2006年,我国的信息安全领域又度过了一个不平凡的年头。不仅因为《2006-2020国家信息化发展战略》、《信息安全等级保护管理办法》等重量级政策法规在这一年里颁布,以“熊猫烧香”为代表的一批重大信息安全案件得以破获,还因为我们正面临更加严
第一,信息安全立法方面
2006年,我国的信息安全领域又度过了一个不平凡的年头。不仅因为《2006-2020国家信息化发展战略》、《信息安全等级保护管理办法》等重量级政策法规在这一年里颁布,以“熊猫烧香”为代表的一批重大信息安全案件得以破获,还因为我们正面临更加严峻的信息安全形势——针对网络银行、虚拟货币的信息安全事件迅速增多,网络欺诈的花样不断翻新,流氓软件的传播有恃无恐,黑客等违法犯罪行为有进一步利益化、集团化的趋势。
无论是成绩亦或问题,都值得我们拿出更多的精力对其加以关注和研究,下面我们就2006年我国信息安全法律环境发展中的几个方面做一些简要的回顾和探讨:
第一,信息安全立法方面。2006年出台或实施的相关政策、法律、法规有:《2006-2020国家信息化发展战略》、《国务院办公厅关于加强政府网站建设和管理的意见》、《治安管理处罚法》、《信息安全等级保护管理办法》、《电子银行安全评估指引》、《互联网络安全保护技术措施规定》、《互联网电子邮件服务管理办法》、《国家通信保障应急预案》、《银行业金融机构信息系统风险管理指引》、《商用密码科研管理规定》、《商用密码产品生产管理规定》、《商用密码产品销售管理规定》,等等。在地方法规层面,我们还可以看到:《北京市公共服务网络与信息系统安全管理规定》、《浙江省信息安全等级保护管理办法》、《云南省电子政务管理办法》,等等。
其中,值得我们关注的是在《2006-2020国家信息化发展战略》中对我国信息安全现状、问题、目标和任务的阐述:“信息安全保障工作逐步加强。制定并实施了国家信息安全战略,初步建立了信息安全管理体制和工作机制。基础信息网络和重要信息系统的安全防护水平明显提高,互联网信息安全管理进一步加强。
当前我国信息化发展也存在着一些亟待解决的问题,主要表现在:信息安全问题仍比较突出。在全球范围内,计算机病毒、网络攻击、垃圾邮件、系统漏洞、网络窃密、虚假有害信息和网络违法犯罪等问题日渐突出,如应对不当,可能会给我国经济社会发展和国家安全带来不利影响。
全面加强国家信息安全保障体系建设。坚持积极防御、综合防范,探索和把握信息化与信息安全的内在规律,主动应对信息安全挑战,实现信息化与信息安全协调发展。坚持立足国情,综合平衡安全成本和风险,确保重点,优化信息安全资源配置。建立和完善信息安全等级保护制度,重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统。加强密码技术的开发利用。建设网络信任体系。加强信息安全风险评估工作。建设和完善信息安全监控体系,提高对网络安全事件应对和防范能力,防止有害信息传播。高度重视信息安全应急处置工作,健全完善信息安全应急指挥和安全通报制度,不断完善信息安全应急处置预案。从实际出发,促进资源共享,重视灾难备份建设,增强信息基础设施和重要信息系统的抗毁能力和灾难恢复能力。”
对于信息化法制建设,该《2006-2020国家信息化发展战略》明确:“加快推进信息化法制建设,妥善处理相关法律法规制定、修改、废止之间的关系,制定和完善信息基础设施、电子商务、电子政务、信息安全、政府信息公开、个人信息保护等方面的法律法规,创造信息化发展的良好法制环境。”
从1994年的《计算机信息系统安全保护条例》至今,经过12年的法制建设,我们可以粗略找到的信息安全法律法规已有近百部。应该可以说,我们的各级立法部门和政府已经做了大量的工作。但在操作实践中,法律的缺位和不到位现象还经常出现,肆虐横行的违法犯罪行为似乎依然有恃无恐,光怪陆离的电脑病毒也还是我们电脑中的常客,我们的信息安全法制环境还是没有给予我们随时随地的、强大有力的安全感。究其原因,我们认为,信息安全政策法律法规中法律的严重不足是主要原因之一。就象我们前面盘点2006年出台或实施的与信息安全有关的政策法律法规时,发现十五部规定中,只有《治安管理处罚法》一部法律,其他的都是政策、法规、部门规章或地方法规。再往前看,情况也是如此,我们能看到的与信息安全有关的严格意义上的法律也大约只有《刑法》、《电子签名法》、《保守国家秘密法》、《国家安全法》等几部,也就是说,目前我国信息政策法律法规中,法律大约只占5%的份额。《信息安全法》、《个人数据保护法》以及《电子交易法》、《电子支付法》等都还在业界和学者们的期盼中。政策、法规、部门规章和地方法规虽然全面、完善且细致,但毕竟还是缺乏严格意义上的法律的强有力的保障。如果我们打一个不够恰当的比喻,那就是:我们的信息安全法制之树经过12个春秋,虽已枝叶繁茂,但树干却依然孱弱,难以支撑起茂密的枝叶,也难以给予我们足够的阴翳。
第二,信息安全有关案例与典型事件
在司法层面,我们注意到2006年以下几类案例有所增多:网上诈骗案、网络钓鱼等围绕网络银行安全的案例、盗取虚拟财产和网络信息的案例、与流氓软件有关的案例,等等。其中比较典型的有:“熊猫烧香”病毒案、我国首例企业间的网络攻击案——8848告百度通过发动DOS攻击实施不正当竞争行为案、反“流氓软件”第一案——反“流氓软件”联盟诉中搜案、涉及工商银行网络银行的大范围网络钓鱼事件,等等。
其中,近年迅速增多的与网络银行有关的信息安全问题非常值得我们做更多的关注。一般来看,这些问题大概有几种类型:第一,木马病毒;第二,假网站。在此类案件中,犯罪分子在网络上设置与真银行网站域名相似或外观相似的站点,诱骗用户输入用户名及口令,盗取信息后进行网银转账;第三,偷窥或直接骗取卡号、口令。此类案件并没有利用木马病毒、假网站等技术手段,而是由于用户的防范意识薄弱,卡号、口令等私密信息被犯罪分子直接偷窥或盗取。
简单地说,网银的安全风险无非两大方面:系统安全风险与身份安全风险。目前的风险主要来自后者,大规模的系统安全风险还不是很大,也许以后会成为重点。身份安全有银行的身份安全与用户的身份安全两大类,前者主要指网络钓鱼等手段伪造银行身份骗取用户钱财,后者包括用户密码保管不善、身份被冒用、盗用等风险。前一类的风险是面对一群人的,后一类往往是个案,具有一定的特殊性。用户的针对措施可以包括:妥善保管密码、及时修改密码、不在公用机器上用网银、及时杀毒避免中毒、使用电子签名、不随意接受不明邮件不随意登陆不明网站等。
在2006年6、7月的针对工行的网上钓鱼事件中,受害人成立了维权联盟,设立了专门的网站,矛头直指工行,要求工行予以赔偿损失。之所以造成这样的局面,其实很重要的一点就是在这样的事件中被仿冒者应采取什么样的应对措施的问题。按照法律的一般原则,冒充某人身份诈骗的,被冒名者不可能需要承担什么责任,应该也是受害人,受害人一般不可能追究被冒用人的责任;还有,假冒商品也是这样,被假冒商品一般不可能成为受害消费者追索的对象。所以,基于这样的基本原理,银行本是不应承担损害赔偿责任的,但问题在于一旦发生了这样的群体事件,银行应采取什么样的措施和态度予以应对,是否需要在第一时间以什么方式告知受害人帐户的变化、是否应及时通知其他人风险的存在、是否应及时设立警示标志、是否应对网站采取防伪手段、是否应及时侦测是否存在自己网站的冒牌货并采取措施,等等。而根据目前的法律规定,《电子支付指引(第一号)》的第45条规定,银行只是有“帮助查找原因、尽量挽回损失”的义务。
以上法律问题存在的主要原因在于立法上的缺失,因此应加快网银业务的法规建设。充分借鉴国际上网银业务法规建设的先进经验,尽快完善网银业务的法规框架,形成合理的商业银行、客户关系利益调整机制。在商业银行行为规范方面,建立网银业务的技术标准体系和业务规范体系,目前中国仍处与网银业务发展的初期阶段,应通过发布网上银行安全评估指引和内部管理指引等非强制形式,引导银行加强信息安全管理,推动规范化内部审计管理规则和工作程序的建立,根据网银业务发展的实际,适时调整银行、消费者二者之间的权利义务关系,明确规定银行在执行支付指令时的审查义务,兼顾交易效率和支付安全目标的实现。
总之,随着一批与信息安全有关的案例的裁判,惩戒了违法犯罪人,理顺了当事人间的法律关系,解决了矛盾,保护了国家、集体和个人的合法权益。同时,我们的司法机关也积累了更多的执法经验,为相应的法律的制定和司法解释的出台打下了基础。但另一方面,在我国信息安全的司法保护层面,网络资料易灭失导致的取证难、法律不足导致的法律依据不足、互联网的非实名制导致的找到当事人难等难题依然存在,需要司法的不断进步,也需要立法、行政执法和公民法制意识提高的全面配合。
第三,信息安全法律环境的发展趋势
2006年及今后的一两年内,我国经济、社会发展的一些重大事件必将影响到我国的信息安全环境。比如:数字奥运,3G带来的产业升级,证券业迅速膨胀带来人们对网上证券交易安全的更多的关注,虚拟货币的进一步发展引发更多的虚拟货币安全问题,第三方支付服务平台的法律地位逐步得到明确后快速发展也可能产生更多的信息安全风险,等等。通过这一系列的可能发生或正在到来的变化,我们看到的是我国信息化的进一步拓展和深化以及因此而在信息安全领域折射出的挑战和机遇,而这些挑战和机遇也必将对我国的信息安全法律环境提出更高的要求。
这种对我国信息安全法律环境的更高要求反映在立法层面,2007年值得我们期待出台或有重大进展的法律法规可能包括:电信法、信息安全法、个人数据保护法、银行卡条例、支付清算组织管理办法、电子支付指引(第二号)、反垄断法,等等。在这些立法中,有几个要点更值得我们关注,那就是:互联网的实名化、如何建立更为合理的责任分担机制(如在网上支付时发生损失,如何合理地在银行、第三方支付服务机构、用户之间构建责任分担机制)、信息主体的法律地位(信息作为一种无形资产,其法律地位目前还难以明确,只是其成为作品、专利、商业秘密等时,才能享受知识产权的法律保护,但如果尚未达到知识产权保护的要求,只是以一般信息的形式存在时,如何确定其法律地位,如何给予其足够的法律保护,是信息安全法制建设中的一个重大课题)、虚拟财产的法律地位(其中也包括虚拟货币的法律地位问题)。
对我国信息安全法律环境的更高要求反映在司法层面,可能表现为对信息安全违法犯罪行为更有震慑力的制裁(如对“熊猫烧香病毒案”的及时破获,当然我们还希望看到及时宣布对相关犯罪嫌疑人的处置),也表现为司法层面的更高的统一性,如对流氓软件的认定的统一、对盗窃QQ帐号是侵犯财产权还是通信秘密的统一,等等。
对我国信息安全法律环境的更高要求反映在行政执法层面,表现为对行政执法动态化的更高要求,在行业管理中不能仅仅局限于许可和年检,而应逐步实现反映更快、更柔化、更人性化的执法。另一方面,信息安全领域的部门协调也是影响执法效率的一个关键问题。还有,在我国信息安全法律领域,其实电子签名的应用推广工作依然任务艰巨,因为毕竟我们还不希望作为我国第一部信息化法的《电子签名法》成为某种意义上的“摆设”。
对我国信息安全法律环境的更高要求反映在法制建设层面,表现为公民信息安全法律意识的不断提高、信息安全风险教育的不断强化。信息安全事件涉及面广、影响大,直接危害到国家、集体和个人的合法权益,绝不只是少数执法人和少数违法者之间的事,只有公民和企业法人的信息安全风险防范意识、守法意思、法律责任意识、宣传意识都不断提高,我们的信息安全法律环境才能谈得上是进入了一个更高的境界!
网友评论