论文投稿_医学论文投稿_核心期刊,职称论文投稿发表_论文部落

　　“911”恐怖袭击事件充分暴露出信息安全对国家安全和社会安定的重要性。以美国为首的信息化建设较为发达的国家，针对“云计算”时代的网络信息安全展开了积极的学理研究和立法实践。例如，在信息安全技术标准领域，美国先后制定了《国家信息标准》(ANSI)、《联邦信息处理安全标准》（FIPS)、《国防部信息安全指令》(DOD)1301;欧盟制定了《信息技术安全性评价准则》>(ITSEC)，加拿大制定了《可信计算机产品评价标准》(CTCPEC)。在网络信息安全立法领域，美国制定了《儿童在线隐私法》（1998)、《计算机反欺诈与滥用法》(2000)、《联邦信息安全管理法案》(2002)和《电子通信隐私法案》（2009)，欧盟制定了《关于保护个人信息处理所涉及的个人以及保护该信息自由流动的95/46/EC指令》（1995)，德国制定了《多媒体法》(1997)，英国制定了《数据保护法》(1998)，日本制定了《个人信息保护关联五法案》(2003)，韩国制定了《关于促进利用信息通信网及保护信息的法律》(2001)等。以美国的《联邦信息安全管理法案》(2002)为例，该法案的立法目的在于：（1)为确保联邦信息资源安全控制措施的有效性提供一个全面的框架；（2)认识到当前联邦计算机系统处于高度联网的状态，应当在整个政府部门的范围内提供有效的安全管理并监控有关的信息安全风险；（3)为保护联邦信息资源和信息系统的安全开发与维护提供最低限度的安全控制措施；（4)为改进联邦机构信息安全计划的疏漏提供有效机制；（5)接受商业开发的信息安全产品，提供先进的、动态的和高效的信息安全解决方案；（6)允许每个机构从商业开发的信息安全产品中选择特定的硬件和软件作为信息安全解决方案1311。此外，美国《健康保险可携性及责任性法案》(HIPAA)和《金融服务现代化法案》（GrammeachlileyAct)等联邦法律的隐私规则明确禁止“云计算”服务提供商将个人保健数据或财务数据泄露给与自己没关联的第三方，除非事先落实了具体的合同安排;美国国内税务局（RS)的一项规章则禁止报税员使用“云计算”服务提供商来存放税务报表，避免造成纳税人隐私泄露。
　　应国际标准化组织ISO/IEC/JTC1/SC27会议要求，我国于1997年成立了信息技术安全分技术委员会，由国家安全部、公安部、国务院信息办、国家保密局等22个部门组成，负责我国的信息技术安全标准制定工作。目前，该委员会已发布了数字加密、数字签名等多个网络信息安全技术标准。此外，我国高度重视“云计算”时代的网络信息安全立法工作，先后制定了多部相关法律、法规、规章及规范性文件，例如《电子签名法》(2004)、《互联网视听节目服务管理规定》（2007)、《信息网络传播权保护条例》（2006)、《互联网电子邮件服务管理办法》(2005)、《互联网安全保护技术措施规定》(2005)、《互联网电子邮件服务管理办法》（2005)、《电子认证服务管理办法》（2005)、《电信服务规范》(2005)、《全国人民代表大会常务委员会关于维护互联网安全的决定》（2000)、《互联网信息服务管理办法》(2000)等，内容涉及网络系统安全、网络信息内容安全、信息产品、保密及密码管理、计算机病毒与危害性程序防治等多个领域。然而，尽管我国网络信息安全立法体系已经初具规模，随着“云计算”、“云存储”、“云安全”等新兴信息技术的发展，现行立法的弊端也逐渐暴露出来，主要表现为：首先，我国现行立法中尚未对网络信息安全的概念作出明确界定，缺少一部统一的《信息安全法》从宏观上调整信息安全法律关系，立法缺乏系统性和权威性。目前已有的法律、法规和规章数量虽多，但是体系庞杂，偏重于解决具体的技术问题，往往是“头痛医头，脚痛医脚”，缺少统一的指导思想与立法规划。其次，现行绝大多数相关立法的法律位阶低，多以各部门制定部门规章和规范性文件为主，不同部门立法的协调性和相通性不够;现行立法规定的信息安全监管手段单一，基本以行政许可为主，缺乏有效的事后监管机制和长效监管机制，造成信息安全监管的效率低下。再次，从立法内容来看，现行立法内容重复较多，对信息技术发展趋势估计不足，使得许多领域存在法律漏洞。例如《中华人民共和国电信条例》第57条有关电信网络安全的“九不准”规定被诸多部委的规范性文件反复援引，造成内容雷同，既不利于体现法律的严肃性，也使得各主管部门之间容易产生权力冲突。此外，现行立法对于即时通信软件、“微博”、P2P、社交网络应用等没有规定相应的安全保障措施和监管手段，对于黑客等危害信息安全的网络行为的认定过于原则和笼统，缺乏可操作性。最后，现行立法对信息安全主管部门的职权界定模糊，各主管部门之间职责划分不清，缺乏严谨、可操作的信息通报、集体决策、处罚联动等机制，导致信息公开主管部门、信息系统建设和运营单位对信息安全等级保护的步骤、方法和措施认识不足，在保护制度的具体实施中普遍存在定级不准、定级偏低等现象。
　　在“云计算”时代，网络信息安全技术标准能够为信息安全提供技术保障，而网络信息安全立法能够为网络信息安全提供更为全面和广泛的法律保障，能够通过规范，调整涉及到信息安全的所有法律关系，形成良好的信息传播环境，有效制裁扰乱网络信息传播秩序的违法行为，最大限度地消除网络信息技术特征对社会造成的负面影响，切实保障社会公众接收、获取和利用网络信息的权利。因此，笔者认为在进一步完善信息安全技术标准体系的同时，应重点针对我国现行的网络信息安全立法进行调整充实，以适应对“云计算”环境下的信息安全进行法律保障的需要。
　　首先，应尽快制定出台《信息安全法》，并将其作为网络信息安全法律体系的基本法。在2011年的全国政协会议上，多位政协委员提出要加快制定《信息安全法》，改变目前国内信息安全产业监管无序的现状。该法应明确对网络信息安全进行界定，规定网络信息安全的主管部门并赋予其相应的职责权限；应明确对危害网络信息安全的网络行为进行界定，使信息安全执法和司法有章可循;应规定对电子政府信息公开以及其他与社会公众密切相关的金融、交通、能源、教育等公共网络信息进行重点保护，同时也应建立起对个人信息的保护机制；应重点针对网络服务提供商(ISP)和电子签名认证机构的信息安全义务作出规定，督促其认真维护网络信息安全。目前，世界各国立法都普遍规定了ISP的信息安全义务，要求ISP为其计算机系统存储和发送的有害信息承担责任，例如欧盟《网络刑事公约草案》(2000)、美国《国家信息基础设施白皮书》（1995)、新加坡《新加坡广播管理法》(1996)以及法国《信息社会法》(2001)都规定了ISP的法律责任制度。此外，立法还应充分考虑到信息技术发展的持续性，为信息技术的发展预留空间。