基于信息交流的网络安全法律体系研究,本文主要内容关键词为:网络安全论文,信息交流论文,法律体系论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
[中图分类号] G250.72;D9
[文献标识码] A
[文章编号] 1005-8214(2004)03-0040-03
数字化和网络化是当前信息社会的两大重要趋势。数字化是信息以数字的形式固定下来,形成海量的信息资源。数字化之后的信息具有极强的可复制和可传播的特性,而目前迅猛发展的因特网,正是数字信息传播和交流的平台。信息交流是信息活动最基本的表现形式,数字化信息主要通过网络来实现交流和共享的目的。通过上网来获得信息、传播信息、交换信息已经成为人们日常生活、学习与工作不可或缺的组成部分。与所有新生事物一样,网络给我们带来这么多益处的同时,也凸现了许多的问题,尤其是网络犯罪、网络病毒、黑客入侵等安全问题亟待解决。国家针对网络安全已经陆续制定了一系列法律法规,国内学者也纷纷就该问题从法律调控上提出了许多颇有创见的意见和建议,但是由于网络安全所涉及的范围广泛,网络本身具有科技含量高,发展迅速的特点,而且相关法律体系不够健全,实际执行困难重重等这样或那样的原因,以致于在这个问题上一直没有出现得到公认的解决方案。
1 网络环境下的信息交流
信息交流是社会活动中信息借助于某种符号系统,利用某种传递通道而实现的信息发送者和信息接受者之间的传输和交换行为。[1]信息交流不同于信息传播,关键在于信息交流是双向交互的行为。也就是说,信息发送者和信息接受者是相对的,二者的角色可以互换。而且,信息交流相对于传播更强调信息交流主体的主观能动性,而信息传播接受方只能被动地接收,交互性和连续性不强。
网络是继报纸、广播、电视之后出现的第四大传媒。与前三种传媒相比,网络继承了它们的许多优点,并且有独特的优势。这个优势即是可以自由地进行信息交流。基于网络环境的信息交流具有交流方式集成性、环境依赖性、交流主题不确定性等新的特点,因而是对网络信息交流进行管理时必须加以考虑。
2 基于信息交流的网络安全
2.1 内涵 在讨论网络信息安全之前,先要明确该概念所涵盖的内容。国内许多学者就“信息安全”和“网络安全”提出过许多看法,从本质上来讲,网络信息交流安全与它们是一致的,只是讨论的角度有差异而已。在讨论信息安全的时候,马费成认为网络的信息安全主要涉及网络系统安全、网上信息源安全和信息流安全。[2]卢太宏则认为它通常包括的是数据安全、信息系统安全、计算机安全、国家信息主权和个人隐私权的内容。[3]申农的信息交流模型将信息交流看作是“信息源(S)—信息渠道(C)—信息用户(U)”三者相互作用的运动过程。网络信息交流安全实际涉及的方面,也不外乎是信息、信息渠道和信息交流主体。与此相对应,网络安全也可以从这三个方面来考虑。
2.2 信息内容安全 网络信息污染主要是指非法信息在网络上无限制地传播。这些非法信息包括黄色、暴力、反动和虚假信息。信息侵权也是信息内容安全的组成部分,但网上知识产权问题由于其重要性和特殊性,一般都单独列出,所以在此不做讨论。
2.3 信息渠道安全 信息渠道分为硬件渠道和软件渠道。硬件渠道由计算机和链接网络组成,软件渠道包括信息系统、数据库等等。对信息渠道安全的保护,主要应是对软件渠道的保护。目前日益严重的网络病毒、黑客攻击、计算机犯罪问题当属此类。
2.4 信息主体安全 信息主体包括自然人和法人。在网络信息交流过程中,信息主体具有开放性和不确定性的特点,也就是说任何人在具备一定基本条件之后,都可以通过网络来发布信息,进行信息交流,而且这些人一般不要求有明确的身份证明。这就相应地出现了未成年人上网的安全问题、高速信息网络从业主体的规范以及个人隐私保护问题。
3 用法律实现对网络信息交流安全的保护
网络信息交流的安全,可以从技术、组织和人文各方面来寻找解决的办法。从人文的角度出发,网络信息交流安全的政策、法规、伦理和文化都值得关注。在网络安全问题日见严重的今天,网络安全立法势在必行。我国在这方面的法制建设仍然明显滞后。既要对网络犯罪行为予以有效的打击,又不能限制网络发展,将原本开放自由的网络封闭起来,这是网络安全立法的难点。
3.1 我国现有网络安全法规及其存在的问题 在1994年2月,我国就开始着手网络安全保护的立法,颁布了《计算机信息系统安全保护条例》。随后颁布的较为重要的相关法规有:1996年《中国公用计算机互联网国际联网管理办法》、1997年《计算机信息网络国际联网管理办法》、1997年修正的《中华人民共和国计算机信息网络国际联网管理暂行规定》。最近几年制定的法规有内容具体、更具可操作性的特点。例如国务院出台的《互联网信息服务管理办法》,全国人大常委会通过的《关于维护互联网安全的决定》,信息产业部《电子公告服务管理办法》以及与国务院新闻办共同出台的《互联网站从事登载新闻业务管理暂行规定》。为了整顿目前比较混乱的上网经营场所(如网吧等),2002年信息产业部等几家机构共同制定了《互联网上网服务营业场所管理办法》。据悉作为基本法律的《电信法》也正在加紧制定,不日将正式颁布。[4]
尽管我国在网络安全方面的立法已然颇具规模,司法实践也见实效,但仍然离我们预期的目标相距甚远。其中存在的问题主要有:①法律效力层次较低。我国在网络安全方面的立法主要是行政法和一些行业性法规,法律效力层次偏低;在法制体系上,着重从传统的刑事法规和行政法规的角度保护网络安全,但是缺乏管理性和技术性内容。要想建立一个以基本法律为主,其它法律、行政性法规和地方性法规为补充的专业性法律体系还任重道远。②法律规范的内容重复或空缺。内容重复表现在相同规定在两个以上法律法规中出现,而内容空缺则表现为若干主要问题在法律中没有明确的规定,这使得执行起来有很大困难。③法律调整涵盖面过窄。例如我国有专门的《保密法》来保护国家秘密,但是商业秘密和个人秘密却没有包括进去。[5]
3.2 建立网络信息交流安全的法律体系 为了帮助人们更好地理解信息交流安全法律的内容,首先应该构建法律体系结构。综合各方面对信息法律的研究成果,[6,7]我们认为网络信息交流安全法规与网络信息产权、网络信息资源管理法可并列为网络信息法律体系的三大组成部分。
(1)信息内容安全法规。网络中流动的信息有很多都是关系到经济组织发展和生存的商业秘密和关系到国家安全的国家机密,这些信息如果保护不当会给国家、社会、组织和个人造成非常严重的后果。前面提过我国已有的《保密法》只有国家机密保护,没有组织和个人,随着网络的发展,电子商务、企业内部网络日益壮大,对商业秘密进行保密的立法呼声也越来越高。对重要信息进行加密是国际通行的办法,规定“密钥”技术是关键所在。除了主张使用国产密钥技术之外,还要针对不同信息的机密程度规定密码位数及设置方法。信息发布法规主要针对目前网络上黄色、暴力、反动、虚假信息泛滥造成信息污染的现象而制定。在这个问题上,首先要明确ICP(网络内容服务商)的监控和信息过滤职责;其次应规定信息发布者的身份登记制度,做到防范与归责相结合。
(2)信息渠道安全法规。信息渠道是实现信息交流的平台,这个平台可从硬件和软件上进行分类。网络信息系统是实现信息交流的软件平台,对其进行保护需要打击非法侵入网络系统、破坏计算机信息系统的行为。比如黑客入侵,制作传播计算机网络病毒等等。计算机犯罪表现为侵犯网络中的各种资源,包括硬件、软件以及交流的信息,从而达到窃取钱财、政治破坏等目的。网络系统保护法与计算机犯罪法之间的区别主要是行为的目的和造成后果的程度不同。信息设备是信息交流的硬件平台,一般要对其实行管理立法,建立规范的管理制度。比如对高科技尖端设备要进行登记,限制使用范围等等。信息安全技术属高新技术,这是网络立法的一个特点,也就是在一般行政、民事法规之外,还必须要有技术性法规。我国目前主要的信息安全技术一般都采用国外标准,缺乏国内成熟的技术规范,这是我国信息安全的一大隐患。信息安全技术主要有防火墙技术、密码技术、电子商务中的权威认证技术、安全协议等。在鼓励国内进行这些技术开发研制的同时,也要规定我国在网络安全方面应优先采用国内技术。[8]
(3)信息主体安全法规。主体立法的目的是通过立法明确个人、法人和其它组织进行网络互联时的权利、义务与法律责任。网络从业主体分为ISP、ICP,还包括上网经营场所,网站登记、网络域名注册正日益走向规范化。比如向CNNIC申请注册一个国内域名,机构注册需要提供营业执照等相关证明,ISP、ICP要对服务对象和提供内容进行监控。个人上网虽然是无法也没有必要完全控制,但是在涉及商务、政治等信息活动时要实行IP登记和用户身份控制。未成年人要获得监护人同意方可进入营业性上网场所,并且有时间限制。个人隐私保护立法有必要借鉴国外经验并考虑到网络技术发展的需要,使之能适应外来网络社会的发展。
(4)信息安全评估法律制度。信息法规在实施的时候总是会遇到很多困难,例如我们知道在网上发布传播黄色信息是非法的,但怎样的信息才算得上是黄色信息呢?这就需要有一个公正的评价标准。信息安全评估就是在遵循公开的测评标准和程序的前提下,由第三方公正地评判信息安全手段和技术的制度。信息安全评估制度不光是提供了一个安全的标准,确定评估对象的安全等级,而且还能给信息安全指明发展的战略方向,预防安全事故的发生。我国国家信息安全测评认证中心开展的测评认证业务为四种:产品型号认证;产品认证;信息系统安全(信息系统网络的运行安全,信息安全和管理制度)认证;信息安全服务(提供信息安全服务的企业、组织机构、团体的技术实力,服务能力和资质条件)认证。[9]
我国还应该让专业技术人员担任信息安全监察员,对本部门不同级别的单位进行统一标准的检查。他们应熟悉各单位建立的计算机系统安全管理制度,负责本单位计算机信息系统的安全保护工作,建立起完善的计算机信息系统安全监察员制度。