1、信息安全相關法律問題2003.41各國信息安全立法的特點信息安全立法內容我國信息安全法律體系2各國信息安全立法的特點信息安全問題不僅是一個信息領域的問題，更是一個全社會的綜合集成系統。內容廣泛包括保護信息的保密性、完整性、可用性、可控性和防抵賴性的規范有關信息主體的權利和義務的規范保護國家利益和社會公共利益的規范3各國信息安全立法的特點不僅制定了專門的信息安全立法，而且制定或修改了相關的法律，如通信自由法、個人隱私法等。重視信息安全的保障和公民信息自由保護的平衡（1997年，美國聯邦最高法院以正當通信法案抵觸美憲法第一修正案所保障的言論自由為由裁定該法無效）。4各國信息安全立法的特點各國在信息

2、安全立法方面都有一種緊迫感，特別是9.11事件以后。一方面加緊制定信息安全立法，一方面也努力使之與現有的法律相協調。5各國信息安全立法的特點以國家信息安全的組織保障為原則 各國在其信息安全法律政策中，無不明確規定了國家信息安全工作的管理機構以及各個機構的職責范圍，在各個層次上都力求做到分工負責、各司其責。如美國的計算機安全法明確規定，由商務部所屬的國家標準和技術局(NIST)負責有關敏感信息的信息安全工作，具體負責主持制定和推廣計算機安全標準和指導方針，為聯邦政府解決各種信息安全問題，其中包括安全規劃、風險管理、應急計劃、安全教育培訓、網絡安全加密技術、身份認證、智能卡應用、計算機病毒檢測與防

3、治等等；由國防部所屬的國家安全局(NSA)負責例如“國家安全系統”，即由政府及其合同單位或代理機構管理的信息系統中保密信息的信息安全工作，其中包括國家保密信息、美國憲法2315款第102項(Warner修正案)規定的信息、涉及諜報(Intelligence)的信息、涉及與國家安全有關的秘密活動(Cryptlogic)的信息、涉及軍隊指揮和控制的佰息、涉及屬于武器和武器系統設備的信息以及對于完成軍事或情報任務至關重要的設備的信息等等。 6各國信息安全立法的特點以國家信息安全的全面保障為基礎 信息安全是個巨大的系統工程，需要各方面力量的綜合協調，更需要涉及信息活動的人員、信息系統的實體、信息系統的

4、運行和系統中的信息的安全。因此，信息安全保障應當以全面、嚴密為基礎。如美國政府關于國家信息安全保障的行動策略主要有，制定信息資源安全管理的全面政策。實施風險評估、安全規劃、運行安全和各種驗證的方法；出版了信息系統安全產品和服務自錄；對信息系統的各個環節以及各機構信息安全管理工作的效率加以評估；全力支持對安全措施的投入；協調各個機構的信息安全工作；監督政府信息安全管理原則、標準、指導方針的制定和推廣工作；強化計算機信息系統人員的安全法律培訓等等。 7各國信息安全立法的特點以國家信息安全的技術防范為核心 技術保護是基礎和前提，法律保護只是技術保護的手段。，因而各國信息安全立法都以國家信息安全的技術

5、防范為核心。20世紀80年代，美國率先在計算機保密模型(Bell&La Padula模型)的基礎上，制定了可估計算機系統安全評價準則(TCSEC)，隨后又制定了關于網絡系統、數據庫等方面的系列安全解釋，形成了安全信息系統體系結構的最早原則。20世紀90年代初，歐洲英、法、德、荷四國共同提出了包括保密性、完整性、可用性等性質的信息技術安全評價準則(ITSFC)。近年來，美國國家安全局、美國國家技術標準研究所和加、英、法、德、荷等六國七方共同提出了信息技術安全評價通用準則(CCforITSEC)，綜合了國際上已有的評價準則和技術標準的精華，給出了信息安全保護的框架和原則要求。8各國信息安全立法的特

6、點以國家信息安全的技術標準為內容將技術標準納入國家信息安全保障的政策法律體系范疇，賦予技術標準以國家意志的屬性，使其具有強制實施的法律效力，是世界各國的一致行動。美國從20世紀70年代初就開始制定信息技術的安全標準，現在已經形成了由國家標準化協會制定的國家標準(ANSI)、由國家標準局制定的聯邦信息處理安全標準(FIPS)以及由國防部(DOD)制定的信息安全指令和標準三位一體的國家信息安全標準體系，從不同的角度規范國家的信息安全。歐盟除了發布前已所述的信息技術安全性評測標準(ITSEC)之外，還有由歐洲計算機廠商協會規定的被歐洲國家共同執行的計算機信息安全標準。 9信息安全立法內容 信息安全法

7、律是調整信息安全領域內各社會關系的法律法規的總稱。從范圍上看信息安全法律涉及行政法、刑法、民法、訴訟法等多個法律部類，共同構成信息安全的法律保障體系。10信息安全立法內容信息安全法在信息安全法律體系中處于主導地位。規定不同級別的信息系統所必須具備的最小安全保護要求。規定某些重要的信息系統建成后，未經法定的信息安全評估機構檢測合格不得運行。規定信息安全測評認證的相關內容。規定對信息系統安全維護管理必要的資源配置及責任義務等。11信息安全立法內容電子簽名法簽名的兩個作用：表明簽署者是誰；表明簽署人承認、證明或核準所簽署文件的內容。規定對電子簽名的法律效力。電子簽名技術方案（一般是以公開密鑰加密為基

8、礎的數字簽名）。電子簽名認證機構規范。12信息安全立法內容電子信息犯罪法刑法和全國人大頒布的關于維護互聯網安全的決定雖然對信息犯罪及其刑事責任作出了規定，但難以適應愈演愈烈的信息犯罪。13信息安全立法內容電子信息個人隱私法對于公民個人隱私保護的需求，在電子信息系統廣泛應用的環境下，將以新的形式提出、界定和保護。14信息安全立法內容電子信息知識產權保護法規定在網絡環境下，以電子信息方式存在的，以多媒體等為介質表述的知識產權的歸屬，規定相應主體的權利、義務以及法律責任和懲罰措施。15信息安全立法內容電子信息密碼法密碼在信息社會中扮演了非常重要的角色規定密碼產品的科研、生產、銷售管理。規定密碼產品的

9、使用、安全、保密管理核心密碼和商用密碼16我國信息安全法律體系1994年2月18日，國務院頒布了中華人民共和國計算機信息系統安全保護條例，這是一個標志性、基礎性法規。我國信息安全法律體系可分為四個層面。17我國信息安全法律體系一般性法律規定沒有專門對信息安全進行規定，但所規定的和約束的對象包括涉及信息安全的行為。如憲法、國家安全法、國家秘密法、治安管理處罰條例等。18我國信息安全法律體系規范和和懲罰信息網絡犯罪的法律包括中華人民共和國刑法、全國人大常委會關于維護互連網安全的決定等。19我國信息安全法律體系直接針對信息安全的特別規定中華人民共和國計算機信息系統安全保護條例、中華人民共和國計算機信息網絡國際互聯網管理暫行規定、計算機信息系統網絡國際互聯網安全保護管理