“
点击蓝字 / 关注我们
”
信息安全保障的概念,伴随着信息技术的不断进步以及人们对信息安全内涵与外延、作用的不断深化。经历了一个由信息保密到信息安全,再到信息安全保障逐渐深化的过程。纵观各国信息安全保障的法制建设,无论英美法系还是大陆法系的国家都采取了成文法的形式,其演化历程也大致相同。
最近几年,全球信息安全监管环境趋严,全球107个国家和地区目前已制定数据安全和隐私保护法律。
国外信息安全保障法律制度的演化
信息安全保障法律制度的建立与完善,包括相关立法体系与实施机制两大部分。按照社会信息化的进程及信息安全的概念、立法原则的演化路径,可将国外信息安全保障法律制度建设的构建路径分为三个时期:通信及计算机安全立法时期、网络安全立法时期、国家信息安全战略下信息安全保障体系全面形成时期。
通信及计算机安全立法时期(20世纪40-80年代)
立法体系形成:分散立法
国外真正意义上的信息安全法制建设始于20世纪40年代,以计算机的问世与1947年美国颁布的《国家安全法》为标志,首次以立法的形式强调情报、档案以及反情报、反间谍活动对维护国家安全的重要作用。1967年美国《信息自由法》在规定政府行政信息需向公众开放的同时。也以法律效力保护了九类豁免信息的安全。
到20世纪70和80年代,伴随“冷战”期间与苏联的信息战,欧美等国先后颁布了一系列保护国家信息安全、打击通信及计算机犯罪的单行法律法规。同时开始通过立法保护个人隐私。
表1 20世纪40-80 年代各国颁布的信息安全法律法规
立法范围与立法内容
本阶段无论英美法系还是大陆法系的通信及计算机安全立法,都采取了分散式立法。即对通信系统安全、计算机系统安全、个人隐私保护分别进行了立法。即使是国家安全法也主要强调的是信息保密,且在立法范围与立法内容上呈现如下特征。
立法范围:限于政府内部系统。主要是面向政府机密、电子通信信息和单机数据的信息安全立法。通过限制获取保护信息的真实、完整、可靠,使重要信息免受侵害。
立法内容:通信与计算机系统安全+信息保密+个人隐私。欧美国家信息安全萌芽较早,信息安全立法内容较丰富,以通信与计算机系统安全为主,注重对国家机密、政府信息与个人隐私的保护。
网络安全立法时期(20世纪90年代初期至后期)
20世纪90年代,计算机和通信设备快速普及,网络快速发展。“全球互联”局面逐渐形成。
为了平衡信息的开放传播与管理控制,维护网络环境下信息领域安全。各国相继制定一系列涉及信息基础设施保护、网络安全、信息技术、国防安全、个人隐私保护等已有主动防御功能的法律法规。这一时期,立法原则仍是“适度安全--最低限度”。互联网环境下的信息安全立法体系得到迅速发展。在立法体系上,英美法系与大陆法系的国家不同。
英美法系--分散法
以美国和英国为代表的英美法系国家,在社会信息化过程中,对于计算机犯罪与个人隐私泄露等问题颁布了一系列具有针对性的法律法规,形成分散式的立法模式。“冷战”结束与国家信息基础设施计划(National Infomation Infrastructure,NII)的提出都对美国信息安全立法起到了极大的促进作用。1998年时任美国总统克林顿签署第63号总统令《保护美国关键基础设施》,提出保护政府关键基础设施免受侵害,特别是基于网络的系统,并对各部门职能、目标、行动计划及意义等做出明确说明,成为美国信息安全的标志性事件。
英国针对日益严重的计算机犯罪,于1995年颁布《信息安全管理实施细则》,为各机构、组织的信息安全管理提供了一套相对完整的管理框架;1998年颁布《数据保护法案》,规定部分涉及国家安全、商业机密和个人隐私的信息受法律规范保护,可不对外公开。此外,英美两国还颁布了涉及信息基础设施、信息技术、国防安全、个人隐私的多部法律法规。
表2 20世纪90年代美英两国颁布的信息安全法律法规
大陆法系--基本法+单行法
以德国、俄罗斯、日本为代表的大陆法系国家,在国家基本法框架下。针对国内信息安全问题与信息安全法制建设需要。颁布多项单行法规,形成“基本法+单行法”的立法模式,以德国和俄罗斯为代表的信息安全综合法开始出现。
德国1997年颁布的《信息和通信服务规范》(《多媒体法》),被认为是国际上第一部规范的信息安全法律,涉及网络犯罪、数字签名、个人隐私等多项内容,是一部较全面的综合性法律,后来成为德国信息安全的统一法、基本法。
苏联解体后,1993年《俄罗斯联邦宪法》 作为俄罗斯的基本法,首次对信息安全做出明确规定,并纳人国家安全管理范围,并在此基础上颁布《信息、信息化和信息保护法》(1995),对信息资源的所有、使用以及保障手段进行了规定,成为俄罗斯信息安全立法的根本依据1995年颁布《信息安全纲要》(草案)",提出了信息安全保护的任务、目的、政策以及要解决的关键问题;1997年发布《国家安全构想》,强调网络信息安全的重要性;1999年又颁布《网络立法构想》(草案),提出加强网络安全立法和个人信息保护的必要性。日本于1999年颁布《信息公开法》《禁止非法接入法》和《保护商业机密法律修正案》”,通过管理和维护信息安全。规范和促进信息化发展。
立法范围与立法内容
本阶段英美法系国家对网络安全立法继续采取分散式的立法模式。而大陆法系国家则采取基本法+单行法或综合法立法模式。在立法范围与立法内容上呈现以下特征。
立法范围:这一时期。各国立法范围主要涉及网络犯罪、数字签名、个人隐私、信息基础设施、信息技术、国防安全等领域。计算机系统安全防护由原先的政府系统扩展到普通用户计算机的使用。
立法内容:重视对信息技术安全的保护:个 人隐私安全重点由传统资料及通信隐私安全向网络隐私安全转变;国家安全由反情报、反间谍到开始重点关注国防信息安全。总体来看。信息安全立法由保护信息本身向保护信息载体、传播、监管的全过程转变,信息安全保障由被动保护向主动防御转变。
国家安全战略下的信息安全保障体系
健全完善时期(21世纪初至今)
国家安全战略框架:基本法+实施机制 (行动计划) 进入2l世纪,网络的数字化、互联化、智能化,在方便信息传播的同时,也给信息安全提出了更大的挑战。特别是近年来,物联网、云计算、大数据等概念活跃于人们的视野中,世界范围内的信息化建设步入新的阶段。新型媒体与通信方式层出不穷。“9.1l”“棱镜门”“2017勒索病毒”等新型网络攻击技术下的恶性犯罪事件频发,一次次给各国的信息安全保障敲响了警钟。自2003年以来,美国、日本、英国、俄罗斯等国先后颁布了“信息安全战略”,各国开始采取更加积极的政策来应对国家信息安全问题。
立法原则从“适度安全”转向“大安全”原则。颁布专门的信息安全基本法,并将信息安全特别是网络安全提升至国家战略高度。提出战略行动计划,做到前瞻性布局。信息安全保障体系进入国家安全战略下的健全完善时期。
图1 各国信息安全基本法及战略
此外。各国还针对不同阶段的发展情况及信息安全问题颁布了多部政策框架与行动计划(见表3)。这些政策法律的颁布说明各国信息安全法制建设逐渐走向信息基本法框架下的各信息活动全过程的立法,法律规范中有关计划 的实施、监管及评价的实施机制出现,立法模式由分散的单行法规向统一立法转变。
表3 2000年至今各国信息安全政策框架与行动计划
其中,美国《网络安全法案》(2015)是目前美国规制网络安全信息共享方面一部较为完备的法律。德国《德国网络安全法》(2015)标志着德国信息安全立法由分散走向统一,堪称系统完备的关键信息基础设施保护制度体系。俄罗斯《2020年前俄罗斯联邦国际信息安全领域国家政策框架》(2013)明确了俄罗斯在国际信息安全领域的主要威胁、政策目标及实施机制,体现了信息安全正在由国家安全走向国际安全。
立法范围与立法内容
进入21世纪,以美国、日本、英国、俄罗斯等国为代表的发达国家,其国家安全战略下的信息安全保障体系,在立法范围及立法内容方面呈现以下特征。
立法范围:立法层次由国家立法上升到国家战略高度。发达国家信息安全立法与实施机制逐渐健全与完善;立法范围涉及信息内容安全、数据安全、物理安全、网络空间安全、信息基础设施安全、国际信息安全等领域。网络空间安全由国家战略走向国际战略。
立法内容:各国信息安全法律体系不仅包括网络安全的国家战略与行动计划,还包括网络安全的法律法规,以及信息安全的管理、技术标准,立法内容空前丰富,以维护网络空间安全为主的综合性主动防御型信息安全保障体系健全这一时期,在大安全观下,国际安全、国家安全和社会安全紧密相连,信息质量、信息设施、信息环境和信息管理有机结合,是新时期构建信息安全保障体系一体化的理论基础。
国内信息安全体系现状
我国目前已确立了“总体国家安全观” 的立法原则,即以人民安全为宗旨,以政治安全经济安全为根本,以经济安全为基础,以军事、文化、社会安全为保障,以促进国际安全为依托。兼顾外部安全与内部安全、国土安全与国民安全,兼顾传统安全与非传统安全、发展问题与安全问题,以及自身安全与共同安全,体现中国特色国家安全保障体系全新的指导思想。
图2 我国国家信息安全保障体系整体框架
表4 21世纪初至今我国颁布的信息安全法律法规
2021年,我国《数据安全法》《个人信息保护法》已被列入人大常委会表决通过。数据安全国家标准定位如下:
《网络安全法》:国家建立和完善网络安全标准体系;
《数据安全法》:国家推进数据开发利用技术和数据安全标准体系建设;
支撑法规政策:数据安全国家标准是对国家法律法规和政策规章的细化支撑;
规范引导行业:基于问题导向原则,及时发现数据安全典型问题和安全风险,为组织数据安全事件提供参考。
图3 我国数据安全相关法律法规
图4 数据安全国家标准体系
中国在信息安全保障概念、立法原则及法律制度建设的演化路径方面与国外基本一致,但在发展起点与发展阶段上却存在滞后性,在立法内容上也存在一定的差异。随着《数据安全法》、《个人信息法》和《关键信息基础设施安全保护条例》的实施,我国在总体安全观下新型信息安全保障体系将逐步建立。
引用资料
[1] 相丽玲 陈梦婕:试析中外信息安全保障体系的演化路径;
[2] 中国电子技术标准化研究院 程多福 数据安全法规及标准建设;
[3] 复旦发展研究院 重点国家网络安全法洞察报告;
[4] 刘志诚 隐私与数据安全趋势与实践。
