摘 要:在“9·11事件”發生后,美國更加重視網絡與信息安全,相繼頒布了《關鍵基礎設施保護法》《網絡安全研究與發展法》《網絡安全增強法》《聯邦信息安全管理法》《網絡安全信息共享法案》等一系列法律。政府部門加強信息網絡安全的監督管理,信息安全法制建設成效明顯。美國規范信息安全的法律經歷了一個從“預防為主”到“先發制人”,以控制“硬件設備”到控制“網絡信息內容”的演化過程;政府相關部門在網絡監管中的權限職責不斷加強,以滿足應對與日俱增的信息安全風險與挑戰的需求。我國信息安全立法存在民法上的救濟不強、規定較分散、規定較滯后等不足,未來立法要注意前瞻性,對不同的信息采取分類分級保護,信息的收集保存及利用都需要制訂規定、標準。
關鍵詞:美國;信息安全法律;監管;立法;啟示
《信息網絡安全》Netinfo Security(月刊)曾用名:公安應用技術通訊(-2000),2001年創刊,是我國首批出版發行的信息安全類科技期刊之一,是中國核心匪數據庫遴選期刊,是多所公安院校認定的核心期刊。
1 引言
計算機誕生于美國,互聯網也發源于美國,美國一直引領著信息技術的發展,也較早地注重對信息安全的保護。幾十年來,美國頒行了一系列與網絡安全相關的法律法規,建立了比較完善的信息安全保護機制,值得其他國家借鑒。
2 美國信息安全立法的歷程
美國信息安全立法的分水嶺是2001年發生的“9·11事件”。之前針對信息安全的立法并不多,當時全世界包括美國對網絡信息安全的重視程度都不高,網絡普及率不高,也沒有發生特別重大的網絡信息安全事件。進入21世紀后,美國的信息安全立法主要針對網絡安全。安全依附于網絡,因此信息安全主要關注網絡安全,立法也主要集中在網絡領域。美國在網絡信息安全立法方面有著明顯的階段性:第一階段是2001年“9·11事件”之前,處于起步階段;第二階段是“9·11事件”之后到2009年,即小布什執政期間,是發展階段;第三階段是2009年之后至今,積極推進相關立法,相關立法趨于完備階段。
2.1 起步階段
1974年,美國頒布了《隱私權法》(Privacy Act),該法律為政府收集、存儲、使用、傳播公民的個人信息設定了相關的標準和準則。1984年,頒布了《計算機欺詐與濫用法》(Computer Fraud and Abuse Act),該法旨在打擊不法分子侵入計算機系統竊取機密信息以及金融檔案信息的行為,從而保護網絡基礎設施的安全。1986年,頒布了《計算機安全法》(Computer Security Act)和《電子通信隱私法》(Electronic Communications Privacy Act),要求政府保障計算機信息系統的信息安全以及公民在電子通信過程中傳輸的信息的安全。1996年,美國頒布了《信息技術管理改革法》(Information Technology Management Reform Act),要求政府對應用于網絡安全管理技術的資金進行必要的監管。1996年美國還頒布了《國家信息基礎設施保護法》(National Information Infrastructure Protection Act)和《電子通信法》(The Telecommunications Act)。根據法律規定:信息基礎設施是指包括用于支持政府、企業、學校、銀行等機構運行的計算機系統。同時,規定了制造和傳播病毒是犯罪行為,要納入刑法的打擊范圍。政府要制定公共關鍵基礎設施標準,切實保障網絡信息安全。1997年,頒布了《計算機安全增強法》(Computer Security Enhancement Act),該法律要求加快非公共密鑰管理基礎設施的建設。1998年,頒布了《兒童在線隱私權保護法》(Children's Online Privacy Protection Rule),該法律旨在保護13歲以下的兒童在網絡上的隱私信息。1999年,頒行了《網絡空間電子信息安全法》(Cyberspace Electronic Security Act),該法規定,聯邦政府的執法機構可以獲取加密密鑰和加密方法,其他未經法律授權的機構和個人都不得行使該項權利。2000年,頒布了《政府信息安全改革法》(Government Information Security Reform Act),該法旨在加強對政府信息的保護,確定了各個政府部門在政府信息保護方面的職責。
2.2 發展階段
2000年以后互聯網發展逐步進入快車道,海量的信息被上傳在網絡中傳輸、交流,并存儲在網絡計算機中,加快信息立法,以保護信息安全變得日益迫切。2001年“9·11事件”之后,美國意識到一旦恐怖分子或者其他不法分子利用網絡信息進行犯罪活動,破壞性極大,這些促使美國加快了在信息安全方面立法的步伐。這一階段美國的立法機構開始變得比較主動,很重視立法的前瞻性和預見性,力圖使現階段的立法不僅能適應當下的情形,還能對未來可能出現的情形加以規范。這一時期的立法主要關注計算機和網絡技術的研發與合理利用、網絡安全戰略的布局、信息共享和信息安全兩者的平衡等方面問題。
2001年,美國頒布了《關鍵基礎設施保護法》(Critical Infrastructures Protection Act),該法律突出關鍵基礎設施對于國家安全的重要性。2002年,出臺了《網絡安全研究與發展法》(Cyber Security Research and Development Act),該法規定政府有義務資助計算機和網絡安全的研發。2002年還頒布了《聯邦信息安全管理法》(Federal Information Security Management Act)、《電子政務法》(E-Government Act)、《國土安全法》(Homeland Security Act)和《網絡安全增強法》(Cyber Security Enhancement Act)。《網絡安全增強法》旨在進一步加強網絡安全,根據計算機和互聯網行業的最新發展,加強了對計算機犯罪的打擊,并規定政府為了保護網絡安全可以獲得公民網絡通信的內容。2005年,頒布《信息自由法》(Free Flow of Information Act)和《網絡安全教育促進法》(Cybersecurity Education Enhancement Act)。
2.3 趨于完備階段
隨著互聯網的全面普及,保護信息安全的任務變得更加緊迫,美國在這一時期開始全面推進信息安全的立法工作。這一階段的立法是全方位的,立法進度更快,所立法律涉及的內容也更加廣泛,趨于完備。2009年,頒布了《網絡安全法》(Cybersecurity Act),該法賦權聯邦政府設立專門的網絡安全咨詢辦公室,該辦公室可以斷開重要設施的網絡連接,管理一切網絡相關事務。2010年,在修訂《國土安全法》和其他相關法律的基礎上制定了《作為國家資產的網絡空間保護法》(Protecting Cyberspace as a National Asset Act),該法律的主旨是保護美國網絡空間和通信基礎設施的安全性。2011年,再頒行另外一部作為《網絡安全法》擴展的《網絡安全增強法》(Cyber security Enhancement Act),該法案要求總審計長定期向國會報告現有網絡安全基礎設施的缺陷,并針對這些缺陷和不足提出相應的解決方案和建議。2011年,頒布了《國土安全及基礎設施保護法》(Homeland Security and Physical Infrastructure Protection Act),該法要求美國建立網絡安全合規部門,加強在網絡反恐和保護網絡基礎設施方面的工作。2013年,頒布了《 網 絡 安 全 及 美 國 網 絡 競 爭 法 》 ( Cyber security and American Cyber Competitiveness Act)和《網絡信息共享和保護法》(Cyber Intelligence Sharing and Protection Act)。2014年,頒布《聯邦信息安全管理法》(Federal Information Security Modernization Act,FISMA)和《國家網絡安全保護法》(National Cyber Security Protection Act)、《網絡安全人員評估法》(Cyber Security Workforce Assessment Act)。2015年,頒布了《網絡安全信息共享法案》(Cyber Security Information Sharing Act)。
3 美國信息安全立法的特點
縱觀美國信息安全立法的過程及其相關規定可以看出,在立法理念方面,最開始美國是相對消極的,本著預防為主。隨著20世紀90年代計算機開始進入平民家庭,互聯網也開始起步并迅速發展,這時美國政府不得不變得比較主動,加強了相關立法。總結美國推進信息安全立法的進程,可以看出其經歷了一個從“預防為主”到“先發制人”,以控制“硬件設備”到控制“網絡信息內容”的演化過程。
(1)信息安全立法涉及范圍廣,包括規范網絡犯罪,加強信息網絡基礎設施保護,規范信息收集、利用、發布,隱私權保護等方面。
(2)注重多部門協作,建立信息共享及應急支持機制,并且設立專門機構協調各方一起保護信息安全。
(3)為了落實信息安全政策及法律,美國將政策執行、監督、管理等權利分配給多個部門,包括DHS、OMB、國防部、審計署、商務部、司法部等,并且根據現實需要不斷增設新機構。
(4)美國還注重標準的制定,在多部法律中提到制定相應標準保護信息安全,例如規定CIO委員會與NIST協作制定安全標準,NIST制定高性能計算的安全與隱私標準等。
總體而言,美國當前有關信息安全立法的發展趨勢是要擴大政府部門在網絡監管中的權限,明確其職責任務,以滿足應對與日俱增的信息安全風險挑戰的需求。
4 美國信息安全相關法律確定的重要法律制度
4.1 強制報案制度
在美國,如果發生危害信息安全的事件,那么相關的責任人員必須在一定的時間內向相關機構報案,如果該事件非常重大,負有報案義務的人員不報案,那么他將會承擔法律責任,這就是美國信息安全法律制度中的強制報案制度。
很多企業在遭遇信息被泄露的時候往往選擇不報案,因為一旦報案,根據美國的《信息自由法》,該事件將要公開接受公眾的審查,這樣就會讓公眾認為,該企業在信息安全保障方面做得非常糟糕,因此基于商業信譽和自身形象的考慮往往選擇不報案。企業不報案等于縱容了侵害信息安全的行為,加害者將有恃無恐地繼續實施危害行為。因此,在信息安全方面建立強制報案制度十分重要。
4.2 與強制報案制度相配套的投訴機構
為了保證強制報案制度能夠真正被施行,美國建立了完善的投訴機制。發生信息安全事件之后,當事人可以根據具體情況選擇向聯邦或者州的投訴機構投訴。在美國,聯邦調查局、美國情報局、美國移民海關執行局、美國郵政檢查局和酒精、煙草、易爆物局等機構都有處理信息安全案件的權力,當事人可以向這些機構設立在全國各地的辦事處報案。此外,網絡犯罪投訴中心(IC3)也有處理信息安全案件的權限。IC3的使命是迅速處理涉及計算機犯罪的投訴,它是美國聯邦調查局和國家白領犯罪中心于2000年合作建立的,下設一家網站,專門承接網絡犯罪受害人的舉報。
4.3 保障個人隱私不受侵犯的法律制度
美國人一貫重視個人隱私,保護隱私權的法律非常多,最重要的無疑是聯邦憲法,除此之外,還有要有1968年的《綜合犯罪控制和街道安全法》、1974年的《隱私法》。在計算機時代到來之后,隱私權的保護面臨新的威脅。為此,美國又制定了一系列跟計算機網絡緊密相關的保護隱私權的法律,主要有1986年的《電子通訊隱私法》、1988年的《錄像隱私保護法》、1984年的《電纜通訊法》、1988年的《電腦匹配和隱私保護法》和1999年的《兒童網上隱私保護法》等。
4.4 保護商業秘密的法律
商業秘密是能夠為所有者帶來收益而不為公眾知悉的一種信息。商業秘密具有重大的經濟價值。在美國,保護商業秘密的法律主要有《侵權法重述》《數字千年版權法》等。《侵權法重述》禁止違背保密義務而泄露他人的商業秘密,如有違反則需承擔相應的法律后果。該法律還禁止商業間諜竊取他人電腦中的商業秘密。《數字千年版權法》是美國于1998年頒布實施的一部法律,它是美國為應對互聯網時代新形勢制定的,旨在保護網絡作品的著作權。這部法律開創了互聯網時代專門立法保護網絡作品著作權的先河。它規定了“規避技術保護措施”,即沒有經過著作權人的許可,其他人不得對其擁有著作權的網絡作品進行反響研究、加密與解密,以及其他損害該技術保護措施的行為。面對日趨嚴峻的網絡用戶信息被濫用、被盜用形勢,美國各個州也制定了很多有關保護商業秘密的法律。
對于發生信息安全事件時網絡服務提供者的法律責任,美國法律規定了一種叫做“避風港”的制度。在該制度下,網絡服務的提供者只需履行三項義務,就不承擔其他額外義務:第一,在發現并確認違法信息后及時采取包括刪除、屏蔽鏈接等措施;第二,自身不發布、傳播違法信息;第三,配合協助執法機關處理信息安全事件。由于網絡上存在著海量的信息,要求網絡服務提供者逐條審查既不公平也不現實。“避風港”制度公平地確認了網絡服務提供者的法律責任,為網絡服務提供者的正常經營提供了有效保障。
5 中國信息安全立法的相對不足之處
5.1 救濟途徑比較單一
我國法律針對個人信息規定了很多保護措施和救濟措施。但是,從司法實踐來看,當個人信息受到非法收集、買賣、泄露及非法利用等情況時,受害者只能以隱私權被侵犯為由去起訴,因為法律沒有規定明確的個人信息權的救濟方式。《民法總則》只是籠統地規定:“自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的,應當依法取得并確保信息安全,不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息。”因此,對于個人來說,當其信息遭到非法侵犯時只能適用隱私權受侵犯來救濟自己的權利。但是眾所周知,隱私權和信息權是兩個不同的概念,它們的內容雖有重合之處,但內涵和覆蓋范圍卻差異很大。信息是一個比隱私更大的概念,個人信息里面包含了具有隱私屬性的信息和不具有隱私屬性的信息。因此,如果不具有隱私屬性的個人信息被侵犯,那么以隱私權被侵害為由提起訴訟顯然不會得到法院的支持,被侵權人只能請求行政機關給與侵權者行政處罰,被侵權人很難得到經濟上的賠償。因此,應該強化民法上的救濟。
