摘要:
北京电子科技学院学报2007ngElectroniScienceTechnologyInstituteSept... 北京电子科技学院学报2007ngElectroniScienceTechnologyInstituteSept.2007*本文是北京电子科技学院信息安全和保密重点实验室基金资助的“信息安全政策和咨询”研究专题的子课题“美国信息安全法律制度研究”(课题编号YZDJ0613)成果之一。收稿日期:2007-08-30美国信息安全法研究北京电子科技学院,北京:100070)美国信息安全法律非常完善、有连续性、体现了信息公开与信息自由优先原则。主要是从制度的层面,强调立法、行政、司法机构相互协调与监督,共同保障政府信息、商业信息和个人隐私信息的安全。也强调政策、技术标准、组织内部管理制度以及人员素质的重要性。美国的经验对构建我国信息安全法律体系具有参考借鉴价值。关键词:美国信息安全法;美国法律制度;美国法律述评中图分类号:D971.221文献标识码:文章编号:1672-464X(2007)03-0019-05StudyInformationSecurityLawU.S.AXIAOZhi-hongZHAODong(BeijingElectronicScienceTechnologyInstitute,Beijing100070,China)Abstract:informationlawveryconsummatesequential,whichreflectsopeninginformationinformationfirst.lawsystem,legislationagenciesaltogetherwithadministrativeagenciesjusticeagenciesworkinlinegovernmentinformation,tradeinformationpersonalprivacy.alsoemphasizespolicy,technologystandard,organizationmanagementsysteminsidepersonnel.ThoseexperiencesconstitutinginformationsecuritysystemofChina.Keywords:InformationSecurityLawofUSA;LawSystemofUSA;ReviewonLawofUSA信息安全问题已经成为今天信息社会中最为突出的问题。
这是由于计算机技术特别是网络技术的发展及广泛应用。美国在信息安全领域方面,无论是技术还是管理方面都是世界上最为先进和最有经验的。管理的重要手段就是利用法律进行监管并惩治不法行为。众所周知,美国也是世界上法律非常健全的国家。因此,本文试着从法律的角度了解美国是如何管理、控制和保障信息安全的。我国也在逐步全面地进入信息社会,美国人遇到的问题同样有可能在我国出现,事实上有许多问题已经在我国出现,我国也正在研究构建信息安全法律体因此,研究美国的信息安全法律制度非常有意义。美国信息安全法律制度调整的对象涉及的范围比较广泛,大致可以分为三个方面:一是政府的信息安全;二是商业组织的信息安全;三是个人隐私信息的安全。本文试着从这三个方面进行论述,最后进行分析评述。二、保障政府信息安全法律以及立法机构通过的其他法律这里的政府,是指美国国家权力结构中的行政分支,包括联邦政府和州政府。北京电子科技学院学报2007年美国对政府信息进行立法保护的首要原则是向公众公开原则(也叫信息公开原则)。美国宪法第一修正案明确保障公众的言论自由、新闻自由和信仰自由。从这一条引申出了许多非常重要的宪法原则。其中最重要的一个就是信息自由。
由于本文的重点是保障信息安全的法律,因此,有关信息自由和信息公开的法律制度将不做详细阐述。联邦政府信息安全保护法律保障联邦级的政府信息安全的法律法规很多,本文选取一些有代表性法律介绍。另外,由于网络的跨州性和跨国性,有关网络信息安全的法律大多是国会通过的联邦成文法,这是其一重要特点。1.政府机构档案文件信息及保密法律《信息自由法》(FreedomofInformationAct1966,FOIA)。如前所述,制订于1966年的该法主要是保障公民的个人自由。但也需要保障国家的安全,因此,该法利用“例外”的立法方式,将需要保护的信息加以列举。具体来说,就是规定,除了以下国家安全问题,即根据行政命令的标准被设定为保密的材料,其目的是维护国防、外交政策的利益,依照行政命令分其等级;内务材料,是指仅涉及一个政府机构的内部人事制度和活动的问题的材料;法律规定豁免的材料,如人口普查档案、公共设施信息、专利利用、纳税申报单、银行档案、老兵津贴以及中央情报局和国家安全委员会持有的文件;商业秘密。从任何人处获得的商业秘密和财务信息,或在法律上可拒绝公开,或是机密信息,包括两种信息—商业秘密和金融(或商业)信息;工作文件/律师—当事人特权性材料;个人隐私文件,包括人事档案、医疗档案和类似档案;执法档案,但必须符合法定条件如:按常理预计,公开该信息会妨碍执法过程;会剥夺一个人接受公正审判和判决的权利等;金融机构材料;地质数据。
上述规定实质上是规定了何种信息应受法律保护而不应被公开。《信息自由法》是美国最重要的信息法律,构成了其他信息安全保护法律的基础。与此相类似还有《阳光政府法》(Government联邦政府对政府部门信息制订的保密分类标准。保密分类标准是通过总统的行政令来确立的。1953艾森豪威尔总统发布行政命令10501命令对行政分支下属机构的文件实行保密分类。但这种分类规定的合理性和合法性,最终受司法审查的控制。分类主要涉及国家安全与国防、情报收集和外交。该系统有三级分类保密制度,被分为:机密级(Confidential)、秘密级(Secret)、绝密级(TopSecret)对密码产品的出口进行管制。这主要体现在两份重要的文件:一是:199916日的白宫《加密问题备忘录》;二是2000月修订的《美国加密产品出口管理条例》。这些法律对国家安全、公共安全、隐私保护以及商务应用进行了平衡。对高端技术产品的出口需要国会特别批准。最近,美国国会特别立法规定,向日本出口最新式的22“猛禽”战斗机,需要得到美国会特批,合同才能生效。2.《爱国者法》(USAPatriot2001)。这是11事件以后美国为保障国家安全颁布的最为重要的一件法律,也是目前争议最大的一部法律。
它的目的主要是:从法律上授予美国国内执法机构和国际情报机构非常广泛的权力和相应的设施以防止、侦破和打击恐怖主义活动,使美国人民能够生活在安全的环境中。该法共分十个章节,范围广泛,内容复杂,同时,还对美国现有的十几部法律作出了修改。由于该法赋予联邦政府的权力过大,引起美国国内民权人士的担忧, 并产生诉案。 参见: 林达:《如彗星划过夜空 近距离看美国之四》,生活 读书 新知三联书店, 2005 年版, 360、270-386 参见:彭海燕, 美国《爱国者法法案》对在美外资商业银行的影响.载于:林晓云主编《美国法通讯》第二辑,法律 出版社, 2004 年版, 216-220 陈延忠:《爱国者法》宪法诉讼的漫漫长路,载于:林晓云主编《美国法通讯》第三辑, 律出版社,2004 年版, 250-254 美国立法机构通过的其他保障信息安全的法律法规1.针对网络信息犯罪, 美国主要制订有以下一些法律: 《惩治计算机与滥用法》(ComputerFraud AbuseAct 1984,CFAA, 18 U.S.C.1030) 。该法的主要目 是保护联邦政府以及金融和医疗机构等“受保护的计算机”。该法禁止为了获取敏感信息如有关国防的信息、金融和消费者信用记录等信息, 未经授权而进入“受保护计算机系统”。
非法买卖传输由美国政府使用的或 者为美国政府服务的计算机的口令密码的行为, 也在被禁之列。以上行为“故意”才可定罪。 (2)1996 年《经济间谍法案》(the Economic Espionage Act) 由国会通过,该法案规定: 窃取商业秘密的行为 是一种联邦犯罪行为。 2.《联邦信息安全管理法案》(Federal Information Security Management Act 2002,FISMA)。该法将“信息安 全”。被定义为“保护信息和信息系统以避免未授权的访问、使用、泄漏、破坏、修改或者销毁, 以确保信息的完整 性、保密性和可用性”。该法是美国政府在 11事件后为加强国家安全颁布的另一部非常重要的法律。 3.《电子政务法》(the GovernmentAct 17日美国总统签署, 该法对联邦政府信息技 术管理和规划的每一个方面, 从危机管理到电子档案及查询索引都做了规定。该法还第一次拨专款 3.45 元支持《电子政务计划》。在具体内容中特别强调了电子政务中的信息安全问题,重新授权政府信息安全改革 为保护政府计算机网络安全提供管理框架。4.联邦政府颁布的行政法令 保证联邦计算机系统安全是美国联邦政府的主要工作, 因此, 联邦政府运用行政权力, 通过多项行政立法 来保障国家的关键基础设施信息的安全。
1998 克林顿总统颁布了第63 号总统令(PDD- 63) 要求确保关键基础设施的安全。布什在二届任期内更是十分关注国家基础信息设施的信息安全立法问题, 并做了大理 的工作。包括: 督促国会通过联邦法案; 发布行政命令和国家信息安全政策等。 三、保障商业组织信息安全法律制度 美国是一个高度发达的工商业社会, 市场化程度非常高, 甚至军工生产都由私营企业来承担。随着网络在 工商业中的广泛应用, 信息安全问题显得越来越十分重要和突出。比如说, 黑客攻击了纽约证券交易所的网络, 或有人窃取了花旗银行的所有客户账号与密码等, 这样的损害和损失将是十分严重的。要解决这样的问题, 靠技术、管理,更要靠法律的约束。对商业组织信息特别是商业秘密的保护主要是依据各州的法律, 主要是普通 联邦法律1.对商业秘密的保护。 商业秘密是一种信息或过程, 它能使商业组织与没有掌握这种信息或过程的竞争者相比, 具有竞争优势。 商业秘密包括如: 客户清单; 商业计划书; 研究与发展信息; 价格信息; 营销技巧; 生产方法, 以及一切能使商业 组织具有唯一性并对竞争者来说有价值的信息或过程。在美国保护商业秘密的法律有普通法, 成文法, 另外还
