數據運行安全法律保障問題研究

王永全++廖根為++趙帥?

內容摘要：隨著信息化技術不斷深化，信息安全中數據運行安全問題逐漸成為重災區。然而，對于傳統的信息安全防治體系，數據運行安全法律評價存在社會危害性難以預測，法律前瞻性存在疏漏；獨立性法規有待明確；相關罪名設立混亂，保護客體區分缺略等問題。科學的數據運行安全立法保護應當在分析數據運行的技術屬性基礎上，從改良信息安全立法模式出發，細化涉及數據運行安全的各方面規定，完善數據運行安全配套法律，健全數據運行安全技術標準，形成統一完備的數據運行安全防治體系，如此才能更好地保障我國數據運行安全，進而實現大數據時代下信息網絡的安全發展。

關鍵詞：信息安全；數據運行安全；防治體系；法律保障

網絡信息安全涉及社會、經濟、政治、文化和軍事等各個領域的核心安全問題，也是繼海、陸、空、天之后的新國家安全領域。在此領域中，網絡違法犯罪問題頗為復雜、嚴重。面對網絡中違法犯罪現象，其中針對數據運行的違法犯罪尤甚，各種影響、破壞數據運行安全的手段層出不窮，對國家、社會以及個人的危害性無法估量，因此應對數據運行安全給予重視和保護。

一、信息安全中數據運行安全問題的嚴重性

（一）信息安全法律保護體系問題

伴隨著網絡及其相關技術不斷發展和普及，大數據、云計算、移動互聯網和智能物聯網等高新技術的研發與應用，計算機和網絡給人們帶來便利的同時，也產生了嚴重的涉網違法犯罪問題，如網絡詐騙、網絡侵權、隱私安全問題等，其相關法律的滯后性問題已逐漸凸顯。我國因網絡違法犯罪行為在國家安全、公共安全、經濟秩序、個人權利等各方面都遭受了多重威脅和極大的損失。

我國信息安全法律保護體系是以懲治性為主，保障性為輔的模式，具體來說，是以刑法打擊網絡犯罪為核心，再以行政法規及其他法律規定為懲罰和保障相結合的機制，如治安管理處罰法的兜底性處罰、電信條例的專項保障性規定等等。其次，為了保持法律體系統一性和穩定性，我國采取“漸進式立法模式”，因此在針對網絡犯罪日趨嚴重的問題，改良刑法體系，改善刑法配置，加大網絡違法犯罪的懲治力度仍是眾多專家學者所倡導的立法方式。誠然，事后懲治是法律作為調解社會矛盾的重要方式，致力于認定行為的法律性質，懲罰違背法律原則或規則的惡劣行為，以此穩固社會基礎。但以懲治為核心的信息安全法律模式存在一定的局限性，對于降低網絡違法犯罪所帶來的社會危害性就已是見效甚微。如果我們能夠將信息安全保護的切入點前置，將重心從事后懲治向事前保障移轉，能夠從全面防范的立法本意出發，轉換立法思路，這無疑將大大減少網絡違法犯罪行為的發生，也就會降低了網絡違法犯罪行為所帶來的社會危害性以及懲治成本。

（二）信息安全中數據運行安全問題的嚴重性

1.數據運行安全的概念

信息的價值在于共享和交換，保護數據運行安全就在于保護數據信息以及其交流的價值。數據運行安全，又可稱之為計算機信息系統運行安全，從計算機的問世到現如今的大數據技術，我們可以將信息系統安全分為單機運行系統安全、網絡運行系統安全。眾所周知，一臺能夠正常運行的計算機需要軟、硬件設施的組成以及運行規則的協調。在單機系統中的數據運行主要涉及操作系統功能和應用程序功能，或者可以簡單理解為操作系統和一系列軟件程序。網絡運行系統，則是在單機系統運行基礎上，將各個單機節點通過網絡連接起來，形成一個龐大的網絡空間。計算機網絡將分布在不同區域的計算機與專門的外部設備通過通信線路互聯成一個規模大、功能強的網絡系統，從而使得眾多計算機可以方便地互相傳遞信息、共享軟硬件和數據信息等資源。 網絡運行系統安全相對為復雜，其特點是對抗性，正是網絡主體之間的對抗產生了網絡安全問題。單機系統因網絡運行系統存在安全隱患，使得信息系統的機密性、完整性和可用性受到威脅。因此，數據運行安全既包括操作系統和軟件程序這種特殊數據的安全性，也包含基于操作系統和軟件程序進行交流的數據信息以及交流功能的安全性問題，破壞數據運行系統及其相關數據的機密性、完整性和可用性則是主要的數據運行安全問題。

2.數據運行安全問題的嚴重性

在信息安全問題的重災區中，數據運行安全問題成為了對國家、社會和個人有著極大威脅的難題。根據360互聯網安全中心發布了《2016年中國互聯網安全報告》現實，在對197.9萬個網站漏洞檢查中發現，46.3%的網站有漏洞，其中高危漏洞占7.1%。從漏洞統計數據看有將近一半的網站都存在網站漏洞，網站安全形勢不容樂觀。 根據CNCERT公布的數據，2016年國家信息安全漏洞共享平臺共收錄通用軟硬件漏洞10822個，較2015年增長33.9%。其中，高危漏洞收錄數量高達4146個（占38.3%），較2015年增長29.8%；“零日”漏洞2203個，較2015年增長82.5%；2016年約9.7萬個木馬和僵尸網絡控制服務器控制了我國境內1699萬余臺主機，約有8.2萬個網站被植入后門，1.7萬個網站網頁被篡改。 可見伴隨著云計算、物聯網、大數據的發展和普及，數據運行安全問題牽涉之廣、影響之大，從安全漏洞到黑客攻擊，從信息泄露到蠕蟲肆掠，安全威脅無處不在。分析這些觸目驚心的數據不難發現數據運行安全問題已經嚴重影響到國家安全、公共安全、社會經濟秩序以及個人權利的有效保護。

二、數據運行安全法律保障現狀評析

數據運行安全防護主要有技術防控和法律保障，但從立法層次來看，大多數相關的法規僅是較低層次的部門規章以及信息安全技術標準；從立法結構來看，缺乏專門性涉及數據運行安全的法律法規；從司法實踐來看，大量涉及數據運行案件缺乏法律依據，更多依靠司法解釋和刑法中提示性規定予以處理，這種“頭痛醫頭腳痛醫腳”的方式既無法解決長遠問題，又會造成司法越權問題。 綜合各方面有關的法律法規我們可以發現針對數據運行安全法律評價存在評價范圍不足和評價體系混亂等問題，因此亟需完善對數據運行安全的法律保障體系。

（一）評價范圍不足

1.社會危害性難以預測

網絡技術的發展導致利用數據運行系統和攻擊數據運行系統的手段層出不窮。而且針對數據運行安全的違法犯罪行為具備一般違法犯罪行為所不具備的特殊性。尤其大數據時代，網絡已經模糊了地理空間的概念，使得網絡攻擊行為的沖擊和對抗性更為隱蔽。 網絡破壞攻擊的影響會因互聯網而迅速蔓延，使得破壞程度難以評估，對國家安全、公共安全以及個人安全的威脅性存在一定的不確定性、蔓延性和隱蔽性。

當前刑法將利用信息系統進行其他犯罪行為以提示性規定予以處理，這一做法明顯忽略了利用過程中對數據運行造成的損害，例如，以破壞銀行的信息安保系統，盜取金融機構資金這一行為，按照現有規定則應以盜取金融機構論處，但現實情況可能是破壞銀行金融信息系統造成的直接損失和對公共社會影響會遠遠超過其盜竊金額。同理，現如今電子數據的價值已經逐漸顯現，有的數據信息或信息系統的價值是無法用金額進行估計的。針對數據運行的違法犯罪行為所造成的社會危害性可能遠比其目的性所為更為嚴重。然而，目前仍缺乏針對數據運行違法犯罪行為的社會危害性更為合理的評價機制。

針對數據運行安全的違法犯罪的社會危害評價結果，刑法和其他法律法規懲治力度稍顯薄弱。在信息科技極速發展的同時，網絡空間漸顯其重要性，現實社會存在社會秩序、公共秩序、交通秩序等規則機制，破壞社會、公共、交通秩序，法律根據危害程度予以懲處，最高可至死刑。網絡空間隨著信息技術的不斷深入，也會形成相應的網絡秩序。針對數據運行安全的違法犯罪行為，即使沒有造成直接性損失，但也是對網絡秩序的蔑視和破壞，使得網絡維護成本極大增加，耗費極大的網絡資源。

2.法律前瞻性存在疏漏

當前與數據運行安全有關的法律規范，主要是以事后懲治為基準，對針對數據運行的違法犯罪行為進行定罪量刑。然而在分析破壞數據運行安全的違法犯罪行為所造成的實際社會危害性之后，這種事后懲處的立法模式對信息安全保護的周延和力度是存在欠缺之處的。以非法手段甚至破壞性方式侵入或破壞國家信息系統所造成的后果是難以評估的，破壞數據運行安全的后果在短時間內難以評測涉案的人數、金額、價值以及秩序影響，甚至其影響后果具有持續性。其次，僅事后懲處的方式并不能在最大程度來解決信息安全問題，事后彌補性的法律懲處并不能實際挽回國家、公共或個人受到的損失和傷害。所以在此方面，我國“漸進的立法方式”靈活性較差，不能很好的適應形勢的變化，而可能會導致“罪責刑不相應”的結果。 而前瞻性保護機制能夠提前設定好預防機制和各方的法律責任與義務，這樣可以大大緩解破壞數據運行安全對國家安全、社會公共秩序、國民經濟所造成的影響。

3.法規獨立性有待明確

刑法中特別罪名之所以成為獨立性規定，是存在著其社會影響的普遍性，社會危害的嚴重性，保護客體的相異性、侵犯客體的手段方式的差異性等法因，如金融詐騙罪與詐騙罪的關系。 針對數據運行安全的犯罪行為亦是如此。現有刑法規定是依據對計算機信息系統的侵犯方式和具體法益的差異性，分為非法侵入、非法控制、非法獲取以及破壞行為。而除了這四種侵犯行為之外，還可能存在干擾（不造成破壞性結果）、偽造運行數據等其他行為方式，顯然不能涵蓋所有的侵犯行為，因而會影響對數據運行安全的犯罪行為的定罪量刑。其次，現實社會的許多違法犯罪行為在網絡空間中會被極度的放大，如線下制作病毒性程序并散布，其傳播的范圍和影響一般都是有限的，而在信息網絡中這種范圍和影響較難控制，造成的后果不可預測。但現有刑法中以破壞計算機信息系統罪進行籠統性規定，不能很好地體現各種破壞、影響行為的社會危害的差異性。

網絡空間中充斥著各種有價數據，對于某些人而言，這些有價數據就是可以創造財富的源泉。如網絡盜取網上銀行賬戶密碼即可輕而易舉的轉移財產；網絡竊取企業關鍵機密信息就可以獲得不可預估的利益；盜取教育機構的學生保密信息對學生會造成難以估量的影響。非法獲取數據運行的相關數據所侵犯的主要客體不僅是社會公共秩序，更可能波及經濟市場秩序、金融市場秩序、公私財產權、公民人身權利等衍射性客體。而在大數據時代，這種衍射性客體很可能轉化為直接性客體。并且網絡空間作為實際社會的衍變時空同樣具有網絡社會秩序，對于針對數據運行安全的違法犯罪行為也是擾亂了網絡公共秩序。此外現有刑法對于非法獲取數據運行系統的數據信息在定罪上需要達到情節嚴重程度或情節非常嚴重程度，在量刑上頂層為七年有期徒刑加罰金。在某種程度上，這與破壞數據運行安全造成的危害結果不能罪責刑相適應。因此，從數據運行安全帶來的社會影響的普遍性、社會危害性、侵犯客體以及方式都需要設定專門性針對數據運行安全的法律規定，提高對數據運行安全的重視程度。

（二）評價體系混亂

1.數據運行罪名設立混亂

目前刑法所規定的針對計算機信息系統的罪名體系，主要包括非法侵入計算機信息系統罪、非法控制計算機信息系統罪、非法獲取計算機信息系統數據罪、破壞計算機信息系統罪。這四種罪名在評價破壞數據運行安全行為時存在重合之處，并且僅以四種侵犯方式將針對數據運行系統的犯罪各形態進行立法規范，著實難以全面涵蓋。例如，通過破解信息系統的訪問控制機制進而掌控國家某軍事領域計算機系統，按照刑法關于計算機犯罪理論應當構成非法控制計算機信息系統罪，但非法獲取某軍事領域計算機系統時必然已經在客觀方面上構成了非法侵入計算機信息系統罪的成立要件；其次，破解信息系統訪問控制機制是對數據運行的一種破壞行為，也構成了破壞計算機信息系統罪；再者，行為人有獲取計算機信息系統中重要國家機密信息的非法目的，又構成非法獲取計算機信息系統數據罪。除此之外還可能觸及非法獲取軍事秘密罪或為境外竊取軍事秘密罪。而從刑法設定針對計算機信息系統的立法原意來看，非法控制計算機信息系統罪是針對大量的計算機淪為“肉雞”的現象，非法獲取計算機信息系統數據罪則是對國家機關、重要企事業單位和公民相關的大量敏感信息被非法獲取現象的回應。 因此，現有針對計算機信息系統的四個罪名之間存在著難以區分認定，設立方式存在混亂而不合理的問題。

2.法律保護客體區分缺略

針對數據運行犯罪行為分為四個罪名，即非法侵入計算機信息系統罪、非法控制計算機信息系統罪、非法獲取計算信息系統數據罪和破壞計算機信息系統罪。其中，從立法原意分析，非法侵入計算信息系統罪保護的對象是國家事務、國防建設、尖端科學技術領域的計算信息系統；非法獲取計算機信息系統數據、非法控制計算機信息系統罪保護對象一般是依據國家有關規定的國家事務、國防建設、尖端科學技術領域以外的計算信息系統；破壞計算機信息系統是針對當前木馬、病毒等惡意軟件盛行狀況，保護的是所有計算機信息系統的安全。這種以具體犯罪行為作為劃分針對數據運行安全的立法標準，首先較難涵蓋所有的針對性犯罪行為，如偽造數據運行中相關信息；其次，數據運行系統可以分為網絡運行功能和節點運行功能，節點運行功能包括操作系統功能和應用程序功能，而目前我國的法律并未單獨就網絡運行功能、操作系統運行功能、用處程序功能等數據運行方面的犯罪獨立進行規定；再者，僅從刑法規定保護客體看，侵入一般領域中的信息系統和非法獲取、非法控制國家事務、國防建設、尖端科學技術領域內的信息系統的行為在刑法評價上要么無法評價，要么無法實現恰當評價，形成了刑事立法在針對數據運行犯罪行為評價體系上的漏洞。 至于行政法規、部門規章大多是以具體對象，如電信網、商用密碼等加以規定，更不能對數據運行安全進行全面而系統地保護。

三、數據運行安全法律保障對策

（一）數據運行安全的技術屬性分析

數據運行系統本身也是一種特殊的數據，數據運行安全其實是信息系統在被什么人使用，什么范圍內使用，什么內容被使用，在什么時候使用、如何使用的合法化問題研究。從整個信息安全體系來看，信息安全的特性是對抗性，大數據時代中的數據是價值的承載體，自然會引起不同主體之間的對抗和利益之爭。法律作為調整社會秩序的最后一道屏障，應當平衡好信息的持有者和對立者之間的關系，在信息的收集、處理、存儲、傳輸、檢索中保障整個運行狀態的安全。

針對數據運行系統的違法犯罪行為與法律保障之間的對抗性來看，我們主要保護的是數據運行的機密性、完整性和可用性。機密性是指信息的訪問和披露應經合法授權， 不能泄漏給非授權的個人、實體或進程。 數據運行中的機密性需求和其他場合或系統中提到的機密性需求在實質上是一致的，并且在具體的實施上也有很多相似之處。例如：信息系統的敏感數據在物理上要防止攻擊者通過傳統偷竊數據載體（硬盤、光盤、磁帶、甚至機器等）等方法獲取數據。數據運行的完整性在對不同系統或應用中都有所體現，例如：在數據庫應用中，對完整性需求可以分為不同的層次：數據庫完整性和元素完整性。數據運行完整性可以從兩個方面進行考慮：一是數據運行系統本身的完整性，運行系統功能不被未授權的修改、增加和刪除等；二是數據運行來源的完整性，是指數據的發送者就是其所聲稱的來源是真實的，經常通過各種認證機制實現。可用性是確保已授權用戶/系統過程可以及時可靠地訪問信息/服務和IT資源。 換句話說，可用性是指使用所需資源或信息的能力。 在系統設計中，可用性是系統可靠性的一個重要方面。如果一個系統無法使用就如同系統不存在一樣糟糕。

（二）保障數據運行安全的法律對策

結合當前我國關于數據運行的法律法規情況和數據運行安全保障的對抗性，我們建議：

1.完善信息安全立法模式

“信息安全立法是一項綜合性、長期性工作，期望一部法律解決所有問題是不現實的。這就需要對信息安全立法規劃開展研究，深入調研信息安全立法需求，合理分配立法資源，為建立內容全面、協調有序的信息安全法律法規體系制定長遠規劃。” 我們應當從加強保護入手，逐步夯實基礎，這點我們可以借鑒美國的立法經驗，首先加強打擊不法行為的力度，起到必要的震懾效果，而后由點及面、由近及遠，加強對該領域更加全面的規范化管理、提出更具綜合性的管理舉措。結合計算機及系統安全保護的要求，從提高我國計算機系統的安全性和保密性的更高宗旨出發，強調在加強打擊力度的同時，還應制定事前保障性法律，進一步完善信息安全的立法模式。事前保障性法律是以保護信息網絡的安全為立法出發點，對信息安全涉及的各方面進行預先防范的強制性規定，以追究各方面所涉及的相關主體的法律責任，從而不斷降低因網絡違法犯罪所帶來的社會危害。其次，加強對法律法規具體實施情況的評估。我國應通過對有關法律法規實施情況及實施效果的評估，適時修改或修訂相關信息安全立法。

2.細化涉及數據運行安全各方面規定

從數據運行對象上，我國目前還未單獨就網絡運行功能、操作系統運行功能、應用程序功能等數據運行安全的違法犯罪行為進行立法。數據運行安全根據信息安全的對抗性原理，我們可以基于數據運行安全類別，從信息系統機密性安全要求、信息系統完整性要求、信息系統可用性要求等三個方面著手，不斷細化數據運行安全的各方面內容。以數據運行本身為目標，將網絡運行功能、操作系統運行功能和應用程序功能在數據運行機密性安全要求、數據運行完整性要求、信息系統可用性等安全類別上進行重組規定，如網絡運行功能針對數據運行的機密性、完整性和可用性進行規范，同理，操作系統運行功能和應用程序功能也是如此。

3.進一步完善關于數據運行安全配套法律

依據系統設計理論，作為法的體系，顯然在主法的主控模塊下面有諸多子模塊組成，它們之間相互聯系又可以獨立存在。 在完善信息安全基本法的基礎上，明確具體的數據運行安全的基本規定。我國是以憲法為根本大法，基本法緊隨其后，補充完善具體落實憲法規定的各項要求，國務院以構建行政法規體系主導行政工作，各部門根據自身職責具體制定更為詳細的規章制度。所以，我們在信息安全法律體系之中，也應完善關于數據運行安全的配套法律體系，簡要來說，在構建有關數據運行安全的基本法規或條文的基礎上，首先行政法規從事前保障性和事后懲處性兩個角度，統一設計信息系統安全保護總則、網絡運行功能安全、操作系統運行功能、應用軟件程序等有關的安全保護規定。具體在涉及數據運行安全在影響公共安全、社會經濟秩序等重要方面進行立法設計。其次，各部門依據各自職責，依照基本法和行政法規規定，根據對數據運行安全的具體保護要求進行專門性規范，各部門之間應當通力合作，信息共享。在司法方面，最高人民法院和最高人民檢察院應當根據不斷涌現的實際案例，出臺司法解釋對法律中數據運行的有關方面進行補充說明，提高司法和執法有效力度。

4.加強信息系統安全技術標準建設以配合各部門具體規范

信息系統安全的技術性標準是技術和法律相結合的基石，“賦予技術標準以國家意志，使其具有強制實施的法律效力是世界各國的一致行動。” 數據運行安全主要涉及機密性、完整性和可用性，需要針對數據運行安全的特性不斷完善有關的技術、管理、檢測、設備、工作模式、評估方式等等信息化標準。相關部門在完善相關技術性標準之后應當與其他有具體職責的部門相配合，如公安部、司法部、證監會、銀監會等，將技術標準與具體的部門規范緊密結合，使得各部門針對數據運行安全的規范更具有可操作性。