張坤鵬 趙延杰

摘要在應(yīng)用法律保障政府信息安全管理上,美國是當(dāng)前出臺相關(guān)法律最健全的國家,本文指出從法律的角度了解美國是如何管理、控制和保障信息安全的,對我國研究構(gòu)建政府信息安全法律體系有著重要意義。

關(guān)鍵詞政府信息安全 法律 法規(guī)

中圖分類號:D9712 文獻標(biāo)識碼:A 文章編號:1009-0592(2009)05-360-01

一、保障政府信息安全的聯(lián)邦法律

(一)《信息自由法》(FOIA, 1966)

為了適應(yīng)計算機及網(wǎng)絡(luò)技術(shù)的發(fā)展和廣泛應(yīng)用,該法于1996年被修訂,把電子信息納入該法,使公民能夠方便地獲取和使用政府信息。但由于保障國家安全的需要,該法利用例外的方式,將需要保護的信息進行列舉。規(guī)定除了以下9種不必公開的信息外都應(yīng)按法定條件向公眾公開:國家安全問題,即根據(jù)行政命令的標(biāo)準(zhǔn)被設(shè)定為保密的材料;內(nèi)務(wù)材料;法律規(guī)定豁免的材料;商業(yè)秘密;律師工作文件,當(dāng)事人特權(quán)性材料;個人隱私文件;符合法定條件的執(zhí)法檔案;金融機構(gòu)材料;地質(zhì)數(shù)據(jù)。上述規(guī)定實質(zhì)上是規(guī)定了何種信息應(yīng)受法律保護而不應(yīng)被公開?！缎畔⒆杂煞ā肥瞧渌畔踩Ｗo法律的基礎(chǔ)。

(二)《陽光政府法》(GSA,1976)

該法影響著約50個聯(lián)邦部門、委員會和機構(gòu),要求公開其所有會議的情況和記錄檔案,但有10 種例外。9種與《信息自由法》規(guī)定的一樣,增加的是政府正在參與仲裁或者正處于裁定或處理一起案件的過程中的信息與檔案。除了聯(lián)邦法律之外,美國各州都制訂了公開會議法或公開檔案法等,規(guī)范信息的公開與保密問題。

(三)《總統(tǒng)檔案法》(PRA,1978)

該法規(guī)定白宮幕僚向總統(tǒng)提供的文件要該屆政府結(jié)束12年之后才能公開。9·11事件后,美國政府對政府信息的公開更加謹(jǐn)慎,以防被恐怖分子利用。從《總統(tǒng)檔案法》的執(zhí)行看,美國行政機構(gòu)對檔案的控制權(quán)是非常大而靈活的。

(四)《計算機安全法案》(CSA,1987)

該法被1996年《信息技術(shù)管理改革法案》和2002年《電子政務(wù)法》修訂。前者要求行政機構(gòu)設(shè)置信息主管(CIO)并為他們設(shè)定職責(zé);后者要求政府頒布計算機安全標(biāo)準(zhǔn)、培訓(xùn)相關(guān)信息安全工作職員、為計算機系統(tǒng)安全和隱私信息制訂安全計劃。經(jīng)過修訂的《計算機安全法》是美國政府信息安全領(lǐng)域的重要法律,其主要內(nèi)容包括規(guī)定了國家標(biāo)準(zhǔn)與技術(shù)局是為聯(lián)邦政府計算機系統(tǒng)制定信息安全政策和標(biāo)準(zhǔn)的授權(quán)單位,要求凡是存有敏感信息的政府計算機系統(tǒng),必須制定安全計劃等等。

(五)《愛國者法》(PA,2001)

這是9·11事件后美國為保障國家安全頒布的最為重要的一部法律。它從法律上授予美國國內(nèi)執(zhí)法機構(gòu)和國際情報機構(gòu)廣泛的權(quán)力以防止、偵破和打擊恐怖主義活動,使美國公眾生活在安全環(huán)境中。該法還對美國現(xiàn)有的十幾部法律作了修訂。

(六)《聯(lián)邦信息安全管理法案》(FISMA,2002)

該法對信息安全作了定義,并對國家安全系統(tǒng)的概念進行界定。該法還授權(quán)各管理部門行使國家信息安全管理職責(zé),比如:授權(quán)管理與預(yù)算辦公室(OMB)主任對安全政策、原則、標(biāo)準(zhǔn)、指南等的制定、執(zhí)行情況進行監(jiān)督,授權(quán)國家標(biāo)準(zhǔn)與技術(shù)局(NIST)為聯(lián)邦政府使用的系統(tǒng)制定安全標(biāo)準(zhǔn)與指南。該法是美國政府在9·11事件后為加強國家安全頒布的另一部非常重要的法律。

(七)《電子政務(wù)法案》(EGA,2002)

該法對聯(lián)邦政府信息管理和規(guī)劃的各個方面,從危機管理到電子檔案及查詢索引都做了規(guī)定。在具體內(nèi)容中特別強調(diào)了電子政務(wù)中的信息安全問題,重新授權(quán)政府信息安全改革法,為保護政府計算機網(wǎng)絡(luò)安全提供管理框架。

此外,還有《計算機欺詐與濫用法》(CFAA)、《經(jīng)濟間諜法案》(EEA)、《數(shù)字千年版權(quán)法案》(DMCA) 等法律對政府信息安全保護也有明確的相關(guān)規(guī)定。

二、保障政府信息安全的行政法規(guī)

聯(lián)邦政府通過總統(tǒng)的行政令對政府部門信息制訂了保密分類標(biāo)準(zhǔn),分類主要涉及國家安全與國防、情報收集和外交。確立三級分類保密制度:機密級、秘密級、絕密級。但其合理性和合法性,最終受司法審查的控制。1996年制定的《國家信息基礎(chǔ)設(shè)施保護法案》,加強了對侵害國家信息基礎(chǔ)設(shè)施的行為的認(rèn)定和處罰。1998年克林頓簽署頒布了《關(guān)于保護國家信息基礎(chǔ)設(shè)施的第63號總統(tǒng)令》,要求確保關(guān)鍵基礎(chǔ)設(shè)施的安全。該總統(tǒng)令就美國信息安全的概念、意義、長期與短期目標(biāo)等作了明確的說明,針對下一步的行動作了指示,并提出了一個保護國家關(guān)鍵信息基礎(chǔ)設(shè)施的方案。作為美國21世紀(jì)總體信息安全戰(zhàn)略和指南的《信息系統(tǒng)保護國家計劃》2000年出臺,涉及到脆弱性評估、信息共享、事件反應(yīng)、人才培養(yǎng)以及隱私保護、法律改革等方面的內(nèi)容,為每一項信息安全內(nèi)容制定了詳細的時間表和計劃。

9·11事件后,布什政府把信息安全立法問題提到新的高度,并做了大量的工作。包括:督促國會通過聯(lián)邦法案;發(fā)布行政命令和國家信息安全政策;調(diào)整國家信息安全工作機構(gòu),設(shè)立直接向總統(tǒng)負(fù)責(zé)的總統(tǒng)國家安全顧問,成立本土安全部,同時建立相應(yīng)的其他配套機構(gòu),以保證國家信息安全工作的協(xié)調(diào)、統(tǒng)一與高效。2003年通過的《網(wǎng)絡(luò)空間安全戰(zhàn)略》和《保護關(guān)鍵基礎(chǔ)設(shè)施和關(guān)鍵資產(chǎn)國家戰(zhàn)略》均把保護國家基礎(chǔ)信息設(shè)施安全列為第一優(yōu)先,反映了美國對國家基礎(chǔ)信息設(shè)施保護的重視程度。在《網(wǎng)絡(luò)空間安全國家戰(zhàn)略》中明確提出了政府與私人雙向信息共享機制。

三、美國政府信息安全法規(guī)對我國政府信息安全法規(guī)建設(shè)的啟示

我國的法律法規(guī)中有涉及信息安全的規(guī)定, 但整體立法層次不高, 存在很多問題?，F(xiàn)行的有關(guān)信息安全的法律法規(guī)大多是國務(wù)院及其部委制定的行政法規(guī),沒有專門針對政府信息安全管理的法律。對政府信息安全管理的相關(guān)規(guī)定分散于各個法律、法規(guī)條文中,針對性不強, 功能上不能相互支持和補充,而且主要是行政許可和行政處罰,具有局限性,有時還出現(xiàn)重復(fù)規(guī)定和自相矛盾現(xiàn)象,給信息法規(guī)的執(zhí)行實施造成了障礙,損害了其威信和威力。

針對目前我國政府信息安全立法的現(xiàn)狀, 建立健全我國政府信息安全法律保障體系, 應(yīng)吸取和借鑒國外先進的信息安全立法經(jīng)驗,加快立法步伐及其修改和完善。首先應(yīng)確立科學(xué)的政府信息安全法律保護理念,形成適合信息網(wǎng)絡(luò)安全需要的法治文化。其次,根據(jù)我國信息安全相關(guān)法律規(guī)范分散的特點, 制定針對政府信息安全的法律, 通過有針對性、系統(tǒng)性、科學(xué)性、可操作性的法律規(guī)定,保護政府信息安全。另外,現(xiàn)代信息技術(shù)發(fā)展迅速, 政府信息安全立法應(yīng)從有利于信息技術(shù)發(fā)展, 有利于電子政務(wù)發(fā)展的角度出發(fā), 及時修改現(xiàn)有法律中與信息社會發(fā)展不相適應(yīng)的部分,健全政府信息公開、信息資源開發(fā)的組織機構(gòu)及其職責(zé)和政府信息資源管理等方面的法律法規(guī)。

參考文獻:

[1]Steven Robinson,U.S. Information Security Law, Part 4.

[2]http://www.whitehouse.gov/omb/inforeg/reports/2007_fisma_report.pdf.

[3]唐嵐.美國國家信息安全體系簡介.國際資料信息.2005(2).

[4]許德斌.美國信息安全戰(zhàn)略的基本要素與實施原則探析.國防技術(shù)基礎(chǔ).2007(4).