张向宏，耿贵宁，林　涛，卢　坦，崔　翀，冯远方，刘树栋（中国电子信息产业集团有限公司　中国信息安全研究院，北京100191）

美日俄信息安全体制机制研究（二）

信息安全法规建设

张向宏，耿贵宁，林涛，卢坦，崔翀，冯远方，刘树栋
（中国电子信息产业集团有限公司中国信息安全研究院，北京100191）

1　美国信息安全法规体系

1978年以来，美国先后出台了130多项涉及信息安全管理的法律法规，包括联邦立法和各州立法，并采取强有力的立法措施，陆续颁布一系列法律、法规和指南来提高对信息安全的保障能力。作为信息产业发展最为迅速的国家，美国拥有世界上最先进和最庞大的信息系统，对信息网络的依赖性也最大，信息安全问题成为其主要的现实隐患之一。因此，美国在促进信息产业迅速发展的同时，不断加强信息安全立法，整顿日趋严重的信息安全问题。信息安全立法涉及的领域从最初规范网络传播色情内容开始，逐步发展到政务安全、邮件、隐私、犯罪、电子商务、反恐等方面，已形成一整套较为完善的法规体系。在政府机构档案文件信息及保密、网络犯罪和个人信息隐私保护等方面制定了许多法律法规。近两年，美国就网络战、信息安全构建及政企合作三方面修订、新增了一些法案，其安全部门继续投入大量精力，打击通过互联网入侵与国家安全、社会安全息息相关的信息基础设施的网络恐怖行为，力图建立国家信息安全新环境。表1为美国的信息安全法律法规。

2　日本信息安全法规体系

日本重视信息安全法规体系建设，注重个人信息安全和网络犯罪立法。面对日益严峻的信息安全形势，自1973年，日本每年发行《信息安全白皮书》，并将《刑法》的内容延伸到网络领域。注重个人信息安全立法，以《个人信息保护法》为核心，建立起个人信息保护法律制度，包括《行政机关所持有之个人信息保护法》、《独立行政法人等所持有之个人信息保护法》、《信息公开与个人信息保护审查会设置法》及《完善实施〈行政机关所持有之个人信息保护法〉等法》，等等。注重网络犯罪立法，日本制定了针对从事黑客行为、病毒传播、伪造、偷窃以及阻止用户正当的登陆网站等计算机犯罪的法律。随着互联网的发展，日本持续完善信息安全法规体系，修订已有法规，制定新法规，并积极加入国际法律公约等。表2为日本信息安全法律法规。

表1　美国信息安全法律法规

3　俄罗斯信息安全法规体系

俄联邦政府根据国情制订了一系列信息安全保障法律、政策，已形成以宪法为立法依据，以《信息、信息技术和信息保护法》为立法基础，以若干纲领性文件为立法的政策指导和理论依托，以具体的法律规范为立法支撑的信息安全立法体系。随着信息化建设步伐的加快，俄罗斯对国家信息安全的重视程度日益提高，信息安全已被纳入国家安全战略。俄罗斯认为建立规范的法规体系是保障信息安全最有效的方法，在《俄罗斯联邦宪法》、《国家安全法》、《国家保密法》、《电信法》等中都对国家的信息安全做出了相应的规定，起草和修订了20余部法律。近年来，俄罗斯政府在政府监管和个人信息安全方面对其信息安全法规体系进行调整，修订原有法律，颁布新法规，构建了一个比较完善的国家信息安全法规体系。表3为俄罗斯信息安全法律法规。

表2　日本信息安全法律法规

表3　俄罗斯信息安全法律法规

4　美日俄信息安全法规体系比较

“未来网络空间将成为国家间竞争和博弈的新战场”，各类大规模信息泄露事件汹涌来袭，各种后门事件层出不穷，日益严峻的信息安全形势，使各国更加认识到这种对抗的真实性和严重性。信息安全的新问题、新危机和新挑战与日俱增，探求经济全球化背景下的信息安全立法模式是维护国家安全的重大战略，也是法治建设的急迫任务。世界各国对加强信息安全立法的呼声持续增强，加快制定出台信息法律法规刻不容缓。美、日、俄在信息安全立法方面主要有以下5个特点。

（1）重视加强信息安全立法及相关研究。美国一直高度重视信息安全问题，把确保信息安全列为国家安全战略最重要的组成部分。为加强信息网络基础设施保护和打击网络犯罪，由联邦法律、州法律、联邦行政决定、一些判例及国际公约，共同构成美国的信息安全法律体系，先后出台了130多项针对互联网管理的法律法规。日本从维护国家信息安全的高度，适时出台国家信息安全战略与相关法律，针对信息安全问题全面，已初步建立防御性立法与建设性立法并肩，行为义务与法律责任相结合的信息安全法制体系。随着信息化建设步伐的加快，俄罗斯对国家信息安全的重视程度也日益提高，信息安全已被纳入国家安全战略，已形成以联邦宪法规定为立法依据，以《信息、信息技术和信息保护法》为立法基础，以《俄罗斯国家安全构想》、《国家信息安全学说》及《2020年前俄罗斯国家安全战略》等若干纲领性文件为立法的政策指导和理论依托，以具体的法律规范为立法支撑的信息安全立法体系。

（2）信息安全立法体系严密，内容丰富。美、日、俄三国制订了一系列信息安全法律法规，涉及内容大致可分为网络基础设施保护、网络泄密与数据保密、打击网络恐怖主义、网络色情等犯罪活动治理、惩治网络信息滥用与欺诈、网络知识产权保护等6类。

（3）重视国际合作。信息安全与法治保障是一个世界性新议题，需要密切开展国际合作，互通共享，为建立现代信息安全法律体系，解决信息安全问题不懈努力。美国与其他国家一道，积极制订国际性法规。2000年，美、日、俄等8国签订《全球信息社会冲绳宪章》，在对信息技术的发展方面提出了一些制约，这有利于推动世界信息社会的发展。2001年，美、日等30个成员国共同达成了一个名为《反计算机犯罪公约》，这是第一个通过国与国之间合作而达成的公约，它的意义就在于加大对不法分子国际合作的打击。2006年，美参议院批准了《计算机犯罪公约》，该公约于2007年1月1日在美国正式生效。2012年6月，日本政府决定签署《网络犯罪公约》，与国际社会合作努力加大打击犯罪的力度。同年6月，欧美日联合发布《政府信息安全推荐准则》，呼吁各国政府应与私营行业开展合作，进一步推进信息安全计划。俄罗斯政府认为必须加强该领域的国际合作，特别是与独联体国家的合作；积极参与所有确保信息安全的国际组织，保障国际信息交流的安全；协调各国执法机关在防止计算机犯罪活动中的行动；防止窃取国际银行网络和国际商务信息网络的秘密信息；防止未经许可地获取正在进行反跨国团伙犯罪、国际恐怖主义、毒品扩散、走私军火和贩卖人口斗争的国际执法机关的信息。

（4）重视基础设施信息安全保护。信息基础设施已经在国家社会生活的各个领域中发挥着不可替代的作用，政治生活、经济运作、商业活动、军事安全和文化娱乐，都依赖庞大而复杂的网络系统。2013年2月，美国总统奥巴马签署一项旨在提高关键性基础设施信息安全的行政命令，加强美国政府与关键基础设施合作伙伴之间的信息共享，共同建立和发展一个推动信息安全的实践框架。同年12月，美国两党共同推出“2013年国家网络安全和关键基础设施保护法案”（NCCIP法案）。2006和2012年，俄罗斯安全局两次提出为信息基础设施的安全立法。2013年8月，俄罗斯联邦安全局出台了《俄罗斯联邦关键网络信息基础设施安全》草案，这是俄罗斯第三次提出为国家关键信息基础设施安全立法。

（5）重视个人信息保护。信息技术的发展，使个人信息安全问题日渐凸显。美国十分重视对公民个人隐私权的保护，宪法第四修正案专门规定了公民的隐私权。美国对个人信息的保护通过相应立法，配合行业自律政策，有效实现个人隐私保护。1995年，美国正式提出个人信息保护原则；1974年，美国《隐私权法》可视为美国保护隐私权的基本法。日本是一个法律和民众意识都比较健全的国家，日本政府在推进信息化社会建设中加快立法保护个人信息。日本构筑了一个相对完整的以《个人信息保护法》为基本法，各部门单行法为补充的法律体系。《个人信息保护法》以个人信息的有效利用与个人信息保护为宗旨，确立了个人信息保护的基本原则及方针。2013年8月，日本《特定秘密保护法案》将严厉处罚泄露特定机密情报的国家公务员等相关人员。2006年8月，俄罗斯正式颁布《个人信息法》，个人信息的范畴包括自然人的一切相关信息。2013年5月，俄罗斯总统普京签署法律，就公民个人信息保护问题，根据欧洲理事会公约的相关规定，针对雇佣关系中个人信息的接收与处理方面等做出调整。

“棱镜门”事件的相继曝光，网络监控、网络泄密、病毒泛滥和黑客攻击等事件的不断增长，引爆了各国对互联网信息安全的强烈关注。在“信息安全漏洞之年”，各国纷纷加强信息安全立法，构建网络空间安全战略，保障国家基础网络和重要信息系统安全已迫在眉睫。