编者按:网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制,直至安全系统,其中任何一个安全漏洞都可以威胁全局安全。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏。信息安全是任何国家、政府、部门、行业都必须十分重视的问题,是不容忽视的国家安全战略。
信息安全问题是世界各国共同关注的焦点。面对严峻的信息安全挑战,各国都加强了信息安全维护力量,努力采取各种措施防范信息安全对国家安全和社会稳定的威胁。世界上已有50多个国家和地区颁布了保护信息安全的法律,特别是一些国际组织和欧美等发达国家,在维护信息安全,净化网络环境,保护信息消费者合法权益等方面,都坚持依法重拳出击,维护信息安全,其经验值得借鉴。
一、国外保障信息安全法制建设的具体措施
(一)一些区域性国际组织强调信息安全是国际安全体系的重要组成部分
为维护信息安全,一些区域性国际组织不断出台维护信息网络安全的国际公约。世界各国对维护信息安全已经形成广泛共识,认可把危害信息网络安全视作违反《联合国宪章》的行为。国际上已诞生多个相关国际公约。欧洲经合组织1992年通过《信息系统安全准则》。世界科学家联合会2000年8月将信息安全威胁列入21世纪人类所面临的各种威胁之中。八国首脑会议通过《全球信息社会冲绳宪章》,提出国际社会共同努力消除信息差距,推动各国实现共同发展、普遍繁荣的发展目标。同年,欧洲委员会制定《打击计算机犯罪公约》。这两个国际公约都认定危害信息安全的网络攻击是犯罪行为。
(二)美国坚持把信息安全法制建设放在事关国家安全的位置保障优先发展
美国历来就将信息安全视作维护国家安全的重要环节,是世界上第一个引入信息战概念的国家,也是信息安全法律规范体系建设较系统的国家。美国信息安全法制建设的萌芽可追溯到1946年,自1978年以来,美国国会及政府各部门先后通过了130余项相关法律法规。美国是网络世界真正的主宰力量,组建了世界上首个黑客组织--国际互联网名称和编号分配公司。美国积极推行互联网战略的实质,就是要利用其向世界各国推销政治、商业和文化价值观,谋求美国最大的政治、商业和文化利益。长期以来,美国在联网政策上一直推行对内坚持“严格管制”,对外要求“信息自由”的“双重标准”。美国历来重视打击危害信息安全的犯罪行为,其早就注意到以国内法来弥补国际法的不足,并坚持随形势的变化,不断强化信息安全的法律保护。目前,美国正在采取措施改变主要依赖于企业应对信息网络威胁的防护模式,转由军队来直接保障信息网络安全。
(三)欧盟积极推进维护信息网络安全的法律规制体系建设
区域性国际组织欧洲联盟(EU)的信息安全法律规制体系,是以保障整个欧洲信息安全为目标,具有鲜明的区域特色,突出体现在制定法律的主体、效力层次以及所涉及的内容等三个方面。欧盟信息网络安全法律规制的历史可追溯到1992 年的《信息安全框架决议》。1999年,欧洲议会和欧盟理事会通过《关于采取通过打击全球互联网上的非法和有害内容以促进更安全使用互联网的多年度共同体行动计划的第276/1999/EC号决定》,为欧盟介入互联网管制提供法律依据。欧盟比较早地对保障信息安全的若干重要法律问题进行初步规范,并且从不满足仅仅通过技术手段来保障信息网络安全,而是向所有利益相关者阐明信息网络安全的责任,通过合作与交流,不断提高全社会的信息网络安全意识。欧洲理事会《关于打击信息系统犯罪的欧盟委员会框架决议》规定,应受到惩罚的犯罪包括“非法接触信息系统、非法进行系统干扰、非法进行数据干扰”等。从事鼓动、帮助、教唆和试图实施上述任何犯罪行为的,也要承担法律责任。欧盟通过颁布法律文件,坚持从涉及数字网集成服务、网络准入制度、信息保护等有关信息网络安全诸多方面,指导各成员国加强信息网络安全法律规制建设。通过长期坚持不懈的努力,欧盟已初步构建了内容丰富、体系完整、走在世界各国前列的信息安全法律框架。
(四)英国坚持依法组建新信息安全机构,积极网罗精英人才护卫信息安全
英国是信息网络较发达的国家,一贯坚持将网络安全与历史上重要安全政策相提并论,其信息网络安全的指导思想是:“正如19世纪我们必须在海上确保国家安全和繁荣,20世纪在空中确保国家安全和繁荣一样,在21世纪,我们同样必须确保在网络中的阵地安全,从而给予民众和企业能够在那里安全活动所需的信心。”英国重视依法监督管理网络信息,既有明确赋予相关机构监听权力的《规范调查权法案》,也有打击互联网犯罪的《防止滥用电脑法》,还有保护个人隐私的《数据保护权法》和《隐私和电子通信条例》。法律明确要求互联网服务商必须依法安装相关系统,帮助执法机关追踪电子通讯。得益于完善法律框架下进行的信息网络监管,有效地维护了英国信息网络的安全和健康发展。特别是为防止信息网络被用来传递有害信息,防止孩子们受到信息网络上色情、暴力等不良信息的影响,英国依法采取了许多监管措施。近年来,英国信息网络上可能对青少年造成不良影响的内容逐年减少。
(五)法国坚持健全国家信息系统安全机构,确保网络空间战和打击网络色情行为的主动权
为维护和保证国家信息安全,法国专门完善国家信息公开的管理与监督制度措施,成立了由最高法院、审计检察院、国民议会等机构的代表以及法国档案馆馆长、政府出版局局长等共同组成的独立机构--“关于获取行政文书的委员会”(CADA),对信息公开异议进行审查,通过构建权力制衡体制有效提高国家信息安全的保障能力,避免国家信息公开过程中的泄密事件发生。为进一步提高国家信息安全的保障能力,法国参议院发布《网络防御与国家安全》专题报告,明确提出网络信息安全已成为国家安全密不可分的一部分。法国坚持对网络色情行为科以重罪。1998年6月,法国对《未成年人保护法》中有关制作、销售、传播淫秽物品的定罪量刑条款作了修改,确保从严从重处罚利用网络手段腐蚀青少年的犯罪行为。法律规定,向未成年人展示淫秽物品者可判5年监禁和7.5万欧元罚款;上述行为发生在网上,面对的是身份不确定的未成年受众,量刑加重至7年监禁和10万欧元罚款。法国非营利组织“电子-儿童”协会负责向学校和家长免费提供家庭网络管理软件,指导学校和家长对儿童进行防毒害保护。法国近年来还进一步加强与周边国家的联手,破获国际犯罪集团设立的黄色网站和亵渎儿童网站。根据法国议会2001年6月通过的有关信息社会安全的法律条款,司法部门可以对网上的侵权、诈骗、黑客和制造网络病毒等行为予以刑事追究,除没收作案工具、经济制裁外,还将根据犯罪情节予以不同期限的刑事监禁。
(六)德国坚持通过强化专门法律提高信息安全保障能力
德国最早着手信息网络安全的立法工作。1997年8月,德国正式实施《多媒体法》,这是全世界第一部规范计算机网络服务的单行法律。德国一直把依法遏制不良和有害信息及利用网络传播儿童色情信息犯罪作为重点。为此,德国议会专门通过一项法律,规定信息网服务提供商有义务查封含有儿童色情内容的网页;设立监管信息网的警方监控办公室,负责向信息网络服务商提供应该查封的网站名单。德国联邦内政部和联邦警察局坚持24小时跟踪分析网络信息,并调集打击色情犯罪的专家和技术力量成立24小时“网上巡警”调查机构。德国联邦内政部长明确主张在信息网络上安装“反黄软件”,依法阻止用户打开色情网站,特别是严厉禁止浏览未成年人黄色图片。如果未成年人进入了黄色网站,该软件应根据注册资料作出判断,立即切断网络链接。
此外,俄罗斯也坚持不断完善信息安全立法,健全国家保障体系,重视建立完善的信息安全保护国家系统,积极健全保障信息安全的法律、标准和措施。日本坚持依法规制信息网络,坚决围剿和打击网络色情行为,坚持依法确保未成年人的信息服务安全。因为有法可依、有章可循,日本信息网络上虽然实行匿名制的用户占主流,但网络虚拟世界里仍然秩序井然。韩国坚持加强信息安全立法和推进网络实名制规范,政府坚持依法审查信息网络机构,坚持逐步推行“网络实名制”,网民们对此也持积极支持的态度。
二、中外在保障信息安全重要性认识上的差异比较
(一)从战略地位层面来看:一些区域性国际组织明确强调把保障信息安全作为国际安全体系的重要组成部分,美国则坚持把保障信息安全的法制建设放在事关国家安全的位置来优先发展,并正式启动网络司令部以应对网络攻击。韩国国防部也计划成立网络司令部及规模为200人左右的独立部队,少将级将军负责指挥。而中国目前虽然认识到了保障信息安全对国家安全的重要性,但仍然没有把保障信息安全放到国家战略的层面来推进。这是导致中国在信息化建设中缺乏长远战略目标,信息化法制建设缺乏基本法的一个关键原因。
(二)从法制建设层面来看:西方国家对信息网络安全及其衍生出来的问题都予以高度重视,都坚持大力推进保障信息安全的法律规制体系建设,对网络监管毫不手软,对网络犯罪坚持依法从重从快打击。而中国信息化法制建设虽然也取得了一定成效,但完善的法律保障体系还没有建立起来,而且建设的推进速度还比较缓慢,甚至有些地方立法已经走在了国家立法的前面。各地探索依法规范信息安全的压力与积极性都比较大。
(三)从保障信息安全的组织措施层面来看:许多国家都坚持依法组建新的或提升保障信息安全的机构,不断健全国家信息安全机制,不择手段地网罗精英人才护卫信息安全,确保赢信息战的主动权。而中国的思想认识还没有跟上全球信息化发展的形势,对掌握赢得信息战主动权的重要性认识还不到位,导致组织措施不到位、法制促进机制没有到位,许多具体工作的推进难以有作为。
(四)从提升信息安全保障能力层面来看:许多国家都坚持通过不断完善信息安全立法,健全信息安全保障体系,来提高和强化保障信息安全的能力。而中国的信息化法制建设由于受制于经济发展阶段,谋求提升信息安全保障能力的意识、措施都还不到位,特别是危机意识、使命意识和责任意识都有待提高。
(五)从保障信息安全的法律措施层面来看:许多国家都坚持依法规制信息网络,依法坚决围剿和打击网络色情行为,坚持依法强化信息安全的保障措施,强力推进网络实名制规范。而中国保障信息安全的法治措施则还处在网民们的“是与否”的讨论之中,且大多是无果而终,使得本应由国家意志强力推进的行为,却往往在酝酿与等待之中“消亡”。实践反复证明,面对全球信息化飞速发展和日新月异的复杂变化形势,信息化法制建设根本犹豫不得、迟疑不得。
三、国外经验的几点启示
(一)重视提升立法的规范性、权威性
重点解决好立法主体多、立法程序缺乏民主参与,法规层次复杂、部门规章多的问题。信息化法制建设要重视强化信息安全是国家安全体系的重要组成部分的意识,不断健全保障信息网络安全的法律制度与措施,强化保障信息网络系统安全和信息的可用性、保密性、完整性、真实性,并且使之成为全社会的共识。坚持不断完善信息安全立法,健全信息安全保障体系,绝不能仅仅满足于通过技术手段来保障信息网络安全,而应当坚持不懈地向所有利益相关者阐明信息网络安全的责任,通过合作与交流,不断提高全社会的信息网络安全意识,提高信息化法制建设水平。
(二)重视强化立法的战略性
重点解决好信息化法制建设缺乏战略规划,缺乏保障信息安全的基本法律,立法步伐跟不上信息化发展需要的问题。应将信息安全视作维护国家安全的重要环节,坚持把信息安全法制建设放在事关国家安全的位置保障优先发展,坚持健全国家信息系统安全机构,不断提高保障信息安全的能力;高度关注网络战争的发展动向,及早依法调控网络战争的应对行为;重视打击危害信息安全的犯罪行为,坚持对网络色情行为科以重罪;确保网络空间战和打击网络违法犯罪和色情行为的主动权,保障国家信息安全。重视以国内法弥补国际法的不足,坚持随形势的变化不断发展和完善,不断强化信息安全的法治保障能力。
(三)重视增强法律措施的可操作性、系统性和协调性
重点解决好缺乏高效便捷的法律规范机制问题。着力解决保障信息安全的法律涵盖力过强,而针对性不足,特别是各项法律之间彼此缺乏配合,存在许多法律漏洞,未形成完备的规范与调控体系,而行业管理也缺乏强有力的法律支持,导致有法不依的问题比较突出,更为突出的是无法规范日趋复杂的信息网络行为,对随意、故意发布虚假有害信息、敌意发布危害国家安全信息等行为,缺乏行为禁止性规范和结果打击性规范等问题。特别是亟待有针对性地建立信息安全预警与应急处理机制、信息安全管理制度、信息安全应急预案和信息研判机构与机制及网络信息发言人制度,严格依法确定信息系统的安全保护等级,不断提高信息系统的安全防御能力与处置突发事件的能力。
(四)强化规范行为的法治性
重点解决好过分强调行政行为对信息安全的保障问题。主要是相关法律漠视对信息网络主体权利与公民合法权益的保护,对国家政治和经济安全的保障,对信息网络健康发展的保障,而行政执法意识与能力也亟待提高,保障信息安全的长效法制机制亟待健全。当前,亟待依法推进并规范网络实名制,坚持依法审查信息网络机构,坚持从法律框架内明确过滤信息内容的合法性,并依法严禁互联网服务商接入被政府列入“黑名单”的所有网站。亟待依法明确信息网络的行政主管部门、信息传输单位、信息发布单位和发布者、信息网络监控单位的法律责任,做到各负其责,责任到人,坚决避免责任不清、推诿扯皮的问题继续发生。
(五)重视提高信息网络使用者遵纪守法的自觉性
重点解决好“法不责众”与“网络暴行”蔓延的问题。由于长期缺乏对信息网络行为的法律规范,不仅降低了信息网络使用者的法律意识、自律意识和社会公德意识,而且助长了大多数信息网络使用者“法不责众”侥幸心理的滋长,进而又进一步助长了其“网络暴行”蔓延,甚至将网络视为可以无法无天的“完全自由”的法外天地。事实上,也正是因为有了这种既无法治又无德治局面的普遍存在,才给敌对势力以可乘之机,给国家安全、民族团结和社会稳定埋下潜在危机,甚至构成极其严重的现实威胁与危害。
从区域性国际组织和西方发达国家的经验来看,保障信息安全是一项事关国家安全大局的战略性问题,必须始终坚持“国家利益至上”的原则不动摇,毫不迟疑地将信息安全纳入国家安全体系的重要组成部分,并坚持将信息安全法制建设放在事关国家安全的战略位置上,确保其实现优先快速发展,确保其与信息化建设相适应,确保其能够高效有力地保障信息安全。
(作者系中共新疆维吾尔自治区委员会政策研究室调研员、副处长,新疆师范大学客座教授、硕士生导师)
相关链接:我国网络信息安全的现状不容乐观,一些政府网站虽然投入巨资建设,但是技术设备门槛低下,存在大量可被恶意篡改的安全漏洞。根据武汉大学信息管理学院教授、博士生导师沈阳对我国政府网站的网页遭遇黑客“暗链攻击”状况的统计:我国3000多万个政府网页,被恶意网站“暗链”上的高达10.22%;其中,有诈骗信息、色情信息、赌博信息的网页最多,达308万个,占10.13%。
(责任编辑:)
