我國信息安全法律環(huán)境與電子簽名法綜述.ppt

我國信息安全法律環(huán)境與電子簽名法中國電子商務(wù)協(xié)會政策法律委員會副主任阿拉木斯2005 8月 目錄 一 我國信息安全的法律環(huán)境1 我國信息安全法律體系的主要特點 5個 2 我國信息安全法律體系的發(fā)展過程 3個階段 3 我國信息安全法律體系的發(fā)展二 電子簽名法實施中的若干問題1 電子簽名法 第一案 2 電子簽名法的適用范圍3 電子簽名的管理模式4 電子簽名的形式三 信息安全法律與電子商務(wù)法律的基本關(guān)系 一 我國信息安全的法律環(huán)境 1 我國信息安全法律體系的主要特點 1 信息安全法律法規(guī)體系初步形成中國信息協(xié)會信息安全專業(yè)委員會課題研究項目顯示 目前我國現(xiàn)行法律法規(guī)及規(guī)章中 與信息安全直接相關(guān)的是65部 它們涉及網(wǎng)絡(luò)與信息系統(tǒng)安全 信息內(nèi)容安全 信息安全系統(tǒng)與產(chǎn)品 保密及密碼管理 計算機病毒與危害性程序防治 金融等特定領(lǐng)域的信息安全 信息安全犯罪制裁等多個領(lǐng)域 在文件形式上 有法律 有關(guān)法律問題的決定 司法解釋及相關(guān)文件 行政法規(guī) 法規(guī)性文件 部門規(guī)章及相關(guān)文件 地方性法規(guī)與地方政府規(guī)章及相關(guān)文件多個層次 其中 全面規(guī)范信息安全的法律法規(guī)有18部 包括94年的 中華人民共和國計算機信息系統(tǒng)安全保護條例 等法規(guī) 也包括2003年的 廣東省計算機信息系統(tǒng)安全保護管理規(guī)定 等地方法規(guī) 側(cè)重于互聯(lián)網(wǎng)安全的有7部 包括2000年 全國人民代表大會常務(wù)委員會關(guān)于維護互聯(lián)網(wǎng)安全的決定 等法律層面的文件 也包括97年的 計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法 等部門規(guī)章 側(cè)重于信息安全系統(tǒng)與產(chǎn)品的有3部 包括97年的 計算機信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法 等部門規(guī)章 側(cè)重于保密的有10部 既包括89年的 中華人民共和國保守國家秘密法 等法律 也包括98年的 計算機信息系統(tǒng)保密管理暫行規(guī)定 等部門規(guī)章 側(cè)重于密碼管理及應(yīng)用的有5部 包括99年的 商用密碼管理條例 等法規(guī) 也包括2005年的 電子認證服務(wù)管理辦法 等部門規(guī)章 側(cè)重于計算機病毒與危害性程序防治的有9部 包括2000年的 計算機病毒防治管理辦法 等部門規(guī)章 也包括94年的 北京市計算機信息系統(tǒng)病毒預(yù)防和控制管理辦法 等地方法規(guī)或規(guī)章 側(cè)重于特定領(lǐng)域信息安全的有9部 包括98年的 金融機構(gòu)計算機信息安全保護工作暫行規(guī)定 等部門規(guī)章 也包括2003年的 廣東省電子政務(wù)信息安全管理暫行辦法 等地方法規(guī)或規(guī)章 側(cè)重于信息安全監(jiān)管的有3部 包括2004年的 上海市信息系統(tǒng)安全測評管理辦法 等地方法規(guī)或規(guī)章 側(cè)重于信息安全犯罪處罰的主要是我國刑法第285條 286條 287條等相關(guān)規(guī)定 總體來看 這些信息安全法律法規(guī)或多或少所體現(xiàn)的我國信息安全的基本原則可以簡單歸納為國家安全 單位安全和個人安全相結(jié)合的原則 等級保護的原則 保障信息權(quán)利的原則 救濟原則 依法監(jiān)管的原則 技術(shù)中立原則 權(quán)利與義務(wù)統(tǒng)一的原則 而基本制度可以簡單歸納為統(tǒng)一領(lǐng)導(dǎo)與分工負責制度 等級保護制度 技術(shù)檢測與風(fēng)險評估制度 安全產(chǎn)品認證制度 生產(chǎn)銷售許可制度 信息安全通報制度 備份制度等 2 與信息安全相關(guān)的司法和行政管理體系迅速完善有了 中華人民共和國刑法 第217 218 285 286 287 288條 全國人民代表大會常務(wù)委員會關(guān)于維護互聯(lián)網(wǎng)安全的決定 中華人民共和國計算機信息系統(tǒng)安全保護條例 電信條例 互聯(lián)網(wǎng)信息服務(wù)管理辦法 等法律依據(jù) 有了 最高人民法院最高人民檢察院關(guān)于辦理利用互聯(lián)網(wǎng) 移動通訊端 聲訊臺制作 復(fù)制 出版 販賣 傳播 淫穢電子信息刑事案件具體應(yīng)用法律若干問題的解釋 等司法解釋 一些危害信息安全的案例迅速得到裁判 震懾了違法犯罪分子 維護了計算機信息網(wǎng)絡(luò)的正常秩序 經(jīng)過多年的工作 在我國信息安全行政管理方面 信息安全保障體系建設(shè)也已初見成效 與信息安全法律法規(guī)體系相配套的標準體系建設(shè) 應(yīng)急處理體系建設(shè) 等級保護體系建設(shè) 電子認證體系建設(shè) 安全測評體系建設(shè) 計算機病毒疫情調(diào)查和控制體系建設(shè)以及違法和不良信息舉報制度建設(shè)等都得到較快的發(fā)展 為電子政務(wù) 電子商務(wù)及信息化做出了貢獻 3 目前法律規(guī)定中法律少而規(guī)章等偏多 缺乏信息安全的基本法雖然可以說目前我國信息安全的法律體系已初步形成 但還很不成熟 在這一體系中 部門規(guī)章 地方法規(guī)及規(guī)章等占了絕大多數(shù) 而法律 法規(guī)只占到65部中的8部 為12 部門規(guī)章 地方法規(guī)及規(guī)章等效力層級較低 適用范圍有限 相互之間可能產(chǎn)生沖突 也不能作為法院裁判的依據(jù) 直接影響了這些措施的效果 并且十分關(guān)鍵的是 目前我們還沒有一部信息安全的基本法 對于信息安全的基本法 我們理解為一部確立信息安全的基本原則 基本制度及一些核心內(nèi)容的法律 而我們前面提到的很多規(guī)定都應(yīng)是從這部法律的基本框架中延伸出來的 只有有了這部法律 我們的信息安全法律體系才能說是有了主干 國外類似的法律如美國2002年的 聯(lián)邦信息安全管理法 87年的 計算機安全法案 俄羅斯95年的 聯(lián)邦信息 信息化和信息保護法 等 4 相關(guān)法律規(guī)定篇幅偏小 行為規(guī)范較簡單我國現(xiàn)有信息安全相關(guān)法律規(guī)定普遍存在的問題是篇幅較小 規(guī)定得比較籠統(tǒng) 比如 全國人民代表大會常務(wù)委員會關(guān)于維護互聯(lián)網(wǎng)安全的決定 共7條 中華人民共和國計算機信息系統(tǒng)安全保護條例 共31條 中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定 共17條 計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法 公安部 共25條 互聯(lián)網(wǎng)信息服務(wù)管理辦法 共27條 商用密碼管理條例 共27條 計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定 國家保密局 共20條 計算機病毒防治管理辦法 公安部 為22條 此外 總體看來 目前這些法律法規(guī)主要存在三個方面有待完善的地方 第一 這些法律法規(guī)主要內(nèi)容集中在對物理環(huán)境的要求 行政管理的要求等方面 對于涉及信息安全的行為規(guī)范一般都規(guī)定的比較簡單 在具體執(zhí)行上指引性還不是很強 第二 目前這些法律法規(guī)普遍在處罰措施方面規(guī)定得不夠具體 導(dǎo)致在信息安全領(lǐng)域?qū)嵤┨幜P時法律依據(jù)的不足 第三 在一些特定的信息化應(yīng)用領(lǐng)域 如電子商務(wù) 電子政務(wù) 網(wǎng)上支付等 相應(yīng)的信息安全規(guī)范相對欠缺 有待于進一步發(fā)展 5 與信息安全相關(guān)的其他法律有待完善在建立健全信息安全法律體系的同時 與信息安全相關(guān)的其他法律法規(guī)的出臺和完善也非常必要 如電信法 個人數(shù)據(jù)保護法等 這些法律法規(guī)與信息安全法律體系一起構(gòu)成我國信息安全大的法律環(huán)境并且互為支撐 缺一不可 首先 從權(quán)利的角度看 信息安全中涉及的個人權(quán)利主要包括通信秘密 言論自由 隱私權(quán) 著作權(quán)及相關(guān)知識產(chǎn)權(quán) 而與通信秘密 言論自由相關(guān)的法律是憲法 國家安全法和警察法 與隱私權(quán)相關(guān)的法律是民法通則 與著作權(quán)及相關(guān)知識產(chǎn)權(quán)相關(guān)的法律是著作權(quán)法 合同法 此外 還可能涉及的法律有行政許可法 行政處罰法和國家賠償法 信息安全中涉及的單位的權(quán)利主要包括商業(yè)秘密 技術(shù)秘密 著作權(quán)及相關(guān)知識產(chǎn)權(quán)等 而與商業(yè)秘密 技術(shù)秘密相關(guān)的法律有反不正當競爭法 技術(shù)合同法 與著作權(quán)及相關(guān)知識產(chǎn)權(quán)相關(guān)的法律有著作權(quán)法 合同法 此外 還可能涉及的法律有行政許可法 行政處罰法和國家賠償法 再從國家的角度看 信息安全涉及國家安全 保密和金融安全等 與國家安全相關(guān)的法律是國家安全法 與保密相關(guān)的法律是保守國家秘密法 與金融安全相關(guān)的法律是銀行法 其次 從應(yīng)用的角度看 與信息安全相鄰或相交的領(lǐng)域包括 電信 無線電 集成電路 計算機軟件與系統(tǒng)集成 網(wǎng)絡(luò)及網(wǎng)絡(luò)信息服務(wù) 電子商務(wù)與現(xiàn)代物流 電子政務(wù) 信息資源公開與利用等 在這些領(lǐng)域我們又可以看到電信條例 無線電管理條例 集成電路布圖設(shè)計保護條例 計算機軟件保護條例 中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定 互聯(lián)網(wǎng)信息服務(wù)管理辦法 互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所管理條例 電子簽名法等一系列法律 法規(guī) 部門規(guī)章及地方法規(guī) 規(guī)章 2 我國信息安全法律體系的發(fā)展過程 雖然早在91年勞動部就出臺了 全國勞動管理信息計算機系統(tǒng)病毒防治規(guī)定 但那時類似信息安全法規(guī)和規(guī)定還是非常少的 這一局面到1994年2月18日有了根本轉(zhuǎn)變 這一天國務(wù)院頒布了 中華人民共和國計算機信息系統(tǒng)安全保護條例 該條例規(guī)定了計算機信息系統(tǒng)安全保護的主管機關(guān) 安全保護制度 安全監(jiān)管等 從94年以后 我國信息安全法律法規(guī)體系進入了初步建設(shè)的階段 一大批相關(guān)法律法規(guī)先后出臺 如 計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法 公安部 計算機信息系統(tǒng)保密管理暫行規(guī)定 國家保密局 商用密碼管理條例 金融機構(gòu)計算機信息安全保護工作暫行規(guī)定 等 而2000年12月28日 全國人民代表大會常務(wù)委員會關(guān)于維護互聯(lián)網(wǎng)安全的決定 的出臺又代表著我國信息安全法律體系建設(shè)進入了一個新的階段 全國人民代表大會常務(wù)委員會關(guān)于維護互聯(lián)網(wǎng)安全的決定 規(guī)定了一系列禁止利用互聯(lián)網(wǎng)從事的危害國家 單位和個人合法權(quán)益的活動 這個階段的標志就是更加重視網(wǎng)絡(luò)及互聯(lián)網(wǎng)的安全 也更加重視信息內(nèi)容的安全 這一階段的法律法規(guī)有 互聯(lián)網(wǎng)信息服務(wù)管理辦法 計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定 國家保密局 計算機病毒防治管理辦法 公安部 等 2003年7月國家信息化領(lǐng)導(dǎo)小組第三次會議通過了 國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見 中辦發(fā) 2003 27號 則標志著我國信息安全法律體系的建設(shè)進入一個更高的階段 該意見明確了加強信息安全保障工作的總體要求和主要原則 確定了實行信息安全等級保護 加強以密碼技術(shù)為基礎(chǔ)的信息保護和網(wǎng)絡(luò)信任體系建設(shè) 建設(shè)和完善信息安全監(jiān)控體系等工作重點 使得我國信息安全法律體系的建設(shè)進入了目標明確的新階段 這一階段 有代表性的法律法規(guī)包括 電子簽名法 電子認證服務(wù)管理辦法 證券期貨業(yè)信息安全保障管理暫行辦法 廣東省電子政務(wù)信息安全管理暫行辦法 上海市信息系統(tǒng)安全測評管理辦法 北京市信息安全服務(wù)單位資質(zhì)等級評定條件 試行 等 等 3 我國信息安全法律體系的發(fā)展 對于下一步我國信息安全法律環(huán)境的發(fā)展 根據(jù)前文的分析 完全從學(xué)術(shù)的角度 我們不妨做一個簡單的預(yù)測 一方面我們需要一部信息安全的基本法 另一方面與信息化相關(guān)的法律也亟待完善 如電信法 個人數(shù)據(jù)保護法等 在具體內(nèi)容上 目前我國信息安全法律范疇比較薄弱或需要提高規(guī)定的層級的環(huán)節(jié)主要可以概括為 信息安全的基本原則與制度 信息安全的監(jiān)管模式 信息安全的等級保護 網(wǎng)絡(luò)與信息系統(tǒng)的建設(shè)與運行中的信息安全 信息內(nèi)容安全 信息安全預(yù)警通報和應(yīng)急處理 特定領(lǐng)域的信息安全 電子政務(wù)與電子商務(wù) 信息或信息財產(chǎn)的基本法律地位 個人信息保護的基本規(guī)范 政府信息公開中的相關(guān)信息安全問題等 二 電子簽名法實施中的若干問題 1 電子簽名法 第一案 今年7月 北京海淀區(qū)人民法院審理了一起以手機短信息為主要證據(jù)形式的債務(wù)糾紛 被稱為目前我國第一例援引電子簽名法裁判的案例 在該案中 手機短信息作為一種數(shù)據(jù)電文 其證據(jù)效力成為了本案的關(guān)鍵點 對此 法院認為 依據(jù)2005年4月1日起施行的 中華人民共和國電子簽名法 中的規(guī)定 電子簽名是指數(shù)據(jù)電文中以電子形式所含 所附用于識別簽名人身份并表明簽名人認可其中內(nèi)容的數(shù)據(jù) 數(shù)據(jù)電文是指以電子 光學(xué) 磁或者類似手段生成 發(fā)送 接收或者儲存的信息 移動電話短信息即符合電子簽名 數(shù)據(jù)電文的形式 同時移動電話短信息能夠有效的表現(xiàn)所載內(nèi)容并可供隨時調(diào)取查用 能夠識別數(shù)據(jù)電文的發(fā)件人 收件人以及發(fā)送 接收的時間 經(jīng)本院對原告提供的移動電話短信息生成 儲存 傳遞數(shù)據(jù)電文方法的可靠性 保持內(nèi)容完整性方法的可靠性 用以鑒別發(fā)件人方法的可靠性進行審查 可以認定該移動電話短信息內(nèi)容作為證據(jù)的真實性 根據(jù)證據(jù)規(guī)則的相關(guān)規(guī)定 錄音錄像及數(shù)據(jù)電文可以作為證據(jù)使用 但數(shù)據(jù)電文可以直接作為認定事實的證據(jù) 還應(yīng)有其它書面證據(jù)相佐證 2 電子簽名法的適用范圍 在我國電子簽名法第三條和第二十五條中 對電子簽名在涉及人身關(guān)系 不動產(chǎn) 公用事業(yè)及電子政務(wù)中的應(yīng)用做了一定的保留 而以調(diào)整民商事法律關(guān)系為主 然而 在實際應(yīng)用中 從目前的情況看 B2C C2C電子商務(wù)領(lǐng)域應(yīng)用電子簽名還非常困難 倒是在網(wǎng)上報稅等面向公眾的電子政務(wù)領(lǐng)域 網(wǎng)上繳費等公用事業(yè)服務(wù)領(lǐng)域 我們已經(jīng)看到一些電子簽名應(yīng)用的事例 而據(jù)中國電子學(xué)會2004年的統(tǒng)計 目前80 的電子簽名證書是應(yīng)用在電子政務(wù)上的 還有 在不動產(chǎn)領(lǐng)域 我們已經(jīng)看到 我國的上海 杭州 廈門 鄭州已先后出臺了商品房銷售合同網(wǎng)上登記備案管理辦法 這些現(xiàn)象值得我們認真反思 3 電子簽名的管理模式 在電子簽名的管理上 主要涉及兩個方面的問題 一個是印章的管理 一個是密碼的管理 在印章的管理上 目前我國的印章體系是由公安部門管理的 有一套延用了幾十年的規(guī)范和管理體系 而依據(jù)電子簽名法 我國電子簽名的管理主要是由信息產(chǎn)業(yè)部門負責的 當然這是符合國際慣例的做法 本身是沒有什么問題的 問題主要出在印章和電子簽名本身一定會產(chǎn)生交叉 這是無法避免的 典型的例子就是電子印章 它既是電子簽名 也是印章 而類似的應(yīng)用今后只會更多而不是更少 所以我們建議我們的管理模式今后在處理類似管理交叉或重合的問題上還是要有充分的準備 另一方面 電子簽名的核心是密碼技術(shù) 但我國密碼技術(shù)的市場化應(yīng)用還只是剛剛起步 我們在對密碼技術(shù)的商用 個人使用的管理上還基本沒有什么經(jīng)驗可言 我國還是目前世界上少數(shù)幾個對密碼技術(shù)使用進行專控管理的國家之一 密碼的生產(chǎn) 銷售 使用還都還罩著一層神秘的面紗 這與電子簽名的推廣應(yīng)用的要求還相去甚遠 4 電子簽名的形式 我國電子簽名法第二條 本法所稱電子簽名 是指數(shù)據(jù)電文中以電子形式所含 所附用于識別簽名人身份并表明簽名人認可其中內(nèi)容的數(shù)據(jù) 第十三條 當事人也可以選擇使用符合其約定的可靠條件的電子簽名 這兩條告訴我們 我國電子簽名法認可的電子簽名是一個非常廣的范疇 絕非數(shù)字簽名一種 但我們發(fā)現(xiàn)有些人一