美國(guó)信息安全立法及其啟示與分析

魏波 周榮增

摘? ?要：在“9·11事件”發(fā)生后，美國(guó)更加重視網(wǎng)絡(luò)與信息安全，相繼頒布了《關(guān)鍵基礎(chǔ)設(shè)施保護(hù)法》《網(wǎng)絡(luò)安全研究與發(fā)展法》《網(wǎng)絡(luò)安全增強(qiáng)法》《聯(lián)邦信息安全管理法》《網(wǎng)絡(luò)安全信息共享法案》等一系列法律。政府部門加強(qiáng)信息網(wǎng)絡(luò)安全的監(jiān)督管理，信息安全法制建設(shè)成效明顯。美國(guó)規(guī)范信息安全的法律經(jīng)歷了一個(gè)從“預(yù)防為主”到“先發(fā)制人”，以控制“硬件設(shè)備”到控制“網(wǎng)絡(luò)信息內(nèi)容”的演化過(guò)程;政府相關(guān)部門在網(wǎng)絡(luò)監(jiān)管中的權(quán)限職責(zé)不斷加強(qiáng)，以滿足應(yīng)對(duì)與日俱增的信息安全風(fēng)險(xiǎn)與挑戰(zhàn)的需求。我國(guó)信息安全立法存在民法上的救濟(jì)不強(qiáng)、規(guī)定較分散、規(guī)定較滯后等不足，未來(lái)立法要注意前瞻性，對(duì)不同的信息采取分類分級(jí)保護(hù)，信息的收集保存及利用都需要制訂規(guī)定、標(biāo)準(zhǔn)。

關(guān)鍵詞：美國(guó);信息安全法律;監(jiān)管;立法;啟示

中圖分類號(hào)：D90? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

Information security legislation in the United States and its enlightment

Wei Bo1，2， Zhou Rongzeng3

（1.First Research Institute of the Ministry of Public Security of PRC， Beijing 100044;

2.Institute of Computing Technology Chinese Academy of Sciences， Beijing 100190;

3. Beijing Zaiming Law Firm， Beijing 100022）

Abstract： After the 9·11 attacks， the United States paid more attention to the network and information security， and successively issued a series of laws， including “Critical Infrastructures Protection Act”， “Network Security Research and Development Act”， “Network Security Enhancement Act”， “Federal Information Security Management Act” and “Network Security Information Sharing Act”. In addition， the American government strengthened the supervision of information network security， resulting in obvious effectiveness of the information security legal system construction. The law regulating information security in the United States has undergone an evolutionary process from “prevention-based” to “preemptive strike”， which implies a shift from the control of “hardware devices” to the control of “network information content”. The concerned government departments continuously strengthen the responsibilities and limitation on power in network supervision to meet the growing need for handling information security risks and challenges. However， Chinas information security legislation is characterized by such disadvantages as insufficient deficiencies in civil law， dispersion of stipulation， and lagging regulations. Its future legislation should attach significance to foresightedness， and classify and protect different information， and formulate regulations and standards on collection and preservation， and usage of information.

Key words： United States; information security law; supervision and management; legislation; implication

1 引言

計(jì)算機(jī)誕生于美國(guó)，互聯(lián)網(wǎng)也發(fā)源于美國(guó)，美國(guó)一直引領(lǐng)著信息技術(shù)的發(fā)展，也較早地注重對(duì)信息安全的保護(hù)。幾十年來(lái)，美國(guó)頒行了一系列與網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)，建立了比較完善的信息安全保護(hù)機(jī)制，值得其他國(guó)家借鑒。

2 美國(guó)信息安全立法的歷程

美國(guó)信息安全立法的分水嶺是2001年發(fā)生的“9·11事件”。之前針對(duì)信息安全的立法并不多，當(dāng)時(shí)全世界包括美國(guó)對(duì)網(wǎng)絡(luò)信息安全的重視程度都不高，網(wǎng)絡(luò)普及率不高，也沒(méi)有發(fā)生特別重大的網(wǎng)絡(luò)信息安全事件。進(jìn)入21世紀(jì)后，美國(guó)的信息安全立法主要針對(duì)網(wǎng)絡(luò)安全。安全依附于網(wǎng)絡(luò)，因此信息安全主要關(guān)注網(wǎng)絡(luò)安全，立法也主要集中在網(wǎng)絡(luò)領(lǐng)域。美國(guó)在網(wǎng)絡(luò)信息安全立法方面有著明顯的階段性：第一階段是2001年“9·11事件”之前，處于起步階段;第二階段是“9·11事件”之后到2009年，即小布什執(zhí)政期間，是發(fā)展階段;第三階段是2009年之后至今，積極推進(jìn)相關(guān)立法，相關(guān)立法趨于完備階段。

2.1 起步階段

1974年，美國(guó)頒布了《隱私權(quán)法》（Privacy Act），該法律為政府收集、存儲(chǔ)、使用、傳播公民的個(gè)人信息設(shè)定了相關(guān)的標(biāo)準(zhǔn)和準(zhǔn)則。1984年，頒布了《計(jì)算機(jī)欺詐與濫用法》（Computer Fraud and Abuse Act），該法旨在打擊不法分子侵入計(jì)算機(jī)系統(tǒng)竊取機(jī)密信息以及金融檔案信息的行為，從而保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全。1986年，頒布了《計(jì)算機(jī)安全法》（Computer Security Act）和《電子通信隱私法》（Electronic Communications Privacy Act），要求政府保障計(jì)算機(jī)信息系統(tǒng)的信息安全以及公民在電子通信過(guò)程中傳輸?shù)男畔⒌陌踩?996年，美國(guó)頒布了《信息技術(shù)管理改革法》（Information Technology Management Reform Act），要求政府對(duì)應(yīng)用于網(wǎng)絡(luò)安全管理技術(shù)的資金進(jìn)行必要的監(jiān)管。1996年美國(guó)還頒布了《國(guó)家信息基礎(chǔ)設(shè)施保護(hù)法》（National? Information? Infrastructure? Protection Act）和《電子通信法》（The Telecommunications Act）。根據(jù)法律規(guī)定：信息基礎(chǔ)設(shè)施是指包括用于支持政府、企業(yè)、學(xué)校、銀行等機(jī)構(gòu)運(yùn)行的計(jì)算機(jī)系統(tǒng)。同時(shí)，規(guī)定了制造和傳播病毒是犯罪行為，要納入刑法的打擊范圍。政府要制定公共關(guān)鍵基礎(chǔ)設(shè)施標(biāo)準(zhǔn)，切實(shí)保障網(wǎng)絡(luò)信息安全。1997年，頒布了《計(jì)算機(jī)安全增強(qiáng)法》（Computer? Security Enhancement? Act），該法律要求加快非公共密鑰管理基礎(chǔ)設(shè)施的建設(shè)。1998年，頒布了《兒童在線隱私權(quán)保護(hù)法》（Children's Online Privacy Protection Rule），該法律旨在保護(hù)13歲以下的兒童在網(wǎng)絡(luò)上的隱私信息。1999年，頒行了《網(wǎng)絡(luò)空間電子信息安全法》（Cyberspace Electronic Security Act），該法規(guī)定，聯(lián)邦政府的執(zhí)法機(jī)構(gòu)可以獲取加密密鑰和加密方法，其他未經(jīng)法律授權(quán)的機(jī)構(gòu)和個(gè)人都不得行使該項(xiàng)權(quán)利。2000年，頒布了《政府信息安全改革法》（Government Information Security Reform Act），該法旨在加強(qiáng)對(duì)政府信息的保護(hù)，確定了各個(gè)政府部門在政府信息保護(hù)方面的職責(zé)。

2.2 發(fā)展階段

2000年以后互聯(lián)網(wǎng)發(fā)展逐步進(jìn)入快車道，海量的信息被上傳在網(wǎng)絡(luò)中傳輸、交流，并存儲(chǔ)在網(wǎng)絡(luò)計(jì)算機(jī)中，加快信息立法，以保護(hù)信息安全變得日益迫切。2001年“9·11事件”之后，美國(guó)意識(shí)到一旦恐怖分子或者其他不法分子利用網(wǎng)絡(luò)信息進(jìn)行犯罪活動(dòng)，破壞性極大，這些促使美國(guó)加快了在信息安全方面立法的步伐。這一階段美國(guó)的立法機(jī)構(gòu)開始變得比較主動(dòng)，很重視立法的前瞻性和預(yù)見性，力圖使現(xiàn)階段的立法不僅能適應(yīng)當(dāng)下的情形，還能對(duì)未來(lái)可能出現(xiàn)的情形加以規(guī)范。這一時(shí)期的立法主要關(guān)注計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的研發(fā)與合理利用、網(wǎng)絡(luò)安全戰(zhàn)略的布局、信息共享和信息安全兩者的平衡等方面問(wèn)題。

2001年，美國(guó)頒布了《關(guān)鍵基礎(chǔ)設(shè)施保護(hù)法》（Critical Infrastructures Protection Act），該法律突出關(guān)鍵基礎(chǔ)設(shè)施對(duì)于國(guó)家安全的重要性。2002年，出臺(tái)了《網(wǎng)絡(luò)安全研究與發(fā)展法》（Cyber Security Research and Development Act），該法規(guī)定政府有義務(wù)資助計(jì)算機(jī)和網(wǎng)絡(luò)安全的研發(fā)。2002年還頒布了《聯(lián)邦信息安全管理法》（Federal Information Security Management Act）、《電子政務(wù)法》（E-Government? Act）、《國(guó)土安全法》（Homeland Security Act）和《網(wǎng)絡(luò)安全增強(qiáng)法》（Cyber Security Enhancement Act）?！毒W(wǎng)絡(luò)安全增強(qiáng)法》旨在進(jìn)一步加強(qiáng)網(wǎng)絡(luò)安全，根據(jù)計(jì)算機(jī)和互聯(lián)網(wǎng)行業(yè)的最新發(fā)展，加強(qiáng)了對(duì)計(jì)算機(jī)犯罪的打擊，并規(guī)定政府為了保護(hù)網(wǎng)絡(luò)安全可以獲得公民網(wǎng)絡(luò)通信的內(nèi)容。2005年，頒布《信息自由法》（Free Flow of Information Act）和《網(wǎng)絡(luò)安全教育促進(jìn)法》（Cybersecurity Education Enhancement Act）。

2.3 趨于完備階段

隨著互聯(lián)網(wǎng)的全面普及，保護(hù)信息安全的任務(wù)變得更加緊迫，美國(guó)在這一時(shí)期開始全面推進(jìn)信息安全的立法工作。這一階段的立法是全方位的，立法進(jìn)度更快，所立法律涉及的內(nèi)容也更加廣泛，趨于完備。2009年，頒布了《網(wǎng)絡(luò)安全法》（Cybersecurity Act），該法賦權(quán)聯(lián)邦政府設(shè)立專門的網(wǎng)絡(luò)安全咨詢辦公室，該辦公室可以斷開重要設(shè)施的網(wǎng)絡(luò)連接，管理一切網(wǎng)絡(luò)相關(guān)事務(wù)。2010年，在修訂《國(guó)土安全法》和其他相關(guān)法律的基礎(chǔ)上制定了《作為國(guó)家資產(chǎn)的網(wǎng)絡(luò)空間保護(hù)法》（Protecting Cyberspace as a National Asset Act），該法律的主旨是保護(hù)美國(guó)網(wǎng)絡(luò)空間和通信基礎(chǔ)設(shè)施的安全性。2011年，再頒行另外一部作為《網(wǎng)絡(luò)安全法》擴(kuò)展的《網(wǎng)絡(luò)安全增強(qiáng)法》（Cyber security Enhancement Act），該法案要求總審計(jì)長(zhǎng)定期向國(guó)會(huì)報(bào)告現(xiàn)有網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施的缺陷，并針對(duì)這些缺陷和不足提出相應(yīng)的解決方案和建議。2011年，頒布了《國(guó)土安全及基礎(chǔ)設(shè)施保護(hù)法》（Homeland Security and Physical Infrastructure Protection? Act），該法要求美國(guó)建立網(wǎng)絡(luò)安全合規(guī)部門，加強(qiáng)在網(wǎng)絡(luò)反恐和保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施方面的工作。2013年，頒布了《 網(wǎng) 絡(luò) 安 全 及 美 國(guó) 網(wǎng) 絡(luò) 競(jìng) 爭(zhēng) 法 》 （ Cyber security? and? American? Cyber Competitiveness Act）和《網(wǎng)絡(luò)信息共享和保護(hù)法》（Cyber Intelligence Sharing and Protection Act）。2014年，頒布《聯(lián)邦信息安全管理法》（Federal? Information? Security? Modernization? Act，F(xiàn)ISMA）和《國(guó)家網(wǎng)絡(luò)安全保護(hù)法》（National Cyber Security Protection Act）、《網(wǎng)絡(luò)安全人員評(píng)估法》（Cyber Security Workforce Assessment Act）。2015年，頒布了《網(wǎng)絡(luò)安全信息共享法案》（Cyber Security Information Sharing Act）。

3 美國(guó)信息安全立法的特點(diǎn)

縱觀美國(guó)信息安全立法的過(guò)程及其相關(guān)規(guī)定可以看出，在立法理念方面，最開始美國(guó)是相對(duì)消極的，本著預(yù)防為主。隨著20世紀(jì)90年代計(jì)算機(jī)開始進(jìn)入平民家庭，互聯(lián)網(wǎng)也開始起步并迅速發(fā)展，這時(shí)美國(guó)政府不得不變得比較主動(dòng)，加強(qiáng)了相關(guān)立法?？偨Y(jié)美國(guó)推進(jìn)信息安全立法的進(jìn)程，可以看出其經(jīng)歷了一個(gè)從“預(yù)防為主”到“先發(fā)制人”，以控制“硬件設(shè)備”到控制“網(wǎng)絡(luò)信息內(nèi)容”的演化過(guò)程。

（1）信息安全立法涉及范圍廣，包括規(guī)范網(wǎng)絡(luò)犯罪，加強(qiáng)信息網(wǎng)絡(luò)基礎(chǔ)設(shè)施保護(hù)，規(guī)范信息收集、利用、發(fā)布，隱私權(quán)保護(hù)等方面。

（2）注重多部門協(xié)作，建立信息共享及應(yīng)急支持機(jī)制，并且設(shè)立專門機(jī)構(gòu)協(xié)調(diào)各方一起保護(hù)信息安全。

（3）為了落實(shí)信息安全政策及法律，美國(guó)將政策執(zhí)行、監(jiān)督、管理等權(quán)利分配給多個(gè)部門，包括DHS、OMB、國(guó)防部、審計(jì)署、商務(wù)部、司法部等，并且根據(jù)現(xiàn)實(shí)需要不斷增設(shè)新機(jī)構(gòu)。

（4）美國(guó)還注重標(biāo)準(zhǔn)的制定，在多部法律中提到制定相應(yīng)標(biāo)準(zhǔn)保護(hù)信息安全，例如規(guī)定CIO委員會(huì)與NIST協(xié)作制定安全標(biāo)準(zhǔn)，NIST制定高性能計(jì)算的安全與隱私標(biāo)準(zhǔn)等。

總體而言，美國(guó)當(dāng)前有關(guān)信息安全立法的發(fā)展趨勢(shì)是要擴(kuò)大政府部門在網(wǎng)絡(luò)監(jiān)管中的權(quán)限，明確其職責(zé)任務(wù)，以滿足應(yīng)對(duì)與日俱增的信息安全風(fēng)險(xiǎn)挑戰(zhàn)的需求。

4 美國(guó)信息安全相關(guān)法律確定的重要法律制度

4.1 強(qiáng)制報(bào)案制度

在美國(guó)，如果發(fā)生危害信息安全的事件，那么相關(guān)的責(zé)任人員必須在一定的時(shí)間內(nèi)向相關(guān)機(jī)構(gòu)報(bào)案，如果該事件非常重大，負(fù)有報(bào)案義務(wù)的人員不報(bào)案，那么他將會(huì)承擔(dān)法律責(zé)任，這就是美國(guó)信息安全法律制度中的強(qiáng)制報(bào)案制度。

很多企業(yè)在遭遇信息被泄露的時(shí)候往往選擇不報(bào)案，因?yàn)橐坏﹫?bào)案，根據(jù)美國(guó)的《信息自由法》，該事件將要公開接受公眾的審查，這樣就會(huì)讓公眾認(rèn)為，該企業(yè)在信息安全保障方面做得非常糟糕，因此基于商業(yè)信譽(yù)和自身形象的考慮往往選擇不報(bào)案。企業(yè)不報(bào)案等于縱容了侵害信息安全的行為，加害者將有恃無(wú)恐地繼續(xù)實(shí)施危害行為。因此，在信息安全方面建立強(qiáng)制報(bào)案制度十分重要。

4.2 與強(qiáng)制報(bào)案制度相配套的投訴機(jī)構(gòu)

為了保證強(qiáng)制報(bào)案制度能夠真正被施行，美國(guó)建立了完善的投訴機(jī)制。發(fā)生信息安全事件之后，當(dāng)事人可以根據(jù)具體情況選擇向聯(lián)邦或者州的投訴機(jī)構(gòu)投訴。在美國(guó)，聯(lián)邦調(diào)查局、美國(guó)情報(bào)局、美國(guó)移民海關(guān)執(zhí)行局、美國(guó)郵政檢查局和酒精、煙草、易爆物局等機(jī)構(gòu)都有處理信息安全案件的權(quán)力，當(dāng)事人可以向這些機(jī)構(gòu)設(shè)立在全國(guó)各地的辦事處報(bào)案。此外，網(wǎng)絡(luò)犯罪投訴中心（IC3）也有處理信息安全案件的權(quán)限。IC3的使命是迅速處理涉及計(jì)算機(jī)犯罪的投訴，它是美國(guó)聯(lián)邦調(diào)查局和國(guó)家白領(lǐng)犯罪中心于2000年合作建立的，下設(shè)一家網(wǎng)站，專門承接網(wǎng)絡(luò)犯罪受害人的舉報(bào)。

4.3 保障個(gè)人隱私不受侵犯的法律制度

美國(guó)人一貫重視個(gè)人隱私，保護(hù)隱私權(quán)的法律非常多，最重要的無(wú)疑是聯(lián)邦憲法，除此之外，還有要有1968年的《綜合犯罪控制和街道安全法》、1974年的《隱私法》。在計(jì)算機(jī)時(shí)代到來(lái)之后，隱私權(quán)的保護(hù)面臨新的威脅。為此，美國(guó)又制定了一系列跟計(jì)算機(jī)網(wǎng)絡(luò)緊密相關(guān)的保護(hù)隱私權(quán)的法律，主要有1986年的《電子通訊隱私法》、1988年的《錄像隱私保護(hù)法》、1984年的《電纜通訊法》、1988年的《電腦匹配和隱私保護(hù)法》和1999年的《兒童網(wǎng)上隱私保護(hù)法》等。

4.4 保護(hù)商業(yè)秘密的法律

商業(yè)秘密是能夠?yàn)樗姓邘?lái)收益而不為公眾知悉的一種信息。商業(yè)秘密具有重大的經(jīng)濟(jì)價(jià)值。在美國(guó)，保護(hù)商業(yè)秘密的法律主要有《侵權(quán)法重述》《數(shù)字千年版權(quán)法》等?！肚謾?quán)法重述》禁止違背保密義務(wù)而泄露他人的商業(yè)秘密，如有違反則需承擔(dān)相應(yīng)的法律后果。該法律還禁止商業(yè)間諜竊取他人電腦中的商業(yè)秘密?！稊?shù)字千年版權(quán)法》是美國(guó)于1998年頒布實(shí)施的一部法律，它是美國(guó)為應(yīng)對(duì)互聯(lián)網(wǎng)時(shí)代新形勢(shì)制定的，旨在保護(hù)網(wǎng)絡(luò)作品的著作權(quán)。這部法律開創(chuàng)了互聯(lián)網(wǎng)時(shí)代專門立法保護(hù)網(wǎng)絡(luò)作品著作權(quán)的先河。它規(guī)定了“規(guī)避技術(shù)保護(hù)措施”，即沒(méi)有經(jīng)過(guò)著作權(quán)人的許可，其他人不得對(duì)其擁有著作權(quán)的網(wǎng)絡(luò)作品進(jìn)行反響研究、加密與解密，以及其他損害該技術(shù)保護(hù)措施的行為。面對(duì)日趨嚴(yán)峻的網(wǎng)絡(luò)用戶信息被濫用、被盜用形勢(shì)，美國(guó)各個(gè)州也制定了很多有關(guān)保護(hù)商業(yè)秘密的法律。

對(duì)于發(fā)生信息安全事件時(shí)網(wǎng)絡(luò)服務(wù)提供者的法律責(zé)任，美國(guó)法律規(guī)定了一種叫做“避風(fēng)港”的制度。在該制度下，網(wǎng)絡(luò)服務(wù)的提供者只需履行三項(xiàng)義務(wù)，就不承擔(dān)其他額外義務(wù)：第一，在發(fā)現(xiàn)并確認(rèn)違法信息后及時(shí)采取包括刪除、屏蔽鏈接等措施;第二，自身不發(fā)布、傳播違法信息;第三，配合協(xié)助執(zhí)法機(jī)關(guān)處理信息安全事件。由于網(wǎng)絡(luò)上存在著海量的信息，要求網(wǎng)絡(luò)服務(wù)提供者逐條審查既不公平也不現(xiàn)實(shí)?！氨茱L(fēng)港”制度公平地確認(rèn)了網(wǎng)絡(luò)服務(wù)提供者的法律責(zé)任，為網(wǎng)絡(luò)服務(wù)提供者的正常經(jīng)營(yíng)提供了有效保障。

5 中國(guó)信息安全立法的相對(duì)不足之處

5.1 救濟(jì)途徑比較單一

我國(guó)法律針對(duì)個(gè)人信息規(guī)定了很多保護(hù)措施和救濟(jì)措施。但是，從司法實(shí)踐來(lái)看，當(dāng)個(gè)人信息受到非法收集、買賣、泄露及非法利用等情況時(shí)，受害者只能以隱私權(quán)被侵犯為由去起訴，因?yàn)榉蓻](méi)有規(guī)定明確的個(gè)人信息權(quán)的救濟(jì)方式?！睹穹倓t》只是籠統(tǒng)地規(guī)定：“自然人的個(gè)人信息受法律保護(hù)。任何組織和個(gè)人需要獲取他人個(gè)人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個(gè)人信息，不得非法買賣、提供或者公開他人個(gè)人信息?！币虼?，對(duì)于個(gè)人來(lái)說(shuō)，當(dāng)其信息遭到非法侵犯時(shí)只能適用隱私權(quán)受侵犯來(lái)救濟(jì)自己的權(quán)利。但是眾所周知，隱私權(quán)和信息權(quán)是兩個(gè)不同的概念，它們的內(nèi)容雖有重合之處，但內(nèi)涵和覆蓋范圍卻差異很大。信息是一個(gè)比隱私更大的概念，個(gè)人信息里面包含了具有隱私屬性的信息和不具有隱私屬性的信息。因此，如果不具有隱私屬性的個(gè)人信息被侵犯，那么以隱私權(quán)被侵害為由提起訴訟顯然不會(huì)得到法院的支持，被侵權(quán)人只能請(qǐng)求行政機(jī)關(guān)給與侵權(quán)者行政處罰，被侵權(quán)人很難得到經(jīng)濟(jì)上的賠償。因此，應(yīng)該強(qiáng)化民法上的救濟(jì)。

5.2 規(guī)定較分散，不成體系

從現(xiàn)有的法律法規(guī)來(lái)看，我國(guó)目前關(guān)于個(gè)人信息保護(hù)的法律規(guī)定也相當(dāng)多，從《憲法》《刑法》《民法》《網(wǎng)絡(luò)安全法》等法律，到《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》 《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù)管理規(guī)定》等行政法規(guī)，都規(guī)定了保護(hù)個(gè)人信息的相關(guān)條款。但是，這些規(guī)定過(guò)于分散，不成體系，在當(dāng)前個(gè)人信息保護(hù)形勢(shì)極其嚴(yán)峻的情況下，這樣的規(guī)定顯然不能滿足實(shí)踐需要。當(dāng)務(wù)之急是要集法學(xué)工作者之智慧，多方聽取民眾之意見，結(jié)合互聯(lián)網(wǎng)和金融發(fā)展的現(xiàn)狀和趨勢(shì)，制定一部體系完備、內(nèi)容詳實(shí)、科學(xué)嚴(yán)謹(jǐn)、符合現(xiàn)實(shí)并具有前瞻性的個(gè)人信息保護(hù)法，特別要制定互聯(lián)網(wǎng)和金融行業(yè)個(gè)人信息保護(hù)的標(biāo)準(zhǔn)和保護(hù)措施，規(guī)定侵犯?jìng)€(gè)人信息的處罰措施。

5.3 現(xiàn)有的規(guī)定相對(duì)滯后

現(xiàn)有的關(guān)于個(gè)人信息保護(hù)的法律制定頒布已比較久遠(yuǎn)，然而互聯(lián)網(wǎng)和金融的發(fā)展速度異常迅猛，很多規(guī)定存在不合時(shí)宜之處。

6 對(duì)我國(guó)信息安全立法的建議

6.1立法要具有前瞻性

由于互聯(lián)網(wǎng)的發(fā)展速度特別快，我國(guó)在制定信息安全相關(guān)法律法規(guī)的時(shí)候，要根據(jù)現(xiàn)在的情形對(duì)未來(lái)做出適當(dāng)?shù)念A(yù)估，保證制定出的法律既能滿足當(dāng)前的需求，又能有效應(yīng)對(duì)未來(lái)的情形。

6.2 將信息分類，針對(duì)不同的信息給予不同強(qiáng)度的保護(hù)

信息的種類無(wú)窮不盡，把所有種類的信息都納入法律的保護(hù)之內(nèi)，給予同等強(qiáng)度的保護(hù)，這顯然是做不到的。我們應(yīng)當(dāng)將信息按照性質(zhì)、重要程度等進(jìn)行分類，在此基礎(chǔ)上分別給予不同程度的保護(hù)。

6.3 信息的收集、保存、利用都要制訂相關(guān)規(guī)定、標(biāo)準(zhǔn)

政府、企業(yè)都會(huì)為了一些目的而收集、保存、利用公民的各種信息，對(duì)于這種收集、保存、利用的行為也應(yīng)該加以規(guī)定，以保障公民的信息安全。應(yīng)該要求政府和企業(yè)在收集信息時(shí)要符合目的，要有必要性，經(jīng)用戶授權(quán);在保存信息時(shí)，要在期限內(nèi)保證安全，期滿則要銷毀，保證公民的信息不被泄露或者被竊取;在對(duì)信息加以利用的時(shí)候，要保證利用行為是合法、正當(dāng)?shù)?，要以不侵犯用戶隱私為界限。

7 結(jié)束語(yǔ)

本文對(duì)美國(guó)信息安全立法的歷程與特點(diǎn)做了簡(jiǎn)單的回顧和研究?？偟貋?lái)說(shuō)，美國(guó)的信息安全立法數(shù)量多、體系全、覆蓋面廣。在“互聯(lián)網(wǎng)+”新時(shí)期和信息安全事件頻發(fā)的背景下，學(xué)習(xí)借鑒美國(guó)在信息安全立法方面的經(jīng)驗(yàn)對(duì)我們很有價(jià)值。我國(guó)信息安全立法存在救濟(jì)不強(qiáng)、規(guī)定較分散、滯后等不足，立法需要注意前瞻性，對(duì)信息采取分類分級(jí)保護(hù)，以及信息的收集保存和利用都需要制訂標(biāo)準(zhǔn)規(guī)定。

參考文獻(xiàn)

[1] Martin， Nigel， and John Rice.? Cybercrime：? Understanding and addressing the concerns of stakeholders [J]. Computers & Security 30. 8 （2011）： 803-814.

[2] Von Solms， Rossouw， and Johan Van Niekerk. From information security to cyber security[J]. computers & security 38 （2013）： 97-102.

[3] Gordon， Lawrence A. et al. The impact of information sharing on cybersecurity underinvestment： a real options perspective [J]. Journal of Accounting and Public Policy 34. 5 （2015）： 509-519.

[4] Shackelford， Scott， Scott Russell， and Andreas Kuehn. Defining Cybersecurity Due Diligence Under International Law： Lessons from the Private Sector[J]. Volume on Ethics and Policies for Cyber Warfare （Oxford University Press， 2015）.

[5] 惠志斌. 我國(guó)國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略的理論構(gòu)建與實(shí)現(xiàn)路徑[J].中國(guó)軟科學(xué)，（2012） 5.

[6] 曲成義.網(wǎng)絡(luò)空間安全保密對(duì)抗態(tài)勢(shì)和應(yīng)對(duì)策略[J].保密科學(xué)技術(shù)，（2012） 4.

[7] 方興東，等.棱鏡門事件與全球網(wǎng)絡(luò)空間安全戰(zhàn)略研究[J].中國(guó)傳媒大學(xué)學(xué)報(bào)， （2014） 1.

[8] 王偉光.網(wǎng)絡(luò)空間安全視角下我國(guó)信息安全戰(zhàn)略理論構(gòu)建與實(shí)現(xiàn)路徑分析[J].電子技術(shù)與軟件工程， （2015） 3.

[9] 郎平. 網(wǎng)絡(luò)空間安全： 一項(xiàng)新的全球議程[J].國(guó)際安全研究， （2013）1.

[10] 解志勇. 信息安全立法比較研究[M].北京：中國(guó)人民公安大學(xué)出版社， 2007.

作者簡(jiǎn)介：

魏波（1983- ），男，漢族，湖南邵陽(yáng)人， 中國(guó)科學(xué)院計(jì)算技術(shù)研究所，博士，公安部第一研究所，副研究員;主要研究方向和關(guān)注領(lǐng)域：視頻監(jiān)控安防、計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)、云計(jì)算與大數(shù)據(jù)、信息安全。

周榮增（1989- ），男，漢族，河南南陽(yáng)人，國(guó)際關(guān)系學(xué)院，碩士，北京在明律師事務(wù)所，律師;主要研究方向和關(guān)注領(lǐng)域：憲法行政法。