3.关注新的安全威胁,及时更新法律规范
在对抗恶意代码、网络钓鱼、垃圾邮件、非法网站等安全威胁的同时,欧盟不断遇到新的安全风险,之后及时考 虑新的对策。
随着超宽带技术逐渐从军用领域走进人们日常生活领域,它开辟了超宽带通信的新天地,在此基础上出现了通过使用超宽带技术的设备来利用射频频谱。 因此,在2007年2月21日,欧盟委员会颁布了第2007/131/EC号决定,允许在欧盟内部使用超宽带技术设备来利用射频频谱。这一决定详细规定了 使用条件、术语的定义、具体参数,具有较高的实用性。
而欧盟理事会于2007年10月25日制定的《保护儿童免受性剥削和性虐待的公约》也是在新形势下酝酿产生的。由于网络的普及,儿童这一群体不 可避免地会接触到网络。一些不法分子便利用网络制作、传播儿童色情,对儿童进行性剥削和性虐待,严重危害了儿童的成长。原先的《欧洲儿童权利行使公约》和 《联合国儿童权利公约》已经无法有效解决这一问题,因此欧盟便制定了上述公约,对儿童色情活动进行严厉打击。
此外,欧盟还通过修订原有法律规范以解决新问题。例如,2003年6月16日,欧盟议会和欧盟理事会共同修订了《采取通过打击全球互联网上 的非法和有害内容以促进更安全使用互联网的多年度共同体行动计划的第276/1999/EC号决定》,颁布了第1151/2003/EC号决定。这一决定 就是因为新的网络技术加剧了既存风险,需要增进所有利益相关者之间的合作,共同行动。
欧盟立法者牢牢把握“老法律难解新问题”这一理念,在技术发展的道路上,不断促进法律规范的更新,以充分应对新情况。
可见,欧盟的网络与信息安全法律框架具有自身特色,在层次上有总有分,既有宏观上的规定,对具体问题也有详细的规范。在效力上,注 重强制性法律规范与指导性法律规范相结合,尊重各国的具体国情,允许成员国在总的指导方针之下,根据国情使用法律规范。此外,欧盟也相当重视法律规范的修 订,更新不适合发展要求的法律规范。
三、欧盟信息安全法律框架的启示
欧盟信息安全法律框架体系完备、结构合理,对信息安全的监管机构、监管模式做出了开创性的规定,明确了社会生活中各个角色的权利义务,有效地规 范和促进了信息经济的发展,维护了欧洲信息社会的稳定,避免了许多人所担忧的“信息社会的失控”。从世界范围来看,欧盟信息安全法律体系是最为先进的信息 安全立法,成为众多国家作的立法蓝本加以借鉴。我国也概莫能外。
然而法律的借鉴必然不是照搬照抄、生搬硬套的过程,而是借鉴、吸收并为我所用的学习。我国和欧盟不论在信息化程 度、信息化的理念、信息安全问题、公众对信息安全的认识等诸多方面存在很大不同,这就意味着我们在借鉴欧盟信息安全法律框架时,必须从我国国情出发,解决 我国所面临的最紧迫的信息安全问题。
事实上,在信息系统安全问题日益凸显之时,欧盟于1992年制定了信息系统安全的决定,我国也于1994年颁布了计算机信息系统安全保护条例。 但是在信息化持续发展的过程中,我国和欧盟对信息化的理念存在很大不同:我国强调经济信息化的时候,欧盟发出了发展知识经济和信息社会的号召。因此,中国 和欧盟在对信息安全威胁范围和影响的认识方面存在重大差异。此外,调整、规范信息安全活动的法律制度的重点也就自然有所不同。值得关注的是,当我国逐渐意 识到1994年颁布的计算机信息系统安全保护条例已不适应现代社会发展的时候,欧盟则于2005年颁布了信息系统攻击框架决定。当我国有人不加思考地、想 当然认为应该采用欧盟《网络犯罪公约》时,欧盟(成员国)德国、英国却始终对该公约持谨慎态度。当我国有人呐喊信息安全不需要专门立法,主张仅仅依靠国家 发布的有关政策即可构建国家信息安全保障体系之时,欧盟的网络与信息安全法律制度已经日趋完善。
在考察欧盟信息安全法律框架之后,结合我国网络与信息安全现状,我国的信息安全立法应当从以下几个方面重点把握:
1.制定网络与信息安全的基本法及相关的单行法律、法规
我国网络安全法律框架体系的构建,基本上属于“渗透型”模式,即国家没有单独制定专门的网络安全法律规范,而是将涉及网络安全的立法内容渗透、 融入若干相关法律、行政法规和部门规章之中。刑法、国家安全法、保守国家秘密法,治安管理处罚条例、著作权{去、专利法等法律法规中都对信息安全问题进行 了规范,但它们都仅仅是在本部门法的范围内涉及到信息安全问题,并没有针对信息安全问题的专门规定。针对某些具体问题,主要以行政法规作为调整的主要形 式,例如《计算机系统安全保护条例》、《中华人民共和国电信条例》、《商用密码管理条例》,立法层次不高。同时,由于缺乏网络安全的基本法,在将涉及网络 安全的内容融人相关法律的过程中,导致涉及网络安全的规范之问内容冲突、重叠。
这直接制约着网络与信息安全法律框架的构建。也就是说,我国缺乏像欧盟信息安全框架决议那样具有宏观指引意义的法律规范。我国急需制定一部网络 与信息安全的基本法,明确网络与信息安全的立法宗旨、指导思想、基本原则、调整对象等基础性问题,为总体框架的设计打下坚实的基础。
在制定了基本法的基础之上,还应当尽快制定单行法律。例如,《个人信息保护法》、《反垃圾邮件法》、《网络监控法》等等。在2008年的两会上,出现了大量涉及网络与信息安全的提案,呼吁《个人信息保护法》出台。可 见,加快我国网络与信息安全立法的脚步已经不是个别学者的研究结论,而是整个社会的共同心声。
2.实现信息安全监管主体多元化,政府管制与行业自律机制并行
这是在反思我国信息安全监管主体较为单一,而且职权划分与界定不明确之后,总结欧盟的做法之后得出的结论。欧盟在实践中正逐渐建立一种新的监管 模式。既由政府、行业组织和社会共同监管,并通过法律的形式予以明确。由欧盟层面和成员国层面的官方机构发挥主导作用,鼓励行业组织和企业进行自律。
我国非常重视政府在安全监管中的作用,主要依靠国务院信息化工作领导小组及其办公室、公安部、信息产业部、国务院信息产业主管部门、 国家密码管理机构和国务院其他有关部门在各自领域承担网络安全监管的职责,而忽视了私营部门和民间社会在信息安全监管中的作用。政府的监管能力是有限的, 在具体的信息安全监管过程中,行业组织、技术联盟、私营部门等具有极强的影响力。它们通过制定行业规则、技术标准等手段,加强对信息安全的监管。
其实,国内的学者已经意识到这种智利模式的弊端。李德智在《互联网治理之初探》中指出互联网的新奇形式某一单独的治理主体或某一种理论学说 都不能全面地解决互联网存在的问题。这就要求我国在完善政府主导的治理模式的同时,邀请自律性监管主体参与其中,分明职权,共同监管。
3.突出信息安全监管协调机构地位,功能设置参照ENISA
目前,有权监管我国网络与信息安全的机构有公安部、国家安全局、信息产业部(厅)和保密局等。由于各部门之间缺乏有效的交流、协作机制,因此在 具体的监管过程中存在职权划分不明确、行动不一致等问题。其实,我国也有类似欧盟网络信息安全局的部门,即国家网络与信息安全协调小组。各省市也在其管辖 范围内成立了网络与信息安全协调小组,负责协调各职权部门的行动,统一推进网络与信息安全保障工作。但是,由于大多数协调小组没有固定的办公机关,通常以 每年一次的网络与信息安全联络员会议的方式发挥协调职能,该部门的协调能力明显被弱化,无法在监管中发挥应有的作用。
因此,我国有必要将网络与信息安全协调小组建成如ENISA一样的信息交流平台,负责“协调”和“咨询”工作。组织定期会议,为各有权机关提供 交流“最佳实践”和反馈意见的平台;为信息安全产业提供技术咨询服务,尤其是对新兴技术部门和实力较弱的中小型企业;与涉及高科技研发的院所、高校携手, 及时掌握信息安全动态等等。
4.强调对个人信息的保护,维护公民的隐私权
在我国的现行法律体系中,还没有关于个人信息保护的专门规定。个人信息保护的主要目的和逻辑前提是隐私权的保护。我国宪法虽然未明确规定公民享 有隐私权,但是在法律的实施过程中已经体现出对公民隐私权的保护。现代隐私权的保护不仅仅局限于一般意义上的隐私,例如公民不愿意为他人获悉的私事,它的 范围已经扩展到对个人信息的保护方面。
目前我国的个人信息现状不容乐观,个人信息就在公民自身的疏忽和公共管理部门管理不善中悄悄泄露,被用于非法途径,加之流氓软件、网络钓鱼等问题愈演愈烈,个人信息保护面临极大的挑战。Visa国际组织 2006年2月公布的一份全球消费者意见调查显示,个人信息和财务信息的失窃或丢失已成为全球消费者最为关注的问题,而中国成为全球最为关注信息安全的国 家。各国平均有64%的被调查者表示对个人信息和财务信息失窃或丢失问题深感担忧,而这个数字在中国则为77%,产生这一差异的其中一个原因就是我国在保 护个人信息方面的滞后,而欧盟在保护个人信息的立法上的经验值得我国借鉴。它虽然没有以“个人信息保护”的专门立法,但是很多法律规范中都体现了对个人信 息保护的重视。例如,合法拦截电子通信的决议和数据存留指令虽然允许拦截和存储个 人通讯数据,但是考虑到保障人权与国家安全的平衡,明确指出法规的适用条件,即在保护国家利益的特殊前提下,针对严重的犯罪行为才能实施。
在2007年两会期间,就有委员建议,要尽快制定个人信息保护的专门性法律法规,明确界定个 人信息的保护范围,同时规范企业、个人、权力机构采集使用公民个人信息的范围,明确无论是经营商家还是公共权力机构,都应该正当使用公民个人信息,而不是 将个人信息公开或出售。甚至还建议对公共权力机构的相关负责人实行信息管理责任制,在2008年的两会上,这一问题又成为热点。
(责任编辑:adminadmin2008)
