2006年,我国的信息安全领域又度过了一个不平凡的年头。不仅因为《2006-2020国家信息化发展战略》、《信息安全等级保护管理办法》等重量级政策法规在这一年里颁布,以“熊猫烧香”为代表的一批重大信息安全案件得以破获,还因为我们正面临更加严
第一,信息安全立法方面
2006年,我国的信息安全领域又度过了一个不平凡的年头。不仅因为《2006-2020国家信息化发展战略》、《信息安全等级保护管理办法》等重量级政策法规在这一年里颁布,以“熊猫烧香”为代表的一批重大信息安全案件得以破获,还因为我们正面临更加严峻的信息安全形势——针对网络银行、虚拟货币的信息安全事件迅速增多,网络欺诈的花样不断翻新,流氓软件的传播有恃无恐,黑客等违法犯罪行为有进一步利益化、集团化的趋势。
无论是成绩亦或问题,都值得我们拿出更多的精力对其加以关注和研究,下面我们就2006年我国信息安全法律环境发展中的几个方面做一些简要的回顾和探讨:
第一,信息安全立法方面。2006年出台或实施的相关政策、法律、法规有:《2006-2020国家信息化发展战略》、《国务院办公厅关于加强政府网站建设和管理的意见》、《治安管理处罚法》、《信息安全等级保护管理办法》、《电子银行安全评估指引》、《互联网络安全保护技术措施规定》、《互联网电子邮件服务管理办法》、《国家通信保障应急预案》、《银行业金融机构信息系统风险管理指引》、《商用密码科研管理规定》、《商用密码产品生产管理规定》、《商用密码产品销售管理规定》,等等。在地方法规层面,我们还可以看到:《北京市公共服务网络与信息系统安全管理规定》、《浙江省信息安全等级保护管理办法》、《云南省电子政务管理办法》,等等。
其中,值得我们关注的是在《2006-2020国家信息化发展战略》中对我国信息安全现状、问题、目标和任务的阐述:“信息安全保障工作逐步加强。制定并实施了国家信息安全战略,初步建立了信息安全管理体制和工作机制。基础信息网络和重要信息系统的安全防护水平明显提高,互联网信息安全管理进一步加强。
当前我国信息化发展也存在着一些亟待解决的问题,主要表现在:信息安全问题仍比较突出。在全球范围内,计算机病毒、网络攻击、垃圾邮件、系统漏洞、网络窃密、虚假有害信息和网络违法犯罪等问题日渐突出,如应对不当,可能会给我国经济社会发展和国家安全带来不利影响。
全面加强国家信息安全保障体系建设。坚持积极防御、综合防范,探索和把握信息化与信息安全的内在规律,主动应对信息安全挑战,实现信息化与信息安全协调发展。坚持立足国情,综合平衡安全成本和风险,确保重点,优化信息安全资源配置。建立和完善信息安全等级保护制度,重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统。加强密码技术的开发利用。建设网络信任体系。加强信息安全风险评估工作。建设和完善信息安全监控体系,提高对网络安全事件应对和防范能力,防止有害信息传播。高度重视信息安全应急处置工作,健全完善信息安全应急指挥和安全通报制度,不断完善信息安全应急处置预案。从实际出发,促进资源共享,重视灾难备份建设,增强信息基础设施和重要信息系统的抗毁能力和灾难恢复能力。”
对于信息化法制建设,该《2006-2020国家信息化发展战略》明确:“加快推进信息化法制建设,妥善处理相关法律法规制定、修改、废止之间的关系,制定和完善信息基础设施、电子商务、电子政务、信息安全、政府信息公开、个人信息保护等方面的法律法规,创造信息化发展的良好法制环境。”
从1994年的《计算机信息系统安全保护条例》至今,经过12年的法制建设,我们可以粗略找到的信息安全法律法规已有近百部。应该可以说,我们的各级立法部门和政府已经做了大量的工作。但在操作实践中,法律的缺位和不到位现象还经常出现,肆虐横行的违法犯罪行为似乎依然有恃无恐,光怪陆离的电脑病毒也还是我们电脑中的常客,我们的信息安全法制环境还是没有给予我们随时随地的、强大有力的安全感。究其原因,我们认为,信息安全政策法律法规中法律的严重不足是主要原因之一。就象我们前面盘点2006年出台或实施的与信息安全有关的政策法律法规时,发现十五部规定中,只有《治安管理处罚法》一部法律,其他的都是政策、法规、部门规章或地方法规。再往前看,情况也是如此,我们能看到的与信息安全有关的严格意义上的法律也大约只有《刑法》、《电子签名法》、《保守国家秘密法》、《国家安全法》等几部,也就是说,目前我国信息政策法律法规中,法律大约只占5%的份额。《信息安全法》、《个人数据保护法》以及《电子交易法》、《电子支付法》等都还在业界和学者们的期盼中。政策、法规、部门规章和地方法规虽然全面、完善且细致,但毕竟还是缺乏严格意义上的法律的强有力的保障。如果我们打一个不够恰当的比喻,那就是:我们的信息安全法制之树经过12个春秋,虽已枝叶繁茂,但树干却依然孱弱,难以支撑起茂密的枝叶,也难以给予我们足够的阴翳。
网友评论