摘要:阐述了电子政务信息安全的立法理念,即应注重技术规范和法律规范的结合、预防机制和惩罚机制并重、电子政务信息安全和公民基本权利的平衡;论述了电子政务信息安全立法的模式选择,认为中国电子政务信息安全的立法模式应采用基本法,单行法和完善性法并存的综合模式;提出了对现行电子政务信息安全法进行立法优化的思路和建议,即电子政务信息安全立法的专门化、提高立法层级、完善法律责任条款以及加强立法的国际合作。
关键词:电子政务;信息社会;信息化;信息安全;立法
电子政务是指运用计算机、网络和通信等现代信息技术手段,实现政府组织结构和工作流程的优化重组,超越时间、空间和部门分隔的限制,建成一个精简、高效、廉洁、公平的政府运作模式,以方便全方位地向社会提供优质、规范、透明、符合国际水准的管理和服务。由于网络的开放性和共享性,电子政务带来政府流程的变革和高效运转的同时,也给政府信息的安全性带来极大的威胁,如计算机病毒、黑客攻击、垃圾邮件、网络犯罪等。为了保障电子政务信息安全,技术和法律同时发挥着基础性作用。自20世纪90年代以来,中国陆续出台了《计算机信息安全保护条例》《互联网信息服务管理办法》《电子签名法》等涉及信息安全的法律法规。为规范和加强信息安全发挥了积极的作用。而就电子政务信息安全这一领域而言,存在立法明显滞后、已有法律法规缺乏针对性等诸多立法问题。因此,迫切需要建立系统化、科学化的电子政务信息安全法律规范体系,以完善信息安全法制环境,促进电子政务的健康发展。
一、电子政务信息安全的立法理念
电子政务信息安全广泛涉及计算机软硬件系统、防火墙、病毒防范、网络、加密等高新技术。表面上看,似乎只要硬件高端、软件完备、管理到位,电子政务的信息安全就有足够的保障,这也是当前信息安全建设中相当一部分人的看法,至有学者指出,网络政策中最显著的变化恐怕要算技术在其中的角色转变:技术即法律。这也是中国电子政务信息安全立法滞后的深层原因之一。诚然,技术对人类生活的影响有着极其广泛和深远的社会现实。技术规范和法律规范一样,在实际生活中直接、强制地规定和控制人们的行为。相对于法律,技术作为社会规范拥有很多优势。法律实施在很大程度上必须依赖公共强制力,必须耗费相当数量的公共资源,并只在国家强制力可以到达的范围内有效。而技术作为社会规范可更为直接、准确、高效、经济地发挥作用,因为它不仅可以树立人们行为的准则,还可以使人们不得不根据这些准则行事,从而直接实现规范内容。在能够通过技术手段保障自己权益的情况下,人们对技术规范的需求会超过法律规范。在电子政务信息安全领域,对安全技术人员而言,他们的唯一目标就是建立一个“信息安全堡垒”以防范所有的安全威胁。而许多危害政府信息安全的行为是长期、大量存在的,技术手段高,升级换代快,防范的技术难度很大。要完全杜绝这些信息安全威胁,单凭被动的物理防御不是治本之策。在掌握和完善安全技术手段的同时,通过法律规范对危害电子政务信息安全的行为进行主动防御和控制才是问题的根本解决之道。法律的评价、预测和指引功能会使社会主体对自己行为的性质,以及行为可能产生的法律后果有一个清晰的认识,从而调整其行为以达到权利义务关系的平衡。因此,一方面,我们要赋予一部分普遍认可的、最有实效的安全技术规范以法律效力,形成技术性法律规范,即由国家制定和认可的,以技术指标为内容的法律规范,如信息安全认证标准。其目的在于避免安全技术水平参差不齐,安全技术方法和标准不一的现象发生,以实现安全技术手段运用的规范化和有效化。另一方面,以法律的强制力对非法获取电子政务信息的行为进行管控,使行为人承担不同类型的法律责任,使已受过处罚的行为人不敢再次违法,使潜在的行为人认识到行为后果的严重性,从而放弃可能的信息侵害行为。这也是当前中国电子政务安全立法的两个核心任务。
目前,关于电子政务信息安全的法律规范集中于《保密法》 《刑法》 《计算机信息网络国际互联网安全保护管理办法》等规范性文件中,多以禁止、处罚等义务性规范的形式出现,我们也可以将这类法律规范称为“消极规范”,即禁止行为人一定行为的规范。本质上是以“消极防御”的态势应对信息安全威胁。正如前文所述,当前的信息安全防范技术并非绝对可靠,一旦出现技术不及的情况,对电子政务系统造成的损害结果是不可逆的。因此电子政务信息安全法律规范应当贯彻“积极防御”的战略方针,预防和控制性的法律规范与传统“惩治”性的刑事法规范应处于同样重要的基础性地位。事实上,“预防为主,综合防范”本来即是信息安全法的一项基本原则,在法律规范的表现形式上更多的是一种“积极规范”,此类规范是鼓励各类法律主体积极开展合法的信息交流活动,从而促进电子政务健康发展的关键规则。在已有的与电子政务信息安全相关的规则中,“消极规范”已经很多,而“积极规范”相对欠缺。如《电子签名法》第20条规定,电子签名人向电子认证服务提供者申请电子签名认证证书,应当提供真实、完整和准确的信息,然而对如何保障信息的完整性尚缺乏立法层面的规范。在下一步立法活动中,应注意对消极规范加以整理和协调,使之不致成为妨碍电子政务建设的障碍。与此同时,应加大力度制定鼓励、调整法律主体积极参与合法、安全、有序的信息交流活动的积极法律规范。
电子政务信息安全法规体系是以信息技术规范为基础而构建,其工具意义甚于其他部门法。而我们也应该看到,法律作为以人为中心的利益平衡和价值判断机制,是工具理性和价值理性的统一体。电子政务信息安全立法不能仅仅关注信息技术的规范化应用,而忽视人权、正义等构成良善之法的基本价值要素。当前的电子政务安全立法在保障信息安全的同时,尤其要兼顾公民基本权利。世界各国的电子政务实践表明,在政府面临的信息安全威胁不断增多的同时,政府对公民的监控能力也在迅速加强。借助电子政务进行政府再造而形成的无缝隙政府一旦失去法律控制,将演变成对公民实行无缝隙专制的“理性魔鬼”。电子政务给公民基本权利保护造成了比以往任何时代都大的侵害危险,这是现代法治国家面临的最为严峻的挑战。目前涉及的主要问题是公民知情权的保护和隐私权的保护。与公民知情权相对应的就是政府的信息公开原则,这一原则要求政府不得以保护信息安全为由拒绝公民合法的信息给付请求权,以方便公民个人对公共事物的广泛参与和监督,实现政务的公开和透明。电子政务安全立法应充分保障公民知情权,对此虽然已制定了《政府信息公开条例》,但仍有完善的空间。另一方面,政府为了管理公共事物而收集、储存和使用大量的个人信息,则会产生公民隐私权的保护问题。由谁来界定隐私,如何确定隐私的范围,这些都要由立法加以明确,同时还要加重政府对于个人信息的保密责任,以切实保护公民的隐私权。
选择适当的立法模式是电子政务信息安全立法建设的重要一环。纵观电子政务立法较完善国家的立法案例,电子政务信息安全的立法模式可总结为以下几种类型:
一是基本法和单行法相结合的模式,以美国为代表。美国于1987年颁布的《计算机安全法》是涉及美国政府信息安全的基本法律,旨在加强美国联邦政府计算机系统敏感信息的安全和保密。1996年指定的《国家信息基础设施保护法案》 、1998年签署的《关于保护美国关键基础设施的第63号总统令》则是有关电子政务信息安全基础设施保护的单行法律法规。该模式的优点是体系清晰、内容全面、责任明确,便于条文的查找与适用;不过其立法任务较重。
二是分散立法模式,即以单行法为主的模式,以日本为代表。日本并没有电子政务信息安全方面的专门法典,而是出台了一系列相关的单行法律法规。2000年3月日本政府向国会提出了《电子签名与认证法案》,从而使电子签名具有同本人签字、盖章同等的法律效力;同年的7月和10月,日本政府又分别颁布了《有关信息安全对策的指针》和《为确保电子政府信息安全的行动计划》等法规。分散立法模式针对性强、重点突出,但缺乏系统性。
三是完善性立法的模式,以德国为代表。德国针对电子政务信息安全问题,在对原有法律进行确认的基础上,修改、补充、废除了不适当的法律条款。例如,在《刑法法典》第五十六条第一款中,“执行”一词后加入“或者在数据存储器上对公众开放” ;《治安法》诸多条款中也规定在“图像载体”一词后加入“数据储存器”一词;《报价法》中增加了在提供信息和通信服务方面的报价规定。该模式的优点是方便快捷,体现了一定的立法灵活性,但只是对现有规范的补充和完善,难免挂一漏万,不够全面。
综合以上三种立法模式各自的优缺点,结合中国的立法体例和法律传统,笔者认为中国的电子政务信息安全立法模式应采用基本法、单行法和完善性发并存的综合性模式,相对于上述三种模式,兼具系统性、全面性以及针对性,优势明显。第一,要制定一部名为《电子政务信息安全法》或者 《政府信息安全法》的基本法,以解决电子政务信息安全领域共通的、战略性的、根本性的、长远性的问题;作为基础性法律,该法既要包括电子政务信息安全管理的基本原则,也要做出电子政务信息安全的基本制度设计。第二,在基本法律出台之前,可以制定某些当前急需的单行法或专门法。这些单行法可以对一些亟待解决的电子政务信息安全问题,通过立法予以调整和规范,以逐步减少电子政务发展的障碍。诸如政府信息系统保护法、信息安全监管法、信息安全风险评估法、电子政务信息犯罪法、电子信息密码法等;此外,还要对政府信息网络的建设、管理、维护、内容和形式的规范进行必要的规定和约束,以保障政府信息网络的规范、安全运行。事实上,电子政务的安全管理可以通过安全评估、安全政策、安全标准和安全审计等四个环节加以规范并进而实现有效的管理。第三,对现有的电子政务信息安全法规予以修改、补充,以更好地应对日益严峻的信息安全威胁,以及时适应不断更新的信息安全技术,如现行的专门涉及电子政务信息安全的法规只有《刑法》的第二百八十五条和第二百八十六条,而简单的两条规定已经严重滞后于当前信息技术的发展,许多实践中出现的危害电子政务信息安全的违法行为刑法中还未涉及,已不能满足打击电子政务信息犯罪的需要。
从适用对象来看,现有的信息安全法律法规大部分是对所有涉及信息安全的法律权利义务关系予以调整,不论是权利主体还是义务主体,包括所有的自然人、法人和国家机关,因为这些法规强调的是适用的普遍性,并没有将国家机关列为单一的适用对象。从调整范围来看,中国现有的立法大多是对电子政务所依赖的计算机信息系统的安全进行保护的法律法规,这些立法对电子政务活动进行的是一种间接的保护,显然缺乏针对性。目前,中国对于信息化建设中的网络安全技术、安全产品认证、电子文档的安全保障等都没有或很少制定法律法规,使得中国电子政务信息安全的保障往往无法可依。因此,在今后的立法工作中,我们必须强调电子政务信息安全立法的专门化,明确国家机关在法律适用的主体地位,同时在立法内容上要有针对性,要重点突出。
应尽量避免用制定行政法规、地方性法规和部门规章的办法代替制定全国性法律。立法层次不高、相关立法分散是目前电子政务信息安全立法存在的主要问题之一。目前,中国涉及电子政务安全的法律很少,只有《保密法》《电子签名法》等几部法律,大多是行政法规和部门规章。一方面,当前这种由行政机关对电子政务信息安全进行立法的模式,固然有熟悉、专业的便利,但也因为“立法者为自己立法”而容易丧失中立性、公正性和权威性;另一方面,中国关于计算机信息系统安全保护的法规和强制性标准名目众多,相当分散,人们要了解有关情况,必须浏览、查找这些分散的立法,这给普法和执法带来了很大的不便,也不利于保护电子政务信息安全。电子政务信息安全的一个重要特点在于涉及互联网技术,因此对它的保障要求完全突破了地域界线。再加之对电子政务安全的管控必然会涉及犯罪和刑罚、对公民政治权利的剥夺和限制人身自由的强制措施和处罚、司法制度等事项,所以按《立法法》的规定只能制定“法律”。因此电子政务信息安全立法必须坚持全国统一,主要依靠法律来调整相应的法律关系。当然,制定法律的程序是相对复杂、耗时的,可由国务院或相关主管部门先行制定少量的行政法规和规章,以体现立法的科学性。
目前,关于违反电子政务信息安全法的法律责任条款主要在刑法和行政法规范中,其责任形式主要是刑事责任和行政责任。由于行政规范的数量远远大于刑法规范,实际上在法律责任的设置上主要是以行政责任为主,即有关电子政务信息安全的行政法规、规章只能根据《行政处罚法》来规定危害电子政务信息安全的行为所应承担的法律责任。然而,安全立法要有较大的威慑作用,才能确保电子政务信息的安全。行政处罚是以罚款和行政拘留为主要处罚形式,规制力度显然不够。由于低层次的重复立法偏多,立法活动缺乏统一规划,导致不同时间、不同部门制定的规章对行政处罚的方式和标准规定不一致,存在冲突。如在网络信息安全的管辖方面,《计算机信息系统安全保护条例》和《计算机网络信息国际互联网安全保护管理办法》均规定由公安机关管理和执罚,而《电信条例》和《互联网信息服务管理办法》又规定由电信机构管理执法,类似租用电信国际专线、私接设备擅自经营电信业务行为将面临电信管理机构和公安机关的双重执法。刑事责任的规定仅见于《刑法》第二百八十五条和第二百八十六条,已经滞后于计算机网络信息技术的发展,不足以打击很多常见的网络攻击行为。例如,拒绝服务攻击(DDOS),就不能满足惩治电子政务信息犯罪的需要。总的来看,目前对法律责任的规定总体上处罚过轻,不利于震慑违法犯罪行为,削弱了法律的威慑力。为保证电子政务信息安全法律应有的效力,必须规定适当的相对严厉的法律责任承担形式。
互联网的开放性和跨国界性使得人们在网络上自由获取信息的同时,也面临着更为复杂的安全问题,如泄密与窃密、“黑客”破坏、病毒、网络战争等。而随着国际恐怖主义活动的日益猖獗,恐怖分子利用互联网攻击政府信息基础设施,将网络作为组织策划恐怖袭击活动的有效工具,这些问题严重威胁着中国在内的许多国家的政府信息安全,不是一个国家制定几部法律就能完全制止和避免的。到目前为止,最为常见的合作是通过合作强化控制,借以实现保障国家信息安全的目的,亦即通过加强特定的国家行为体之间的合作,共同应对来自非国家行为体的挑战,实现共同的国家信息安全。如2001年,欧洲委员会近30个成员国和4个伙伴国家(美国、加拿大、日本和南非)共同签署了《计算机犯罪公约》。该公约是国际社会合作打击网络犯罪的第一个国际多边公约,其主要目标是加强打击网络犯罪的国际合作,在缔约方之间建立共同一致的法律政策和法律体系。因此,中国的电子政务信息安全立法必须要具有国际化的视野,要积极探索国际合作的模式,要特别注意与现有的国际规则的兼容,要积极主动地参与国际规则的创设,主动融入国际信息安全的大环境,这样才能更好地维护中国的国家信息安全和国家利益。
本文摘抄于《电子政务》
