淺析美國(guó)政府信息安全法規(guī)及其對(duì)我國(guó)的啟示

張坤鵬 趙延杰

摘要在應(yīng)用法律保障政府信息安全管理上,美國(guó)是當(dāng)前出臺(tái)相關(guān)法律最健全的國(guó)家,本文指出從法律的角度了解美國(guó)是如何管理、控制和保障信息安全的,對(duì)我國(guó)研究構(gòu)建政府信息安全法律體系有著重要意義。

關(guān)鍵詞政府信息安全 法律 法規(guī)

中圖分類號(hào):D9712 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-0592(2009)05-360-01

一、保障政府信息安全的聯(lián)邦法律

(一)《信息自由法》(FOIA, 1966)

為了適應(yīng)計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的發(fā)展和廣泛應(yīng)用,該法于1996年被修訂,把電子信息納入該法,使公民能夠方便地獲取和使用政府信息。但由于保障國(guó)家安全的需要,該法利用例外的方式,將需要保護(hù)的信息進(jìn)行列舉。規(guī)定除了以下9種不必公開的信息外都應(yīng)按法定條件向公眾公開:國(guó)家安全問(wèn)題,即根據(jù)行政命令的標(biāo)準(zhǔn)被設(shè)定為保密的材料;內(nèi)務(wù)材料;法律規(guī)定豁免的材料;商業(yè)秘密;律師工作文件,當(dāng)事人特權(quán)性材料;個(gè)人隱私文件;符合法定條件的執(zhí)法檔案;金融機(jī)構(gòu)材料;地質(zhì)數(shù)據(jù)。上述規(guī)定實(shí)質(zhì)上是規(guī)定了何種信息應(yīng)受法律保護(hù)而不應(yīng)被公開。《信息自由法》是其它信息安全保護(hù)法律的基礎(chǔ)。

(二)《陽(yáng)光政府法》(GSA,1976)

該法影響著約50個(gè)聯(lián)邦部門、委員會(huì)和機(jī)構(gòu),要求公開其所有會(huì)議的情況和記錄檔案,但有10 種例外。9種與《信息自由法》規(guī)定的一樣,增加的是政府正在參與仲裁或者正處于裁定或處理一起案件的過(guò)程中的信息與檔案。除了聯(lián)邦法律之外,美國(guó)各州都制訂了公開會(huì)議法或公開檔案法等,規(guī)范信息的公開與保密問(wèn)題。

(三)《總統(tǒng)檔案法》(PRA,1978)

該法規(guī)定白宮幕僚向總統(tǒng)提供的文件要該屆政府結(jié)束12年之后才能公開。9·11事件后,美國(guó)政府對(duì)政府信息的公開更加謹(jǐn)慎,以防被恐怖分子利用。從《總統(tǒng)檔案法》的執(zhí)行看,美國(guó)行政機(jī)構(gòu)對(duì)檔案的控制權(quán)是非常大而靈活的。

(四)《計(jì)算機(jī)安全法案》(CSA,1987)

該法被1996年《信息技術(shù)管理改革法案》和2002年《電子政務(wù)法》修訂。前者要求行政機(jī)構(gòu)設(shè)置信息主管(CIO)并為他們?cè)O(shè)定職責(zé);后者要求政府頒布計(jì)算機(jī)安全標(biāo)準(zhǔn)、培訓(xùn)相關(guān)信息安全工作職員、為計(jì)算機(jī)系統(tǒng)安全和隱私信息制訂安全計(jì)劃。經(jīng)過(guò)修訂的《計(jì)算機(jī)安全法》是美國(guó)政府信息安全領(lǐng)域的重要法律,其主要內(nèi)容包括規(guī)定了國(guó)家標(biāo)準(zhǔn)與技術(shù)局是為聯(lián)邦政府計(jì)算機(jī)系統(tǒng)制定信息安全政策和標(biāo)準(zhǔn)的授權(quán)單位,要求凡是存有敏感信息的政府計(jì)算機(jī)系統(tǒng),必須制定安全計(jì)劃等等。

(五)《愛國(guó)者法》(PA,2001)

這是9·11事件后美國(guó)為保障國(guó)家安全頒布的最為重要的一部法律。它從法律上授予美國(guó)國(guó)內(nèi)執(zhí)法機(jī)構(gòu)和國(guó)際情報(bào)機(jī)構(gòu)廣泛的權(quán)力以防止、偵破和打擊恐怖主義活動(dòng),使美國(guó)公眾生活在安全環(huán)境中。該法還對(duì)美國(guó)現(xiàn)有的十幾部法律作了修訂。

(六)《聯(lián)邦信息安全管理法案》(FISMA,2002)

該法對(duì)信息安全作了定義,并對(duì)國(guó)家安全系統(tǒng)的概念進(jìn)行界定。該法還授權(quán)各管理部門行使國(guó)家信息安全管理職責(zé),比如:授權(quán)管理與預(yù)算辦公室(OMB)主任對(duì)安全政策、原則、標(biāo)準(zhǔn)、指南等的制定、執(zhí)行情況進(jìn)行監(jiān)督,授權(quán)國(guó)家標(biāo)準(zhǔn)與技術(shù)局(NIST)為聯(lián)邦政府使用的系統(tǒng)制定安全標(biāo)準(zhǔn)與指南。該法是美國(guó)政府在9·11事件后為加強(qiáng)國(guó)家安全頒布的另一部非常重要的法律。

(七)《電子政務(wù)法案》(EGA,2002)

該法對(duì)聯(lián)邦政府信息管理和規(guī)劃的各個(gè)方面,從危機(jī)管理到電子檔案及查詢索引都做了規(guī)定。在具體內(nèi)容中特別強(qiáng)調(diào)了電子政務(wù)中的信息安全問(wèn)題,重新授權(quán)政府信息安全改革法,為保護(hù)政府計(jì)算機(jī)網(wǎng)絡(luò)安全提供管理框架。

此外,還有《計(jì)算機(jī)欺詐與濫用法》(CFAA)、《經(jīng)濟(jì)間諜法案》(EEA)、《數(shù)字千年版權(quán)法案》(DMCA) 等法律對(duì)政府信息安全保護(hù)也有明確的相關(guān)規(guī)定。

二、保障政府信息安全的行政法規(guī)

聯(lián)邦政府通過(guò)總統(tǒng)的行政令對(duì)政府部門信息制訂了保密分類標(biāo)準(zhǔn),分類主要涉及國(guó)家安全與國(guó)防、情報(bào)收集和外交。確立三級(jí)分類保密制度:機(jī)密級(jí)、秘密級(jí)、絕密級(jí)。但其合理性和合法性,最終受司法審查的控制。1996年制定的《國(guó)家信息基礎(chǔ)設(shè)施保護(hù)法案》,加強(qiáng)了對(duì)侵害國(guó)家信息基礎(chǔ)設(shè)施的行為的認(rèn)定和處罰。1998年克林頓簽署頒布了《關(guān)于保護(hù)國(guó)家信息基礎(chǔ)設(shè)施的第63號(hào)總統(tǒng)令》,要求確保關(guān)鍵基礎(chǔ)設(shè)施的安全。該總統(tǒng)令就美國(guó)信息安全的概念、意義、長(zhǎng)期與短期目標(biāo)等作了明確的說(shuō)明,針對(duì)下一步的行動(dòng)作了指示,并提出了一個(gè)保護(hù)國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施的方案。作為美國(guó)21世紀(jì)總體信息安全戰(zhàn)略和指南的《信息系統(tǒng)保護(hù)國(guó)家計(jì)劃》2000年出臺(tái),涉及到脆弱性評(píng)估、信息共享、事件反應(yīng)、人才培養(yǎng)以及隱私保護(hù)、法律改革等方面的內(nèi)容,為每一項(xiàng)信息安全內(nèi)容制定了詳細(xì)的時(shí)間表和計(jì)劃。

9·11事件后,布什政府把信息安全立法問(wèn)題提到新的高度,并做了大量的工作。包括:督促國(guó)會(huì)通過(guò)聯(lián)邦法案;發(fā)布行政命令和國(guó)家信息安全政策;調(diào)整國(guó)家信息安全工作機(jī)構(gòu),設(shè)立直接向總統(tǒng)負(fù)責(zé)的總統(tǒng)國(guó)家安全顧問(wèn),成立本土安全部,同時(shí)建立相應(yīng)的其他配套機(jī)構(gòu),以保證國(guó)家信息安全工作的協(xié)調(diào)、統(tǒng)一與高效。2003年通過(guò)的《網(wǎng)絡(luò)空間安全戰(zhàn)略》和《保護(hù)關(guān)鍵基礎(chǔ)設(shè)施和關(guān)鍵資產(chǎn)國(guó)家戰(zhàn)略》均把保護(hù)國(guó)家基礎(chǔ)信息設(shè)施安全列為第一優(yōu)先,反映了美國(guó)對(duì)國(guó)家基礎(chǔ)信息設(shè)施保護(hù)的重視程度。在《網(wǎng)絡(luò)空間安全國(guó)家戰(zhàn)略》中明確提出了政府與私人雙向信息共享機(jī)制。

三、美國(guó)政府信息安全法規(guī)對(duì)我國(guó)政府信息安全法規(guī)建設(shè)的啟示

我國(guó)的法律法規(guī)中有涉及信息安全的規(guī)定, 但整體立法層次不高, 存在很多問(wèn)題。現(xiàn)行的有關(guān)信息安全的法律法規(guī)大多是國(guó)務(wù)院及其部委制定的行政法規(guī),沒有專門針對(duì)政府信息安全管理的法律。對(duì)政府信息安全管理的相關(guān)規(guī)定分散于各個(gè)法律、法規(guī)條文中,針對(duì)性不強(qiáng), 功能上不能相互支持和補(bǔ)充,而且主要是行政許可和行政處罰,具有局限性,有時(shí)還出現(xiàn)重復(fù)規(guī)定和自相矛盾現(xiàn)象,給信息法規(guī)的執(zhí)行實(shí)施造成了障礙,損害了其威信和威力。

針對(duì)目前我國(guó)政府信息安全立法的現(xiàn)狀, 建立健全我國(guó)政府信息安全法律保障體系, 應(yīng)吸取和借鑒國(guó)外先進(jìn)的信息安全立法經(jīng)驗(yàn),加快立法步伐及其修改和完善。首先應(yīng)確立科學(xué)的政府信息安全法律保護(hù)理念,形成適合信息網(wǎng)絡(luò)安全需要的法治文化。其次,根據(jù)我國(guó)信息安全相關(guān)法律規(guī)范分散的特點(diǎn), 制定針對(duì)政府信息安全的法律, 通過(guò)有針對(duì)性、系統(tǒng)性、科學(xué)性、可操作性的法律規(guī)定,保護(hù)政府信息安全。另外,現(xiàn)代信息技術(shù)發(fā)展迅速, 政府信息安全立法應(yīng)從有利于信息技術(shù)發(fā)展, 有利于電子政務(wù)發(fā)展的角度出發(fā), 及時(shí)修改現(xiàn)有法律中與信息社會(huì)發(fā)展不相適應(yīng)的部分,健全政府信息公開、信息資源開發(fā)的組織機(jī)構(gòu)及其職責(zé)和政府信息資源管理等方面的法律法規(guī)。

參考文獻(xiàn):

[1]Steven Robinson,U.S. Information Security Law, Part 4.

[2]http://www.whitehouse.gov/omb/inforeg/reports/2007_fisma_report.pdf.

[3]唐嵐.美國(guó)國(guó)家信息安全體系簡(jiǎn)介.國(guó)際資料信息.2005(2).

[4]許德斌.美國(guó)信息安全戰(zhàn)略的基本要素與實(shí)施原則探析.國(guó)防技術(shù)基礎(chǔ).2007(4).