近期,美国国会以国家信息安全的理由明确限制华为、中兴进入美国市场,使得国家信息安全这个问题受到了前所未有的关注。但另一方面值得我们注意的是,目前在中国的政府、金融、化工等核心领域内,有大量设备来自思科、微软等美国企业,他们占据着国内庞大的市场份额,控制着我国大部分网络命脉,其背后存在的国家安全隐患可能让我们不寒而栗。
3月3日,经济观察报社主办了一场名为《国家安全与信息主权》的论坛,知名IT法律专家赵占领分析称,我国对于信息安全的重视程度应该上升至国家战略层面,而目前在这方面我国尚未有相关法律规定,亟待尽快立法。
他谈到,我国对于信息安全总体重视程度还不够,政府采购法本身也有一些不完善的地方。国家安全审查只有在一个领域,只有外资并购内资的时候,才审查,这样的安全审查领域,很难起到作用,只能够在有限的方面可以作为一种贸易方面的综测。所以在信息安全方面以及基础设施的安全方面,我们未来从安全审查很有必要去建立,不仅仅是在内资并购外资,在信息安全设施涉及到一些敏感关键问题的地方同样需要审查,一个是从准入的时候进行审查,一个是准入进入之后要安全审查。
以下是演讲实录:
信息安全的问题,在立法政策方面这几年可能引起关注,无论是全国人大的立法,还是像个人信息保护的指南,应该说信息安全立法,应该被提高到前所未有的高度。但目前,信息安全立法的法律和框架应该还存在很多不足的地方,针对这个问题我做一个简单的分类,大概是两类,一个是信息基础设施的安全,信息资源的安全。基础设施的安全,应该是所面临的安全的威胁,应该说几种,一种是违法的侵入,或者使用网络的资源,第二种就是非法破坏,对计算机的内部的资源,或者说网络的功能进行一种删改,或者增加一些功能,也有可能对计算机信息系统的一些数据,或者应用程序进行一些修改删除,或者是增加一些内容,这些方面,还有一个是制作传播计算机病毒,这三个方面在信息基础设施方面,所遇到的主要的问题。
我们现在立法的现状,我总结了一下,就是应该说有几个方面的立法,一种是计算机病毒的防治,防治方面公安部也出台了防治的管理办法,这个包括具体的管理工作由公安部管理。第二个方面信息系统安全产品销售许可,包括是对安全产品的检测还有认定方面,也有相关的一系列规定,还有一个是像国际信息网络的国际互连,应该说也做了一些限制。另外从侵入和破坏的角度,应该说刑法修正案,包括刑法之前的也做了相关的两个罪名,非法入侵计算机系统罪,非法破坏计算机系统罪。还有一些是有一些政府部门,针对特定的领域,比如我们今天所涉及的金融领域,像铁路、这些方面,相关的部委也制订了一些具体的部门的规章,这里面有一些,这是一个关于信息基础设施安全方面,我们目前大致的立法框架。
另外像信息资源的安全,这里边应该有两块,我个人的理解,一种是信息资源内容的安全,主要是侧重于传播的内容,涉黄涉暴,涉及政府敏感内容方面,这个方面对它的监管,从我们像2000年全国人大制定关于维护互联网安全的决定到后边的国务院制定像互联网信息服务管理办法,也包括这个其他各个部门所制定的规章,应该说前期重点是侧重于对内容本身所涉及的内容的监管。
个人信息方面,应该说我们现有的信息安全的立法里边,我个人觉得是最完善的一个,无论是从刑事的角度,非法的提供、销售个人信息的犯罪,另外像2008年也规定了隐私权,从隐私权的角度,个人信息中有一部分内容涉及到隐私的内容,两个有交叉从隐私的角度对个人信息也进行了保护。
还有一个方面就是个人信息的国标,这个国标是应该是工信部牵头起草了,今年2月1号开始实施,是推荐性的,没有牵制约束力,属于技术性指导文件,我们个人信息的保护,相对比较完善,因为无论是从刑事、民事还是行政,甚至包括国家标准的角度,做了一个比较系统的规范、立法的体系,这个相对是更完整一些的。
那么前面我是大概对中国目前的这个信息安全的立法方面所涉及的立法体系做一个简单的介绍,我们现在总的来看,目前中国信息安全的立法有这样几个特点,第一个立法的侧重点是信息资源的安全,包括内容的安全,个人信息保护,而这种立法可能更多在于怎样去保障信息的安全,对于这种信息基础设施的本身的安全状况,缺少很多的规定,不是关注的重点,应该说也是现在立法比较欠缺的一个地方。
另外一个方面信息安全的重视程度,应该说是在逐步的上升,还没有上升到国家战略的高度,美国还是欧盟,他们对信息安全的重视程度,一个是上升到国家战略的层面,另外从国家总统或者说最高元首,下设直接隶属于内阁的安全的机构,常设的机构都已经有了,有一些国家也组建网络部队,他们对信息安全的重视,已经超出了经济方面的安全,可能更多涉及到军事、外交等方面的安全。中国从去年信息安全的立法这个方面已经逐步的重视,但是上升到国家安全的战略层面也开始重视,目前正在起草信息安全的国家战略,应该说推动这个事情的可能需要一个过程,但是最起码我们看到这是一个进步,也是一个积极的信号。
前两天中国人寿的几十万的信息泄露,企业承担责任。这个直接的责任人应该承担刑事责任,这个刑法修正案从2008年之后,我们有一些涉及到信息安全的部门,内部的人员把这些信息提供出去,有一些也已经被追究刑事责任了。但是对于个人信息保护还有一个方面就是行政责任,行政责任是相对来讲最欠缺的方面,因为像行政责任,包括刚才对侵入计算机系统,又是把收集的信息非法销售提供给第三方,但是对于像基础设施本身的安全,还有其他的一些方面,行政责任规定比较少,在全国人大立法方面还需要解决,实际上对行政监管的机构的职责没有划分清楚,另外一个方面对泄露个人信息,包括信息相关信息的安全,具体的类型也没有确定清楚,现在只是说有几种大概处罚的方式,但是对于某些具体类型的,就是信息安全的事件,所承担的行政责任他们要做一个类型化的划分,这是尽管有不同的部门,不同的机构在关注信息安全,但是实际上还存在很多的立法的空白,这是一个比较明显的体现。
另外像信息安全方面,我还想到现在美国实行贸易保护,他们常使用三个手段,关税、倾销、知识产权,国家安全从我们国家角度来讲,我们在这三个方面,实际上都没有一个比较有利的一个应对措施,我们从知识产权角度,即使有一些,也没有上升到国家的这个层面。比如说像去年,苹果在没有取得这个商标权许可的情况下,也没有获得转让的情况下,在中国销售这个产品,存在商标侵权,最后以高价的赔偿,这个例子应该说在国内企业利用知识产权来对抗跨国巨头。我们应该说去利用专利的武器打击和竞争对手抗衡,应该说现在很少,我们现在国际上的几大专利战,中国企业主动去利用专利武器去打击竞争对手,去进行商业竞争的还是比较少见。
IT时代网(关注微信公众号ITtime2000,定时推送,互动有福利惊喜)所有原创文章版权所有,未经授权,转载必究。
创客100创投基金成立于2015年,直通硅谷,专注于TMT领域早期项目投资。LP均来自政府、互联网IT、传媒知名企业和个人。创客100创投基金对IT、通信、互联网、IP等有着自己独特眼光和丰富的资源。决策快、投资快是创客100基金最显著的特点。
小何
小何
小何
小何