国家信息安全立法的思考

国家信息安全立法的思考*基金项目：(项目编号10815311)中国政法大学青年教师学术创新团队资助项目“国家公共风险治理体系研究”，主持人：詹承豫副教授(管理学博士、法学博士后)；(项目编号22514013)国家社科一般基金“基于行为模拟实验的环境冲突风险治理中风险沟通作用机制研究”，主持人：詹承豫副教授(管理学博士、法学博士后)。

王伟昌詹承豫

中国政法大学政治与公共管理学院，北京100088

摘要：2014年2月27日，中央网络安全和信息化领导小组宣告成立，在北京召开了第一次会议。随着我国步入信息化时代，保障信息安全逐渐成为保障中国国家安全的重要内容，并得到国家最高层面的重视。信息安全立法是中国甚至世界各国保护国家信息安全的最重要的手段，在欧美发达国家，信息立法已经较为成熟，而中国社会信息化起步较晚，信息安全立法也不够完善，并存在种种问题，本文采用文献分析法，就我国已发布的信息安全相关法律法规分析，从而总结出我国信息安全立法方面的不足，并给出如何改善中国信息立法现状的建议。

关键词：信息；国家安全；立法

中图分类号：D631.3

作者简介：王伟昌(1990-)，男，江西高安人，中国政法大学政治与公共管理学院硕士研究生，研究方向：危机管理；詹承豫(1978-)，男，河南人，管理学博士学位，法学博士后，中国政法大学政治与公共管理学院副教授，研究方向：公共管理。

随着网络的快速普及，人类社会进入到信息爆炸的时代，信息化成了当今时代最大的特征之一。信息传播的数字化、虚拟化、高速化，使得信息传播空间完全开放，信息传播容量急剧扩张。这也让国家信息安全保护受到极大的挑战。信息化时代，信息已经成为各国的战略资源，信息、物资、能源已经成为人类社会赖以生存与发展的三大支柱和重要保障①，信息安全对于国家政治、经济、军事、科技和文化等方面的安全极为重要。最近一年来，美国“斯诺登”事件瞬间成为全球的公共事件，事件中关于国家机密的信息泄漏问题引起了各国对国家信息安全的反思和重视。欧盟正试图弱化美国“制网权”②，并着手起草一份更为严格的数据安全保护法令；而中国也在2014年2月27日正式成立了中央网络安全和信息化领导小组，并由国家最高领导人担任组长，国家对信息安全的重视程度可见一斑，网络安全立法也已列入人大立法计划。美国是互联网的起源地，是信息科技创新的全球中心，拥有世界上最先进的科技，对国家信息安全的保护也是处于世界前列，这样的情况下依然遭遇了“斯诺登”事件，可见国家信息安全的保护能力依然需要在国家层面进一步提升和改善。而加强信息安全的国家层面的顶层设计是关键的措施之一，顶层设计则少不了国家立法措施的保障。

一、我国信息安全立法现状

我国有关信息安全管理的法律是1994年2月18日国务院第147号令发布的《中华人民共和国计算机信息系统安全保护条例》，直到2015年7月6日，我国《国家网络安全法》(草案)正式发布，已经初步形成了从国家到地方、从法律法条到地方规章的信息安全保护的法律体系。总体上看，我国信息安全立法的发展可以从时间和空间两个维度进行的。从空间维度上看，全国人大、中共中央、国务院、国家各相关部委等都出台了信息安全保护的法律法规，从国家最高层面上保障国家信息安全；从时间上看，广义上保护国家信息安全可以追溯到1988年我国颁布的《中华人民共和国国家秘密法》，直到2015年7月发布《国家网络安全阀》(草案)，所以国家信息安全一直都是国家安全最重视的领域之一。以时间节点为分析维度发展可分为三个阶段：1993-1996年为国家信息安全初始立法阶段，国家信息安全属是国家安全的重要领域，该阶段则以1993年2月20日，国家颁布《中华人民共和国国家安全法》为立法开创标志，尔后1994年2月18日我国继续颁布《中华人民共和国计算机信息系统安全保护条例》，开启了我国对网络信息安全立法的新征程；第二阶段为1997-21世纪到来前夕，1997年5月20日，《中华人民共和国计算机信息网络国际联网管理暂行规定》附：修正本发布，标志我国在信息安全立法触及国际网络领域，同时在该阶段我国从《刑法》中开始规定计算机信息安全相关的法律，如第285-287条三项条款规定的非法侵入计算机信息系统罪、破坏计算机信息系统功能罪、破坏计算机数据和应用程序罪、制作传播破坏性计算机程序罪等四项罪名，以及利用计算机实施传统犯罪依据传统犯罪定罪处罚的内容为代表③。21世纪以来，我国在国家信息安全领域的立法逐渐增多，进入到信息安全立法的初步体系化的阶段，即信息安全立法的第三阶段。如2000年12月28日发布的《关于维护互联网安全的决定》，该决定对我国信息安全立法过程中具有里程碑的意义，也是我国目前在网络信息安全领域，法律效力最高的法律文件。随后中央部委，各地方政府也相继出台了相关法律法规以及地方规章制度。

二、我国信息安全立法存在的问题

如表1，我国在信息安全立法方面从中央到地方层面都制定了一系列的法律、法规、规章等，是我国保护我国信息安全的重要保障，初步形成了我国信息安全保护的立法体系。但是我国信息安全立法方面依然存在不少问题。

表1　中国有关信息安全法律法规简单汇总

其一，缺少在保障国家安全领域起着“宪法”性作用的法律。宪法顾名思义是具有最高法律效力的法律，是其他法律制定的必须遵守的基础性法率。“法性”性法律不同于宪法，它是由国家立法机关制定，是针对某一个领域的根本性问题制定的法律法规。信心安全是国家安全的重要领域，其根本问题就是国家安全信息的泄漏，涉及国家机密，威胁国家安全，损害国家的根本利益。我国信息安全立法中缺乏针对该领域根本问题的基础性法律。基础性法律是该领域制订其他法律的根本参照和框架，它规定了立法的基本原则、基本要素。当前，我国还没有制定信息安全领域的基础性法律，如果整个信息安全的法律法规比作一棵树，那基础性法律就是树的主干，而我国在信息安全立法中恰恰缺乏起着主干作用的基础性法律。

其二，已出台的法律法规缺乏系统性和协调性。虽然我国保障信息安全从中央到地方都有相关的法律法规，但分属不同的法律部门，缺乏统一的体系，缺乏系统性。在已有的法律法规中，法律、法规和规章的数量和内容比重存在不协调性，部门规章、地方法规及规章等占绝大多数，而法律、法规大概只占十分之一。由于出台的法律法规数量之多，出台部门之多恰恰导致了法律法规之间缺乏统筹协调。

其三，网络信息安全法律责任规定不够明确。当代社会，互联网发展迅速，互联网领域随之也出现了很多问题，其中网络信息安全问题是受到普遍关注的问题之一。进入21世纪，互联网发展迅猛，网络界限的模糊性和信息立法的滞后性导致信息安全的保护存在大量隐患。例如，我国居民在使用互联网，登陆网站或者软件大都需要注册，而注册信息涉及到个人大量隐私，然后因为信息安全法律立法的不足或者监管力度不够，互联网公司利用大数据收集和分析用户的信息用于牟利。这样的例子在当代社会中比比皆是，侵犯个人隐私已经严重威胁到个人的财产和人身安全。

其四，缺乏对信息领域关键基础性设施的保护制度。网络关键基础设施是信息传播的重要载体，网络关键基础设施的保护是国家信息安全保护的基础和重要前提。在关键基础设施保护立法方面，美国处于世界前列。作为全球信息技术最为发达、应用最为广泛的国家，美国明确将“数字基础设施”作为“国家战略资产”，先后出台《1996年国家信息基础设施保护法案》《2001年关键基础设施保护法案》《联邦信息安全管理法案》《2002年关键基础设施信息法案》四部法律以及多部总统令和行政令，从定义关键基础设施的概念入手，对关键基础设施保护范围、责任和具体要求进行了规定。由此可见，网络关键基础性设施对一国信息安全保护的重要性，所以，我国在网络信息安全立法中，应建立关键基础设施保护制度。

三、对我国信息安全立法建议

根据对我国安全立法中存在问题的思考，意见和借鉴如下：

(一)针对以上提出的问题提出相应的建议

第一，抓紧制定信息安全领域的“宪法”性法律。我国面临的严峻的信息安全问题，立法是我国保障信息安全的重要手段，法律体系的完善关系到中国信息安全保护效果。所以必须加快安全立法的步伐，尽快出台信息安全相关的基础性法律。2015年7月6日，我国《国家网络安全法》(草案)正式发布，目前作为我国网络安全领域具有最高效力的法律，《国家网络安全法》共七章六十八条，从网络运行安全、关键信息基础设施安全、网络信息安全、法律责任等方面进行了明确规定，将等级保护、网络产品与服务安全、网络安全信息共享、个人信息保护等多项工作纳入法律框架内，为保障国家网络安全、促进我国信息化健康发展提供了高层次的法律依据。该法涉及的是信息安全最重要的领域——网络安全领域，成为我国在国家信息安全领域中“宪法”性法律之一。国家可以继续参照该法律推进整个信息安全基础法律法规的出台，把《信息安全法》尽快纳入到我国立法规划中。就如词面意思所表达，“宪法”性法律是对需要立法的领域最基本问题的解决进行的立法，是该领域其他法律制定的参照和依据，其法律规范、法律原则等要义是保持一致的。

第二，构建“上下”一致、“左右”协调的信息安全法律体系。构建体统的法律法规体系是该法律法规能否具有可操作性和有效性的前提条件一、构建“上下”一致的信息安全法律体系，“上下”一致指的是从中央、国务院、各部委直到地方的自上而下的高度统一的法律体系，在信息安全立法领域，中央到地方要结合自身功能定位制定相应的法律法规，中央制定主要是具有指导性作用的基础性法律，部委和地方则要在与中央制定法律保持基本要义一致的前提下根据自身所管辖的领域，实事求是制定法律法规，从纵向上，避免不同级别的部门制定的法律法规会之间出现相互冲突，前后矛盾的内容。二、构建“左右”协调的信息安全法律体系，“左右”协调则指同级部门或者管辖统一领域的部门在制定法律法规时务必要根据自身职能制定相关法律法规，各部门要明确自身权责，构建部门间的协同配合机制，避免制定的法律法规在部门内出现互相“打架”可能。

(二)借用国外经验提出相应建议——以美国为例

美国是当今世界信息安全保护的成功实践者之一，信息安全立法方面又诸多值得学习的经验。

1.要全面突出信息安全立法内容。美国信息安全立法内容涵盖十分广泛。从大的方面来看，涉及信息网络安全、信息内容安全和知识产权保护等多个纬度。同时，从具体内容来看，美国信息安全立法涉及的领域从最初规范网络传播色情内容开始，逐步发展到政务安全、邮件、隐私、犯罪、电子商务、反恐等方面，已形成一整套较为完善的法律法规体系④。美国立法中突出重点内容值得我们学习，结合我国实际，具体问题具体分析，我国在信息安全立法要从点到面、逐步突出重点。重点之一即是防范重大威胁优先，当今社会，信息安全是各国关注的重点，来自他国的信息窃取等威胁到国家的根本利益，是重大威胁之一，这方面内容必须重点突出。同时网络关键基础性设施的保护在美国也是重中之重，在这方面我国也应该借鉴并重点保护。

2.要加强建设信息安全智库。智库在西方已成为对政策产生重要影响和对社会发展起巨大推动作用的社会组织。美国是世界智库建设最为成功的国家之一，智库的研究水平位于世界前列，如研究国家安全的美国国际战略研究中心(CSIS)，其研究的重要的领域之一就是国家信息安全，而美国政府充分利用了智库的力量，也是其成为全球信息安全保护的最为成功国家的原因之一。我国近年来也开始重视智库的建设，智库的论文、研究报告等成果对国家领导者的决策影响原来越大。在信息安全立法方面美国重视该领域的智库的建设，从智库的研究中获取立法的建议，从而进一步完善信息安全立法，我国也应该从以下两方面着手建设：一是重组我国目前专家智库，成立信息安全立法专门的研究智库，并给予智库充分的资金和设施等的支持同时绝对保持智库的独立性和非营利性；二是重视企业智库的建立和发展，如研究信息传播和制造信息设备的企业建立的智库研究院，国家必须给予大力支持，发挥企业智库保障我国信息安全的作用。

[注释]

①堂吉伟德.信息化时代我们为何要强调网络安全[EB/OL].复兴网评，2014.11(第1590期).

②温泉，王晓程.从“菱镜”透视国家信息安全[N].软件导刊，2014.3.

③全国人大.<中华人民共和国刑法(修订)>，1997-10-1.

④张向宏，林涛.美国信息安全立法概况及启示[J].保密科学技术，2012.11.

[参考文献]

[1]温泉，王晓程.从“菱镜”透视国家信息安全[J].软件导刊，2014(03).

[2]刘滨.我国信息安全立法的现状与对策[J].上海信息化，2010(12)：18-20.

[3]马海群，范莉萍.俄罗斯联邦信息安全立法体系及对我国的启示[J].俄罗斯中亚东欧研究，2011(03)：19-26.

[4]佟晖.俄罗斯信息网络安全概况及启示[J].警察技术，2004(05)：15-18.

[5]张向宏，林涛.美国信息安全立法概况及启示[J].保密科学技术，2012(11)：6-13.