日本网络地理信息安全政策建设的经验与启示
2015-04-17姜练琳
赵 晖,姜练琳
(南京师范大学公共管理学院,江苏 南京 210023)
在网络出现之前,地理信息安全是面向数据的安全,主要针对地理信息的机密性安全、完整性安全以及可获性保护等方面。互联网出现之后,地理信息安全的内涵扩展到了面向用户的安全,包括识别、授权、访问控制、抗否认性和可服务性,以及对于个人隐私、知识产权的内容保护。至此,两者的结合构成了现代网络地理信息安全的整体框架。
网络地理信息安全是国家网络信息安全整体战略规划的一个重要组成部分,对他国网络地理信息安全政策的研究与借鉴,是优化我国网络地理信息安全监管的重要途径。本文以《高度信息通讯网络社会形成基本法》(以下简称《IT 基本法》)颁布之后的日本为研究对象,通过对日本网络地理信息安全的法律法规体系、政策监管体制、组织制度保障等方面的分析,探寻日本网络地理信息安全政策对我国的借鉴与启示。
一、日本网络地理信息安全战略的演变历程
随着信息技术的迅猛发展和网络GIS技术的广泛应用,全球信息网络化浪潮在给各国带来发展机遇的同时,也带来了安全隐患,涉密网络地理信息的泄露严重威胁着各国切身利益。网络地理信息安全作为日本IT 空间基础设计的重要组成部分,日本政府将对其的监管上升到国家战略的高度,逐步探索并建立了政府主导、社会参与、国际合作的三维合作模式,为日本军事、国防、经济以及社会构筑了可持续的发展环境,保障了日本网络地理信息安全的监管处于世界前列。2000 年以来,日本网络地理信息安全主要经历了战略确立、发展、攻坚和全面深化四个阶段。
(一)推进“IT 立国”的战略确立阶段
2000年前后日本“中央省厅主页连续篡改事件”[1],使得日本对网络地理信息安全的监管意识开始觉醒。作为世界科技强国之一,日本深刻地认识到信息技术在国家经济、国防、政治、社会等各方面所带来的深刻变革和深远影响。因此,为了进一步推进“IT 立国”这一战略规划的实现,日本在2000年出台了一系列法律法规,以保障网络地理信息安全的法治化进程的顺利进行。
首先,2000年,日本制定了“IT 基本战略”,通过了《IT 基 本 法》,并 于2001 年1 月6 日 正 式 实施。《IT 基本法》规定,要通过制度改革适当保护和利用知识产权,确保网络的安全性和网络的可信赖度,保护个人隐私信息。《IT 基本法》奠定了日本“IT 立国”政策的法治基础,也标志着日本走向了网络地理信息安全的法治化阶段。
其次,在身份认证与电子签名政策方面,2000年5月,日本国会通过了通产、邮政、法务三省联名的提案——“关于电子签名及鉴别业务的法案”,制定了《电子签名鉴别法》。电子签名作为日本政府设想的“电子政府”的一个方面,需要确保其签名和认证的真实有效性,因此,《电子签名鉴别法》规定,有权发行“特定认证业务”的电子证书认证机构必须获得通产大臣的批准和认可。如果电子证书认证机构在进行有关认证业务中采取某些违法行为,相关部门有权对其采取现场调查,查实后有权进行取消认可等处分[2]。另外,对于使用假名等非法手段获取电子证书的用户,也将给予严厉的惩罚:此类用户将受到三年以下的监禁或者200万日元以下的罚款。
此外,随着以黑客为主的网络犯罪日益严重,日本于2000年2月13日实施了以保护个人隐私数据安全与自由传送为目的的《反黑客法》。《反黑客法》规定,擅自使用他人的身份和密码入侵电脑网络的行为都将被视为违法犯罪行为,最高可判处10年监禁。次年2月,《关于禁止不正当存取行为的法律》的实施更是加强了对黑客的惩处力度[3]。
(二)以“e-Japan战略”为核心的发展阶段
日本在确立“IT 立国”政策后,始终强调信息安全保障是日本“综合保障体系的核心”,以“e-Japan战略”为主线,建立健全了一系列包括网络地理信息安全在内的网络信息安全政策,包括“信息安全监查”的事前预防制度、社会保密制度和官民协作、多方合作的安全监管模式。
2001年1月22 日,日本IT 战略总部召开了第一次会议,决定实施“电子日本战略”(e-Japan战略)。同年3月29日,在其制定的“e-Japan重点计划”中,明确了信息和通信网络社会努力的方向和实施的策略,确定了政府当前应重点着手实施的各项具体措施。
2003年10月,日本经济产业省明确提出并制定的《日本信息安全总体战略》中,重点强调了“信息安全监查”这一重要的事前预防制度,要求建设事故前提型社会系统。同时,意识到在强化政府干预的同时,必须区分“完全的政府施策领域”与“官民协作、合作领域”,对专业人才和预算资源进行有效合理配置。
2004 年6 月 出 台 的“e-JapanⅡ重 点 计 划—2004”认为,目前日本网络信息安全的首要措施是实施保证IT 社会安全的社会保密政策。同年12月,日本内阁会议发布《新防卫大纲》,确定了最前沿的信息技术,以提高其安全防御能力。
2005年完成“e-JapanⅡ”战略后,日本防卫厅根据《新防卫大纲》制定了《信息战略计划》。2006年1月,IT 战略总部发布了《IT 新改革战略》,作为2006—2010年信息技术建设的基本纲领[4]。值得注意的是,《新防卫大纲》和《信息战略计划》中将“国际和平合作活动”定义为自卫队的主要活动,其实质是试图建立覆盖从中东到东亚这条“不稳定弧”全境的影像通信体系,旨在加强日美双方司令部级别的网络地理信息数据共享。
(三)力图挽救日美合作的攻坚阶段
日本防卫厅最新引进的通信系统,可以通过大容量商业卫星将自卫队在海外的所有活动影像实时传回日本,使用范围基本上可以覆盖“不稳定弧”地带,这是美军十分重视且需要的,因此日方也十分重视其网络地理信息在传输过程中的密保安全工作。因为一旦网络地理信息受到黑客攻击或其他形式的泄露,后果将不堪设想。
2006年以来,虽然日本竭力在网络地理信息传输、交换、存储与管理的过程中保证其数据不被非授权用户非法访问或破坏,但是还是发生了各种网络地理信息泄密事件。其中,2006年2月,日本防卫史上最大的泄密事件——日本海上自卫队“朝雪号”驱逐舰机密情报泄露事件,其泄密数量之大、细节之全、密级之高史无前例。此类泄密事件的发生严重影响了日美数据共享的合作战略。因此,2006年之后日本频繁出台一系列政策试图挽回局面。2006年,IT 战略总部制定《IT 新改革战略》,信息安全政策会议通过了《第一份信息安全基本计划》;2007年,信息安全政策会议制定了《关于信息安全政策指南》;2009年,《第二份信息安全基本计划》在日本信息安全政策会议上通过;2010年,《日本保护国民信息安全战略》在信息安全政策会议上得到认可与批准,此战略要求政府在未来四年内按年度分别制定《安全·日本20XX年计划》。
(四)以加强国际合作为核心的全面深化阶段
2013年斯诺登的“棱镜门”事件后,日本更是全面加强了网络地理信息安全各方面的预警工作,同时加强国际合作,旨在全面深化日本网络地理信息安全。
从2013年开始,为应对各类网络地理信息安全事件,日本从都道府县警察局逐步发展到所有省厅均要求配备“网络攻击应对小组”。增加技术性专业人才以加强网络防御技术实验室的技术应对和创新能力提升,频繁进行信息安全演练及竞赛。
2013年6 月,日本公布了《日本网络安全战略》,旨在建立“世界领先水平的强大而有活力的动态网络空间”。将网络空间防卫列为重点工作,要求加强自卫队应对泄露及窃取国家机密情报等情况的国家网络防御能力。此外,日本还先后与意大利、英国签署了《信息保护协议》《信息安全协议》,与美国进行了网络空间方面的首次综合性对话,在《日美防卫合作指针》的基础上,深化应对网络攻击方面的同盟关系。
2013年12月6日,日本政府通过了《特定秘密保护法》,该法规定“特定秘密”范围包括防御、外交、安全威胁防范行动和反恐行动四类,对于泄露特定秘密的人员特别是泄露国家机密情报的国家公务员等相关人员的处罚将更加严厉。但现实是,这一法案并不被大众所看好,很多人认为此法案虽然规定要严惩泄露国家秘密的行为,但是对于“秘密”没有做出明确的定义,秘密的内涵与外延模糊不清。因此该法案存在故意将涉密内容和范围扩大、模糊涉密标准的嫌疑,从而为安倍使用“危害国家秘密”一词留下很大空间。政府不仅可以让公众无权参与何种特定信息定义为“秘密”,从而擅自将一些容易引起民意反对的信息纳入机密范围,同时可借法律的名义打压和抑制与安倍政府相左的意见和反对的声音[5]。
二、日本网络地理信息安全政策建设的经验
(一)建立“三位一体”的网络地理信息安全监管组织体系
日本自确立“IT 立国”政策以来,十分重视包括网络地理信息安全在内的网络信息安全组织制度建设,建立了政府主导、社会参与、国际合作的三维合作模式。在日本政府看来,任何组织和机构都可以随着形势需要而成立其安全机构,用于支援政府信息安全,从而最大程度利用更多的社会资源为社会和国家服务。这样的网络地理信息安全机制由于是政府主导、社会参与,因而打破了老套的“科层制”弊端,能够消除类似条块分割的缺陷。
首先,政府根据《IT 基本法》以法律的形式确立了在内阁设置“高度信息通信网络社会推进战略总部(IT 战略总部)”的长效机制,IT 战略总部主要负责国内信息化战略的各项具体措施的制定与实施。2005年,根据IT 战略总部要求,日本召开以内阁为首的专业管理网络信息内容安全的局长级别会议,会议主要研究国外网络信息内容安全治理的相关法律、法规及政策,根据国外经验并结合日本实际情况,制定适合本国国情的政策。
其次,一些民间协会和非政府组织也积极参与网络地理信息安全保障工作。日本安全监察协会于2003年10月16日成立,其成员包括在经济产业省担任“信息安全监察制度”监察人的企业和团体。日本总务省于2004年1月成立了通信基础设施安全研究机构,旨在加强国际交流与合作,从而试图防止计算机病毒的攻击,并阻止病毒的扩散。
第三,加强国际合作。2000年日本与法国共同主持了“政府部门和私营机构关于网络空间安全与信任对话”的八国集团会议;2000年以来一直试图加强美日网络信息共享合作关系;2013年相继与意大利、美国、英国等国签署相关协议及合作指针,旨在加强国际合作,有效应对网络地理信息安全威胁。
(二)重点推进网络地理信息分级分类管理
日本政府为了应对高速发展的信息事业,对政府信息安全基准——《政府机关关于信息安全的统一基准》进行了重要修补,并将过去一个基准分成《统一管理基准》和《统一技术基准》两个基准。根据新的统一基准,日本制定了涉密信息安全分级分类制度,作为统一管理基准(图1)。根据统一管理基准,中央政府各省厅都需要结合各自单位与部门的具体行政特点,采取积极态度,从电子政府安全的角度积极推动相应具体规则办法的制定,不断提高包括网络地理信息在内的网络信息安全水平[6]。
图1 日本涉密信息分级分类框架
(三)严格规范网络地理信息的查阅和使用
日本对于网络地理信息的查阅和使用与我国不同,它主要是从成果保管人的义务角度来规定查阅权限的,并不是通过查阅人的身份来限定和要求的。如《日本测量法》规定:国土地理院的长官获得基础测量成果时,应利用互联网或其他合适的方法对该测量的测量种类、测量精度和实施限期与地区以及其他必要的事项予以公示;国土交通大臣对基础测量成果中关于地图以及其他一般认为必要的成果予以刊行,或者按照国土交通省条例的规定将含有这些内容的信息以多数者能够接受的方法(如电磁方法,使用电子信息处理组织的方法或者利用其他信息通信技术的方法,下同)予以提供;国土地理院院长负责基础测量成果和测量记录的保管,根据国土交通省的相关规定提供一般性查阅[7]。
2001年美国“9·11”事件后,日本政府加强了对地理信息数据库数据的使用限制,出台了《日本国家数字土地信息纲要》,对使用数字国家土地信息(DNLI)数据库的限制包括:如果发现数据有误,必须通知日本地图中心(JMC);使用数据后形成的任何产品必须标明其数据来源;如果购买数据后想用于法律规定的特定目的,则必须提交使用许可申请,获得审批同意后方可使用,但同时数据不可另作他用;数据使用许可的有效期为一年,如果想继续使用数据,则必须重新提交申请许可。日本海洋信息部公开提供的数据有:海图(日文/英文版)、基本海图、特殊图、航空图、电子海图、航行警告、水路通报、水路书志和特殊书志等,执行相关的收费标准后可获取。
此外,《日本测量法》还明确规定,当测绘成果的使用者发现测 绘成果和现实情况不一致时,有向测绘机关通报的义务,目的是为相关部门进行修改更正提供参考,同时还规定了禁止非官方批准认可的测绘成果的使用。
(四)实行严密的网络地理信息从业主体准入制
日本十分重视涉密地理信息从业人员的资格审查,对从业人员的专业素质和职业操守要求较高,这也是保障地理信息质量和安全的重要基础。《日本测量法》第五章专门涉及测量师及助理测量师,“从事基础测量或公共测量的技术人员,必须是依照第四十九条规定登记的测量师及助理测量师”,“具有测量师或助理测量师资格者,在成为测量师或者助理测量师时,应向国土地理信息院院长递交其资格证书,并且必须申请登记测量师及助理测量师名簿”,同时对测量师和助理测量师的条件进行了严格而又详细的规定。同时,《日本测量法》第六章对于测量业者(包括企业和个人)的登记、业务、监督、撤销登记或停止营业等也作出了详细的规定。(五)高度重视网络地理信息审批
在网络地理信息的传播过程中,严密的审批政策规定也是保障日本网络地理信息安全的关键。日本汇交的测绘成果需经国土地理院院长进行评审核定同时需附以具体的审查意见之后再向公众公开。
《日本海道测量法》作为日本规范海洋地理信息测绘的专门法律,规定获准实施水文测量的人员应该将其测量结果复制并及时上交给海上保安厅,这实质上是一种成果汇交规定。其中,第24条规定:任何非海上保安厅人员,欲复制或发表由海上保安厅出版的航海图书或海上航空图书、或利用这些成果来出版其他的用于航海或航空的航海图书或航空图书时,必须得到海上保安厅长官的批准。第25条规定:任何人要发行类似于海上保安厅发行的海图、航空图、航路指南或航标表等刊物,必须经海上保安厅长官批准。
《日本测量法》要求基本测量、公共测量和其他测量的成果都要汇交,基础测绘的种类、精度以及实施时期与地区还有其他必要的事项要及时公布,而对汇交中的非基础测绘成果则需进行评审核定后再公布。测量成果或测量记录的拷贝、副本或者手抄本的需求者,应根据国土交通省的规定,向国土地理信息院院长提出申请。
三、日本网络地理信息安全政策对我国的启示
面对日益严峻的网络地理信息安全形势,我国在网络地理信息的采集、传播、使用等诸多环节面临着越来越多的安全隐患,而日本的网络地理信息安全管理历经了多年的演变,积累了丰富的经验,对我国网络地理安全信息管理具有很好的借鉴意义。
首先,应积极推动包括网络地理信息安全在内的网络信息安全立法,通过法律的形式将网络地理信息安全提升到国家战略高度。我国目前尚没有针对地理信息安全的政策法规体系,缺乏法规政策系统性和完备性,应借鉴日本以《IT 基本法》为基础、以《日本测量法》《日本海道测量法》等一系列法律法规和信息安全法规政策为支撑的庞大的树干体系,明确网络地理信息安全的法律地位;梳理已有的不同效力的法律法规,修改那些相互矛盾的规定,调整修正滞后的法律;适时颁布新的法律法规,亟须制定《网络地理信息安全法》等专门法律来填补监管空白,同时要重视立法的具体性和可操作性。通过网络地理信息规制委员会的综合协调作用,协调颁布和实施相应政策法律规定,做到依据统一,提升政府的地理信息安全政策供给能力,建立完整统一的网络地理信息安全政策法律框架体系(图2)。
图2 我国网络地理信息安全政策法律框架
其次,应不断完善网络地理信息监管组织体系。政府部门要充分认识到政府干预的局限性,加强社会参与、国际合作,充分利用社会资源,进行资源的有效配置,让一切有利于网络地理信息安全发展的要素都参与进来,形成科学合理、责任分工明确的监管组织体系。网络地理信息安全政策的制定和执行需要保密、测绘、信息管理、国家安全、公安等部门的通力合作,为强化部门间的协调配合,应由国土资源部牵头,建立网络地理信息安全部级联席会议制度,同时健全网络地理信息安全相关职能部门联合办公机制和联席会议制度。此外,要重视发挥社会力量,进一步通过建立行业自律机制、引入新闻媒体监督、完善举报奖励制度等促进网络地理信息安全监管公共参与,鼓励高等院校和科研机构以及国际合作机构为网络地理信息安全监管开展技术研究,提供技术服务。
再次,进一步加强科学合理的网络地理信息分级分类管理。我国现行地理信息安全保密规定的涉密范围与保密等级的确定缺乏科学依据,针对性不强,数字信息与模拟地图未区别对待,隐患较多。应科学合理地对网络地理信息进行分级分类,科学确定基本比例尺地形图及其数字化成果,克服“保密偏严”的问题,做到“合理保密,充分利用”。
最后,建立健全网络地理信息从业主体准入和公开信息审批的相关政策,加强涉密人员的保密意识。日本的三维监管组织体系已经成熟,通过《日本测量法》规定了测量业者的登记、业务、撤销(即清退)等,同时业界也已经形成测量业者的职业道德规范。我国在这一方面尚需努力,需要进一步形成统一、规范、具体明晰化的准入和清退等级标准划分。同时,日本是从成果保管人的义务角度来规定网络地理信息的查阅权限的[8],而我国是对查阅者的身份进行限定或者其他要求,因此可以借鉴日本的做法,进行成果保管人义务限定,加强涉密人员的责任意识,权责相匹配。此外,通过科学管理、培训学习等形式加强涉密人员保密意识和责任意识,加大保密监查和问题查处力度,有效推进网络地理信息安全管理工作。
[1]李少鹏.美、俄、法、日四国信息安全十年[J].信息安全与通信保密,2013(12):44-47
[2]张友春.日本信息安全保障体系建设情况综述[J].信息安全与通信保密,2002(6):57-60
[3]王鹏飞.论日本信息安全战略的“保障型”[J].东北亚论坛,2007(3):95-99
[4]吴远.“动态治理”——日本信息安全制度及密级划分制度的启示[J].办公室业务,2012(4):49-50
[5]新华网.日本众议院强行通过《特定秘密保护法案》[EB/OL].(2013-12-04)[2015-04-21].http://news.xinhuanet.com/mil/2013-12/04/c_125803626.htm
[6]李柯.日本行政机关网络信息安全对策体制[J].国土资源信息化,2007(6):31-35
[7]国家测绘局政策法规司.国外测绘法规政策选编[M].北京:测绘出版社,2009:175
[8]宁镇亚.中、日、韩三国测绘法对测绘成果管理的规定[J].测绘与空间地理信息,2009(5):213-218