網(wǎng)絡(luò)信息安全的法律保障

陳中麗

摘要隨著英特網(wǎng)的高速發(fā)展,一系列網(wǎng)絡(luò)信息安全問題層出不窮,嚴(yán)重影響了網(wǎng)絡(luò)的正常秩序,引起了政府和社會(huì)各界的廣泛關(guān)注。本文從法律角度出發(fā),對(duì)網(wǎng)絡(luò)信息安全的法律保護(hù)進(jìn)行了探討。

關(guān)鍵詞網(wǎng)絡(luò)信息安全法律保障

中圖分類號(hào):D920.4文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-0592(2009)01-101-02

互聯(lián)網(wǎng)是一個(gè)開放的網(wǎng)絡(luò),任何團(tuán)體或個(gè)人都可以在網(wǎng)上方便地傳送和獲取各種各樣的信息。由于網(wǎng)絡(luò)的迅速發(fā)展而自身的安全防護(hù)能力很弱,許多應(yīng)用系統(tǒng)處于不設(shè)防狀態(tài),存在著極大的安全風(fēng)險(xiǎn)和隱患。我國就網(wǎng)絡(luò)規(guī)模而言雖然已經(jīng)進(jìn)入世界先進(jìn)水平,但是在信息安全方面卻面臨著尷尬局面。以國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理中心的數(shù)據(jù)為例,2004年全國共處理各類信息安全事故1000余件。其還對(duì)常見的20多個(gè)木馬程序的活動(dòng)狀況進(jìn)行了抽樣監(jiān)測(cè),發(fā)現(xiàn)我國大陸地區(qū)6600多個(gè)IP地址的主機(jī)被植入木馬。這些數(shù)據(jù)足以證明,信息安全的重要性還沒引起我們一些機(jī)關(guān)、單位、企業(yè)的足夠重視,信息安全工作還處于被動(dòng)的狀態(tài),還沒有形成“主動(dòng)采取措施、積極應(yīng)對(duì)”的意識(shí),信息系統(tǒng)的整體防護(hù)能力低。可以說網(wǎng)絡(luò)在為人們提供便利、帶來效益的同時(shí),也使人類面臨著信息安全方面的巨大威脅。網(wǎng)絡(luò)信息安全就是指在網(wǎng)絡(luò)環(huán)境下確保網(wǎng)絡(luò)基礎(chǔ)設(shè)施免遭干擾、破壞,從而實(shí)現(xiàn)網(wǎng)絡(luò)信息的完整性、保密性、可用性和真實(shí)性。造成計(jì)算機(jī)網(wǎng)絡(luò)信息不安全的因素有很多,有計(jì)算機(jī)本身的不可靠性、計(jì)算機(jī)系統(tǒng)自身的脆弱性、環(huán)境的干擾以及自然災(zāi)害等因素,也有工作人員失誤,操作不當(dāng)引起,但網(wǎng)絡(luò)信息面臨最大的安全威脅則來自人為的破壞,常見的有以下幾個(gè)方面:

首先,計(jì)算機(jī)病毒問題。計(jì)算機(jī)病毒具有復(fù)制性、傳播性和破壞性的特點(diǎn),早期的計(jì)算機(jī)病毒只是寄存于主程序中,就其本身而言,只是一種具有自我復(fù)制能力的程序,和其他程序一樣,只有運(yùn)行之后病毒才會(huì)發(fā)揮其功能,因而防范措施也有很多。但隨著Internet的發(fā)展,網(wǎng)頁技術(shù)逐漸被廣泛使用,將文件附于電子郵件的能力也不斷提高,計(jì)算機(jī)病毒的種類急劇增加,擴(kuò)散速度大大加快,而且破壞性也加大,受感染的范圍也越來越廣。目前,計(jì)算機(jī)網(wǎng)絡(luò)病毒傳播的方式大致有四種:Email附帶的文件;從Internet、BBS下載的文件;瀏覽網(wǎng)頁時(shí)感染病毒;“黑客”惡意侵人計(jì)算機(jī)系統(tǒng),傳播病毒等。

其二,計(jì)算機(jī)黑客問題。黑客是指利用不正當(dāng)?shù)氖侄胃`取計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的口令和密碼,從而非法進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)的人。黑客攻擊早在主機(jī)終端時(shí)代就已出現(xiàn),主要的手段有:竊取口令、強(qiáng)力闖入、竊取額外特權(quán)、植人“特洛伊木馬”、植人非法命令過程或程序“蠕蟲”、清理磁盤等。隨著網(wǎng)絡(luò)的發(fā)展,現(xiàn)代黑客從以系統(tǒng)攻擊為主轉(zhuǎn)為網(wǎng)絡(luò)攻擊為主,主要手法有:通過網(wǎng)絡(luò)監(jiān)聽獲取網(wǎng)上用戶帳號(hào)和密碼進(jìn)行攻擊;監(jiān)聽密鑰分配過程,得到密鑰或認(rèn)證碼,盜取合法資格;利用文件傳送協(xié)議,采用匿名用戶訪問進(jìn)行攻擊;利用操作系統(tǒng)提供的守護(hù)過程的缺省帳戶進(jìn)行攻擊;突破防火墻等。到目前為止,已知黑客的攻擊手段多達(dá)500多種,突破口主要利用休息日,選擇薄弱環(huán)節(jié)進(jìn)行攻擊。

其三,信息污染問題。信息污染主要是利用計(jì)算機(jī)網(wǎng)絡(luò)傳播違反社會(huì)道德或法律及社會(huì)意識(shí)形態(tài)的信息即信息垃圾,如:一些色情的、種族主義的、或有明顯意識(shí)形態(tài)傾向的信息。這些不健康的、反動(dòng)的信息不僅對(duì)青少年的毒害十分嚴(yán)重,也對(duì)國家安全、社會(huì)穩(wěn)定造成極大的危害。

其四,拒絕服務(wù)攻擊問題。拒絕服務(wù)攻擊是一種破壞性攻擊,主要的表現(xiàn)形式是用戶在很短的時(shí)間內(nèi)收到大量無用的電子郵件,從而影響正常業(yè)務(wù)的運(yùn)行,嚴(yán)重時(shí)會(huì)使系統(tǒng)關(guān)機(jī),網(wǎng)絡(luò)癱瘓。

網(wǎng)絡(luò)信息不安全會(huì)帶來惡劣的社會(huì)影響和巨大的經(jīng)濟(jì)損失,對(duì)其進(jìn)行有效防范是一個(gè)復(fù)雜的系統(tǒng)工程,包括管理方面的安全防范,機(jī)房實(shí)體的安全防范,技術(shù)安全防范等等。但國際上普遍認(rèn)為,網(wǎng)絡(luò)安全問題,包括計(jì)算機(jī)犯罪在內(nèi),不僅是技術(shù)問題,更應(yīng)該屬于法律范疇的問題。從法律的角度來探求網(wǎng)絡(luò)信息安全的保障,有以下幾個(gè)方面的規(guī)范和措施:

首先,要明確法律責(zé)任的責(zé)任主體。法律責(zé)任就是由特定法律事實(shí)所引起的對(duì)損害予以賠償、補(bǔ)償或接受懲罰的特殊義務(wù)。責(zé)任主體是指因違反法律、違約或法律規(guī)定的事由而承擔(dān)法律責(zé)任的人,其中包括自然人、法人和其他社會(huì)組織。責(zé)任主體對(duì)于法律責(zé)任的有無、種類、大小有著密切的關(guān)系。目前,我國法制體系中就網(wǎng)絡(luò)信息安全問責(zé)中主要是針對(duì)違法犯罪的自然人,而忽略了網(wǎng)站的法律責(zé)任。本文認(rèn)為要建立網(wǎng)絡(luò)信息安全的保護(hù),需要強(qiáng)化個(gè)人與網(wǎng)站雙方的法律責(zé)任。在網(wǎng)絡(luò)違法犯罪過程中,人是主犯,起主要作用,而網(wǎng)站則起著不可忽視的幫助作用。但目前對(duì)于網(wǎng)站傳媒僅僅從道德上予以譴責(zé),而缺乏法律約束及相關(guān)法律責(zé)任的追究。而在危害網(wǎng)絡(luò)信息安全的法律問責(zé)中,原始違法犯罪人所造成的不利后果是直接的、明顯的、嚴(yán)重的,應(yīng)承擔(dān)直接法律責(zé)任與刑事法律責(zé)任。后繼違法犯罪人(傳播者等)所造成的不利后果是直接的、有一定危害性的,應(yīng)承擔(dān)直接法律責(zé)任與民事法律責(zé)任,情節(jié)特別嚴(yán)重的也應(yīng)追究其刑事責(zé)任,這在我國現(xiàn)有法律體系中已有明確規(guī)定。網(wǎng)站傳媒作為社會(huì)組織,理應(yīng)具有職業(yè)操守與社會(huì)責(zé)任感,是公民權(quán)利的代言人,是網(wǎng)絡(luò)信息安全的管理者與執(zhí)行者,如在維護(hù)網(wǎng)絡(luò)信息安全的過程中成為了公民私權(quán)的侵犯者,除了予以道德譴責(zé)之外,還要承擔(dān)一定的法律責(zé)任,即相應(yīng)的連帶民事法律責(zé)任。

其次,要以法律手段強(qiáng)化網(wǎng)絡(luò)監(jiān)管。據(jù)有關(guān)部門統(tǒng)計(jì),在所有的網(wǎng)絡(luò)安全事故中,約有52%是人為因素造成的,25%由火災(zāi)、水災(zāi)等自然災(zāi)害引起,技術(shù)錯(cuò)誤占10%,組織內(nèi)部人員作案占10%,僅有3%左右是由外部不法人員的攻擊造成。屬于管理方面的原因比重高達(dá)7 0%以上,而這些安全問題中的95%是可以通過科學(xué)的信息安全管理來避免。因此,在維護(hù)網(wǎng)絡(luò)信息安全過程中,網(wǎng)絡(luò)監(jiān)管是關(guān)鍵,并且應(yīng)由一定的法律來強(qiáng)制保障實(shí)行。另外,還應(yīng)以法律強(qiáng)制手段推行網(wǎng)絡(luò)實(shí)名制。網(wǎng)絡(luò)實(shí)名制指在網(wǎng)絡(luò)環(huán)境中傳遞信息時(shí)應(yīng)使用真實(shí)身份資料認(rèn)證的制度。網(wǎng)絡(luò)以計(jì)算機(jī)為依托,借助一定的計(jì)算機(jī)符號(hào)來承載信息,帶有很強(qiáng)的虛擬性。在這個(gè)虛擬性高的空間來實(shí)現(xiàn)非虛擬的信息安全管理具有一定的難度,因此就需要利用法律的強(qiáng)制手段來推行。例如上傳網(wǎng)絡(luò)信息的法律約束與管理,無論是個(gè)人還是集體要利用網(wǎng)絡(luò)上傳信息應(yīng)受到一定的法律約束,不能是任何人任何時(shí)候都可以在任何網(wǎng)站上傳任何信息,如要上傳,應(yīng)有特定的監(jiān)管程序通過網(wǎng)絡(luò)實(shí)名制的信息庫檢驗(yàn)其身份資格的合法性才能進(jìn)行。當(dāng)然這其中涉及到一個(gè)公民私權(quán)(個(gè)人隱私權(quán)等)的規(guī)避問題,但是法律規(guī)定可以先在部分網(wǎng)站、部分領(lǐng)域?qū)嵭芯W(wǎng)絡(luò)實(shí)名制,等到條件成熟之后再全面推行。

進(jìn)一步推廣與完善電子簽名及相關(guān)法律。電子簽名也稱作“數(shù)字簽名”,是指用符號(hào)及代碼組成電子密碼進(jìn)行“簽名”來代替書寫簽名或印章。它采用規(guī)范化的程序和科學(xué)化的方法,用于鑒定簽名人的身份以及對(duì)一項(xiàng)數(shù)據(jù)電文內(nèi)容信息的認(rèn)可。2004年8月,我國正式頒布了《中華人民共和國電子簽名法》,并于2005年4月1日起正式施行。這是我國首部真正意義上的信息法律,它明確了可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力。通過應(yīng)用電子簽名認(rèn)證證書實(shí)現(xiàn)網(wǎng)上身份識(shí)別認(rèn)證,并確保信息在網(wǎng)絡(luò)中傳輸?shù)谋Ｃ苄浴⑼暾浴⒁约靶袨榈牟豢煞裾J(rèn)性。針對(duì)目前“電子認(rèn)證”等實(shí)踐中的具體問題,應(yīng)加快相關(guān)法律的建設(shè)與完善。落實(shí)網(wǎng)絡(luò)信息安全等級(jí)評(píng)價(jià)。網(wǎng)絡(luò)信息系統(tǒng)的安全等級(jí)是指國家信息安全監(jiān)督管理部門根據(jù)計(jì)算機(jī)網(wǎng)絡(luò)處理信息的敏感程度、業(yè)務(wù)應(yīng)用性質(zhì)和部門重要程度所確認(rèn)的信息網(wǎng)絡(luò)安全保護(hù)能力的級(jí)別。信息系統(tǒng)安全等級(jí)評(píng)價(jià)是指評(píng)價(jià)機(jī)構(gòu)根據(jù)國家信息安全等級(jí)技術(shù)標(biāo)準(zhǔn)和管理標(biāo)準(zhǔn),對(duì)使用單位的信息網(wǎng)絡(luò)進(jìn)行安全等級(jí)檢測(cè)、評(píng)價(jià)和監(jiān)督的活動(dòng)。對(duì)于網(wǎng)絡(luò)信息安全等級(jí)評(píng)價(jià)不合格的單位部門應(yīng)由法律強(qiáng)制撤銷其處理網(wǎng)絡(luò)信息等相關(guān)職能或給予一定期限進(jìn)行整改。加強(qiáng)網(wǎng)絡(luò)實(shí)名制、電子簽名、網(wǎng)絡(luò)信息安全等級(jí)評(píng)價(jià)等一系列法律的建立與完善,是強(qiáng)化網(wǎng)絡(luò)信息安全監(jiān)管的保障。

最后,要進(jìn)一步完善信息安全法律體系。我國現(xiàn)行的信息網(wǎng)絡(luò)法律體系框架分為四個(gè)層面,即一般性法律規(guī)定,如憲法、國家安全法、治安管理處罰條例、著作權(quán)法、專利法等;規(guī)范和懲罰網(wǎng)絡(luò)犯罪的法律,如《中華人民共和國刑法》、《全國人大常委會(huì)關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》等;直接針對(duì)計(jì)算機(jī)信息網(wǎng)絡(luò)安全的特別規(guī)定,主要有《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》、《中華人民共和國計(jì)算機(jī)軟件保護(hù)條例》等;具體規(guī)范信息網(wǎng)絡(luò)安全技術(shù)、信息網(wǎng)絡(luò)安全管理等方面的規(guī)定,主要有:《商用密碼管理?xiàng)l例》、《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測(cè)和銷售許可證管理辦法》、《計(jì)算機(jī)病毒防治管理辦法》、《計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定》等。一方面確立了信息網(wǎng)絡(luò)安全管理的基本法律原則,建立了多項(xiàng)信息網(wǎng)絡(luò)安全的保障制度,明確了計(jì)算機(jī)信息網(wǎng)絡(luò)安全的主管部門,另一方面也存在著立法滯后,立法層次低下,缺乏開放性、兼容性以及操作性等不足,因此在提高網(wǎng)絡(luò)技術(shù)的同時(shí),我們也要重視相關(guān)法律的完善,使網(wǎng)絡(luò)信息安全切實(shí)得到法律的保障。目前我國網(wǎng)絡(luò)信息安全的建立和完善應(yīng)當(dāng)首先考慮一下幾個(gè)方面:

首先,互聯(lián)網(wǎng)絡(luò)法規(guī)定對(duì)網(wǎng)絡(luò)的正當(dāng)使用,防止越權(quán)訪問網(wǎng)絡(luò),保護(hù)網(wǎng)絡(luò)用戶的合法利益;第二,電子信息個(gè)人隱私法保護(hù)公民的個(gè)人隱私。在電子信息系統(tǒng)廣泛應(yīng)用的條件下這種要求將以新的形式提出并要有相應(yīng)的管理規(guī)范加以界定和保護(hù)。本法應(yīng)當(dāng)規(guī)定在電子商務(wù)中涉及到的、個(gè)人以電子信息方式存在的隱私,在不違反國家安全利益的原則下享有隱私權(quán),侵犯他人隱私權(quán)將依法受到懲處;第三,信息安全法確定國家在建立電子數(shù)據(jù)信息資源中的地位,明確電子數(shù)據(jù)交流與保密的范疇,保護(hù)電子數(shù)據(jù)的法律責(zé)任,規(guī)范電子數(shù)據(jù)系統(tǒng)的安全保護(hù)要求,規(guī)定對(duì)電子數(shù)據(jù)系統(tǒng)安全維護(hù)管理必要的人員配置及責(zé)任義務(wù)等;第四,網(wǎng)絡(luò)犯罪法、刑法和全國人大《關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》雖然規(guī)定了一部分網(wǎng)絡(luò)犯罪及其刑事責(zé)任,但是這難以控制復(fù)雜多變的網(wǎng)絡(luò)犯罪,因此必須進(jìn)行立法完善;第五,電子信息出入境法作為主權(quán)國家對(duì)電子商務(wù)中涉及到需要進(jìn)出口邊境的電子信息必須進(jìn)行相應(yīng)的規(guī)定,規(guī)定哪些信息可以進(jìn)出境,哪些信息國家有權(quán)查扣,違法的事項(xiàng)以及處罰依據(jù)等;第六,電子信息出版法明確規(guī)定電子出版的權(quán)利、義務(wù)、審批、管理和法律責(zé)任等;最后,電子信息知識(shí)產(chǎn)權(quán)保護(hù)法明確規(guī)定以電子信息方式存在的、以多媒體等介質(zhì)表述的文教、衛(wèi)生科技、工農(nóng)業(yè)、商貿(mào)等各領(lǐng)域的發(fā)明、創(chuàng)造的知識(shí)產(chǎn)權(quán)的歸屬主體的權(quán)利、義務(wù)、責(zé)任以及違反法規(guī)的法律后果等。

總之,法律是信息網(wǎng)絡(luò)安全的制度保障。離開了法律這一強(qiáng)制性規(guī)范體系,信息網(wǎng)絡(luò)安全技術(shù)和管理人員的行為都失去了約束。即使有再完善的技術(shù)和管理的手段,都是不可靠的。同樣沒有安全缺陷的網(wǎng)絡(luò)系統(tǒng),即使相當(dāng)完善的安全機(jī)制也不可能完全避免非法攻擊和網(wǎng)絡(luò)犯罪行為。信息網(wǎng)絡(luò)安全措施只有在法律的支撐下才能產(chǎn)生約束力。法律對(duì)信息網(wǎng)絡(luò)安全措施的規(guī)范主要體現(xiàn)在對(duì)各種計(jì)算機(jī)網(wǎng)絡(luò)提出相應(yīng)的安全要求,對(duì)安全技術(shù)標(biāo)準(zhǔn)、安全產(chǎn)品的生產(chǎn)和選擇作出規(guī)定,賦予信息網(wǎng)絡(luò)安全管理機(jī)構(gòu)一定的權(quán)利和義務(wù),規(guī)定違反義務(wù)的應(yīng)當(dāng)承擔(dān)的責(zé)任,將行之有效的信息網(wǎng)絡(luò)安全技術(shù)和安全管理的原則規(guī)范化等。信息網(wǎng)絡(luò)安全法律告訴人們哪些網(wǎng)絡(luò)行為不可為,如果實(shí)施了違法行為就要承擔(dān)法律責(zé)任,構(gòu)成犯罪的還須承擔(dān)刑事責(zé)任。法律也是實(shí)施各種信息網(wǎng)絡(luò)安全措施的基本依據(jù)。一方面它是一種預(yù)防手段,另一方面它也以其強(qiáng)制力為后盾為信息網(wǎng)絡(luò)安全構(gòu)筑起最后一道防線。