信息安全法规(上).pdf

LOGO 信息安全法规概述 国外信息安全法规体系 萨班斯法案简介 本 讲 提 纲 LOGO 1 信息安全法规概述信息安全法规概述 信息安全法的概念信息安全法的概念 1 1 对信息安全法规的需求对信息安全法规的需求 1 2 信息安全法的特点信息安全法的特点 1 3 信息安全法的保护对象信息安全法的保护对象 1 4 信息安全法的划分信息安全法的划分 1 5 LOGO 1 1信息安全法的概念信息安全法的概念 法律 所谓法律就是由社会成员建立的以平衡个体自 主权利的一套规则 法律大部分来自一种文化道德规范 它定义了 一些被社会认同的 且符合社会成员广泛接受 的法则 的行为 LOGO 法律与道德之间的关键区别 法律本身是获准于统治阶层而道德却不是如此 道德则更多基于一种文化 是相对于一个社会的 道德态度或社会风俗而言的 道德通常被描述为跨文化的普遍规则 例如 谋 杀 盗窃和伤害在文明社会通常被人们认为是偏 离道德和法规的行为 LOGO 法律规范 法律规范是由国家制定或者认可 并由国家强制力 保证实施的规范 因而具有国家意志和国家权力的 属性 法律规范是以规范法律权力和法律义务为内容 是 具有完整逻辑结构的特殊行为规范 法律规范具有普遍约束力 并对任何在效率范围内 的主题的行为指导和评价 使用同一标准 LOGO 信息安全法律法规 信息安全法律法规泛指用于规范信息系统规范信息系统或与信息 系统相关行为的法律法规 信息安全法律法规具有 命令性 禁止性和强制性 命令性和禁止性要求法律关系主体应当从事一定行 为的规范 其规定的行为规则的内容是确定的 不 允许主体一方或双方任意改变或违反 具体强制性 如果不执行 就要受到一定的法律制裁 LOGO 法律类型 民法 Civil Law 所涉及的面较广 主要 涉及到个体之间 机构之间以及个体和机构 之间的关系 刑法 Criminal Law 主要针对对社会有 害的违法行为 由政府启动并主动执行 民事侵权法 Tort Law 是民法的子集 当人身和财产受到受害时 它允许向侵害人 追索其权利 它在民事法庭执行 而不是由 政府起诉 LOGO 信息安全相关道德规范信息安全相关道德规范 道德 并不触犯法律 但它不一定是正确的 相关的道德规范 注册信息安全员 CISM 职业道德规范 计算机道德协会 Computer Ethics Institute 计 算机道德十戒 互联网体系结构委员会 IAB 道德和互联网 RFC 1087 经贸合作开发组织 OECD GASSP通用可接受 系统安全原则 LOGO 1 2 对信息安全法规的需求对信息安全法规的需求 信息安全法规基本需求 信息技术相关的犯罪 相关的民事问题 相关的隐私问题 LOGO 计算机犯罪 计算机犯罪是指行为人通过计算机操作所实施的 危害计算机信息系统 包括内存及程序 安全以 及其他严重危害社会的并应当处以刑罚的行为 计算机犯罪产生于20世纪60年代 到本世纪初已 呈猖獗之势 并为各国所重视 LOGO 计算机犯罪实质特征主要表现在 计算机本身的不可或缺性和不可替代性 在某种意义上作为犯罪对象出现的特性 明确了计算机犯罪侵犯的客体 LOGO 计算机犯罪可以分为两大类型 一类是行为人利用计算机操作实施的非法侵入或破 坏计算机信息系统安全 从而给社会造成严重危害 的并应处以刑罚的行为 另一类是行为人利用计算机操作实施的初非法侵入 或破坏计算机信息系统安全以外的其他严重危害社 会的并应处以刑罚的行为 LOGO 信息网络相关的民事问题 在计算机安全使用方面 不仅存在犯罪问题 也 存在民事问题 任何人都可以对任何人任何事提 取民事诉讼 网络管理方面的漏洞 人为的误操 作都可能造成信息安全相关的民事问题 LOGO 信息网络相关的隐私问题 隐私问题是信息安全和保密中所设计到的非常重 要的一个问题 隐私问题在个人 组织中都存在 利用法律手段有效保护组织和个人的隐私具有非 常重要意义 信息安全隐私越来越受到人们的关注 案例 英国一位21岁的黑客 由于前女友的 移情别恋 愤而将与前女友的照片和录像 大 白于天下 张贴在被其黑掉的站点上 结果 因此被法院判了五个月的牢狱 LOGO 1 3 信息安全法的特点信息安全法的特点 综合法 既有单行法律法规 如 电子签名 法 计算机信息系统安全保护条例 等 又 有散见于各种法律和法规及部门规章之中 主体多样性 法律法规本身的制定主体相对统 一 但部门规章的制定者涉及多个部委 保护客体的非物质性 信息的特性 载体的丰富性 纸制 电子材料 LOGO 1 4 信息安全法的保护对象信息安全法的保护对象 国家信息安全国家信息安全 突出表现为刑法 包括对国家 重要信息资源的保护 对攻击和危害宣传的惩 治 社会信息安全社会信息安全 涉及社会的安全和稳定 市场信息安全市场信息安全 保护涉及到维护经济秩序和市 场的安全和稳定 个人信息安全个人信息安全 公民人身 财产安全 LOGO 1 5 信息安全法的划分信息安全法的划分 从信息的主体划分 政府相关 如 国家保守秘密法 电子政务安全 等 民事主体 知识产权 人格权法等 从信息载体不同划分 电信类 关于维护互联网安全的决定 电子 签名法 等 非电信类 如 邮政法 统计法 气象法 等中关于信息的规定 LOGO 从承担法律责任划分 刑事责任 刑法 有关信息犯罪的条款 民事责任 合同法 民法通则 知识产权 相关法规等 行政责任 国务院 部委制定的规章 LOGO 信息安全法规概述 国外信息安全法规体系 萨班斯法案简介 本 讲 提 纲 LOGO 2 国外信息安全法规体系国外信息安全法规体系 2 4 美国美国 2 1 2 2 2 3 2 5 欧洲各国 日本 新加坡 各个密码管理政策 欧洲各国 日本 新加坡 各个密码管理政策 LOGO 2 1 美国美国 美国使用判例法 Common Law 系 在美国 的判例法系统中 政府的三类机构可以制定法 律 立法部门 legislative branch 制定成文法 Statutory Law 行政管理部门 administrative branch 制定行 政法 administrative laws 司法部门 judicial branch 制定法庭裁决的判例 法 common laws LOGO 美国作为当今世界信息大国 不仅信息技术具 有国际领先水平 有关信息安全的立法活动进 行得较早 因此 与别的国家相比 美国无疑 是信息安全方面的法案最多而且较为完善的国 家 LOGO 美国信息安全机关 国家安全局 NSA 中央情报局 CIA 联邦调查局 FBI 总统关键设施保护委员会 1996年 国家设施保护中心 1998年 国家计算机安全中心 设施威胁评估中心 LOGO 美国各州依据 计算机犯罪法 所确立的犯罪有 计算机服务盗窃罪 侵犯知识产权罪 破坏计算机设备或配置罪 计算机欺骗罪 通过欺骗获得电话或电报服务罪 计算机滥用罪 计算机错误访问罪 非授权的计算机使用罪 LOGO 9 11事件后 美国对于国家安全的重视日益增 强 美国参众两院及联邦政府有关安全方面的 立法力度较以往大大加强 自2001年下半年至 今 就有近二十个与网络信息安全相关的法案 提案送交两院审议 这些法律法规的推出将为 美国社会的安全保障构建坚实的法律基础 LOGO 美国立法现状 以信息为主要内容 电子信息自由法案 个人隐私保护法 公共信息准则 削减文书法 消费者与投资者获取信息法 儿童网络隐私保护法 电子隐私条例法案 LOGO 美国立法现状 续 以基础设施为主要内容 1996年电信法 以计算机安全为主要内容 计算机保护法 网上电子安全法案 反电子盗窃法 计算机欺诈及滥用法案 网上禁赌法案 LOGO 美国立法现状 续 以电子商务为主要内容 统一电子交易法 国际国内电子签名法 统一计算机信息交易法 网上贸易免税协议 LOGO 美国立法现状 续 以知识产权为主要内容 千禧年数字版权法 反域名抢注消费者保护法 政策性文件 国家信息基础设施行动议程 全球电子商务政策框架 LOGO LOGO 关于互联网内容管理的法律 互联网内容管理相关的法律包括有 关未成年人保护 版权保护 垃圾邮件管理等 LOGO 1 关于未成年人保护 未成年保护相关的法律有 未成年人互联网保护法 1998 年儿童在线隐私保护法 等 未成年人互联网保护法 规定 中小学校 公共图书馆等必 须在其网络服务程序的目录上提供过滤器 确保未达17周岁的 未成年人不接触到色情内容的成人网站 政府对学校 公共图 书馆建立网络过滤技术系统提供资金支持 网络技术服务商在 给学校和图书馆提供过滤技术服务时要给予优惠 1998年儿童在线隐私保护法 规定 任何提供网络服务和产 品的组织与个人不得通过互联网电子联络 电子邮件 聊天等 的办法 搜集13岁以下儿童的姓名 家庭住址 电子邮件地址 电话号码 社会安全号码或儿童父母的个人信息等 违者将依 据 联邦贸易委员会法案 进行处罚 LOGO 2 关于版权保护 主要法律依据为 1998年数字千年版权法 该法 涉及网上作品的临时复制 网络上文件的传输 数 字出版发行 作品合理使用范围的重新定义 数据 库的保护等 规定未经允许在网上下载音乐 电影 游戏 软件等为非法 LOGO 3 关于反垃圾邮件 反垃圾邮件法 规定 任何人未经授权向多人 数量至少要达到24小时发100条 30天发1千条 或1年发1万条 发送含虚假商业信息的电子邮件 均为违法 可以受到罚款或关押最高不超过5年的 处罚 或两罚并用 该法采取了 宽泛主义 原则 即 opt out 选择退 出 原则 规定 未经请求 的电子邮件是指电子 邮件的发件人同收件人未曾有过包括 在先的 商务 关系在内的关系的情况下向发件人发送的电子邮 件消息 LOGO 该法规定 发件人为推销其产品或服务 可以 在未经请求的情况下向电子邮件用户发送商业 性的电子邮件 但发送下述类型邮件的行为为 违法行为 含有虚假的 误导性的或者欺骗性的标题信息的电 子邮件 不含回复地址和退订机制的电子邮件 缺少法律规定的标识符 选择退出和物理地址的商 业电子邮件 未给含有色情内容的邮件添加警示标志的商业电子 邮件 LOGO 4 其他内容管理相关法律 在内容管理方面 除了出于对儿童身心健康的保 护以外 其他内容的管理主要依靠行业公约 通 过在法律中规定优惠措施的办法 鼓励行业自律 美国在1998年出台 网络免税法 对自律较好 的网络商给予两年免征新税的待遇 另外 美国政府还成立了专门机构 保护未成年 人的网上安全 司法部成立了特种部队 打击针 对未成年人的网上犯罪活动 美国联邦调查局也 设有专门机构 负责辨认网上发布的儿童色情图 像 调查不法分子 予以法律制裁 LOGO 关于网络犯罪的法律 美国是一个网络大国 也是一个网络犯罪十分严重 的国家 互联网的发展 尤其是其中金融交易的增 长 助长了网络犯罪狂潮 LOGO 美国对于网络犯罪的刑事立法由来已久 1984年10月 12日 里根总统签署了美国第一部联邦计算机犯罪成 文法 伪装进入设施和计算机欺诈及滥用法 从而 对于联邦刑法典进行了修改 将非法使用计算机和损 坏资料的行为规定为犯罪 1986年美国议会通过了 防止计算机诈骗和滥用法 案 1995年6月美国参议院通过了 计算机保护法 该法 规定 网络警察可以对因特网进行检查 对在因特网 发布下流信息者 最高可设1万美元罚款或2年以上的 监禁 1996年 美国立法机构修改了 防止计算机诈骗和滥 用法案 将其重新命名为 国家信息安全法案 该法案在1996年10月签署生效后 适用于美国所有连 接到因特网和电话网络上的计算机 LOGO 在管理网络安全的同时 加强网络空间监控 Electronic Surveillance in the cyberspace 的法制建设 是世界各国积极解决网络空间非 传统安全问题的普遍做法 9 11 事件以后 美国进一步加大了对网络空间实施电子监控的 力度 LOGO 众所周知的 2001年爱国者法 赋予执法部门在破案过程 中截获电子邮件内容 电子取证 调查个人或网络服务商 的财务 信用卡信息等的更大权利 允许执法部门利用用 户登记号跟踪或设定陷阱捕捉罪犯 网络受害者在执法部 门许可下可监测或拦截计算机闯入者 以及允许执法部门 使用全美通行电子邮件的搜查令 美国的这种做法已经引 起了包括美国在内的国际社会的普遍重视 一种后 9 11 时代的网络空间电子监控立法活动展开了对反恐时代电子 监控法的彻底反思 2001年爱国者法 该法案可以被援引为 2001年 为 防止和阻止恐怖主义提供适当的必要手段以增强美国的凝 聚力和力量法 法案中除了 强化反恐怖主义的国内 安全措施 还提出了 完善监视程序 这是的美国的信 息安全法案更加完善 LOGO 此外 除了专门的计算机犯罪立法 美国联邦 至少还有40个其他的法律可以用来指控某些与 计算机有关的犯罪 这些法律包括 版权法 国家被盗财产法 邮 件与电报诈欺法 电信隐私法 儿童色情预防 法等等 LOGO 现在 除了佛蒙特州以外 其他所有的州都制 定了专门的计算机犯罪法 美国各州及其联邦有关计算机网络的法律的共 同特点是 重新界定财产的定义 包括无形财 产和计算机数据 美国各州的大多数法律规定对未经许可的访问 或者使用数据进行欺诈的行为进行惩罚 如同 对破坏 涂改 滥用行为惩罚一样 LOGO 纵观美国这一系列法律和文件 其共同具有的 几个显著特点是 完善电子政务与信息化发展的基础环境 创造有 利条件 促进发展 排除法律上的障碍 为电子商务 电子政务等信 息化建设的发展提供法律上的依据 坚持技术中立原则 在立法上为技术发展留有空 间 针对信息技术领域乃至所有高新技术领域的所有 立法都有一个共同特点 那就是如何使千变外化 一日千里的信息技术适用于单一的 稳定的法律 规范 LOGO 2 2 欧洲各国欧洲各国 欧洲共同体是一个在欧洲范围内具有较强影响 力的政府间组织 为在共同体内正常地进行信 息市场运作 该组织在诸多问题上建立了一系 列法律 具体包括 竞争 反托拉斯 法 产品责任 商 标和广告规定 知识产权 保护 保护软件 数据和多媒体产品 及 在线版权 数据保护 跨境电 子贸易 税收和司法 问题等 还规定 上述法律若与其成员国原有国家法律相矛 盾 则必须以共 同体的法律为准 LOGO 1 英国信息安全法律法规 英国政府为了打击网上犯罪活动 采取了以下一些 监管措施 加强法律规范 加大打击力度 对网络 提供者提出具体 严格的要求 网络监察部门对网 上内容进行合法性鉴别 对网上非法资料做出严肃 处理 加强研究开发工作 研制适合国情的监控软 件和电子设备 1996年以前 英国主要依据 黄色 出版物法 青少年保护法 录像制品法 禁止滥用电脑法 和 刑事司法与公共秩序修正 条例 惩处利用电脑和互联网络进行犯罪的行为 LOGO 有关计算机犯罪的立法 英国经历了一个发展 过程 1981年 通过修订 伪造文书及货币法 扩大 伪 造文件 的概念 将伪造电磁记录纳入 伪造文书罪 的范围 1984年 在 治安与犯罪证据法 中规定 警察可 根据计算机中的情报作为证据 从而明确了电子记 录在刑事诉讼中的证据效力 1985年 通过修订 著作权法 将复制计算机程 序的行为视为犯罪行为 给予相应之刑罚处罚 1990年 制定 计算机滥用法 LOGO 在 滥用法 里 重点规定了以下三种计算机犯罪 非法侵入计算机罪 非法侵入计算机罪是指行为人未经授 权 故意侵入计算机系统以获取其程序或数据的行为 此行 为并不要求针对特定的程序或数据 也就是说 只要是故意 非法侵入 哪怕仅仅是一般的浏览行为也构成犯罪 该罪可 处以2000英镑以下的罚金或6个月以下的监禁 或并处 有其他犯罪企图的非法侵入计算机罪 如果某人非法侵入计 算机是为了自己或他人犯其他的罪 如利用读取的信息进行 诈骗或讹诈等 则构成处罚更严厉的犯罪 可判处5年以下 监禁或无上限罚金 非法修改计算机程序或数据罪 行为人故意非法对计算机中 的程序或数据进行修改 将构成此罪 可判处5年以下监禁 或无上限罚金 LOGO 2 法国信息安全法律法规 1996年6月 法 国邮电 电讯及空间部长级代表Fra Ncis Fillon对一部 有关通信自由的法律进行补充并提出 Fillon修正案 该案提出以下三方面措施 1 迫使上网服务的网络信道提供者向客户提供封锁某些信道的软 件设备 从而使成年人通过技术控制对未成年人负责 2 建立一个委员会负责制定上网服务的职业规范 对被告发的服 务提出处理意见 特别是负责原由网络信息委员会管辖的终端视 讯服务 3 若网络信道提供者违反技术规定 为进入已存异议的上网提供 信道 或在知情的情况下为被控告的服务进入网络提供信道 则 追究其刑事责任 LOGO 在法国 1992年通过 1994年生效的新刑法典设专章 侵犯资料自动处理系统罪 对计算机犯罪作了规定 根 据该章的规定 共有以下三种计算机罪 1 侵入资料自动处理系统罪 刑法典第323 1条规定 采用欺诈手段 进入或不肯退出某一 资料数据自动处理系统之全部或一部的 处1年监禁并科10万 法郎罚金 如造成系统内储存之数据资料被删除或被更改 或 者导致该系统运行受到损坏 处2年监禁并科20万法郎罚金 2 妨害资料自动处理系统运作罪 刑法典第323 2条规定 妨碍或扰乱数据资料自动处理系统之 运作的 处3年监禁并科30万法郎罚金 3 非法输入 取消 变更资料罪 刑法典第323 3条规定 采取不正当手段 将数据资料输入某 一自动处理系统 或者取消或变更该系统储存之资料的 处3 年监禁并科30万法郎罚金 LOGO 3 德国信息安全法律法规 德国是欧洲信息技术最发达的国家 其电子信息和 通信服务已涉及该国所有经济和生活领域 1996年 夏 德国政府出台了 信息和通信服务规范法 即 多媒体法 并成立了联邦信息技术安全局 依法对网络进行管理 此外 该国政府通过了电讯 服务数据保护法 并根据发展信息和通信服务的需 要对刑法法典 治安法 传播危害青少年文字法 著作权法和报价法作了必要的修改和补充 LOGO 多媒体法 的全称为 信息与通信服务确立 基本规范的联邦法 该法律的优点优点在于 立法者既考虑到了要通过 立法防止滥用新的信息与服务手段危害青少年 身心健康的行为 同时又考虑到了要确保公民 能够一如既往地行使广泛自由和通信自由的权 利 本法案的推行目的目的是 为电子信息和通讯服务 的各种利用可能性规定统一的经济框架条件 LOGO 该法案适用于一切私人利用信号 图像 声音 等数据而提供的通过电信传输的电子信息和通 讯服务 电信服务 同时该法还明确提出了现在比较著名的法律 数字签名法 它为数字签名提供框架条件 这些条件下 数字签名被认为是可靠的 并且 能可靠地认出假的数字签名或者能识别初为着 的数字签名 LOGO 4 俄罗斯信息安全法律法规 俄罗斯对信息安全的管理也是非常重视的 它将对 信息安全管理的具体法律法规明确的写入了 俄罗 斯联邦刑法典 里 用以威慑和制止网络犯罪 俄罗斯1996年通过 1997年生效的新刑法典也以专 章 计算机信息领域的犯罪 为名对计算机犯罪作了规 定 LOGO 纵观欧洲各国在信息化领域的政策法律环境 除前文已 经概括的与美国的信息政策环境相同的一些特点 还具 备以下以下四个方面的特点 采取注重欧洲整体信息化推进 法制统一与充分发 挥各国特长和优势相结合的原则 从不同角度推进 信息化发展 利用欧洲一体化优势 协调各国的法制环境 为信 息化与贸易 交流等创造无障碍的法制环境 重视信息化发展过程中信息服务内容的管制和净 化 重视网络隐私权的保护 LOGO 2 3 日本日本 在亚洲国家中 日本的网络发展相对更为迅速 根据日本总务省的统计 2005年3月末日本互联网用户 数为7948万 互联网家庭普及率87 面对如此高普及率的互联网发展 近年来日本政府对有 关互联网信息安全管理及法律制度的研究兵出多路 除 内阁外 总务省 经济产业省 警察厅以及法务省 国 家公安委员会等均有相应举措 除此之外 其它各相关 省厅则依其主管事务 配合各相关法律制度的推动或研 究 LOGO 日本政府对互联网信息安全管理采取的是集中与多元并 存的管理机制 所以日本的互联网管理机构也并非一 家 涉及到的政府机构较多 主要有 总务省 经济产 业省 警察厅以及法务公正贸易委员会 法务省和内阁 官房等 自互联网在日本快速发展以来 日本政府在互联网信息 安全管理方面的做法发生了很大变化 上世纪90年代 实行 重行业自律 轻政府管理 的管理机制 但到2000 年后政府认识到互联网管理的重要性 注重互联网信息 安全立法工作 出台了一批有关互联网信息安全的新法 律法规 在立法模式上既在原有法律条文中修改 增加 互联网管理的内容 也根据互联网业务特点制定出新的 法律法规 LOGO 日本政府按照各机构各负其责的原则 根据各相关省厅 部委 的职能 职责 采取联合管理互联网的方式 凡涉及到网络犯罪问题均由警察厅负责立法起草工作和 执法 涉及到商务领域的问题由经济产业省负责立法起 草工作和执法 只有涉及到网络服务与内容提供等问题 才由总务省负责立法起草工作和执法 即在互联网管理 工作中 政府各部门有着较为明确的责任划分 其依据 是现行的政府职能 因此总务省 经济产业省和警察厅三个机构是互联网主 要管理部门 承担着与互联网管理相关的立法起草工作 和执法任务 其它各相关省厅根据各自的事务职责协同 推进互联网的管理工作 LOGO 日本法律体系概况日本法律体系概况 法律名称说明管制机构法律名称说明管制机构 1 刑法 刑法 1987年增加互联网相关内容 法务省 警察 厅 2 禁止非法链接法 禁止非法链接法 1999年法律第128号 针对盗用他人密码 等非法链接行为 总务省 经济 产业省 警察 厅 3 电子签名法 电子签名法 2000年法律第102号 规范了新生的电子 签名事务 总务省 法务 省 经济产业 省 4 特定电子商务法 特定电子商务法 2000年法律第126号 针对电子商务业务经济产业省 5 电子合同法 电子合同法 2001年法律第95号 根据 民法 制定的 消费者执行电子合同的法律规定 经济产业省 6 网络服务商责任法 网络服务商责任法 2001年法律第137号 明确业务提供商责 任 总务省 7 反垃圾邮件法 反垃圾邮件法 2002年法律第26号 针对垃圾邮件的规定总务省 8 色情网站管制法 色情网站管制法 2003年法律第83号 禁止18岁以下青少年 卖淫行为的管制 警察厅 9 个人信息保护法 个人信息保护法 2003年法律第119号 个人信息的有用性 和保护个人的权利 利益 内阁官房 总 务省 10 促进内容创作 保护及 应用法 促进内容创作 保护及 应用法 2004年法律第81号 促进内容的创作 保 护和应用 内阁官房 LOGO 反垃圾邮件法 反垃圾邮件法 全名是 特定电子邮件正当发送 法 由日本总务省于2002年5月颁布 同年7月1 日起实施 并于2005年11月做了部分补充修改 该 法针对近年来垃圾邮件的性质不断恶化 发信形式 更为巧妙等情况 扩大了特定电子邮件的范围 规 范了特定邮件发送的格式 明确了禁止条例和处罚 规则 制定该法的目的是 规范特定邮件正当发送的方 式 创造使用电子邮件的良好环境 使信息社会得 以健康发展 LOGO 电子合同法 电子合同法 的全名是 关于电子消费合同及电 子承诺通知的民法特例法 由日本经济产业省于 2001年发布 并于当年12月25日起实施 制定该法的目的是 根据电子合同的特点 制定基 于 民法 的贸易基本规则 其作用有以下3点 一是明确互联网市场的贸易规 则 二是与国际互联网规则相符 三是对消费者网 上交易纠纷采取有效措施 该法主要包括2项内容 一是建立电子消费合同的错误无效制度 二是明确 电子合同的生效期 LOGO 电子签名法 电子签名法 通过立法将电子商务等活动中运 用电子签名的手段规范化 实施该法的目的是真正确立电子签名的特别认证 业务及其它相关事项 确保电子签名的顺利进 行 促进电磁方式的信息流通与处理 该法有3个要点 确立电磁记录即电子文件生效的 判定 引入与认证业务相关的任意认定制度 引 入指定调查机构制度 LOGO 禁止非法链接法 禁止非法链接法 全名为 禁止非法链接行为法 由总 务省 经济产业省和警察厅于1999年8月联合发布 2000年 2月13日起实施 该法制定的目的是 为禁止非法链接行为 通过电信网对计 算机访问附加控制功能 采用访问控制策略来阻止犯罪行为 的重复与延续 规定刑事法律实现防止网络犯罪的目的 并 且通过首都或地方的公安委员会进行援助 维护通信网络的 良好秩序 使高度信息社会得以健康发展 该法的主要内容 一是对非法链接行为的界定 二是对网络 管理者采取的措施 三是国家公安委员会的支持 四是都道 府县等地方公安委员会的支持 LOGO 此外 日本在2000年正式实行 禁止不正当存取行为 法 以加强对网络黑客行为的处罚力度 对互联网的管理 日本主要通过因特网提供商行业自律 规范来监管 其主要标志是他们自发制定的 因特网事 业伦理准则 该 准则 要求因特网检索提供商与用 户签订禁止传递违法和有害信息的使用合同 准则 还规定服务公司应承担设置用户投诉窗口的义务 以解 决可能出现的纠纷和对因特网服务商进行约束 在日本这样一个伦理观念深厚的国家 主要用 伦理准 则 的准法律手段对互联网进行管理 很符合日本国 情 对我国也有启发意义 LOGO 2 4 新加坡新加坡 新加坡广播管理局 SBA 1996年7月宣布互联网 络实行管制 宣布实施分类许可证制度 新闻与艺术部还将成立一个 全国互联网络咨询 委员会 以便处理有关互联网络和电子信息服 务的事务 LOGO 2 5 各国密码管理政策各国密码管理政策 密码政策相关组织 1991 1995 1996 COCOM Coordination Committee for Multilateral Export Controls 常规武器和双重用途物品及技 术出口控制wassenaar 协约 OECD Organization for Economic Cooperation and Development LOGO COCOM 多边出口控制协调委员会 COCOM提供了一个协议 控制敏感技术的出口和处理 包括超级计算机 快速DSP芯片 密码 激光 精密 CNC磨制 加工设备等 拥有17个成员国 澳大利亚 比利时 加拿大 丹麦 法国 德国 希腊 意大利 日本 美国 主要目标 防止密码技术出口到它们认为的某些 危险 国 家 通常这些国家与恐怖组织保持友好关系 1991年 COCOM采用了常规软件记录 GSN 其实 际上是允许出口市场份额大的加密软件 包括公共领域 软件 COCOM在1994年3月解散 LOGO 常规武器和双重用途物品及技术出口控制 wassenaar协约 wassenaar 协约控制武器和双重用途的物品的出口 密码技术也是一种双重用途物品 协约中的规定大多数与COCOM所定制的规定相同 其条约的商定最终在1996年7月结束 并有31个国家 签署了该条约 阿根廷 澳大利亚 奥地利 比利时 加拿大 捷克 丹麦 芬兰 法国 德国 LOGO OECD 经济合作和发展组织 OECD拥有29个会员国 是一个旨在使工业化 民主政府研究和制定经济及社会政策的论坛和 国际组织 在1996年提出了关于密码技术政策的一些指导 方针 1997年3月发布一个新的版本 其中包括了关于 加密技术政策的8条基本原则 LOGO 关于加密技术政策的8条基本原则 加密方法应该是可信赖的 这样才会产生在信 息和通信系统中使用它们的信心 用户应该有权根据适用法律选择任何加密方法 加密方法的开发目标应该满足个人 企业和政 府 的需求和责任 加密方法的技术标准 类别和协议应该在国家 或国际级别上开发和发布 LOGO 关于加密技术政策的8条基本原则 续 在国家加密技术政策和加密方法的实现与使用中 应 该尊重个人隐私的基本权限 包括通信的保密性和个 人 数据的保护 国家加密技术政策可以允许合法地访问加密数据的普 通 文本和加密密钥 这些政策应该在最大限度上尊重 指导方针中所包含的其他原则 不管是以合同形式或法律形式建立 都必须清楚地阐 述提供加密服务和那些保存或访问加密密钥的个人或 实体的责任 各国政府应该相互合作以协调加密技术政策 作为这 种努力的一部分 各国政府应该清除或避免创建加密 政策名称 从而去除或避免不公平的贸易障碍 LOGO 世界主要国家的加密技术政策 国家国家出口出口 进口限制进口限制国内法律和法规国内法律和法规 法国 加密技术从EU和欧洲经济 区 EEA 之外的国家的 进口和出口根据1996年的 法律规定执行 并且下令 在1998年2月实现它 从 EU EEA范围内的进口不 变限制 不提供保密性的加密技术可 以不受限制的使用 只提供 身份验证的加密技术的供应 仍然需要申明 密钥长度小 于40位的加密技术的使用 如果其密文可以在最多240 次尝试之后破解 则可以不 需要申明或授权 LOGO 世界主要国家的加密技术政策 续 国家国家出口出口 进口限制进口限制国内法律和法规国内法律和法规 德国 根据EU规定和Wassenaar协约限 制出口 适应通用软件说明 因 此 市场相当大的或广泛可用的加 密软件在出口时不需要许可证 无 日本 其出口规定主要是实现Wassenaar 协约 根据各个具体情况做出决定 日本在1996年加强了其出口限制 现在企业对于大于50000日元的加 密技术的出口订单 都必须申请许 可证 无 LOGO 世界主要国家的加密技术政策 续 国家国家出口出口 进口限制进口限制国内法律和法规国内法律和法规 俄罗斯 进口国外制造的加密设备 需要获得许可证 加密技 术的出口受国家的严格控 制 1995年4月 叶利钦总统发布了 一条命令 禁止未经授权的加密 国有企业需要有许可证才能使用 加密技术 没有获得许可证 禁 止开发 实现或运行加密技术 新加坡 没有出口限制 Trade Development Board TDB 对于进口油限 制 要求人们在获得许可 证之后才能进口加密硬件 和软件 没有关于加密技术的立法 但 是 人们需要先从新加坡电信当 局 TAS 获得许可证之后 才 能在新加坡电信线路上发送加密 信息 没有获得TDB TAS的许 可 禁止销售加密产品 LOGO 世界主要国家的加密技术政策 续 国家国家出口出口 进口限制进口限制国内法律和法规国内法律和法规 韩国 韩国禁止进口加密设备 即使是银行 加密政策没有公开 在公众 电话交换网中提供的加密服 务是特别限制的 没有规定 限制加密技术的使用 美国 对于加密技术没有进口限 制 其加密技术出口限制 在本讲开始已经介绍 无 LOGO 世界主要国家的加密技术政策 续 国家国家出口出口 进口限制进口限制国内法律和法规国内法律和法规 不列颠 根据EU的双重用途规定限制出口 它包括加密软件到其他EU成员国的 出口 以无形方式 如通过Internet 出口的加密产品不受限制 因而如 果它没有出口到制裁国家并且遵循 Official Secrets Act 版权 专利和 合同 则可以自由地出口 无 加拿大 加拿大遵循Wassenaar规定 如果 出口项目包括在出口限制清单中 则它们的出口将可能受到限制 对 于到美国的进出口没有限制 无 LOGO 信息安全法规概述 国外信息安全法规体系 萨班斯法案简介 本 讲 提 纲 LOGO 3 萨班斯法案简介萨班斯法案简介 安然 ENRON 全球第一大能源交易商 总市值700 亿美元 在 财富500 中列美国第七 世界第十六 连续六年被 财富 杂志评选为美国最有创意公司 被 英国 金融时报 评为 年度能源公司奖 最大胆的成 功投资决策奖 美国人最爱任职的百大企业 安然事件引爆危机安然事件引爆危机 2001年11月下旬 安然承认自1997 年以来 通过非法手段虚报利润 5 86亿美元 在与关联公司内部交 易中 不断隐藏债务和损失 管理 员从中非法获益 消息传出 立刻 引起美国金融与商品交易市场的巨 大动荡 2001年12月2日 申请破产保护 LOGO 世界通信公司 WORLDCOM 美国第 二大长途电话和互联网数据传输公司 成 立后吞并70多家公司 创造了小鱼吃大鱼 的奇迹 拥有2千万个人顾客 数千个团体 客户 资产总值曾高达1153亿美元 估价 曾高达64美元 2002年6月25日 世通承认自2001年初到 2002年第一季度 通过将大量的费用支出 计入资本项目的手法 并虚增收入38亿美 元 虚增利润16亿多美元 2002年6月26日 世通股票停牌 此前股 票价仅为83美分 市值只剩下10亿美元 2002年7月21日 申请破产保护 世通紧接着轰然倒塌世通紧接着轰然倒塌 LOGO 安达信 ANDERSEN 曾是全球收入总 额最高且最具影响力的会计师事务所和财 务咨询公司 收入总额超过200亿美元 与 埃森哲分手后 2001年收入总额仍达93亿 美元 在全球有480多个分支机构 8 5万 员工 安达信最终也难逃厄运安达信最终也难逃厄运 正是安达信 为涉嫌造假的安然公司及世通 公司提供财务保教审计 2002年3月14日 美国司法部宣布对安达信提 出 妨碍司法 的指控 2002年6月15日 美国联邦大陪审团裁定安达 信妨碍司法罪成立 2002年8月底 安达信宣布停止在美国市场上 承担上市公司审计业务 LOGO 美国证交会主席哈维 皮特将世界通信公司会计造假案 安然事件 安达信解体和9 11事件并称为美国金融证券市场遭遇的 四大危 机 危机导致投资人信心丧失 导致公共市场严重衰退 动摇了公众 对会计师行业的信心 危机引起的一系列 多米骨牌 效应不啻是对 美国公司治理及证券业甚至于世界证券业的一个打击 在处理这些事件的过程中 法律的漏洞以及制度的缺陷显露无疑 公共急切呼唤信任回归 于是 美国证券交易委员会 SEC 协同美国国会展开行动 颁 布新的法律 美国会计丑闻影响极其深远美国会计丑闻影响极其深远 Accounting Scandals Public Markets Decline SEC Congress Respond Sarbanes Oxley Act LOGO 针对安然 世通等财务欺诈事件 美国国会出台 2002年公众公 司会计改革和投资者保护法案 Public Company Accounting Reform and Investor Protection Act of 2002 2002年美国颁布萨班斯法案年美国颁布萨班斯法案 该法案由美国众议院金融服务委员会主席 奥克斯利 Oxley 和参议员银行委员会 主席萨班斯 Sarbanes 联合提出 又名 萨班斯法案 简写为SOX法 该法案对美国 1933年证券法 1934年证券交易法 做了不少修订 在 会计职业监管 公司治理 证券市场监控 等方面做出了许多新的规定 2002年7月30日 美国总统布什签署生效 LOGO 法案的目的是根据美国证券法 通过提高公司信息披露的准确性 和可靠性 增加公司责任 为上市公司会计和审计的不适当行为 规定更