信息安全法律法规(精选12篇)
信息安全法律法规 篇1
0.引言
《信息安全标准与法律法规》课程与其他专业课程具有很大的差异性,因此其在教学的方式上将不能沿用旧有的教学方法和手段,本文将通过该课程的课程特点,探讨该课程的教学方式和方法。《信息安全标准与法律法规》课程具有多种特点。
(1)内容单调乏味课程主要介绍国内外的信息安全标准及法律法规,涉及的条文条例都比较生硬,学生读起来比较乏味,教师如若照本宣科则很难提起学生的兴趣。
(2)学生缺乏学习热情信息安全系学生为理工科学生,对逻辑思维类比较强的课程比较有兴趣,对这类课程总以为应该是为文科生开设的,考试的时候背背就行了,平时不需要多花时间去学,因此缺乏学习的兴趣。
(3)课程内容更新快随着信息技术的发展,信息安全标准与法律法规也在不断更改,内容更新比较快,往往所用的教材已经与现有的内容有所差异。
(4)涉及的专业术语较多因为是和信息安全相关的条文条例,自然涉及较多的专业术语,而这些专业术语对于低年级的学生而言理解上有一定的难度。
针对这些特点,通过在教学实践中的经验,探讨了《信息安全标准与法律法规》课程的一些教学方式和方法。
1. 教学方法
1.1 案例教学法
在讲解各个法律条文之前收集与该法律条文相关的典型案例,用案例讲解法理,将呆板的理论放到活生生的案例情景之中,使学生能够从真实的案例中感受法理、学习法理。如在讲授“非法侵入计算机信息系统罪”内容时,选用2008年“‘大小姐’木马盗号案”进行讲解,深入浅出,将枯燥的法律条文变成了真实的案例,法律条文变得生动,使得学生更容易理解。
1.2 及时更新教材内容
时刻追踪信息安全法律法规的最新发展,及时更新教材内容。
信息安全法律法规都比较新,并且处于不断补充和更新的过程中。犯罪技术、犯罪手段的发展及信息技术的发展往往会带来与之相适应的新的法律法规。这就要求教师要时刻紧跟信息安全技术和信息安全法律法规的最新发展,将最新知识不断补充到自己的讲课内容中,而不仅仅拘泥于现有教材。
上述做法,可提高学生对信息安全领域发展最新动向的敏感性,使学生养成追踪信息安全技术、信息安全法律法规最新进展的习惯,为学生将来成长为一名合格的信息安全专业技术人员,打下良好基础。
1.3 相关专业技术与法律知识相融合
该课程中,在涉及专业术语时,利用鲜活的实例穿插讲解专业技术相关内容。在对案例进行法理分析的同时,将信息安全专业技术相关学科的知识(如计算机病毒与防治、入侵检测、安全审计、防火墙等)适当渗透到案例分析中,让学生在深刻理解信息安全法律法规的同时,放宽视野,站在信息安全专业的高度分析问题的来龙去脉,大大提高学生对法律法规的掌握和理解深度,同时为后面的专业技术课程做了铺垫,提高学生综合分析问题、解决问题的能力。比如,讲授非法侵入计算机信息系统罪中的案例“‘大小姐’木马盗号”这一案例时,为学生讲授案件的产生、传播过程及对社会产生的严重危害。同时,适当介绍木马所涉及到的计算机病毒技术,使学生将多门课程的知识融会贯通,既有利于理解本课程的知识,同时也促进了学生对相关技术的学习热情,做到一举两得。
1.4 教学手段的多样性
(1)采用多媒体课件利用多媒体课件教学,有效增加每节课的信息量,提高教师讲课的效率,同时生动的多媒体课件可带给学生视、听觉上冲击,使枯燥乏味的课程有了生气。
(2)播放案件相关视频文件涉及相关案例时收集相关视频文件,在课堂上采用边播放视频文件边讲解的方式,使得利用文字表达困难或者难以理解的内容能够生动有效地呈现给学生,取得事半功倍的效果。
(3)利用网络平台充分利用网络平台,如建立公共邮箱、开设课程网络空间交流平台,方便学生的学习和交流。利用公共邮箱存放教学课件及相关资料,使得学生能够随时随地查阅资料;通过网络空间交流平台进行答疑和辅导;同时,通过网络为学生补充大量的课外读物,开拓自主学习的空间等。
1.5 学生分组辩论及学生参与讲授课程的方式。
针对某节讲课内容,教师可提前安排学生在课余时间寻找最新案例,并在课堂教学中让学生针对该节某个问题展开分组讨论,在讨论的过程中,巩固旧知识,掌握新知识。如在讲授“中华人民共和国计算机信息系统安全保护条例”内容时,选用“江民逻辑炸弹事件”作为典型案例,学生通过分组分析、讨论案例的整个过程,了解条例的适用范围及违法行为的界定。在激烈的讨论中,强化了对所学知识的掌握和运用。
在讲授“国际安全标准”这章时,布置一部分内容让每个学生提前做好准备,上课时采用随机叫的方式给学生3-5分钟时间讲授准备的部分内容,使得学生参与到教学当中,在角色转变的同时提高学生学习的积极性和主动性。
2. 采用新的教学方法后的效果
多种教学方法和手段的运用使学生由被动地位转为主动地位,由单纯接受知识转为有创造性地运用知识,从以应试为目标而形成的背书、背笔记的机械式学习方式的桎梏中解放出来,转变为以运用法学理论、法律知识分析和处理案件为目标的能力培养,学生的创新意识、创新能力、实践能力均得到较好的提高。
经过对教学内容、教学方法等的改进,从对学生的考核中能看出,学生对信息安全法律法规基本理论的理解和掌握比较牢固,应用比较灵活,能将书本所学内容应用到具体案例分析中。更重要的是,作为一名未来的信息安全从业者,学生具有了从业人员应该具有的最基本的法律意识,同时对信息安全技术相关课程的学习热情得到很好的调动,在后来的学习中常将遇到的新知识、新问题拿来与老师探讨。
3. 结束语
通过作者多年的教学过程总结,虽然对该课程的教学内容、方法等做了一些改进,取得了一定的收效,但随着信息安全技术的进一步发展,信息安全标准与法律法规的同步发展,必将对该门课程的教学提出更多更高的要求。
参考文献
[1]网络犯罪30年全球六成用户遭受过网络犯罪侵害.http://www.hackbase.com/news/2011-01-07/40390.html.
[2]2009年全国信息网络安全状况与计算机病毒疫情调查分析报告.http://www.antivirus-china.org.cn/index.asp.
信息安全法律法规 篇2
对于这门课,主要是从信息安全的角度来讲,信息安全法律法规主要是信息与法律的一个连接,正所谓只有法律的约束才能让信息这个空间变得安全。
国家法律中与信息安全相关的法律有:农业部《计算机信息网络系统安全保密管理暂行规定》公安部《计算机信息系统安全专用产品检测和销售许可证管理办法》公安部中国人民银行《金融机构计算机信息系统安全保护工作暂行 规定》公安部《计算机病毒防治产品评级准则》公安部《计算机病毒防治管理办法》邮电部《中国公用计算机互联网国际联网管理办法》教育部《教育网站和网校暂行管理办法》信息产业部《互联网电子公告服务管理规定》国务院新闻办公室,信息产业部《互联网站从事登载新闻业务管理暂行规定》信息产业部《非经营性互联网信息服务备案管理办法》信息产业部《电子认证服务管理办法》信息产业部《互联网IP地址备案管理办法》公安部《互联网安全保护技术措施规定》公安部国家保密局国家密码管理局国务院信息化工作办公室《信息安全等级一保护管理办法(试行)》公安部《网吧安全管理软件检测规范》《网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律,是我国网络空间法治建设的重要里程碑,是依法治网、化解网络风险的法律重器,是让互联网在法治轨道上健康运行的重要保障。
特别是最近出台《网络安全法》,《网络安全法》将近年来一些成熟的好做法制度化,并为将来可能的制度创新做了原则性规定,为网络安全工作提供切实法律保障。《网络安全法》的基本原则第一,网络空间主权原则。第二,网络安全与信息化发展并重原则。第三,共同治理原则。《网络安全法》提出制定网络安全战略,明确网络空间治理目标,提高了我国网络安全政策的透明度
三、《网络安全法》进一步明确了政府各部门的职责权限,完善了网络安全监管体制
《网络安全法》将现行有效的网络安全监管体制法制化,明确了网信部门与其他相关网络监管部门的职责分工。第8条规定,国家网信部门负责统筹协调网络安全工作和相关监督管理工作,国务院电信主管部门、公安部门和其他有关机关依法在各自职责范围内负责网络安全保护和监督管理工作。这种“1+X”的监管体制,符合当前互联网与现实社会全面融合的特点和我国监管需要。
四、《网络安全法》强化了网络运行安全,重点保护关键信息基础设施
《网络安全法》第三章用了近三分之一的篇幅规范网络运行安全,特别强调要保障关键信息基础设施的运行安全。关键信息基础设施是指那些一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的系统和设施。网络运行安全是网络安全的重心,关键信息基础设施安全则是重中之重,与国家安全和社会公共利益息息相关。为此,《网络安全法》强调在网络安全等级保护制度的基础上,对关键信息基础设施实行重点保护,明确关键信息基础设施的运营者负有更多的安全保护义务,并配以国家安全审查、重要数据强制本地存储等法律措施,确保关键信息基础设施的运行安全。
五、《网络安全法》完善了网络安全义务和责任,加大了违法惩处力度
《网络安全法》将原来散见于各种法规、规章中的规定上升到人大法律层面,对网络运营者等主体的法律义务和责任做了全面规定,包括守法义务,遵守社会公德、商业道德义务,诚实信用义务,网络安全保护义务,接受监督义务,承担社会责任等,并在“网络运行安全”、“网络信息安全”、“监测预警与应急处置”等章节中进一步明确、细化。在“法律责任”中则提高了违法行为的处罚标准,加大了处罚力度,有利于保障《网络安全法》的实施。
六、《网络安全法》将监测预警与应急处置措施制度化、法制化 《网络安全法》第五章将监测预警与应急处置工作制度化、法制化,明确国家建立网络安全监测预警和信息通报制度,建立网络安全风险评估和应急工作机制,制定网络安全事件应急预案并定期演练。这为建立统一高效的网络安全风险报告机制、情报共享机制、研判处置机制提供了法律依据,为深化网络安全防护体系,实现全天候全方位感知网络安全态势提供了法律保障。
最后举几个关于今年2017年典型的违反网络安全法律法规的相关案例
山东枣庄滕州侦破侵犯公民个人信息案。2017年4月,山东枣庄滕州公安机关破获王某等人泄露、窃取、买卖、非法利用公民个人信息的团伙案,抓获犯罪嫌疑人28名。公安机关工作中发现,有人在网上出售手机定位、银行余额、航班乘坐记录、个人征信、住宿记录等各类公民个人信息。经查,涉案的机票代理商王某非法查询并贩卖航班乘坐记录11万余次,非法获利2万余元;涉案的某通讯运营公司员工吴某利用工作之便,向社会人员穆某提供电信手机用户定位信息400余条,非法获利10万余元;涉案的某银行员工朱某利用工作之便,查询出售公民个人征信信息300余条,非法获利5000余元;涉案的某银行员工韩某,利用工作之便,查询出售公民个人征信信息200余条,非法获利5000余元;涉案的某银行员工周某,查询出售公民个人征信信息300余条,非法获利6000余元。
江苏徐州侦破非法攻击计算机信息系统案。2016年12月,江苏徐州公安机关侦破谭某等人利用DDOS网络攻击案,抓获犯罪嫌疑人34名,扣押、冻结涉案资金60余万元。2015年底,徐州公安机关接到某云计算服务公司报案称,其公司多台云服务器遭受攻击,造成云端多个托管网站无法正常访问,多项互联网服务受到影响。经查,该团伙涉及湖南、河南、重庆等14省26个地市,由发单人、“肉鸡商”(倒卖被黑客远程控制机器的人员)、攻击实施人、出量人、担保人等分工角色组成。该团伙对几十家网站及公司实施DDOS攻击,导致被攻击的网站服务瘫痪,造成巨大损失。
信息安全法律法规 篇3
1994年,国务院颁布的《信息安全保护条例》首次提出对计算机信息系统实行等级保护,并授权公安部会同有关部门制定等级划分标准和管理办法。2003年,中共中央办公厅、国务院办公厅转发了《国务院信息化领导小组关于加强信息安全保障的意见》,再次强调对信息安全进行等级保护。 2004年公安部联合国家保密局、密码局、保密委员会和国务院信息化领导办公室发布《关于信息安全等级保护工作的實施意见》,对信息安全等级保护的基本制度框架进行了规划。2006年上述四部门发布《信息安全等级保护管理办法(试行)》,开始具体构建信息安全等级保护制度,该办法在试行一年后于2007年6月正式发布实施。以上法律文件从信息安全等级保护的提出到其具体制度的制定,构筑了我国信息安全等级保护的基本法律框架。
(一)等级的划分
国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级根据信息系统在国家安全、经济建设、社会生活中的重要程度;信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素划分为五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
信息系统运营、使用单位根据等级划分,按照相关技术标准对信息系统进行保护,国家有关信息安全监管部门对三级以上信息系统的等级保护工作进行监督管理。
(二) 等级保护工作的职责分工
在开展等级保护工作中,涉及到的部门分工各不相同:
公安机关负责信息安全等级保护工作的监督、检查、指导;国家保密工作部门负责等级保护工作中有关保密工作的监督检查、指导;国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导;涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理;国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。而信息系统主管部门应当组织并实施所管辖的信息系统的信息安全等级保护工作,督促、检查、指导其主管的信息系统运营使用单位依照国家信息安全等级保护管理规范和技术标准,落实安全责任。
(三)等级保护的实施
等级保护的实施流程包括六项内容:
一是自主定级与审批。信息系统运营使用单位按照等级保护管理办法和《信息系统安全等级保护定级指南》,确定信息系统的安全保护等级。有上级主管部门的,应当经上级主管部门审核批准。跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。
二是评审。在信息系统确定安全保护等级过程中,可以进行必要的业务和技术评估,组织专家进行咨询评审。对拟确定为第四级以上信息系统的,运营、使用单位或者主管部门应当邀请国家信息安全保护等级专家评审委员会评审。
三是系统建设。信息系统的安全保护等级确定后,运营使用单位应当按照国家信息安全等级保护管理规范和划分准则、基本要求、操作系统、数据库、网络、服务器、终端等技术要求,使用符合本系统安全保护等级要求的信息安全产品,同步建设符合本系统安全保护等级要求的信息安全设施。运营使用单位应当按照安全管理要求、安全工程管理要求等管理规范,建立安全组织,制定并落实符合本系统安全保护等级要求的安全管理制度。
四是等级测评。信息系统建设完成后,运营使用单位应当选择符合本系统安全保护等级要求的检测机构,依据《信息系统安全等级保护测评要求》等技术标准对信息系统安全等级状况开展技术测评。第三级以上信息系统运营使用单位应当按照等级保护管理办法要求选择测评机构开展等级测评。
五是备案。第二级以上信息系统由其运营使用单位到所在地设区的市级以上公安机关办理备案手续。隶属于中央的在京单位,其跨省或者全国统一联网运行并由主管部门统一定级的信息系统,由主管部门向公安部办理备案手续。跨省或者全国统一联网运行的信息系统在各地运行、应用的分支系统,应当向当地设区的市级以上公安机关备案。
六是监督检查。公安机关依据信息安全等级保护管理规范,定期对第三级以上的信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导,如实向公安机关提供有关信息安全保护的情况资料。
(四)法律责任
第三级以上信息系统运营、使用单位违反《信息安全等级保护管理办法》,有未按规定备案、审批,未按规定落实安全管理制度、措施,或者未按规定开展系统安全状况检查、系统安全技术测评,以及接到整改通知后拒不整改等行为之一的,由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正;逾期不改正的,给予警告,并向其上级主管部门通报情况,建议对其直接负责的主管人员和其他直接责任人员予以处理,并及时反馈处理结果。
信息安全监管部门及其工作人员在履行监督管理职责中,玩忽职守、滥用职权、徇私舞弊的,依法给予行政处分;构成犯罪的,依法追究刑事责任。
我国信息安全等级保护立法存在的问题
尽管我国出台了一系列信息安全等级保护的相关政策和法规,构筑了我国信息安全等级保护的基本法律框架,但是,我国的信息安全等级保护立法总体来说还处于起步阶段,存在着很多问题:
(一)立法层次偏低
实际上,我国整个信息安全立法的层级都偏低,信息安全立法主要以行政法规形式存在,而具体到等级保护方面的立法更是主要以部门规章的形式存在,还没有一部高位阶、统领性的信息安全基本法律,因而难以形成科学、合理、专业、有序的法律体系。这与信息安全在国家安全中的战略地位,与等级保护在信息安全中的基本地位是不相符合的。由于信息安全等级保护制度立法层次低,主要以部门规章出现,囿于部门职权和利益,其制度设计往往存在天然的局限性,缺乏全局的统筹和制度设计。
而且,我国在信息安全等级保护立法乃至整个信息安全立法中都存在重政策轻法律的问题,习惯于采用规范性文件或者领导批示的方式,布置任务或者贯彻落实文件精神,忽视了法律在预防和处理信息安全问题上应当发挥的作用和效能。由于规范性文件、政策性文件因缺乏支配性、强制执行力,往往不能得到有效执行,因而不能转化为现实的有力地调整和指引工具。
(二)未能融入风险管理的理念
进入网络时代以后,安全威胁不断增加,所需的安全成本和资源也成倍增长,在当今复杂的、分布的、异构的信息系统环境下,无论采取多么完善的信息安全手段都难以达到绝对的安全,风险总会存在,因而很难采取风险消除的方法实现安全性,适宜的方法是将基于风险的安全理念引入到保障信息系统信息安全的过程中,对整个信息系统进行风险管理。在信息安全等级保护中乃至整个信息安全保障工作中融入风险管理的理念已经是信息安全保障工作的主流范式。如美国标准与技术研究院在《联邦信息安全管理法》的要求下制定的美国信息安全认证认可的标准框架即充分体现了风险管理的理念,这个框架贯彻了《联邦信息安全管理法》的要求,明确提出落实认证认可工作,要以风险管理的思想贯彻于其信息系统的生存周期。
但是令人遗憾的是,我国现行的信息安全等级保护法律框架并没有将风险管理的理念融入其中,而是将信息安全等级保护与作为风险管理代表的信息安全风险评估制度并行分别试点推进。目前,信息安全风险评估还只停留在政策推行阶段。这就造成了等级保护与风险管理或者更具体一点与风险评估的割裂,一方面使信息安全保障工作重复建设,更重要的另一方面是这种割裂导致了信息安全保障工作的不科学,致信息安全于危险的境地。
(三)立法內容不全面
虽然现行的行政法规和部门规章已经为信息安全等级保护构筑了一个基本的法律框架,但是,其立法内容还是很不全面的,还有许多重要的内容有待进一步立法明确,比如信息安全等级测评制度。
信息安全等级测评在整个信息安全等级保护中占有重要地位,它不仅是确定系统是否符合预定安全要求的重要依据,还是发现并弥补信息安全漏洞的过程。那么等级测评机构如何组成?如何管理?测评结果的效力如何?测评机构应当承当什么责任?现行法律框架没有给出明确的规定。
(四)法律责任体系不完善
现行法律框架并没有为推进信息安全等级保护提供强有力的法律责任保障,对于违法行为除了警告或者建议其主管上级处理外别无他法,这样的法律责任体系显然很不完善。第一,从法律责任性质上来讲,缺乏民事责任的规定。信息系统运营、使用人不履行等级保护之法定义务,会将信息系统置于危险状态,信息系统一旦受到破坏,会损害与之相关的他人权益。因此,信息系统运营、使用人承担着对该系统相关人的安全保障义务,其不履行或者不完全履行等级保护义务给他人造成损害的,应当承担民事赔偿责任。第二,行政责任单一、软弱,不能起到对于违法行为的惩治和对可能违法的震慑,不能起到预防违法的作用。根据《信息安全等级保护管理办法》,对于违法行为只能责令其限期改正,逾期不改正的,给予警告,并其上级主管部门通报情况,建议对其直接负责的主管人员和其他直接责任人员予以处理,并及时反馈处理结果。可以说,几乎没有什么强制性的处罚措施,在实际执行中显然要大打折扣。
我国信息安全等级保护制度的完善
完善我国的信息安全等级保护制度,既要立足于信息安全保障的基本规律,充分考虑我国信息网络发展的特殊性,又要吸收和借鉴各国的立法经验,笔者认为,我国的信息安全等级保护制度可以从以下几个方面进行完善:
(一)加强以等级保护为主要内容之一的信息安全基本法立法工作
制定一部高效力层次的信息安全基本法,有助于科学、合理、专业、有序的信息安全法体系的构建,也有助于推动信息化战略的实施。在信息安全基本法之下,可以克服现行等级保护以部门规章为主体的局限性,可以在更广范围内更科学地分配各部门职责,比如国家标准部门对于信息安全等级保护标准的制定和发展等。制定等级保护制度的完善。同时,高位阶的信息安全基本法可以创设更多法律责任制度,更有利于形成完善的法律责任体系,确保信息安全等级保护制度的强制力和执行力。
(二)引入风险评估机制
信息安全等级保护必须树立风险管理的思想,而风险评估是风险管理的基础,因此,笔者认为,三级以上信息系统必须定期进行信息安全风险评估。风险评估贯穿于等级保护周期的系统定级、安全实施和安全运维三个阶段:
1.系统定级。由于信息系统具有自身的行业和业务特点,且所受到的安全威胁均有所不同,因此,可以依据信息安全风险评估国家标准对所评估资产的重要性、客观威胁发生的频率、以及系统自身脆弱性的严重程度进行识别和关联分析,判断信息系统应采取什么强度的安全措施,然后将安全事件一旦发生后可能造成的影响控制在可接受的范围内。即将风险评估的结果作为确定信息系统安全措施的保护级别的一个参考依据。
2.安全实施。安全实施是根据信息安全等级保护国家标准的要求,从管理与技术两个方面选择不同强度的安全措施,来确保建设的安全措施满足相应的等级要求。风险评估在安全实施阶段就可以直接发挥作用,那就是对现有系统进行评估和加固,然后再进行安全设备部署等。在安全实施过程中也会发生事件并可能带来长期的安全隐患,如安全集成过程中设置的超级用户和口令没有完全移交给用户、防火墙部署后长时间保持透明策略等都会带来严重的问题,风险评估能够及早发现并解决这些问题。
3.安全运维。安全运维是指按照系统等级进行安全实施后开展运行维护的安全工作。安全运维包括两方面:一是维护现有安全措施等级的有效性。可依据国家有关等级划分准则对信息系统所采取的安全措施是否满足要求进行检验,以保证所采取的安全措施的强度持续有效;二是根据客观情况的变化以及系统内部建设的实际需要,等级要进行定期调整,以防止过度保护或保护不足。再定级的过程可参见系统定级部分的内容。
(三)建立健全等级测评法律机制
可以考虑从以下几个方面对信息安全等级测评机制进行完善:
1.等级测评的启动机制。等级测评可由信息系统运营、使用、主管和监督单位启动。
2.等级测评机构和测评人准入制度。等级测评是一项专业性和专职性很轻的工作,并且需要测评机构和测评人具有很高的职业操守,因此,必须设定一定的门槛,实行准入制度。测评人应当进行专业资格考试和考核,以确定其具备相应的专业素质和职业操守,有故意泄露工作秘密或者有犯罪记录的人员不能取得测评人资格。测评机构必须拥有专业化的测评团队、良好的测评手段,具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度,具有一定规模才能取得主体资格。
3.等级测评机构和测评人法律责任制度。被测评单位应该和测评机构就测评工作签订测评合同,测评机构应当对自身的测评行为负责,对违反法律规定的行为不仅要对被测评单位承担合同责任,而且要承担行政责任,接受行政管理机关对于其违法行为的处罚。对测评人的法律责任主要是行政责任和刑事责任。行政责任是指测评人违反法律法规,发生舞弊或过失行为并给有关方面造成经济等损失后,由政府部门或自律性组织对其追究的具有行政性质的责任,比如剥夺测评人资格等。一般来说,由于测评人在等级测评中是履行职务的行为,所以即使测评人由于过失或欺诈行为而使被测评单位受损,也应当由测评机构对外承担民事责任。
(四)完善等级保护法律责任体系
笔者认为,可以为信息系统的使用、运营单位创设一定的民事责任从而迫使其积极履行信息安全等级保护义务。可以规定,若信息系统的使用、运营单位对信息系统相关人依约或者依法承担有安全保障义务,则使用、运营单位不履行等级保护义务即为其未履行对相关人安全保障义务的明证,应当为相关人因此的损失承担民事责任。
另外,在行政责任方面,可以对违反信息安全等级保护相关法律规定的信息系统运营、使用单位给予罚款等行政处罚,促使其履行义务。
网络信息安全的国际法规制 篇4
关键词:网络信息安全,信息安全国际行为准则,国际公约
一、维护网络信息安全的必要性
随着互联网技术的日益发展, 现今世界各国联系越来越密切。不同于传统国界的有限性, 网络世界的无限延展性在全球形成了一个超主权国家管辖范围的空间。新型的网络空间超越了传统主权国家的管辖, 对所有国家存在着潜在的侵权威胁。
现今, 网络信息技术已经全面渗透到社会的各个方面, 且已经演变为全球重要的信息基础设施。信息已经成为一国的新型战略资源, 信息涵盖了大量的利益, 小到网民的隐私权等个人权益, 大到社会公共利益乃至关系到各国的主权利益。基于利益的考虑, 在网络信息技术的使用过程中, 不可避免会出现国家、组织和个人破坏网络信息安全的行为。相较传统的国际关系, 网络空间引发的利益冲突关系更为复杂。一方面, 由于网络技术和应用的不断创新, 网络信息将整个世界紧密联系在一起, 网络信息安全可能涉及所有的网络使用者, 一旦发生侵权行为就突破了传统国际法的管辖权, 影响范围涉及多国家。另一方面, 由于国际法体系并不存在普遍公认的国际法规则, 并且各国网络信息技术发展的不对称性使得各国网络立法存在界定是否构成网络信息侵权的标准不一。难免出现网络信息技术发展强国依靠自身的先进技术肆意侵害他国网络信息安全, 干涉他国内政, 对他国的政治、经济、社会秩序甚至是国家安全产生重大影响。伴随着全球化进程的不断加强, 网络信息安全的管理面临新的挑战。首先, 当前网络并非由政府机构完全掌控。现今由于市场激烈的竞争环境使得网络信息安全管理自身就面临着很大的威胁。其次, 网络信息系统的不断发展, 使得原有对网络信息的传统管辖模式无法应对当前的新趋势。最后, 互联网全球化的加强, 现
今网络服务都是跨国性的, 网络信息内容安全风险的解决要考虑到各国不同的国情。因此, 网络信息内容安全管理的对策必须要符合国际惯例。
二、解决网络信息安全的国际法途径
(一) 通过双边会议、多边会议建立区域网络信息安全维护组织
由于国际社会不存在一个超国家政府, 所以使得国家单边主义威胁网络信息的安全性。不同类型的国家, 无论其大小与网络信息技术的优劣, 都理应处于平等位置, 平等的享有被保护网络信息安全的权利。当前已经有国家和地区通过交流达成共识, 希望通过制定协议共同促进信息安全的保护, 可以在此基础上根据政治或地理位置的相近形成区域网络信息安全维护组织。
区域网络信息安全维护组织作为国际组织, 其有助于解决集体的困境和相互依赖的选择问题, 并且其具有组织制定统一区域网络信息安全维护组织章程的权利。该网络信息安全维护组织内的成员可以实现获取信息、网络信息技术共享、联合打击非法利用、滥用信息技术及加强网络关键信息技术设施的建设等权利, 但同时网络信息安全维护组织内的各成员也必须履行相应的义务。例如, 使用网络获取信息必须避免将其用于破坏国家稳定和安全的目的, 避免给各成员国国内基础设施的完整性带来不利影响, 危害各国的安全。
除此之外, 各成员国有合作打击利用信息通信技术从事犯罪和恐怖活动或者破坏成员国政治、经济和社会稳定行为的义务。各个成员之间必须加强互联网技术的共享, 相互之间转让网络信息技术, 相互弥合数字鸿沟, 提升区域网络信息安全维护组织应对威胁的能力。针对区域组织内成员的网络信息安全实行统一的监管, 制定统一的涉密信息交换的标准和程序。组织内成员共享使用信息, 必须严格遵守程序, 其目的在于使各成员提高保障信息安全的能力, 一方面可以相互放心安全地使用网络, 另一方面在本国以外多了一层区域网络信息安全维护组织内其余成员国的保护。使得本国公民的信息得到更多的保护, 并且保障国家的信息安全, 使得网络安全性提高。区域性网络信息安全维护组织的成立需建立在各成员国相互信任, 平等互惠的原则上。一旦组织内部成员实施了违反组织章程侵害成员国网络信息安全的行为将受到区域组织成员国一致的制裁, 例如限制该国在成员国公司的经营业务等。
(二) 建立全球范围内广泛适用维护网络信息安全的国际公约
在2015年1月9日, 中国、哈萨克斯坦、吉尔吉斯斯坦、俄罗斯、塔吉克斯坦、乌兹别克斯坦常驻联合国代表呼吁各国在联合国框架内就网络信息完全的保护展开进一步讨论, 尽早就规范各国在信息和网络空间行为的国际准则和规则达成共识, 建立一个具有广泛适用性的国际公约。
国际公约的目的是在各方利益主体博弈的过程中, 通过保障网络信息安全使网络信息时代下的各行为主体可以公平占有使用网络资源共享网络发展带来的利益并且保障各国的主权安全, 维护各主体的合法权益。
首先, 国际公约需遵循《联合国宪章》, 根据《联合国宪章》国际公约应明确指出国家应尊重主权原则, 要求国家行为应尊重其他国家的主权, 不得以非法手段侵害其他国家主权, 这里不仅包含了传统国际法所称的主权平等、主权安全和不干涉内政, 也包含了非传统安全的网络信息安全, 国家应当尊重主权国家之间彼此的核心利益, 并且尊重与网络信息安全有关的国家政策问题的安全。例如“国家不应以窃取、监听等不文明手段获得他国信息”。
其次, 根据1948年《世界人权宣言》第12条即规定了任何人对于其私生活、家庭、住所、通讯有受法律保护和不受侵犯的权利。公民的网络信息也属于公民的隐私, 并且随着网络技术的不断发展, 网络信息的安全涉及到公民的财产, 所以公民的网络信息也是公民的财产权利, 保证公民网络信息安全同样是对公民财产权利的保护。国际公约应尊重公民的基本权利, 所以国家应在“充分尊重信息空间的权利和自由, 包括在遵守各国法律法规的前提下寻找、获得、传播信息权利和自由”;对他国公民通讯的监控和信息的获取, 应取得合法手续, 并且必须出于合法目的。网络信息技术的不断发展是科技不断创新的产物, 未来全球化进程不断加剧, 网络信息技术将会涉及方方面面, 只有保证网络信息技术的安全性才能使得各国不断运用创新。否则无法保障网络信息技术的安全, 国家就会丧失建设全球网络时代的信心, 科技的发展将会倒退。
再次, 国际公约的制定旨在维护网络信息安全, 避免国家实施违反国际法原则的侵权行为。例如对别国公民、企业组织、政府机关进行监控, 对主权国家进行监听和非商业用途收集信息。出于对各国共同安全利益的考量, 国际公约应该本着平等互助的原则制定统一的监管网络信息的标准, 保护国家间共同的利益, 统一制定评价国家行为需要参考的因素, 明确国家网络信息安全不可侵犯的界限。
最后, 由于网络信息技术涵盖范围广泛涉及了信息收集、监听监控、国家安全等领域, 所以内容的特殊性和复杂性使得国际公约在实施过程中其约束力存在不足, 故而要结合国际法以及其他国际公约。例如《联合国宪章》、反恐领域的国际公约、人权保护公约、《国家对国际不法行为的责任条款》《跨国公司和其他商业企业关于人权责任的准则》并且配合联合国国际法委员、人权委员会等机构相互合作。
(三) 在联合国的框架内建立网络信息安全的监管机构和执行机构
从网络信息安全的侵权事件中可以发现, 跨国公司成为政府的侵权工具。此时追究侵权责任时会涉及到网络信息侵权责任的归因问题。从国际法的角度, 归因的目的在确定某一行为可否归于一个国家而成为该国的国家行为。
就已发生的网络信息侵权行为进行分析, 不难发现确定实施侵权行为的主体是国家还是个人将直接影响到当事国的国家责任以及受害国采取何种法律救济的途径。例如侵权行为的实施主体归因为企业或者个人发起的则通常属于网络犯罪行为, 这将涉及到有关国家国内法的管辖以及国家间的司法合作来加以解决。由此可见网络信息安全侵权主体的复杂性和特殊性, 涉及领域的广泛性, 并非能简单通过单个机构来解决, 需要多个领域机构的共同合作。
当前主流学者的观点是, 由于平等国家之间无管辖权, 全球网络空间并不存在超国家机构的实体可以系统的对网络侵权行为实施强制性管辖。因此, 不同的行为体试图通过拓展自身网络空间的行动范围, 渴望获得更多的网络资源, 掌握网络管理的主动权, 为自身谋取利益。此种竞争将对未来国际网络信息安全的发展造成隐患。
所以可以在联合国框架下成立网络信息安全保护有关的专门机构。该机构一方面建立国家网络信息安全行为的监管机制, 可以借鉴“世界贸易组织的贸易政策评审机制” (1) , 定期对各国的信息安全行为等进行评议并公开发布报告, 另一方面建立解决国家网络信息安全争端纠纷的解决机制。由于网络信息安全涉及的领域并非国际法传统完全的领土、领海领域, 一旦发生纠纷难以诉求专门法院解决。所以应当借鉴WTO的争端解决机制, 针对网络信息安全的特殊性成立专门的解决机制, 使得纠纷得到公平的裁决。
参考文献
[1]蔡翠红.美国网络空间先发制人战略的构建及其影响[J].国际问题研究, 2014.1.
[2]郭瑜.个人数据保护法研究[M].北京:北京大学出版社, 2012:246.
[3]杨君佐.发达国家网络信息内容治理模式[J].法学家, 2009 (4) .
信息安全法律法规 篇5
西交《信息安全与法律法规》在线作业
一、单选题(共 30 道试题,共 60 分。)
1.19.实名登记系统,是指互联网上网服务营业场所经营单位根据上网消费者出示的()中的相关信息进行如实记录的安全管理系统。.有效证件.出入证.上岗证.上机证 正确答案:
2.10.《互联网上网服务营业场所管理条例》规定,申请人持《网络文化经营许可证》到()申请登记注册,依法领取营业执照后,方可开业。.工商行政管理部门.公安网监部门.电信管理部门.文化行政部门 正确答案:
3.28.《计算机信息系统国际联网保密管理规定》是()发布的。.国家安全部.公安部.国家保密局.信息产业部 正确答案:
4.18.互联网上网服务营业场所经营单位的最基本的责任是()。.为上网消费者提供更多更好的网络游戏.为消费者提供更多的食品和饮料.奉公守法,依法经营
.为消费者提供方便的休息空间 正确答案:
5.15.擅自设立的互联网上网服务营业场所经营单位被依法取缔的,自被取缔之日起()年内,其主要负责人不得担任互联网上网服务营业场所经营单位的法定代表人或者主要负责人。.3.4.5.6 正确答案:
6.22.互联网上网服务营业场所落实相关的________措施,是对落实安全管理制度的进一步深化,是互联网上网服务营业场所的网络安全管理和保护网络安全必要的技术保障。
谋学网
.经营管理技术.安全管理技术.系统冗余技术.服务器备份技术 正确答案:
7.2.故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,()的,应依法处5年以下有期徒刑或者拘役。.后果严重.产生危害.造成系统失常.信息丢失 正确答案:
8.6.《互联网上网服务营业场所管理条例》规定,()应当自收到设立申请之日起20个工作日内作出决定;经审查,符合条件的,发给同意筹建的批准文件。.工商行政管理部门.公安网监部门.电信管理部门.文化行政部门 正确答案:
9.29.涉及国家秘密的计算机信息系统,()地与国际互联网或其他公共信息网络相连接,必须实行物理隔离。.不得直接或间接.不得直接.不得间接
.不得直接和间接 正确答案:
10.17.私服属于()性质。.盗版.正版.服务.过渡 正确答案: 11.16.(),不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统的安全。.除计算机专业人员外的任何人
.除从事国家安全工作人员外的任何人.除未满18周岁未成年人外的任何人.任何组织或者个人 正确答案:
12.12.互联网上网服务营业场所经营单位应当对上网消费者的()等有效证件进行核对、登记。.身份证.毕业证
谋学网
.出入证.结业证 正确答案:
13.23.《互联网信息服务管理办法》对经营性和非经营性互联网信息服务实行以下制度:()。
.对经营性互联网信息服务实行许可制度,对非经营性互联网信息服务实行备案制度.对经营性和非经营性互联网信息服务均实行许可制度
.对经营性和非经营性互联网信息服务均实行备案制度信息服务实行许可制度
.对经营性互联网信息服务实行备案制度,对非经营性互联网信息服务实行许可制度 正确答案:
14.4.(),是指直接进行国际联网的计算机信息网络。.国际联网.接入网络.企业网.互联网络 正确答案:
15.27.互联网站链接境外新闻网站,登载境外新闻媒体和互联网站发布的新闻,必须另行报()批准。
.国务院新闻办公室.文化部.教育部.信息产业部 正确答案:
16.21.治安管理处罚法中针对责任年龄作出了如下规定,“已满()周岁不满十八周岁的人违反治安管理的,从轻或者减轻处罚”。.十一.十二.十三.十四 正确答案:
17.5.(),是指通过接人互联网络进行国际联网的计算机信息网络。.国际联网.INTRNT网.接入网络.广域网 正确答案:
18.26.互联网站申请从事登载新闻业务,应当填写并提交()统一制发的《互联网站从事登载新闻业务申请表》。.文化部
.国务院新闻办公室.教育部.信息产业部 正确答案:
谋学网
19.14.互联网上网服务营业场所经营单位违反《互联网上网服务营业场所管理条例》规定,被处以吊销《网络文化经营许可证》行政处罚的,应当依法到()办理变更登记或者注销登记。.工商行政管理部门.公安网监部门.电信管理部门.文化行政部门 正确答案:
20.9.《互联网上网服务营业场所管理条例》规定,申请人持公安机关批准文件向文化行政部门申请最终审核。文化行政部门应当自收到申请之日起()个工作日内依据该条例第8条的规定作出决定;经实地检查并审核合格的,发给《网络文化经营许可证》。.30.20.10.15 正确答案:
21.30.()主管全国计算机信息系统国际联网的保密工作。.信息产业部
.国家保密局(国家保密工作部门).国家安全部.公安部 正确答案:
22.25.()负责全国互联网站从事登载新闻业务的管理工作。.文化部.教育部
.国务院新闻办公室.信息产业部 正确答案:
23.8.《互联网上网服务营业场所管理条例》规定,公安机关应当自收到申请人申请之日起()个工作日内作出决定;经实地检查并审核合格的,发给批准文件。.30.20.10.15 正确答案:
24.11.《互联网上网服务营业场所管理条例》规定,互联网上网服务营业场所经营单位应当在营业场所入口处的显著位置悬挂()标志。.营业执照
.网络文化经营许可证.小心路滑.未成年人禁入 正确答案:
25.20.中学、小学校园周围()米范围内和居民住宅楼(院)内不得设立互联网上网服务营业场所。
谋学网
.50米.100米.200米.500米 正确答案:
26.24.电子公告服务提供者应当记录在电子公告服务系统中发布的信息内容及其发布时间、互联网地址或者域名。记录备份应当保存(),并在国家有关机关依法查询时,予以提供。.90日.60日.30日.10日 正确答案:
27.1.违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,构成()。.非法侵入计算机信息系统罪.破坏计算机信息系统罪.扰乱无线电通信管理秩序罪
.删除、修改、增加计算机信息系统数据和应用程序罪 正确答案:
28.7.《互联网上网服务营业场所管理条例》规定,文化行政部门应当自收到设立申请之日起()个工作日内作出决定;经审查,符合条件的,发给同意筹建的批准文件。.10.15.20.30 正确答案:
29.13.《互联网上网服务营业场所管理条例》规定,互联网上网服务营业场所经营单位应当对上网消费者的登记内容和上网记录备份保存时间不得少于()日。.30.60.90.120 正确答案:
30.3.在计算机信息系统中,以计算机文字表示的,含有危害国家安全内容的信息,是属于()。
.计算机破坏性信息.计算机有害数据.计算机病毒.计算机污染 正确答案:
谋学网
西交《信息安全与法律法规》在线作业
二、多选题(共 10 道试题,共 20 分。)
1.6.为了维护国家安全和社会稳定,对有下列行为之一,构成犯罪的,依照刑法有关规定追究刑事责任:()。
.利用互联网造谣、诽谤或者发表、传播其他有害信息,煽动颠覆国家政权、推翻社会主义制度,或者煽动分裂国家、破坏国家统一
.通过互联网窃取、泄露国家秘密、情报或者军事秘密.利用互联网煽动民族仇恨、民族歧视,破坏民族团结
.利用互联网组织邪教组织、联络邪教组织成员,破坏国家法律、行政法规实施 正确答案:
2.1.对违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,应处()。
.5年以下有期徒刑.拘留
.3年以下有期徒刑.拘役 正确答案:
3.2.(),依照《中华人民共和国刑法》的规定构成犯罪的,依法追究刑事责任;尚不够刑事处罚,应当给予治安管理处罚的,依照治安管理处罚法给予处罚。.扰乱公共秩序.妨害公共安全.侵犯公民人身权利.侵犯公私财产 正确答案:
4.4.全国人民代表大会常务委员会制定《关于维护互联网安全的决定》的主要目的是:()。.为了兴利除弊
.促进我国互联网的健康发展.维护国家安全和社会公共利益
.保护个人、法人和其他组织的合法权益 正确答案:
5.7.为了维护社会主义市场经济秩序和社会管理秩序,对有下列行为之一,构成犯罪的,依照刑法有关规定追究刑事责任:()。
.利用互联网销售伪劣产品或者对商品、服务作虚假宣传
.利用互联网损害他人商业信誉和商品声誉、利用互联网侵犯他人知识产权.利用互联网编造并传播影响证券、期货交易或者其他扰乱金融秩序的虚假信息
.在互联网上建立淫秽网站、网页,提供淫秽站点链接服务,或者传播淫秽书刊、影片、影像、图片 正确答案:
谋学网
6.9.利用互联网实施违法行为,尚不构成犯罪的,对直接负责的主管人员和其他直接责任人员,依法给予()。.刑事处分.民事处分.行政处分.纪律处分 正确答案:
7.3.违反治安管理行为的处罚分为下列三种:()。.警告.罚款.劳教.行政拘留 正确答案:
8.5.为了保障互联网的运行安全,对有下列行为之一,构成犯罪的,依照刑法有关规定追究刑事责任:()。
.侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统
.故意制作、传播计算机病毒等破坏性程序,攻击计算机系统及通信网络,致使计算机系统及通信网络遭受损害
.违反国家规定,擅自中断计算机网络或者通信服务,造成计算机网络或者通信系统不能正常运行
.利用互联网侵犯他人合法权益 正确答案:
9.8.为了保护个人、法人和其他组织的人身、财产等合法权利,对有下列行为之一,构成犯罪的,依照刑法有关规定追究刑事责任:()。.利用互联网侮辱他人或者捏造事实诽谤他人.利用互联网实施违法行为,违反社会秩序
.非法截获、篡改、删除他人电子邮件或者其他数据资料,侵犯公民通信自由和通信秘密.利用互联网进行盗窃、诈骗、敲诈勒索 正确答案:
10.10.有关主管部门要加强对互联网的()的宣传教育,依法实施有效的监督管理,防范和制止利用互联网进行的各种违法活动,为互联网的健康发展创造良好的社会环境。.运行安全.信息安全.操作安全.实施安全 正确答案:
西交《信息安全与法律法规》在线作业
谋学网
三、判断题(共 10 道试题,共 20 分。)
1.9.计算机信息系统安全专用产品,是指计算机的软、硬件产品。().错误.正确 正确答案:
2.1.计算机信息系统打印输出的涉密文件,应当按相应密级的文件进行管理。().错误.正确 正确答案:
3.4.公安部在紧急情况下,可以就涉及计算机信息系统安全的特定事项发布专项通令。().错误.正确 正确答案:
4.2.监督、检查、指导计算机信息系统安全保护工作是公安机关对计算机信息系统安全保护工作中的监督职权之一。().错误.正确 正确答案:
5.7.任何组织或者个人违反《中华人民共和国计算机信息系统安全保护条例》的规定,给国家、集体或者他人财产造成损失的,应当依法承担民事责任。().错误.正确 正确答案:
6.5.违反计算机信息系统安全等级保护制度及计算机信息系统国际联网备案制度,危害计算机信息系统安全的其他行为的,由公安机关处以警告或者停机整顿。().错误.正确 正确答案:
7.8.计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。().错误.正确 正确答案:
8.10.公安机关公共信息网络安全监察部门应当掌握互联单位、接入单位和用户的备案情况,建立备案档案,进行备案统计,并按照国家有关规定逐级上报。().错误.正确 正确答案:
9.6.不按规定时间报告计算机信息系统中发生的案件的行为违反了《中华人民共和国计算机信息系统安全保护条例》的规定,由公安机关作出处理。().错误
谋学网
.正确 正确答案:
法律信息素养的思维与实践 篇6
关键词:信息素养 法律检索 法律研究能力 图书馆员能力
一、信息素养的多元内容
信息素养,information literacy,主要有两种译法:信息素质和信息素养,在实际使用上两者并无二致。素养,意为修养,指理论、知识、艺术、思想等方面的水平。美国图书馆协会(ALA)于1989年对信息素养的定义为具备信息素养的个人,应该能够认识到何时需要信息,并且能够查找、评价和有效地利用所需要的信息[1]。国内有学者将信息素养概括为信息意识、信息知识、信息能力和信息道德四个方面[2]。信息素养是个动态、多元的概念。
2000年,美国大学与研究图书馆协会(ACRL)颁布了《高等教育信息素养能力标准》,这是评估信息素养能力水平和指导理论与实践的基本框架。该标准由5个一级指标、22个二级指标和86个三级指标构成,它不仅在美国高校图书馆中达成共识并被普遍使用,还成为全球信息素养评价标准的典范。高校信息素质能力指标体系是高校信息素质教学的目标及信息素质评价的依据,是建立高校系统化信息素质教学体系的基础。2005年,北京市文献检索研究会研制、设计了《北京地区高校信息素质能力指标体系》,由7个一级指标、19个二级指标、61个三级指标构成。该体系中,具备信息素质的学生能够:(1)了解信息以及信息素质能力在现代社会中的作用、价值与力量;(2)确定所需信息的性质与范围;(3)有效地获取所需要的信息;(4)正确地评价信息及其信息源,并且把选择的信息融入自身的知识体系中,重建新的知识结构;(5)有效地管理、组织与交流信息;(6)作为个人或群体的一员能够有效地利用信息来完成一项具体的任务;(7)了解与信息检索、利用相关的法律、伦理和社会经济问题,能够合理、合法地检索和利用信息。[3]这在很大程度上也参考了ACRL的《高等教育信息素养能力标准》。该指标体系虽然不是全国性标准,但具有示范意义,可作为参照实施和评估的指标。
二、高等教育信息素养的新框架
21世纪,全球进入信息化时代,信息素养成为人们自主学习和社会交流的基本条件。随着信息技术发展和信息环境变化,信息素养的内涵和外延都在发生着变化,衍生出如数字素养(digital literacy)、媒介素养(media literacy)、信息与通讯技术素养(ICT literacy)、视觉素养(visual literacy)等相关概念,从不同角度或侧面对人在信息社会中应具备的素养进行描述。同时,元素养(metaliteracy)一词也应运而生,有望成为下一代信息素养的标准,元素养理论展示了信息素养发展的研究方向[4]。2013年12月,UNESCO发布的《全球媒体与信息素养评估框架》,为各成员国开展针对媒体与信息环境的综合性评估提供了实用工具和方法指导。2015年2月,美国大学与研究图书馆协会(ACRL)理事会正式批准通过了《高等教育信息素养框架》,这是
对《高等教育信息素养能力标准》(2000)的修订。新框架没有沿用“标准”(standard)一词,而是采用“框架”(framework)一词,因为它不是一套标准或者一些既定的学习成效或技能的列表,而是一个基于互相关联的核心概念的集合,可供灵活选择实施。新框架对信息素养的概念进行了重新阐释,认为“信息素养是指包括对信息的反思性发现,对信息如何产生和评价的理解,以及利用信息创造新知识并合理参与学习团体的一组综合能力”。新框架还出现了一些新的概念,如阈概念(threshold concepts)、元素养(metaliteracy)等。《框架》还增加了两个元素:知识技能(knowledge practices)和行为方式(dispositions),阐明了与这些概念相关的重要学习目标。整个框架共包括六个框架要素(frames),即:(1)权威的构建性与情境性;(2)信息创建的过程性;(3)信息的价值属性;(4)探究式研究;(5)对话式学术研究;(6)战略探索式检索。每一个要素都包括一个信息素养的核心概念、一组知识技能以及一组行为方式。[5]可见,在新的信息环境下,信息素养被赋予新的内涵。如何解读和分析高等教育信息素养新框架,并将新框架倡导的新观念创造性地应用于具体的信息素质教育实践,还有待业界的进一步研究和探索。由此引发的新视野和新思路,也将对我国的信息素养教育带来深刻的影响。
三、法律研究能力
法律信息素养是一种学科或者专业性信息素养,信息素养的能力指标当然适用于法律信息素养。法律信息素养教育最重要的实现途径就是法律检索教育。因此,法律检索能力成为法律专业人员的必备素养。关于法律检索能力,目前国内尚无相关的要求和规定,一些法学院校只是在法科学生的培养方案中有简单的、一般性的提及。例如,华东政法大学本科培养方案中,对学生业务素质要求包括“掌握文献检索、资料查询的基本方法,具有一定的科学研究和实际工作的能力”。清华大学法学院、山东大学法学院课程列表中列出“文献检索”课程名称等。这方面,美国法律图书馆协会的做法是值得参考和借鉴的。
2013年7月,美国法律图书馆协会(AALL)执委会通过了《法律研究能力的原则和标准》。美国法律图书馆协会设置的这套法律研究能力的原则和标准,由来自学术界、律师事务所、法院、政府机构、其他相关单位的信息专业人士深度参与研究制定。同时,法律专业文献表明,研究能力直接影响专业的效率和有效性。然而,法律研究在现实中反映出一些欠缺与不足。[6]当大量信息普遍可被获取,特别是各种组织和商业机构可付费访问,事实证明在这种情况下,法律专业人士通常缺乏基础研究能力。这个问题非常复杂,涉及研究质量和研究效率等方面。法律研究能力不足的表现,如无法找到相关材料,低效率的在线搜索策略,对一个研究问题的基本事实和概念把握不足及对资料来源合法性和权威性的评估技能有限,等等。如果一个法律研究人员缺乏在线搜索能力或评估资料来源的有效性、可靠性和相关性的能力不足,那么由此所提出的建议也将是有缺陷的。[7]法律研究能力包括5项:一个成功的法律研究人员(1)具备法律制度和法律信息来源方面的基础知识;(2)通过有效的和高效的研究策略搜集信息;(3)严格地评价信息;(4)运用信息有效地解决一个具体问题或需求;(5)辨别信息的道德使用和非道德使用,并了解与法律问题相关信息的发现、使用或应用。法律研究能力标准确定了一套非常重要并且可以衡量的技能,适用于法律职业生涯的任何一个阶段,适用于法律行业的任何一个专门领域。法律职业中的每个实体面临的挑战是,接受法律研究能力作为一个必要的技能,并且将这些标准和能力纳入自己的衡量指标。可见,高度胜任的研究技能、有效解决问题的能力和批判性思维能力是当今和未来所有法律实践领域成功的关键。[8]
四、法律图书馆员能力及其养成
在新的高等教育信息素养框架指导下,对信息素养教育提出新的要求。2015年12月,我国教育部发布了新修订的《普通高等学校图书馆规程》(教高[2015]14号),其中有对“工作人员”的专门规定。图书馆馆员包括专业馆员和辅助馆员,专业馆员的数量应不低于馆员总数的50%。专业馆员一般应具有硕士研究生及以上层次学历或高级专业技术职务,并经过图书馆学专业教育或系统培训。辅助馆员一般应具有高等教育专科及以上层次学历(第11条)。目前,我国图书馆职业资格认证制度尚未建立,没有对图书馆员任职资格的专门规定。法律图书馆界对专业图书馆员也没有相关的标准或者通行做法可依据。在美国,美国律师协会(ABA)是美国法律人的自治组织,制定、颁布法学院设置标准,实施法学院认证制度。最近,美国律师协会公布了2015-2016年法学院设置标准和程序规则,共计7章,其中,第6章专门规定“图书馆与信息资源”,明确提出每个法学院都应该有一座法律图书馆,要积极有效地支撑法学院的教学、科研与社会服务。对图书馆的一般规定、行政、馆长、人事、服务和馆藏都有要求,特别是对馆长的资质要求不亚于专职教师,馆长具有法学院教师资格,其地位与其他专职教师平等。[9]这是法律图书馆建设和发展的根本性文件。美国法律图书馆协会执委会于2010年4月修订、通过的《法律图书馆员能力》成为衡量和评价法律图书馆员能力的标准性文件。AALL认为,能力(Competencies)是指知识、技术、能力和个人特质,这些方面可以辨识履行职能的优良情况。文件规定了“核心能力”(core competencies)和“专门能力”(specialized competencies)两个部分。[10]核心能力计16条,主要包括馆员的职业精神、职业认同、知识素养、合作精神、沟通技能、自我学习和发展能力等,这些能力适用于所有的法律图书馆员,而且这些能力在职业初期就能获得。专业能力涉及特殊的业务领域,包括六个方面,如图书馆管理、参考、研究和用户服务、信息技术、馆藏发展、编目和教学等。与十年前相比,该文件增加了个别能力条目,将编目业务能力独立出来,基本保持了内容的稳定性,发挥了行业标准的规范性作用。法律图书馆员的专业能力要求,极大地促进和推动图书馆人员队伍专业素养的提高。应当说,馆员的职业能力对图书馆的发展至关重要。馆员的信息素养思维和能力培养显得更加迫切。高等学校应将图书馆专业馆员培养纳入学校的人才培养计划,重视培养高层次的专家和学术带头人。鼓励图书馆工作人员通过在职学习和进修,提高知识水平和业务技能。对于法律图书馆来说,要重视图书馆员法律信息素养的教育与提高,强化信息素养思维,从环境、技术、资源及教学各方面加强对人员的学习和培训,积极培养适合时代要求的图书馆员队伍。专业馆员要关注信息素养研究进展;创新信息素养教学方式,在教学理念上积极引入开放式学习理论和方法,在教学工具上积极利用网络社交平台等开放教育方式,从课程设计、管理体系、人员配备和协作等方面加强顶层设计,制定本土化的素养培养标准、评价体系和教材体系,共同推动我国信息素养教育发展。[11]
五、结语
信息素养教育新的要求有待于图书馆领域的深入探索和积极实践。信息素养是整个高等教育全面素质教育的一个组成部分。高校图书馆应全面参与学校人才培养工作,充分发挥第二课堂的作用,采取多种形式提高学生综合素质。在教学的同时,努力打造一支适应信息时代要求、具备信息素养能力的图书馆员队伍,以此来加强图书馆在信息素养教育中的核心地位和竞争力。
注释:
[1]ABA.Presidential Committee on Information Literacy:Final Report.“To be information literate,a person must be able to recognize when information is needed and have the ability to locate,evaluate,and use effectively the needed information.” [OL].[2016-04-15].http://www.ala.org/acrl/publications/whitepapers/presidential.
[2]参见彭奇志、柯平:《高校信息素质教育的分析与实证研究》,载《情报理论与实践》2010年第12期。
[3]参见曾晓牧等:《北京地区高校信息素质能力指标体系研究》,载《大学图书馆学报》2000年第3期。
[4]参见刘涛:《信息素养研究的未来:元素养研究进展》,载《图书馆理论与实践》2015年第3期。
[5]参见韩丽风等:《高等教育信息素养框架》,载《大学图书馆学报》2015年第6期。
[6]LexisNexis.White Paper:Hiring Partners Reveal New
Attorney Readiness for Real World Practice.[EB/OL]. [2016-04-15].http://www.lexisnexis.com/documents/pdf/20150325064926_large.pdf
[7]AALL.Principles and Standards for Legal Research Competency.[2016-04-15].http://www.aallnet.org/mm/Advocacy/legalresearchcompetency/principlesstds
[8]同[7]。
[9]ABA.2015-2016 Standards and Rules of Procedure for Approval of Law Schools.[2016-04-15].http://www.americanbar.org/groups/legal_education/resources/standards.html
[10]AALL.Competencies of Law Librarianship.Approved by the Executive Board March 2001,Tab34A;Revised by the Executive Board April 2010,Tab 17.[2016-04-15]. http://www.aallnet.org/mm/Leadership-Governance/policies/PublicPolicies/competencies.html
物联网网络信息安全法律体系浅析 篇7
物联网 (The Internet of Things) 是将所有物品通过射频识、红外感应装置、全球定位系统、激光扫描器等信息传感设备与互联网连接起来, 进行信息交换和通讯, 实现智能化识别、定位、跟踪、监控和管理的网络系统。孙林认为:物联网的广泛应用, 在管理 (商业模式、业务平台) 、技术 (标准统一、安全体系、应用开发) 和法律 (国家安全、个人隐私) 上对现有体制形成了挑战。
物联网网络信息安全法律问题的提出及意义
2010年3月, 全国人大代表、南京邮电大学校长杨震提出物联网发展不能依靠某个企业, 还需要国家介入, 并制定相应的法律法规。目前, 在物联网的法律问题中, 存在两个重要的问题。首先是如何在我国法律体系中明确物联网发展的指导思想、应遵循的基本准则和发展方向。其次是如何在我国法律体系明确物联网网络信息安全法律在国家安全、公共安全、组织信息安全 (商业秘密) 、金融安全、知识产权和个人隐私等方面的法律保护。
健全物联网网络信息安全法律体系是国家安全和经济社会发展的需要。物联网应用范围广阔, 除现阶段的直接影响经济社会发展外, 由于物联网与全球互联网、卫星定位系统和视频、音频、成像系统的实时监控相互联网, 网络中的“物”被实时跟踪, 因此, 还隐藏着对国家安全的威胁 (孙林, 2011) 。这些威胁, 随着物联网运用的扩张和深入而显得更加激烈, 物联网网络信息安全法律体系的建立迫在眉睫。
完善物联网网络信息安全法律体系是物联网自身发展的需要。物联网通过标识电子标签、条形码、红外感应器、激光扫描器等信息传输体系形成庞大的无线信息网络, 加之之前的数据信息采集与整理, 以及之后的智能化识别、定位、跟踪和监控, 需要强大的管理和技术手段的支持, 其中之一就是网络信息安全法律法规的支持 (顾香芳等, 2010) 。具体体现在以法律法规形式统一管理机制和技术应用, 确保物联网感知、传输、应用过程中的有效性准确性、时效性。
建立物联网网络信息安全法律体系是法律体系发展的需要。物联网应用过程中组织信息安全、金融安全、知识产权和个人隐私等物联网活动与完整的法律体系建立息息相关 (魏方, 2010) 。同时, 法律制度与物联网管理过程中的“债权和物权”, “电子证人”、“电子标签”等等的运用, 在信息处理和传输、信息运营和整台应用, 已对现行的法律法规体系构成了法律上的挑战, 并丞待得到解决。
物联网网络信息安全法律体系的构成
物联网网络信息安全法律体系是网络信息安全法律体系的有机组成部分 (黄凌, 2010) 。《物联网“十二五”发展规划》强调要建立信息安全保障体系, 做好物联网信息安全顶层设计, 加强物联网信息安全技术的研究开发, 有效保障信息采集、传输、处理等各个环节的安全可靠。按照我国现有法律体系, 其可分为三个层次:一是全国人大及其常委会制定的物联网网络信息安全法律法规, 其目标是从国家层面明确物联网网络安全的指导思想和发展方向。二是国务院及其部委制定的物联网网络信息安全法律法规, 其重点是根据我国物联网发展趋势, 结合各行各业发展基础, 制定出适合全国范畴的法律法规。三是地方人大及其常委会制定的物联网网络信息安全法律法规, 其主要内容是各地方针对自身物联网建设实际, 对物联网网络信息安全制定相关管理条件和实施细则。
我国的网络信息安全法律法规已初步建立, 执法过程中也取得明显实效。但到目前为止, 我国的物联网网络信息安全法律法规仍在探讨中, 物联网发展需要国家的产业政策和立法上要走在前面, 制定出适合行业发展的政策法规, 保证行业的正常发展 (顾香芳等, 2010) 。
《国民经济和社会发展第十二个五年规划纲要》和《国务院关于加快培育和发展战略性新兴产业的决定》 (国发[2010]32号) 提出:物联网是战略性新兴产业的重要组成部分, 对加快转变经济发展方式具有重要推动作用。物联网网络信息安全法律法规的制定必须有助于这一发展。
体系特点。不论是哪个层次的物联网网络信息安全法律法规, 其主要特点包括:明确法律法律制定的基本原则, 如信息安全保护和预防原则, 确定法律法规的属性和目标。明确保障物联网健康发展的制度和条例, 如安全等级、备案、许可、检测、评估、认证和监督管理制度等, 使法律法规制度化和长效化。物联网应用面广, 涉及诸多管理部门, 法律法规的制定要明确责任与义务、奖励与惩处, 从而保证各司其职。
体系内容。主要包括以下几方面:保障网络安全, 建立国家经济安全和企业信息网络防御体系, 提高预警能力和应急处置能力, 将物联网成为一个开放、安全、可信任的网络。知识产权保护, 物联网的发展, 其应用软件技术是基础, 且涉及不同领域, 必须明确对知识产权所有者的保护措施。信息保护, 包括信息采集合法性、传输安全、及时和信息权的法律保护, 个人隐私权的保护。相对互联网而言, 物联网在此方面的要求更高, 其管理是一个动态和实时管理过程, 对监控对象 (人) 进行了定位和监控, 并实时收集和传输相关信息数据。为此, 需要法律对相应的行为作出规范。
完善物联网网络信息安全法律法规的建议
物联网网络信息安全法律法规的制定要充分考虑国家安全、政府机密、企业商业秘密、知识产权和个人隐私的法律保护问题, 要从国家、国务院及部委、地方等三个层次上明确其发展方向、保护条例和措施, 加强政府、行业和企业对物联网法律法规制定的紧迫感和使命感, 结合国内外物联网发展, 制定促进物联网健康有序发展的政策法规, 建立以政府和行业主管部门为主导, 第三方测试机构参与的物联网信息安全保障体系, 构建有效的预警和管理机制 (魏方, 2010;焦泉, 2010) 。
缘于物联网的特性, 物联网网络信息安全法律法规的制定涉及诸多层次不同管理部门 (刘晓纯等, 2011) , 在制定法律法规时, 一是要有全局观念, 从国内外环境去思考和制定法律法规。二是保障法律法规的实效性, 相关部分制定的法律法规要协调一致, 对实施细则、部门规章、地方法规和行业规范要有系统性。三是要完善立法程序, 广泛听取有关组织、产业、企业和公民意见, 使制定的法律法规具有强大的权威性。
物联网的发展, 离不开政府的推动和宏观调控, 物联网网络信息安全法律法规的制定更需要政府的支持和主导 (吕波, 2010) 。政府要具有长远的战略眼光, 尽快完善物联网物联网信息安全保障体系, 建立以政府为主导, 行业主管部门和第三方测试机构参与的物联网信息安全保障体系, 避免各部门之间职责不清和权力冲突, 构建有效的预警和管理机制 (顾香芳等, 2010) 。
物联网是一个开放的庞大系统, 其最重要的特点是突破了地域和空间界线, 因此, 在信息安全制度、安全标准、安全策略、安全机制等一系列问题上有自身的考量。李振汕 (2010) 指出:在加快相关立法的同时, 依靠法律、国务院行政法规调整相应的法律关系, 坚持全国统一性, 并与国际接轨, 确保新的立法能够使网络信息安全立法与网络技术发展相衔接, 减少信息网络发展的障碍。
个人信息安全问题的法律角度分析 篇8
一、个人信息的相关概念界定
纵观国际环境, “个人信息”在不同的社会领域中有着不同的称谓, 通常也会以个人隐私、个人数据等形式出现, 相关概念最早出现在上世纪七十年代, 最具有标志性的概念是1995年欧盟的《个人数据保护指令》中将个人信息定义为是有关一个被识别或可识别的自然人的任何信息。这个概念本身相对注重人作为数据主体的相关特征以及相关信息的可识别性, 即通过数据主体生理、经济以及文化等身份特征展开识别, 甚至加以预测。就我国而言, 也存在专门的《个人信息保护法》, 其中明确将个人信息圈定为个人姓名、住址、出生日期、身份证号码、医疗记录、人事记录、照片等单独或与其他信息对照可以识别特定的个人的信息。
就我国当前的个人信息安全状况看, 较大的信息泄露事件包括:程序员网站CSDN数据库被黑客攻击, 约600万用户信息被泄露;深圳15万名新生儿资料被泄露;天涯社区用户信息遭窃, 涉及4000万用户等。这些被泄露的信息会参与到社会的经济活动中, 通常是被用来推进销售以及非理性购买, 但是更为严重的是, 相关的个人信息泄露还有可能会造成隐性犯罪并且进一步激发犯罪行为。
基于个人信息泄露存在如此大的社会安全隐患, 必须就此类问题在法律层面上进行考虑。
二、管理个人信息安全的法律发展及实践
个人信息安全问题是与信息化共同发展的, 因此就个人信息安全问题在法律方面的建设状况而言, 国外的发展步伐也相对领先国内。
迄今为止, 世界上已经有超过五十个国家和地区制定出相应的针对个人信息实施保护的法律法规, 1970年德国黑森州颁布的《资料保护法》是最早诞生的个人信息保护法律。随后英国出台了《个人资料保护法》, 而日本也制定了《个人情报保护法》, 众多国家都纷纷出台相应的法律对个人信息的使用和获取行为进行了约束和规范。
我国法律在个人信息的保护方面起步较晚, 但是我国的国体决定了法律本身的严密态度。从本质上看, 我国对个人信息的保护工作主要是采用了相对间接的方式, 通过保护人格尊严等主体来进一步限制个人信息的获取和使用。《宪法》是规定了最为根本的总则, 其中明确指出公民的人格尊严、公民住宅不受侵犯, 并且确认公民享有通信自由和通信秘密的权利。在刑事法律体系中, 我国刑法第177条对窃取、收买以及非法提供信息卡信息, 第253条对私自开启、隐匿以及毁弃邮件、电报和随后增加的出售、非法提供和获取公民个人信息等, 都做出了相应的罪责规定。在民事法律体系中, 《民法通则》明确规定公民的人格尊严受法律保护, 并且以人格尊严作为起步点进一步对人格损伤以及精神损害等相关一干行为做出了规定, 并被明确列为禁止。除此以外, 我国的《政府信息公开条例》等法律对于掌握公民个人信息的相关主体行为做出了明确规定, 要求以保护公民人格尊严等方面作为基本考量, 慎重对待个人信息。从商业环境看, 《反不正当竞争法》《邮政法》《医疗机构病例管理规定》《银行管理暂行条例》《档案法》等多部法律, 也都针对于不同专业领域规定了相关信息的使用。
就目前的状况看, 我国对于个人信息安全问题, 在法律层面上已经初步具备了相对完整的体系。但是随着信息化进程的不断深入发展, 关于此类问题必然还会涌现出更多的相关行为, 除了加强法律建设以外, 还应当注意在社会范围内加强宣传, 引导合理的经济行为, 从个人信息的来源和中间市场等多个方面加以管理, 才能获得良好效果。
参考文献
[1]赵正群, 王进.盗用个人信息行为的违法性及其法律责任论析——对“罗彩霞案”的信息法解读[J].南开学报 (哲学社会科学版) , 2012 (4) .
信息安全法律法规 篇9
关键词:大数据时代,信息安全,法律问题
随着计算机技术、网络技术以及信息技术的迅猛发展, 使得大数据时代的到来。大数据时代为在很大程度上改变了人们的生活方式, 在信息交换上, 实现了信息共享和信息交换的重要目标。网络环境下, 个人信息安全更容易出现问题, 个人信息的非法收集、非法利用以及泄漏都使得个人信息面临风险, 如何充分发挥法律的保护作用, 将法律与个人信息安全有效结合在一起, 提高个人信息安全, 成为大数据时代全民关注的焦点。
一、大数据时代个人信息保护现状及存在的问题
网络环境下, 个人信息基本处于透明状态, 对个人信息的非法收集、非法利用以及信息泄露等, 都会对个人信息安全形成极为不利的影响作用。虽然, 国家相关部门对于网络信息安全进行了管理, 也制定了相应的管理规范。但在实际管理工作中, 由于一些心存侥幸不法人士的存在, 依然使得个人信息安全问题存在, 这就需要进一步整顿网络环境, 以及加强个人信息安全保护。
( 一) 个人信息非法收集
个人信息非法收集是个人信息安全问题中普遍存在的问题, 网络环境基本处于透明状态, 而个人信息在网络环境中极容易被收集, 不法人员对个人信息的收集, 会对信息使用者的安全形成威胁。
( 二) 个人信息非法利用
不法分子将信息使用者的信息进行不法收集, 并未经过信息使用者的许可, 尚自不正当利用, 就会对信息使用者名誉形成伤害, 甚至会对信息使用者生命安全造成威胁, 这些个人信息不安全问题的存在会对信息使用者形成不利影响, 同时也会对网络有序形成极为不利的影响作用。
( 三) 个人信息泄露
使用网络环境, 必然会留下一些痕迹, 一些有心之人根据痕迹收集信息使用者的信息, 造成个人信息泄露, 会对使用者安全形成威胁。例如, 常见的QQ被盗, 就是属于非法信息利用和个人信息泄露, 盗用者根据个人信息构成钱财诈骗等等事故, 就会对信息使用者造成极为不利的影响作用。
二、大数据时代个人信息安全与法律保护的有效结合
法律作为强有力的保护手段, 将大数据时代的个人信息安全与法律保护进行充分的结合, 就可以为个人信息安全提供充分的保障, 通过法律手段保护信息使用者的信息安全, 维护信息使用者的正当权益, 这对保护个人信息安全具有非常重要的作用。
( 一) 增加法律的执行力和实施力度
大数据时代进行个人信息安全保护, 应该与强有力的法律手段相结合, 利用法律保护个人信息安全。这就需要增加法律的执行力度和实施力度, 将法律政策贯彻落实到实处, 不断完善法律政策, 最大限度避免法律漏洞的出现, 以防个别有心之人利用法律漏洞对他人个人信息安全形成不利影响。严格按照法律政策, 加强网络监督, 减少个人信息安全问题出现的可能性, 确保个人信息安全, 促使每一个人都可以安全用网, 从而实现网络的重要作用。
( 二) 不断完善相关立法
利用法律保护个人信息安全, 需要按照相关制度规范进行执行。这就需要不断完善相关立法, 对侵权责任进行明确的划分, 对于违法网络使用安全, 对他人信息安全形成不利影响的违法者, 需要进行严格的惩罚。利用严格、完善的法律对有心之人形成警示作用, 避免个人信息安全问题的出现。
( 三) 对自律组织和资料规范进行科学的引导
大数据时代个人信息安全保护, 需要以法律手段和自律手段相结合, 利用自律手段加强对个人信息的保护, 避免个人泄露, 从而对个人信息安全产生威胁。利用自律手段规避个人信息安全问题, 需要对自律组织和资料规范进行科学的引导, 增强每一个网络使用者保护个人信息安全的意识, 严格按照相应的规范和标准, 对个人信息进行完善, 避免出现不符合规范的信息, 提高个人信息的安全性。通过个人加强信息安全保护, 减少个人信息安全问题出现的可能性, 为安全用网提供充分的保障。
三、结语
综上所述, 大数据时代的来临, 在很大程度上改变了人们的生活, 使得人们交换信息和共享信息更加便利。但同处于一个透明的网络环境中, 也使得人们的个人信息极为安全, 对使用者形成了非常大的困扰。为了营造一个有秩序的网络环境, 就必须充分发挥法律手段的重要作用, 利用法律加强个人信息安全保护, 减少个人信息安全问题出现的可能性, 为实现网络技术的重要目标提供充分的保障。
参考文献
[1]张茂月.大数据时代个人信息数据安全的新威胁及其保护[J].中国科技论坛, 2015 (7) :117-122.
[2]谢静.大数据时代网络环境下个人信息的安全保护[J].价值工程, 2015 (26) :223-224.
信息安全法律法规 篇10
10亿手机用户蕴含巨大信息量
“这些个人信息包括比较敏感的个人身份及其识别信息、联系方式信息、有关家庭的信息、身体信息, 甚至十分敏感的银行信息等。”十一届全国政协委员袁希纲担忧, 5亿网络用户、10亿手机用户的个人信息一旦出现安全问题, 发生泄露则会严重危害公众利益, 在造成巨大经济损失的同时直接危及公共安全和社会的稳定。
因此, 2012年3月, 袁希纲委员在政协十一届五次会议上建议:加强个人信息安全的立法;提高信息平台服务业的准入门槛;加强制定和完善有关个人信息安全标准有关部门尽快制定和完善有关个人信息安全的技术和管理标准, 使得安全措施有效、可靠。
2012年6月28日, 工业和信息化部函复袁希纲委员, 对此建议表示认同, 称对个人信息安全相关问题非常重视, 相关工作已经或正逐步开展。
涉及个人信息的法规超过270部
2011年, 工业和信息化部组织开展相关课题研究时发现, 我国现有涉及个人信息的法律有近40部、法律解释10条、法规近30部、部门规章近200部。
如居民身份证法规定, 公安机关及其人民警察对因制作、发放、查验、扣押居民身份证而知悉的公民的个人信息, 应当予以保密。泄露因制作、发放、查验、扣押居民身份证而知悉的公民个人信息, 侵害公民合法权益的, 根据情节轻重, 依法给予行政处分;构成犯罪的, 依法追究刑事责任。
刑法修正案 (七) 首次增设了侵犯个人信息安全犯罪条文, 随后《最高人民法人员不得非法使用用户的个人注册信息资料和互联网电子邮件地址等。
工业和信息化部认为, 要解决我国个人信息安全问题, 必须加快制定专门的个人信息保护法, 从顶层对个人信息保护有关内容作出规定, 建立个人信息保护的监管体制, 明确个人信息保护的基本概念和法律主体各方的权责, 明确侵犯个人信息主体合法权益的法律责任, 从源头上规范个人信息处理活动, 同时严厉打击个人信息犯罪活动。工业和信息化部将积极配合立法部门, 做好个人信息保护的立法工作。
2011年12月31日, 工业和信息化部发布了《规范互联网信息服务市场秩序若干规定》, 对互联网信息服务提供者的行为提出了规范性要求, 其中对互联网信息服务提供者处理个人信息的行为和采取安全防护措施作出了明确的规定。
倡导行业自律和社会监督
工业和信息化部在复函中披露, 2011年, 由全国信息安全标准化委员会提出并归口的《信息安全技术公共及商用服务信息系统个人信息保护指南》已编制完成, 正按程序报批。
《个人信息保护指南》将个人信息分为个人一般信息和个人敏感信息, 并提出了默许同意和明示同意的概念。
《个人信息保护指南》还正式提出了处理个人信息时应当遵循的八项基本原则, 即目的明确、最少够用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确, 划分了收集、加工、转移和删除四个环节, 并针对每一个环节提出了落实八项基本原则的具体要求。
2011年5月, 根据《个人信息保护指南》, 工业和信息化部组织研究制定了互联网网站个人信息保护政策测评方案和测评指标, 选取了7类共105家网站, 对其隐私保护政策进行测评, 于2012年3月15日在“2012中国个人信息保护大会”上将测评结果发布。多家媒体报道后, 引起社会的热烈反响。
如何做好法律领域的个人信息保护 篇11
【关键词】法律领域;个人信息保护;问题;策略
引言:
多媒体及网络信息技术的广泛应用,让人们获得更加便利的沟通环境,个人信息在频繁的交换过程中面临着被泄露的危险。各种资讯传播、第三方支付平台、银行电子产品的普及和应用,都是个人信息泄露的主要途径。而现阶段我国不完善的法律制度,让不法分子可以轻易获得群众的个人信息。所以在法律层面上建立健全个人信息保护体系,减少泄露信息的可能性是法制建设的重点环节。
一、法律领域中个人信息保护的基本情况
我国现行的法律法规中,尽管缺少保护个人信息方面条款,但基本保护法的雏形已经形成,包括直接与间接保护两种。首先直接保护。《刑法修正案(七)》中明确规定,非法出售、提供、盗取个人信息的行为属于犯罪行为;2013年《电信和互联网用户个人信息保护规定》将电信行业、互联网行业涉及的个人信息列入到应保护的合法权益体系内。2014年实施《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》,对个人信息的范围进行界定,并拓展个人信息的意义与内涵。其次间接保护。因为我国还没有建立独立的信息保护法,在其他法律法规中对侵权与保护的相关问题进行规定,并通过保护人格与个人隐私的方式对个人信息进行间接保护。如《宪法》在人格尊严、通信秘密、个人住宅等方面制定法律条款,并于2004年增强“人权保障”的相关规定。另外,《保险法》、《侵权责任法》、《行政复议法》、《行政处罚法》、《传染病防治法》等法律中都对个人信息提供保护。
二、法律领域中个人信息保护出现的问题
(一)法律保护体系不完善
现阶段,我国在宏观层面上制定个人信息保护的法律法规,缺少惩罚赔偿制度与配套机制,各种法律对个人信息保护的条款间缺少系统性。首先现有法律重视侵权损失产生后的救济性保护,没有对信息非法提供、获得、出售等进行全面监管;其次法律中大部分属于原则性规定,没有详细的实施准则;最后,法律上关于个人信息保护的条文较少,侵犯他人正当权益的不法人员未得到应用惩罚。
(二)法律缺乏较强的操作性
宪法方面:宪法具有高度概括性,很多条款需要部门法进行细化与具体规定,而个人信息保护方面还没出台独立法律,所以宪法只能在宣示性权利前提下发挥出保护个人信息的作用。民法方面:在个人信息保护方面最高法的司法解释体现出明显的局限性,没有对个人信息保护的外延与内涵进行明确,削弱法律效力。行政法方面:在个人信息保护上行政立法的系统性不足,法律条款只在书面上对其进行高度概括,其实践依据较弱,难以有效保护个人信息。刑法方面:因为刑法具有较强的惩戒性,所以惩戒违法行为的起点较高。当侵犯个人信息的情节特别严重时,才能体现出刑法效力,但法律中没有对情节严重进行明确规定。
(三)没有对个人信息进行明确界定
现阶段,我国法律体系中没有在个人信息保护方面建立独立法律法规,使其法律建设也未得到快速发展。法律中没有明确界定个人信息范围及概念,商业机构或者不法分子借助各种方式获得个人信息,并逃避相关的法律责任。而被侵犯信息的个人因无法明确个人信息的范围并缺少维权的法律依据,而难以解决个人信息的侵权纷争。
三、法律领域中完善个人信息保护的策略
(一)行业自律与统一立法妥善结合
个人信息被恶意侵犯后需要借助法律条文进行维权,但目前我国还没有完善的个人信息法律机制,保护个人信息面临执行难的问题。所以要制定实施独立、系统的个人信息保护法,使法律更加逻辑化、系统化。使其为部门法的制定及修改提供依据,并为行为自律奠定基础。行业自律是不同领域、不同行业制定的,针对性较强的实施细则,其配合统一法能够体现出巨大作用。但目前,我国行业组织程度各异,缺乏较强的自治能力与完善的规章制度,所以行业自律也需要统一法的完善与补充。
(二)增加法律法规的针对性与操作性
首先,《宪法》要严格规定法律对个人信息进行保护,任何个人与组织单位都不非法侵犯他人的个人信息,要逐步健全部门法以增强部门法效力。其次根据司法经验及个人信息概念,科学修改行政法、民法、诉讼法,完善司法程度,强化部门法执行质量,既重视出现侵权后的救济性保护,也要制定全面的防范风险机制。最后各个部门都制定保护个人信息的规章制度,提高行业自律与部门规范,进而让个人信息保护法具有更高的实效性与针对性。
(三)在立法上明确个人信息范围
借助概括举例方式明确个人信息范围,让个人信息拥有更加清晰的内涵和外延。我国立法方面获得的经验显示,立法之初要运用原则式阐述范围与内涵,在运行过程中逐步完善、细化个人信息的范围,根据各个领域的特点制定细则。通常可以分为普通与敏感两类,普通信息选择利式列举、敏感信息注重具体性。如此能够杜绝法律的碎片化与僵硬化,增强信息分析质量,有效节约社会成本,进而充分体现信息的价值。
结束语:
综上所述,我国法律领域对个人信息的保护长时间处于逐步健全、完善的状态,其是漫长、动态的过程,要以健全保护范围为基本条件,不但重视统一立法,增强法律制度的逻辑性与系统性,也要逐步提高对行业的约束,增强法律操作性。另外,不断提高群众保护个人信息的意识,增强防范信息泄露能力也是特别重要的。
参考文献:
[1]宋娟.我国个人信息法律保护路径研究[J].宁夏党校学报.2014(06)
信息安全法律法规 篇12
基于传统财务会计理论, 碳会计主要是侧重于对碳排放权的授予、取得或者购买时的会计确认、计量、记录和碳会计信息披露等研究。 通过国内外学者对碳会计领域的研究和探讨,相对于传统的财务会计,碳会计更具有新时代的社会经济含义,包含了碳成本会计、碳战略管理会计和碳审计等新内容。 碳会计是环境会计发展的一个分支,是将人口、资源、发展和环境这四大问题运用到会计学领域的一种体现[1]。 在对于碳会计领域的研究,国内外学者对于把碳排放权确定为资产负债表上的某项资产的观点是得到认同的, 但对于碳排放权归属于何种资产以及计量属性等相关问题在国内外的研究中都没有一个明确定论。
2碳会计与环境会计关系
碳会计是一个新兴领域,是环境会计中的一个分支,是环境会计在低碳经济背景下的内容延伸。 然而碳会计重点是研究和解释在低碳前提下,如何进行信息披露、会计核算,以及节能投资、低碳固定资产、应交环保费、低碳收入、低碳节能奖励、低碳成本等。 而环境会计以货币为主要计量单位,以有关法律、法规为依据,计量、记录环境污染、环境防治、环境开发的成本费用,同时对环境的维护和开发形成的效益进行合理计量与报告[2]。
基于碳会计与环境会计关系, 由于目前国内针对碳会计信息披露的法律法规几乎没有, 本文主要借鉴参考环境信息披露的相关法律法规。 我国关于上市公司披露环境信息的法律法规也在不断的完善。 国家为了提高上市公司披露环境信息意识及规范其披露行为,也相继颁布了一系列法律法规如环保部的《上市公司环境信息披露指南》(征求意见稿,2010)、《企业环境报告书编制导则(H5617-2011)》。 证劵交易所为了更好的向企业外部利益相关披露企业环境信息,也做出了一些指引及规范,比如上交所的《上市公司环境信息披露指引》。 我国的会计准则也在不断地更新来规范企业披露会计信息。
2.1 国家层面
我国在2012 年超越美国成为了第一大碳排放国家。 为了提高企业重视保护环境,国家相继出台了一些保护环境的法规。
2001 年,中国证监会颁布 《公开发行证券的公司信息披露内容与格式准则第1 号———招股说明书》。 在这项规定里只是要求企业要在招股说明书提及环境风险因素, 并没有强制性规定披露环境信息方面的内容。 对于企业在年报中披露环境信息这项规定也没有明确要求。
2008 年,国家实行的 《环境信息公开办法(试行)》里面对企业环境信息公开的内容做了详细的规定, 鼓励企业自愿公开环境信息。
2010 年, 政府机构在颁布了 《上市公司环境信息披露指南(征求意见稿)》,促进上市公司改进环境保护工作,规范上市公司披露环境信息行为。 指南适用于在上海证交所和深圳证交所A股市场的上市公司。 该指南规定上市公司应该定期和临时披露环境信息。 该指南指引企业披露的环境信息主要为重大环境问题发生情况、环境影响评价、污染物达标排放情况、总量减排及污染物处理情况等方面内容。 该指南还鼓励企业披露环境管理及环境绩效情况。
2011 年,中国环境保护部颁发了 《企业环保书编制导则 》,目的是提高企业环境管理水平,规范企业信息公开行为。 该标准规定了企业环境报告书的框架结构、编著原则、工作程序、编制内容和方法。 该标准适用于中华人民共和国境内企业环境报告书的编制。
2.2 证劵交易所层面
在证劵交易所方面, 交易所在规范企业披露信息方面也做了一些规定。
2006 年, 深圳证劵交易所就颁布了 《上市公司社会责任指引》在规定披露的社会责任报告书的第五章为环境保护与可持续发展。 在这一章里面就要求上市公司要根据其对环境影响程度制定整体环境保护政策,公司环境保护体系的建立、实施、保持和改造情况,并为环保工作提供必要的人力、物力以及技术和财力支持。
2008 年,上海证劵交易所颁发了 《上市公司环境信息披露指引》该指引要求企业根据自身特点拟定年度社会责任报告,至少包括公司在促进社会可持续发展、环境及生态可持续发展、经济可持续发展方面的工作。
2.3 会计准则层面
在会计准则方面, 由于我国发展低碳经济相对于其他国家较晚,因而在碳会计方面的研究也相对较少。 目前国内对于碳会计信息披露主要是一些理论性研究, 在我国还没有形成一个统一的碳会计信息披露标准。 在会计准则里面的信息披露方面也有提及环境信息披露, 但是关于具体的内容也没有找到可参考之处。
3上市公司环境信息披露内容与形式分析
通过以上对国家法律法规及证劵交易所在环境信息披露内容和形式整理,得出表1。
通过以上表格对于国内在规范环境信息披露内容和形式的整合, 能够清晰的获得企业披露环境信息的具体内容以及相关内容对应的披露形式。 上述表格显示,企业年报、社会责任报告环境报告书都是企业披露环境信息的主要形式。 相对而言,企业在年报中披露的碳会计信息内容相对较少, 环境报告书对于环境信息披露内容要求更加详细,社会责任报告相对集中。 环境报告书披露的环境信息内容更加全面,因此,企业选择环境报告书披露环境信息是未来趋势。
4加强我国碳会计信息披露相关法律法规建设