美国信息安全立法及其启示与分析

来源:期刊VIP网所属分类:计算机信息管理发布时间:2019-12-18浏览:

  摘 要:在“9·11事件”发生后,美国更加重视网络与信息安全,相继颁布了《关键基础设施保护法》《网络安全研究与发展法》《网络安全增强法》《联邦信息安全管理法》《网络安全信息共享法案》等一系列法律。政府部门加强信息网络安全的监督管理,信息安全法制建设成效明显。美国规范信息安全的法律经历了一个从“预防为主”到“先发制人”,以控制“硬件设备”到控制“网络信息内容”的演化过程;政府相关部门在网络监管中的权限职责不断加强,以满足应对与日俱增的信息安全风险与挑战的需求。我国信息安全立法存在民法上的救济不强、规定较分散、规定较滞后等不足,未来立法要注意前瞻性,对不同的信息采取分类分级保护,信息的收集保存及利用都需要制订规定、标准。

  关键词:美国;信息安全法律;监管;立法;启示

信息网络安全

  《信息网络安全》Netinfo Security(月刊)曾用名:公安应用技术通讯(-2000),2001年创刊,是我国首批出版发行的信息安全类科技期刊之一,是中国核心匪数据库遴选期刊,是多所公安院校认定的核心期刊。

  1 引言

  计算机诞生于美国,互联网也发源于美国,美国一直引领着信息技术的发展,也较早地注重对信息安全的保护。几十年来,美国颁行了一系列与网络安全相关的法律法规,建立了比較完善的信息安全保护机制,值得其他国家借鉴。

  2 美国信息安全立法的历程

  美国信息安全立法的分水岭是2001年发生的“9·11事件”。之前针对信息安全的立法并不多,当时全世界包括美国对网络信息安全的重视程度都不高,网络普及率不高,也没有发生特别重大的网络信息安全事件。进入21世纪后,美国的信息安全立法主要针对网络安全。安全依附于网络,因此信息安全主要关注网络安全,立法也主要集中在网络领域。美国在网络信息安全立法方面有着明显的阶段性:第一阶段是2001年“9·11事件”之前,处于起步阶段;第二阶段是“9·11事件”之后到2009年,即小布什执政期间,是发展阶段;第三阶段是2009年之后至今,积极推进相关立法,相关立法趋于完备阶段。

  2.1 起步阶段

  1974年,美国颁布了《隐私权法》(Privacy Act),该法律为政府收集、存储、使用、传播公民的个人信息设定了相关的标准和准则。1984年,颁布了《计算机欺诈与滥用法》(Computer Fraud and Abuse Act),该法旨在打击不法分子侵入计算机系统窃取机密信息以及金融档案信息的行为,从而保护网络基础设施的安全。1986年,颁布了《计算机安全法》(Computer Security Act)和《電子通信隐私法》(Electronic Communications Privacy Act),要求政府保障计算机信息系统的信息安全以及公民在电子通信过程中传输的信息的安全。1996年,美国颁布了《信息技术管理改革法》(Information Technology Management Reform Act),要求政府对应用于网络安全管理技术的资金进行必要的监管。1996年美国还颁布了《国家信息基础设施保护法》(National Information Infrastructure Protection Act)和《电子通信法》(The Telecommunications Act)。根据法律规定:信息基础设施是指包括用于支持政府、企业、学校、银行等机构运行的计算机系统。同时,规定了制造和传播病毒是犯罪行为,要纳入刑法的打击范围。政府要制定公共关键基础设施标准,切实保障网络信息安全。1997年,颁布了《计算机安全增强法》(Computer Security Enhancement Act),该法律要求加快非公共密钥管理基础设施的建设。1998年,颁布了《儿童在线隐私权保护法》(Children's Online Privacy Protection Rule),该法律旨在保护13岁以下的儿童在网络上的隐私信息。1999年,颁行了《网络空间电子信息安全法》(Cyberspace Electronic Security Act),该法规定,联邦政府的执法机构可以获取加密密钥和加密方法,其他未经法律授权的机构和个人都不得行使该项权利。2000年,颁布了《政府信息安全改革法》(Government Information Security Reform Act),该法旨在加强对政府信息的保护,确定了各个政府部门在政府信息保护方面的职责。

  2.2 发展阶段

  2000年以后互联网发展逐步进入快车道,海量的信息被上传在网络中传输、交流,并存储在网络计算机中,加快信息立法,以保护信息安全变得日益迫切。2001年“9·11事件”之后,美国意识到一旦恐怖分子或者其他不法分子利用网络信息进行犯罪活动,破坏性极大,这些促使美国加快了在信息安全方面立法的步伐。这一阶段美国的立法机构开始变得比较主动,很重视立法的前瞻性和预见性,力图使现阶段的立法不仅能适应当下的情形,还能对未来可能出现的情形加以规范。这一时期的立法主要关注计算机和网络技术的研发与合理利用、网络安全战略的布局、信息共享和信息安全两者的平衡等方面问题。

  2001年,美国颁布了《关键基础设施保护法》(Critical Infrastructures Protection Act),该法律突出关键基础设施对于国家安全的重要性。2002年,出台了《网络安全研究与发展法》(Cyber Security Research and Development Act),该法规定政府有义务资助计算机和网络安全的研发。2002年还颁布了《联邦信息安全管理法》(Federal Information Security Management Act)、《电子政务法》(E-Government Act)、《国土安全法》(Homeland Security Act)和《网络安全增强法》(Cyber Security Enhancement Act)。《网络安全增强法》旨在进一步加强网络安全,根据计算机和互联网行业的最新发展,加强了对计算机犯罪的打击,并规定政府为了保护网络安全可以获得公民网络通信的内容。2005年,颁布《信息自由法》(Free Flow of Information Act)和《网络安全教育促进法》(Cybersecurity Education Enhancement Act)。

  2.3 趋于完备阶段

  随着互联网的全面普及,保护信息安全的任务变得更加紧迫,美国在这一时期开始全面推进信息安全的立法工作。这一阶段的立法是全方位的,立法进度更快,所立法律涉及的内容也更加广泛,趋于完备。2009年,颁布了《网络安全法》(Cybersecurity Act),该法赋权联邦政府设立专门的网络安全咨询办公室,该办公室可以断开重要设施的网络连接,管理一切网络相关事务。2010年,在修订《国土安全法》和其他相关法律的基础上制定了《作为国家资产的网络空间保护法》(Protecting Cyberspace as a National Asset Act),该法律的主旨是保护美国网络空间和通信基础设施的安全性。2011年,再颁行另外一部作为《网络安全法》扩展的《网络安全增强法》(Cyber security Enhancement Act),该法案要求总审计长定期向国会报告现有网络安全基础设施的缺陷,并针对这些缺陷和不足提出相应的解决方案和建议。2011年,颁布了《国土安全及基础设施保护法》(Homeland Security and Physical Infrastructure Protection Act),该法要求美国建立网络安全合规部门,加强在网络反恐和保护网络基础设施方面的工作。2013年,颁布了《 网 络 安 全 及 美 国 网 络 竞 争 法 》 ( Cyber security and American Cyber Competitiveness Act)和《网络信息共享和保护法》(Cyber Intelligence Sharing and Protection Act)。2014年,颁布《联邦信息安全管理法》(Federal Information Security Modernization Act,FISMA)和《国家网络安全保护法》(National Cyber Security Protection Act)、《网络安全人员评估法》(Cyber Security Workforce Assessment Act)。2015年,颁布了《网络安全信息共享法案》(Cyber Security Information Sharing Act)。

  3 美国信息安全立法的特点

  纵观美国信息安全立法的过程及其相关规定可以看出,在立法理念方面,最开始美国是相对消极的,本着预防为主。随着20世纪90年代计算机开始进入平民家庭,互联网也开始起步并迅速发展,这时美国政府不得不变得比较主动,加强了相关立法。总结美国推进信息安全立法的进程,可以看出其经历了一个从“预防为主”到“先发制人”,以控制“硬件设备”到控制“網络信息内容”的演化过程。

  (1)信息安全立法涉及范围广,包括规范网络犯罪,加强信息网络基础设施保护,规范信息收集、利用、发布,隐私权保护等方面。

  (2)注重多部门协作,建立信息共享及应急支持机制,并且设立专门机构协调各方一起保护信息安全。

  (3)为了落实信息安全政策及法律,美国将政策执行、监督、管理等权利分配给多个部门,包括DHS、OMB、国防部、审计署、商务部、司法部等,并且根据现实需要不断增设新机构。

  (4)美国还注重标准的制定,在多部法律中提到制定相应标准保护信息安全,例如规定CIO委员会与NIST协作制定安全标准,NIST制定高性能计算的安全与隐私标准等。

  总体而言,美国当前有关信息安全立法的发展趋势是要扩大政府部门在网络监管中的权限,明确其职责任务,以满足应对与日俱增的信息安全风险挑战的需求。

  4 美国信息安全相关法律确定的重要法律制度

  4.1 强制报案制度

  在美国,如果发生危害信息安全的事件,那么相关的责任人员必须在一定的时间内向相关机构报案,如果该事件非常重大,负有报案义务的人员不报案,那么他将会承担法律责任,这就是美国信息安全法律制度中的强制报案制度。

  很多企业在遭遇信息被泄露的时候往往选择不报案,因为一旦报案,根据美国的《信息自由法》,该事件将要公开接受公众的审查,这样就会让公众认为,该企业在信息安全保障方面做得非常糟糕,因此基于商业信誉和自身形象的考虑往往选择不报案。企业不报案等于纵容了侵害信息安全的行为,加害者将有恃无恐地继续实施危害行为。因此,在信息安全方面建立强制报案制度十分重要。

  4.2 与强制报案制度相配套的投诉机构

  为了保证强制报案制度能够真正被施行,美国建立了完善的投诉机制。发生信息安全事件之后,当事人可以根据具体情况选择向联邦或者州的投诉机构投诉。在美国,联邦调查局、美国情报局、美国移民海关执行局、美国邮政检查局和酒精、烟草、易爆物局等机构都有处理信息安全案件的权力,当事人可以向这些机构设立在全国各地的办事处报案。此外,网络犯罪投诉中心(IC3)也有处理信息安全案件的权限。IC3的使命是迅速处理涉及计算机犯罪的投诉,它是美国联邦调查局和国家白领犯罪中心于2000年合作建立的,下设一家网站,专门承接网络犯罪受害人的举报。

  4.3 保障个人隐私不受侵犯的法律制度

  美国人一贯重视个人隐私,保护隐私权的法律非常多,最重要的无疑是联邦宪法,除此之外,还有要有1968年的《综合犯罪控制和街道安全法》、1974年的《隐私法》。在计算机时代到来之后,隐私权的保护面临新的威胁。为此,美国又制定了一系列跟计算机网络紧密相关的保护隐私权的法律,主要有1986年的《电子通讯隐私法》、1988年的《录像隐私保护法》、1984年的《电缆通讯法》、1988年的《电脑匹配和隐私保护法》和1999年的《儿童网上隐私保护法》等。

  4.4 保护商业秘密的法律

  商业秘密是能够为所有者带来收益而不为公众知悉的一种信息。商业秘密具有重大的经济价值。在美国,保护商业秘密的法律主要有《侵权法重述》《数字千年版权法》等。《侵权法重述》禁止违背保密义务而泄露他人的商业秘密,如有违反则需承担相应的法律后果。该法律还禁止商业间谍窃取他人电脑中的商业秘密。《数字千年版权法》是美国于1998年颁布实施的一部法律,它是美国为应对互联网时代新形势制定的,旨在保护网络作品的著作权。这部法律开创了互联网时代专门立法保护网络作品著作权的先河。它规定了“规避技术保护措施”,即没有经过著作权人的许可,其他人不得对其拥有著作权的网络作品进行反响研究、加密与解密,以及其他损害该技术保护措施的行为。面对日趋严峻的网络用户信息被滥用、被盗用形势,美国各个州也制定了很多有关保护商业秘密的法律。

  对于发生信息安全事件时网络服务提供者的法律责任,美国法律规定了一种叫做“避风港”的制度。在该制度下,网络服务的提供者只需履行三项义务,就不承担其他额外义务:第一,在发现并确认违法信息后及时采取包括删除、屏蔽链接等措施;第二,自身不发布、传播违法信息;第三,配合协助执法机关处理信息安全事件。由于网络上存在着海量的信息,要求网络服务提供者逐条审查既不公平也不现实。“避风港”制度公平地确认了网络服务提供者的法律责任,为网络服务提供者的正常经营提供了有效保障。

  5 中国信息安全立法的相对不足之处

  5.1 救济途径比较单一

  我国法律针对个人信息规定了很多保护措施和救济措施。但是,从司法实践来看,当个人信息受到非法收集、买卖、泄露及非法利用等情况时,受害者只能以隐私权被侵犯为由去起诉,因为法律没有规定明确的个人信息权的救济方式。《民法总则》只是笼统地规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”因此,对于个人来说,当其信息遭到非法侵犯时只能适用隐私权受侵犯来救济自己的权利。但是众所周知,隐私权和信息权是两个不同的概念,它们的内容虽有重合之处,但内涵和覆盖范围却差异很大。信息是一个比隐私更大的概念,个人信息里面包含了具有隐私属性的信息和不具有隐私属性的信息。因此,如果不具有隐私属性的个人信息被侵犯,那么以隐私权被侵害为由提起诉讼显然不会得到法院的支持,被侵权人只能请求行政机关给与侵权者行政处罚,被侵权人很难得到经济上的赔偿。因此,应该强化民法上的救济。

期刊VIP网,您身边的高端学术顾问

文章名称: 美国信息安全立法及其启示与分析

文章地址: http://www.qikanvip.com/jisuanjixinxiguanli/49811.html