歐盟網路安全立法
① 關於電信網路關鍵信息基礎設施保護的思考
文 華為技術有限公司中國區網路安全與用戶隱私保護部 馮運波 李加贊 姚慶天
根據我國《網路安全法》及《關鍵信息基礎設施安全保護條例》,關鍵信息基礎設施是指「公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的網路設施和信息系統」。其中,電信網路自身是關鍵信息基礎設施,同時又為其他行業的關鍵信息基礎設施提供網路通信和信息服務,在國家經濟、科教、文化以及 社會 管理等方面起到基礎性的支撐作用。電信網路是關鍵信息基礎設施的基礎設施,做好電信網路關鍵信息基礎設施的安全保護尤為重要。
一、電信網路關鍵信息基礎設施的范圍
依據《關鍵信息基礎設施安全保護條例》第 9條,應由通信行業主管部門結合本行業、本領域實際,制定電信行業關鍵信息基礎設施的認定規則。
不同於其他行業的關鍵信息基礎設施,承載話音、數據、消息的電信網路(以 CT 系統為主)與絕大多數其他行業的關鍵信息基礎設施(以 IT 系統為主)不同,電信網路要復雜得多。電信網路會涉及移動接入網路(2G/3G/4G/5G)、固定接入網、傳送網、IP 網、移動核心網、IP 多媒體子系統核心網、網管支撐網、業務支撐網等多個通信網路,任何一個網路被攻擊,都會對承載在電信網上的話音或數據業務造成影響。
在電信行業關鍵信息基礎設施認定方面,美國的《國家關鍵功能集》可以借鑒。2019 年 4 月,美國國土安全部下屬的國家網路安全和基礎設施安全局(CISA)國家風險管理中心發布了《國家關鍵功能集》,將影響國家關鍵功能劃分為供應、分配、管理和連接四個領域。按此分類方式,電信網路屬於連接類。
除了上述電信網路和服務外,支撐網路運營的大量 IT 支撐系統,如業務支撐系統(BSS)、網管支撐系統(OSS),也非常重要,應考慮納入關鍵信息基礎設施范圍。例如,網管系統由於管理著電信網路的網元設備,一旦被入侵,通過網管系統可以控制核心網路,造成網路癱瘓;業務支撐系統(計費)支撐了電信網路運營,保存了用戶數據,一旦被入侵,可能造成用戶敏感信息泄露。
二、電信網路關鍵信息基礎設施的保護目標和方法
電信網路是數字化浪潮的關鍵基礎設施,扮演非常重要的角色,關系國計民生。各國政府高度重視關鍵基礎設施安全保護,紛紛明確關鍵信息基礎設施的保護目標。
2007 年,美國國土安全部(DHS)發布《國土安全國家戰略》,首次指出面對不確定性的挑戰,需要保證國家基礎設施的韌性。2013 年 2 月,奧巴馬簽發了《改進關鍵基礎設施網路安全行政指令》,其首要策略是改善關鍵基礎設施的安全和韌性,並要求美國國家標准與技術研究院(NIST)制定網路安全框架。NIST 於 2018 年 4 月發布的《改進關鍵基礎設施網路安全框架》(CSF)提出,關鍵基礎設施保護要圍繞識別、防護、檢測、響應、恢復環節,建立網路安全框架,管理網路安全風險。NIST CSF圍繞關鍵基礎設施的網路韌性要求,定義了 IPDRR能力框架模型,並引用了 SP800-53 和 ISO27001 等標准。IPDRR能力框架模型包括風險識別(Identify)、安全防禦(Protect)、安全檢測(Detect)、安全響應(Response)和安全恢復(Recovery)五大能力,是這五個能力的首字母。2018 年 5 月,DHS 發布《網路安全戰略》,將「通過加強政府網路和關鍵基礎設施的安全性和韌性,提高國家網路安全風險管理水平」作為核心目標。
2009 年 3 月,歐盟委員會通過法案,要求保護歐洲網路安全和韌性;2016 年 6 月,歐盟議會發布「歐盟網路和信息系統安全指令」(NISDIRECTIVE),牽引歐盟各國關鍵基礎設施國家戰略設計和立法;歐盟成員國以 NIS DIRECTIVE為基礎,參考歐盟網路安全局(ENISA)的建議開發國家網路安全戰略。2016 年,ENISA 承接 NISDIRECTIVE,面向數字服務提供商(DSP)發布安全技術指南,定義 27 個安全技術目標(SO),該SO 系列條款和 ISO 27001/NIST CSF之間互相匹配,關鍵基礎設施的網路韌性成為重要要求。
借鑒國際實踐,我國電信網路關鍵信息基礎設施安全保護的核心目標應該是:保證網路的可用性,確保網路不癱瘓,在受到網路攻擊時,能發現和阻斷攻擊、快速恢復網路服務,實現網路高韌性;同時提升電信網路安全風險管理水平,確保網路數據和用戶數據安全。
我國《關鍵信息基礎設施安全保護條例》第五條和第六條規定:國家對關鍵信息基礎設施實行重點保護,在網路安全等級保護的基礎上,採取技術保護措施和其他必要措施,應對網路安全事件,保障關鍵信息基礎設施安全穩定運行,維護數據的完整性、保密性和可用性。我國《國家網路空間安全戰略》也提出,要著眼識別、防護、檢測、預警、響應、處置等環節,建立實施關鍵信息基礎設施保護制度。
參考 IPDRR 能力框架模型,建立電信網路的資產風險識別(I)、安全防護(P)、安全檢測(D)、安全事件響應和處置(R)和在受攻擊後的恢復(R)能力,應成為實施電信網路關鍵信息基礎設施安全保護的方法論。參考 NIST 發布的 CSF,開展電信網路安全保護,可按照七個步驟開展。一是確定優先順序和范圍,確定電信網路單元的保護目標和優先順序。二是定位,明確需要納入關基保護的相關系統和資產,識別這些系統和資產面臨的威脅及存在的漏洞、風險。三是根據安全現狀,創建當前的安全輪廓。四是評估風險,依據整體風險管理流程或之前的風險管理活動進行風險評估。評估時,需要分析運營環境,判斷是否有網路安全事件發生,並評估事件對組織的影響。五是為未來期望的安全結果創建目標安全輪廓。六是確定當期風險管理結果與期望目標之間的差距,通過分析這些差距,對其進行優先順序排序,然後制定一份優先順序執行行動計劃以消除這些差距。七是執行行動計劃,決定應該執行哪些行動以消除差距。
三、電信網路關鍵信息基礎設施的安全風險評估
做好電信網路的安全保護,首先要全面識別電信網路所包含的資產及其面臨的安全風險,根據風險制定相應的風險消減方案和保護方案。
1. 對不同的電信網路應分別進行安全風險評估
不同電信網路的結構、功能、採用的技術差異很大,面臨的安全風險也不一樣。例如,光傳送網與 5G 核心網(5G Core)所面臨的安全風險有顯著差異。光傳送網設備是數據鏈路層設備,轉發用戶面數據流量,設備分散部署,從用戶面很難攻擊到傳送網設備,面臨的安全風險主要來自管理面;而5G 核心網是 5G 網路的神經中樞,在雲化基礎設施上集中部署,由於 5G 網路能力開放,不僅有來自管理面的風險,也有來自互聯網的風險,一旦被滲透攻擊,影響面極大。再如,5G 無線接入網(5GRAN)和 5G Core 所面臨的安全風險也存在顯著差異。5G RAN 面臨的風險主要來自物理介面攻擊、無線空口乾擾、偽基站及管理面,從現網運維實踐來看,RAN 被滲透的攻擊的案例極其罕見,風險相對較小。5G Core 的雲化、IT 化、服務化(SBA)架構,傳統的 IT 系統的風險也引入到電信網路;網路能力開放、用戶埠功能(UPF)下沉到邊緣等,導致介面增多,暴露面擴大,因此,5G Core 所面臨的安全風險客觀上高於 5G RAN。在電信網路的范圍確定後,運營商應按照不同的網路單元,全面做好每個網路單元的安全風險評估。
2. 做好電信網路三個平面的安全風險評估
電信網路分為三個平面:控制面、管理面和用戶面,對電信網路的安全風險評估,應從三個平面分別入手,分析可能存在的安全風險。
控制面網元之間的通信依賴信令協議,信令協議也存在安全風險。以七號信令(SS7)為例,全球移動通信系統協會(GSMA)在 2015 年公布了存在 SS7 信令存在漏洞,可能導致任意用戶非法位置查詢、簡訊竊取、通話竊聽;如果信令網關解析信令有問題,外部攻擊者可以直接中斷關鍵核心網元。例如,5G 的 UPF 下沉到邊緣園區後,由於 UPF 所處的物理環境不可控,若 UPF 被滲透,則存在通過UPF 的 N4 口攻擊核心網的風險。
電信網路的管理面風險在三個平面中的風險是最高的。例如,歐盟將 5G 管理面管理和編排(MANO)風險列為最高等級。全球電信網路安全事件顯示,電信網路被攻擊的實際案例主要是通過攻擊管理面實現的。雖然運營商在管理面部署了統一安全管理平台解決方案(4A)、堡壘機、安全運營系統(SOC)、多因素認證等安全防護措施,但是,在通信網安全防護檢查中,經常會發現管理面安全域劃分不合理、管控策略不嚴,安全防護措施不到位、遠程接入 VPN 設備及 4A 系統存在漏洞等現象,導致管理面的系統容易被滲透。
電信網路的用戶面傳輸用戶通信數據,電信網元一般只轉發用戶面通信內容,不解析、不存儲用戶數據,在做好終端和互聯網介面防護的情況下,安全風險相對可控。用戶面主要存在的安全風險包括:用戶面信息若未加密,在網路傳輸過程中可能被竊聽;海量用戶終端接入可能導致用戶面流量分布式拒絕服務攻擊(DDoS);用戶面傳輸的內容可能存在惡意信息,例如惡意軟體、電信詐騙信息等;電信網路設備用戶面介面可能遭受來自互聯網的攻擊等。
3. 做好內外部介面的安全風險評估
在開展電信網路安全風險評估時,應從端到端的視角分析網路存在的外部介面和網元之間內部介面的風險,尤其是重點做好外部介面風險評估。以 5G 核心網為例,5G 核心網存在如下外部介面:與 UE 之間的 N1 介面,與基站之間的 N2 介面、與UPF 之間的 N4 介面、與互聯網之間的 N6 介面等,還有漫遊介面、能力開放介面、管理面介面等。每個介面連接不同的安全域,存在不同風險。根據3GPP 協議標準定義,在 5G 非獨立組網(NSA)中,當用戶漫遊到其他網路時,該用戶的鑒權、認證、位置登記,需要在漫遊網路與歸屬網路之間傳遞。漫遊邊界介面用於運營商之間互聯互通,需要經過公網傳輸。因此,這些漫遊介面均為可訪問的公網介面,而這些介面所使用的協議沒有定義認證、加密、完整性保護機制。
4. 做好虛擬化/容器環境的安全風險評估
移動核心網已經雲化,雲化架構相比傳統架構,引入了通用硬體,將網路功能運行在虛擬環境/容器環境中,為運營商帶來低成本的網路和業務的快速部署。虛擬化使近端物理接觸的攻擊變得更加困難,並簡化了攻擊下的災難隔離和災難恢復。網路功能虛擬化(NFV)環境面臨傳統網路未遇到過的新的安全威脅,包括物理資源共享打破物理邊界、虛擬化層大量採用開源和第三方軟體引入大量開源漏洞和風險、分層多廠商集成導致安全定責與安全策略協同更加困難、傳統安全靜態配置策略無自動調整能力導致無法應對遷移擴容等場景。雲化環境中網元可能面臨的典型安全風險包括:通過虛擬網路竊聽或篡改應用層通信內容,攻擊虛擬存儲,非法訪問應用層的用戶數據,篡改鏡像,虛擬機(VM)之間攻擊、通過網路功能虛擬化基礎設施(NFVI)非法攻擊 VM,導致業務不可用等。
5. 做好暴露面資產的安全風險評估
電信網路規模大,涉及的網元多,但是,哪些是互聯網暴露面資產,應首先做好梳理。例如,5G網路中,5G 基站(gNB)、UPF、安全電子支付協議(SEPP)、應用功能(AF)、網路開放功能(NEF)等網元存在與非可信域設備之間的介面,應被視為暴露面資產。暴露面設備容易成為入侵網路的突破口,因此,需重點做好暴露面資產的風險評估和安全加固。
四、對運營商加強電信網路關鍵信息基礎設施安全保護的建議
參考國際上通行的 IPDRR 方法,運營商應根據場景化安全風險,按照事前、事中、事後三個階段,構建電信網路安全防護能力,實現網路高韌性、數據高安全性。
1. 構建電信網路資產、風險識別能力
建設電信網路資產風險管理系統,統一識別和管理電信網路所有的硬體、平台軟體、虛擬 VNF網元、安全關鍵設備及軟體版本,定期開展資產和風險掃描,實現資產和風險可視化。安全關鍵功能設備是實施網路監管和控制的關鍵網元,例如,MANO、虛擬化編排器、運維管理接入堡壘機、位於安全域邊界的防火牆、活動目錄(AD)域控伺服器、運維 VPN 接入網關、審計和監控系統等。安全關鍵功能設備一旦被非法入侵,對電信網路的影響極大,因此,應做好對安全關鍵功能設備資產的識別和並加強技術管控。
2. 建立網路縱深安全防護體系
一是通過劃分網路安全域,實現電信網路分層分域的縱深安全防護。可以將電信網路用戶面、控制面的系統劃分為非信任區、半信任區、信任區三大類安全區域;管理面的網路管理安全域(NMS),其安全信任等級是整個網路中最高的。互聯網第三方應用屬於非信任區;對外暴露的網元(如 5G 的 NEF、UPF)等放在半信任區,核心網控制類網元如接入和移動管理功能(AMF)等和存放用戶認證鑒權網路數據的網元如歸屬簽約用戶伺服器(HSS)、統一數據管理(UDM)等放在信任區進行保護,並對用戶認證鑒權網路數據進行加密等特別的防護。二是加強電信網路對外邊界安全防護,包括互聯網邊界、承載網邊界,基於對邊界的安全風險分析,構建不同的防護方案,部署防火牆、入侵防禦系統(IPS)、抗DDoS 攻擊、信令防護、全流量監測(NTA)等安全防護設備。三是採用防火牆、虛擬防火牆、IPS、虛擬數據中心(VDC)/虛擬私有網路(VPC)隔離,例如通過防火牆(Firewall)可限制大部分非法的網路訪問,IPS 可以基於流量分析發現網路攻擊行為並進行阻斷,VDC 可以實現雲內物理資源級別的隔離,VPC 可以實現虛擬化層級別的隔離。四是在同一個安全域內,採用虛擬區域網(VLAN)、微分段、VPC 隔離,實現網元訪問許可權最小化控制,防止同一安全域內的橫向移動攻擊。五是基於網元間通信矩陣白名單,在電信網路安全域邊界、安全域內實現精細化的異常流量監控、訪問控制等。
3. 構建全面威脅監測能力
在電信網路外部邊界、安全域邊界、安全域內部署網路層威脅感知能力,通過部署深度報文檢測(DPI)類設備,基於網路流量分析發現網路攻擊行為。基於設備商的網元內生安全檢測能力,構建操作系統(OS)入侵、虛擬化逃逸、網元業務面異常檢測、網元運維面異常檢測等安全風險檢測能力。基於流量監測、網元內生安全組件監測、採集電信網元日誌分析等多種方式,構建全面威脅安全態勢感知平台,及時發現各類安全威脅、安全事件和異常行為。
4. 加強電信網路管理面安全風險管控
管理面的風險最高,應重點防護。針對電信網路管理面的風險,應做好管理面網路隔離、運維終端的安全管控、管理員登錄設備的多因素認證和許可權控制、運維操作的安全審計等,防止越權訪問,防止從管理面入侵電信網路,保護用戶數據安全。
5. 構建智能化、自動化的安全事件響應和恢復能力
在網路級縱深安全防護體系基礎上,建立安全運營管控平台,對邊界防護、域間防護、訪問控制列表(ACL)、微分段、VPC 等安全訪問控制策略實施統一編排,基於流量、網元日誌及網元內生組件上報的安全事件開展大數據分析,及時發現入侵行為,並能對攻擊行為自動化響應。
(本文刊登於《中國信息安全》雜志2021年第11期)
② 電子商務立法中數據保護的解讀
電子商務立法中數據保護的解讀
備受外界期待的電子商務法草案正在徵求意見中,關於近期熱議的個人信息如何保護問題,電子商務法被寄予厚望。
電子商務中的消費者數據保護問題,是電子商務發展中的核心法律問題。這一問題一直得到中國立法與司法部門的高度關注。
在2013年修訂的《消費者權益保護法》第14條中,明確規定:“消費者享有個人信息得到保護的權利。”
該法第29條則更加具體地規定:“經營者收集、使用消費者個人信息,應當遵循合法、正當、必要的原則,明示收集、使用信息的目的、方式和范圍,並經消費者同意。經營者收集、使用消費者個人信息,應當公開其收集、使用規則,不得違反法律、法規的規定和雙方的約定收集、使用信息。經營者及其工作人員對收集的消費者個人信息必須嚴格保密,不得泄露、出售或者非法向他人提供。經營者應當採取技術措施和其他必要措施,確保信息安全,防止消費者個人信息泄露、丟失。在發生或者可能發生信息泄露、丟失的情況時,應當立即採取補救措施。經營者未經消費者同意或者請求,或者消費者明確表示拒絕的,不得向其發送商業性信息。”
中國的《消費者權益保護法》的上述規定,為網路交易中的消費者數據保護問題,提供了基本的法律依據。由工商總局組織草擬的“消費者權益保護法實施條例”(目前該法律草案正處於徵求意見階段),對如何保護消費者的個人信息,在該草案的第20到22條中,設置了更加具體而且具有可操作性的法律規則。根據相關的立法計劃,該條例將在不久的將來由國務院頒布。這一條例的頒布,也將對網路交易中的消費者數據保護問題,起到非常積極的作用。
不僅只是上述法律、法規,關注了消費者數據保護問題,中國的諸多部門規章以及最高法院頒布的司法解釋,都或多或少地涉及到個人信息保護問題。由於中國目前還沒有一部統一的“個人信息保護法”,因此如何協調這些由不同的部門所頒布,具有不同的法律效力等級,涉及不同領域的法律規范,是一個相當大的挑戰。
正是在這樣的情況下,目前正在制定的“電子商務法”草案中,對網路交易中的消費者數據保護問題,給予了高度關注。由於擬制定的電子商務法具有較高的效力等級,以及對相關問題的規定比較詳盡,所以這一法律中關於消費者數據保護的規定,有望成為中國法律體系涉及網路交易中消費者數據保護的,基礎性、框架性的規定。
在此筆者以這一法律的草案為基礎,簡要地梳理一下,這一立法中處理消費者數據保護問題的基本思路。需要強調的是,這一法律的草案目前仍然處於徵求意見之中,因此這里的介紹並不代表其最終的形態。
電子商務法草案在“關於電子商務交易保障”的第四章,專門設置了一節的內容,規定電子商務數據信息的相關問題。這一節主要涉及以下幾個方面的問題。
第一,關於消費者數據保護的基本法律制度構架。
關於信息保護問題,中國的法學界一直在隱私權保護與建立一個獨立類型的個人信息權,這兩種模式的選擇問題上進行深入討論。草案擬採取後一種方案,明確規定“電子商務消費者享有對其個人信息自主決定的權利。”這主要是考慮到現代信息技術的發展,以及數據保護的需求,已經超出了通過傳統民法的隱私權保護的限度。個人信息權,作為一種私權性質的主觀權利、民事權利,如果能夠在立法層面上確定下來,能夠最大限度地滿足消費者數據保護的需求。
第二,如何界定電子商務消費者個人信息的范圍。
草案中將其界定為:信息收集人在電子商務活動中收集的姓名、身份證件號碼、住址、聯系方式、位置信息、交易記錄、支付記錄、快遞物流記錄等能夠單獨或者與其他信息結合識別特定消費者身份的信息。這是一種結合了“具體列舉”與“概括描述”相結合的,關於個人信息范圍的界定方法,其重點在於“可識別性”要素。通過這個要素,試圖將個人信息,與作為電子商務企業重要的資產形態的大數據區分開來。後者也可能建立在相關的個人信息的集合的基礎之上,但經過了嚴格的匿名化的處理,在不對個人信息權構成侵害的前提下,可以進行商業化的利用。但必須確保,這種匿名化的過程必須是不可逆的,這一才能夠確保不會導致對消費者個人信息的侵害。
第三,關於電子商務消費者個人信息的收集原則。
草案原則上要求,信息收集人收集電子商務消費者個人信息,應當遵循合法、必要、正當原則,事先告知消費者信息收集、處理和利用的規則,並徵得消費者的同意。需要強調的是,關於這里的同意應該理解為是明示同意,也就是將預設狀態設置為不同意,但消費者可以明確選擇同意(opt in),而非將預設狀態設置為同意,允許消費者另行選擇不同意(opt out)。為了限制經營者在這一問題上通過格式條款等方法,侵犯消費者實質性的選擇權,草案還規定,信息收集人不得以拒絕為消費者提供服務為由強迫消費者同意其收集、處理、利用個人信息。這一規定的目的在於,結合信息數據收集上的必要性原則,限制經營者濫用其在合同締結方面的優勢地位。
草案還規定,禁止採用非法交易、非法入侵、欺詐、脅迫或者其他未經消費者授權的手段收集個人信息。信息收集人修改個人信息收集、處理、利用規則的,應當取得消費者的同意。消費者不同意的,信息收集人應當提供相應的救濟方法。
第四,關於電子商務消費者個人信息的查詢、更正和補充,體現了消費者對於個人信息的.支配權能。
草案規定,電子商務消費者有權查詢與本人有關的個人信息。信息收集人收到消費者查詢請求的,應當在核實身份後及時提供查詢結果。電子商務消費者對錯誤信息提出更正補充請求的,信息收集人應當及時更正補充。
第五,關於電子商務消費者個人信息的處理和利用問題。
這一問題受到高度關注。必須在與數據利用相關的商業利益與個人信息保護,這二者之間尋求最完美的均衡。總的來說,電子商務法草案中的相關思路是,以保護消費者作為基本的出發點。電子商務消費者對個人信息的處理和利用應當符合消費者同意的處理、利用規則。信息收集人處理、利用個人信息的行為可能侵害消費者合法權益的,消費者有權請求信息收集人中止相關行為。信息收集人變更收集信息時約定的處理、利用的目的、方式和范圍的,應當告知消費者,並徵得消費者的明示同意。法定或者約定保存期限屆滿,信息收集人應當主動或者按照消費者的請求刪除、停止處理、利用或者銷毀相關個人信息。需要強調的是,這里提到的請求刪除,不能完全等同於歐盟法意義上的被遺忘權。關於這一權利,中國學者有比較多的討論,大多數意見認為,應該予以慎重對待。
第六,關於電子商務消費者個人信息安全問題。
草案規定,信息收集人應當建立健全內部控制制度,並採取必要措施防止信息泄露、丟失、毀損,確保消費者個人信息安全。在發生或者可能發生消費者個人信息泄露、丟失、毀損時,信息收集人應當向相關部門報告、採取補救措施,並及時告知消費者。歐盟不久前剛剛通過網路安全相關的法案。而中國的立法機構正在制定“網路安全法”。
網路安全中的重要內容就是消費者個人信息安全問題。互聯網世界中已經發生多起大規模的個人信息泄露的事件,造成非常巨大的負面影響。因此中國的電子商務法草案對於從事電子商務經營活動的主體,課加了特別的信息安全保障義務。這是完全合理的,而且也是必要的。
第七,關於網路經營主體的數據信息提供問題。
由於網路交易在社會經濟生活中占據越來越重要的地位,政府主管部門落實管理和監管措施,往往要依賴於電子商務經營者的配合。而這種配合在很多時候表現為,提供相關的數據信息。從政府的角度來看,這一要求是合理的,而且也是必要的。但從電子商務經營者來看,則存在一定的風險,因為經營者對消費者的個人信息附有相應的義務,如果提供給政府的相關數據發生泄露或不當使用,將直接導致經營者承擔法律責任。為了平衡二者的需求,電子商務法草案規定電子商務管理部門應當依法要求電子商務經營主體提供電子商務數據信息,並採取必要措施保護相關數據信息的安全。因電子商務管理部門的過錯導致數據信息泄露、丟失、毀損,侵害當事人合法權益的,電子商務管理部門應當依法承擔損害賠償責任。
關於這一問題,因為涉及企業的公法上的義務與私法上的義務的交叉影響,同時也與政府相關執法部門存在密切聯系,因此如何合理界定其范圍,平衡不同的訴求,還處於熱烈的討論之中。
第八,關於公共數據信息的公開共享問題。
中國電子商務的持續、健康發展,離不開政府相關部門的配合。這些配合中的最重要的內容,就是國家要採取有效措施,來推動公共數據信息公開共享機制。藉助於數據共享,可以極大地提高交易效率,降低交易成本和法律風險,保障電子商務交易的真實性、可靠性和安全性。為了推動這一目標的實現,草案設置了專門的條文做出原則性的規定。但如何具體落實,必然要藉助於進一步的實施細則的規定。
總的來說,中國的立法者,司法者以及相應的政府管理機構,都高度重視網路交易中的消費者數據保護問題。如果電子商務法能夠順利頒布實施,其中關於電子商務數據信息的相對完整和全面的規定,將非常有助於中國法律體制中關於數據保護的法律制度的進一步完善。
;③ 誰能給我介紹各國關於網路的相關規定
網路傳播的負面影響,已經引起各國各界的廣泛關注。人們越來越意識到,進入網路時代以後,一方面,過去在現實空間中遇到的各種道德和法律問題,不可避免地會反映到網路空間中來;另一方面,網路空間又產生了許多現實空間中沒有過的新的道德和法律問題。因此,各國政府都高度重視網路管理,陸續頒布了一系列有關計算機網路的法律法規。 美國是世界上互聯網路最為發達的國家。早在1978年8月,美國佛羅里達州就率先通過了《佛羅里達計算機犯罪法》。該法規涉及了侵犯知識產權、侵犯計算機裝置和設備、侵犯計算機用戶權益等問題,並作出了種種規定。隨後,美國共有47個州相繼頒布了計算機犯罪法。1984年,美國國會通過了《聯邦禁止利用電子計算機犯罪法》。1987年,國會通過一項方案,批准成立國家計算機安全技術中心,並制定了《計算機安全法》。美眾院司法委員會要求,色情郵件須加標注,使得用戶可以不打開郵件直接將郵件刪除;網際網路接入服務提供商可以起訴濫發垃圾郵件者,並提出索賠要求。1996年2月,美國總統簽署了國會通過的《通訊凈化法》,明確規定互聯網不得向未成年人傳播有傷風化的文字及圖像。這一法案盡管受到健康輿論的廣泛支持,但卻遭到美國公民自由聯盟、出版界(包括網上刊物出版界)和電腦界一些組織的反對,聲稱它違反了關於言論自由的憲法修正案,從而引起了一場訴訟。1997年美國最高法院判定這一法案違憲,使它終於未能實行。不過2000年4月美國貿易委員會制定的《兒童網上保護法》卻得到了實施。該法規定商業網站收集年齡在13歲以下少年的個人信息以及這些未成年人進入網上聊天室時必須得到其父母的同意。① 在德國,政府明確表示不能讓互聯網成為傳播色情和宣揚新納粹思想的場所,強調要防止互聯網路受到「污染」,要求經營聯網業務的企業承擔義務,使青少年免受不良信息的危害。1997年8月,德國制訂的《信息和通訊服務法》(即《多媒體法》)正式實施。這是世界上第一部對互聯網空間的行為實施全面的法律規范的專門立法,法案確立了傳播自由和責任並重的原則。該法關於網路服務商的責任提到了三點:1.對自己提供的網上信息內容負全部責任;2.對網上提供來自他人的內容只是在一定條件下才負有責任;3.對於僅僅提供了進入通道的網上信息不負責任.。一般認為它將對世界各國的相關立法會產生重要影響。 英國在1996年以前主要依據《黃色出版物法》、《青少年保護法》、《錄像製品法》、《禁止泛用電腦法》和《刑事司法與公共秩序修正法》懲處利用電腦和互聯網路進行犯罪的行為。1996年9月23日,英國政府頒布了第一個網路監管行業性法規《3R安全規則》。「3R」指的是分級認定、舉報告發、承擔責任。1999年英國政府公布了《電子通信法案》的徵求意見稿。這一草案醞釀已久,其主要目的是為促進英國電子商務發展,並為社會各界樹立對電子商務的信心提供法律上的保證。英國廣播電視的主管機關--獨立電視委員會(ITC)宣稱,依照英國1990年的《廣播法》,它有權對互聯網上的電視節目以及包含靜止或活動圖象的廣告進行管理,但它目前並不打算直接行使其對互聯網的管理權力,而是致力於指導和協助網路行業建立一種自我管理的機制。 新加坡政府在1996年3月頒布了有關網路的管理條例,要求提供聯網服務的公司對進入網路的信息內容進行監督,以防止傳播色情和容易引發宗教及政治動盪的信息。1996年7月,新加坡廣播管理局依法對互聯網路實行管制,宣布實施分類許可證制度,以便鼓勵正當使用互聯網路,促進其在新加坡的健康發展,保護網路用戶、尤其是年輕人免受非法和不健康信息傳播的侵害。 在韓國,為了加強對信息通信網的管理,政府的情報通信部2001年出台了《關於保護個人信息和確立健全的信息通信秩序》的法規。這一法規明確規定個人信息管理者的許可權和責任,對向第三者泄漏個人信息者將予以重罰。與此同時,這一法規還將加強對淫穢、暴力、犯罪等非法信息流通的管理。 由於網路傳播的國際性,各國政府越來越意識到,要有效地規范網上行為、尤其是打擊網路犯罪,單靠一國立法是遠遠不夠的。各國執法部門在工作中遇到的許多挑戰,只有通過國際條約來解決。為此,歐盟委員會曾於1996年10月通過了《互聯網有害和違法信息通信》和《在新的電子信息服務環境中保護未成年人和人的尊嚴》綠皮書。綠皮書中規定網路主機服務商和檢索服務商應該對其主機和伺服器上的違法和有害信息承擔法律責任。歐盟委員會還建議對互聯網信息建立評級制度,鼓勵開發和採用過濾軟體和評級系統,鼓勵網民報告違法和有害網址。從1998年起,泛歐組織歐洲委員會決定由歐洲犯罪問題委員會下屬的網路空間犯罪專家委員會負責起草《網路犯罪公約》草案,美國也參與了起草。這是國際社會第一個正在草擬的有關計算機系統、網路或數據的犯罪行為的多邊協定。人們預期它會帶來在網路管理方面更多的國際合作。 回顧歷史,人類的傳播活動和新聞事業,總是隨著傳播技術的進步、傳播方式的更新而不斷發展的。而新的傳播技術和傳播方式往往是把雙刃劍,既能帶來新的飛躍也會帶來新的挑戰。世紀之交興起的互聯網路的情況也是如此。相信經過世界各國政府、組織和進步人類的共同努力,互聯網事業也必定能興利除弊,把人類的傳播活動和世界新聞事業帶進一個全新的時代。 http://www.cmic.zju.e.cn/cmkj/web-wgxws/9/5/2.html 互聯網路的迅猛發展,給人類的信息交流和新聞傳播提供了極大的便利,產生了廣泛的影響。但是它的發展也帶來某些負面後果,出現了一些新的問題。其中最為突出的有: 首先,由於網路傳播具有開放性,任何人都可以在沒有檢查控制的情況下在網上傳播信息,因而為有害信息的傳播帶來極大的方便。特別在一些非正規的網站網頁或個人傳播活動中,各種信息泥沙俱下,良莠混雜。散布虛假消息、謠言傳聞者有之,宣揚迷信、傳播邪教者有之,煽動民族仇恨、助長種族歧視者有之,這些都會危害社會穩定和發展。資料顯示,世界各種邪教組織如日本的奧姆真理教、義大利的末世派等都設有網站,法**組織在全球25個國家都設有網站,光在美國就擁有八十多個網站,還有13種語言版本。至於傳統媒介上常見的色情內容更是網路天地間揮之不去的有害氣體。據卡內基-梅隆大學一個專家組在1995年的調查報告稱,在美國多數家庭電腦連通的網路中,有85%帶有不同程度色情內容的圖片、文章和錄像,電子公告板儲存的數據圖像有五分之四含有淫穢內容。這些都嚴重污染著社會風氣,對青少年成長更有極為不利的影響。 其次,網路傳播具有很強的自由度,發布的言論不易查究責任,因而很容易出現侵害他人權利的行為。在網上散布流言蜚語、造謠誹謗他人,損害別人的名譽權,侵犯他人的隱私權,這些現象時有所見。也有的故意在網上製造輿論,傷害法人或自然人的信譽,為不正當的商業競爭或政治斗爭服務。另外,網路服務商為了管理或個性化服務的需要,一般都要求消費者登記自己的有關情況,這里也往往存在收集和使用不當的問題,造成對個人隱私的侵犯。 第三,由於網路空間的虛擬性,網上行為不象現實世界中那樣可觸可摸、有據可查,因而也為某些刑事犯罪帶來了可乘之隙。通過網路詐騙錢財、從事毒品交易、密謀恐怖活動、甚至為賣淫嫖娼牽線,諸如此類的犯罪活動並不罕見。也有些計算機高手,通過網路竊取商業機密、政治軍事情報。還有一些出於種種目的蓄意攻擊破壞網路的「黑客」,嚴重威脅著計算機的安全。據美國軍方一份報告透露,1999年五角大樓計算機網路受到「黑客」攻擊達25萬次之多,其中60%達到了目的。2000年2月7-9日,由美國開始的一起嚴重的黑客襲擊事件,包括Yahoo!(雅虎)、ebay.com(電子港灣)、amazon.com(亞馬遜網上書店)、CNN(美國有線電視新聞網)在內的8家世界著名網站遭到有組織的猛烈攻擊,網站運作癱瘓數小時,震驚了全世界。 http://www.cmic.zju.e.cn/cmkj/web-wgxws/9/5/1.html 中國網址導航 www.pronoti.com
④ 國外的網路安全法律法規對我們有何啟示
在實踐上,應加強公私部門合作,加大網路安全保障力度。
可借鑒英國、歐盟等的做法。
成立網路犯罪中心,科學合理地劃分各個部門的職責;建立情報事務處理部門,負責網路安全威脅信息的搜集與研判;建立網路安全國際合作部門,負責加強國際網路安全合作。
加強公私部門之間的聯動機制,發揮公私部門的優勢。引導私營部門成立網路安全小組或協會,加強業內之間、業內與政府之間的網路安全威脅信息共享與溝通,提升應對網路威脅和攻擊的能力;同時可加強產學研和政企合作,通過企業與高校合作、政府與企業合作、政府與高校合作等多方機制,培養高學歷、高水平的網路安全人才。
一、關鍵信息基礎設施的運營者還應當履行下列安全保護義務:
1.設置專門安全管理機構和安全管理負責人,並對該負責人和關鍵崗位的人員進行安全背景審查;
2.定期對從業人員進行網路安全教育、技術培訓和技能考核;
3.對重要系統和資料庫進行容災備份;
4.制定網路安全事件應急預案,並定期進行演練;
5.法律、行政法規規定的其他義務。
二、網路安全法下列用語的含義:
1.網路,是指由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統。
2.網路安全,是指通過採取必要措施,防範對網路的攻擊、侵入、干擾、破壞和非法使用以及意外事故,使網路處於穩定可靠運行的狀態,以及保障網路數據的完整性、保密性、可用性的能力。
3.網路運營者,是指網路的所有者、管理者和網路服務提供者。
4.網路數據,是指通過網路收集、存儲、傳輸、處理和產生的各種電子數據。
5.個人信息,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息,包括但不限於自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。
法律依據:《中華人民共和國網路安全法》
第二十五條 網路運營者應當制定網路安全事件應急預案,及時處置系統漏洞、計算機病毒、網路攻擊、網路侵入等安全風險;在發生危害網路安全的事件時,立即啟動應急預案,採取相應的補救措施,並按照規定向有關主管部門報告。
第二十六條 開展網路安全認證、檢測、風險評估等活動,向社會發布系統漏洞、計算機病毒、網路攻擊、網路侵入等網路安全信息,應當遵守國家有關規定。
第二十七條任何個人和組織不得從事非法侵入他人網路、干擾他人網路正常功能、竊取網路數據等危害網路安全的活動;不得提供專門用於從事侵入網路、干擾網路正常功能及防護措施、竊取網路數據等危害網路安全活動的程序、工具;明知他人從事危害網路安全的活動的,不得為其提供技術支持、廣告推廣、支付結算等幫助。
⑤ 歐盟立法強化數字監管,數字市場法有何作用
歐盟正通過立法等手段加強對社交媒體、電子商務平台等網路平台的監管,以保護和支持自身數字產業的發展,維護自身的數字主權。相信歐盟正在制定的相關立法將有助於遏制不正當競爭,規范歐洲數字市場秩序。
與過去相比,這兩個法案提出的新規在監管和制裁的方式和力度上都有很大不同。中歐數字協會理事長克勞迪婭·維諾蒂表示,未來歐盟將採取事前監管來解決惡性競爭問題,而不是像過去那樣事後起訴和制裁,這將迫使大型互聯網平台提前採取行動。此外,新出台的兩項議案採取不對稱規則,對大型科技企業和中小科技企業採取不同的監管標准,因此大型科技企業將面臨更嚴厲的審查和更多的處罰。由於歐洲本土科技企業大多規模較小,歐盟此舉有利於保護和支持本國數字產業的發展。
⑥ 法律如何保護網路隱私
從民法到刑法多層次保護,盡快制定專門法規
「網路隱私權保護是隱私權在網路環境中的延伸,對網路隱私權的維護,既有傳統隱私權的普遍性,同時也要充分體現網路的特性。」柳經緯認為,「從我國立法來看,立法對傳統隱私權的保護是多層次的。首先是憲法層面的保護,如憲法第40條對公民通信自由和通信秘密的保護;其次是民法層面的保護,這方面主要有兩部法律,一部是民法通則,另一部是去年剛剛頒布的侵權責任法。後者第36條規定,網路用戶、網路服務提供者利用網路侵害他人民事權益的,應當承擔侵權責任。」
在刑事立法方面,北京師范大學刑事法律科學研究院教授吳宗憲在人民網訪談時指出,侵犯公民網路隱私權有可能構成非法獲取公民個人信息罪,以及侵犯通信自由罪等。比如非法侵入他人的計算機信息,有可能會涉及非法獲取公民個人信息罪,攻擊他人的電子郵件系統也有可能涉及侵犯通信自由罪。
在網路服務提供者責任方面,柳經緯指出,根據侵權責任法第36條規定,網路用戶利用網路服務實施侵權行為的,被侵權人有權通知網路服務提供者採取刪除、屏蔽、斷開鏈接等必要措施。網路服務提供者接到通知後未及時採取必要措施的,對損害的擴大部分與該網路用戶承擔連帶責任;網路服務提供者知道網路用戶利用其網路服務侵害他人民事權益,未採取必要措施的,與該網路用戶承擔連帶責任。
值得注意的是,「我國在立法保障、政府監管等方面,對網路侵權行為雖然進行了規范和落實,但還需要根據網路技術的發展和隱私權侵犯的新特點,進行不斷的創新和完善,尤其在網路運營商自律方面,我國目前還沒有出台具體的自律規范和協調機制。」張新寶教授指出。
對於網路隱私的立法保護,相關專家認為,應在考慮本國國情,比較考察世界先進國家有關網路隱私權法律保護模式的基礎上,從中吸取可行的經驗措施,形成我國網路隱私權立法的一般方式和原則。具體來說,首先應從法律上明確隱私權作為一項獨立的民事權利的地位,進而盡快制定隱私權保護法,加強對傳統隱私權的法律保護;另外,還應重視對信息時代網路隱私權的調整,盡快制定保護網路隱私權的專門法規,建立一套完整的網路隱私權保護的法律法規體系,進一步加強個人網路隱私權的法律保護,為網路電子產業的發展開辟一條更為坦盪的道路。
國外建立的一些網路隱私保護法案:
1、美國頒布《電子通訊隱私法案》
美國是互聯網技術和電子商務最發達的國家之一,比較重視個人隱私權的法律保護。2000年4月21日,美國聯邦貿易委員會制定了美國第一部網路隱私法――《兒童在線隱私保護法》。
到目前為止,美國並沒有一部綜合性法典為個人信息的隱私權提供保護,但是憲法、聯邦和州政府制定的各種類型的隱私和安全條例,都足以承擔起保護個人信息的重任。其中,最為重要的是1986年頒布的《電子通訊隱私法案》。它規定了通過截獲、訪問或泄露保存的通信信息侵害個人隱私權的情況、例外及責任,禁止「向公眾提供電子通信服務」的供應商將服務過程中產生的通訊內容提供給任何未經批準的實體。
2、歐盟建構完備的法律框架
歐盟在隱私保護的立法方面一直走在世界前列,尤其是網路環境保護下的隱私保護立法。1995年制定的《歐盟隱私保護指令》是網路隱私權保護的重要法規,對網路環境下的隱私保護做了較為全面、系統的規定。此後,歐盟頒布了《電子通訊資料保護指令》和《歐洲電子商務行動方案》。歐盟通過上述一系列法規和指令,建構起了一套完備的網路隱私權保護的法律框架,為用戶、網路服務商、政府等提供了清晰可循的原則。
另外,與歐盟成員國有特殊關系的國際組織,如經濟合作與發展組織(OECD)等也非常重視對網路隱私權,特別是針對個人數據資料的保護。
3、日本提出隱私保護五原則
20世紀80年代,日本成立了「私生活保護研究會」,對網路隱私權保護問題進行研究,並於1982年9月制定了《個人數據信息處理中隱私保護對策》,提出了隱私保護應遵循的五項基本原則,即:限制利用材料原則、限制收集原則、個人參與原則、責任明確原則、正確管理原則。此外,1998年,日本還通過了規制公共機構的《有關行政機關保有的與計算機處理有關的個人信息保護的法律》。
⑦ 網路安全法的頒布,對你的網路生活有了哪些積極影響
您好,
出台《網路安全法》,可以補上我國參與國際網路安全治理的短板。
我國的網路安全法制化水平和西方發達國家相比還較為落後,限制了我國與其他國家的網路安全合作和參與國際網路空間安全治理。很多國家的政府和行業組織在評估網路安全狀況時,都明確指出中國缺乏明確的法律規定和保護能力,因此都不願意和中國政策對等合作交流,限制中國代表參與相關的規則制定。
特別是在隱私保護、數據跨境和個人信息安全領域等關鍵網路空間國際規則制定的領域,對中國一直或明或暗的排斥。如美歐發布了新的《隱私盾》協議,規定美歐之間加入協議的企業可以自由的傳輸數據。但這些國家卻不願意跟中國簽署類似的數據跨境傳輸協議,認為中國沒有法律保障,不能對數據進行嚴格保護。因此,中國的數據可以向外流通到美歐,但是很多在歐美經營的中國企業,卻不能將相關的數據傳回中國。這不僅提高了企業經驗成本,同時也對我國的國家主權是一種損害。《網路安全法》的發布和實施,可以有效提高網路安全保護水平,讓我國能夠有底氣更主動、更積極的參與相應的國際規則制定。
其次,出台《網路安全法》將會激發廣大發展中國家提高網路安全保護的動力。
與發達國家積極立法應對網路安全威脅相反,廣大的發展中國家在應對網路安全威脅挑戰上缺乏有效的治理手段和防禦能力。我國《網路安全法》的出發點和所要應對的問題與很多發展中國家相似,有共同的理解基礎。《網路安全法》制定和頒布,為發展中國家探索網路安全治理做出了良好的示範作用,法理制定過程中的經驗可以被發展中國家借鑒和參考。
網路安全是全球性問題,很多專家都用「水桶理論」來形網路空間的安全狀況,只要有一塊短板,整個安全的水平就會下降。發展中國家數量占據了國際社會的主流,提高發展中國家應對網路安全威脅的能力,是提高全球網路安全水平的重要部分。《網路安全法》頒布之後,我國政府應當專門就《網路安全法》在起草和實施過程中所總結的經驗教訓向廣大發展中國家分享,共同維護全球網路安全。
再次,出台《網路安全法》也有利於全球ICT企業更好的在華經營。
《網路安全法》兩個版本的草案都面向社會公開徵求意見。據相關報道,美國商會和歐盟商會也分別組織了在華的跨國企業積極研究《網路安全法》(草案),並針對草案提交了大量反饋意見,其中有些意見也被吸納進正式文本當中。
網路空間法制化是一個大的趨勢,對很多跨國企業而言,雖然法律提高了成本,但通過合規性可以有效降低運營的戰略風險。《網路安全法》的頒布可以幫助跨國企業更好的做好合規性工作,同時也可以用法律在保護自己在華的經營。
⑧ 結合國家相關政策及具體案例說明網路安全立法有什麼重要性
日益嚴峻的網路信息安全問題,正越來越嚴重威脅著各國及全球的社會與經濟安全,要求各國政府必須立即行動起來,採取有效措施加以解決。
加拿大頒布了《網路加密法》、《個人保護與電子文檔法》、《保護消費者在電子商務活動中權益的規定》。
美國參議院去年提交了一份有關保護網路安全的法案,要求政府機構實施反黑客計劃,目前正在計劃制定新的法律條文以保護網路安全;1999年7月,美國政府責成聯邦調查局組建了聯邦入侵偵測網路(FIDNET),以監控政府機構計算機系統安全。另外,還計劃2003年建成計算機安全防護系統。今年初,在黑客對美國網站進攻不到一周時間內,美國總統立即主持召開了網路安全會議,尋求對付黑客的策略。美國政府要求國會今年增加20億美元用於提高網路安全,2003年將達到83億美元。美國政府正在修改關於監視電子郵件的法律,以使執法部門能夠更容易地監測互聯網上的通信內容。政府表示,這項法案將增強對合法隱私的保護,因為它要求聯邦調查局在進行互聯網監聽時,要像進行電話監聽一樣,獲得司法部高級官員的批准。主要目的是更好地防治網路犯罪。
日本政府決定2000年度撥款24億日元開發網路安全技術。國際刑警組織的總幹事肯達爾曾宣布,該組織要與美國的AtomTangerine公司商談,建立反計算機犯罪情報網路,以幫助各國政府和公司應付越來越多的計算機及網上犯罪活動。這個反犯罪情報網路一旦建成,就可以收集計算機及網上犯罪活動的情報,特別是犯罪分子即將攻擊的目標和他們可能使用的手段,並將這些情況向各國政府和公司通報,以作防備。國際刑警組織也正在擬定防止計算機及網路犯罪的規章,但是,隨著計算機及網上犯罪行動的日益猖獗,國際刑警組織認為,不僅要制定相應的法律規章,還要進一步採取行動。
歐盟執委會也宣布起草一份作戰計劃對抗網路犯罪行為,並與歐盟成員國及一些上網的公司舉行一系列會談,敲定書面政策。這套政策可能要求執法機關培訓打擊網路犯罪的技術,並著眼於加強歐盟諸國警力跨國合作。
⑨ 有誰知道歐洲數據保護法的主要內容或者誰能告訴我在哪能看到這方面的消息
《歐洲數據保護法》系統介紹了歐洲的數據保護法律制度,涵蓋了歐盟及其主要成員國的最新進展情況。第一章 歐洲數據保護法律和制度
一、導言
二、歐盟機構
(一)歐盟委員會
(二)歐盟理事會
(三)歐洲議會
(四)歐洲法院
(五)歐盟數據保護專員
(六)第29條工作組
(七)第31條委員會
(八)其他機構
三、歐盟成員國機構
(一)數據保護機構
(二)其他機構和組織
四、法律文件
(一)歐盟法律
(二)成員國法律
(三)歐盟法律的最高地位和指令的執行
(四)標准化
五、立法程序
六、非歐盟的國際機構
(一)歐洲理事會
(二)oecd
(三)聯合國
(四)柏林工作組
七、法律的執行
八、未來的方向
第二章基本法律概念
一、導言
二、獲取權及相關權利
三、匿名數據或化名數據
四、同意
五、數據控制者和數據處理者
六、數據最少化
七、數據處理的定義和依據
八、數據主體
九、數據轉移
十、分支機構
……
第三章法律適用和管轄
第四章跨國數據轉移
第五章遵守的挑戰和應對策略
附錄1有用的網址
附錄2歐洲數據保護機關
附錄3歐盟數據保護指令95/46/ec的執行及其文本
附錄4隱私與電子通訊指令2002/58/ec的執行及其文本
附錄5歐盟數據留存指令2006/24/ec
附錄6美國安全港原則和常見問題解答
附錄7向第三國轉移個人數據的標准合同文本(從控制者向控制者的轉移)
附錄8向第三國轉移個人數據的標准合同文本(從控制者向處理者的轉移)
附錄9格式和範本
附錄10歐盟成員國郵件、傳真、電話和電子郵件直銷的要求
附錄11歐盟成員國有關商務和人力資源數據報告要求的概況
附錄12標准合同文本備案要求
附錄13歐盟主要成員和第29條工作組自2002年9月至2006年5月以來所採取的主要執行措施
附錄14第29條工作組2006年8月之前所通過的文件
附錄15與約束性公司規則有關的資料
⑩ 國家通過法律手段積極保護網路安全體現了什麼
一、網路信息安全立法的系統規劃
為了促使網路信息安全立法的基礎性工作能夠積極有序地進行,我們首先應當做好網路信息安全立法的系統規劃,它同時也是有效提高立法水平的關鍵措施之一。在制定立法的系統規劃時,我們需要科學整合立法的所有需求,促使立法之間能夠實現相互協調,從而增強立法的預見性、科學性。
其一,立法的目的是促進發展。我們應當明確立法是為了更好地為發展提供規范依據和服務,是為了確保發展能夠順利進行。針對跟網路有聯系的部分,我們可以將其歸到傳統的法律范圍內,並盡量通過修訂或完善傳統法律來解決實際的問題。如果一些問題必須要通過制定新的法律才能解決,我們再實施新法律的制定也不遲。並且新法律必須具備良好的開放性,能夠隨時應對新問題的發生。
其二,要重視適度干預手段的運用。為了促使法律可以跟社會的現實需求相適應,我們應當積極改變那些落後的調整方式,將網路信息安全法律制度的完善重點轉移到為建設並完善網路信息化服務,爭取為網路信息的安全發展掃清障礙,從而通過規范發展來確保發展,並以確保發展來推動發展,構建良好的社會環境以促進我國網路信息化的健康發展,形成一個跟網路信息安全的實際需求高度符合的法治文化環境。
其三,要充分考慮立法應當遵循的一些基本原則。在立法的具體環節,我們不僅要考慮到消極性法律制定出來將造成的後果,還應當充分考慮積極性法律附帶的法律後果。因此,我們不僅要制定出管理性質的法律制度,還要制定出能夠促進網路信息產業及網路信息安全技術持續發展的法律制度,並涉及一些必要的、能夠積極推動我國網路信息安全產業可持續發展的內容。
二、完善我國網路信息安全法律制度的具體措施
(一)及時更新我國網路信息的立法觀念
當下,一些發展中國家及大多數發達國家正主動參與制定網路信息化的國際規則,尤其是電子商務的立法,這些國家的參與熱情最高,歐盟、美國及日本正在想方設法將自己制定的立法草案發展成為全球網路信息立法的範本,其他國家也在加強對立法發言權的爭取,於是國際電子商務規則的統一出台是我們指日可待的事情。從這一緊張且迫切的國際形勢來看,中國在實施網路信息化立法時應當要適度超前我國實際的網路信息化發展進程,及時更新我國網路信息的立法觀念,勇於吸取發達國家先進的立法經驗,加快建設網路信息安全立法的速度,盡快將國內的網路信息化立法完善。與此同時,我國也應當積極爭取在制定國際網路信息化規則時享有更多的發言權,切實將中國的利益維護好。
(二)加強研究我國網路信息的立法理論
發展到今天,已經有相當一部分國人在從事我國網路信息化的理論研究工作,取得了顯著的研究成果,為完善我國網路信息安全的法律制度奠定了必要的理論依據。然而,這些研究工作並不具備必要的組織及協調,在力度和深度上都遠遠不夠,至今也沒有得出實際的法律草案,根本無法跟立法的需求相符。為了配合法律制度的完善,我們需要更加系統、更加深入地研究立法理論。具體地,我們要做好兩個主要的工作:其一,建議我國的一些相關部門在全國范圍內成立專門的學術研討會,針對網路信息安全的法律政策進行研究,掀起我國研究立法理論的熱潮,積極推動網路信息立法的實現。其二,積極研究國外的網路信息立法,借鑒其中較先進的法律體系及經驗,同時要處理好網路信息安全立法跟其他法律之間的關系。
(三)積極移植國外先進的網路信息法規
跟中國相比,西方一些發達國家更早進行網路信息立法的研究和實踐,並已經制定出很多保護網路信息安全的法律制度,個別發達國家甚至已經構建了完善的網路信息安全法律體系。所以,我們應提高對國外新的信息立法的關注度,爭取把握好他們發展網路信息立法的趨勢。但是,對於國外已經完善的網路信息安全法律,我們並不能照搬,而是要以中國的實際國情為基礎,勇於借鑒它們先進的立法成果,致力於使我們制定出的法律制度跟中國的特色社會主義市場經濟規律相符,從而真正提高我國網路信息安全法律制度的完善速度,提升我們的立法質量。
(四)完善網路信息法制建設的反饋機制
在制定並完善我國網路信息安全法律制度的全過程中,我們堅決不能忽視反饋。反饋能夠確保我們順利實施網路信息安全法律制度,並為網路信息安全法律制度建設的進一步完善提供積極的參考依據。然而長時間以來,我國並沒有建立健全網路信息安全立法的反饋渠道,從提出需求、編制條文到執行法規、監督法規,幾乎都是立法領域的主管機構在負責,這種管理方式自上而下,將法規的執行者擺在了被動的地位上,沒有跟法規的制定者建立起良好的信息溝通關系,對網路信息安全法律制度的可行性、科學性等有極大的消極影響。所以,我們應當建立起通暢的網路信息立法反饋渠道,構建完善的安全法律制度反饋機制,進一步明確各執法部門的反饋職能,全面收集運行網路信息安全法律制度的相關信息,確保我國的網路信息安全立法是科學的、現實的,促使法律制度在運行時能夠達到一個良好的動態平衡狀態。
(五)健全我國網路信息安全的法律體系
網路信息化最重要的保障就是網路信息安全的基本法,因此我們應當盡快制定出這一基本法,加快健全我國網路信息安全的法律制度體系。中國至今仍不具備網路信息安全的基本法,這對建設及完善我國的網路信息安全法律制度有很大的制約作用。隨著網路信息化在中國的快速發展,社會發展及國民經濟當中信息網路占據的地位越來越重要,其作用也愈加關鍵,一旦網路癱瘓、數據丟失,人民的財產安全及社會的穩定都將遭受無可估量的巨大損失。也就是說加強保障我國網路信息的安全已經發展成為最重要的網路信息化工作之一。目前,網路安全事故造成的經濟影響及社會影響正在逐漸加大,一旦事故發生,受到影響的將是數以千百萬計的國人,我們將要遭受的經濟損失將是幾百上千億。因此,我們更要進一步健全我國網路信息安全的法律體系,切實維護信息網路的數據安全、物理安全,將安全責任落實到人頭,加強對安全管理的改革,通過法律制度的完善來嚴厲打擊利用信息網路及針對信息網路實施的刑事犯罪。 (六)網路信息安全法律制度的執行重點
完善我國網路信息安全法律制度的執行重點應當體現在管理體制、網路信任、信息保護、等級保護、研發網路信息安全技術、應急處理、人才培養、監控體系以及應用推廣網路信息安全標准、信息安全意識等各個方面。在實踐這一系列重點措施的過程中,我們應特別加強對網路信息安全法律制度效率的提高。在信息網路技術迅猛發展的今天,網路信息安全法律制度擁有的積極作用不僅僅是滯後和適應,還應當充分體現為技術發展的前瞻性及主動規范性。網路信息安全的法律制度必須是能夠促進網路信息技術發展進步的,於是我們務必要提升網路信息安全法律制度的效率,在法律制度的創設階段要科學借鑒主流的技術中立思想,重視法律對特殊技術要求的符合程度,超前為發展技術和完善技術留下一定的空間,提高網路信息安全法律制度的社會適應性。在具體的執行過程中,我們應當加強研究國外先進的立法模式,取其精華、去其糟粕,借鑒其中有益自身發展的成分,有效解決法律制度跟技術之間存在的矛盾,積極鼓勵創新技術,大力開發自主知識產權,完善我國網路信息安全的技術指標體系,提高法律制度的規范效率。
換言之,在完善我國網路信息安全法律制度時,我們不僅要遵循現有的法律體系,也要敢於跳出現行的立法理念,只要是跟現行的法律體系內容不符,我們就要將其突破;我們反對動輒立法,因為一些法律條文我們完全可以自行解釋、執行。在創制網路信息安全法律時,我們不僅要重視制定管理性質的規范,也要頒布實施能夠促進網路信息產業可持續發展的法律法規,並積極引導從業單位自律;積極防止對網路信息傳播有害的管理機制的出現,進一步完善保障網路信息安全的法規體系,建立起通過網路信息弘揚我國優秀文化的激勵機制。在執行網路信息安全法律制度時,我們不僅要完善其行政執法體制,還應當加強建立起一支專業的人才隊伍,由具備專業的網路信息知識、擁有快速的安全反應能力的人員組成,以進一步明確職責,健全我們的執法機構,力求真正做到依法管理、依法行政、依法決策;加強完善我國網路信息領域的司法公工作,力求通過司法的途徑切實維護好公民的合法權益,促使國家的經濟安全和政治安全得到保障,進而大力推動我國網路信息有序、健康、安全地發展下去。
三、結語
我國網路信息安全法律制度的完善是一個十分龐大的工程,涉及的內容也非常廣泛,於是在我們實際的生產生活中,我們必須要採取行之有效的措施加強完善我國網路信息安全的法律制度,爭取為人們搭建一個安全的網路信息交流平台,在為大家提供方便的同時保護好大家的利益。