网络信息安全的法律保障

摘 要随着英特网的高速发展,一系列网络信息安全问题层出不穷,严重影响了网络的正常秩序,引起了政府和社会各界的广泛关注.本文从法律角度出发,对网络信息安全的法律保护进行了探讨.

关 键 词网络信息安全法律保障

中图分类号:D920.4文献标识码:A文章编号:1009-0592(2009)01-101-02

互联网是一个开放的网络,任何团体或个人都可以在网上方便地传送和获取各种各样的信息.由于网络的迅速发展而自身的安全防护能力很弱,许多应用系统处于不设防状态,存在着极大的安全风险和隐患.我国就网络规模而言虽然已经进入世界先进水平,但是在信息安全方面却面临着尴尬局面.以国家计算机网络应急技术处理中心的数据为例,2004年全国共处理各类信息安全事故1000余件.其还对常见的20多个木马程序的活动状况进行了抽样监测,发现我国大陆地区6600多个IP地址的主机被植入木马.这些数据足以证明,信息安全的重要性还没引起我们一些机关、单位、企业的足够重视,信息安全工作还处于被动的状态,还没有形成“主动采取措施、积极应对”的意识,信息系统的整体防护能力低.可以说网络在为人们提供便利、带来效益的同时,也使人类面临着信息安全方面的巨大威胁.网络信息安全就是指在网络环境下确保网络基础设施免遭干扰、破坏,从而实现网络信息的完整性、保密性、可用性和真实性.造成计算机网络信息不安全的因素有很多,有计算机本身的不可靠性、计算机系统自身的脆弱性、环境的干扰以及自然灾害等因素,也有工作人员失误,操作不当引起,但网络信息面临最大的安全威胁则来自人为的破坏,常见的有以下几个方面:

首先,计算机病毒问题.计算机病毒具有复制性、传播性和破坏性的特点,早期的计算机病毒只是寄存于主程序中,就其本身而言,只是一种具有自我复制能力的程序,和其他程序一样,只有运行之后病毒才会发挥其功能,因而防范措施也有很多.但随着Inter的发展,网页技术逐渐被广泛使用,将文件附于电子邮件的能力也不断提高,计算机病毒的种类急剧增加,扩散速度大大加快,而且破坏性也加大,受感染的范围也越来越广.目前,计算机网络病毒传播的方式大致有四种:附带的文件,从Inter、BBS下载的文件,浏览网页时感染病毒,“”恶意侵人计算机系统,传播病毒等.

其二,计算机问题.是指利用不正当的手段窃取计算机网络系统的口令和,从而非法进入计算机网络的人.攻击早在主机终端时代就已出现,主要的手段有:窃取口令、强力闯入、窃取额外特权、植人“特洛伊木马”、植人非法命令过程或程序“蠕虫”、清理磁盘等.随着网络的发展,现代从以系统攻击为主转为网络攻击为主,主要手法有:通过网络监听获取网上用户帐号和进行攻击,监听密钥分配过程,得到密钥或认证码,合法资格,利用文件传送协议,采用匿名用户访问进行攻击,利用操作系统提供的守护过程的缺省帐户进行攻击,突破防火墙等.到目前为止,已知的攻击手段多达500多种,突破口主要利用休息日,选择薄弱环节进行攻击.

其三,信息污染问题.信息污染主要是利用计算机网络传播违反社会道德或法律及社会意识形态的信息即信息垃圾,如:一些的、的、或有明显意识形态倾向的信息.这些不健康的、反动的信息不仅对青少年的毒害十分严重,也对国家安全、社会稳定造成极大的危害.

其四,拒绝怎么写作攻击问题.拒绝怎么写作攻击是一种破坏性攻击,主要的表现形式是用户在很短的时间内收到大量无用的电子邮件,从而影响正常业务的运行,严重时会使系统关机,网络瘫痪.

网络信息不安全会带来恶劣的社会影响和巨大的经济损失,对其进行有效防范是一个复杂的系统工程,包括管理方面的安全防范,机房实体的安全防范,技术安全防范等等.但国际上普遍认为,网络安全问题,包括计算机犯罪在内,不仅是技术问题,更应该属于法律范畴的问题.从法律的角度来探求网络信息安全的保障,有以下几个方面的规范和措施:

首先,要明确法律责任的责任主体.法律责任就是由特定法律事实所引起的对损害予以赔偿、补偿或接受惩罚的特殊义务.责任主体是指因违反法律、违约或法律规定的事由而承担法律责任的人,其中包括自然人、法人和其他社会组织.责任主体对于法律责任的有无、种类、大小有着密切的关系.目前,我国法制体系中就网络信息安全问责中主要是针对违法犯罪的自然人,而忽略了网站的法律责任.本文认为要建立网络信息安全的保护,需要强化个人与网站双方的法律责任.在网络违法犯罪过程中,人是主犯,起主要作用,而网站则起着不可忽视的帮助作用.但目前对于网站传媒仅仅从道德上予以谴责,而缺乏法律约束及相关法律责任的追究.而在危害网络信息安全的法律问责中,原始违法犯罪人所造成的不利后果是直接的、明显的、严重的,应承担直接法律责任与刑事法律责任.后继违法犯罪人(传播者等)所造成的不利后果是直接的、有一定危害性的,应承担直接法律责任与民事法律责任,情节特别严重的也应追究其刑事责任,这在我国现有法律体系中已有明确规定.网站传媒作为社会组织,理应具有职业操守与社会责任感,是公民权利的代言人,是网络信息安全的管理者与执行者,如在维护网络信息安全的过程中成为了公民私权的侵犯者,除了予以道德谴责之外,还要承担一定的法律责任,即相应的连带民事法律责任.

其次,要以法律手段强化网络监管.据有关部门统计,在所有的网络安全事故中,约有52%是人为因素造成的,25%由火灾、水灾等自然灾害引起,技术错误占10%,组织内部人员作案占10%,仅有3%左右是由外部不法人员的攻击造成.属于管理方面的原因比重高达70%以上,而这些安全问题中的95%是可以通过科学的信息安全管理来避免.因此,在维护网络信息安全过程中,网络监管是关键,并且应由一定的法律来强制保障实行.另外,还应以法律强制手段推行网络实名制.网络实名制指在网络环境中传递信息时应使用真实身份资料认证的制度.网络以计算机为依托,借助一定的计算机符号来承载信息,带有很强的虚拟性.在这个虚拟性高的空间来实现非虚拟的信息安全管理具有一定的难度,因此就需要利用法律的强制手段来推行.例如上传网络信息的法律约束与管理,无论是个人还是集体要利用网络上传信息应受到一定的法律约束,不能是任何人任何时候都可以在任何网站上传任何信息,如要上传,应有特定的监管程序通过网络实名制的信息库检验其身份资格的合法性才能进行.当然这其中涉及到一个公民私权(个人隐私权等)的规避问题,但是法律规定可以先在部分网站、部分领域实行网络实名制,等到条件成熟之后再全面推行.

进一步推广与完善电子签名及相关法律.电子签名也称作“数字签名”,是指用符号及代码组成电子进行“签名”来代替书写签名或印章.它采用规范化的程序和科学化的方法,用于鉴定签名人的身份以及对一项数据电文内容信息的认可.2004年8月,我国正式颁布了《中华人民共和国电子签名法》,并于2005年4月1日起正式施行.这是我国首部真正意义上的信息法律,它明确了可靠的电子签名与手写签名或者盖章具有同等的法律效力.通过应用电子签名认证证书实现网上身份识别认证,并确保信息在网络中传输的保密性、完整性、以及行为的不可否认性.针对目前“电子认证”等实践中的具体问题,应加快相关法律的建设与完善.落实网络信息安全等级评价.网络信息系统的安全等级是指国家信息安全监督管理部门根据计算机网络处理信息的敏感程度、业务应用性质和部门重要程度所确认的信息网络安全保护能力的级别.信息系统安全等级评价是指评价机构根据国家信息安全等级技术标准和管理标准,对使用单位的信息网络进行安全等级检测、评价和监督的活动.对于网络信息安全等级评价不合格的单位部门应由法律强制撤销其处理网络信息等相关职能或给予一定期限进行整改.加强网络实名制、电子签名、网络信息安全等级评价等一系列法律的建立与完善,是强化网络信息安全监管的保障.

最后,要进一步完善信息安全法律体系.我国现行的信息网络法律体系框架分为四个层面,即一般性法律规定,如宪法、国家安全法、治安管理处罚条例、著作权法、专利法等,规范和惩罚网络犯罪的法律,如《中华人民共和国刑法》、《全国人大常委会关于维护互联网安全的决定》等,直接针对计算机信息网络安全的特别规定,主要有《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》、《中华人民共和国计算机软件保护条例》等,具体规范信息网络安全技术、信息网络安全管理等方面的规定,主要有:《商用管理条例》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《计算机病毒防治管理办法》、《计算机信息系统保密管理暂行规定》等.一方面确立了信息网络安全管理的基本法律原则,建立了多项信息网络安全的保障制度,明确了计算机信息网络安全的主管部门,另一方面也存在着立法滞后,立法层次低下,缺乏开放性、兼容性以及操作性等不足,因此在提高网络技术的同时,我们也要重视相关法律的完善,使网络信息安全切实得到法律的保障.目前我国网络信息安全的建立和完善应当首先考虑一下几个方面:

首先,互联网络法规定对网络的正当使用,防止越权访问网络,保护网络用户的合法利益,第二,电子信息个人隐私法保护公民的个人隐私.在电子信息系统广泛应用的条件下这种要求将以新的形式提出并要有相应的管理规范加以界定和保护.本法应当规定在电子商务中涉及到的、个人以电子信息方式存在的隐私,在不违反国家安全利益的原则下享有隐私权,侵犯他人隐私权将依法受到惩处,第三,信息安全法确定国家在建立电子数据信息资源中的地位,明确电子数据交流与保密的范畴,保护电子数据的法律责任,规范电子数据系统的安全保护要求,规定对电子数据系统安全维护管理必要的人员配置及责任义务等,第四,网络犯罪法、刑法和全国人大《关于维护互联网安全的决定》虽然规定了一部分网络犯罪及其刑事责任,但是这难以控制复杂多变的网络犯罪,因此必须进行立法完善,第五,电子信息出入境法作为主权国家对电子商务中涉及到需要进出口边境的电子信息必须进行相应的规定,规定哪些信息可以进出境,哪些信息国家有权查扣,违法的事项以及处罚依据等,第六,电子信息出版法明确规定电子出版的权利、义务、审批、管理和法律责任等,最后,电子信息知识产权保护法明确规定以电子信息方式存在的、以多媒体等介质表述的文教、卫生科技、工农业、商贸等各领域的发明、创造的知识产权的归属主体的权利、义务、责任以及违反法规的法律后果等.

总之,法律是信息网络安全的制度保障.离开了法律这一强制性规范体系,信息网络安全技术和管理人员的行为都失去了约束.即使有再完善的技术和管理的手段,都是不可靠的.同样没有安全缺陷的网络系统,即使相当完善的安全机制也不可能完全避免非法攻击和网络犯罪行为.信息网络安全措施只有在法律的支撑下才能产生约束力.法律对信息网络安全措施的规范主要体现在对各种计算机网络提出相应的安全要求,对安全技术标准、安全产品的生产和选择作出规定,赋予信息网络安全管理机构一定的权利和义务,规定违反义务的应当承担的责任,将行之有效的信息网络安全技术和安全管理的原则规范化等.信息网络安全法律告诉人们哪些网络行为不可为,如果实施了违法行为就要承担法律责任,构成犯罪的还须承担刑事责任.法律也是实施各种信息网络安全措施的基本依据.一方面它是一种预防手段,另一方面它也以其强制力为后盾为信息网络安全构筑起最后一道防线.