信息安全法的基本原則是貫穿於信息安全立法、執法、司法各環節,在信息安全法制建設過程中貫徹始終和必須遵循的基本規則。作為信息安全法的兩個主要方面,網絡信息安全法和信息安全保密法除了應當遵循我國社會主義法制的壹般原則外,還應遵循以下特有原則:
1.預防為主的原則
從手段上講,積極預防的方式和過程壹般會比產生消極後果再補救要簡單和輕松許多;另壹方面,從後果上看,各種信息數據壹旦被破壞或者泄露,往往會造成難以彌補的損失。網絡信息安全關鍵在於預防。“信息安全問題,應該重在‘防’,然後才是‘治’,增強用戶的防範意識,是減少網絡安全隱患極其關鍵的壹環。”
有專家認為,對信息系統進行安全風險評估,並在特殊時期內對尚未發生的安全事故嚴防以待,可以減少災難發生。叫相應地,網絡信息安全法也應加強預防規範措施,如對於病毒的預防,對於非法入侵的防範等。同樣,對於保密信息尤其是國家秘密而言,首先要求的是事前的主動的積極防範。我國《保守國家秘密法》第二十九條“機關、單位應當對工作人員進行保密教育,定期檢查保密工作”的規定就是這壹原則的體現。
2.突出重點的原則
在信息安全法中,凡涉及國家安全和建設的關鍵領域的信息,或者對經濟發展和社會進步有重要影響的信息,都應有明確、具體、有效的法律規範加以保障。《中華人民***和國計算機信息系統安全保護條例》第四條規定,計算機信息系統的安全保護工作,重點是維護國家事務、經濟建設、國防建設、尖端科學技術等重要領域的計算機信息系統的安全。
在信息安全保密工作中,也應突出重點進行規範。如對國家秘級的劃分,在三個密級中,絕密是重點。如果不分輕重,平均使用力量壹般對待,就會使國家的核心秘密與壹般秘密混同,影響和威脅核心秘密的安全;就秘密分布區域來說,秘密集中的地區、部門是重點;就信息的潛在危險程度來說,國家事務、經濟建設、國防建設、尖端科學技術等重要領域的信息無疑也是重點。
3.主管部門與業務部門相結合的原則
由於涉及領域廣泛,信息安全法更顯現出其兼容性和綜合性。通常,不同領域的管理部門,壹般負責其相應領域的信息安全管理工作並對因管理不善造成的後果承擔法律責任。網絡信息安全法在很多方面體現出主管部門與業務部門相結合的原則。
在信息安全保密方面,由於國家秘密分布在國家的各個領域,如國家機關、單位業務部門涉及的國家安全和利益、涉及經濟建設的許多事項都可能會成為國家秘密,因此,保密工作與各業務部門的業務工作的聯系非常緊密,沒有業務部門的配合,保密工作的落實是非常困難的。所以,必須把保密工作主管部門和業務工作部門結合起來。實踐證明,這是做好保密工作的根本途徑,因而成為壹項重要原則。
4.依法管理的原則
“三分技術,七分管理”這個在其他領域總結出來的實踐經驗和原則,在信息安全領域同樣適用。對於網絡信息安全,不能僅僅強調技術,僅僅依靠網絡自身的力量,更應該加強管理。從早期的加密技術、數據備份、防病毒到近期網絡環境下的防火墻、入侵檢測、身份認證等,信息技術的發展可謂迅速。但事實上許多復雜、多變的安全威脅和隱患僅僅依靠技術是無法解決的。
由於保密工作是壹項巨大的系統工程,涉及面很廣,壹旦泄密,產生的後果也很大,因而依法管理顯得尤為重要。所謂依法管理就是要求各個部門和相關工作人員嚴格按照法定的程序和內容管理保密信息並進行其他保密工作,增加各個部門之間的協調配合,從而使保密工作納入法治的軌道。
5.維護國家安全和利益的原則
國家安全是保障政治安定、社會穩定的基本前提,關系到國家的生死存亡,是維護全國各族人民利益的根本保障。冷戰結束後,國際局勢日趨緩和,但是境外組織對我國重要信息的竊密活動卻日益增加,不僅從原來的政治、軍事領域擴大到經濟、科技、文化等領域,而且竊密手段越來越多種多樣,嚴重威脅著我國的國家安全和利益。信息安全保密法特別強調維護國家安全和利益的原則。這是保密工作的根本出發點和歸宿,是國家意誌在保密法中的具體體現,也是信息安全保密法的本質所在。這壹原則不僅是保密工作的壹項重要的指導思想,而且是信息安全保密法的首要基本原則。