美國的國家信息安全保障體系由來已久,從“二戰”期間對國家信息的保護,到“冷戰”期間與前蘇聯之間的信息戰,再到“911”事件發生之后,對信息安全保障的重視進入到一個新的階段,時至今日美國的信息安全的保障體系已經逐步健全。美國信息安全保障框架形成了由安全技術、安全管理與政策法規三個層次統一協調的立體化框架。三個層次之間形成了一個有機整體。總體而言,美國現在的信息安全戰略屬于“擴張型”的信息安全戰略,在關鍵基礎設施、信息安全等級保護等相關領域制定了一系列的相關立法,形成了比較完善的信息安全保障體系。本文對美國信息安全保障立法體系進行介紹,并根據我國情況提出幾點思考。
一、美國保護政府信息安全立法情況
美國對計算機網絡高度依賴,從聯邦政府到州政府,再到公民個人的大量信息幾乎全部存儲在計算機系統中,由于政府信息安全事關國家安全及政治穩定,一旦遭到破壞,產生的后果將更為深遠和不可逆。因此,美國極為重視對政府信息的保護。
目前,美國有關政府信息安全方面的法律主要有:
1966年,美國制定《信息自由法》,并且分別于1974年、1986年和1996年進行了修訂,主要內容涉及對政府信息的獲取、公開方式、可分割性,以及相關的訴訟事宜等。
1987年制定的《計算機安全法》,規定NIST負責開發聯邦計算機系統的安全標準。除了國家安全系統被用于國防和情報任務外,商務部負責公布安全標準,加強聯邦計算機系統安全保護的培訓的責任,以提高聯邦計算機系統的安全性和保密性。
1991年發布的《高性能計算法》,規定建立滿足安全需求的聯邦高性能計算程序,此程序應當提供跨部門之間協調并向國會遞交年度執行報告。此外,此法還要求NIST為聯邦系統建立高性能計算的安全與隱私標準。
1996年發布的《克林格-科恩法》,又名《信息技術管理改革法》,規定設立首席信息官(CIO)職位;授予商務部發布安全標準的權利,要求各個機構開發和維護信息技術架構;要求政府預算辦公室(OMB)監督主要信息技術的收購,并且與國土安全部長協商,公布國家標準與技術研究院(NIST)制定的強制性聯邦計算機安全標準。
2000年發布的《政府信息安全改革法》,規定聯邦政府部門在保護信息安全方面的責任, 此法明確了商務部、國防部、司法部、總務管理局、人事管理局等部門維護信息安全的具體職責,建立了聯邦政府部門信息安全監督機制。
2002年發布的《聯邦信息安全管理法》,為聯邦信息系統創建了一個安全框架。該法案強調風險管理,規定了OMB、NIST、CIOs、CISOs(首席信息安全官)、IGs(聯邦機構監察長)的具體責任。倡導建立由OMB監督的中央聯邦事件中心,負責分析安全事件并且提供技術幫助,通知機構運營商當前和潛在的安全威脅及漏洞。
2009年奧巴馬總統簽署《網絡空間政策評估報告》,強調保障美國政府的網絡系統安全。
二、美國打擊計算機犯罪立法情況
1958年,世界上第一例計算機犯罪在美國硅谷發生,但是直至8年后才被發現,隨后計算機犯罪引起了美國的高度重視。1970年美國頒布了《金融秘密權利法》,對金融業務計算機中存儲的數據進行限制。到1984年美國制定了規范計算機犯罪的專門性法律《聯邦計算機安全處罰條例》,并在1987年頒布。在1988年美國就成立了由計算機安全專家組成的行動小組,對違法犯罪程序和計算機病毒的防范進行研究。同年,美國國防部高級研究計劃署成立計算機應急響應小組,負責計算機安全問題。美國有關計算機犯罪的法律主要有:
1984年的《偽造連接裝置及計算機欺詐與濫用法》。這是美國通過的第一部關于計算機安全與犯罪的法案,規定了禁止對聯邦計算機系統、銀行系統、各州及對外貿易的各種攻擊。
1986年簽署的《計算機欺詐與濫用法》,擴展了1984年《偽造連接裝置及計算機欺詐與濫用法》的范圍,并對1986年《電子通訊隱私法》進行了補充,宣告未經授權訪問“聯邦利益”計算機(指被牽涉進某個刑事案件的兩臺或多臺計算機,且它們位于不同的州),及未經授權破解計算機口令為犯罪行為,以及交易盜竊的計算機密碼為違法行為。在1994年的修正案中,對傳播病毒和其他有害代碼行為也作了規定。
《計算機欺詐與濫用法》頒布以后,網絡技術的發展導致計算機犯罪出現新的形式,尤其是業內人士的犯罪行為增加,但該法并沒有對內部人員犯罪做出規定,加上近些年計算機犯罪的產業化趨勢,使得計算機犯罪立法更為急迫。
三、美國保護個人隱私立法情況
美國的電子商務迅速發展,收集和分析個人信息的軟件行業紛紛建立,給用戶的個人隱私安全帶來極大隱患。為了降低個人隱私因使用電腦等高科技過程中被侵犯的可能性,美國從法律層面加強對隱私的保護。美國有關隱私保護的法律落后于歐盟,尤其是2001《愛國者法》的出臺,擴大了警察機關的權限,為政府更多涉入公民私生活創造了條件,違反確保公民私生活隱秘的憲法原則,引起很大的爭議,美國應該考慮制定適應當今時代的新的隱私保護法律。美國有關信息安全的隱私保護法律有:
1974年的《隱私權法》,規定聯邦機構限制個人可識別信息的披露,要求機構提供訪問個人信息記錄的權利。
1986年通過的《電子通信隱私法》主要禁止未經授權的電子竊聽,對信息傳輸安全、存儲安全和監視合法性進行的規定。
1998年美國通過了《兒童網上隱私保護法》,該法規定了網站經營者必須披露其隱私保護政策,聲明尋求兒童監護人同意的時間及方式,以及違法兒童隱私保護應承擔的責任。該法適用于美國管轄之下的自然人或單位對13歲以下兒童在線個人信息的收集。
2001的《醫治保險攜帶和責任法》(HIPAA)修正案,目標之一就是保護病人的電子健康記錄,并提出保護的具體標準。該法詳細規定了行政保障措施、物理保障措施、技術保障措施及安全責任的分配問題,對于違反安全標準的實體,規定了最高可達25萬美元罰款和最長10年監禁的嚴厲懲罰措施。
四、美國保護關鍵基礎設施立法情況
關鍵基礎設施關系到一國的經濟發展與社會穩定,美國特別重視對關鍵基礎設施的保護。20世紀90年代中期,鑒于日益增長的國際恐怖主義威脅,美國從國土安全的角度對關鍵基礎設施進行了重新定義。2001年的《愛國者法案》對其做出了詳細的概念解釋。2003年布什總統發布第7號國土安全總統令《關鍵基礎設施標識、優先級和保護》,對美國關鍵基礎設施和重要資源進行優先級排序和保護。2006年DHS發布《國家基礎設施保護計劃》為今后的關鍵基礎設施保護提供總體框架。相關法律主要涉及以下幾部:
1996年發布《國家信息基礎設施保護法》,規定未經授權進入受保護的計算機系統并通過各種形式進行惡意破壞行為,利用電子手段對他人和機構進行敲詐行為,或是試圖這樣做的行為都要受到刑事指控。
2002年發布《國土安全法》,明確了國土安全部(DHS)的職責和組織體系、信息分析和基礎設施保護、CIO管理職責,及加強在國土安全保護方面的合作等。
2010年發布的《國土安全網絡和物理基礎設施保護法》,涵蓋了部門責任義務的遵守、個人隱私保護和數據泄露應對、網絡安全教育和技術研發、重要電力基礎設施保護和漏洞分析、國際合作、打擊網絡犯罪以及采購與供應鏈安全等內容。
此外,美國111屆國會上提出《國家網絡基礎設施保護法案2010》,規定在國防部(DOD)建立國家網絡中心,設立主管職位直接向總統報告安全事件,建立國家網絡安全項目預算全國性的網絡防御應急基金,建立政府與私營部門之間協作的網絡防御聯盟,分享彼此的網絡安全威脅信息,并互相提供技術支援。
五、幾點思考
總結美國相繼出臺的信息安全立法,可以看出美國規范信息安全的法律經歷了一個從“預防為主”到“先發制人”,以控制“硬件設備”到控制“網絡信息內容”的演化過程。
首先,美國信息安全立法涉及范圍廣泛,有規范網絡犯罪方面的,加強信息網絡基礎設施保護方面,規范信息收集、利用、發布方面,隱私權保護等方面。
其次,注重多部門協作,建立威脅信息共享及應急支持機制,并且設立專門機構協調各方攜手保護信息安全。
再次,為了落實信息安全政策及法律,美國將政策執行、監督、管理等權利分配給多個部門,包括DHS、OMB、國防部、審計署、商務部、司法部等,并且根據現實需要不斷增設新機構。
此外,美國還注重標準的制定,在多部法律中提到制定相應標準保護信息安全,例如規定CIO委員會與NIST協作制定安全標準,NIST制定高性能計算的安全與隱私標準等。
總體而言,美國當前有關信息安全立法的發展趨勢是要擴大政府部門在網絡監管中的權限,并明確其職責任務,以滿足應對與日俱增的信息安全風險與挑戰的需求。
京公網安備 11010502049343號