魏波 周榮增

摘? ?要：在“9·11事件”發(fā)生后，美國更加重視網絡與信息安全，相繼頒布了《關鍵基礎設施保護法》《網絡安全研究與發(fā)展法》《網絡安全增強法》《聯邦信息安全管理法》《網絡安全信息共享法案》等一系列法律。政府部門加強信息網絡安全的監(jiān)督管理，信息安全法制建設成效明顯。美國規(guī)范信息安全的法律經歷了一個從“預防為主”到“先發(fā)制人”，以控制“硬件設備”到控制“網絡信息內容”的演化過程;政府相關部門在網絡監(jiān)管中的權限職責不斷加強，以滿足應對與日俱增的信息安全風險與挑戰(zhàn)的需求。我國信息安全立法存在民法上的救濟不強、規(guī)定較分散、規(guī)定較滯后等不足，未來立法要注意前瞻性，對不同的信息采取分類分級保護，信息的收集保存及利用都需要制訂規(guī)定、標準。

關鍵詞：美國;信息安全法律;監(jiān)管;立法;啟示

中圖分類號：D90? ? ? ? ? 文獻標識碼：A

Information security legislation in the United States and its enlightment

Wei Bo1，2， Zhou Rongzeng3

（1.First Research Institute of the Ministry of Public Security of PRC， Beijing 100044;

2.Institute of Computing Technology Chinese Academy of Sciences， Beijing 100190;

3. Beijing Zaiming Law Firm， Beijing 100022）

Abstract： After the 9·11 attacks， the United States paid more attention to the network and information security， and successively issued a series of laws， including “Critical Infrastructures Protection Act”， “Network Security Research and Development Act”， “Network Security Enhancement Act”， “Federal Information Security Management Act” and “Network Security Information Sharing Act”. In addition， the American government strengthened the supervision of information network security， resulting in obvious effectiveness of the information security legal system construction. The law regulating information security in the United States has undergone an evolutionary process from “prevention-based” to “preemptive strike”， which implies a shift from the control of “hardware devices” to the control of “network information content”. The concerned government departments continuously strengthen the responsibilities and limitation on power in network supervision to meet the growing need for handling information security risks and challenges. However， Chinas information security legislation is characterized by such disadvantages as insufficient deficiencies in civil law， dispersion of stipulation， and lagging regulations. Its future legislation should attach significance to foresightedness， and classify and protect different information， and formulate regulations and standards on collection and preservation， and usage of information.

Key words： United States; information security law; supervision and management; legislation; implication

1 引言

計算機誕生于美國，互聯網也發(fā)源于美國，美國一直引領著信息技術的發(fā)展，也較早地注重對信息安全的保護。幾十年來，美國頒行了一系列與網絡安全相關的法律法規(guī)，建立了比較完善的信息安全保護機制，值得其他國家借鑒。

2 美國信息安全立法的歷程

美國信息安全立法的分水嶺是2001年發(fā)生的“9·11事件”。之前針對信息安全的立法并不多，當時全世界包括美國對網絡信息安全的重視程度都不高，網絡普及率不高，也沒有發(fā)生特別重大的網絡信息安全事件。進入21世紀后，美國的信息安全立法主要針對網絡安全。安全依附于網絡，因此信息安全主要關注網絡安全，立法也主要集中在網絡領域。美國在網絡信息安全立法方面有著明顯的階段性：第一階段是2001年“9·11事件”之前，處于起步階段;第二階段是“9·11事件”之后到2009年，即小布什執(zhí)政期間，是發(fā)展階段;第三階段是2009年之后至今，積極推進相關立法，相關立法趨于完備階段。

2.1 起步階段

1974年，美國頒布了《隱私權法》（Privacy Act），該法律為政府收集、存儲、使用、傳播公民的個人信息設定了相關的標準和準則。1984年，頒布了《計算機欺詐與濫用法》（Computer Fraud and Abuse Act），該法旨在打擊不法分子侵入計算機系統(tǒng)竊取機密信息以及金融檔案信息的行為，從而保護網絡基礎設施的安全。1986年，頒布了《計算機安全法》（Computer Security Act）和《電子通信隱私法》（Electronic Communications Privacy Act），要求政府保障計算機信息系統(tǒng)的信息安全以及公民在電子通信過程中傳輸的信息的安全。1996年，美國頒布了《信息技術管理改革法》（Information Technology Management Reform Act），要求政府對應用于網絡安全管理技術的資金進行必要的監(jiān)管。1996年美國還頒布了《國家信息基礎設施保護法》（National? Information? Infrastructure? Protection Act）和《電子通信法》（The Telecommunications Act）。根據法律規(guī)定：信息基礎設施是指包括用于支持政府、企業(yè)、學校、銀行等機構運行的計算機系統(tǒng)。同時，規(guī)定了制造和傳播病毒是犯罪行為，要納入刑法的打擊范圍。政府要制定公共關鍵基礎設施標準，切實保障網絡信息安全。1997年，頒布了《計算機安全增強法》（Computer? Security Enhancement? Act），該法律要求加快非公共密鑰管理基礎設施的建設。1998年，頒布了《兒童在線隱私權保護法》（Children's Online Privacy Protection Rule），該法律旨在保護13歲以下的兒童在網絡上的隱私信息。1999年，頒行了《網絡空間電子信息安全法》（Cyberspace Electronic Security Act），該法規(guī)定，聯邦政府的執(zhí)法機構可以獲取加密密鑰和加密方法，其他未經法律授權的機構和個人都不得行使該項權利。2000年，頒布了《政府信息安全改革法》（Government Information Security Reform Act），該法旨在加強對政府信息的保護，確定了各個政府部門在政府信息保護方面的職責。

2.2 發(fā)展階段

2000年以后互聯網發(fā)展逐步進入快車道，海量的信息被上傳在網絡中傳輸、交流，并存儲在網絡計算機中，加快信息立法，以保護信息安全變得日益迫切。2001年“9·11事件”之后，美國意識到一旦恐怖分子或者其他不法分子利用網絡信息進行犯罪活動，破壞性極大，這些促使美國加快了在信息安全方面立法的步伐。這一階段美國的立法機構開始變得比較主動，很重視立法的前瞻性和預見性，力圖使現階段的立法不僅能適應當下的情形，還能對未來可能出現的情形加以規(guī)范。這一時期的立法主要關注計算機和網絡技術的研發(fā)與合理利用、網絡安全戰(zhàn)略的布局、信息共享和信息安全兩者的平衡等方面問題。

2001年，美國頒布了《關鍵基礎設施保護法》（Critical Infrastructures Protection Act），該法律突出關鍵基礎設施對于國家安全的重要性。2002年，出臺了《網絡安全研究與發(fā)展法》（Cyber Security Research and Development Act），該法規(guī)定政府有義務資助計算機和網絡安全的研發(fā)。2002年還頒布了《聯邦信息安全管理法》（Federal Information Security Management Act）、《電子政務法》（E-Government? Act）、《國土安全法》（Homeland Security Act）和《網絡安全增強法》（Cyber Security Enhancement Act）?！毒W絡安全增強法》旨在進一步加強網絡安全，根據計算機和互聯網行業(yè)的最新發(fā)展，加強了對計算機犯罪的打擊，并規(guī)定政府為了保護網絡安全可以獲得公民網絡通信的內容。2005年，頒布《信息自由法》（Free Flow of Information Act）和《網絡安全教育促進法》（Cybersecurity Education Enhancement Act）。

2.3 趨于完備階段

隨著互聯網的全面普及，保護信息安全的任務變得更加緊迫，美國在這一時期開始全面推進信息安全的立法工作。這一階段的立法是全方位的，立法進度更快，所立法律涉及的內容也更加廣泛，趨于完備。2009年，頒布了《網絡安全法》（Cybersecurity Act），該法賦權聯邦政府設立專門的網絡安全咨詢辦公室，該辦公室可以斷開重要設施的網絡連接，管理一切網絡相關事務。2010年，在修訂《國土安全法》和其他相關法律的基礎上制定了《作為國家資產的網絡空間保護法》（Protecting Cyberspace as a National Asset Act），該法律的主旨是保護美國網絡空間和通信基礎設施的安全性。2011年，再頒行另外一部作為《網絡安全法》擴展的《網絡安全增強法》（Cyber security Enhancement Act），該法案要求總審計長定期向國會報告現有網絡安全基礎設施的缺陷，并針對這些缺陷和不足提出相應的解決方案和建議。2011年，頒布了《國土安全及基礎設施保護法》（Homeland Security and Physical Infrastructure Protection? Act），該法要求美國建立網絡安全合規(guī)部門，加強在網絡反恐和保護網絡基礎設施方面的工作。2013年，頒布了《 網 絡 安 全 及 美 國 網 絡 競 爭 法 》 （ Cyber security? and? American? Cyber Competitiveness Act）和《網絡信息共享和保護法》（Cyber Intelligence Sharing and Protection Act）。2014年，頒布《聯邦信息安全管理法》（Federal? Information? Security? Modernization? Act，FISMA）和《國家網絡安全保護法》（National Cyber Security Protection Act）、《網絡安全人員評估法》（Cyber Security Workforce Assessment Act）。2015年，頒布了《網絡安全信息共享法案》（Cyber Security Information Sharing Act）。

3 美國信息安全立法的特點

縱觀美國信息安全立法的過程及其相關規(guī)定可以看出，在立法理念方面，最開始美國是相對消極的，本著預防為主。隨著20世紀90年代計算機開始進入平民家庭，互聯網也開始起步并迅速發(fā)展，這時美國政府不得不變得比較主動，加強了相關立法。總結美國推進信息安全立法的進程，可以看出其經歷了一個從“預防為主”到“先發(fā)制人”，以控制“硬件設備”到控制“網絡信息內容”的演化過程。

（1）信息安全立法涉及范圍廣，包括規(guī)范網絡犯罪，加強信息網絡基礎設施保護，規(guī)范信息收集、利用、發(fā)布，隱私權保護等方面。

（2）注重多部門協作，建立信息共享及應急支持機制，并且設立專門機構協調各方一起保護信息安全。

（3）為了落實信息安全政策及法律，美國將政策執(zhí)行、監(jiān)督、管理等權利分配給多個部門，包括DHS、OMB、國防部、審計署、商務部、司法部等，并且根據現實需要不斷增設新機構。

（4）美國還注重標準的制定，在多部法律中提到制定相應標準保護信息安全，例如規(guī)定CIO委員會與NIST協作制定安全標準，NIST制定高性能計算的安全與隱私標準等。

總體而言，美國當前有關信息安全立法的發(fā)展趨勢是要擴大政府部門在網絡監(jiān)管中的權限，明確其職責任務，以滿足應對與日俱增的信息安全風險挑戰(zhàn)的需求。

4 美國信息安全相關法律確定的重要法律制度

4.1 強制報案制度

在美國，如果發(fā)生危害信息安全的事件，那么相關的責任人員必須在一定的時間內向相關機構報案，如果該事件非常重大，負有報案義務的人員不報案，那么他將會承擔法律責任，這就是美國信息安全法律制度中的強制報案制度。

很多企業(yè)在遭遇信息被泄露的時候往往選擇不報案，因為一旦報案，根據美國的《信息自由法》，該事件將要公開接受公眾的審查，這樣就會讓公眾認為，該企業(yè)在信息安全保障方面做得非常糟糕，因此基于商業(yè)信譽和自身形象的考慮往往選擇不報案。企業(yè)不報案等于縱容了侵害信息安全的行為，加害者將有恃無恐地繼續(xù)實施危害行為。因此，在信息安全方面建立強制報案制度十分重要。

4.2 與強制報案制度相配套的投訴機構

為了保證強制報案制度能夠真正被施行，美國建立了完善的投訴機制。發(fā)生信息安全事件之后，當事人可以根據具體情況選擇向聯邦或者州的投訴機構投訴。在美國，聯邦調查局、美國情報局、美國移民海關執(zhí)行局、美國郵政檢查局和酒精、煙草、易爆物局等機構都有處理信息安全案件的權力，當事人可以向這些機構設立在全國各地的辦事處報案。此外，網絡犯罪投訴中心（IC3）也有處理信息安全案件的權限。IC3的使命是迅速處理涉及計算機犯罪的投訴，它是美國聯邦調查局和國家白領犯罪中心于2000年合作建立的，下設一家網站，專門承接網絡犯罪受害人的舉報。

4.3 保障個人隱私不受侵犯的法律制度

美國人一貫重視個人隱私，保護隱私權的法律非常多，最重要的無疑是聯邦憲法，除此之外，還有要有1968年的《綜合犯罪控制和街道安全法》、1974年的《隱私法》。在計算機時代到來之后，隱私權的保護面臨新的威脅。為此，美國又制定了一系列跟計算機網絡緊密相關的保護隱私權的法律，主要有1986年的《電子通訊隱私法》、1988年的《錄像隱私保護法》、1984年的《電纜通訊法》、1988年的《電腦匹配和隱私保護法》和1999年的《兒童網上隱私保護法》等。

4.4 保護商業(yè)秘密的法律

商業(yè)秘密是能夠為所有者帶來收益而不為公眾知悉的一種信息。商業(yè)秘密具有重大的經濟價值。在美國，保護商業(yè)秘密的法律主要有《侵權法重述》《數字千年版權法》等?！肚謾喾ㄖ厥觥方惯`背保密義務而泄露他人的商業(yè)秘密，如有違反則需承擔相應的法律后果。該法律還禁止商業(yè)間諜竊取他人電腦中的商業(yè)秘密?！稊底智臧鏅喾ā肥敲绹?998年頒布實施的一部法律，它是美國為應對互聯網時代新形勢制定的，旨在保護網絡作品的著作權。這部法律開創(chuàng)了互聯網時代專門立法保護網絡作品著作權的先河。它規(guī)定了“規(guī)避技術保護措施”，即沒有經過著作權人的許可，其他人不得對其擁有著作權的網絡作品進行反響研究、加密與解密，以及其他損害該技術保護措施的行為。面對日趨嚴峻的網絡用戶信息被濫用、被盜用形勢，美國各個州也制定了很多有關保護商業(yè)秘密的法律。

對于發(fā)生信息安全事件時網絡服務提供者的法律責任，美國法律規(guī)定了一種叫做“避風港”的制度。在該制度下，網絡服務的提供者只需履行三項義務，就不承擔其他額外義務：第一，在發(fā)現并確認違法信息后及時采取包括刪除、屏蔽鏈接等措施;第二，自身不發(fā)布、傳播違法信息;第三，配合協助執(zhí)法機關處理信息安全事件。由于網絡上存在著海量的信息，要求網絡服務提供者逐條審查既不公平也不現實?！氨茱L港”制度公平地確認了網絡服務提供者的法律責任，為網絡服務提供者的正常經營提供了有效保障。

5 中國信息安全立法的相對不足之處

5.1 救濟途徑比較單一

我國法律針對個人信息規(guī)定了很多保護措施和救濟措施。但是，從司法實踐來看，當個人信息受到非法收集、買賣、泄露及非法利用等情況時，受害者只能以隱私權被侵犯為由去起訴，因為法律沒有規(guī)定明確的個人信息權的救濟方式?！睹穹倓t》只是籠統(tǒng)地規(guī)定：“自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息?！币虼?，對于個人來說，當其信息遭到非法侵犯時只能適用隱私權受侵犯來救濟自己的權利。但是眾所周知，隱私權和信息權是兩個不同的概念，它們的內容雖有重合之處，但內涵和覆蓋范圍卻差異很大。信息是一個比隱私更大的概念，個人信息里面包含了具有隱私屬性的信息和不具有隱私屬性的信息。因此，如果不具有隱私屬性的個人信息被侵犯，那么以隱私權被侵害為由提起訴訟顯然不會得到法院的支持，被侵權人只能請求行政機關給與侵權者行政處罰，被侵權人很難得到經濟上的賠償。因此，應該強化民法上的救濟。

5.2 規(guī)定較分散，不成體系

從現有的法律法規(guī)來看，我國目前關于個人信息保護的法律規(guī)定也相當多，從《憲法》《刑法》《民法》《網絡安全法》等法律，到《電信和互聯網用戶個人信息保護規(guī)定》 《移動互聯網應用程序信息服務管理規(guī)定》等行政法規(guī)，都規(guī)定了保護個人信息的相關條款。但是，這些規(guī)定過于分散，不成體系，在當前個人信息保護形勢極其嚴峻的情況下，這樣的規(guī)定顯然不能滿足實踐需要。當務之急是要集法學工作者之智慧，多方聽取民眾之意見，結合互聯網和金融發(fā)展的現狀和趨勢，制定一部體系完備、內容詳實、科學嚴謹、符合現實并具有前瞻性的個人信息保護法，特別要制定互聯網和金融行業(yè)個人信息保護的標準和保護措施，規(guī)定侵犯個人信息的處罰措施。

5.3 現有的規(guī)定相對滯后

現有的關于個人信息保護的法律制定頒布已比較久遠，然而互聯網和金融的發(fā)展速度異常迅猛，很多規(guī)定存在不合時宜之處。

6 對我國信息安全立法的建議

6.1立法要具有前瞻性

由于互聯網的發(fā)展速度特別快，我國在制定信息安全相關法律法規(guī)的時候，要根據現在的情形對未來做出適當的預估，保證制定出的法律既能滿足當前的需求，又能有效應對未來的情形。

6.2 將信息分類，針對不同的信息給予不同強度的保護

信息的種類無窮不盡，把所有種類的信息都納入法律的保護之內，給予同等強度的保護，這顯然是做不到的。我們應當將信息按照性質、重要程度等進行分類，在此基礎上分別給予不同程度的保護。

6.3 信息的收集、保存、利用都要制訂相關規(guī)定、標準

政府、企業(yè)都會為了一些目的而收集、保存、利用公民的各種信息，對于這種收集、保存、利用的行為也應該加以規(guī)定，以保障公民的信息安全。應該要求政府和企業(yè)在收集信息時要符合目的，要有必要性，經用戶授權;在保存信息時，要在期限內保證安全，期滿則要銷毀，保證公民的信息不被泄露或者被竊取;在對信息加以利用的時候，要保證利用行為是合法、正當的，要以不侵犯用戶隱私為界限。

7 結束語

本文對美國信息安全立法的歷程與特點做了簡單的回顧和研究?？偟貋碚f，美國的信息安全立法數量多、體系全、覆蓋面廣。在“互聯網+”新時期和信息安全事件頻發(fā)的背景下，學習借鑒美國在信息安全立法方面的經驗對我們很有價值。我國信息安全立法存在救濟不強、規(guī)定較分散、滯后等不足，立法需要注意前瞻性，對信息采取分類分級保護，以及信息的收集保存和利用都需要制訂標準規(guī)定。

參考文獻

[1] Martin， Nigel， and John Rice.? Cybercrime：? Understanding and addressing the concerns of stakeholders [J]. Computers & Security 30. 8 （2011）： 803-814.

[2] Von Solms， Rossouw， and Johan Van Niekerk. From information security to cyber security[J]. computers & security 38 （2013）： 97-102.

[3] Gordon， Lawrence A. et al. The impact of information sharing on cybersecurity underinvestment： a real options perspective [J]. Journal of Accounting and Public Policy 34. 5 （2015）： 509-519.

[4] Shackelford， Scott， Scott Russell， and Andreas Kuehn. Defining Cybersecurity Due Diligence Under International Law： Lessons from the Private Sector[J]. Volume on Ethics and Policies for Cyber Warfare （Oxford University Press， 2015）.

[5] 惠志斌. 我國國家網絡空間安全戰(zhàn)略的理論構建與實現路徑[J].中國軟科學，（2012） 5.

[6] 曲成義.網絡空間安全保密對抗態(tài)勢和應對策略[J].保密科學技術，（2012） 4.

[7] 方興東，等.棱鏡門事件與全球網絡空間安全戰(zhàn)略研究[J].中國傳媒大學學報， （2014） 1.

[8] 王偉光.網絡空間安全視角下我國信息安全戰(zhàn)略理論構建與實現路徑分析[J].電子技術與軟件工程， （2015） 3.

[9] 郎平. 網絡空間安全： 一項新的全球議程[J].國際安全研究， （2013）1.

[10] 解志勇. 信息安全立法比較研究[M].北京：中國人民公安大學出版社， 2007.

作者簡介：

魏波（1983- ），男，漢族，湖南邵陽人， 中國科學院計算技術研究所，博士，公安部第一研究所，副研究員;主要研究方向和關注領域：視頻監(jiān)控安防、計算機系統(tǒng)結構、云計算與大數據、信息安全。

周榮增（1989- ），男，漢族，河南南陽人，國際關系學院，碩士，北京在明律師事務所，律師;主要研究方向和關注領域：憲法行政法。