我国信息安全法律环境与电子签名法综述.ppt

我国信息安全法律环境与电子签名法中国电子商务协会政策法律委员会副主任阿拉木斯2005 8月 目录 一 我国信息安全的法律环境1 我国信息安全法律体系的主要特点 5个 2 我国信息安全法律体系的发展过程 3个阶段 3 我国信息安全法律体系的发展二 电子签名法实施中的若干问题1 电子签名法 第一案 2 电子签名法的适用范围3 电子签名的管理模式4 电子签名的形式三 信息安全法律与电子商务法律的基本关系 一 我国信息安全的法律环境 1 我国信息安全法律体系的主要特点 1 信息安全法律法规体系初步形成中国信息协会信息安全专业委员会课题研究项目显示 目前我国现行法律法规及规章中 与信息安全直接相关的是65部 它们涉及网络与信息系统安全 信息内容安全 信息安全系统与产品 保密及密码管理 计算机病毒与危害性程序防治 金融等特定领域的信息安全 信息安全犯罪制裁等多个领域 在文件形式上 有法律 有关法律问题的决定 司法解释及相关文件 行政法规 法规性文件 部门规章及相关文件 地方性法规与地方政府规章及相关文件多个层次 其中 全面规范信息安全的法律法规有18部 包括94年的 中华人民共和国计算机信息系统安全保护条例 等法规 也包括2003年的 广东省计算机信息系统安全保护管理规定 等地方法规 侧重于互联网安全的有7部 包括2000年 全国人民代表大会常务委员会关于维护互联网安全的决定 等法律层面的文件 也包括97年的 计算机信息网络国际联网安全保护管理办法 等部门规章 侧重于信息安全系统与产品的有3部 包括97年的 计算机信息系统安全专用产品检测和销售许可证管理办法 等部门规章 侧重于保密的有10部 既包括89年的 中华人民共和国保守国家秘密法 等法律 也包括98年的 计算机信息系统保密管理暂行规定 等部门规章 侧重于密码管理及应用的有5部 包括99年的 商用密码管理条例 等法规 也包括2005年的 电子认证服务管理办法 等部门规章 侧重于计算机病毒与危害性程序防治的有9部 包括2000年的 计算机病毒防治管理办法 等部门规章 也包括94年的 北京市计算机信息系统病毒预防和控制管理办法 等地方法规或规章 侧重于特定领域信息安全的有9部 包括98年的 金融机构计算机信息安全保护工作暂行规定 等部门规章 也包括2003年的 广东省电子政务信息安全管理暂行办法 等地方法规或规章 侧重于信息安全监管的有3部 包括2004年的 上海市信息系统安全测评管理办法 等地方法规或规章 侧重于信息安全犯罪处罚的主要是我国刑法第285条 286条 287条等相关规定 总体来看 这些信息安全法律法规或多或少所体现的我国信息安全的基本原则可以简单归纳为国家安全 单位安全和个人安全相结合的原则 等级保护的原则 保障信息权利的原则 救济原则 依法监管的原则 技术中立原则 权利与义务统一的原则 而基本制度可以简单归纳为统一领导与分工负责制度 等级保护制度 技术检测与风险评估制度 安全产品认证制度 生产销售许可制度 信息安全通报制度 备份制度等 2 与信息安全相关的司法和行政管理体系迅速完善有了 中华人民共和国刑法 第217 218 285 286 287 288条 全国人民代表大会常务委员会关于维护互联网安全的决定 中华人民共和国计算机信息系统安全保护条例 电信条例 互联网信息服务管理办法 等法律依据 有了 最高人民法院最高人民检察院关于办理利用互联网 移动通讯端 声讯台制作 复制 出版 贩卖 传播 淫秽电子信息刑事案件具体应用法律若干问题的解释 等司法解释 一些危害信息安全的案例迅速得到裁判 震慑了违法犯罪分子 维护了计算机信息网络的正常秩序 经过多年的工作 在我国信息安全行政管理方面 信息安全保障体系建设也已初见成效 与信息安全法律法规体系相配套的标准体系建设 应急处理体系建设 等级保护体系建设 电子认证体系建设 安全测评体系建设 计算机病毒疫情调查和控制体系建设以及违法和不良信息举报制度建设等都得到较快的发展 为电子政务 电子商务及信息化做出了贡献 3 目前法律规定中法律少而规章等偏多 缺乏信息安全的基本法虽然可以说目前我国信息安全的法律体系已初步形成 但还很不成熟 在这一体系中 部门规章 地方法规及规章等占了绝大多数 而法律 法规只占到65部中的8部 为12 部门规章 地方法规及规章等效力层级较低 适用范围有限 相互之间可能产生冲突 也不能作为法院裁判的依据 直接影响了这些措施的效果 并且十分关键的是 目前我们还没有一部信息安全的基本法 对于信息安全的基本法 我们理解为一部确立信息安全的基本原则 基本制度及一些核心内容的法律 而我们前面提到的很多规定都应是从这部法律的基本框架中延伸出来的 只有有了这部法律 我们的信息安全法律体系才能说是有了主干 国外类似的法律如美国2002年的 联邦信息安全管理法 87年的 计算机安全法案 俄罗斯95年的 联邦信息 信息化和信息保护法 等 4 相关法律规定篇幅偏小 行为规范较简单我国现有信息安全相关法律规定普遍存在的问题是篇幅较小 规定得比较笼统 比如 全国人民代表大会常务委员会关于维护互联网安全的决定 共7条 中华人民共和国计算机信息系统安全保护条例 共31条 中华人民共和国计算机信息网络国际联网管理暂行规定 共17条 计算机信息网络国际联网安全保护管理办法 公安部 共25条 互联网信息服务管理办法 共27条 商用密码管理条例 共27条 计算机信息系统国际联网保密管理规定 国家保密局 共20条 计算机病毒防治管理办法 公安部 为22条 此外 总体看来 目前这些法律法规主要存在三个方面有待完善的地方 第一 这些法律法规主要内容集中在对物理环境的要求 行政管理的要求等方面 对于涉及信息安全的行为规范一般都规定的比较简单 在具体执行上指引性还不是很强 第二 目前这些法律法规普遍在处罚措施方面规定得不够具体 导致在信息安全领域实施处罚时法律依据的不足 第三 在一些特定的信息化应用领域 如电子商务 电子政务 网上支付等 相应的信息安全规范相对欠缺 有待于进一步发展 5 与信息安全相关的其他法律有待完善在建立健全信息安全法律体系的同时 与信息安全相关的其他法律法规的出台和完善也非常必要 如电信法 个人数据保护法等 这些法律法规与信息安全法律体系一起构成我国信息安全大的法律环境并且互为支撑 缺一不可 首先 从权利的角度看 信息安全中涉及的个人权利主要包括通信秘密 言论自由 隐私权 著作权及相关知识产权 而与通信秘密 言论自由相关的法律是宪法 国家安全法和警察法 与隐私权相关的法律是民法通则 与著作权及相关知识产权相关的法律是著作权法 合同法 此外 还可能涉及的法律有行政许可法 行政处罚法和国家赔偿法 信息安全中涉及的单位的权利主要包括商业秘密 技术秘密 著作权及相关知识产权等 而与商业秘密 技术秘密相关的法律有反不正当竞争法 技术合同法 与著作权及相关知识产权相关的法律有著作权法 合同法 此外 还可能涉及的法律有行政许可法 行政处罚法和国家赔偿法 再从国家的角度看 信息安全涉及国家安全 保密和金融安全等 与国家安全相关的法律是国家安全法 与保密相关的法律是保守国家秘密法 与金融安全相关的法律是银行法 其次 从应用的角度看 与信息安全相邻或相交的领域包括 电信 无线电 集成电路 计算机软件与系统集成 网络及网络信息服务 电子商务与现代物流 电子政务 信息资源公开与利用等 在这些领域我们又可以看到电信条例 无线电管理条例 集成电路布图设计保护条例 计算机软件保护条例 中华人民共和国计算机信息网络国际联网管理暂行规定 互联网信息服务管理办法 互联网上网服务营业场所管理条例 电子签名法等一系列法律 法规 部门规章及地方法规 规章 2 我国信息安全法律体系的发展过程 虽然早在91年劳动部就出台了 全国劳动管理信息计算机系统病毒防治规定 但那时类似信息安全法规和规定还是非常少的 这一局面到1994年2月18日有了根本转变 这一天国务院颁布了 中华人民共和国计算机信息系统安全保护条例 该条例规定了计算机信息系统安全保护的主管机关 安全保护制度 安全监管等 从94年以后 我国信息安全法律法规体系进入了初步建设的阶段 一大批相关法律法规先后出台 如 计算机信息网络国际联网安全保护管理办法 公安部 计算机信息系统保密管理暂行规定 国家保密局 商用密码管理条例 金融机构计算机信息安全保护工作暂行规定 等 而2000年12月28日 全国人民代表大会常务委员会关于维护互联网安全的决定 的出台又代表着我国信息安全法律体系建设进入了一个新的阶段 全国人民代表大会常务委员会关于维护互联网安全的决定 规定了一系列禁止利用互联网从事的危害国家 单位和个人合法权益的活动 这个阶段的标志就是更加重视网络及互联网的安全 也更加重视信息内容的安全 这一阶段的法律法规有 互联网信息服务管理办法 计算机信息系统国际联网保密管理规定 国家保密局 计算机病毒防治管理办法 公安部 等 2003年7月国家信息化领导小组第三次会议通过了 国家信息化领导小组关于加强信息安全保障工作的意见 中办发 2003 27号 则标志着我国信息安全法律体系的建设进入一个更高的阶段 该意见明确了加强信息安全保障工作的总体要求和主要原则 确定了实行信息安全等级保护 加强以密码技术为基础的信息保护和网络信任体系建设 建设和完善信息安全监控体系等工作重点 使得我国信息安全法律体系的建设进入了目标明确的新阶段 这一阶段 有代表性的法律法规包括 电子签名法 电子认证服务管理办法 证券期货业信息安全保障管理暂行办法 广东省电子政务信息安全管理暂行办法 上海市信息系统安全测评管理办法 北京市信息安全服务单位资质等级评定条件 试行 等 等 3 我国信息安全法律体系的发展 对于下一步我国信息安全法律环境的发展 根据前文的分析 完全从学术的角度 我们不妨做一个简单的预测 一方面我们需要一部信息安全的基本法 另一方面与信息化相关的法律也亟待完善 如电信法 个人数据保护法等 在具体内容上 目前我国信息安全法律范畴比较薄弱或需要提高规定的层级的环节主要可以概括为 信息安全的基本原则与制度 信息安全的监管模式 信息安全的等级保护 网络与信息系统的建设与运行中的信息安全 信息内容安全 信息安全预警通报和应急处理 特定领域的信息安全 电子政务与电子商务 信息或信息财产的基本法律地位 个人信息保护的基本规范 政府信息公开中的相关信息安全问题等 二 电子签名法实施中的若干问题 1 电子签名法 第一案 今年7月 北京海淀区人民法院审理了一起以手机短信息为主要证据形式的债务纠纷 被称为目前我国第一例援引电子签名法裁判的案例 在该案中 手机短信息作为一种数据电文 其证据效力成为了本案的关键点 对此 法院认为 依据2005年4月1日起施行的 中华人民共和国电子签名法 中的规定 电子签名是指数据电文中以电子形式所含 所附用于识别签名人身份并表明签名人认可其中内容的数据 数据电文是指以电子 光学 磁或者类似手段生成 发送 接收或者储存的信息 移动电话短信息即符合电子签名 数据电文的形式 同时移动电话短信息能够有效的表现所载内容并可供随时调取查用 能够识别数据电文的发件人 收件人以及发送 接收的时间 经本院对原告提供的移动电话短信息生成 储存 传递数据电文方法的可靠性 保持内容完整性方法的可靠性 用以鉴别发件人方法的可靠性进行审查 可以认定该移动电话短信息内容作为证据的真实性 根据证据规则的相关规定 录音录像及数据电文可以作为证据使用 但数据电文可以直接作为认定事实的证据 还应有其它书面证据相佐证 2 电子签名法的适用范围 在我国电子签名法第三条和第二十五条中 对电子签名在涉及人身关系 不动产 公用事业及电子政务中的应用做了一定的保留 而以调整民商事法律关系为主 然而 在实际应用中 从目前的情况看 B2C C2C电子商务领域应用电子签名还非常困难 倒是在网上报税等面向公众的电子政务领域 网上缴费等公用事业服务领域 我们已经看到一些电子签名应用的事例 而据中国电子学会2004年的统计 目前80 的电子签名证书是应用在电子政务上的 还有 在不动产领域 我们已经看到 我国的上海 杭州 厦门 郑州已先后出台了商品房销售合同网上登记备案管理办法 这些现象值得我们认真反思 3 电子签名的管理模式 在电子签名的管理上 主要涉及两个方面的问题 一个是印章的管理 一个是密码的管理 在印章的管理上 目前我国的印章体系是由公安部门管理的 有一套延用了几十年的规范和管理体系 而依据电子签名法 我国电子签名的管理主要是由信息产业部门负责的 当然这是符合国际惯例的做法 本身是没有什么问题的 问题主要出在印章和电子签名本身一定会产生交叉 这是无法避免的 典型的例子就是电子印章 它既是电子签名 也是印章 而类似的应用今后只会更多而不是更少 所以我们建议我们的管理模式今后在处理类似管理交叉或重合的问题上还是要有充分的准备 另一方面 电子签名的核心是密码技术 但我国密码技术的市场化应用还只是刚刚起步 我们在对密码技术的商用 个人使用的管理上还基本没有什么经验可言 我国还是目前世界上少数几个对密码技术使用进行专控管理的国家之一 密码的生产 销售 使用还都还罩着一层神秘的面纱 这与电子签名的推广应用的要求还相去甚远 4 电子签名的形式 我国电子签名法第二条 本法所称电子签名 是指数据电文中以电子形式所含 所附用于识别签名人身份并表明签名人认可其中内容的数据 第十三条 当事人也可以选择使用符合其约定的可靠条件的电子签名 这两条告诉我们 我国电子签名法认可的电子签名是一个非常广的范畴 绝非数字签名一种 但我们发现有些人一