我國(guó)信息安全法律環(huán)境與電子簽名法綜述.ppt

我國(guó)信息安全法律環(huán)境與電子簽名法中國(guó)電子商務(wù)協(xié)會(huì)政策法律委員會(huì)副主任阿拉木斯2005 8月 目錄 一 我國(guó)信息安全的法律環(huán)境1 我國(guó)信息安全法律體系的主要特點(diǎn) 5個(gè) 2 我國(guó)信息安全法律體系的發(fā)展過(guò)程 3個(gè)階段 3 我國(guó)信息安全法律體系的發(fā)展二 電子簽名法實(shí)施中的若干問(wèn)題1 電子簽名法 第一案 2 電子簽名法的適用范圍3 電子簽名的管理模式4 電子簽名的形式三 信息安全法律與電子商務(wù)法律的基本關(guān)系 一 我國(guó)信息安全的法律環(huán)境 1 我國(guó)信息安全法律體系的主要特點(diǎn) 1 信息安全法律法規(guī)體系初步形成中國(guó)信息協(xié)會(huì)信息安全專業(yè)委員會(huì)課題研究項(xiàng)目顯示 目前我國(guó)現(xiàn)行法律法規(guī)及規(guī)章中 與信息安全直接相關(guān)的是65部 它們涉及網(wǎng)絡(luò)與信息系統(tǒng)安全 信息內(nèi)容安全 信息安全系統(tǒng)與產(chǎn)品 保密及密碼管理 計(jì)算機(jī)病毒與危害性程序防治 金融等特定領(lǐng)域的信息安全 信息安全犯罪制裁等多個(gè)領(lǐng)域 在文件形式上 有法律 有關(guān)法律問(wèn)題的決定 司法解釋及相關(guān)文件 行政法規(guī) 法規(guī)性文件 部門規(guī)章及相關(guān)文件 地方性法規(guī)與地方政府規(guī)章及相關(guān)文件多個(gè)層次 其中 全面規(guī)范信息安全的法律法規(guī)有18部 包括94年的 中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 等法規(guī) 也包括2003年的 廣東省計(jì)算機(jī)信息系統(tǒng)安全保護(hù)管理規(guī)定 等地方法規(guī) 側(cè)重于互聯(lián)網(wǎng)安全的有7部 包括2000年 全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定 等法律層面的文件 也包括97年的 計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法 等部門規(guī)章 側(cè)重于信息安全系統(tǒng)與產(chǎn)品的有3部 包括97年的 計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測(cè)和銷售許可證管理辦法 等部門規(guī)章 側(cè)重于保密的有10部 既包括89年的 中華人民共和國(guó)保守國(guó)家秘密法 等法律 也包括98年的 計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定 等部門規(guī)章 側(cè)重于密碼管理及應(yīng)用的有5部 包括99年的 商用密碼管理?xiàng)l例 等法規(guī) 也包括2005年的 電子認(rèn)證服務(wù)管理辦法 等部門規(guī)章 側(cè)重于計(jì)算機(jī)病毒與危害性程序防治的有9部 包括2000年的 計(jì)算機(jī)病毒防治管理辦法 等部門規(guī)章 也包括94年的 北京市計(jì)算機(jī)信息系統(tǒng)病毒預(yù)防和控制管理辦法 等地方法規(guī)或規(guī)章 側(cè)重于特定領(lǐng)域信息安全的有9部 包括98年的 金融機(jī)構(gòu)計(jì)算機(jī)信息安全保護(hù)工作暫行規(guī)定 等部門規(guī)章 也包括2003年的 廣東省電子政務(wù)信息安全管理暫行辦法 等地方法規(guī)或規(guī)章 側(cè)重于信息安全監(jiān)管的有3部 包括2004年的 上海市信息系統(tǒng)安全測(cè)評(píng)管理辦法 等地方法規(guī)或規(guī)章 側(cè)重于信息安全犯罪處罰的主要是我國(guó)刑法第285條 286條 287條等相關(guān)規(guī)定 總體來(lái)看 這些信息安全法律法規(guī)或多或少所體現(xiàn)的我國(guó)信息安全的基本原則可以簡(jiǎn)單歸納為國(guó)家安全 單位安全和個(gè)人安全相結(jié)合的原則 等級(jí)保護(hù)的原則 保障信息權(quán)利的原則 救濟(jì)原則 依法監(jiān)管的原則 技術(shù)中立原則 權(quán)利與義務(wù)統(tǒng)一的原則 而基本制度可以簡(jiǎn)單歸納為統(tǒng)一領(lǐng)導(dǎo)與分工負(fù)責(zé)制度 等級(jí)保護(hù)制度 技術(shù)檢測(cè)與風(fēng)險(xiǎn)評(píng)估制度 安全產(chǎn)品認(rèn)證制度 生產(chǎn)銷售許可制度 信息安全通報(bào)制度 備份制度等 2 與信息安全相關(guān)的司法和行政管理體系迅速完善有了 中華人民共和國(guó)刑法 第217 218 285 286 287 288條 全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定 中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 電信條例 互聯(lián)網(wǎng)信息服務(wù)管理辦法 等法律依據(jù) 有了 最高人民法院最高人民檢察院關(guān)于辦理利用互聯(lián)網(wǎng) 移動(dòng)通訊端 聲訊臺(tái)制作 復(fù)制 出版 販賣 傳播 淫穢電子信息刑事案件具體應(yīng)用法律若干問(wèn)題的解釋 等司法解釋 一些危害信息安全的案例迅速得到裁判 震懾了違法犯罪分子 維護(hù)了計(jì)算機(jī)信息網(wǎng)絡(luò)的正常秩序 經(jīng)過(guò)多年的工作 在我國(guó)信息安全行政管理方面 信息安全保障體系建設(shè)也已初見(jiàn)成效 與信息安全法律法規(guī)體系相配套的標(biāo)準(zhǔn)體系建設(shè) 應(yīng)急處理體系建設(shè) 等級(jí)保護(hù)體系建設(shè) 電子認(rèn)證體系建設(shè) 安全測(cè)評(píng)體系建設(shè) 計(jì)算機(jī)病毒疫情調(diào)查和控制體系建設(shè)以及違法和不良信息舉報(bào)制度建設(shè)等都得到較快的發(fā)展 為電子政務(wù) 電子商務(wù)及信息化做出了貢獻(xiàn) 3 目前法律規(guī)定中法律少而規(guī)章等偏多 缺乏信息安全的基本法雖然可以說(shuō)目前我國(guó)信息安全的法律體系已初步形成 但還很不成熟 在這一體系中 部門規(guī)章 地方法規(guī)及規(guī)章等占了絕大多數(shù) 而法律 法規(guī)只占到65部中的8部 為12 部門規(guī)章 地方法規(guī)及規(guī)章等效力層級(jí)較低 適用范圍有限 相互之間可能產(chǎn)生沖突 也不能作為法院裁判的依據(jù) 直接影響了這些措施的效果 并且十分關(guān)鍵的是 目前我們還沒(méi)有一部信息安全的基本法 對(duì)于信息安全的基本法 我們理解為一部確立信息安全的基本原則 基本制度及一些核心內(nèi)容的法律 而我們前面提到的很多規(guī)定都應(yīng)是從這部法律的基本框架中延伸出來(lái)的 只有有了這部法律 我們的信息安全法律體系才能說(shuō)是有了主干 國(guó)外類似的法律如美國(guó)2002年的 聯(lián)邦信息安全管理法 87年的 計(jì)算機(jī)安全法案 俄羅斯95年的 聯(lián)邦信息 信息化和信息保護(hù)法 等 4 相關(guān)法律規(guī)定篇幅偏小 行為規(guī)范較簡(jiǎn)單我國(guó)現(xiàn)有信息安全相關(guān)法律規(guī)定普遍存在的問(wèn)題是篇幅較小 規(guī)定得比較籠統(tǒng) 比如 全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定 共7條 中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 共31條 中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定 共17條 計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法 公安部 共25條 互聯(lián)網(wǎng)信息服務(wù)管理辦法 共27條 商用密碼管理?xiàng)l例 共27條 計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定 國(guó)家保密局 共20條 計(jì)算機(jī)病毒防治管理辦法 公安部 為22條 此外 總體看來(lái) 目前這些法律法規(guī)主要存在三個(gè)方面有待完善的地方 第一 這些法律法規(guī)主要內(nèi)容集中在對(duì)物理環(huán)境的要求 行政管理的要求等方面 對(duì)于涉及信息安全的行為規(guī)范一般都規(guī)定的比較簡(jiǎn)單 在具體執(zhí)行上指引性還不是很強(qiáng) 第二 目前這些法律法規(guī)普遍在處罰措施方面規(guī)定得不夠具體 導(dǎo)致在信息安全領(lǐng)域?qū)嵤┨幜P時(shí)法律依據(jù)的不足 第三 在一些特定的信息化應(yīng)用領(lǐng)域 如電子商務(wù) 電子政務(wù) 網(wǎng)上支付等 相應(yīng)的信息安全規(guī)范相對(duì)欠缺 有待于進(jìn)一步發(fā)展 5 與信息安全相關(guān)的其他法律有待完善在建立健全信息安全法律體系的同時(shí) 與信息安全相關(guān)的其他法律法規(guī)的出臺(tái)和完善也非常必要 如電信法 個(gè)人數(shù)據(jù)保護(hù)法等 這些法律法規(guī)與信息安全法律體系一起構(gòu)成我國(guó)信息安全大的法律環(huán)境并且互為支撐 缺一不可 首先 從權(quán)利的角度看 信息安全中涉及的個(gè)人權(quán)利主要包括通信秘密 言論自由 隱私權(quán) 著作權(quán)及相關(guān)知識(shí)產(chǎn)權(quán) 而與通信秘密 言論自由相關(guān)的法律是憲法 國(guó)家安全法和警察法 與隱私權(quán)相關(guān)的法律是民法通則 與著作權(quán)及相關(guān)知識(shí)產(chǎn)權(quán)相關(guān)的法律是著作權(quán)法 合同法 此外 還可能涉及的法律有行政許可法 行政處罰法和國(guó)家賠償法 信息安全中涉及的單位的權(quán)利主要包括商業(yè)秘密 技術(shù)秘密 著作權(quán)及相關(guān)知識(shí)產(chǎn)權(quán)等 而與商業(yè)秘密 技術(shù)秘密相關(guān)的法律有反不正當(dāng)競(jìng)爭(zhēng)法 技術(shù)合同法 與著作權(quán)及相關(guān)知識(shí)產(chǎn)權(quán)相關(guān)的法律有著作權(quán)法 合同法 此外 還可能涉及的法律有行政許可法 行政處罰法和國(guó)家賠償法 再?gòu)膰?guó)家的角度看 信息安全涉及國(guó)家安全 保密和金融安全等 與國(guó)家安全相關(guān)的法律是國(guó)家安全法 與保密相關(guān)的法律是保守國(guó)家秘密法 與金融安全相關(guān)的法律是銀行法 其次 從應(yīng)用的角度看 與信息安全相鄰或相交的領(lǐng)域包括 電信 無(wú)線電 集成電路 計(jì)算機(jī)軟件與系統(tǒng)集成 網(wǎng)絡(luò)及網(wǎng)絡(luò)信息服務(wù) 電子商務(wù)與現(xiàn)代物流 電子政務(wù) 信息資源公開(kāi)與利用等 在這些領(lǐng)域我們又可以看到電信條例 無(wú)線電管理?xiàng)l例 集成電路布圖設(shè)計(jì)保護(hù)條例 計(jì)算機(jī)軟件保護(hù)條例 中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定 互聯(lián)網(wǎng)信息服務(wù)管理辦法 互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所管理?xiàng)l例 電子簽名法等一系列法律 法規(guī) 部門規(guī)章及地方法規(guī) 規(guī)章 2 我國(guó)信息安全法律體系的發(fā)展過(guò)程 雖然早在91年勞動(dòng)部就出臺(tái)了 全國(guó)勞動(dòng)管理信息計(jì)算機(jī)系統(tǒng)病毒防治規(guī)定 但那時(shí)類似信息安全法規(guī)和規(guī)定還是非常少的 這一局面到1994年2月18日有了根本轉(zhuǎn)變 這一天國(guó)務(wù)院頒布了 中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 該條例規(guī)定了計(jì)算機(jī)信息系統(tǒng)安全保護(hù)的主管機(jī)關(guān) 安全保護(hù)制度 安全監(jiān)管等 從94年以后 我國(guó)信息安全法律法規(guī)體系進(jìn)入了初步建設(shè)的階段 一大批相關(guān)法律法規(guī)先后出臺(tái) 如 計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法 公安部 計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定 國(guó)家保密局 商用密碼管理?xiàng)l例 金融機(jī)構(gòu)計(jì)算機(jī)信息安全保護(hù)工作暫行規(guī)定 等 而2000年12月28日 全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定 的出臺(tái)又代表著我國(guó)信息安全法律體系建設(shè)進(jìn)入了一個(gè)新的階段 全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定 規(guī)定了一系列禁止利用互聯(lián)網(wǎng)從事的危害國(guó)家 單位和個(gè)人合法權(quán)益的活動(dòng) 這個(gè)階段的標(biāo)志就是更加重視網(wǎng)絡(luò)及互聯(lián)網(wǎng)的安全 也更加重視信息內(nèi)容的安全 這一階段的法律法規(guī)有 互聯(lián)網(wǎng)信息服務(wù)管理辦法 計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定 國(guó)家保密局 計(jì)算機(jī)病毒防治管理辦法 公安部 等 2003年7月國(guó)家信息化領(lǐng)導(dǎo)小組第三次會(huì)議通過(guò)了 國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn) 中辦發(fā) 2003 27號(hào) 則標(biāo)志著我國(guó)信息安全法律體系的建設(shè)進(jìn)入一個(gè)更高的階段 該意見(jiàn)明確了加強(qiáng)信息安全保障工作的總體要求和主要原則 確定了實(shí)行信息安全等級(jí)保護(hù) 加強(qiáng)以密碼技術(shù)為基礎(chǔ)的信息保護(hù)和網(wǎng)絡(luò)信任體系建設(shè) 建設(shè)和完善信息安全監(jiān)控體系等工作重點(diǎn) 使得我國(guó)信息安全法律體系的建設(shè)進(jìn)入了目標(biāo)明確的新階段 這一階段 有代表性的法律法規(guī)包括 電子簽名法 電子認(rèn)證服務(wù)管理辦法 證券期貨業(yè)信息安全保障管理暫行辦法 廣東省電子政務(wù)信息安全管理暫行辦法 上海市信息系統(tǒng)安全測(cè)評(píng)管理辦法 北京市信息安全服務(wù)單位資質(zhì)等級(jí)評(píng)定條件 試行 等 等 3 我國(guó)信息安全法律體系的發(fā)展 對(duì)于下一步我國(guó)信息安全法律環(huán)境的發(fā)展 根據(jù)前文的分析 完全從學(xué)術(shù)的角度 我們不妨做一個(gè)簡(jiǎn)單的預(yù)測(cè) 一方面我們需要一部信息安全的基本法 另一方面與信息化相關(guān)的法律也亟待完善 如電信法 個(gè)人數(shù)據(jù)保護(hù)法等 在具體內(nèi)容上 目前我國(guó)信息安全法律范疇比較薄弱或需要提高規(guī)定的層級(jí)的環(huán)節(jié)主要可以概括為 信息安全的基本原則與制度 信息安全的監(jiān)管模式 信息安全的等級(jí)保護(hù) 網(wǎng)絡(luò)與信息系統(tǒng)的建設(shè)與運(yùn)行中的信息安全 信息內(nèi)容安全 信息安全預(yù)警通報(bào)和應(yīng)急處理 特定領(lǐng)域的信息安全 電子政務(wù)與電子商務(wù) 信息或信息財(cái)產(chǎn)的基本法律地位 個(gè)人信息保護(hù)的基本規(guī)范 政府信息公開(kāi)中的相關(guān)信息安全問(wèn)題等 二 電子簽名法實(shí)施中的若干問(wèn)題 1 電子簽名法 第一案 今年7月 北京海淀區(qū)人民法院審理了一起以手機(jī)短信息為主要證據(jù)形式的債務(wù)糾紛 被稱為目前我國(guó)第一例援引電子簽名法裁判的案例 在該案中 手機(jī)短信息作為一種數(shù)據(jù)電文 其證據(jù)效力成為了本案的關(guān)鍵點(diǎn) 對(duì)此 法院認(rèn)為 依據(jù)2005年4月1日起施行的 中華人民共和國(guó)電子簽名法 中的規(guī)定 電子簽名是指數(shù)據(jù)電文中以電子形式所含 所附用于識(shí)別簽名人身份并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù) 數(shù)據(jù)電文是指以電子 光學(xué) 磁或者類似手段生成 發(fā)送 接收或者儲(chǔ)存的信息 移動(dòng)電話短信息即符合電子簽名 數(shù)據(jù)電文的形式 同時(shí)移動(dòng)電話短信息能夠有效的表現(xiàn)所載內(nèi)容并可供隨時(shí)調(diào)取查用 能夠識(shí)別數(shù)據(jù)電文的發(fā)件人 收件人以及發(fā)送 接收的時(shí)間 經(jīng)本院對(duì)原告提供的移動(dòng)電話短信息生成 儲(chǔ)存 傳遞數(shù)據(jù)電文方法的可靠性 保持內(nèi)容完整性方法的可靠性 用以鑒別發(fā)件人方法的可靠性進(jìn)行審查 可以認(rèn)定該移動(dòng)電話短信息內(nèi)容作為證據(jù)的真實(shí)性 根據(jù)證據(jù)規(guī)則的相關(guān)規(guī)定 錄音錄像及數(shù)據(jù)電文可以作為證據(jù)使用 但數(shù)據(jù)電文可以直接作為認(rèn)定事實(shí)的證據(jù) 還應(yīng)有其它書(shū)面證據(jù)相佐證 2 電子簽名法的適用范圍 在我國(guó)電子簽名法第三條和第二十五條中 對(duì)電子簽名在涉及人身關(guān)系 不動(dòng)產(chǎn) 公用事業(yè)及電子政務(wù)中的應(yīng)用做了一定的保留 而以調(diào)整民商事法律關(guān)系為主 然而 在實(shí)際應(yīng)用中 從目前的情況看 B2C C2C電子商務(wù)領(lǐng)域應(yīng)用電子簽名還非常困難 倒是在網(wǎng)上報(bào)稅等面向公眾的電子政務(wù)領(lǐng)域 網(wǎng)上繳費(fèi)等公用事業(yè)服務(wù)領(lǐng)域 我們已經(jīng)看到一些電子簽名應(yīng)用的事例 而據(jù)中國(guó)電子學(xué)會(huì)2004年的統(tǒng)計(jì) 目前80 的電子簽名證書(shū)是應(yīng)用在電子政務(wù)上的 還有 在不動(dòng)產(chǎn)領(lǐng)域 我們已經(jīng)看到 我國(guó)的上海 杭州 廈門 鄭州已先后出臺(tái)了商品房銷售合同網(wǎng)上登記備案管理辦法 這些現(xiàn)象值得我們認(rèn)真反思 3 電子簽名的管理模式 在電子簽名的管理上 主要涉及兩個(gè)方面的問(wèn)題 一個(gè)是印章的管理 一個(gè)是密碼的管理 在印章的管理上 目前我國(guó)的印章體系是由公安部門管理的 有一套延用了幾十年的規(guī)范和管理體系 而依據(jù)電子簽名法 我國(guó)電子簽名的管理主要是由信息產(chǎn)業(yè)部門負(fù)責(zé)的 當(dāng)然這是符合國(guó)際慣例的做法 本身是沒(méi)有什么問(wèn)題的 問(wèn)題主要出在印章和電子簽名本身一定會(huì)產(chǎn)生交叉 這是無(wú)法避免的 典型的例子就是電子印章 它既是電子簽名 也是印章 而類似的應(yīng)用今后只會(huì)更多而不是更少 所以我們建議我們的管理模式今后在處理類似管理交叉或重合的問(wèn)題上還是要有充分的準(zhǔn)備 另一方面 電子簽名的核心是密碼技術(shù) 但我國(guó)密碼技術(shù)的市場(chǎng)化應(yīng)用還只是剛剛起步 我們?cè)趯?duì)密碼技術(shù)的商用 個(gè)人使用的管理上還基本沒(méi)有什么經(jīng)驗(yàn)可言 我國(guó)還是目前世界上少數(shù)幾個(gè)對(duì)密碼技術(shù)使用進(jìn)行?？毓芾淼膰?guó)家之一 密碼的生產(chǎn) 銷售 使用還都還罩著一層神秘的面紗 這與電子簽名的推廣應(yīng)用的要求還相去甚遠(yuǎn) 4 電子簽名的形式 我國(guó)電子簽名法第二條 本法所稱電子簽名 是指數(shù)據(jù)電文中以電子形式所含 所附用于識(shí)別簽名人身份并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù) 第十三條 當(dāng)事人也可以選擇使用符合其約定的可靠條件的電子簽名 這兩條告訴我們 我國(guó)電子簽名法認(rèn)可的電子簽名是一個(gè)非常廣的范疇 絕非數(shù)字簽名一種 但我們發(fā)現(xiàn)有些人一