美国信息安全立法及其启示与分析

2019-12-09 02:08魏波周荣增
网络空间安全 2019年5期
关键词:立法美国启示

魏波 周荣增

摘   要:在“9·11事件”发生后,美国更加重视网络与信息安全,相继颁布了《关键基础设施保护法》《网络安全研究与发展法》《网络安全增强法》《联邦信息安全管理法》《网络安全信息共享法案》等一系列法律。政府部门加强信息网络安全的监督管理,信息安全法制建设成效明显。美国规范信息安全的法律经历了一个从“预防为主”到“先发制人”,以控制“硬件设备”到控制“网络信息内容”的演化过程;政府相关部门在网络监管中的权限职责不断加强,以满足应对与日俱增的信息安全风险与挑战的需求。我国信息安全立法存在民法上的救济不强、规定较分散、规定较滞后等不足,未来立法要注意前瞻性,对不同的信息采取分类分级保护,信息的收集保存及利用都需要制订规定、标准。

关键词:美国;信息安全法律;监管;立法;启示

中图分类号:D90          文献标识码:A

Information security legislation in the United States and its enlightment

Wei Bo1,2, Zhou Rongzeng3

(1.First Research Institute of the Ministry of Public Security of PRC, Beijing 100044;

2.Institute of Computing Technology Chinese Academy of Sciences, Beijing 100190;

3. Beijing Zaiming Law Firm, Beijing 100022)

Abstract: After the 9·11 attacks, the United States paid more attention to the network and information security, and successively issued a series of laws, including “Critical Infrastructures Protection Act”, “Network Security Research and Development Act”, “Network Security Enhancement Act”, “Federal Information Security Management Act” and “Network Security Information Sharing Act”. In addition, the American government strengthened the supervision of information network security, resulting in obvious effectiveness of the information security legal system construction. The law regulating information security in the United States has undergone an evolutionary process from “prevention-based” to “preemptive strike”, which implies a shift from the control of “hardware devices” to the control of “network information content”. The concerned government departments continuously strengthen the responsibilities and limitation on power in network supervision to meet the growing need for handling information security risks and challenges. However, Chinas information security legislation is characterized by such disadvantages as insufficient deficiencies in civil law, dispersion of stipulation, and lagging regulations. Its future legislation should attach significance to foresightedness, and classify and protect different information, and formulate regulations and standards on collection and preservation, and usage of information.

Key words: United States; information security law; supervision and management; legislation; implication

1 引言

计算机诞生于美国,互联网也发源于美国,美国一直引领着信息技术的发展,也较早地注重对信息安全的保护。几十年来,美国颁行了一系列与网络安全相关的法律法规,建立了比較完善的信息安全保护机制,值得其他国家借鉴。

2 美国信息安全立法的历程

美国信息安全立法的分水岭是2001年发生的“9·11事件”。之前针对信息安全的立法并不多,当时全世界包括美国对网络信息安全的重视程度都不高,网络普及率不高,也没有发生特别重大的网络信息安全事件。进入21世纪后,美国的信息安全立法主要针对网络安全。安全依附于网络,因此信息安全主要关注网络安全,立法也主要集中在网络领域。美国在网络信息安全立法方面有着明显的阶段性:第一阶段是2001年“9·11事件”之前,处于起步阶段;第二阶段是“9·11事件”之后到2009年,即小布什执政期间,是发展阶段;第三阶段是2009年之后至今,积极推进相关立法,相关立法趋于完备阶段。

2.1 起步阶段

1974年,美国颁布了《隐私权法》(Privacy Act),该法律为政府收集、存储、使用、传播公民的个人信息设定了相关的标准和准则。1984年,颁布了《计算机欺诈与滥用法》(Computer Fraud and Abuse Act),该法旨在打击不法分子侵入计算机系统窃取机密信息以及金融档案信息的行为,从而保护网络基础设施的安全。1986年,颁布了《计算机安全法》(Computer Security Act)和《電子通信隐私法》(Electronic Communications Privacy Act),要求政府保障计算机信息系统的信息安全以及公民在电子通信过程中传输的信息的安全。1996年,美国颁布了《信息技术管理改革法》(Information Technology Management Reform Act),要求政府对应用于网络安全管理技术的资金进行必要的监管。1996年美国还颁布了《国家信息基础设施保护法》(National  Information  Infrastructure  Protection Act)和《电子通信法》(The Telecommunications Act)。根据法律规定:信息基础设施是指包括用于支持政府、企业、学校、银行等机构运行的计算机系统。同时,规定了制造和传播病毒是犯罪行为,要纳入刑法的打击范围。政府要制定公共关键基础设施标准,切实保障网络信息安全。1997年,颁布了《计算机安全增强法》(Computer  Security Enhancement  Act),该法律要求加快非公共密钥管理基础设施的建设。1998年,颁布了《儿童在线隐私权保护法》(Children's Online Privacy Protection Rule),该法律旨在保护13岁以下的儿童在网络上的隐私信息。1999年,颁行了《网络空间电子信息安全法》(Cyberspace Electronic Security Act),该法规定,联邦政府的执法机构可以获取加密密钥和加密方法,其他未经法律授权的机构和个人都不得行使该项权利。2000年,颁布了《政府信息安全改革法》(Government Information Security Reform Act),该法旨在加强对政府信息的保护,确定了各个政府部门在政府信息保护方面的职责。

2.2 发展阶段

2000年以后互联网发展逐步进入快车道,海量的信息被上传在网络中传输、交流,并存储在网络计算机中,加快信息立法,以保护信息安全变得日益迫切。2001年“9·11事件”之后,美国意识到一旦恐怖分子或者其他不法分子利用网络信息进行犯罪活动,破坏性极大,这些促使美国加快了在信息安全方面立法的步伐。这一阶段美国的立法机构开始变得比较主动,很重视立法的前瞻性和预见性,力图使现阶段的立法不仅能适应当下的情形,还能对未来可能出现的情形加以规范。这一时期的立法主要关注计算机和网络技术的研发与合理利用、网络安全战略的布局、信息共享和信息安全两者的平衡等方面问题。

2001年,美国颁布了《关键基础设施保护法》(Critical Infrastructures Protection Act),该法律突出关键基础设施对于国家安全的重要性。2002年,出台了《网络安全研究与发展法》(Cyber Security Research and Development Act),该法规定政府有义务资助计算机和网络安全的研发。2002年还颁布了《联邦信息安全管理法》(Federal Information Security Management Act)、《电子政务法》(E-Government  Act)、《国土安全法》(Homeland Security Act)和《网络安全增强法》(Cyber Security Enhancement Act)。《网络安全增强法》旨在进一步加强网络安全,根据计算机和互联网行业的最新发展,加强了对计算机犯罪的打击,并规定政府为了保护网络安全可以获得公民网络通信的内容。2005年,颁布《信息自由法》(Free Flow of Information Act)和《网络安全教育促进法》(Cybersecurity Education Enhancement Act)。

2.3 趋于完备阶段

随着互联网的全面普及,保护信息安全的任务变得更加紧迫,美国在这一时期开始全面推进信息安全的立法工作。这一阶段的立法是全方位的,立法进度更快,所立法律涉及的内容也更加广泛,趋于完备。2009年,颁布了《网络安全法》(Cybersecurity Act),该法赋权联邦政府设立专门的网络安全咨询办公室,该办公室可以断开重要设施的网络连接,管理一切网络相关事务。2010年,在修订《国土安全法》和其他相关法律的基础上制定了《作为国家资产的网络空间保护法》(Protecting Cyberspace as a National Asset Act),该法律的主旨是保护美国网络空间和通信基础设施的安全性。2011年,再颁行另外一部作为《网络安全法》扩展的《网络安全增强法》(Cyber security Enhancement Act),该法案要求总审计长定期向国会报告现有网络安全基础设施的缺陷,并针对这些缺陷和不足提出相应的解决方案和建议。2011年,颁布了《国土安全及基础设施保护法》(Homeland Security and Physical Infrastructure Protection  Act),该法要求美国建立网络安全合规部门,加强在网络反恐和保护网络基础设施方面的工作。2013年,颁布了《 网 络 安 全 及 美 国 网 络 竞 争 法 》 ( Cyber security  and  American  Cyber Competitiveness Act)和《网络信息共享和保护法》(Cyber Intelligence Sharing and Protection Act)。2014年,颁布《联邦信息安全管理法》(Federal  Information  Security  Modernization  Act,FISMA)和《国家网络安全保护法》(National Cyber Security Protection Act)、《网络安全人员评估法》(Cyber Security Workforce Assessment Act)。2015年,颁布了《网络安全信息共享法案》(Cyber Security Information Sharing Act)。

3 美国信息安全立法的特点

纵观美国信息安全立法的过程及其相关规定可以看出,在立法理念方面,最开始美国是相对消极的,本着预防为主。随着20世纪90年代计算机开始进入平民家庭,互联网也开始起步并迅速发展,这时美国政府不得不变得比较主动,加强了相关立法。总结美国推进信息安全立法的进程,可以看出其经历了一个从“预防为主”到“先发制人”,以控制“硬件设备”到控制“網络信息内容”的演化过程。

(1)信息安全立法涉及范围广,包括规范网络犯罪,加强信息网络基础设施保护,规范信息收集、利用、发布,隐私权保护等方面。

(2)注重多部门协作,建立信息共享及应急支持机制,并且设立专门机构协调各方一起保护信息安全。

(3)为了落实信息安全政策及法律,美国将政策执行、监督、管理等权利分配给多个部门,包括DHS、OMB、国防部、审计署、商务部、司法部等,并且根据现实需要不断增设新机构。

(4)美国还注重标准的制定,在多部法律中提到制定相应标准保护信息安全,例如规定CIO委员会与NIST协作制定安全标准,NIST制定高性能计算的安全与隐私标准等。

总体而言,美国当前有关信息安全立法的发展趋势是要扩大政府部门在网络监管中的权限,明确其职责任务,以满足应对与日俱增的信息安全风险挑战的需求。

4 美国信息安全相关法律确定的重要法律制度

4.1 强制报案制度

在美国,如果发生危害信息安全的事件,那么相关的责任人员必须在一定的时间内向相关机构报案,如果该事件非常重大,负有报案义务的人员不报案,那么他将会承担法律责任,这就是美国信息安全法律制度中的强制报案制度。

很多企业在遭遇信息被泄露的时候往往选择不报案,因为一旦报案,根据美国的《信息自由法》,该事件将要公开接受公众的审查,这样就会让公众认为,该企业在信息安全保障方面做得非常糟糕,因此基于商业信誉和自身形象的考虑往往选择不报案。企业不报案等于纵容了侵害信息安全的行为,加害者将有恃无恐地继续实施危害行为。因此,在信息安全方面建立强制报案制度十分重要。

4.2 与强制报案制度相配套的投诉机构

为了保证强制报案制度能够真正被施行,美国建立了完善的投诉机制。发生信息安全事件之后,当事人可以根据具体情况选择向联邦或者州的投诉机构投诉。在美国,联邦调查局、美国情报局、美国移民海关执行局、美国邮政检查局和酒精、烟草、易爆物局等机构都有处理信息安全案件的权力,当事人可以向这些机构设立在全国各地的办事处报案。此外,网络犯罪投诉中心(IC3)也有处理信息安全案件的权限。IC3的使命是迅速处理涉及计算机犯罪的投诉,它是美国联邦调查局和国家白领犯罪中心于2000年合作建立的,下设一家网站,专门承接网络犯罪受害人的举报。

4.3 保障个人隐私不受侵犯的法律制度

美国人一贯重视个人隐私,保护隐私权的法律非常多,最重要的无疑是联邦宪法,除此之外,还有要有1968年的《综合犯罪控制和街道安全法》、1974年的《隐私法》。在计算机时代到来之后,隐私权的保护面临新的威胁。为此,美国又制定了一系列跟计算机网络紧密相关的保护隐私权的法律,主要有1986年的《电子通讯隐私法》、1988年的《录像隐私保护法》、1984年的《电缆通讯法》、1988年的《电脑匹配和隐私保护法》和1999年的《儿童网上隐私保护法》等。

4.4 保护商业秘密的法律

商业秘密是能够为所有者带来收益而不为公众知悉的一种信息。商业秘密具有重大的经济价值。在美国,保护商业秘密的法律主要有《侵权法重述》《数字千年版权法》等。《侵权法重述》禁止违背保密义务而泄露他人的商业秘密,如有违反则需承担相应的法律后果。该法律还禁止商业间谍窃取他人电脑中的商业秘密。《数字千年版权法》是美国于1998年颁布实施的一部法律,它是美国为应对互联网时代新形势制定的,旨在保护网络作品的著作权。这部法律开创了互联网时代专门立法保护网络作品著作权的先河。它规定了“规避技术保护措施”,即没有经过著作权人的许可,其他人不得对其拥有著作权的网络作品进行反响研究、加密与解密,以及其他损害该技术保护措施的行为。面对日趋严峻的网络用户信息被滥用、被盗用形势,美国各个州也制定了很多有关保护商业秘密的法律。

对于发生信息安全事件时网络服务提供者的法律责任,美国法律规定了一种叫做“避风港”的制度。在该制度下,网络服务的提供者只需履行三项义务,就不承担其他额外义务:第一,在发现并确认违法信息后及时采取包括删除、屏蔽链接等措施;第二,自身不发布、传播违法信息;第三,配合协助执法机关处理信息安全事件。由于网络上存在着海量的信息,要求网络服务提供者逐条审查既不公平也不现实。“避风港”制度公平地确认了网络服务提供者的法律责任,为网络服务提供者的正常经营提供了有效保障。

5 中国信息安全立法的相对不足之处

5.1 救济途径比较单一

我国法律针对个人信息规定了很多保护措施和救济措施。但是,从司法实践来看,当个人信息受到非法收集、买卖、泄露及非法利用等情况时,受害者只能以隐私权被侵犯为由去起诉,因为法律没有规定明确的个人信息权的救济方式。《民法总则》只是笼统地规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”因此,对于个人来说,当其信息遭到非法侵犯时只能适用隐私权受侵犯来救济自己的权利。但是众所周知,隐私权和信息权是两个不同的概念,它们的内容虽有重合之处,但内涵和覆盖范围却差异很大。信息是一个比隐私更大的概念,个人信息里面包含了具有隐私属性的信息和不具有隐私属性的信息。因此,如果不具有隐私属性的个人信息被侵犯,那么以隐私权被侵害为由提起诉讼显然不会得到法院的支持,被侵权人只能请求行政机关给与侵权者行政处罚,被侵权人很难得到经济上的赔偿。因此,应该强化民法上的救济。

5.2 规定较分散,不成体系

从现有的法律法规来看,我国目前关于个人信息保护的法律规定也相当多,从《宪法》《刑法》《民法》《网络安全法》等法律,到《电信和互联网用户个人信息保护规定》 《移动互联网应用程序信息服务管理规定》等行政法规,都规定了保护个人信息的相关条款。但是,这些规定过于分散,不成体系,在当前个人信息保护形势极其严峻的情况下,这样的规定显然不能满足实践需要。当务之急是要集法学工作者之智慧,多方听取民众之意见,结合互联网和金融发展的现状和趋势,制定一部体系完备、内容详实、科学严谨、符合现实并具有前瞻性的个人信息保护法,特别要制定互联网和金融行业个人信息保护的标准和保护措施,规定侵犯个人信息的处罚措施。

5.3 现有的规定相对滞后

现有的关于个人信息保护的法律制定颁布已比较久远,然而互联网和金融的发展速度异常迅猛,很多规定存在不合时宜之处。

6 对我国信息安全立法的建议

6.1立法要具有前瞻性

由于互联网的发展速度特别快,我国在制定信息安全相关法律法规的时候,要根据现在的情形对未来做出适当的预估,保证制定出的法律既能满足当前的需求,又能有效应对未来的情形。

6.2 将信息分类,针对不同的信息给予不同强度的保护

信息的种类无穷不尽,把所有种类的信息都纳入法律的保护之内,给予同等强度的保护,这显然是做不到的。我们应当将信息按照性质、重要程度等进行分类,在此基础上分别给予不同程度的保护。

6.3 信息的收集、保存、利用都要制订相关规定、标准

政府、企业都会为了一些目的而收集、保存、利用公民的各种信息,对于这种收集、保存、利用的行为也应该加以规定,以保障公民的信息安全。应该要求政府和企业在收集信息时要符合目的,要有必要性,经用户授权;在保存信息时,要在期限内保证安全,期满则要销毁,保证公民的信息不被泄露或者被窃取;在对信息加以利用的时候,要保证利用行为是合法、正当的,要以不侵犯用户隐私为界限。

7 结束语

本文对美国信息安全立法的历程与特点做了简单的回顾和研究。总地来说,美国的信息安全立法数量多、体系全、覆盖面广。在“互联网+”新时期和信息安全事件频发的背景下,学习借鉴美国在信息安全立法方面的经验对我们很有价值。我国信息安全立法存在救济不强、规定较分散、滯后等不足,立法需要注意前瞻性,对信息采取分类分级保护,以及信息的收集保存和利用都需要制订标准规定。

参考文献

[1] Martin, Nigel, and John Rice.  Cybercrime:  Understanding and addressing the concerns of stakeholders [J]. Computers & Security 30. 8 (2011): 803-814.

[2] Von Solms, Rossouw, and Johan Van Niekerk. From information security to cyber security[J]. computers & security 38 (2013): 97-102.

[3] Gordon, Lawrence A. et al. The impact of information sharing on cybersecurity underinvestment: a real options perspective [J]. Journal of Accounting and Public Policy 34. 5 (2015): 509-519.

[4] Shackelford, Scott, Scott Russell, and Andreas Kuehn. Defining Cybersecurity Due Diligence Under International Law: Lessons from the Private Sector[J]. Volume on Ethics and Policies for Cyber Warfare (Oxford University Press, 2015).

[5] 惠志斌. 我国国家网络空间安全战略的理论构建与实现路径[J].中国软科学,(2012) 5.

[6] 曲成义.网络空间安全保密对抗态势和应对策略[J].保密科学技术,(2012) 4.

[7] 方兴东,等.棱镜门事件与全球网络空间安全战略研究[J].中国传媒大学学报, (2014) 1.

[8] 王伟光.网络空间安全视角下我国信息安全战略理论构建与实现路径分析[J].电子技术与软件工程, (2015) 3.

[9] 郎平. 网络空间安全: 一项新的全球议程[J].国际安全研究, (2013)1.

[10] 解志勇. 信息安全立法比较研究[M].北京:中国人民公安大学出版社, 2007.

作者简介:

魏波(1983- ),男,汉族,湖南邵阳人, 中国科学院计算技术研究所,博士,公安部第一研究所,副研究员;主要研究方向和关注领域:视频监控安防、计算机系统结构、云计算与大数据、信息安全。

周荣增(1989- ),男,汉族,河南南阳人,国际关系学院,硕士,北京在明律师事务所,律师;主要研究方向和关注领域:宪法行政法。

猜你喜欢
立法美国启示
试论我国证人拒绝作证权制度的构建
关于治理潮州市区流动摊贩占道经营问题的思考
国外跨境电子商务税收发展经验对我国的启示
美国商业银行衍生品业务的特点分析
网络版权运营中的风险防控