我國(guó)信息安全法律環(huán)境與電子簽名法--阿拉木斯.ppt

我國(guó)信息安全法律環(huán)境與電子簽名法中國(guó)電子商務(wù)協(xié)會(huì)政策法律委員會(huì)副主任阿拉木斯2005/8月,目錄,一、我國(guó)信息安全的法律環(huán)境1、我國(guó)信息安全法律體系的主要特點(diǎn)(5個(gè))2、我國(guó)信息安全法律體系的發(fā)展過(guò)程(3個(gè)階段)3、我國(guó)信息安全法律體系的發(fā)展二、電子簽名法實(shí)施中的若干問(wèn)題1、電子簽名法“第一案”2、電子簽名法的適用范圍3、電子簽名的管理模式4、電子簽名的形式三、信息安全法律與電子商務(wù)法律的基本關(guān)系,一、我國(guó)信息安全的法律環(huán)境,1、我國(guó)信息安全法律體系的主要特點(diǎn),（1）信息安全法律法規(guī)體系初步形成中國(guó)信息協(xié)會(huì)信息安全專(zhuān)業(yè)委員會(huì)課題研究項(xiàng)目顯示，目前我國(guó)現(xiàn)行法律法規(guī)及規(guī)章中，與信息安全直接相關(guān)的是65部，它們涉及網(wǎng)絡(luò)與信息系統(tǒng)安全、信息內(nèi)容安全、信息安全系統(tǒng)與產(chǎn)品、保密及密碼管理、計(jì)算機(jī)病毒與危害性程序防治、金融等特定領(lǐng)域的信息安全、信息安全犯罪制裁等多個(gè)領(lǐng)域，在文件形式上，有法律、有關(guān)法律問(wèn)題的決定、司法解釋及相關(guān)文件、行政法規(guī)、法規(guī)性文件、部門(mén)規(guī)章及相關(guān)文件、地方性法規(guī)與地方政府規(guī)章及相關(guān)文件多個(gè)層次。其中，全面規(guī)范信息安全的法律法規(guī)有18部，包括94年的中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例等法規(guī)，也包括2003年的廣東省計(jì)算機(jī)信息系統(tǒng)安全保護(hù)管理規(guī)定等地方法規(guī)；側(cè)重于互聯(lián)網(wǎng)安全的有7部，包括2000年全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定等法律層面的文件，也包括97年的計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法等部門(mén)規(guī)章；側(cè)重于信息安全系統(tǒng)與產(chǎn)品的有3部，包括97年的計(jì)算機(jī)信息系統(tǒng)安全專(zhuān)用產(chǎn)品檢測(cè)和銷(xiāo)售許可證管理辦法等部門(mén)規(guī)章；側(cè)重于保密的有10部，既包括89年的中華人民共和國(guó)保守國(guó)家秘密法等法律，也包括98年的計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定等部門(mén)規(guī)章；,側(cè)重于密碼管理及應(yīng)用的有5部，包括99年的商用密碼管理?xiàng)l例等法規(guī)，也包括2005年的電子認(rèn)證服務(wù)管理辦法等部門(mén)規(guī)章；側(cè)重于計(jì)算機(jī)病毒與危害性程序防治的有9部，包括2000年的計(jì)算機(jī)病毒防治管理辦法等部門(mén)規(guī)章，也包括94年的北京市計(jì)算機(jī)信息系統(tǒng)病毒預(yù)防和控制管理辦法等地方法規(guī)或規(guī)章；側(cè)重于特定領(lǐng)域信息安全的有9部，包括98年的金融機(jī)構(gòu)計(jì)算機(jī)信息安全保護(hù)工作暫行規(guī)定等部門(mén)規(guī)章，也包括2003年的廣東省電子政務(wù)信息安全管理暫行辦法等地方法規(guī)或規(guī)章；側(cè)重于信息安全監(jiān)管的有3部，包括2004年的上海市信息系統(tǒng)安全測(cè)評(píng)管理辦法等地方法規(guī)或規(guī)章；側(cè)重于信息安全犯罪處罰的主要是我國(guó)刑法第285條、286條、287條等相關(guān)規(guī)定?？傮w來(lái)看，這些信息安全法律法規(guī)或多或少所體現(xiàn)的我國(guó)信息安全的基本原則可以簡(jiǎn)單歸納為國(guó)家安全、單位安全和個(gè)人安全相結(jié)合的原則，等級(jí)保護(hù)的原則，保障信息權(quán)利的原則，救濟(jì)原則，依法監(jiān)管的原則，技術(shù)中立原則，權(quán)利與義務(wù)統(tǒng)一的原則；而基本制度可以簡(jiǎn)單歸納為統(tǒng)一領(lǐng)導(dǎo)與分工負(fù)責(zé)制度，等級(jí)保護(hù)制度，技術(shù)檢測(cè)與風(fēng)險(xiǎn)評(píng)估制度，安全產(chǎn)品認(rèn)證制度，生產(chǎn)銷(xiāo)售許可制度，信息安全通報(bào)制度，備份制度等。,（2）與信息安全相關(guān)的司法和行政管理體系迅速完善有了中華人民共和國(guó)刑法第217、218、285、286、287、288條、全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定、中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例、電信條例、互聯(lián)網(wǎng)信息服務(wù)管理辦法等法律依據(jù)，有了最高人民法院最高人民檢察院關(guān)于辦理利用互聯(lián)網(wǎng)、移動(dòng)通訊端、聲訊臺(tái)制作、復(fù)制、出版、販賣(mài)、傳播、淫穢電子信息刑事案件具體應(yīng)用法律若干問(wèn)題的解釋等司法解釋?zhuān)恍┪：π畔踩陌咐杆俚玫讲门校饝亓诉`法犯罪分子，維護(hù)了計(jì)算機(jī)信息網(wǎng)絡(luò)的正常秩序。經(jīng)過(guò)多年的工作，在我國(guó)信息安全行政管理方面，信息安全保障體系建設(shè)也已初見(jiàn)成效，與信息安全法律法規(guī)體系相配套的標(biāo)準(zhǔn)體系建設(shè)、應(yīng)急處理體系建設(shè)、等級(jí)保護(hù)體系建設(shè)、電子認(rèn)證體系建設(shè)、安全測(cè)評(píng)體系建設(shè)、計(jì)算機(jī)病毒疫情調(diào)查和控制體系建設(shè)以及違法和不良信息舉報(bào)制度建設(shè)等都得到較快的發(fā)展，為電子政務(wù)、電子商務(wù)及信息化做出了貢獻(xiàn)。,（3）目前法律規(guī)定中法律少而規(guī)章等偏多，缺乏信息安全的基本法雖然可以說(shuō)目前我國(guó)信息安全的法律體系已初步形成，但還很不成熟，在這一體系中，部門(mén)規(guī)章、地方法規(guī)及規(guī)章等占了絕大多數(shù)，而法律、法規(guī)只占到65部中的8部，為12%。部門(mén)規(guī)章、地方法規(guī)及規(guī)章等效力層級(jí)較低，適用范圍有限，相互之間可能產(chǎn)生沖突，也不能作為法院裁判的依據(jù)，直接影響了這些措施的效果。并且十分關(guān)鍵的是，目前我們還沒(méi)有一部信息安全的基本法，對(duì)于信息安全的基本法，我們理解為一部確立信息安全的基本原則、基本制度及一些核心內(nèi)容的法律，而我們前面提到的很多規(guī)定都應(yīng)是從這部法律的基本框架中延伸出來(lái)的，只有有了這部法律，我們的信息安全法律體系才能說(shuō)是有了主干。國(guó)外類(lèi)似的法律如美國(guó)2002年的聯(lián)邦信息安全管理法、87年的計(jì)算機(jī)安全法案、俄羅斯95年的聯(lián)邦信息、信息化和信息保護(hù)法等。,（4）相關(guān)法律規(guī)定篇幅偏小，行為規(guī)范較簡(jiǎn)單我國(guó)現(xiàn)有信息安全相關(guān)法律規(guī)定普遍存在的問(wèn)題是篇幅較小，規(guī)定得比較籠統(tǒng)，比如全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定共7條，中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例共31條，中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定共17條，計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法（公安部）共25條，互聯(lián)網(wǎng)信息服務(wù)管理辦法共27條，商用密碼管理?xiàng)l例共27條，計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定（國(guó)家保密局）共20條，計(jì)算機(jī)病毒防治管理辦法（公安部）為22條。此外，總體看來(lái)，目前這些法律法規(guī)主要存在三個(gè)方面有待完善的地方：第一，這些法律法規(guī)主要內(nèi)容集中在對(duì)物理環(huán)境的要求、行政管理的要求等方面，對(duì)于涉及信息安全的行為規(guī)范一般都規(guī)定的比較簡(jiǎn)單，在具體執(zhí)行上指引性還不是很強(qiáng)；第二，目前這些法律法規(guī)普遍在處罰措施方面規(guī)定得不夠具體，導(dǎo)致在信息安全領(lǐng)域?qū)嵤┨幜P時(shí)法律依據(jù)的不足；第三，在一些特定的信息化應(yīng)用領(lǐng)域，如電子商務(wù)、電子政務(wù)、網(wǎng)上支付等，相應(yīng)的信息安全規(guī)范相對(duì)欠缺，有待于進(jìn)一步發(fā)展。,（5）與信息安全相關(guān)的其他法律有待完善在建立健全信息安全法律體系的同時(shí)，與信息安全相關(guān)的其他法律法規(guī)的出臺(tái)和完善也非常必要，如電信法、個(gè)人數(shù)據(jù)保護(hù)法等，這些法律法規(guī)與信息安全法律體系一起構(gòu)成我國(guó)信息安全大的法律環(huán)境并且互為支撐、缺一不可。首先，從權(quán)利的角度看，信息安全中涉及的個(gè)人權(quán)利主要包括通信秘密、言論自由、隱私權(quán)、著作權(quán)及相關(guān)知識(shí)產(chǎn)權(quán)，而與通信秘密、言論自由相關(guān)的法律是憲法、國(guó)家安全法和警察法，與隱私權(quán)相關(guān)的法律是民法通則，與著作權(quán)及相關(guān)知識(shí)產(chǎn)權(quán)相關(guān)的法律是著作權(quán)法、合同法，此外，還可能涉及的法律有行政許可法、行政處罰法和國(guó)家賠償法；信息安全中涉及的單位的權(quán)利主要包括商業(yè)秘密、技術(shù)秘密、著作權(quán)及相關(guān)知識(shí)產(chǎn)權(quán)等，而與商業(yè)秘密、技術(shù)秘密相關(guān)的法律有反不正當(dāng)競(jìng)爭(zhēng)法、技術(shù)合同法，與著作權(quán)及相關(guān)知識(shí)產(chǎn)權(quán)相關(guān)的法律有著作權(quán)法、合同法，此外，還可能涉及的法律有行政許可法、行政處罰法和國(guó)家賠償法；再?gòu)膰?guó)家的角度看，信息安全涉及國(guó)家安全、保密和金融安全等，與國(guó)家安全相關(guān)的法律是國(guó)家安全法，與保密相關(guān)的法律是保守國(guó)家秘密法，與金融安全相關(guān)的法律是銀行法。,其次，從應(yīng)用的角度看，與信息安全相鄰或相交的領(lǐng)域包括：電信、無(wú)線電、集成電路、計(jì)算機(jī)軟件與系統(tǒng)集成、網(wǎng)絡(luò)及網(wǎng)絡(luò)信息服務(wù)、電子商務(wù)與現(xiàn)代物流、電子政務(wù)、信息資源公開(kāi)與利用等。在這些領(lǐng)域我們又可以看到電信條例、無(wú)線電管理?xiàng)l例、集成電路布圖設(shè)計(jì)保護(hù)條例、計(jì)算機(jī)軟件保護(hù)條例、中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定、互聯(lián)網(wǎng)信息服務(wù)管理辦法、互聯(lián)網(wǎng)上網(wǎng)服務(wù)營(yíng)業(yè)場(chǎng)所管理?xiàng)l例、電子簽名法等一系列法律、法規(guī)、部門(mén)規(guī)章及地方法規(guī)、規(guī)章。,2、我國(guó)信息安全法律體系的發(fā)展過(guò)程,雖然早在91年勞動(dòng)部就出臺(tái)了全國(guó)勞動(dòng)管理信息計(jì)算機(jī)系統(tǒng)病毒防治規(guī)定，但那時(shí)類(lèi)似信息安全法規(guī)和規(guī)定還是非常少的，這一局面到1994年2月18日有了根本轉(zhuǎn)變，這一天國(guó)務(wù)院頒布了中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例，該條例規(guī)定了計(jì)算機(jī)信息系統(tǒng)安全保護(hù)的主管機(jī)關(guān)、安全保護(hù)制度、安全監(jiān)管等。從94年以后，我國(guó)信息安全法律法規(guī)體系進(jìn)入了初步建設(shè)的階段，一大批相關(guān)法律法規(guī)先后出臺(tái)，如計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法（公安部）、計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定（國(guó)家保密局）、商用密碼管理?xiàng)l例、金融機(jī)構(gòu)計(jì)算機(jī)信息安全保護(hù)工作暫行規(guī)定等。而2000年12月28日全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定的出臺(tái)又代表著我國(guó)信息安全法律體系建設(shè)進(jìn)入了一個(gè)新的階段。全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定規(guī)定了一系列禁止利用互聯(lián)網(wǎng)從事的危害國(guó)家、單位和個(gè)人合法權(quán)益的活動(dòng)。這個(gè)階段的標(biāo)志就是更加重視網(wǎng)絡(luò)及互聯(lián)網(wǎng)的安全，也更加重視信息內(nèi)容的安全。這一階段的法律法規(guī)有互聯(lián)網(wǎng)信息服務(wù)管理辦法、計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定（國(guó)家保密局）、計(jì)算機(jī)病毒防治管理辦法（公安部）等。,2003年7月國(guó)家信息化領(lǐng)導(dǎo)小組第三次會(huì)議通過(guò)了國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)（中辦發(fā)200327號(hào)），則標(biāo)志著我國(guó)信息安全法律體系的建設(shè)進(jìn)入一個(gè)更高的階段。該意見(jiàn)明確了加強(qiáng)信息安全保障工作的總體要求和主要原則，確定了實(shí)行信息安全等級(jí)保護(hù)、加強(qiáng)以密碼技術(shù)為基礎(chǔ)的信息保護(hù)和網(wǎng)絡(luò)信任體系建設(shè)、建設(shè)和完善信息安全監(jiān)控體系等工作重點(diǎn)，使得我國(guó)信息安全法律體系的建設(shè)進(jìn)入了目標(biāo)明確的新階段。這一階段，有代表性的法律法規(guī)包括電子簽名法、電子認(rèn)證服務(wù)管理辦法、證券期貨業(yè)信息安全保障管理暫行辦法、廣東省電子政務(wù)信息安全管理暫行辦法、上海市信息系統(tǒng)安全測(cè)評(píng)管理辦法、北京市信息安全服務(wù)單位資質(zhì)等級(jí)評(píng)定條件（試行）等等。,3、我國(guó)信息安全法律體系的發(fā)展,對(duì)于下一步我國(guó)信息安全法律環(huán)境的發(fā)展，根據(jù)前文的分析,完全從學(xué)術(shù)的角度,我們不妨做一個(gè)簡(jiǎn)單的預(yù)測(cè):一方面我們需要一部信息安全的基本法，另一方面與信息化相關(guān)的法律也亟待完善，如電信法、個(gè)人數(shù)據(jù)保護(hù)法等。在具體內(nèi)容上，目前我國(guó)信息安全法律范疇比較薄弱或需要提高規(guī)定的層級(jí)的環(huán)節(jié)主要可以概括為：信息安全的基本原則與制度、信息安全的監(jiān)管模式、信息安全的等級(jí)保護(hù)、網(wǎng)絡(luò)與信息系統(tǒng)的建設(shè)與運(yùn)行中的信息安全、信息內(nèi)容安全、信息安全預(yù)警通報(bào)和應(yīng)急處理、特定領(lǐng)域的信息安全電子政務(wù)與電子商務(wù)、信息或信息財(cái)產(chǎn)的基本法律地位、個(gè)人信息保護(hù)的基本規(guī)范、政府信息公開(kāi)中的相關(guān)信息安全問(wèn)題等。,二、電子簽名法實(shí)施中的若干問(wèn)題,1、電子簽名法“第一案”,今年7月，北京海淀區(qū)人民法院審理了一起以手機(jī)短信息為主要證據(jù)形式的債務(wù)糾紛，被稱(chēng)為目前我國(guó)第一例援引電子簽名法裁判的案例。在該案中，手機(jī)短信息作為一種數(shù)據(jù)電文，其證據(jù)效力成為了本案的關(guān)鍵點(diǎn)。對(duì)此，法院認(rèn)為：“依據(jù)2005年4月1日起施行的中華人民共和國(guó)電子簽名法中的規(guī)定，電子簽名是指數(shù)據(jù)電文中以電子形式所含、所附用于識(shí)別簽名人身份并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)。數(shù)據(jù)電文是指以電子、光學(xué)、磁或者類(lèi)似手段生成、發(fā)送、接收或者儲(chǔ)存的信息。移動(dòng)電話短信息即符合電子簽名、數(shù)據(jù)電文的形式。同時(shí)移動(dòng)電話短信息能夠有效的表現(xiàn)所載內(nèi)容并可供隨時(shí)調(diào)取查用;能夠識(shí)別數(shù)據(jù)電文的發(fā)件人、收件人以及發(fā)送、接收的時(shí)間。經(jīng)本院對(duì)原告提供的移動(dòng)電話短信息生成、儲(chǔ)存、傳遞數(shù)據(jù)電文方法的可靠性;保持內(nèi)容完整性方法的可靠性;用以鑒別發(fā)件人方法的可靠性進(jìn)行審查，可以認(rèn)定該移動(dòng)電話短信息內(nèi)容作為證據(jù)的真實(shí)性。根據(jù)證據(jù)規(guī)則的相關(guān)規(guī)定，錄音錄像及數(shù)據(jù)電文可以作為證據(jù)使用，但數(shù)據(jù)電文可以直接作為認(rèn)定事實(shí)的證據(jù)，還應(yīng)有其它書(shū)面證據(jù)相佐證。”,2、電子簽名法的適用范圍,在我國(guó)電子簽名法第三條和第二十五條中，對(duì)電子簽名在涉及人身關(guān)系、不動(dòng)產(chǎn)、公用事業(yè)及電子政務(wù)中的應(yīng)用做了一定的保留，而以調(diào)整民商事法律關(guān)系為主。然而，在實(shí)際應(yīng)用中，從目前的情況看，B2C、C2C電子商務(wù)領(lǐng)域應(yīng)用電子簽名還非常困難，倒是在網(wǎng)上報(bào)稅等面向公眾的電子政務(wù)領(lǐng)域、網(wǎng)上繳費(fèi)等公用事業(yè)服務(wù)領(lǐng)域，我們已經(jīng)看到一些電子簽名應(yīng)用的事例。而據(jù)中國(guó)電子學(xué)會(huì)2004年的統(tǒng)計(jì)，目前80%的電子簽名證書(shū)是應(yīng)用在電子政務(wù)上的。還有，在不動(dòng)產(chǎn)領(lǐng)域，我們已經(jīng)看到，我國(guó)的上海、杭州、廈門(mén)、鄭州已先后出臺(tái)了商品房銷(xiāo)售合同網(wǎng)上登記備案管理辦法，這些現(xiàn)象值得我們認(rèn)真反思。,3、電子簽名的管理模式,在電子簽名的管理上，主要涉及兩個(gè)方面的問(wèn)題，一個(gè)是印章的管理，一個(gè)是密碼的管理。在印章的管理上，目前我國(guó)的印章體系是由公安部門(mén)管理的，有一套延用了幾十年的規(guī)范和管理體系，而依據(jù)電子簽名法，我國(guó)電子簽名的管理主要是由信息產(chǎn)業(yè)部門(mén)負(fù)責(zé)的，當(dāng)然這是符合國(guó)際慣例的做法，本身是沒(méi)有什么問(wèn)題的。問(wèn)題主要出在印章和電子簽名本身一定會(huì)產(chǎn)生交叉，這是無(wú)法避免的，典型的例子就是電子印章，它既是電子簽名，也是印章，而類(lèi)似的應(yīng)用今后只會(huì)更多而不是更少，所以我們建議我們的管理模式今后在處理類(lèi)似管理交叉或重合的問(wèn)題上還是要有充分的準(zhǔn)備。另一方面，電子簽名的核心是密碼技術(shù)，但我國(guó)密碼技術(shù)的市場(chǎng)化應(yīng)用還只是剛剛起步，我們?cè)趯?duì)密碼技術(shù)的商用、個(gè)人使用的管理上還基本沒(méi)有什么經(jīng)驗(yàn)可言，我國(guó)還是目前世界上少數(shù)幾個(gè)對(duì)密碼技術(shù)使用進(jìn)行專(zhuān)控管理的國(guó)家之一，密碼的生產(chǎn)、銷(xiāo)售、使用還都還罩著一層神秘的面紗，這與電子簽名的推廣應(yīng)用的要求還相去甚遠(yuǎn)。,4、電子簽名的形式,我國(guó)電子簽名法第二條：“本法所稱(chēng)電子簽名，是指數(shù)據(jù)電文中以電子形式所含、所附用于識(shí)別簽名人身份并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)。”第十三條：“當(dāng)事人也可以選擇使用符合其約定的可靠條件的電子簽名。”這兩條告訴我們，我國(guó)電子簽名法認(rèn)可的電子簽名是一個(gè)非常廣的范疇，絕非數(shù)字簽名一種。但我們發(fā)現(xiàn)有些人一提電