網(wǎng)絡(luò)信息安全的法律保障

陳中麗

摘要隨著英特網(wǎng)的高速發(fā)展,一系列網(wǎng)絡(luò)信息安全問題層出不窮,嚴重影響了網(wǎng)絡(luò)的正常秩序,引起了政府和社會各界的廣泛關(guān)注。本文從法律角度出發(fā),對網(wǎng)絡(luò)信息安全的法律保護進行了探討。

關(guān)鍵詞網(wǎng)絡(luò)信息安全法律保障

中圖分類號:D920.4文獻標識碼:A文章編號:1009-0592(2009)01-101-02

互聯(lián)網(wǎng)是一個開放的網(wǎng)絡(luò),任何團體或個人都可以在網(wǎng)上方便地傳送和獲取各種各樣的信息。由于網(wǎng)絡(luò)的迅速發(fā)展而自身的安全防護能力很弱,許多應(yīng)用系統(tǒng)處于不設(shè)防狀態(tài),存在著極大的安全風(fēng)險和隱患。我國就網(wǎng)絡(luò)規(guī)模而言雖然已經(jīng)進入世界先進水平,但是在信息安全方面卻面臨著尷尬局面。以國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理中心的數(shù)據(jù)為例,2004年全國共處理各類信息安全事故1000余件。其還對常見的20多個木馬程序的活動狀況進行了抽樣監(jiān)測,發(fā)現(xiàn)我國大陸地區(qū)6600多個IP地址的主機被植入木馬。這些數(shù)據(jù)足以證明,信息安全的重要性還沒引起我們一些機關(guān)、單位、企業(yè)的足夠重視,信息安全工作還處于被動的狀態(tài),還沒有形成“主動采取措施、積極應(yīng)對”的意識,信息系統(tǒng)的整體防護能力低。可以說網(wǎng)絡(luò)在為人們提供便利、帶來效益的同時,也使人類面臨著信息安全方面的巨大威脅。網(wǎng)絡(luò)信息安全就是指在網(wǎng)絡(luò)環(huán)境下確保網(wǎng)絡(luò)基礎(chǔ)設(shè)施免遭干擾、破壞,從而實現(xiàn)網(wǎng)絡(luò)信息的完整性、保密性、可用性和真實性。造成計算機網(wǎng)絡(luò)信息不安全的因素有很多,有計算機本身的不可靠性、計算機系統(tǒng)自身的脆弱性、環(huán)境的干擾以及自然災(zāi)害等因素,也有工作人員失誤,操作不當引起,但網(wǎng)絡(luò)信息面臨最大的安全威脅則來自人為的破壞,常見的有以下幾個方面:

首先,計算機病毒問題。計算機病毒具有復(fù)制性、傳播性和破壞性的特點,早期的計算機病毒只是寄存于主程序中,就其本身而言,只是一種具有自我復(fù)制能力的程序,和其他程序一樣,只有運行之后病毒才會發(fā)揮其功能,因而防范措施也有很多。但隨著Internet的發(fā)展,網(wǎng)頁技術(shù)逐漸被廣泛使用,將文件附于電子郵件的能力也不斷提高,計算機病毒的種類急劇增加,擴散速度大大加快,而且破壞性也加大,受感染的范圍也越來越廣。目前,計算機網(wǎng)絡(luò)病毒傳播的方式大致有四種:Email附帶的文件;從Internet、BBS下載的文件;瀏覽網(wǎng)頁時感染病毒;“黑客”惡意侵人計算機系統(tǒng),傳播病毒等。

其二,計算機黑客問題。黑客是指利用不正當?shù)氖侄胃`取計算機網(wǎng)絡(luò)系統(tǒng)的口令和密碼,從而非法進入計算機網(wǎng)絡(luò)的人。黑客攻擊早在主機終端時代就已出現(xiàn),主要的手段有:竊取口令、強力闖入、竊取額外特權(quán)、植人“特洛伊木馬”、植人非法命令過程或程序“蠕蟲”、清理磁盤等。隨著網(wǎng)絡(luò)的發(fā)展,現(xiàn)代黑客從以系統(tǒng)攻擊為主轉(zhuǎn)為網(wǎng)絡(luò)攻擊為主,主要手法有:通過網(wǎng)絡(luò)監(jiān)聽獲取網(wǎng)上用戶帳號和密碼進行攻擊;監(jiān)聽密鑰分配過程,得到密鑰或認證碼,盜取合法資格;利用文件傳送協(xié)議,采用匿名用戶訪問進行攻擊;利用操作系統(tǒng)提供的守護過程的缺省帳戶進行攻擊;突破防火墻等。到目前為止,已知黑客的攻擊手段多達500多種,突破口主要利用休息日,選擇薄弱環(huán)節(jié)進行攻擊。

其三,信息污染問題。信息污染主要是利用計算機網(wǎng)絡(luò)傳播違反社會道德或法律及社會意識形態(tài)的信息即信息垃圾,如:一些色情的、種族主義的、或有明顯意識形態(tài)傾向的信息。這些不健康的、反動的信息不僅對青少年的毒害十分嚴重,也對國家安全、社會穩(wěn)定造成極大的危害。

其四,拒絕服務(wù)攻擊問題。拒絕服務(wù)攻擊是一種破壞性攻擊,主要的表現(xiàn)形式是用戶在很短的時間內(nèi)收到大量無用的電子郵件,從而影響正常業(yè)務(wù)的運行,嚴重時會使系統(tǒng)關(guān)機,網(wǎng)絡(luò)癱瘓。

網(wǎng)絡(luò)信息不安全會帶來惡劣的社會影響和巨大的經(jīng)濟損失,對其進行有效防范是一個復(fù)雜的系統(tǒng)工程,包括管理方面的安全防范,機房實體的安全防范,技術(shù)安全防范等等。但國際上普遍認為,網(wǎng)絡(luò)安全問題,包括計算機犯罪在內(nèi),不僅是技術(shù)問題,更應(yīng)該屬于法律范疇的問題。從法律的角度來探求網(wǎng)絡(luò)信息安全的保障,有以下幾個方面的規(guī)范和措施:

首先,要明確法律責任的責任主體。法律責任就是由特定法律事實所引起的對損害予以賠償、補償或接受懲罰的特殊義務(wù)。責任主體是指因違反法律、違約或法律規(guī)定的事由而承擔法律責任的人,其中包括自然人、法人和其他社會組織。責任主體對于法律責任的有無、種類、大小有著密切的關(guān)系。目前,我國法制體系中就網(wǎng)絡(luò)信息安全問責中主要是針對違法犯罪的自然人,而忽略了網(wǎng)站的法律責任。本文認為要建立網(wǎng)絡(luò)信息安全的保護,需要強化個人與網(wǎng)站雙方的法律責任。在網(wǎng)絡(luò)違法犯罪過程中,人是主犯,起主要作用,而網(wǎng)站則起著不可忽視的幫助作用。但目前對于網(wǎng)站傳媒僅僅從道德上予以譴責,而缺乏法律約束及相關(guān)法律責任的追究。而在危害網(wǎng)絡(luò)信息安全的法律問責中,原始違法犯罪人所造成的不利后果是直接的、明顯的、嚴重的,應(yīng)承擔直接法律責任與刑事法律責任。后繼違法犯罪人(傳播者等)所造成的不利后果是直接的、有一定危害性的,應(yīng)承擔直接法律責任與民事法律責任,情節(jié)特別嚴重的也應(yīng)追究其刑事責任,這在我國現(xiàn)有法律體系中已有明確規(guī)定。網(wǎng)站傳媒作為社會組織,理應(yīng)具有職業(yè)操守與社會責任感,是公民權(quán)利的代言人,是網(wǎng)絡(luò)信息安全的管理者與執(zhí)行者,如在維護網(wǎng)絡(luò)信息安全的過程中成為了公民私權(quán)的侵犯者,除了予以道德譴責之外,還要承擔一定的法律責任,即相應(yīng)的連帶民事法律責任。

其次,要以法律手段強化網(wǎng)絡(luò)監(jiān)管。據(jù)有關(guān)部門統(tǒng)計,在所有的網(wǎng)絡(luò)安全事故中,約有52%是人為因素造成的,25%由火災(zāi)、水災(zāi)等自然災(zāi)害引起,技術(shù)錯誤占10%,組織內(nèi)部人員作案占10%,僅有3%左右是由外部不法人員的攻擊造成。屬于管理方面的原因比重高達7 0%以上,而這些安全問題中的95%是可以通過科學(xué)的信息安全管理來避免。因此,在維護網(wǎng)絡(luò)信息安全過程中,網(wǎng)絡(luò)監(jiān)管是關(guān)鍵,并且應(yīng)由一定的法律來強制保障實行。另外,還應(yīng)以法律強制手段推行網(wǎng)絡(luò)實名制。網(wǎng)絡(luò)實名制指在網(wǎng)絡(luò)環(huán)境中傳遞信息時應(yīng)使用真實身份資料認證的制度。網(wǎng)絡(luò)以計算機為依托,借助一定的計算機符號來承載信息,帶有很強的虛擬性。在這個虛擬性高的空間來實現(xiàn)非虛擬的信息安全管理具有一定的難度,因此就需要利用法律的強制手段來推行。例如上傳網(wǎng)絡(luò)信息的法律約束與管理,無論是個人還是集體要利用網(wǎng)絡(luò)上傳信息應(yīng)受到一定的法律約束,不能是任何人任何時候都可以在任何網(wǎng)站上傳任何信息,如要上傳,應(yīng)有特定的監(jiān)管程序通過網(wǎng)絡(luò)實名制的信息庫檢驗其身份資格的合法性才能進行。當然這其中涉及到一個公民私權(quán)(個人隱私權(quán)等)的規(guī)避問題,但是法律規(guī)定可以先在部分網(wǎng)站、部分領(lǐng)域?qū)嵭芯W(wǎng)絡(luò)實名制,等到條件成熟之后再全面推行。

進一步推廣與完善電子簽名及相關(guān)法律。電子簽名也稱作“數(shù)字簽名”,是指用符號及代碼組成電子密碼進行“簽名”來代替書寫簽名或印章。它采用規(guī)范化的程序和科學(xué)化的方法,用于鑒定簽名人的身份以及對一項數(shù)據(jù)電文內(nèi)容信息的認可。2004年8月,我國正式頒布了《中華人民共和國電子簽名法》,并于2005年4月1日起正式施行。這是我國首部真正意義上的信息法律,它明確了可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力。通過應(yīng)用電子簽名認證證書實現(xiàn)網(wǎng)上身份識別認證,并確保信息在網(wǎng)絡(luò)中傳輸?shù)谋Ｃ苄?、完整性、以及行為的不可否認性。針對目前“電子認證”等實踐中的具體問題,應(yīng)加快相關(guān)法律的建設(shè)與完善。落實網(wǎng)絡(luò)信息安全等級評價。網(wǎng)絡(luò)信息系統(tǒng)的安全等級是指國家信息安全監(jiān)督管理部門根據(jù)計算機網(wǎng)絡(luò)處理信息的敏感程度、業(yè)務(wù)應(yīng)用性質(zhì)和部門重要程度所確認的信息網(wǎng)絡(luò)安全保護能力的級別。信息系統(tǒng)安全等級評價是指評價機構(gòu)根據(jù)國家信息安全等級技術(shù)標準和管理標準,對使用單位的信息網(wǎng)絡(luò)進行安全等級檢測、評價和監(jiān)督的活動。對于網(wǎng)絡(luò)信息安全等級評價不合格的單位部門應(yīng)由法律強制撤銷其處理網(wǎng)絡(luò)信息等相關(guān)職能或給予一定期限進行整改。加強網(wǎng)絡(luò)實名制、電子簽名、網(wǎng)絡(luò)信息安全等級評價等一系列法律的建立與完善,是強化網(wǎng)絡(luò)信息安全監(jiān)管的保障。

最后,要進一步完善信息安全法律體系。我國現(xiàn)行的信息網(wǎng)絡(luò)法律體系框架分為四個層面,即一般性法律規(guī)定,如憲法、國家安全法、治安管理處罰條例、著作權(quán)法、專利法等;規(guī)范和懲罰網(wǎng)絡(luò)犯罪的法律,如《中華人民共和國刑法》、《全國人大常委會關(guān)于維護互聯(lián)網(wǎng)安全的決定》等;直接針對計算機信息網(wǎng)絡(luò)安全的特別規(guī)定,主要有《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》、《中華人民共和國計算機軟件保護條例》等;具體規(guī)范信息網(wǎng)絡(luò)安全技術(shù)、信息網(wǎng)絡(luò)安全管理等方面的規(guī)定,主要有:《商用密碼管理條例》、《計算機信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法》、《計算機病毒防治管理辦法》、《計算機信息系統(tǒng)保密管理暫行規(guī)定》等。一方面確立了信息網(wǎng)絡(luò)安全管理的基本法律原則,建立了多項信息網(wǎng)絡(luò)安全的保障制度,明確了計算機信息網(wǎng)絡(luò)安全的主管部門,另一方面也存在著立法滯后,立法層次低下,缺乏開放性、兼容性以及操作性等不足,因此在提高網(wǎng)絡(luò)技術(shù)的同時,我們也要重視相關(guān)法律的完善,使網(wǎng)絡(luò)信息安全切實得到法律的保障。目前我國網(wǎng)絡(luò)信息安全的建立和完善應(yīng)當首先考慮一下幾個方面:

首先,互聯(lián)網(wǎng)絡(luò)法規(guī)定對網(wǎng)絡(luò)的正當使用,防止越權(quán)訪問網(wǎng)絡(luò),保護網(wǎng)絡(luò)用戶的合法利益;第二,電子信息個人隱私法保護公民的個人隱私。在電子信息系統(tǒng)廣泛應(yīng)用的條件下這種要求將以新的形式提出并要有相應(yīng)的管理規(guī)范加以界定和保護。本法應(yīng)當規(guī)定在電子商務(wù)中涉及到的、個人以電子信息方式存在的隱私,在不違反國家安全利益的原則下享有隱私權(quán),侵犯他人隱私權(quán)將依法受到懲處;第三,信息安全法確定國家在建立電子數(shù)據(jù)信息資源中的地位,明確電子數(shù)據(jù)交流與保密的范疇,保護電子數(shù)據(jù)的法律責任,規(guī)范電子數(shù)據(jù)系統(tǒng)的安全保護要求,規(guī)定對電子數(shù)據(jù)系統(tǒng)安全維護管理必要的人員配置及責任義務(wù)等;第四,網(wǎng)絡(luò)犯罪法、刑法和全國人大《關(guān)于維護互聯(lián)網(wǎng)安全的決定》雖然規(guī)定了一部分網(wǎng)絡(luò)犯罪及其刑事責任,但是這難以控制復(fù)雜多變的網(wǎng)絡(luò)犯罪,因此必須進行立法完善;第五,電子信息出入境法作為主權(quán)國家對電子商務(wù)中涉及到需要進出口邊境的電子信息必須進行相應(yīng)的規(guī)定,規(guī)定哪些信息可以進出境,哪些信息國家有權(quán)查扣,違法的事項以及處罰依據(jù)等;第六,電子信息出版法明確規(guī)定電子出版的權(quán)利、義務(wù)、審批、管理和法律責任等;最后,電子信息知識產(chǎn)權(quán)保護法明確規(guī)定以電子信息方式存在的、以多媒體等介質(zhì)表述的文教、衛(wèi)生科技、工農(nóng)業(yè)、商貿(mào)等各領(lǐng)域的發(fā)明、創(chuàng)造的知識產(chǎn)權(quán)的歸屬主體的權(quán)利、義務(wù)、責任以及違反法規(guī)的法律后果等。

總之,法律是信息網(wǎng)絡(luò)安全的制度保障。離開了法律這一強制性規(guī)范體系,信息網(wǎng)絡(luò)安全技術(shù)和管理人員的行為都失去了約束。即使有再完善的技術(shù)和管理的手段,都是不可靠的。同樣沒有安全缺陷的網(wǎng)絡(luò)系統(tǒng),即使相當完善的安全機制也不可能完全避免非法攻擊和網(wǎng)絡(luò)犯罪行為。信息網(wǎng)絡(luò)安全措施只有在法律的支撐下才能產(chǎn)生約束力。法律對信息網(wǎng)絡(luò)安全措施的規(guī)范主要體現(xiàn)在對各種計算機網(wǎng)絡(luò)提出相應(yīng)的安全要求,對安全技術(shù)標準、安全產(chǎn)品的生產(chǎn)和選擇作出規(guī)定,賦予信息網(wǎng)絡(luò)安全管理機構(gòu)一定的權(quán)利和義務(wù),規(guī)定違反義務(wù)的應(yīng)當承擔的責任,將行之有效的信息網(wǎng)絡(luò)安全技術(shù)和安全管理的原則規(guī)范化等。信息網(wǎng)絡(luò)安全法律告訴人們哪些網(wǎng)絡(luò)行為不可為,如果實施了違法行為就要承擔法律責任,構(gòu)成犯罪的還須承擔刑事責任。法律也是實施各種信息網(wǎng)絡(luò)安全措施的基本依據(jù)。一方面它是一種預(yù)防手段,另一方面它也以其強制力為后盾為信息網(wǎng)絡(luò)安全構(gòu)筑起最后一道防線。