法义务,未能履行该义务即构成侵权。
值得一提的是,近年来美国政府意识到小企业在美国制造业供应链中占据重要地位,但在国防工业基础方面存在弱点,尤其在网络安全威胁和数据泄露方面也存在脆弱性及安全漏洞。2018年,美国总统特朗普正式签署《NIST小企业网络安全法案》(NIST Small Business Cybersecurity Act),将小企业的网络安全风险防御与治理纳入美国联邦法律。此外,美国企业信息安全义务的客体为所有的公司数据,主要包括个人数据、其他公司数据、电子记录。个人数据保护与美国源远流长的隐私保护制度密切相关,众多联邦立法及州层面的立法都有明确规定。其他公司数据包括公司财务数据、交易记录、税收记录。
(三)更具弹性的“合理安全(reasonable security)”标准是衡量企业信息安全治理成熟度的法定基线,“合理安全”以“程序导向(process-oriented)”为评判标准
美国著名密码学家Bruce Schneier经典名言,“安全是一个过程而并非结果(Security is a process,not a product)。美国人早已意识到信息技术快速更迭必然带来新的安全风险,法律的稳定性难以应对新的安全危机,企业的信息安全义务的衡量标准应更具弹性与张力。美国立法并未明文规定企业应采取什么样的具体安全措施以确保企业获得足够的安全保障,而是要求企业满足更具弹性的“合理安全(reasonable security)”标准,与之类似的还有“适当安全(appropriate security)”“合适安全(suitable security)”。“合理安全”标准并非特指具体的安全措施,而是在实践中可发展、可改进且能有效应对安全风险的动态标准。企业是否履行信息安全义务以“程序导向(process-oriented)”为主要评价标准。企业信息安全的法律标准要求公司实旋综合性的及书面性的信息安全程序,包括:(1)识别被保护的信息及其系统资产;(2)进行周期性的风险评估以识别公司所面临的资产威胁、脆弱性评估及其威胁发生后造成的损失;(3)选择并实施适当的安全控制措施以控制风险的识别;(4)监控与测试项目以确保其有效性;(5)根据项目的变化进行不断的审查与调试,包括进行常规性的独立审计并在必要时进行报告;(6)监督第三方服务提供者的协议。实际,以上的过程并非一成不变,还可被不断地审查、修订及升级。在美国的司法实践中,“程序导向型”的公司信息安全法律标准是基于GLBA的规定,首先应用于一些关于金融行业的企业信息安全规制中。随后,HIPAA也有类似的规定。
除上述成文法规定外,美国FTC认为企业应将“程序导向型(process-oriented)”标准作为企业最佳实践(best practice)应用于所有企业,未能履行该标准的企业将被FTC裁定为未履行“合理的”信息安全义务。在一些典型案例中,“程序导向型”成为司法实践中法官认定被告是否违反“合理安全”义务的主要审查标准。
(四)优化的“法人治理结构”是企业信息安全治理的重心
美国政府认为建立自律且持续完善的企业信息安全治理结构是应对企业信息安全难题的有力手段。早在2003年8月,美国商业软件联盟(BSA)信息安全特别工作组在华盛顿召开的商业软件联盟年度CEO论坛上提交了名为“信息安全治理:从框架迈向行动”的白皮书。白皮书认为,尽管政府已经制定了众多的法律规制企业IT安全,但企业建立有效的、可持续的信息安全治理框架仍不可替代。2004年12月,美国国土安全部(DHS)在加州圣克拉拉市主办的“国家网络安全峰会”成立“法人治理工作组”并发布了“信息安全治理行动倡议(call for action)”报告。该报告将企业理想的企业信息安全治理结构以企业规模为分类标准,归纳为大型企业、中型企业、小型企业及公共机构几种类型(见图1-图4),为企业信息安全治理结构的建立与完善提供了指引。
(五)明晰CEO及高级管理人员信息安全责任是企业信息安全治理的关键
美国企业CEO及其高管人员的信息安全趋于明晰,如2004年美国“信息安全治理行动倡议”的报告从职能主体层面明确了大型、中型、小型及公共机构在总裁、首席安全官、首席信息官、首席风险官、部门负责人、中层主管,以及雇佣员工层面的信息安全职责,为企业信息安全治理义务的明确提供了指引(见表1)。
(六)启示
从以上内容综合分析来看,美国企业信息安全治理具有如下鲜明的特征。第一,美国企业信息安全法律治理呈现出立法监管与企业自治有机结合与互补的特色。在国家立法监管层面,美国没有单一立法明确规定企业应采取什么样的具体的安全措施以确保信息安全“三性”,而是為企业设定了一个更具弹性的“合理安全”的法定基线,企业是否履行义务在司法实践中以“程序导向”为评判标准。由此可见,国家立法监管在企业信息安全治理中仅起到宏观引导与规范的作用,而不同类型的企业在如何合规中倚重“程序正义”的指引,两者各有其作用发挥的空间。第二,企业信息安全治理的定位明确合理,即企业信息安全治理是“法人治理”问题而非技术问题或管理问题。立法鼓励不同规模的企业根据自身实际量身定做最优化的法人治理结构,从而将信息安全治理深度融入企业机关的权力分配与行使关系中,最终将信息安全融入企业的文化基因。企业自治在信息安全治理中更为核心,是有效实现信息安全“合理安全”的关键。第三,美国企业的信息安全治理义务覆盖大、中、小型企业。近年来,美国开始意识到小企业是供应链安全中不容忽视的一环,将对小企业的安全风险防控提升到立法层面,这表明美国意识到网络安全风险严峻,网络安全的“短板效应”需要“整体安全”的防御思维予以消解。第四,企业信息安全法人治理的关键环节在于明晰大、中、小型企业,以及公共机构的高、中级管理人员的信息安全责任,清晰的责任分配机制有利于企业内部不同部门的协作与追责,实现企业信息安全法人治理效用的最大化。
四、企业信息安全法律治理的中国进路
企业信息安全法律治理成熟度是衡量国家网络安全强弱与否的重要标尺。中国企业信息安全法律治理应在借鉴发达国家有益经验的基础上立足于本国国情,妥善处理好安全与发展、立法监管与企业自治的关系。在立法层面应明确企业信息安全法律治理的基本原则,充分发挥立法对于企业信息安全治理的指引、监督与激励作用,激励企业从被动“合规”迈向主动“治理”,将信息安全文化融入不断优化的企业治理结构中,以助力网络强国建设。
(一)企业信息安全法律治理应谨慎权衡“安全”与“发展”的关系
尽管网安法标题贯以安全,但安全与发展天平却不能失衡。立法对于“安全”的过分倚重将制约发展,难以确保整体国家安全。发展是化解安全危机的前提,发展意味着我们将掌控、利用更为先进的技术、产业,培养出成千上万的安全顶级人才去促进安全。发展思维将使我们扭转任何封闭与停滞的观念,例如辩证地将漏洞攻击与信息泄露视为安全防御能力的提升和治理手段的完善会为我们提供丰富的实践案例和经验教训。反之,网络安全立法对“发展”的过分倚重将导致社会机体对安全风险抵抗力的降低或丧失。
我国信息与数字化的水平与发达国家相比较低,产业低端重复、创新乏力是痼疾。谨慎权衡安全发展需要我们不忽视具体国情,充分发挥“治理”型立法的引导、激励作用。一方面,企业信息安全法人治理应立足于国家“整体安全”防御思维,即重视关键基础设施运营企业,也兼顾小型企业网络安全,以消弭安全“短板”;另一方面,企业信息安全法人治理结构应“量体裁衣”,重视规范个体责任和企业安全文化的普及。
(二)优化我国企业信息安全法律治理的基本路径
1.立法应明确企业信息安全法律治理的基本原则
(1)依法治理原则。一方面,企业信息安全治理应基于国家引导与立法规范,以相关法律原则、规则为治理依据;另一方面,企业应以法律为遵从基线,依法确立法人治理的组织架构、安全管理与技术标准、产品设计、研发流程等。依法治理原则既要求企业有法可依,亦要求企业有法必依。企业有法可依需要网络安全法制体系的建立与完善,为企业遵从营造一个法制化的环境,而企业有法必依则考验企业高管对于法规遵从的智慧。
(2)CEO参与原则。企业信息安全是企业法人治理层面的问题,应该引起CEO的高度重视与参与。一是企业CEO应参与企业信息安全的战略规划与政策制定;二是CEO应参与、监督、协调企业信息安全政策的执行;三是CEO应对企业信息安全义务的履行不能,承担相应的责任。
(3)透明度原则。企业信息安全法人治理结构应当是企业法人治理的一个子集并确保其透明化。企业对安全事故的披露也应当透明化。企业在安全事故发生后,依法以特定的方式及时将该安全事故信息、潜在的风险、采取的措施通知监管部门和利益相关者。尽管信息安全的披露在短期内会增加企业利益减损,但从长远看有益于增强相关行业和整个产业抵御安全风险的能力。
2.充分发挥立法的引导与激励作用,鼓励企业从“被动”合规迈向“主动”治理
法律的激励功能、惩戒功能同组织管理功能一并作为法律的三大基本功能,激励功能的社会认同感最强。激励法律的制定是基于人们对不同利益的需求,通过给予利益,激发人们的积极性,从而实施法律所希望的行为,不仅给行为人带来利益,也能达成立法者预期的某种效果。与美国相比,我国网络安全立法起步较晚,企业网安法合规欠账多,法规遵从需要企业投入更多的资金与人力成本,故一些企业存在畏难、抵触情绪。我们需要思考如何在发挥立法惩戒功能的同时发挥其激励功能,调动企业守法能动性,使企业从“安全是成本”转变为“安全是投资”,进而从“被动”合规迈向“主动”治理。完善网安法的激励功能,鼓励行业自律与企业自治,根据企业信息安全法人治理的成熟度给予物质性、精神性及责任豁免性奖励,具体激励方式可包括并不限于财政补贴、税收激励、政府项目優先(如资源申请优先)、精神性表彰或奖励及责任豁免。
3.立法引导和激励企业建立“强制与自愿相结合”的信息安全“法人治理”结构,消弭安全“短板”
企业信息安全法人治理结构的建立和优化应当成为我国企业信息安全法律治理的重心。立法应当鼓励所有企业根据其实际情况构建“强制与自愿相结合”的法人治理结构。建议延续网安法的制度设计思路,对国家网络安全保障中具有“关键性”及“战略性”的关键信息基础设施(CII)运营者进行强制性法人信息安全治理,对于非CII运营者则以立法激励与企业自愿为主。强制性的制度内容包括:第一,对于大、中型CII运营者构建层级清晰、权责分明的信息安全法人治理结构,并将其作为法人治理结构的一个子集予以重视。企业董事会(或董事长)、高层主管应从战略上重视对安全风险的“感知一抵御一应对”,将防控安全风险融入企业战略规划、资金预算、业务拓展、产品研发与销售等关键环节,最终将安全融入企业文化。
企业信息安全法人治理的关键在于明确企业的董事会(或董事长)、CEO(或总裁)、高层主管(包括首席安全官、首席信息官、首席风险官及部门主管)、中层主管及普通员工的信息安全职责:(1)企业董事会(或董事长)应当从战略上充分认识信息及信息安全的重要价值,确定企业重要资产,统一部署企业综合性、全局性的信息安全计划(如企业级漏洞响应计划或综合性风险评估计划),监督企业高管定期汇报信息安全计划执行的适当性和有效性。(2)CEO(或总裁)是企业信息安全的直接负责人。应当确保知悉企业的战略计划、风险偏好及运营策略,在此基础上制定、升级企业的信息安全政策,监督企业对国家法律法规的全面遵从;对企业其他中高层主管、员工分派信息安全责任、义务及权力,明确不同层级人员因法规遵从或企业信息安全计划产生的授权行为与执行责任,监督、协调企业信息安全政策的执行;向董事会报告企业信息安全政策的执行,包括关键风险识别、风险评估结果、企业风险耐受水平及风险防控计划;选任专业资质的信息安全官执行企业信息安全政策;确保企业有充足的人力、财力及技术资源以执行安全政策。(3)企业高层主管应确保企业的安全政策与企业战略、业务的一致性,与公司内外的利益相关方沟通协调;检查企业信息安全政策的进展和执行,确保安全法规的遵从;确保企业的信息安全保护措施与企业可能承受的信息安全风险相匹配;与各部门负责人协调一致,定期向CEO(或总裁)汇报信息安全计划的执行情况;确保企业员工接受有效的信息安全培训并知悉企业的安全政策。(4)企业中层主管在风险评估和成本最小化的基础上执行企业的信息安全计划;定期测试、评估企业的信息安全控制技术、措施,确保其有效运行;确保雇员、合同相对人和用户对企业信息安全责任的履行。(5)企业员工应知悉、遵守企业的信息安全政策,及时报告政策的弱点及突发性信息安全事件的影响。
第二,对于资金有限、安全保护措施不够完善的小型CII运营者,可考虑给予一些资源支持与协调,确保其构建与自身实际相符的安全治理结构。充分重视企业总经理或中层主管信息安全责任之履行,包括总经理应当确保公司战略、运营流程与企业信息安全治理需求相融合;识别企业重要资产、评估信息系统安全风险、制定应急计划等;确保企业对于安全的资金投入;中层主管应当负责执行企业的信息安全政策,阶段性地测试评估信息安全控制项,确保有效实施;确保对企业雇员的信息安全培训
4.重视企业董事、高级管理人员信息安全义务的履行,将其作为《公司法》董事、高级管理人员“忠实与勤勉义务”的适当延伸
忠实与勤勉义务是现代治理结构下企业董事会成员对于公司的法定义务。我国公司法第148条对董事及高级管理人员的忠实与勤勉义务作出了明确规定。实践中,董事及高管义务有扩大趋势,这源于法律从“股东至上”到对企业社会责任及利益相关者权益保护之重视。目前,严峻的信息安全风险正威胁着我国国家安全、社会稳定及个人权益,企业应勇于承担保障信息安全的社会责任,这也依赖于企业董事及高管对于信息安全义务的积极履行。企业董事及高管的信息安全义务可作为公司法层面“忠实与勤勉”义务的有机组成部分,包括:(1)基本的信息安全义务,即确保企业对国家网络与信息安全立法制度(如CII保护,网络安全审查、数据出境评估等)的全面遵从,配合、协助执法检查。(2)履行其在企业信息安全法人治理中的核心义务,包括被保护的信息与资产的识别;制定、升级企业的信息安全政策;安全风险评估;确保企业员工接受有效的信息安全培训;确保企业有充足的人力、财力及资源实现公司的安全政策。此外,还可鼓励公司章程中增加董事、高管对于保障企业信息安全的注意义务,接受公司股东与公众的监督。
5.引导和促进企业信息安全文化建设,深度融入企业法人治理中,以凸显安全文化的价值
法律对于安全风险的防控需要借助文化的力量,通过主流文化的传播使法律价值得到普遍认同,从而有效提升法律的实施效果。企业信息安全文化建设可助力于修复不同社会主体的安全认知“漏洞”,提升企业在网络安全保障中的效用。企业信息安全文化建设不可忽视两个层面:一是重视企业信息安全文化在法人治理层面的融合。企业信息安全文化不只局限于员工安全培训等常规活动,还应当在企业的总体战略、理念、形象识别、业务规划、生产过程控制及监督反馈等各个方面融合安全文化的内容,最终将安全文化融入企业法人治理结构中;二是重视从企业高管到基层员工的“个体”信息安全意识的提升,将安全意识与个体责任挂钩,使“人”成为企业安全风险防御的最强大资产。安全文化的普及与人的安全意识的提升是对抗攻击的最有效的武器。
(责任编辑 胡志平)
作者:张敏 马民虎
摘要:当前,我国在个人信息安全及保护方面,一直还没有出台专门的法律,相关的法律规定零散地体现在多个法律规范中。《宪法》第三十八条对公民人格权的规定,被认为是作为公民人格权重要组成部分的个人信息权的宪法基础。虽然现行宪法并没有直接将个人信息权列入公民的基本权利之中,但一般来说人们均将个人信息权作为公民人格权的重要组成部分进行处理。本文探讨分析了个人信息安全需要法律制度的保护,以供参考。
关键词:个人信息;泄露;安全;保护;法律
个人信息的财产定位是人们实现自我价值的需要。我们在研究信息主体的个人信息必须得到法律保护和舆论支持的同时,不要忽视个人信息在流转期间积极的社会影响。把握好信息主体对个人信息的掌控度,既能保护好自己的合法权益,又要积极地投入到社会发展的经济建设之中,不对社会造成危害。这需要我们严谨的划分个人信息权的保护区域,考虑到个人信息的个人需求和社会需求,不止满足人格权的要求,也要从信息流转的角度处理好信息在使用过程的权利和义务,制定出符合中国国情的个人信息法律保护体系。
一、个人信息法律属性的思考和辨析
(一)财产权客体说与评析
无论是我国学者还是欧美学者一直试图用财产权理论解决个人信息保护的问题。从所有权客体的角度去分析,东西方由于语境上的差异,财产权的范围有所不同。在个人信息保护的财产理论方面尚存在需要达成共识的部分:第一、个人信息是否包含“财产”的基本特征,也就是有用性、可控性和稀缺性,这三者缺一不可。此争议是目前理论界最大的客观存在。第二、信息主体对个人信息是否具有绝对的控制能力,还有转让后个人信息的归属问题也存在争议。第三、个人信息一旦被定义为财产,会不会导致信息主体位移为客体,违背了个人信息立法人格尊严需要保护的原则问题。以上这些都需要进一步商榷,以求法律的重视。
(二)人格权客体说的新趋势与评析
人格权包括:个人信息权、隐私权、姓名权、肖像权和名誉权。个人信息权是最新纳入人格权范畴的。他从两个方面反映了个人信息权与人格权的必然联系。首先个人信息权在人格的成长过程中起着至关重要的作用,对人格性意义有绝对的保护作用。其次,个人信息权维护了个人的经济利益,保护个人也就是信息主体对个人信息的支配权,使信息主体的人格尊严得到保护,避免受到来自外界的对个人信息侵犯。明确个人信息的正常流转流程。关于个人信息的各种现实诉求得到满足以后,努力实现与现实法律制度体系的融合。这样的做法比较妥当,可操作性也比较强,只有个别问题需要关注,比如处理好人格权之间各种因素的关系,彼此的交集和分歧等。
二、信息安全保护
(一)刑法保护
近年来由于互联网的普及,网络个人信息犯罪行为迅速增加。《刑法修正案(九)》相关规定进一步将“出售、非法提供公民个人信息罪”的犯罪主体范围扩大,而且特别规定,对于履行职责或者提供服务中获得公民个人信息并构成犯罪者从重处罚。刑法修订对个人信息的保护主要体现在两个方面:一是加大对非法出售、提供、获取公民个人信息等侵害个人信息的行为的打击力度;二是强化信息管理者的安全管理义务。
(二)民法保护
与宪法一致,我国现行《民法通则》及相关司法解释主要通过人格权对个人信息给予间接保护。2010年开始施行的《侵权责任法》正式确立了隐私权,并明确了侵害隐私权的责任,同时还规定了网络侵权责任,增强了对个人信息的保护。2014年修订的《消费者权益保护法》,第二十九条新增加了关于经营者方面的两项义务,(1)经营者在进行收集或使用消费者个人信息时,必须遵守法定的相关义务,对收集使用个人信息的目的、方式及范围等相关情况,须向消费者表明且征得其同意,并且不能违背法定的或约定的收集使用要求。(2)保障个人信息的完整和安全的义务。其他关于个人信息安全方面的法律规定。针对消费者个人信息频遭泄露等系列社会问题,信息监管部门加强了对个人信息保护规章的制定。国家工信部发布的《电信和互联网用户个人信息保护规定》,对利用网络个人信息的行为进行了规制。以及2016年11月7日十二届全国人大常委会第二十四次会议刚刚通过的《网络安全法》,关于个人信息泄露等方面的问题,规定网络产品或服务等具有收集用户信息功能的,提供者应向用户明确表明,并且应取得相关个人的同意;规定网络运营者不得违法随意泄露、篡改、毁损其收集的个人的相关信息。
三、法律保护的完善
(一)制定《个人信息保护法》
统一的信息保护法所具有的系统性、权威性和强制性是分散的立法模式所能企及的,其系统性有利于明确个人信息保护与利用中的基本问题。
(二)个人信息保护的人格权属界定
从前面的分析可以看出,个人信息所涵盖的利益包括人格和财产两个方面。在这两者之间,首先要维护人格尊严,这个对人格权的客观界定,是从维护信息主体的社会属性角度出发的。作为社会主体的个人要享受基本的人格尊严。对于个人信息应该受到保护的突出要求,只有依靠法律的维护才能推动社会的变迁。个人信息权益的保护是法律进一步完善的需要,也是社会进步的需要,法律制度中的人格权界定能更全面的实施个人信息保护,从而推动社会个体人格的成长,并使个人信息走上规范、法制的流转体系之中。各个国家和地区都在积极探索完善对个人信息财产利益的保护。但所取得的成效有区别。但从理论层面上看,我国的人格权理论的发展不止是对人格权的利益维护,已经上升到私人精神利益的维护,同时把个人信息利益延伸到经济领域,全面实施保护。范围涉及个人信息排他性有权支配,自己有支配个
人信息是否进行商业活动的各种权利。法律和司法实践已经认同了个人信息具有财产利益。我国法律明确规定了侵害人身权益所应得到的赔偿范围和价值。这里所说的财产损害就是指人格要素的侵权行为。所以人格权界定以后,个人信息的财产利益马上有了坚固的防火墙。人们在不断的现实诉求中,越来越懂得以法律保护自己,人格權中的财产观念开始逐渐深入人心。法律所赋予的财产利益的范围更加广泛和清晰。特别需要关注的是,个人信息的财产价值,并没有改变人格要素的根本属性,是从人格要素中繁衍出来的。个人信息的经济价值只要不与伦理价值相违背,法律应该保护信息主体的个人信息商业自由。无论从法律还是理论层面承认个人信息的财产价值都是为了保护信息主体的尊严和权利。
(三)创立个人信息管理机构
相关调查结果表明,大多数公民都不清楚向哪个部门或机构投诉,就是投诉成功了,一些受理机构也会存在百般推脱的现象,最终还是得不到解决。因此要想达到减少公民个人信息受侵害事件的目的,信息主管机构的设立是非常必要的。
(四)优化个人信息保护的司法救济
虽然个人信息泄露和滥用事件频繁发生,但拿起法律维护自身权利的人却不多,其中一个重要原因是维权成本高,成功率低。大数据时代,侵害个人信息安全的行为方式多样且隐蔽,侵害主体难以确定,举证难度大。因此,现有的法律救济方式有必要进行一下调整和优化。
(五)实行过错推定原则
过错推定,是指在诉讼中被侵权人能证明侵权者的违法行为与被侵权人受损害事实二者之间存在因果关系时,如果侵权人不能证明自己对已发生的损害没有过错,那么就推定侵权人有过错并承担相应的赔偿责任。因此,对于个人信息安全方面的侵权,应采用过错推定原则。过错推定责任既能减轻个人的举证责任,又能警示信息处理者切实履行安全保障义务,小心谨慎地使用个人信息。
四、结束语
个人信息的财产定位是人們实现自我价值的需要。我们在研究信息主体的个人信息必须得到法律保护和舆论支持的同时,不要忽视个人信息在流转期间积极的社会影响。把握好信息主体对个人信息的掌控度,既能保护好自己的合法权益,又要积极地投入到社会发展的经济建设之中,不对社会造成危害。这需要我们严谨的划分个人信息权的保护区域,考虑到个人信息的个人需求和社会需求,不止满足人格权的要求,也要从信息流转的角度处理好信息在使用过程的权利和义务,制定出符合中国国情的个人信息法律保护体系。
参考文献:
[1]洪海林.个人信息的民法保护研究[M].北京:法律出版社,2010.12.
[2]韩迎春.个人信息权保护模式探析[J].前沿,2010(12):109.
[3]胡卫萍.论我国个人信息权的法律维护[J].成都理工大学学报(社会科学版),2013,21(4):26-31.
[4]陈思编.当前时代背景下公民个人信息法律保护的完善建议[EB/OL].中国法院网,2016.
作者:许广懿
摘要:在当前网络信息安全形势日益受到关注、并极大融入与影响社会生活的形势下,文章对当前我国有关网络信息安全的现状与立法状况作了分析,并就如何加强网络信息安全立法及对民众网络信息安全的保护提出了建议。
关键词:网络信息安全;网络立法;信息安全法
一、 网络安全问题的产生
网络信息安全问题是随着计算机网络化技术的发展而必然伴生的一种事物,因其高技术性,从一开始各国对于信息安全立法就感到棘手。
互联网与生俱有的开放性、交互性和分散性特征使人类所憧憬的信息共享、开放、灵活和快速等需求得到满足。同时也伴随产生许多安全问题:信息泄漏、黑客、个人隐私受到侵犯、知识产权保护、及个人信息发布的限定等等问题都出现了。利用网络进行违法犯罪活动的情况也日趋严重。在网络环境中,一些组织或个人出于某种特殊目的,进行信息泄密、信息破坏、信息侵权和意识形态的信息渗透,甚至通过网络进行政治颠覆等活动,使国家利益、社会公共利益和各类主体的合法权益受到损害等问题也一直存在。
二、涉及网络信息的犯罪现状
在各领域的计算机犯罪和网络侵权方面,无论是数量、手段,还是性质、规模,已经到了令人咋舌的地步。据有关方面统计,目前美国每年由于网络安全问题而遭受的经济损失超过170亿美元,德国、英国也均在数十亿美元以上,法国为100亿法郎,日本、新加坡问题也很严重。在国际刑法界列举的现代社会新型犯罪排行榜上,计算机犯罪已名列榜首。在我国,网络信息安全状况也不容乐观,据公安部近年全国信息网络安全状况暨计算机病毒疫情调查报告发布会数据显示:信息网络安全事件发生比例为62.7%,计算机病毒感染率为85.5%,多次发生网络安全事件的比例为50%,多次感染病毒的比例为66.8%,说明我国互联网用户的网络安全意识仍比较薄弱,对发生网络安全事件未给予足够重视。在发生安全事件的类型中,感染计算机病毒、蠕虫和木马程序依然十分突出,占72%,其次是网络攻击和端口扫描(27%)、网页篡改(23%)和垃圾邮件(22%)。
三、网络信息安全立法保护现状
1.我国网络信息安全立法。我国对信息网络安全的立法工作一直十分重视,从20世纪90年代中期以来出台了一大批专门针对信息网络安全的法律、法规及行政规章。属于国家级的法律,有全国人大常委会2001年12月通过的“关于维护互联网安全的决定”。属于行政规范的,已有1994年的《计算机信息系统安全保护条例》,1996年的《计算机信息网络国际联网管理暂行规定》、《中国公共计算机互联网国际联网管理办法等,属于地方性法规的,则有上百件。我国法院已经受理并审结了一批涉及信息网络安全的民事与刑事案件。
此外,我国1998年在起草合同法的最后阶段,增加了有关网络电子合同的规范内容。我国1999年在制定预防未成年人犯罪法中,规定了“任何单位和个人不得利用通讯、计算机网络等方式”提供危害未成年人身心健康的内容与信息。2000年是我国网络立法相当活跃的一年,专门针对网络的立法,包括最高人民法院的司法解释,达到几十件,超过以往全部网络立法文件的总和,其调整范围涉及网络版权纠纷、互联网中文域名管理、电子广告管理、网上新闻发布、网上信息服务、网站名称注册、网上证券委托、国际互联网保密管理等许多方面。这些立法及管理活动对推进我国网络健康发展是非常有益的。
2.美国网络信息立法。美国是计算机网络信息技术的发源地、网络技术的先导者,也是最早制定相关网络信息立法的国家。美国国会通过的有关网络信息的法律主要涉及以下几个领域:(1)加强信息网络基础设施保护,打击网络犯罪,如《国家信息基础设施保护法》、《计算机欺诈与滥用法》、《公共网络安全法》、《计算机安全法》、《加强计算机安全法》、《加强网络安全法》;(2)规范信息收集、利用、发布和隐私权保护,如《信息自由法》、《隐私权法》、《电子通信隐私法》、《儿童在线隐私权保护法》、《通信净化法》、《数据保密法》、《网络安全信息法》、《网络电子安全法》;(3)确认电子签名及认证,如《全球及全国商务电子签名法》;(4)其他安全问题,如《国土安全法》、《政府信息安全改革法》、《網络安全研究与开发法》等。
在2002年3月通过的《联邦信息安全管理法案》中,信息安全被定义为“保护信息和信息系统以避免未授权的访问、使用、泄漏、破坏、修改或者销毁,以确保信息的完整性、保密性和可用性。”其中完整性是指防止不恰当的信息修改和破坏,也包括确保信息的不可否认性和可认证性;保密性是指对信息访问和公开的授权限制,包括对个人隐私和私有信息的保护;可用性是指对信息的及时和可靠的访问。
3.中美信息安全立法的差距。与美国有关的信息安全立法情况相比,我国的网络信息立法有较大差距,主要体现在如下几个方面:(1)网络立法的立法层次较低。从我国信息安全立法的效力层次、制定机关来看,我国网络立法力度不够,立法层次低。多停留在部门规章的层面上,以“管理办法”、“管理条例”或“解释”等形式出现,而全国人大、国务院层面上的网络立法还很薄弱,缺乏一部关于计算机网络安全的根本法。就我国现行的网络虚拟空间来说,只有一些部门的行政规章来加以规范和调整是远远不能适用的。严格意义上的网络法律,我国现在还没有颁布,随着网络实践的不断深入和网络越来越融入人们生活,制定一部完整的规范网络的法律就显得十分迫切和必要了。(2)法规的内容方面。我国网络立法具有很明显的滞后性,所涉及的内容多为信息系统与网络系统安全上,而在网络利用方面以及有关调整网络行为的立法规范还有许多空白。而且立法具有笼统性,内容宽泛,针对性较差。与美国相比较,我国的网络立法仅相当于美国1997年左右的程度,美国自1997年以后,对网络立法更具体、更具针对性。(3)体现在效力方面。目前我国网络立法集中在部门层级,针对本行业或本领域在计算机网络中的安全与使用问题,虽然在某种程度上对规范网络行为起到了积极的作用,但存在各自为战、交叉重复、资源浪费等弊病。并且这些规章条文简单,实践中不便于适用。这就导致其效力低,交叉重复,可操作性差。
四、我国网络信息安全案件诉诸法律难
网络信息安全问题目前是各国普遍面临的难题,因网络用户非实名制、网络行为虚拟性及网络操作的隐蔽性,使得网络行为很难为他人所察觉,更不会象传统社会行为那样存在目击者或是留下物证,其行为是肉眼看不见的。其证据或行为的唯一痕迹就是以“0”和“1”数字表示的一连串二进制代码,要破解其操作的具体指令必须借助高科技手段,而且这些数字痕迹更容易被覆盖和篡改。因而对网络案件及行为的侦查须具备一定的高科技设备和计算机网络专业技术,对人才要求也比普通警员要求更为严格。
1.人们对网络行为的合法性认识难。计算机网络的面世一开始就是以自由、开放、放任和无序的网络虚拟空间吸引世人的参入,其唯一的限定在于操作者个人的应用技术和能力。因传统的观念和法律尚无法去适应新技术的发展与应用。曾有人这样形容网络虚拟空间的自由度:“只有你想不到的,没有你做不到的。”网络技术初期阶段为了吸引和推广普及计算机网络在公众中的应用,各国政府都对网络虚拟空间的行为采用了放任自由的态度。原本自由的行为却要给其戴上一个紧箍圈,当然人民一时无法难以接受,也不愿意失去自由。因此,人们对网络相关法律的认识和学习热情难以维系,对自己的行为是否合法性也没有引起足够的认识。
2.适应法律规定难。由于我国信息立法还处于积累经验,不断探索完善的过程,网络法律法规如此之多,又出自不同部门、不同层次的机构,这给在现实社会中法律对网络信息安全案件的适用带来了很大困难。法律法规之间重复规定或是相互矛盾现象时有发生,这种情况不但给普通民众知晓、了解法律带来了困难,也给相关部门在执法时适用法律带来了很大困难。
3.法庭取证、质证和判决难。网络案件的发生往往在微秒之间,犯罪嫌疑人只要轻点一下鼠标就可以从千里之外完成一次犯罪行为而不留任何痕迹和声响,受害者往往无法直接感受到针对自己的犯罪发生。等到发现受到损害时,也许犯罪活动早已无从得知,只有当犯罪行为再次针对受害人发生时,侦察人员才可能捕获相关犯罪信息。因此,这给计算机网络犯罪的侦查带来了很大的困难,法庭的取证、质证等相应的工作也存在难以克服的障碍。再加以相关的法律法规的繁杂重复,法庭适用法律判决也存在困难。
五、加强网络信息安全立法,保障公民个人网络信息安全的举措
1.增强全民信息安全意识。为了增强全民的信息安全意识,美国国土安全部主导了一个国家网络安全意识和培训计划,具体包括实施一项全面的国家级意识培养项目,使得所有美国人都能够保护其自身所处的网络的安全;实施足够的培训和教育项目,以支持国家网络安全的需求;提高现有的联邦网络安全培训项目的效率;推动私营部门对得到良好协调的、广为认可的网络安全专业认证体系的支持。
2.加强法制教育,提高公民素质教育,让普通民众能懂得自觉尊重他人隐私、自覺约束自己的网络行为是尤为重要的。从艳照门事件来看,人们已经无视了其个人信息安全权益的保护,更多的体现一种窥探他人隐私的劣根性和私欲,所有人都把焦点和矛盾指向了受害者的不是,指责其行为的不端,而无视自己却正在违反法律和道德的行为。这不能不使人感到人们的法制意识与守法自觉性的缺失。在“艳照门事件”中,最受伤害的、应该受保护的是这几个当事人,可他们却并没获得人们的半点同情,也没人去指责“艳照门”始作俑者。
参考文献:
[1]中国互联网络发展状况统计报告:第20次[EB/OL].中国互联网信息中心(CNNIC),2007:7.
[2]潘凤焕.网络信息安全与政府管制[J].北京市经济干部管理学院学报,2005,(9).
[3]武喜涛.论我国网络犯罪的立法完善[J].江苏警官学院学报,2006,(3).
[4]宗润.美国政府应对信息安全事件的策略[J].Net Inforsecurity,2005,(2).
[5]http://www.infosec.org.cn/.(责任编辑/ 姜超)
作者:叶 茜,李润松
摘 要:近些年来,物联网异军突起,发展迅速。依赖物联网技术建立起来的人与“物”的直接对话模式以及“物”与“物”的间接对话模式从根本上动摇了传统法律对信息安全的法律保护。因此,重新构建物联网时代用户信息安全法律保护体系迫在眉睫。分析物联网发展过程中所产生的信息安全问题,并就此提出相关建议,这对保障物联网经济运行的安全,推动其又好又快发展,具有重大意义。
关键词:物联网;信息安全;法律保护
物联网是指通过射频识别(RFID)、红外感应器、全球定位系统、激光扫描器等信息传感设备,按约定的协议,把任何物品与互联网相连接,进行信息交换和通信,以实现对物品的智能化识别、定位、跟踪、监控和管理的一种网络?。具体而言,就是将传感器安置在物体上或者嵌入人体,其目的是实现所有的物品与互联网的连接,提升“物”的“智能”化水平,以便准确掌控和实时调度资源,提高资源利用效率和生产力水平。
物联网用途广泛,在其发展的短短十几年间,就显示出了蓬勃的生命力和超强的发展潜力,遍及交通运输、工业监测、医疗护理等多个领域。因此物联网技术受到了各国普遍重视。
2005年,国际电信联盟(ITU)在其报告《ITU互联网报告2005:物联网》中指出,无所不在的“物联网通信时代”将要来临。2009年,美国率先提出“智慧地球”这一概念。同年10月,欧盟执委会发表了题为“Internet of Things·An action plan for Europe”的物联网发展规划,促使物联网在欧盟地区进一步发展。2009年日本亦制定了和“J-japan”信息化战略,推进物联网在各行业的应用。物联网的发展在国内同样受到高度重视。同样,我国也非常注重物联网产业发展,并于2011年制定了《物联网“十二五”发展规划》,扩大资金投入,加大政府政策支持力度,推动物联网规模化发展。
以上这些事实都充分说明,想要在未来的全球竞争中取得制高点,重视物联网的发展是必不可少的。但我们在对物联网产业发展前景充满期待的同时,也应该提出担忧。我们在享受物联网的发展带来的生活“智能”化的同时,也必须清楚的看到其对国家、社会乃至个人信息安全的传统法律保护所带来的巨大挑战。
1 物联网体系架构
目前,对于物联网的体系,国际上基本形成了统一的认识。第一层是感知层,感知层的主要任务是利用RFID、传感器、EPC等获取物体的基本数据,达到“全面感知”的目的,这是物联网得以形成的基础;第二层是传输层,传输层要解决的主要是数据获取后传输给使用者的问题。通过各种通信网络与互联网的融合将物体的信息并进行甄别筛选然后及时有效地传递出去;第三层是应用层,将所获取的有效数据进行实际运用,如智能交通,智能电网等。
2 物联网信息安全问题
2.1 感知层的信息采集安全问题:信息采集是感知层的主要任务,是物联网赖以发展的基础,亦是最容易形成信息安全漏洞的环节。感知层几乎都是通过无线网络来采集、传输信息数据,这迫使无线信号暴露在公共场所中,极容易被犯罪分子非法干扰、盗用。进入21世纪,有专家学者称,我们进入了“玻璃社会”,借助RFID和互联网,我们身边的各类物品都可变成开口说话的“网民”,人们可能在毫无知觉的情况下,被定位和追踪。如果物联网技术在中国普及实施,如何保证公民个人隐私和有关企业、国家等公共信息的安全采集尤其重要。并且在物联网技术的实际使用过程中,传感器多被用来定位指挥机械设备,通过远程操控设备来完成一系列高精度、高风险的工作。在此种状况下,这些设备装置大都安放在人烟稀少的地方,相应附着的传感器即处于无人监管的状态,攻击者能很容易地对这些设备所承载的传感器进行破解或损坏,甚至通过破译传感器通信协议进行非法操控,对公民和国家构成极大威胁。
2.2 传输层的核心网络安全问题:一方面,物联网自身数据传输技术存在局限性。现有的互联网技术虽然具备较高的信息安全传输保护能力,但是由于物联网中存在的巨大的用于识别和收集信息的节点,一旦出现海量信息数据同时发送的情况,传输网络极易被拥塞,服务器崩溃,产生拒绝服务的自我攻击结果。此外,如果攻击者侵入数据库,获取数据库信息,公民隐私泄露,关乎国家安全的数据信息被盗窃,将会带来巨大的灾难,所以如何有效保护网络层的传输与存储安全显得十分重要;另一方面,信息筛选、甄别的复杂性。海量的数据需要应客户需求分类、整合,然后传递给客户,这需要强大的数据的处理和管理能力,如何保证事关用户隐私、国家机密的数据准确无误的传到用户手中,避免数据因误传而导致信息泄露等问题产生,这也是制约物联网发展的瓶颈。
2.3 应用层的安全应用问题:物联网的核心是通过“物物相联”提高“物”的智能化水平,进而应用于各行业解决实际问题。而物联网的部署和连接是交叉进行的,运行时其拓扑结构不断发生变化,这就导致应用终端的输入、输出控制困难,存在着应用终端与感知节点的远程签约识别困难,病毒、黑客、恶意软件的攻击,3G终端的不法利用等问题?。对公民自身而言,类似银行卡、信用卡、身份证等敏感物品,如果被他人掌控,轻者造成财产损失,重者可能带来生命危险;对国家而言,如果军事设施、银行等公共机构非法掌控,不但不利于社会经济的可持续发展,而且还会对国家政权造成巨大威胁。
3 物联网信息安全问题解决措施
3.1 立法层面,建立健全信息安全法规体系
物联网是新兴产业,其本身仍处于成长状态,如果过早的用法律进行干涉可能适得其反,降低创业者的积极性,阻碍其发展。在国家调整产业结构,转变经济发展方式的节骨眼上,应该顺应其发展趋势,从法律上保障物联网优先发展地位。笔者认为,对于物联网产业对国家和公民所带来的信息安全风险,应该从加强公民对物联网的认知,以保护国家根本利益和公民隐私为基础,在标准、技术、监管等各个层面统筹立法,进一步落实信息安全等级保护制度。另外,我国目前现有法律制度存在对于信息安全的保护仍旧停留在传统网络的规制上,而不是贯穿整个物联网过程。因此,在将来的立法中有必要统筹全局,统一部署,对物联网三层架构各自所存在的问题进行有针对性的立法,最后再通过修订,编撰,将零散的法律条文体系化,明确法律在物联网发展过程中的引导地位,确保用户在处理信息安全等问题时有法可依。
3.2 用户层面,加强消费者对物联网的认识,提高其法治理念
在物联网时代,用户的个人信息绝大部分被数据化并存储在各种数据库中,然而用户由于缺乏对于物联网的正确认识,难以准确知晓自己的隐私何时何地受到侵犯。可以想象未来物联网广泛应用情况下,个人的一举一动均可能随时被不同的系统所记录,个人隐私被窥探的可能性增大?。但是目前,我们在消费者教育方面做得仍不够好。政府应对物联网所涉及的信息安全法律保护知识利用“普法活动”等进行大规模的宣传。若用户具有保护自身隐私安全的法治意识,随手销毁使用过物品的电子标签,诸如快递单,实名制车票等,这将有效的遏制信息泄露?。同时,提高消费者法治理念也可防止因不懂法而违法利用他人信息数据,导致侵权问题发生。相反,如果消费者不能准确掌握物联网的相关基础知识,无自我隐私保护意识,毫无头绪地被动适应物联网,个人隐私权的法律保护根本无从谈起。
3.3 技术层面,加强技术研发,积极参与制定相关标准。
目前,物联网正处于蓬勃发展时期,我国企业抓住时机,投入大量资金进行研究,取得了斐人的成绩。在世界传感网领域,我国与德、美、韩一起成为国际标准制定的主导国,目前已站在国际物联网竞争的制高点?。但物联网专利技术申请数据显示,我国物联网技术研发更侧重于物联网应用方面,而芯片设计和制造能力则相对较弱。一方面企业应结合现实需要,重点研究物联网核心技术,如感知层信息采集时信号易暴露问题等核心问题。另一方面企业应在专注于科技研发的同时,还必须转变发展思路,要积极投身于专利申请和标准制定活动中,利用专利法等法律文件保护自己合法知识产权。
3.4 从国家层面而言,建立信息安全防御体系
十八届三中全会后,国家设立中央网络安全和信息化领导小组,从顶层设计的角度统筹国家信息网络安全,这一点是值得肯定的。信息安全是事关国计民生的大事。研究物联网信息安全问题,不应囿于研究来自经济领域的挑战,应拓展至政治领域。国际社会瞬息万变,建立国家级信息安全防御体系非常有必要。具体说来,就是建立覆盖全国的信息安全实时监测、分析报告、紧急处理、信息共享、资源互补等制度,联防联控,统一部署,避免管理混乱、指挥不当、效率低下等问题,真正形成从问题发现到完美处理的全过程无缝化智能防御体系。只有将信息安全提升到国防安全的高度,才能有条不紊的处理来自国内外的各种信息安全问题。
4 结束语
我国对于物联网信息安全的法学研究,多是在研究物联网技术的同时关注了信息安全问题,因此,提出的解决建议就比较零散,比较宏观。物联网的发展,特别是物联网中的信息安全的保护问题,需要技术界和法律界协同合作来完成。一方面从技术开发上保障信息安全,另一方面,则研究保护制度,从制度上保障安全。两者缺一不可,只有将两者有效的结合,我们才能期待物联网又好又快的发展。
参考文献:
[1]王晓静,张量.物联网研究综述闭[J].辽宁大学学报:社会科学版,2010(01):37-40.
[2]叶青.物联网安全问题技术分析[J].网络安全,2010:33.
[3]刘中梅.物联网时代与个人隐私权的保护[J].科技与法律,2011:94-96.
[4]曲亦萍.社会信息化与隐私权保护[J].政法论坛,1998:7l-74.
[5]中国共产党新闻网:物联网要技术、更要市场[N],(2011-11-14)
[2014-3-10].http://cpc.people.com.cn/GB/64093/82429/83083/16232539.html.
作者简介:黎林(1992-),男,四川阆中人,本科在读,研究方向:经济法学。
作者单位:湖南大学法学院,长沙 410082
作者:黎林 王素林 仇思颖 田如园
推荐阅读:
国际法规制网络信息安全论文(推荐3篇)05-01
我国法律制度网络信息安全论文(精选3篇)05-05
医院信息安全法律法规(精选9篇)01-06
浅析大数据时代用户信息安全法律保护09-13
信息系统管理中信息安全论文05-01
信息安全论文题目05-09
信息安全论文提纲11-15
信息安全与安全建设论文提纲11-15
电力信息系统信息安全技术论文05-13
信息化档案信息安全论文提纲11-15
