網絡信息安全的法律保障

陳中麗

摘要隨著英特網的高速發展,一系列網絡信息安全問題層出不窮,嚴重影響了網絡的正常秩序,引起了政府和社會各界的廣泛關注。本文從法律角度出發,對網絡信息安全的法律保護進行了探討。

關鍵詞網絡信息安全法律保障

中圖分類號:D920.4文獻標識碼:A文章編號:1009-0592(2009)01-101-02

互聯網是一個開放的網絡,任何團體或個人都可以在網上方便地傳送和獲取各種各樣的信息。由于網絡的迅速發展而自身的安全防護能力很弱,許多應用系統處于不設防狀態,存在著極大的安全風險和隱患。我國就網絡規模而言雖然已經進入世界先進水平,但是在信息安全方面卻面臨著尷尬局面。以國家計算機網絡應急技術處理中心的數據為例,2004年全國共處理各類信息安全事故1000余件。其還對常見的20多個木馬程序的活動狀況進行了抽樣監測,發現我國大陸地區6600多個IP地址的主機被植入木馬。這些數據足以證明,信息安全的重要性還沒引起我們一些機關、單位、企業的足夠重視,信息安全工作還處于被動的狀態,還沒有形成“主動采取措施、積極應對”的意識,信息系統的整體防護能力低。可以說網絡在為人們提供便利、帶來效益的同時,也使人類面臨著信息安全方面的巨大威脅。網絡信息安全就是指在網絡環境下確保網絡基礎設施免遭干擾、破壞,從而實現網絡信息的完整性、保密性、可用性和真實性。造成計算機網絡信息不安全的因素有很多,有計算機本身的不可靠性、計算機系統自身的脆弱性、環境的干擾以及自然災害等因素,也有工作人員失誤,操作不當引起,但網絡信息面臨最大的安全威脅則來自人為的破壞,常見的有以下幾個方面:

首先,計算機病毒問題。計算機病毒具有復制性、傳播性和破壞性的特點,早期的計算機病毒只是寄存于主程序中,就其本身而言,只是一種具有自我復制能力的程序,和其他程序一樣,只有運行之后病毒才會發揮其功能,因而防范措施也有很多。但隨著Internet的發展,網頁技術逐漸被廣泛使用,將文件附于電子郵件的能力也不斷提高,計算機病毒的種類急劇增加,擴散速度大大加快,而且破壞性也加大,受感染的范圍也越來越廣。目前,計算機網絡病毒傳播的方式大致有四種:Email附帶的文件;從Internet、BBS下載的文件;瀏覽網頁時感染病毒;“黑客”惡意侵人計算機系統,傳播病毒等。

其二,計算機黑客問題。黑客是指利用不正當的手段竊取計算機網絡系統的口令和密碼,從而非法進入計算機網絡的人。黑客攻擊早在主機終端時代就已出現,主要的手段有:竊取口令、強力闖入、竊取額外特權、植人“特洛伊木馬”、植人非法命令過程或程序“蠕蟲”、清理磁盤等。隨著網絡的發展,現代黑客從以系統攻擊為主轉為網絡攻擊為主,主要手法有:通過網絡監聽獲取網上用戶帳號和密碼進行攻擊;監聽密鑰分配過程,得到密鑰或認證碼,盜取合法資格;利用文件傳送協議,采用匿名用戶訪問進行攻擊;利用操作系統提供的守護過程的缺省帳戶進行攻擊;突破防火墻等。到目前為止,已知黑客的攻擊手段多達500多種,突破口主要利用休息日,選擇薄弱環節進行攻擊。

其三,信息污染問題。信息污染主要是利用計算機網絡傳播違反社會道德或法律及社會意識形態的信息即信息垃圾,如:一些色情的、種族主義的、或有明顯意識形態傾向的信息。這些不健康的、反動的信息不僅對青少年的毒害十分嚴重,也對國家安全、社會穩定造成極大的危害。

其四,拒絕服務攻擊問題。拒絕服務攻擊是一種破壞性攻擊,主要的表現形式是用戶在很短的時間內收到大量無用的電子郵件,從而影響正常業務的運行,嚴重時會使系統關機,網絡癱瘓。

網絡信息不安全會帶來惡劣的社會影響和巨大的經濟損失,對其進行有效防范是一個復雜的系統工程,包括管理方面的安全防范,機房實體的安全防范,技術安全防范等等。但國際上普遍認為,網絡安全問題,包括計算機犯罪在內,不僅是技術問題,更應該屬于法律范疇的問題。從法律的角度來探求網絡信息安全的保障,有以下幾個方面的規范和措施:

首先,要明確法律責任的責任主體。法律責任就是由特定法律事實所引起的對損害予以賠償、補償或接受懲罰的特殊義務。責任主體是指因違反法律、違約或法律規定的事由而承擔法律責任的人,其中包括自然人、法人和其他社會組織。責任主體對于法律責任的有無、種類、大小有著密切的關系。目前,我國法制體系中就網絡信息安全問責中主要是針對違法犯罪的自然人,而忽略了網站的法律責任。本文認為要建立網絡信息安全的保護,需要強化個人與網站雙方的法律責任。在網絡違法犯罪過程中,人是主犯,起主要作用,而網站則起著不可忽視的幫助作用。但目前對于網站傳媒僅僅從道德上予以譴責,而缺乏法律約束及相關法律責任的追究。而在危害網絡信息安全的法律問責中,原始違法犯罪人所造成的不利后果是直接的、明顯的、嚴重的,應承擔直接法律責任與刑事法律責任。后繼違法犯罪人(傳播者等)所造成的不利后果是直接的、有一定危害性的,應承擔直接法律責任與民事法律責任,情節特別嚴重的也應追究其刑事責任,這在我國現有法律體系中已有明確規定。網站傳媒作為社會組織,理應具有職業操守與社會責任感,是公民權利的代言人,是網絡信息安全的管理者與執行者,如在維護網絡信息安全的過程中成為了公民私權的侵犯者,除了予以道德譴責之外,還要承擔一定的法律責任,即相應的連帶民事法律責任。

其次,要以法律手段強化網絡監管。據有關部門統計,在所有的網絡安全事故中,約有52%是人為因素造成的,25%由火災、水災等自然災害引起,技術錯誤占10%,組織內部人員作案占10%,僅有3%左右是由外部不法人員的攻擊造成。屬于管理方面的原因比重高達7 0%以上,而這些安全問題中的95%是可以通過科學的信息安全管理來避免。因此,在維護網絡信息安全過程中,網絡監管是關鍵,并且應由一定的法律來強制保障實行。另外,還應以法律強制手段推行網絡實名制。網絡實名制指在網絡環境中傳遞信息時應使用真實身份資料認證的制度。網絡以計算機為依托,借助一定的計算機符號來承載信息,帶有很強的虛擬性。在這個虛擬性高的空間來實現非虛擬的信息安全管理具有一定的難度,因此就需要利用法律的強制手段來推行。例如上傳網絡信息的法律約束與管理,無論是個人還是集體要利用網絡上傳信息應受到一定的法律約束,不能是任何人任何時候都可以在任何網站上傳任何信息,如要上傳,應有特定的監管程序通過網絡實名制的信息庫檢驗其身份資格的合法性才能進行。當然這其中涉及到一個公民私權(個人隱私權等)的規避問題,但是法律規定可以先在部分網站、部分領域實行網絡實名制,等到條件成熟之后再全面推行。

進一步推廣與完善電子簽名及相關法律。電子簽名也稱作“數字簽名”,是指用符號及代碼組成電子密碼進行“簽名”來代替書寫簽名或印章。它采用規范化的程序和科學化的方法,用于鑒定簽名人的身份以及對一項數據電文內容信息的認可。2004年8月,我國正式頒布了《中華人民共和國電子簽名法》,并于2005年4月1日起正式施行。這是我國首部真正意義上的信息法律,它明確了可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力。通過應用電子簽名認證證書實現網上身份識別認證,并確保信息在網絡中傳輸的保密性、完整性、以及行為的不可否認性。針對目前“電子認證”等實踐中的具體問題,應加快相關法律的建設與完善。落實網絡信息安全等級評價。網絡信息系統的安全等級是指國家信息安全監督管理部門根據計算機網絡處理信息的敏感程度、業務應用性質和部門重要程度所確認的信息網絡安全保護能力的級別。信息系統安全等級評價是指評價機構根據國家信息安全等級技術標準和管理標準,對使用單位的信息網絡進行安全等級檢測、評價和監督的活動。對于網絡信息安全等級評價不合格的單位部門應由法律強制撤銷其處理網絡信息等相關職能或給予一定期限進行整改。加強網絡實名制、電子簽名、網絡信息安全等級評價等一系列法律的建立與完善,是強化網絡信息安全監管的保障。

最后,要進一步完善信息安全法律體系。我國現行的信息網絡法律體系框架分為四個層面,即一般性法律規定,如憲法、國家安全法、治安管理處罰條例、著作權法、專利法等;規范和懲罰網絡犯罪的法律,如《中華人民共和國刑法》、《全國人大常委會關于維護互聯網安全的決定》等;直接針對計算機信息網絡安全的特別規定,主要有《中華人民共和國計算機信息系統安全保護條例》、《計算機信息網絡國際聯網安全保護管理辦法》、《中華人民共和國計算機軟件保護條例》等;具體規范信息網絡安全技術、信息網絡安全管理等方面的規定,主要有:《商用密碼管理條例》、《計算機信息系統安全專用產品檢測和銷售許可證管理辦法》、《計算機病毒防治管理辦法》、《計算機信息系統保密管理暫行規定》等。一方面確立了信息網絡安全管理的基本法律原則,建立了多項信息網絡安全的保障制度,明確了計算機信息網絡安全的主管部門,另一方面也存在著立法滯后,立法層次低下,缺乏開放性、兼容性以及操作性等不足,因此在提高網絡技術的同時,我們也要重視相關法律的完善,使網絡信息安全切實得到法律的保障。目前我國網絡信息安全的建立和完善應當首先考慮一下幾個方面:

首先,互聯網絡法規定對網絡的正當使用,防止越權訪問網絡,保護網絡用戶的合法利益;第二,電子信息個人隱私法保護公民的個人隱私。在電子信息系統廣泛應用的條件下這種要求將以新的形式提出并要有相應的管理規范加以界定和保護。本法應當規定在電子商務中涉及到的、個人以電子信息方式存在的隱私,在不違反國家安全利益的原則下享有隱私權,侵犯他人隱私權將依法受到懲處;第三,信息安全法確定國家在建立電子數據信息資源中的地位,明確電子數據交流與保密的范疇,保護電子數據的法律責任,規范電子數據系統的安全保護要求,規定對電子數據系統安全維護管理必要的人員配置及責任義務等;第四,網絡犯罪法、刑法和全國人大《關于維護互聯網安全的決定》雖然規定了一部分網絡犯罪及其刑事責任,但是這難以控制復雜多變的網絡犯罪,因此必須進行立法完善;第五,電子信息出入境法作為主權國家對電子商務中涉及到需要進出口邊境的電子信息必須進行相應的規定,規定哪些信息可以進出境,哪些信息國家有權查扣,違法的事項以及處罰依據等;第六,電子信息出版法明確規定電子出版的權利、義務、審批、管理和法律責任等;最后,電子信息知識產權保護法明確規定以電子信息方式存在的、以多媒體等介質表述的文教、衛生科技、工農業、商貿等各領域的發明、創造的知識產權的歸屬主體的權利、義務、責任以及違反法規的法律后果等。

總之,法律是信息網絡安全的制度保障。離開了法律這一強制性規范體系,信息網絡安全技術和管理人員的行為都失去了約束。即使有再完善的技術和管理的手段,都是不可靠的。同樣沒有安全缺陷的網絡系統,即使相當完善的安全機制也不可能完全避免非法攻擊和網絡犯罪行為。信息網絡安全措施只有在法律的支撐下才能產生約束力。法律對信息網絡安全措施的規范主要體現在對各種計算機網絡提出相應的安全要求,對安全技術標準、安全產品的生產和選擇作出規定,賦予信息網絡安全管理機構一定的權利和義務,規定違反義務的應當承擔的責任,將行之有效的信息網絡安全技術和安全管理的原則規范化等。信息網絡安全法律告訴人們哪些網絡行為不可為,如果實施了違法行為就要承擔法律責任,構成犯罪的還須承擔刑事責任。法律也是實施各種信息網絡安全措施的基本依據。一方面它是一種預防手段,另一方面它也以其強制力為后盾為信息網絡安全構筑起最后一道防線。