2.1.2 我国信息安全法律法规体系
法律是国家制定或认可的,由国家强制力保证实施的,以规定当事人权利和义务为内容的具有普遍约束力的社会规范。我国的法律法规从纵向的层次,即按立法机关的权限和法律的效力层次来确定,主要分为:宪法(具有最高效力)、法律、行政法规、行政规章、地方性法规。
在信息安全法律法规方面,1991年原劳动部出台了《全国劳动管理信息计算机系统病毒防治规定》;1994年国务院颁布了《中华人民共和国计算机信息系统安全保护条例》,该条例规定了计算机信息系统安全保护的主管机关、安全保护制度、安全监管等,是我国开展信息安全工作的纲领性文件。从1994年以后,我国信息安全法律法规体系进入了初步建设的阶段,一大批法律法规先后出台,如《计算机信息网络国际联网安全保护管理办法》、《计算机信息系统保密管理暂行规定》、《商用密码管理条例》、《金融机构计算机信息安全保护工作暂行规定》等。
而2000年12月28日《全国人民代表大会常务委员会关于维护互联网安全的决定》规定了一系列禁止利用互联网从事的危害国家、单位和个人合法权益的活动。2003年7月,国家信息化领导小组第三次会议通过了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号),明确了加强信息安全保障工作的总体要求和主要原则,确定了实行信息安全等级保护、加强以密码技术为基础的信息保护和网络信任体系建设、建设和完善信息安全监控体系等工作重点。
截至目前,我国已经初步建成了信息安全法律法规体系,如图2-1所示。该体系涉及网络与信息系统安全、信息内容安全、信息安全系统与产品、保密及密码管理、计算机病毒与危害性程序防治、金融等特定领域的信息安全、信息安全犯罪制裁等多个领域。总体来看,这些信息安全法律法规所体现的我国信息安全的基本原则可以简单归纳为国家安全、单位安全和个人安全相结合的原则、等级保护的原则、保障信息权利的原则、救济原则、依法监管的原则、技术中立原则、权利与义务统一的原则。基本制度可以简单归纳为统一领导与分工负责制度、等级保护制度、技术检测与风险评估制度、安全产品认证制度、生产销售许可制度、信息安全通报制度、备份制度等。
图2-1 我国信息安全法律法规体系
随着时代的发展,现有信息安全法律法规也体现出一些不足之处,例如,法律数量偏少,规章数量偏多,且缺乏信息安全的基本法;法律法规内容较为概括,体系化与有效性等方面仍有待进一步完善;与信息安全相关的司法和行政管理体系迅速完善等。对于下一步我国信息安全法律法规体系的发展,一方面需要一部信息安全的基本法,另一方面与信息化相关的法律也亟待完善,如电信法、个人数据保护法等。
目前我国涉及信息安全的法律法规及条款如下:
1.法律
(1)《中华人民共和国宪法》第四十条
(2)《中华人民共和国保守国家秘密法》共35条
(3)《中华人民共和国国家安全法》第十条、第十一条、第二十一条
(4)《中华人民共和国人民警察法》第六条、第十六条
(5)《中华人民共和国刑法》第二百一十九条、第二百二十一条、第二百二十二条、第二百八十二条、第二百八十五条、第二百八十六条、第二百八十七条、第二百八十八条、第三百六十三条、第三百六十四条、第三百六十五条、第三百六十六条、第三百六十七条
(6)《全国人民代表大会常务委员会关于维护互联网安全的决定》共7条
(7)《中华人民共和国电子签名法》共36条
(8)《中华人民共和国治安管理处罚法》第二十八条、第二十九条、第四十二条、第六十八条、第六十九条
2.行政法规
(1)《中华人民共和国计算机信息系统安全保护条例》共31条
(2)《中华人民共和国计算机信息网络国际联网管理暂行规定》共25条
(3)《商用密码管理条例》共27条
(4)《中华人民共和国电信条例》第五十七条、第五十八条、第五十九条、第六十条、第六十一条、第六十二条、第六十三条、第六十四条、第六十五条、第六十六条
(5)《互联网信息服务管理办法》共27条
(6)《互联网上网服务营业场所管理条例》共37条
(7)《信息网络传播权保护条例》共27条
3.部门规章和规范性文件
1)公安部:《计算机信息系统安全专用产品检测和销售许可证管理办法》、《计算机信息网络国际联网安全保护管理办法》、《金融机构计算机信息系统安全保护工作暂行规定》、《计算机病毒防治管理办法》、《互联网安全保护技术措施规定》。
2)工信部:《互联网电子公告服务管理规定》、《电信业务经营许可证管理办法》、《计算机信息系统集成资质管理办法(试行)》、《信息系统工程监理暂行规定》、《中国互联网络域名管理办法》、《非经营性互联网信息服务备案管理办法》、《互联网IP地址备案管理办法》、《电子认证服务管理办法》、《互联网电子邮件服务管理办法》、《中国互联网络信息中心域名争议解决办法》、《中国互联网络信息中心域名争议解决办法程序规则》。
3)国务院新闻办公室:《互联网新闻信息服务管理规定》。
4)国家密码管理局:《电子认证服务密码管理办法》、《商用密码科研管理规定》、《商用密码产品生产管理规定》、《商用密码产品销售管理规定》。
5)国家食品药品监督管理局:《互联网药品信息服务管理暂行规定》、《互联网药品交易服务审批暂行规定》。
6)卫生部:《互联网医疗卫生信息服务管理办法》。
7)国家保密局:《中华人民共和国保守国家秘密法实施办法》、《科学技术保密规定》、《计算机信息系统保密管理暂行规定》、《计算机信息系统国际联网保密管理规定》、《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》、《涉及国家秘密的计算机信息系统集成资质管理办法(试行)》。
8)新闻出版广电总局:《电子出版物管理规定》、《关于对出版物使用互联网信息加强管理的通知》、《互联网出版管理暂行规定》、《互联网著作权行政保护办法》、《有线广播电视传输覆盖网安全管理办法》、《关于加强影视播放机构和互联网等信息网络播放DV片管理的通知》、《互联网等信息网络传播视听节目管理办法》。
9)教育部:《教育网站和网校暂行管理办法》、《高等学校计算机网络电子公告服务管理规定》。
10)铁道部(原):《铁路计算机信息网络国际联网保密管理暂行规定》、《铁路计算机信息系统安全保护办法》。
11)其他部门:《中国金桥信息网公众多媒体信息服务管理办法》、《计算机信息网络国际联网出入口信道管理办法》、《中国公用计算机互联网国际联网管理办法》、《中国公众多媒体通信管理办法》、《专用网与公用网联网的暂行规定》、《中国教育和科研计算机网管理办法(试行)》。
4.地方性法律法规
如《辽宁省计算机信息系统安全管理条例》、《湖南省信息化条例》、《重庆市计算机信息系统安全保护条例》等。
5.司法解释
相当于对现有法律的一个补充,例如,《关于审理扰乱电信市场管理秩序案件具体应用法律若干问题的解释》、《关于审理涉及计算机网络域名民事纠纷案件适用法律若干问题的解释》、《关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释》、《最高人民法院关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释》、《最高人民法院关于审理涉及计算机网络域名民事纠纷案件适用法律若干问题的解释》、《最高人民法院、最高人民检察院关于办理利用互联网、移动通信终端、声讯台制作、复制、出版、贩卖、传播淫秽电子信息刑事案件具体应用法律若干问题的解释》等。