時間:2023-03-23 15:20:48
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇信息安全法律法規論文范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
人類進入21世紀,現代信息技術迅猛發展,特別是網絡技術的快速發展,互聯網正以其強大的生命力和巨大的信息提供能力和檢索能力風靡全球.
網絡已成為人們尤其是大學生獲取知識、信息的最快途徑.網絡以其數字化、多媒體化以及虛擬性、學習性等特點不僅影響和改變著大學生的學習方式生活方式以及交往方式,而且正影響著他們的人生觀、世界觀、價值取向,甚至利用自己所學的知識進行網絡犯罪,所有這些使得高師學生思想政治工作特別是從事網絡教學、實踐的計算機專業的教育工作者來說,面臨著前所未有的機遇和挑戰,這不僅因為,自己一方面要傳授學生先進的網絡技術,另一方面也要教育學生不要利用這些技術從事違法活動而從技術的角度來看,違法與不違法只是一兩條指令之間的事情,更重要的是高師計算機專業學生將來可能成為老師去影響他的學生,由此可見,在高師計算機專業學生中開設與信息安全有關的法律法規課程有著十分重要的意義.如何抓住機遇,研究和探索網絡環境下的高師計算機專業學生信息安全法律法規教學的新特點、新方法、新途徑、新對策已成為高師計算機專業教育者關心和思考的問題.本文主要結合我校的實際,就如何在高師計算機專業中開設信息安全法律課程作一些探討.
1現有的計算機專業課程特點
根據我校人才培養目標、服務面向定位,按照夯實基礎、拓寬專業口徑、注重素質教育和創新精神、實踐能力培養的人才培養思路,溝通不同學科、不同專業之間的課程聯系.全校整個課程體系分為“通識教育課程、專業課程(含專業基礎課程、專業方向課程)、教師教育課程(非師范除外)、實踐教學課程”四個大類,下面僅就計算機專業課程的特點介紹.
1.1專業基礎課程專業基礎課是按學科門類組織的基礎知識課程模塊,均為必修課.目的是在大學學習的初期階段,按學科進行培養,夯實基礎,拓寬專業口徑.考慮到學科知識體系、學生轉專業等需要,原則上各學科大類所涵蓋的各專業的學科專業基礎課程應該相同.主要內容包括:計算機科學概論、網頁設計與制作、C++程序設計、數據結構、操作系統等.
1.2專業方向課程各專業應圍繞人才培養目標與規格設置主要課程,按照教育部《普通高等學校本科專業目錄》的有關要求,結合學校實際設置必修課程和選修課程.同時可以開設2—3個方向作為限選.學生可以根據自身興趣和自我發展的需要,在任一方向課程組中選擇規定學分的課程修讀.主要內容包括:計算機網絡、匯編語言程序設計、計算機組成原理、數據庫系統、軟件工程導論、軟件工程實訓、計算機系統結構等.
1.3現有計算機專業課程設置的一些不足計算機技術一日千里,對于它的課程設置應該具有前瞻性,考慮到時代的變化,計算機應用專業旨在培養一批適合現代軟件工程、網絡工程發展要求的軟件工程、網絡工程技術人員,現有我校的計算機專業課程是針對這一目標進行設置的,但這一設置主要從技術的角度來考慮問題,沒有充分考慮到:隨著時代的發展,人們更廣泛的使用網絡、更關注信息安全這一事實,作為計算機專業的學生更應該承擔起自覺維護起信息安全的責任,作為高師計算機專業的課程設置里應該考慮到教育學生不得利用自己所學的技術從事不利于網絡安全的事情.
2高師計算機專業學生開設信息安全法律法規的必要性和可行性
2.1必要性信息安全學科群體系由核心學科群、支撐學科群和應用學科群三部分構成,是一個“以信息安全理論為核心,以信息技術、信息工程和信息安全等理論體系為支撐,以國家和社會各領域信息安全防護為應用方向”的跨學科的交叉性學科群體系.該學科交叉性、邊緣性強,應用領域面寬,是一個龐大的學科群體系,涉及的知識點也非常龐雜.
僅就法學而言,信息安全涉及的法學領域就包括:刑法(計算機犯罪,包括非法侵入計算機信息系統罪、故意制作傳播病毒等)、民商法(電子合同、電子支付等)、知識產權法(著作權的侵害、信息網絡傳播權等)等許多法學分支.因此,信息安全教育不是一項單一技術方面的教育,加強相關法律課程設置,是信息安全學科建設過程中健全人才培養體系的重要途徑與任務.
高師計算機專業,雖然沒有開設與信息安全專業一樣多與信息安全的有關技術類課程.但這些專業的學生都有從事網絡工程、軟件工程所需要的基本編程能力、黑客軟件的使用能力,只要具備這些能力且信息安全意識不強的人,都可能有意識或無意識的干出違反法律的事情,例如“YAI”這個比CIH還兇猛的病毒的編寫者為重慶某大學計算機系一名大學生.由此可見,在高師計算機專業的學生中開設相關的法律法規選修課程是必要的.
2.2可行性技術與法律原本并不關聯,但是在信息安全領域,技術與法律卻深深的關聯在一起,在全世界各國都不難發現諸如像數字簽名、PKI應用與法律體系緊密關聯.從本質上講,信息安全對法律的需求,實際上來源于人們在面臨信息技術革命過程中產生的種種新可能的時候,對這些可能性做出選擇揚棄、利益權衡和價值判斷的需要.這也就要求我們跳出技術思維的影響,重視信息安全中的法律范疇.
根據前面對信息安全法律法規內容的特點分析可知:信息安全技術與計算機應用技術有著千絲萬縷的聯系.從事計算機技術的人員很容易轉到從事信息安全技術研究上,加之信息安全技術是當今最熱門技術之一,因此,在高師計算機專業中開設一些基本的信息安全技術選修課程、開設一些與法律體系緊密關聯的信息安全法律法規選修課程學生容易接受,具有可操作性.
3信息安全技術課程特點
信息安全技術課程所涉及的內容眾多,有數學、計算機、通信、電子、管理等學科,既有理論知識,又有實踐知識,理論與實踐聯系十分緊密,新方法、新技術以及新問題不斷涌現,這給信息安全課程設置帶來了很大的難度,為使我校計算機專業學生了解、掌握這一新技術,我們在專業課程模塊中開設《密碼學基礎》、《網絡安全技術》、《入侵檢測技術》等作為專業選修課.我校本課程具有以下特點:
(1)每學期都對知識內容進行更新.
(2)對涉及到的基本知識面,分別采用開設專業課、專業選修課、講座等多種方式,讓學生了解信息安全知識體系,如有操作系統、密碼學基礎、防火墻技術、VPN應用、信息安全標準、網絡安全管理、信息安全法律課程等.
(3)對先修課程提出了較高的要求.學習信息安全技術課程之前,都可設了相應的先行課程讓學生了解、掌握,如開設了計算機網絡基本原理、操作系統、計算機組成原理、程序設計和數論基礎等課程.
(4)注重實踐教學.比如密碼學晦澀難懂的概念,不安排實驗實訓,不讓學生親手去操作,就永遠不能真正理解和運用.防火墻技術只有通過親手配置和測試.才能領會其工作機理.對此我們在相關的課程都對學生作了實踐、實訓的要求.
4涉及到信息安全法律法規內容的特點
信息安全的特點決定了其法律、法規內容多數情況下都涉及到網絡技術、涉及到與網絡有關的法律、法規.
4.1目的多樣性作為信息安全的破壞者,其目的多種多樣,如利用網絡進行經濟詐騙;利用網絡獲取國家政治、經濟、軍事情報;利用網絡顯示自己的才能等.這說明僅就破壞者方面而言的信息安全問題也是復雜多樣的.
4.2涉及領域的廣泛性隨著網絡技術的迅速發展,信息化的浪潮席卷全球,信息化和經濟全球化互相交織,信息在經濟和社會活動中的作用甚至超過資本,成為經濟增長的最活躍、最有潛力的推動力.信息的安全越來越受到人們的關注,大到軍事政治等機密安全,小到防范商業企業機密泄露、青少年對不良信息的瀏覽、個人信息的泄露等信息安全問題涉及到所有國民經濟、政治、軍事等的各個部門、各個領域.
4.3技術的復雜性信息安全不僅涉及到技術問題,也涉及到管理問題,信息安全技術又涉及到網絡、編碼等多門學科,保護信息安全的技術不僅需要法律作支撐,而且研究法律保護同時,又需要考慮其技術性的特征,符合技術上的要求.
4.4信息安全法律優先地位綜上所述,信息安全的法律保護不是靠一部法律所能實現的,而是要靠涉及到信息安全技術各分支的信息安全法律法規體系來實現.因此,信息安全法律在我國法律體系中具有特殊地位,兼具有安全法、網絡法的雙重地位,必須與網絡技術和網絡立法同步建設,因此,具有優先發展的地位.
5高師信息安全技術課程中的法律法規內容教學目標
對于計算機專業或信息安全專業的本科生和研究生,應深入理解和掌握信息安全技術理論和方法,了解所涉到的常見的法律法規,深入理解和掌握網絡安全技術防御技術和安全通信協議.
而對普通高等師范院校計算機專業學生來說,由于課程時間限制,不能對信息安全知識作較全面的掌握,也不可能過多地研究密碼學理論,更不可能從法律專業的角度研究信息安全所涉到的法律法規,為此,開設信息安全法律法規課程內容的教學目標定位為:了解信息安全技術的基本原理基礎上,初步掌握涉及網絡安全維護和網絡安全構建等技術的法律、法規和標準.如:《中華人民共和國信息系統安全保護條例》,《中華人民共和國數字簽名法》,《計算機病毒防治管理辦法》等.
6高師信息安全技術法律法規課程設置探討
根據我校計算機專業課程體系結構,信息安全有關的法律法規課程,其中多數涉及信息安全技術層面,主要以選修課、講座課為主,作為信息安全課程的補充.主要可開設以下選修課課程或講座課程.
(1)信息安全法律法規基礎講座:本講座力圖改變大家對信息安全的態度,使操作人員知曉信息安全的重要性、企業安全規章制度的含義及其職責范圍內需要注意的安全問題,讓學生首先從信息安全的非技術層面了解與信息安全有關的法律、法規,主要內容包括:國內信息安全法律法規概貌、我國現有信息安全相關法律法規簡介等.
(2)黑客攻擊手段與防護策略:通過本課程的學習,可以借此提高自己的安全意識,了解常見的安全漏洞,識別黑客攻擊手法,熟悉提高系統抗攻擊能力的安全配置方法,最重要的還在于掌握一種學習信息安全知識的正確途徑和方法.
(3)計算機犯罪取證技術:計算機取證是計算機安全領域中的一個全新的分支,涉及計算機犯罪事件證據的獲取、保存、分析、證物呈堂等相關法律、程序、技術問題.本課程詳細介紹了計算機取證相關的犯罪的追蹤、密碼技術、數據隱藏、惡意代碼、主流操作系統取證技術,并詳細介紹了計算機取證所需的各種有效的工具,還概要介紹了美國與中國不同的司法程序.
論文摘要:世界已進入了信息化時代,信息化和信息產業發展水平已成為衡量一個國家綜合國力的重要標準。但由于信息資源不同于其他資源的特殊性質,如何保證信息的安全性成為我國信息化建設過程中需要解決的重要問題。
論文關鍵詞:信息安全;保護
信息安全包括以下內容:真實性,保證信息的來源真實可靠;機密性,信息即使被截獲也無法理解其內容;完整性,信息的內容不會被篡改或破壞;可用性,能夠按照用戶需要提供可用信息;可控性,對信息的傳播及內容具有控制能力;不可抵賴性,用戶對其行為不能進行否認;可審查性,對出現的網絡安全問題提供調查的依據和手段。與傳統的安全問題相比,基于網絡的信息安全有一些新的特點:信息安全威脅主要來源于自然災害、意外事故;計算機犯罪;人為錯誤,比如使用不當,安全意識差等;“黑客”行為;內部泄密;外部泄密;信息丟失;電子諜報,比如信息流量分析、信息竊取等;信息戰;網絡協議自身缺陷,等等。
1我國信息安全的現狀
近年來,隨著國家宏觀管理和支持力度的加強、信息安全技術產業化工作的繼續進行、對國際信息安全事務的積極參與以及關于信息安全的法律建設環境日益完善等因素,我國在信息安全管理上的進展是迅速的。但是,由于我國的信息化建設起步較晚,相關體系不完善,法律法規不健全等諸多因素,我國的信息化仍然存在不安全問題。
①網絡安全的防護能力較弱。我國的信息化建設發展迅速,各個企業紛紛設立自己的網站,特別是“政府上網工程”全面啟動后,各級政府已陸續設立了自己的網站,但是由于許多網站沒有防火墻設備、安全審計系統、入侵監測系統等防護設備,整個系統存在著相當大的信息安全隱患。美國互聯網安全公司賽門鐵克公司2007年發表的報告稱,在網絡黑客攻擊的國家中,中國是最大的受害國。
②對引進的國外設備和軟件缺乏有效的管理和技術改造。由于我國信息技術水平的限制,很多單位和部門直接引進國外的信息設備,并不對其進行必要的監測和改造,從而給他人入侵系統或監聽信息等非法操作提供了可乘之機。
③我國基礎信息產業薄弱,核心技術嚴重依賴國外,缺乏自主創新產品,尤其是信息安全產品。我國信息網絡所使用的網管設備和軟件基本上來自國外,這使我國的網絡安全性能大大減弱,被認為是易窺視和易打擊的“玻璃網”。由于缺乏自主技術,我國的網絡處于被竊聽、干擾、監視和欺詐等多種信息安全威脅中,網絡安全處于極脆弱的狀態。
除此之外,我國目前信息技術領域的不安全局面,也與西方發達國家對我國的技術輸出進行控制有關。
2我國信息安全保護的策略
針對我國信息安全存在的問題,要實現信息安全不但要靠先進的技術,還要有嚴格的法律法規和信息安全教育。
①加強全民信息安全教育,提高警惕性。從小做起,從己做起,有效利用各種信息安全防護設備,保證個人的信息安全,提高整個系統的安全防護能力,從而促進整個系統的信息安全。
②發展有自主知識產權的信息安全產業,加大信息產業投入。增強自主創新意識,加大核心技術的研發,尤其是信息安全產品,減小對國外產品的依賴程度。
③創造良好的信息化安全支撐環境。完善我國信息安全的法規體系,制定相關的法律法規,例如信息安全法、數字簽名法、電子信息犯罪法、電子信息出版法、電子信息知識產權保護法、電子信息個人隱私法、電子信息進出境法等,加大對網絡犯罪和信息犯罪的打擊力度,對其進行嚴厲的懲處。
論文提要:當今世界已進入了信息化時代,信息化和信息產業發展水平已成為衡量一個國家綜合國力的重要標準。黨的十七大明確提出了一條“以信息化帶動工業化,以工業化促進信息化”的具有中國特色的信息化道路。信息資源隨之成為社會資源的重要組成部分,但由于信息資源不同于其他資源的特殊性質,如何保證信息的安全性和保密性成為我國信息化建設過程中需要解決的重要問題。
一、信息化的內涵、信息資源的性質及信息的安全問題
“信息化”一詞最早是由日本學者于20世紀六十年代末提出來的。經過40多年的發展,信息化已成為各國社會發展的主題。
信息作為一種特殊資源與其他資源相比具有其特殊的性質,主要表現在知識性、中介性、可轉化性、可再生性和無限應用性。由于其特殊性質造成信息資源存在可能被篡改、偽造、竊取以及截取等安全隱患,造成信息的丟失、泄密,甚至造成病毒的傳播,從而導致信息系統的不安全性,給國家的信息化建設帶來不利影響。因此,如何保證信息安全成為亟須解決的重要問題。
信息安全包括以下內容:真實性,保證信息的來源真實可靠;機密性,信息即使被截獲也無法理解其內容;完整性,信息的內容不會被篡改或破壞;可用性,能夠按照用戶需要提供可用信息;可控性,對信息的傳播及內容具有控制能力;不可抵賴性,用戶對其行為不能進行否認;可審查性,對出現的網絡安全問題提供調查的依據和手段。與傳統的安全問題相比,基于網絡的信息安全有一些新的特點:
一是由于信息基礎設施的固有特點導致的信息安全的脆弱性。由于因特網與生俱來的開放性特點,從網絡架到協議以及操作系統等都具有開放性的特點,通過網絡主體之間的聯系是匿名的、開放的,而不是封閉的、保密的。這種先天的技術弱點導致網絡易受攻擊。
二是信息安全問題的易擴散性。信息安全問題會隨著信息網絡基礎設施的建設與因特網的普及而迅速擴大。由于因特網的龐大系統,造成了病毒極易滋生和傳播,從而導致信息危害。
三是信息安全中的智能性、隱蔽性特點。傳統的安全問題更多的是使用物理手段造成的破壞行為,而網絡環境下的安全問題常常表現為一種技術對抗,對信息的破壞、竊取等都是通過技術手段實現的。而且這樣的破壞甚至攻擊也是“無形”的,不受時間和地點的約束,犯罪行為實施后對機器硬件的信息載體可以不受任何損失,甚至不留任何痕跡,給偵破和定罪帶來困難。
信息安全威脅主要來源于自然災害、意外事故;計算機犯罪;人為錯誤,比如使用不當,安全意識差等;“黑客”行為;內部泄密;外部泄密;信息丟失;電子諜報,比如信息流量分析、信息竊取等;信息戰;網絡協議自身缺陷,等等。
二、我國信息化中的信息安全問題
近年來,隨著國家宏觀管理和支持力度的加強、信息安全技術產業化工作的繼續進行、對國際信息安全事務的積極參與以及關于信息安全的法律建設環境日益完善等因素,我國在信息安全管理上的進展是迅速的。但是,由于我國的信息化建設起步較晚,相關體系不完善,法律法規不健全等諸多因素,我國的信息化仍然存在不安全問題。
1、信息與網絡安全的防護能力較弱。我國的信息化建設發展迅速,各個企業紛紛設立自己的網站,特別是“政府上網工程”全面啟動后,各級政府已陸續設立了自己的網站,但是由于許多網站沒有防火墻設備、安全審計系統、入侵監測系統等防護設備,整個系統存在著相當大的信息安全隱患。美國互聯網安全公司賽門鐵克公司2007年發表的報告稱,在網絡黑客攻擊的國家中,中國是最大的受害國。
2、對引進的國外設備和軟件缺乏有效的管理和技術改造。由于我國信息技術水平的限制,很多單位和部門直接引進國外的信息設備,并不對其進行必要的監測和改造,從而給他人入侵系統或監聽信息等非法操作提供了可乘之機。
3、我國基礎信息產業薄弱,核心技術嚴重依賴國外,缺乏自主創新產品,尤其是信息安全產品。我國信息網絡所使用的網管設備和軟件基本上來自國外,這使我國的網絡安全性能大大減弱,被認為是易窺視和易打擊的“玻璃網”。由于缺乏自主技術,我國的網絡處于被竊聽、干擾、監視和欺詐等多種信息安全威脅中,網絡安全處于極脆弱的狀態。
4、信息犯罪在我國有快速發展趨勢。除了境外黑客對我國信息網絡進行攻擊,國內也有部分人利用系統漏洞進行網絡犯罪,例如傳播病毒、竊取他人網絡銀行賬號密碼等。
5、在研究開發、產業發展、人才培養、隊伍建設等方面與迅速發展的形勢極不適應。
造成以上問題的相關因素在于:首先,我國的經濟基礎薄弱,在信息產業上的投入還是不足,尤其是在核心和關鍵技術及安全產品的開發生產上缺乏有力的資金支持和自主創新意識。其次,全民信息安全意識淡薄,警惕性不高。大多數計算機用戶都曾被病毒感染過,并且病毒的重復感染率相當高。
除此之外,我國目前信息技術領域的不安全局面,也與西方發達國家對我國的技術輸出進行控制有關。
三、相關解決措施
針對我國信息安全存在的問題,要實現信息安全不但要靠先進的技術,還要有嚴格的法律法規和信息安全教育。
1、加強全民信息安全教育,提高警惕性。從小做起,從己做起,有效利用各種信息安全防護設備,保證個人的信息安全,提高整個系統的安全防護能力,從而促進整個系統的信息安全。
2、發展有自主知識產權的信息安全產業,加大信息產業投入。增強自主創新意識,加大核心技術的研發,尤其是信息安全產品,減小對國外產品的依賴程度。
3、創造良好的信息化安全支撐環境。完善我國信息安全的法規體系,制定相關的法律法規,例如信息安全法、數字簽名法、電子信息犯罪法、電子信息出版法、電子信息知識產權保護法、電子信息個人隱私法、電子信息進出境法等,加大對網絡犯罪和信息犯罪的打擊力度,對其進行嚴厲的懲處。
4、高度重視信息安全基礎研究和人才的培養。為了在高技術環境下發展自主知識產權的信息安全產業,應大力培養信息安全專業人才,建立信息安全人才培養體系。
5、加強國際防范,創造良好的安全外部環境。由于網絡與生俱有的開放性、交互性和分散性等特征,產生了許多安全問題,要保證信息安全,必須積極參與國際合作,通過吸收和轉化有關信息網絡安全管理的國際法律規范,防范來自世界各地的黑客入侵,加強信息網絡安全。
近年來,隨著國家宏觀管理和支持力度的加強、信息安全技術產業化工作的繼續進行、對國際信息安全事務的積極參與以及關于信息安全的法律建設環境日益完善等因素,我國在信息安全管理上的進展是迅速的。但是,由于我國的信息化建設起步較晚,相關體系不完善,法律法規不健全等諸多因素,我國的信息化仍然存在不安全問題。
1、信息與網絡安全的防護能力較弱。我國的信息化建設發展迅速,各個企業紛紛設立自己的網站,特別是“政府上網工程”全面啟動后,各級政府已陸續設立了自己的網站,但是由于許多網站沒有防火墻設備、安全審計系統、入侵監測系統等防護設備,整個系統存在著相當大的信息安全隱患。美國互聯網安全公司賽門鐵克公司2007年發表的報告稱,在網絡黑客攻擊的國家中,中國是最大的受害國。
2、對引進的國外設備和軟件缺乏有效的管理和技術改造。由于我國信息技術水平的限制,很多單位和部門直接引進國外的信息設備,并不對其進行必要的監測和改造,從而給他人入侵系統或監聽信息等非法操作提供了可乘之機。
3、我國基礎信息產業薄弱,核心技術嚴重依賴國外,缺乏自主創新產品,尤其是信息安全產品。我國信息網絡所使用的網管設備和軟件基本上來自國外,這使我國的網絡安全性能大大減弱,被認為是易窺視和易打擊的“玻璃網”。由于缺乏自主技術,我國的網絡處于被竊聽、干擾、監視和欺詐等多種信息安全威脅中,網絡安全處于極脆弱的狀態。
4、信息犯罪在我國有快速發展趨勢。除了境外黑客對我國信息網絡進行攻擊,國內也有部分人利用系統漏洞進行網絡犯罪,例如傳播病毒、竊取他人網絡銀行賬號密碼等。
5、在研究開發、產業發展、人才培養、隊伍建設等方面與迅速發展的形勢極不適應。
造成以上問題的相關因素在于:首先,我國的經濟基礎薄弱,在信息產業上的投入還是不足,尤其是在核心和關鍵技術及安全產品的開發生產上缺乏有力的資金支持和自主創新意識。其次,全民信息安全意識淡薄,警惕性不高。大多數計算機用戶都曾被病毒感染過,并且病毒的重復感染率相當高。
除此之外,我國目前信息技術領域的不安全局面,也與西方發達國家對我國的技術輸出進行控制有關。
二、信息化的內涵、信息資源的性質及信息的安全問題
“信息化”一詞最早是由日本學者于20世紀六十年代末提出來的。經過40多年的發展,信息化已成為各國社會發展的主題。
信息作為一種特殊資源與其他資源相比具有其特殊的性質,主要表現在知識性、中介性、可轉化性、可再生性和無限應用性。由于其特殊性質造成信息資源存在可能被篡改、偽造、竊取以及截取等安全隱患,造成信息的丟失、泄密,甚至造成病毒的傳播,從而導致信息系統的不安全性,給國家的信息化建設帶來不利影響。因此,如何保證信息安全成為亟須解決的重要問題。
信息安全包括以下內容:真實性,保證信息的來源真實可靠;機密性,信息即使被截獲也無法理解其內容;完整性,信息的內容不會被篡改或破壞;可用性,能夠按照用戶需要提供可用信息;可控性,對信息的傳播及內容具有控制能力;不可抵賴性,用戶對其行為不能進行否認;可審查性,對出現的網絡安全問題提供調查的依據和手段。與傳統的安全問題相比,基于網絡的信息安全有一些新的特點:
一是由于信息基礎設施的固有特點導致的信息安全的脆弱性。由于因特網與生俱來的開放性特點,從網絡架到協議以及操作系統等都具有開放性的特點,通過網絡主體之間的聯系是匿名的、開放的,而不是封閉的、保密的。這種先天的技術弱點導致網絡易受攻擊。
二是信息安全問題的易擴散性。信息安全問題會隨著信息網絡基礎設施的建設與因特網的普及而迅速擴大。由于因特網的龐大系統,造成了病毒極易滋生和傳播,從而導致信息危害。
三是信息安全中的智能性、隱蔽性特點。傳統的安全問題更多的是使用物理手段造成的破壞行為,而網絡環境下的安全問題常常表現為一種技術對抗,對信息的破壞、竊取等都是通過技術手段實現的。而且這樣的破壞甚至攻擊也是“無形”的,不受時間和地點的約束,犯罪行為實施后對機器硬件的信息載體可以不受任何損失,甚至不留任何痕跡,給偵破和定罪帶來困難。
信息安全威脅主要來源于自然災害、意外事故;計算機犯罪;人為錯誤,比如使用不當,安全意識差等;“黑客”行為;內部泄密;外部泄密;信息丟失;電子諜報,比如信息流量分析、信息竊取等;信息戰;網絡協議自身缺陷,等等。
三、相關解決措施
針對我國信息安全存在的問題,要實現信息安全不但要靠先進的技術,還要有嚴格的法律法規和信息安全教育。
1、加強全民信息安全教育,提高警惕性。從小做起,從己做起,有效利用各種信息安全防護設備,保證個人的信息安全,提高整個系統的安全防護能力,從而促進整個系統的信息安全。
2、發展有自主知識產權的信息安全產業,加大信息產業投入。增強自主創新意識,加大核心技術的研發,尤其是信息安全產品,減小對國外產品的依賴程度。
3、創造良好的信息化安全支撐環境。完善我國信息安全的法規體系,制定相關的法律法規,例如信息安全法、數字簽名法、電子信息犯罪法、電子信息出版法、電子信息知識產權保護法、電子信息個人隱私法、電子信息進出境法等,加大對網絡犯罪和信息犯罪的打擊力度,對其進行嚴厲的懲處。
4、高度重視信息安全基礎研究和人才的培養。為了在高技術環境下發展自主知識產權的信息安全產業,應大力培養信息安全專業人才,建立信息安全人才培養體系。
5、加強國際防范,創造良好的安全外部環境。由于網絡與生俱有的開放性、交互性和分散性等特征,產生了許多安全問題,要保證信息安全,必須積極參與國際合作,通過吸收和轉化有關信息網絡安全管理的國際法律規范,防范來自世界各地的黑客入侵,加強信息網絡安全。
四、結束語
總之,由于網絡及信息資源的特殊性質,決定了信息安全問題的客觀存在。信息安全問題不僅涉及國家的經濟安全、金融安全,同時也涉及國家的國防安全、政治安全和文化安全,因此應當加強對信息安全問題的重視。目前,我國正在加快信息化建設步伐,加強對信息安全的管理,保證信息的安全保密性勢在必行。
論文關鍵詞:經濟信息安全國家經濟安全信息化法律保護
論文摘要:信息時代,信息資源的占有率已成為影響一國生產力發展的核心要素之一。面對日益激烈的市場競爭,世界各國對經濟信息的爭奪加劇。完善我國經濟信息安全的法律保護體系是維護國家經濟安全,保障生產力健康發展的重要任務。文章對經濟信息安全的概念進行了界定,通過分析我國經濟信息安全面臨的挑戰與現有法律保護的不足,提出完善經濟信息安全法律保護的對策。
一、信息化挑戰我國經濟信息安全
與西方發達國家相比,我國的經濟安全保障體系非常脆弱,對于經濟信息安全的保護更是一片空白。國家經濟數據的泄露,泄密案件的連續出現昭示著我國經濟信息安全面臨前所未有的嚴峻挑戰。
(一)對經濟信息的爭奪日益加劇
經濟競爭的白熾化與信息高速化在推動世界經濟迅速發展的同時也使得業已存在的竊取經濟信息活動更為猖獗,無論是官方的經濟情報部門還是各大財團、公司都有自己的情報網絡。世界各國在千方百計地保護本國經濟信息安全的同時也在千方百計地獲取他國的經濟情報。目前我國正處于泄密高發期,其中通過計算機網絡泄密發案數占泄密法案總數的70%以上,并呈現逐年增長的趨勢;在商業活動中,商業間諜與經濟信息泄密事件頻繁發生,據業內人士透露泄密及損失最滲重的是金融業;其次是資源行業,大型并購很多,而十次并購里面九次會出現信息泄密事故;高科技、礦產等領域也非常嚴峻,很多行業在經濟信息安全保護上都亮起了紅燈。
(二)竊密技術先進,手段多樣化
一方面,發達國家及其情報組織利用信息技術優勢,不斷監聽監視我國經濟情報,非法獲取、篡改我國信息或傳播虛假信息造成經濟波動,以獲取經濟乃至政治上的收益;另一方面,除技術手段,他們還通過商業賄賂、資助學術研究、舉辦研討會、派專人在合法范圍內收集企業簡報、股東報告甚至是廢棄垃圾通過仔細研究,分析出有價情報等方式大量收集我國經濟信息。正如哈佛大學肯尼迪政治學院的一位中國專家認為:“在中國,當前賄賂最主要的形式不再是支付現金,更多可能由公司付費途經洛杉磯或拉斯維加斯到公司總部考察。這種費用可以被看做是合法的營業支出,也可以為官員設立獎學金。”竊密技術日益先進與手段日趨多樣化、合法化對我國經濟安全,特別是經濟信息的安全造成嚴重威脅。
(三)經濟信息安全保密意識淡薄
近年來,每當政府機構公布國民經濟運行數據前,一些境外媒體或境外研究機構總是能準確“預測”;許多重要的經濟信息,包括經濟數據、經濟政策等伴隨學術報告、會議研討甚至是一句家常閑聊便被泄露出去;載有核心經濟信息的移動存儲介質被隨意連接至互聯網導致信息泄露等問題嚴重。有調查顯示,我國有62%的企業承認出現過泄密現象;國有以及國有控股企業為商業秘密管理所設立專門機構的比例不到20%,未建立任何機構的比例高達36.5%;在私營企業中,這樣的情況更加嚴峻。經濟信息安全保密意識的薄弱已成為威脅我國經濟安全,影響社會經濟穩定發展的制約因素之一。
二、經濟信息安全法律保護的缺失
安全的實質是一種可預期的利益,是法律所追求的價值主張。保障經濟信息的安全是信息時代法律在經濟活動中所追求的最重要的利益之一。法律保障經濟信息安全,就要維護經濟信息的保密性、完整性以及可控性,這是由信息安全的基本屬性所決定的。然而,由于我國立法上的滯后,對經濟信息安全的法律保護仍存在相當大的漏洞。
(一)缺乏對保密性的法律保護
保密性是指保證信息不會泄露給非授權者,并對需要保密的信息按照實際情況劃分為不同等級,有針對性的采取不同力度的保護。現行《保密法》對于國家秘密的范圍以及分級保護雖有相關規定,但其內容主要針對傳統的國家安全,有關經濟信息安全方面僅出現“國民經濟和社會發展中的秘密事項”這樣原則性的規定,對經濟秘密的劃定、保密范圍和措施等缺乏相應條款;對于跨國公司或境外利益集團等竊取我國經濟政策、產業關鍵數據等行為也缺乏法律上的界定,以至要追究法律責任卻沒有相應法律條款可適用的情況屢屢發生。
在涉及商業秘密的法律保護上,法律規定分散而缺乏可操作性,不同部門對商業秘密的定義不統一,商業秘密的概念模糊而混亂,弱化了商業秘密的保密性;①另一方面,與TRIPS協議第39條規定的“未披露的信息(undiscoveredinformation)”即“商業秘密”相比,我國《反不正當競爭法》要求商業秘密須具有秘密性、價值型、新穎性與實用性且經權利人采取保密措施,并將構成商業秘密的信息局限于技術信息和經營信息,這樣的規定不以商業秘密在商業上使用和繼續性使用為要件,使不具實用性卻有重大價值或潛在經濟價值的信息得不到保護,不利于經濟信息的保密。此外,人才流動的加快也使商業秘密伴隨著員工的“跳槽”而流失的可能性激增,但對商業秘密侵權威脅(ThreatenedMisappropriationofTradeSecrets)我國尚無沒有明確法律依據;對于泄露或竊取他人商業秘密的行為,《刑法》第219條雖增加了刑事處罰,但處罰力度過輕而又缺乏處罰性賠償規定,導致權利人的損失無法得到彌補。
(二)缺乏對完整性的法律保護
完整性是指信息在存儲或傳輸過程中保持不被未授權的或非預期的操作修改和破壞,它要求保持信息的原始面貌,即信息的正確生成、正確存儲和正確傳輸。目前,我國保障信息與信息系統完整性主要依靠《刑法》與《計算機信息系統安全保護條例》等法律法規,總體而言層級較低又缺乏統一性。《計算機信息系統安全保護條例》第4條規定了“計算機信息系統的安全保護工作,重點維護國家事務、經濟建設、國防建設、尖端科學技術等重要領域的計算機信息系統的安全”,但在第23和25條卻只規定對破壞和危害計算機信息系統安全造成財產損失的承擔民事責任,并對個人處以5000元以下罰款,對單位處以15000元以下罰款的較輕處罰規定;現行《刑法》第285條也只規定入侵國家事務、國防建設、尖端科學技術領域的計算機信息系統的行為構成非法侵入計算機信息系統罪。這就是說,行為人非法侵入包括經濟信息系統在內的其他信息系統并不構成本罪。可見,法律對信息安全的保障依然側重于政治、軍事等傳統安全領域,而忽略了對經濟信息安全的保護。
(三)缺乏對可控性的法律保護
可控性是對經濟信息的內容和信息的傳播具有控制能力,能夠按照權利人的意愿自由流動。網絡的盛行使得經濟間諜、商業賄賂等竊密手段的頻繁出現而使得經濟信息不能按照權利人的意愿流動。面對日趨“合法化”的竊密行為,《刑法》第110條的間諜罪與第11l條的為境外的機構、組織、人員竊取、刺探、收買、非法提供國家秘密或情報罪都只是籠統的規定了“危害國家安全”和“竊取、刺探、收買、非法提供國家秘密或情報”,缺乏有關經濟間諜罪的專門規定;而《國家安全法》也只是籠統的規定了國家安全整體的法律條文,并且側重的是傳統安全的政治和軍事領域,對于經濟安全,尤其是經濟信息安全這樣一個新的非傳統安全領域的存在的威脅仍缺乏適當的法律規制。
除了經濟間諜外,跨國公司對我國實施商業賄賂獲取經濟信息與商業秘密的案件不斷增加,經濟信息的可控性無法得到有效保證,在造成嚴重經濟損失的同時也威脅著我國經濟信息安全。目前我國尚無一部完備的《反商業賄賂法》,對于商業賄賂的法律規制主要體現在《刑法》與《反不正當競爭法》、《關于禁止商業賄賂行為的暫行規定》等法律法規上。然而,現行《刑法》并未直接對商業賄賂行為作出罪行定義,而《反不正當競爭法》第8條雖然規定商業賄賂的對象既可包括交易對方,又可包括與交易行為有關的其他人,但《關于禁止商業賄賂行為的暫行規定》中卻又將商業賄賂界定為“經營者為銷售或購買商品而采用財物或者其他手段賄賂對方單位或者個人的行為”縮小了商業賄賂對象的范罔,將除交易雙方以外能夠對交易起決定性作用或產生決定性影響的單位或個人被排除在外。另外,對于商業賄賂的經濟處罰力度畸輕,根據《反不正當競爭法22條,不構成犯罪的商業賄賂行為處以10000元以上200000元以下的罰款,并沒收違法所得。但事實上,通過商業賄賂手段所套取的經濟信息往往可以帶來高達上百萬的經濟利益,過輕的處罰完全不能發揮法律應有的威懾力。與美國的《反海外賄賂法》和德國的《反不正當競爭法》相比,我國對于商業賄賂,特別是跨國商業賄賂的治理仍存在不足。
三、完善我國經濟信息安全法律保護的對策
法律保護經濟經濟信息安全,既要求能預防經濟信息不受侵犯,也要求能通過國家強制力打擊各種侵犯經濟信息安全的行為,從而達到經濟信息客觀上不存在威脅,經濟主體主觀性不存在恐懼的安全狀態。因此,維護經濟信息安全需要構建全方位的法律保護體系。
(一)修訂《保密法》,增加保護經濟信息安全的專門條款
《保密法(修訂草案)》增加了針對信息系統的保密措施以及加強機關、單位和人員的保密管理等五方面內容,總體上得到了專家學者的肯定,但仍存在許多值得進一步斟酌與完善的問題。特別是對于經濟領域的信息安全保密問題,應增設專門條款明確規定經濟秘密的保密范同,明確哪些經濟信息屬于國家經濟秘密,通過明確“密”的界限強化保密意識,維護經濟信息的安全。因此,在修訂《保密法》時,我們可以在保證法律的包容性與原則性的基礎上,可以借鑒俄羅斯的《聯邦國家秘密法》,采取列舉的方式將屬于國家秘密的經濟信息以法律的方式予以規定,將對國家經濟安全有重大影響的、過早透露可能危害國家利益的包括財政政策、金融信貸活動以及用于維護國防、國家安全和治安的財政支出情況等經濟信息包含在內,以具體形象的樣態將國家經濟秘密明確的歸屬于法律控制范疇,避免因法律缺乏明確性與可操作性而帶來的掣肘。
(二)制定《商業秘密保護法》,完善商業秘密的保護
針對我國商業秘密泄密案件的日益頻繁,商業秘密保護立法分散的問題,盡快制定專門的《商業秘密保護法》是維護經濟信息安全的重要措施。在制定《商業秘密保護法》時,可以借鑒國外以及國際組織的先進經驗,但應當注意以下問題:(1)在對商業秘密進行界定時,應采用列舉式與概括式相結合的體例明確商業秘密的內涵。同時在商業秘密的構成要件中剔除“實用性”的要求,使那些不為本行業或領域人員普遍知悉的,能為權利人帶來經濟利益或競爭優勢,具有“經濟價值”以及“潛在價值”并經權利人采取合理保護措施的信息也能納入法律的保護范圍;(2)要明確規定各種法律責任,包括民事責任、行政責任以及刑事責任。由于商業秘密侵權行為是一種暴利行為,但給權利人造成的損失卻往往十分巨大,如不以刑事責任方式提高違法成本便難以遏制其發生;(3)在制定《商業秘密保護法》時應當引入不可避免泄露規則(InevitableDisclosureDoctrine)。該原則主要是針對商業秘密潛在的侵占行為采取的保護方式,旨在阻止離職員工在新的工作崗位上自覺或不自覺地泄露前雇主商業秘密的問題。引入不可避免泄露原則更能有效地保護商業秘密,避免因人才流動為保密性帶來的威脅。
(三)制定統一《反商業賄賂法》,確保經濟信息的正向流動
隨著信息在經濟活動中作用加重,商業賄賂的目的不再局限于獲取商品銷售或購買的機會,通過商業賄賂獲取競爭對手經濟秘密已成為信息時代非法控制經濟信息流動的重要手段之一。制定統一的《反商業賄賂法》將分散在各法律法規中的有關條例加以整合,實現對國內外商業賄賂行為的有效監管,是堵截經濟信息非法流動、維護我國經濟信息安全與公平競爭市場環境的必然選擇。因此,在制定統一《反商業賄賂法》時首先應當對商業賄賂的概念進行準確的界定,借鑒《布萊克法律詞典》的解釋將商業賄賂定義為經營者通過不正當給予相關單位、個人或密切相關者好處的方式,獲取優于其競爭對手的競爭優勢;④其次,對于商業賄賂的管轄范圍應當適當擴大。根據《經合組織公約》與《聯合國反腐敗公約》的規定,締約國應確立跨國商業賄賂法律的域外管轄權制度,對故意實施的跨國商業行為予以制裁。因此,制定《反商業賄賂法》要求將我國經營者或該商業活動的密切相關者無論是向國內外公職人員、企業、相關個人以及國際組織官員行賄行為或是收受來自國內外企業、個人的財務或其他利益優惠的受賄行為都應列入該法管轄范圍內,并針對商業賄賂這種貪利性違法行為,完善民事、行政以及刑事法律責任;此外,在立法時還應借鑒國外的成功經驗加大制裁力度,取消現行法律中固定處罰數額的不合理規定,采用相對確定的倍罰制,并制定對不構成犯罪的商業賄賂行為的資質罰(指取消從事某種職業或業務的資格的處罰),使得經營者在被處罰后不再具備從事相同職業或業務再次進行商業賄賂的條件,從而有效遏止商業賄賂行為的蔓延,以確保經濟信息的合理正向流動。
(四)完善《刑法》,維護經濟領域信息安全
“只有使犯罪和刑罰銜接緊湊,才能指望相聯的刑罰要領使那些粗俗的頭腦從誘惑他們的、有利可圖的犯罪圖景中立即猛醒過來”。故此,完善《刑法》并加重處罰力度,是維護經濟領域信息安全的必要保證。
首先,計算機與網絡的廣泛使用使得計算機信息系統安全成為影響經濟信息安全的關鍵因素。面對《刑法》對經濟領域計算機信息系統保護的缺位,增加維護經濟信息安全的專門條款是當務之急。因此,應首先對《刑法》第285條進行調整,規定凡侵入具有重大價值(包括經濟價值、科技價值與政治價值等)或者涉及社會公共利益的計算機信息系統的行為都構成犯罪;同時,針對目前竊取計算機信息系統中不屬于商業秘密或國家秘密但卻具有知識性或重大價值,特別是經濟價值的數據、資料現象日益嚴重,《刑法》中還應增設竊取計算機信息資源罪,對以非法侵入計算機信息系統為手段,以竊取他人信息資源為目的且造成嚴重后果的行為予以規制;此外,在《刑法》還中還應增設財產刑、資格刑,適當提高法定刑幅度,從多維角度預防和制裁危害計算機信息系統犯罪。
其次,在對商業秘密的保護上,應完善相關刑事責任與刑事訴訟中的保密規定。現行《刑法》規定了侵犯商業秘密的行為,但在刑罰的表述中并沒有詳細的劃分。縱觀國外立法,大多根據侵權行為社會危害程度的不同規定了多種量刑幅度。因此,對侵犯商業秘密罪的設置應根據危害程度的不同規定不同的刑罰,對侵犯商業秘密情節惡劣,后果嚴重者從重處罰,確保罪責刑相適應的同時保證法律的威懾力。此外,針對目前在審理涉及商業秘密案件除規定不公開審理外,沒有對參與商業秘密的訴訟人員規定保密義務的問題,在刑事訴訟中還應設置相關保密義務條款,在司法解釋中也應規定配套的保密措施,以確保權利人在伸張權利時其商業秘密的保密性不會因法律的漏洞而喪失。
1 大數據概述
1)大數據的定義
大數據(big data,mega data),或者稱海量數據資源集,是指嘗試一種全新處理模式和應用思維方式才來預測行為的發生,提前做出準備應對。因為這種預測準確性高,這種模式需要有更強有力地的決策手段、洞察能力和流程優化方法的大規模、多樣化的信息資產,以便更好地適應企業進行經營決策和資源整[3]。
2)大數據的特點
特點如下:第一,龐大的數據量。從TB級別,躍升到PB級別;其次,廣泛的數據類型。網絡文字、圖像、影音、二維碼等信息。然后,低密度的價值。通過對數以萬計的數據信息進行地毯式挖掘,但有提取的用信息只有一星半點。第四,信息處理速度快。因為使用RapidMiner數據分析技術和Apache Drill查詢手段,對數據的處理只需要1秒。
2 信息安全問題在大數據時代中的現狀
大數據,已經滲透到當今每一個行業和業務職能領域,成為重要的生產因素。人們對于海量數據的挖掘和運用,預示著新一波生產率增長和消費者盈余浪潮的到來。”這是麥肯錫宣稱的大數據策略。與此同時,不少人認為,我們現在身處于“玻璃房”當中,周圍都是疾速的數據流。如何保護個人信息不被挖掘?當下又該如何使用好大數據這把“雙刃劍”是亟待解決[4]。
1)大眾非理性的對待
隨著智能手機和計算機技術的普及,對數據處理的生活化十分普遍。同時,衍生了網絡社會怪現象:網絡“曬”信息,微信搶紅包和微購物等。生活也漸漸成為了“自我量化”的模式,然而這些習以為常的舉動,很有可能泄露你的個人信息,造成不必要的損失。我國處于在傳統數據和大數據時代的過渡期,信息泄密事件也隨之泛濫成災。然而這個更迭的時期,個人信息與隱私邊界的模糊化,人的自我保護意識逐漸淡薄,促使我們成為隱私度歸零的“透明人”。
2)傳統安全技術的缺陷
近年來,網絡安全論文威脅層出不窮,讓企業、個人甚至政府機構等防不勝防。網絡黑客們總能對攻擊方案進行“創新”,編輯出殺傷力強大的程序設計。從而達到入侵網絡服務器獲取信息數據的目的[5]。傳統的防火墻和殺毒軟件只能來應對移動設備端的入侵手段,而無法解決黑客對云端大數據庫的攻擊。
3)數據價值屬性的隱患
由于大數據價值密度低的根本屬性,黑客利用這個特點,將制作并編寫的攻擊型APT代碼,并將其安置隱藏在大數據中,使監測的防護軟件無法被察覺。然后進行程序運行,但由于其識別代碼的迅速性,容易忽略病毒代碼,于是將病毒傳輸到大數據庫的云端空間服務器中。然后執行APT代碼,開始持續竊取工作并且進行指令整合,通過對用戶的細小的相關信息,來挖掘出用戶的信息與資料。
3 大數據時代下的信息安全新威脅
1)移動設備的信息泄露
大數據時代移動設備的普及化,app軟件的興起,不少非法廣告渠道商與黑客將黑手觸及其中,將惡意代碼、釣魚代碼和廣告植入到官方軟件中,然后將其從新包裝,并將包裝后的軟件放置第三方網絡應用平臺中,隨后攻擊者假裝成用戶認識的人,向用戶發送短信軟件鏈接,當用戶點擊廣告鏈接、下載應用軟件時,其惡意代碼將會啟動,被感染的移動設備會對聊天記錄、上網記錄、照片、性格愛好等個人價值微小信息,并向通訊錄的其他人發送相同短信。犯罪分子通過數據的傳輸把信息竊取出來,然后通過大數據進行的關聯性進行深度分析、挖掘和綜合利用,導致個人信息的泄露。
2)網絡犯罪越演越烈
隨著大數據的興盛,大規模的數據傳輸和網絡數據交易等都是通過大數據的平臺來進行的。數據平臺的虛構性使得極多的犯罪分子鉆其漏洞。其中網絡安全問題已經不再是最求眼下利益的破壞,而是損壞大數據下的關聯模式,使預測的準確性降低。影響未來的信息安全。
3)云計算的安全管理隱患
云數據中心因大數據時代的來臨,數據更加及集中密集,如果這些數據出現問題,無論是丟失還是被篡改,對任何企業都會是一場毀滅性災難。不少企業對對安全防護的認知還有存在較大的誤區[6]。云計算的發現與完善帶來了許多急待解決的問題,企業用戶的信息安全將面臨更加嚴峻的挑戰[7]。有些云服務供應商對登記注冊管理不嚴格導致了造成了云的泛濫、惡意的使用以及對云服務的攻擊的嚴重后果,對于大數據時代的發展產生極為不良的后果,嚴重干擾了數據的完整性和相關聯系[8]。
4 造成大數據時代信息安全缺位的原因
1)自我量化導致安全意識淡薄
如今,數據代表著某事物的描述,這種數據可以進行分析、整合與記錄。在大數據的時代,人們開始利用數據的核心屬性“量化一切”來對生活進行轉換。然而在當“文字轉換數據、方位轉換數據、溝通轉換數據甚至世界萬物轉換數據”時,人們不會把個體看作成體事物,而是視為一堆數據庫的集合時,便會覺得生活本該就是由數據構成[8]。于是就開始將圖片信息,個人資料肆無忌憚的公開在網絡的大數據,信息泄露的問題也隨之降臨。信息的泄露,會威脅著人們的信息保密工作[9],但這種泄露手段卻是大數據的掩蓋下神不知鬼不覺地發生著。
2)黑色產業鏈中的利益驅使
當大數據方興未艾時,一些app開發商與病毒的制作者組織在一起進行合作,對一些知名軟件做出反編譯處理,并在其中插入惡意、廣告代碼等。然后將這些被處理的軟件打包投放到應用市場,當用戶點擊其中的應用和廣告鏈接時,將會產生一定的推廣利益。這是大數據時代下病毒制作者、app開發商與非法廣告提供商三者形成的黑色產業鏈,而這種產業鏈將會污染大數據的環境,并且會使數據資源出現斷層,其關聯性被損壞從而引發信息安全問題。
3)安全法規的強滯后性
大數據的信息挖掘十分強大,它可以對網上數據源進行索引,尋得個人的細微信息,揭示其行為規律[10],這使安全隱私問題頻頻發生。當人們用法律法規去駕馭大數據下的信息安全時,發現法律法規的滯后性,無法滿足大數據時代的預測和關聯性使信息安全衍生的問題具有多變性。
5 大數據時代信息安全的措施
1)信息安全保護應納入國家戰略資源的保護范疇
數據的運用已滲入了社會生活的各個方面,大數據為國家及時掌握社會動態,分析社會民情,觀察社會變化提供了重要的數據來源。例如網上購物的發貨地址及其商品的變化,能很好地為國家分析各地的產業經濟的變化提供有力的數據,這些數據也屬于大數據的范疇,這些數據對于國家有其特殊的戰略意義[11]。由此可見,數據之于國家戰略的重要性,將其包含于戰略資源加以保護尤為重要。“國家網絡與信息安全戰略下的云”這一明確表述出現于2015年4月15號的中國數據中心大會中,表明對于信息安全的保護已經上升至國家戰略層面,這事件對于我國在新形勢下對于網絡信息安全及個人信息的保護具有里程碑式的重要意義。
2)加強信息安全的立法工作
在新形勢下,相較于傳統的保護措施及僅從技術層面上加以防范已經不能滿足如今的現實需求,從法律層面出發,制定研究能夠適應大數據時代下的信息保護法律,才能真正地為信息的保護樹立防范之本。許多IT企業的負責人呼吁國家應頒布信息安全相關的法律和加強對信息安全的保護工作,信息安全問題已引起了社會各階層的眾多討論[12]。這表明信息保護已不再是一個行業問題,而演變為一個與每個人都緊密相關的重要安全問題,這對保護網絡安全意義重大。
3)加強對數據的行政監管
在如今的互聯網時代,數據顯示出了其之前從不具有的巨大價值,某些商業機構運用個人信息數據能通過較小成本博取很高的經濟利潤,在個人信息安全法律沒有制定的今天,某些企業只需要面對較小的違法成本就能換取巨大的經濟利益[14]。對于這種情況,我國應制定與其相適應的安全標準,使這種行為始終處在透明的監管環境下,保護個人信息安全及隱私不被侵犯,使對個人數據的使用始終保持在正確的軌道上。2013年2月1日起實施的《信息安全技術公共及商用服務信息系統個人信息保護指南》指出對于數據的使用,必須要征得信息當事人的明確同意。在對信息的行政監管上,此指南的頒布意味著我國的信息保護工作走向了一個全新的層面[15]。
4)加強對信息安全的技術保護
技術保護是法律保護的具體化、現實化,它將法律保護落實到實質層面,是體現法律保護的有力工具。在相關法律還沒有正式實施的階段,技術保護仍是我們保護信息不可或缺的有效武器[16]。信息技術的發展日新月異,需要我國大力重視信息技術的發展,不斷創造及創新,突破新技術,研發新技術,提升我國在信息技術領域的競爭力,為我國的信息保護工作提供牢靠的技術保障。
5)加強行業自律與監管
僅僅依靠國家機關的行政監督仍不能有效保護信息的安全,我們應引入行業競爭,使它們相互監督,這能在最大程度上保護信息安全。所以,國家有關部門應組織相關企業組成行業委員會,制定行業安全標準和條約,明確它們的權利及義務,使相關企業間的互相監督變為現實,成為一個保護信息安全的有效辦法。同時,國家有關部門應給予相應的資金及政策支持。
大數據為我們提供更為真實的數據的同時也大大降低了數據獲取的成本,這使得我們能更好地服務社會,適應社會變化,改善社會,我們的社會會應大數據而變得更美好[17]。大數據的運用仍有其隱患,它就像把雙刃劍,在最大程度上運用它的關聯方面的“預測”同時也應最大限度地避免其所帶來的風險。這風險就是信息資源的泄露,在運用數據的同時不能忽視對數據的保護。
參考文獻:
論文關鍵詞:網絡文化 網絡安全 網絡安全文化
論文摘要:該文論述了文化對人的網絡信息行為的影響,介紹了網絡安全文化的產生背景和構成。并對網絡安全文化的內涵及作用機制進行了研究。
1 引言
網絡環境的出現極大地方便了人們之間的信息交流,推動了人類社會的進步。但同時,它也是一把雙刃劍,它在為我們提供了便利的同時,也帶來了許多問題。其中網絡安全問題已成為日漸棘手、迫切需要解決的一項任務。以往,人們注重從技術上去著手解決這個問題,而往往忽略了其它防護,雖然收到了一定的效果,卻不能從根本上解決網絡安全問題。事實上,信息管理的成功,關鍵在于人的因素。加強人的因素管理,是保障網絡安全的重要途徑。而人是社會的人,他生活在一定的文化背景之中,文化對人的信息安全行為產生巨大影響。因此,筆者從文化、網絡文化、安全文化三者的內在聯系入手,試圖探討一種新的文化—“網絡安全文化”。本文就“網絡安全文化”相關概念、與其它文化的聯系及其意義進行了分析與探討。有關“網絡安全文化”的結構體系與實施途徑等內容,將在另外的論文中予以研究,在此不作贅述。
2 網絡安全文化的產生背景和構成
互聯網出現以后,人們的網絡活動日見頻繁,并隨之產生網絡文化,網絡活動總會有意識或無意識地包含著安全活動。因此,安全文化便自然地融入其中,引導和制約著人們的網絡信息安全行為,起到約束和管理人的網絡信息行為的作用,形成了一種全新的、而被人們忽視了的“網絡安全文化”。基于此,本文提出網絡安全文化的概念,它是安全文化的子類,是安全文化和網絡文化相互滲透的結果。它繼承了安全文化與網絡文化的共性,同時又具有自己的特性。它通過影響網絡操控者人的行為來影響網絡安全,它對網絡安全的影響貫穿人們網絡活動的始終。因此,我們認為網絡安全文化是安全文化和網絡文化的一個子類,它指人們對網絡安全的理解和態度,以及對網絡事故的評判和處理原則, 是每個人對網絡安全的價值觀和行為準則的總和。如前所述,網絡安全文化是網絡文化與安全文化的交集,既是安全文化發展到網絡時代的產物,屬于安全文化的一部分,也是網絡文化的安全影響因素,屬于網絡文化的一部分。
參照傳統的文化結構劃分方法,我們將網絡安全文化分為三層,即網絡安全物質文化、網絡安全制度文化和網絡安全精神文化。網絡安全物質文化是網絡安全文化的外顯部分,也是最基本、最常見構成部分,它主要指包括像防火墻之類的各種網絡安全硬件設備和軟件產品,網絡安全制度文化是更深一層次的文化,包括各種維護網絡安全的法律法規和規章制度,網絡安全精神文化是網絡安全文化的核心,包括人們對網絡安全的意識、心理、理論等。在這三層中,網絡安全物質文化是物質體現,同時也是決定因素,它決定網絡安全制度文化與網絡安全精神文化,網絡安全制度文化是中間層,既由網絡安全物質文化決定,也受網絡安全精神文化的影響,同時也反作用于網絡安全物質文化和網絡安全精神文化,網絡安全精神文化是核心,是網絡安全文化的本質,由網絡安全物質文化和網絡安全制度文化決定,同時內在于前二者,反作用于前二者,三者相互影響,相互促進。
3 網絡安全文化的作用機制
3.1 網絡安全文化的作用方式
1) 網絡安全文化影響人們的網絡安全觀念,安全觀念即人們對網絡安全的認識與評判準則,這個認識可以用幾個問題來描述:網絡應不應該安全;什么是網絡安全;怎么評價網絡安全;如何保證網絡安全。這些問題都會影響到網絡的安全,作為一種價值觀,它可以直接影響到人的行為及其它方面。2) 網絡安全文化影響網絡安全相關法律法規的制定,法律法規是統治階級意志的表現,而這種意志毫無疑問是受價值觀影響的,安全法律法規一旦頒行后就成為強制性的手段規范人們的網絡安全行為。3) 網絡安全文化影響網絡倫理的形成,網絡倫理包括道德意識、道德關系、道德活動三個層次,與法律法規不同,網絡倫理道德是人們在網絡活動中慢慢形成的共同的價值觀與行為準則,它雖然不像法律那樣有強制性,但它能在不知不覺中制約人們的網絡行為,起到一種軟制約的作用,這種作用有時甚至比法律更有力。4) 網絡安全文化影響技術的發展,技術總是為生產力發展服務,而生產力又受到生產關系的制約,當人們越來越注意到網絡安全的時候,那些更能滿足安全需要的技術總能得到較快的發展,像各種安全理論和防火墻之類的安全設備正變得越來越科學與可靠,從而使網絡更安全。5) 網絡安全文影響組織結構與權力分配,在網絡發展初期,人們更看重的是速度與共享,人們自愿地接入網絡而較少考慮安全方面的問題,那時的發展行成了今天網絡的雛形,隨著網絡的發展及安全事故的增加,安全問題越來越受到人們的重視,安全考慮也越來越融入到網絡建設中去,從而各種各樣的網絡安全管理組織應運而生,雖然在互聯網中每個人都是平等的,但也總存在著一些特權組織與用戶,他們擁有一般用戶所沒有的超級權限以便能夠對網絡安全進行管理與監控。
3.2 網絡安全文化的作用過程
網絡是計算機技術與通信技術的結合,它從一開始就是為人們通信服務,它的根本任務始終是信息共享與交流,它的主體是人,客體是信息。網絡安全文化則產生于人的網絡信息活動并影響人的網絡信息活動,它的影響過程是全過程的,即從信息的收集、加工、存儲,到傳輸的整個過程。
1) 網絡安全文化對信息選取、收集的影響。網絡安全文化通過前述各種方式對網絡主體的信息收集行為的影響可以從以下幾個問題來闡述:應該從哪些地方收集信息,原創還是下載;應該怎樣收集信息,用合法手段還是非法手段;應該收集什么樣的信息,有益信息還是有害信息,或者非法信息;為什么要收集信息,合法目的還是非法目的。網絡安全文化就是通過回答這些問題而在行為主體心中形成一定的價值取向從而制約他們的安全行為。2) 網絡安全文化對信息加工、存儲的影響。網絡安全文化對信息加工與存儲的影響可以通過以下幾個問題闡述:為什么要加工信息,合法目的還是非法目的;加工什么樣的信息,有益的還是有害的,或者是非法的;怎樣加工、存儲信息,安全可靠,還是不安全可靠。3) 網絡安全文化對信息、傳輸的影響。網絡安全文化對信息、傳輸的影響可以從以下幾下問題來闡述:應該什么樣的信息,有益的信息還是無用信息,抑或非法信息,應該怎樣信息,通過安全合理的渠道還是相反;如何保證信息傳輸的安全性,用技術手段還是管理手段抑或二者兼有。
4 網絡安全文化建設的意義和作用
網絡安全文化存在于人的心里,是引導和規范人的網絡行為的“心鏡”。人們通過將自己的行為與之相比較,來判斷自己的行為是否應該發生。它和行為主體的動機、情緒、態度等要素一起作用于主體,在很大程度上影響著主體的行為,并使得網絡更加安全和諧,因此培育優秀、先進的網絡安全文化具有重大的現實意義和作用。
1) 能減少網絡安全事故的發生,提高網絡的安全系數并減少由網絡安全事故帶來的經濟損失。
2) 它能增強網絡的安全性和提高網絡的運行效率,網絡安全文化通過影響人的行為來保證網絡的安全高效運行。
3) 它能營造和諧的網絡環境,在網絡中,沒有種族、地域、財富的限制,人人平等,人們可以自由地交流,可以充分地展示自己。
4) 能促進計算機網絡技術的發展,先進的網絡安全文化總是促使人們去自覺發掘網絡中的不安全因素并解決它們,不斷地改進網絡性能,使網絡更加安全,促進計算機網絡技術的發展。
5) 它促進了人類文化的發展,豐富了文化的內涵,推動了人類社會的進步,它能促使人類文化的交融,使優秀的文化得以發揚,使落后的文化得以摒棄。
5 結束語
綜上所述,網絡安全文化是安全文化在網絡時代的發展,是網絡文化的一個重要組成部分,它產生于人們的網絡安全活動,又反過來影響和制約人們的網絡安全活動,它對解決目前日益緊迫的網絡安全問題有著重大的意義,培養積極、健康的網絡安全文化是我們目前面臨的一個重要且緊迫的任務。
參考文獻:
[1] 羅益群.信息社會學[M].長沙:湖南人民出版社,2001.
[關鍵詞]網絡銀行;風險監管;完善立法
網絡銀行是利用網絡技術在網上開展銀行業務,為客戶提供各種金融產品和服務的金融機構。在一般情況下,客戶在通過網絡銀行實現其所需要的服務時可以不受時間、地點的限制。目前,網絡銀行有兩種模式,即純網絡銀行(internet-onlybank)和在線銀行(onlinebank)。純網絡銀行,又稱虛擬銀行,這種銀行一般只設一個辦公地址,沒有分支機構和營業網點,主要或僅通過網絡提供各種金融產品和服務。在線銀行是現有傳統銀行利用網絡提供網上服務的網絡銀行,是傳統銀行業務與網絡信息技術結合的產物。中國大陸的網絡銀行主要是這種模式的銀行。網絡銀行業務具有交易虛擬性、跨國性、技術依賴性、經營混業性等特征。由于網絡銀行業務的這些特征,致使網絡銀行業務風險較傳統銀行業務風險發生機率更高、范圍更廣、破壞性更嚴重。當前,中國雖然在網絡銀行監管方面制定了一些法律法規,然而,網絡銀行安全法規不夠完善、網絡銀行交易管轄權難以確定、傳統銀行分業監管與網絡銀行混業經營之間存在沖突、網絡銀行內部監管規定不夠明確,這些問題嚴重地阻礙了網絡銀行業的發展。因此,盡快完善中國大陸網絡銀行法律制度,防范網絡銀行業務風險,已經成為中國開展網絡銀行業務的當務之急。
一、中國大陸網絡銀行監管的立法
建立健全網絡銀行監管的法律制度是網絡銀行業健康發展的重要基礎和法律保障。1999年11月,中國人民銀行(當時的銀行業監管機構)正式批準招商銀行開展網絡銀行業務。招商銀行成為中國金融監管部門首次正式批準開展網絡銀行服務的國內商業銀行[1](P223)。但當時中國大陸尚無調整網絡銀行的明確法律法規依據。2001年,中國人民銀行《網絡銀行業務管理暫行辦法》(以下簡稱《管理暫行辦法》);2002年,又了《中國人民銀行關于落實〈網絡銀行業務管理暫行辦法〉有關規定的通知》(以下簡稱《通知》)。這些規定為中國網絡銀行業務監管提供了法律法規依據。《暫行辦法》規定了網絡銀行業務的定義、市場準入的條件和程序、網絡銀行業務風險管理規則以及銀行的法律責任。同時,還規定外國或中國港、澳、臺地區的銀行可以向大陸居民提供網絡銀行業務,大陸境內的網絡銀行也可以向境外居民提供網絡銀行業務等。《通知》進一步明確了審查、開辦網絡銀行業務的條件、程序和對網絡銀行業務監管的有關內容。隨著網絡銀行業務的發展,2005年,中國銀監會頒布了《電子銀行業務管理辦法》,該辦法在借鑒國際立法,主要是巴塞爾體制先進經驗的基礎上,對上述法規所規定的內容進行了擴充和具體化。目前,中國網絡銀行業務監管的法規主要有兩類:(1)仍可適用于網絡銀行的傳統銀行業務監管法律中的有關規定,如《中國人民銀行法(修正案)》、《商業銀行法(修正案)》、《銀行業監督管理法》、《外資金融機構管理條例》等中的規定;(2)對網絡業務監管的專門規定,如《暫行辦法》及《通知》、《電子簽名法》、《電子銀行業務管理辦法》、《電子銀行安全評估指引》等。這些有關法規為中國大陸開辦和監管網絡銀行業務提供了基本的法律法規依據。然而,從中國現行網絡銀行監管法規規定來看,由于它仍然沿用對傳統銀行的分業監管模式,而且尚存在許多立法空白和不合理之處,故難以適應中國網絡銀行業快速發展的需要。
二、目前中國大陸網絡銀行法規存在的問題
(一)對確保網絡銀行安全的法律規定不夠完善
近年來,中國大陸網絡銀行的數量和規模以及網絡銀行業務的交易量都取得了很大的發展,但也存在著諸多的問題,其中最迫切需要解決的問題就是網絡銀行交易安全問題,這也是在完善網絡銀行監管法規時首先需要解決好的問題。完善網絡銀行監管法規其主要任務就是要完善防范網絡銀行業出現風險的法規。目前,中國大陸網絡銀行在兩個方面易出現風險:一個是網絡銀行系統自身易出現風險;另一個是網絡銀行與客戶資金等易遭受風險。網絡銀行系統的風險主要有網絡中的關鍵設備,如各類計算機、網絡通信設備、存放數據的媒體和傳輸線路等易遭受侵害。這些設備中的任何環節一旦出現問題都會給整個網絡造成嚴重惡果。此外,網絡銀行系統中的漏洞和計算機病毒的傳播也對網絡銀行的正常運營構成了極大威脅。網絡銀行和客戶的資金風險主要來自網絡銀行竊賊竊取銀行和客戶的秘密,利用網絡銀行詐騙錢財以及網絡銀行內部工作人員對銀行和客戶權益的侵害。上述大都屬于高技術性能的安全隱患,這就要求安全隱患的防治者和監管者必須具有高超的網絡技術。然而,目前中國大陸監管者的技術水平及其責任心都未能適應防范網絡銀行業務風險、確保網絡銀行安全的要求,而對如何解決這些問題,在立法規定上仍不夠完善。
(二)網絡銀行交易管轄權難以確定
管轄權是一國法院或具有審判權的其他司法機關受理、審判具有國際因素案件的權限。這種管轄權是審理有關案件的前提條件,它直接影響著案件的判決結果和當事人的合法權益。然而,如何確定網絡銀行交易的管轄權具有復雜性。網絡空間本身無任何邊界,是一個全球性的網絡系統,無法分割成諸多領域。要在一種性質不同的空間中劃定界限,這是傳統銀行交易管轄權規則所面臨的困境。網絡銀行業務與傳統銀行業務的主要區別就在于,它在與客戶交易中的地理空間位置的界限被淡化。由于網絡銀行的交易活動往往跨越了地區和國界的限制,它的無地域性、無國界性與國家對銀行監管的性之間的沖突日益顯現。在這種狀況下,如何確定網絡銀行交易的管轄權?如何確定網絡銀行交易的合法性?這些問題都關系著網絡銀行交易的安全、效率和發展。目前,由于這一問題在中國大陸的相關立法、理論與實踐中尚未得到解決,因此,很有必要對尋求解決該問題的途徑進行全面深入的探討。
(三)網絡銀行混業經營與傳統銀行分業監管之間存在沖突
依照當代中國金融管理法規規定,中國大陸金融業采取“分業經營,分業監管”。然而,一方面,近年來,中國出現了大量的金融控股公司,銀證合作與銀保合作的模式也不斷得到發展,這種混業經營的現實與分業監管法制之間的矛盾日益顯現;另一方面,中國網絡銀行業取得了很大發展,網絡銀行不僅經營傳統的銀行業務,而且還提供信息咨詢、投資理財和綜合經營等業務。本論文由整理提供網絡銀行的經營模式正是混業經營模式,網絡銀行的“全能經營,統一監管”模式與傳統的“分業經營,分業監管”模式之間的沖突日益嚴重。隨著當代國際金融業的創新與發展,各類金融業務之間、各類金融機構之間和各類金融業監管之間的界限逐漸淡化,很多金融業務之間出現了相互滲透的勢頭,尤其是銀行、證券、保險業出現了混業經營的狀況與發展趨勢。事實上,中國大陸傳統的相對滯后的監管手段、監管工具以及分業監管體制已經難以適應中國現已存在的混業經營狀況和國際金融業混業經營、統一監管的發展趨勢。
(四)網絡銀行內部監管規定不夠明確
網絡銀行的董事會和高級管理人員對網絡銀行的監管具有重要作用。網絡銀行具有標準化運營的特點,銀行系統一般都使用同一套網絡銀行的操作系統,如果網絡銀行的發展戰略、風險控制策略、內部控制程序等得不到合理地制定,將會給網絡銀行帶來巨大風險損失。此外,銀行內部工作人員利用工作之便進入銀行系統,對網絡銀行及其客戶都有可能造成威脅。在已破獲的網絡銀行犯罪案件中,涉及銀行內部工作人員作案的比例高達75%。其中,內部授權人員占到58%。他們往往利用授權刪除、修改、增加網絡銀行中的數據,轉移、盜取某些賬戶的資金[2](P40)。這些網絡銀行內部工作人員的行為嚴重侵害了客戶的利益和銀行的信譽與利益。然而,中國大陸現有的相關法規卻缺乏對網絡銀行內部工作人員監管的明確完整的法律規定。為此,相關立法應增加對監管者再監管的規定,盡快完善中國網絡銀行內部監管的法律法規。
三、對改善中國網絡銀行法律制度的分析
(一)建立網絡銀行安全法律保障體系
安全問題是網絡銀行運營和發展中最關鍵的問題。建立網絡銀行安全法律保障體系是一個極為復雜的系統工程,它需要通過制定規范相關技術與人員的法律法規來實現。(1)中國應制定相關的技術應用法律規范,確保網絡銀行運營的安全,即系統安全與信息安全。網絡環境是一個技術支撐的特殊環境,必須依法規范網絡技術安全標準并確保安全技術標準的有效實施。一是要充分利用操作系統的安全管理能力和多種安全管理機制,增強網絡銀行的安全性。二是要制定相關法律規范,確保不斷改進防范計算機病毒技術和防火墻技術,時時監測運行過程,檢查是否有對網絡銀行構成安全威脅的漏洞,及時發現、消除可能出現的潛在危險。三是國務院有關部門應當制定完整的網絡銀行業務審批和監管規范,明確網絡銀行業務操作規則與風險責任的劃分,健全安全認證制度。為此,應建立全國統一的網絡銀行安全認證中心,增強網絡系統中關鍵技術和關鍵設備的風險防范能力,建立健全備份系統,以確保在出現故障后網絡銀行系統能及時得到恢復。(2)進一步健全網絡銀行內部工作人員安全管理法律制度,依法保障網絡銀行內部管理人員和工程技術人員的基本素質與技術水平,嚴格規范金融從業人員防范風險的義務。
(二)暫依信息收到地來確定網絡銀行交易管轄權
網絡銀行交易的管轄權是一國法院或具有審判權的其他司法機關受理、審判具有國際因素的網絡銀行交易案件的資格,是有關法院審理此類案件的前提。在網絡環境中,以網絡傳輸交付電子信息,是網絡銀行交易的特有方式。由于網絡的全球性,當事人可以在全球的任何一個地方傳送給另一方所需要的信息并與其進行交易。網絡銀行的交易往往與交易所處的地理空間位置沒有實質的聯系。然而,按照國際私法理論,在依據連接點確定網絡交易管轄權問題上,有些中國學者認為中國暫且可依屬地管轄原則來確定管轄權,并認為在網絡交易中,如果依信息傳送地國(由接收者為信息的傳送而提供的地理處所所在國)管轄或信息收到地國(接收者營業處所或下載信息地點所在國)管轄,由于當事人隨機的選擇性很大,交易雙方的當事人未必相互清楚對方所在的位置和其真正身份。而且網絡信息產品的接收者無義務向對方提供其接收信息的地理處所。即使提供,接收者隨意提供的某一地理處所很可能與交易無實質聯系。因此,以信息傳送地或信息收到地來確認管轄權都不甚合理。但從中國國家利益考慮,當前中國通過網絡獲取的信息量較大,而輸出的信息量相對較小,以信息收到地管轄相對較為合理,信息收到地管轄實際上偏向于中國法院的管轄[3](P303)。由此可見,如果我們依信息收到地來確認管轄權具有一定合理性。然而,依信息收到地確認網絡銀行交易的管轄權是否符合國際社會對該問題的總體把握呢?對此,有必要作進一步深入探討。
在協調各國和地區有關確定網絡交易管轄權問題上,海牙國際私法會議起了重要作用。1997年,各國專家學者在海牙國際私法會議上達成了五項共識:(1)網絡的本質是跨國性的;(2)網絡中也許真正存在的是法律過剩,而并非法律真空,這就有必要重新定義國際私法規則;(3)當虛擬空間與現實空間存在某種聯系時,確定在線活動的位置是可能的;(4)在私人利益與公共利益的平衡被打破、政府的角色并非不可替代以前,網絡空間的自治規則可能更受當事人的歡迎和喜愛;(5)各國應該合作制定國際性普遍接受的規則,而非單獨行事[4](P179)。應該看到,上述五項共識具有重要意義,它為各國和地區解決網絡環境下管轄權的適用原則指明了方向。從當代世界各國和地區確定管轄權的理論與實踐來看,各國和地區在確定管轄權時不僅要考慮本國和地區的利益,還要考慮相關國家和地區的利益,乃至國際社會的整體利益。盡管一國或地區有權對發生在外國而在本國或地區產生損害的行為行使管轄權,但是如果因此而損害了國際公認的行為準則或有損于網絡銀行的發展,其管轄權的合法性就會存在問題[5](P80)。我們還應該看到,在當代國際社會,依信息收到地來確定網絡銀行交易管轄權,盡管在一定程度上不符合信息輸出量大的國家或地區的利益,但也不被有關確定網絡銀行管轄權的國際立法所禁止。因此,當前在國際社會尚未就確定網絡銀行交易管轄權達成共識的情況下,依信息收到地確定網絡銀行交易管轄權不失為解決問題的一種方法。
(三)建立適宜網絡銀行交易的統一的金融監管法津制度>第一,建立和完善網絡銀行法律制度要牢牢把握網絡銀行的網絡性。由于網絡銀行組織及其活動呈現網絡性,其生存與發展空間處于世界性網絡之中。這就要求在制定中國網絡銀行監管法規時,必須基于網絡銀行的網絡性,設計網絡銀行監管的對象和范圍、監管的組織形式、監管方式、監管權限范圍與責任的劃分等等。第二,要確立混業監管、多元監管體制。由于網絡銀行的無國界性等特征,網絡銀行監管主體呈現出多元化和國際化特征。這種監管主體既有本國或地區的監管主體,又有外國的監管主體,還有國際性的監管主體。基于網絡銀行的混業性監管與國際性監管的特征,在制定中國網絡銀行監管法規時應當采用混業監管的模式。從金融監管法理論來看,對金融活動的有效監管應當實行混業監管,即由各相關監管部門依照統一的、權威的金融監管法規開展有機、協調的監管。目前,中國大陸金融業混業經營,網絡銀行、外資銀行的金融業務相互滲透,致使中國銀監會與其他監管機構,或者對商業銀行監管重復,或者監管空缺。因此,有必要重新整合銀監會、證監會、保監會,組建統一的金融監管部門,對中國金融業集中統一監管。同時,還要注意開展中國與相關國家和國際組織在對網絡銀行監管中的協調與合作。第三,應當確立全面完整的監管方式。也就是要確立全方位、全過程、多種手段的監管方式。根據當前中國網絡銀行監管的技術水平和能力,應對與中國相關的網絡銀行業務開展全方位、不間斷的監管,綜合運用技術、法律、經濟等手段監管,只有這樣才能將網絡銀行的風險降至最低,有效地促進和保障中國大陸網絡銀行業的健康發展。超級秘書網
(四)細化網絡銀行內部監管法規
第一,網絡銀行內部監管法規對規范銀行內部工作人員,及時發現銀行的薄弱點,查找可能出現的問題,評估、分析、化解風險,或將風險降到最低程度具有重要作用。因此,應當通過建立法律制度確保中國網絡銀行內部工作人員具備監管的必要技能,建立銀行監管業務知識資格考試和職業評價等制度。內部監管工作人員要具備較強的綜合分析能力,能運用新方法、新技術對銀行的經營狀況進行研究。第二,立法應明確規定中國網絡銀行內部監管者所必須具備的品德素質。由于少數網絡銀行內部工作人員利用工作之便進入銀行系統作案,給網絡銀行的經營造成了嚴重的威脅。因此,銀行內部工作人員須應能夠及時制止并糾正銀行營業中出現的違法行為。第三,應當明確劃分內部監管人員的職責,規定對內部監管人員實行垂直領導。為了避免內部監管人員,應當設立專門監管機構對內部監管人員進行法律監督。
[參考文獻]
[1]余素梅.港電子銀行監管規則的最新發展及其啟示[J].球法律評論,2006(2).
[2]陳詩松.談網絡銀行的安全及防范[Z].海南省通信學會學術年會論文集,2007.
關鍵詞:電子政務 風險 防范措施
中圖分類號:C93文獻標識碼: A
一、 電子政務概述
電子政務,亦稱電子政府、政府信息化管理,是政府機構以計算機為媒介,應用現代信息和通信技術,將政府的管理和服務工作通過網絡技術進行集合,以實現政府部門工作的進行以及組織結構的優化重組,從而及時向社會及公眾提供全方位、行之有效的管理和服務。
電子政務是政府管理方式的革命,它的運行有助于建立一個開放透明的政府,一個勤政廉潔的政府。電子政務職能實現的前提是信息安全的有效保障,大量政府公文在政務信息網絡上的流轉,一旦存在信息安全問題,則直接導致機密數據和信息的泄漏,危及到政府的核心政務。如果電子政務信息安全得不到保障,電子政務的效率便無從保證,這將給國家利益帶來嚴重威脅。所以說,信息安全是制約電子政務建設與發展的首要問題和核心問題。
二、 電子政務面臨的風險
(一) 認知層面的風險
電子政務在國內建設與使用時間不長,缺乏深入研究。一些人只是簡單地認為電子政務系統就是信息化,只要實現了網絡數字化就可以推行電子政務,從而出現盲目建設、脫離現實條件等問題;還有一部分人認為電子政務就是運用計算機代替傳統手工模式,這就固化了現有政府結構,不利于政府的改造與職能的轉變。
(二) 規劃層面的風險
規劃層面的風險主要有:規劃制定人員、規劃的范圍和內容、規劃計劃的實施步驟、規劃中的政策因素等等。
信息技術的進一步應用,使得政府的組織形態正在由傳統的金字塔垂直模式向錯綜復雜的網狀結構轉變,這就要求政務機構的運行方式作出相應轉變,進行電子政務的整體規劃。電子政務是整個系統建設的基礎,是項目成功的基本保障。只有了解了本地區的發展現狀,了解地方政府的特點,了解本地區的政務工作流程,才能編制出適合本地區電子政務的發展規劃。但目前,地方政府在電子政務方面的規劃明顯不足,缺乏可操作性,這就導致在使用過程中面臨著很大風險。
(三) 物理安全層面的風險
物理安全層面的風險主要指的是網絡環境和物理特性引起的網絡設備和線路的不可用,從而造成網絡系統的不可用。例如,線路老化、蓄意破壞、設備意外故障、自然災害等, 這些都屬于物理安全層面的潛在風險因素。
(四) 應用層面的風險
應用層面的風險主要表現為非法訪問,即竊取用戶口令、用戶信息被剽竊或修改等,由于政府網絡對外提供WWW服務,Email服務、DNS服務等,因此也存在著外網非法用戶對內部服務器的攻擊。
(五) 系統層面的風險
當前電子政務網通常采用的操作系統本身在安全方面的考慮較少,服務器與數據庫的安全級別較低,這在很大程度上存在著安全隱患,加之病毒的潛伏,這些都增加了系統在安全方面的脆弱性。
(六) 技術層面的風險
技術層面的風險主要表現為技術線路、設備選型、工程質量、系統性能等風險。技術層面的風險不僅關系到項目的實施情況,也關系到項目后期的維護和應用。現階段受技術發展的制約,我們在技術方面還存在著很大欠缺,因此存在著一定的技術風險。
(七) 資金層面的風險
受利益的驅使,有些部門在制定規劃時,將電子政務的規模越做越大,虛設資金越來越多,這就使得電子政務的建設變得越來越困難。除此之外,在資金使用方面,由于缺乏對部門資金的有效監督,使得資金浪費現象嚴重。如果不能合理計劃和控制資金的流向,這將直接影響電子政務的建設,甚至促使一種新的腐敗的產生。另外,在后期維護上,電子政務系統也需要運營資金的支持,沒有了運營資金的有效支持,就沒有了電子政務的內容來源。
(八) 管理層面的風險
在電子政務運行過程中需要管理的內容主要有規劃管理、技術管理、過程管理、運維管理、安全管理等。管理的風險不僅體現在單個項目的管理,也體現在根據規劃對相關項目群的管理風險。管理風險是項目實施過程中最主要的風險,是項目成敗與否的關鍵。隨著信息系統建設和應用規模的不斷擴大,管理的難度和風險還將不斷加大,但與此同時,政府部門缺乏信息化項目管理的專業人員,缺乏項目管理的風險意識,這與快速發展的電子政務管理要求不相匹配。
三、 電子政務管理防范措施
(一)強化信息管理人員的安全意識
電子政務信息安全是電子政務正常而高效運轉的基礎,是保障國家信息安全的重要前提,電子政務信息管理人員要正確認識并高度重視,及時發現影響信息安全的現象。政府部門要對信息管理人員進行必要的培訓,普及信息安全知識,增強信息管理人員的安全意識;積極開展安全策略研究,明確安全責任,增強信息管理人員的責任心;積極組織各種講座和培訓班,培養專業信息安全人才,確保防范手段和技術措施的先進性和主動性。
(二)實施保障措施,建立系統安全保障體系
電子政務系統安全風險的威脅無處不在,它主要來自于物理環境、技術環境、社會環境等。建立全方位的電子政務信息系統安全保障體系是規避電子政務安全威脅因素的必要方式。在充分分析系統安全風險的基礎上,通過制定系統安全策略和采用先進的安全技術,才能對系統實施安全防護和監控,使其真正成為智能型系統安全體系。具體做法有:
1.實施監測系統的運行情況,及時發現和制止可能對系統出現威脅的各種攻擊;
2.記錄和分析安全審計數據,檢查系統中出現的違規行為,判斷是否違反法律法規,為改進系統提供充足的依據;
3.對數據恢復應進行應急處理和響應,及時恢復信息,降低被攻擊的破壞程度,包括備份、自動恢復、快速恢復等。
(三)制定合理資金計劃,確保有序利用
充足的資金是保證電子政務順利開展的必要條件。前期指定電子政務建設的方案中,要根據本單位、本部門的實際情況制定合理的資金預算方案,確保不虛報資金預算,杜絕腐敗滋生;在后期維護過程中,資金也要及時到位,以確保電子政務信息系統的順利進行。
(四)健全電子政務法律法規建設
法律是保障電子政務信息安全的最有力手段。政府立法部門應加快立法進程,借鑒國外網絡信息安全立法方面的先進經驗,制定完備的信息網絡安全性法規,完善我國的網絡信息安全法律體系,使得電子政務信息安全管理走上法制化軌道。
電子政務是實現“電子政府”的有效途徑,在政府推動信息化的同時,也要注意其過程中產生的風險,正視風險本身,加快制定保障電子政務健康發展的政策法規,才能降低風險,從而有力地推動和改進政府的管理方式,才能有助于更好的發揮其政府職能。
參考文獻:
[1]方德英,李敏強.IT項目風險管理理論體系構建[J].合肥工業大學學報(自然科學版),2003,,2(8):907-908.
[2]費朵,鄒家繼.項目風險識別防范探討[J].物流科技,2008(08):139-141.
