通過對我國現行信息安全相關法律法規的梳理和分析,可以初步總結出我國現行信息安全法律體系的主要特點:
1,信息安全法律法規體系初步形成。
目前,我國現有的法律法規規章中,與信息安全直接相關的有65部,涉及網絡與信息系統安全、信息內容安全、信息安全系統與產品、保密與密碼管理、計算機病毒與有害程序防治等特定領域的信息安全、信息安全犯罪制裁等。文件的形式有法律、關於法律問題的決定、司法解釋及相關文件、行政法規、規範性文件和部門規章。
其中,全面規範信息安全的法律法規有18部,既有1994年《中華人民共和國計算機信息系統安全保護條例》,也有2003年《廣東省計算機信息系統安全保護條例》和1998年《重慶市計算機信息系統安全保護條例》。2000年《NPC人大常委會關於維護互聯網安全的決定》等法律文件,1997年《計算機信息網絡國際聯網安全保護管理辦法》等部門規章等7部互聯網安全專著。以信息安全系統和產品為重點的部門有三個,包括1997年《計算機信息系統安全專用產品測試和銷售許可管理辦法》等部門規章;以保密為重點的部門有10個,包括1989年《中華人民共和國保守國家秘密法》、1998年《計算機信息系統安全管理暫行規定》、2000年《計算機信息系統國際聯網安全管理規定》、1997年《農業部計算機信息網絡系統安全管理暫行規定》。以密碼管理和應用為重點的部門有5個,包括1999年《商用密碼管理條例》、2005年《電子認證服務管理辦法》、《電子認證服務管理辦法》等部門規章、2002年《上海市數字認證管理辦法》和2001《海南省數字證書認證管理試行辦法》等地方性法規或規章。重點防治計算機病毒和有害程序的部門有9個,包括2000年的《計算機病毒防治管理辦法》和其他地方性法規或規章,包括1994年的《北京市計算機信息系統防治管理辦法》和2002年的《天津市計算機病毒防治管理辦法》。針對特定領域的信息安全有9個部門,包括1998年《金融機構計算機信息安全保護暫行規定》、2003年《鐵路計算機信息系統安全保護辦法》、2005年《證券期貨業信息安全管理暫行辦法》等地方性法規或規章,包括2003年《廣東省電子政務信息安全管理暫行辦法》。信息安全監管重點部門有三個,包括2004年《上海市信息系統安全評估管理辦法》等地方性法規或規章;重點討論對信息安全犯罪的懲治,主要涉及我國刑法第285、286、287條。
總的來說,這些信息安全法律法規所體現的我國信息安全的基本原則可以簡單概括為國家安全、單位安全和人身安全相結合的原則,分級保護的原則,維護信息權利的原則,救濟的原則,依法監管的原則,技術中立的原則,權利義務相統壹的原則。基本制度可以簡單概括為統壹領導、分工負責、分級保護制度、技術檢測和風險評估制度、安全產品認證制度、生產銷售許可制度、信息安全告知制度、備份制度等。
2.與信息安全相關的司法和行政管理體系迅速完善。
以《中華人民共和國刑法》第217、218、285、286、287、288條、《NPC常務委員會關於維護互聯網安全的決定》、《中華人民共和國計算機信息系統安全保護條例》、《電信條例》、《互聯網信息服務隨著《最高人民法院、最高人民檢察院關於辦理利用互聯網、移動通信終端、聲訊臺制作、復制、出版、販賣、傳播淫穢電子信息刑事案件具體應用法律若幹問題的解釋》的出臺,壹些危害信息安全的案件迅速得到裁判,如廣州市中級人民法院判決的呂案、何普案、 烏魯木齊市中級人民法院判決的何某,利用銀行電腦操作員的職務便利,挪用巨額公款,震懾犯罪分子。
經過多年的工作,在我國信息安全行政管理中,信息安全保障體系建設也取得了初步成效。與信息安全法律法規體系相配套的標準體系、應急響應體系、等級保護體系、電子認證體系、安全評估體系、計算機病毒疫情查控體系、違法和不良信息報告體系等建設都得到了快速發展,為電子政務、電子商務和信息化做出了貢獻。
3.目前法律條文中法律少、規定多,缺乏信息安全方面的基本法律。
雖然可以說我國的信息安全法律體系已經初步形成,但還不成熟。在這個體系中,部門規章、地方性法規和規章占絕大多數,而法律法規只占65個中的8個,占12%。部門規章、地方性法規和規章效力層次低,適用範圍有限,相互之間可能會發生沖突,不能作為法院判決的依據,直接影響這些措施的效果。最關鍵的是,目前我們沒有壹部信息安全基本法。對於信息安全基本法,我們理解為確立信息安全的基本原則、基本制度和壹些核心內容的法律,而我們前面提到的很多規定,應該是從這部法律的基本框架中引申出來的。有了這部法律,我們的信息安全法律體系才能說有了主心骨。類似的國外法律還有美國2002年的《聯邦信息安全管理法》、俄羅斯1987年的《計算機安全法》和1995年的《聯邦信息、信息化和信息保護法》。
4.相關法律法規簡短,行為規範簡單。
我國現有的信息安全相關法律法規普遍存在篇幅較短、較為籠統的問題,如《NPC常委會關於維護互聯網安全的決定》第七條、《中華人民共和國計算機信息系統安全保護條例》第31條、《中華人民共和國計算機信息網絡國際聯網管理暫行規定》等。《計算機信息網絡國際聯網安全保護管理辦法》(公安部)第* * 25條、《互聯網信息服務管理辦法》第* * 27條、《計算機信息系統安全專用產品檢測銷售許可管理辦法》(公安部)第* * 26條、《商用密碼管理規定》第* * 27條、《計算機信息系統國際聯網安全管理規定》(國家
此外,總的來說,目前這些法律法規有三個方面需要完善:壹是這些法律法規的主要內容側重於物理環境和行政管理方面的要求,與信息安全相關的行為規範壹般比較簡單,在具體實施中指導性不強;二是目前這些法律法規在處罰措施上普遍不夠具體,導致信息安全領域實施處罰缺乏法律依據;再次,在壹些特定的信息應用領域,如電子商務、電子政務、網上支付等。,相應的信息安全規範相對缺乏,需要進壹步制定。
5.其他與信息安全相關的法律需要完善。
在建立和完善信息安全法律體系的同時,還需要出臺和完善其他與信息安全相關的法律法規,如《電信法》、《個人數據保護法》等。這些法律法規與信息安全法律體系共同構成了中國信息安全的大法律環境,相輔相成,缺壹不可。
在這裏,我們也可以簡單解釋壹下這個大信息安全法律環境的脈絡:
首先,從權利的角度來看,信息安全涉及的人身權主要包括通信秘密、言論自由、隱私權、著作權及相關知識產權,而涉及通信秘密和言論自由的法律是憲法、國家安全法和警察法,涉及隱私權的法律是民法通則,涉及著作權及相關知識產權的法律是著作權法和合同法。此外,可能涉及的法律還有行政許可法、行政處罰法、國家賠償法等。涉及信息安全的單位權利主要有商業秘密、技術秘密、著作權及相關知識產權,而涉及商業秘密和技術秘密的法律有反不正當競爭法和技術合同法,涉及著作權及相關知識產權的法律有著作權法和合同法。此外,可能涉及的法律還有行政許可法、行政處罰法、國家賠償法等。從國家的角度來看,信息安全涉及國家安全、保密和金融安全等。涉及國家安全的法律是《國家安全法》,涉及保密的法律是《保守國家秘密法》,涉及金融安全的法律是《銀行法》。
其次,從應用角度看,與信息安全相鄰或交叉的領域有:電信、無線電、集成電路、計算機軟件與系統集成、網絡與網絡信息服務、電子商務與現代物流、電子政務、信息資源公開與利用等。在這些領域,還可以看到《電信條例》、《無線電條例》、《集成電路布圖設計保護條例》、《計算機軟件保護條例》、《中華人民共和國計算機信息網絡國際聯網管理暫行規定》、《互聯網信息服務管理辦法》、《互聯網上網服務營業場所管理規定》、《電子簽名法》等壹系列法律法規、部門規章和地方性法規。