信息安全法的概念和性质

第一节　信息安全法的概念和性质

一、信息安全法的概念和调整对象

(一)概念和特征

狭义上的信息安全法是指维护信息安全，预防信息犯罪的刑事法律规范的总称。广义上的“信息安全法的调整范围应当包括网络信息安全应急保障关系、信息共享分析和预警关系、政府机构信息安全管理、通信运营机构的安全监管、ISP的安全监管、ICP(含大型商业机构)的安全监管、家庭用户及商业企业用户的安全责任、网络与信息安全技术进出口监管、网络与信息安全标准和指南以及评估监管、网络与信息安全研究规划、网络与信息安全培训管理、网络与信息安全监控等十二个方面”^[1]。广义的信息安全法的调整对象涉及信息安全的方方面面，其优势在于对信息安全进行了全方位的观察和阐述，其弊端在于在法律领域内表现为“诸法的混合”，不能形成部门法。而狭义的信息安全法仅指保障信息安全，惩治信息犯罪的刑事法律，相对而言，目的性更为明确，法律结构也简单凝练，便于立法。从全球各国信息安全立法来看，信息安全法主要是指一种刑事法律(见本章第五节)。

狭义信息安全法的概念有以下特征:

(1)信息安全法以维护信息安全为宗旨。这里的信息安全为典型的非传统安全，包括国家信息安全、社会信息安全、企业信息安全和个人信息安全等内容。

(2)信息安全法以预防信息犯罪为目标。预防信息犯罪是信息安全的基本目标。所谓信息犯罪，是指针对信息系统的正常运行或者信息本身实施的犯罪行为。实际上，目标是针对信息系统的正常运行的犯罪行为，目的仍然是信息本身。

(3)信息安全法是刑事法律规范。信息安全法是刑法的一个新分支，属于传统的刑法范畴。

(二)调整对象

信息安全法的调整对象是指国家在维护信息安全的过程中所产生的社会关系。信息安全法的调整对象不仅涵盖了维护信息产生过程中的安全所引发的社会关系，还包含了维护信息在传递、控制、利用过程中的安全而产生的社会关系。由此可见，信息安全法的调整对象涉及信息系统的整个运行过程。^[2]

信息安全法律关系是国家运用刑罚手段对计算机入侵、制作和传播计算机病毒等破坏性程序以及破坏计算机信息系统和程序、数据等危害网络安全的行为予以处罚，从而确保信息的安全，而形成的一种法律关系。

二、信息安全法的性质

(一)信息安全法是刑法

从法律性质上说，信息安全法是刑事法律，属于传统刑法的范畴。^[3]由于计算机信息系统应用(尤其是在国家要害部门应用)的普遍性和计算机处理的信息的重要性，使得破坏网络安全的行为具有严重的社会危害性。国际计算机专家认为，网络的普及程度、社会资产网络化的程度以及信息网络系统的社会作用的大小，决定了破坏网络安全行为的社会危害性的大小。网络的作用越大、普及程度越高、应用面越广，发生犯罪案件的几率就越高，潜在的社会危害性也就越大。破坏计算机系统功能的犯罪所造成的损失更是无法估量、无法弥补的，如意大利机动车辆部的计算机被毁后，政府在两年时间里根本不知道谁拥有车辆和谁持有驾驶执照。^[4]军事机密被窃取对整个社会所造成的损害和威胁更是难以用金钱加以计算。^[5]

根据刑法学的一般原理，犯罪是一种严重危害社会应受刑法惩罚的行为。而计算机入侵、制作和传播计算机病毒等威胁信息安全的行为，与传统犯罪相比，信息犯罪所涉及的财产数额更大，因而其社会危害性更加明显。一次计算机犯罪往往给社会造成几十万、上百万乃至上亿元的巨额损失。信息安全法是预防信息犯罪的法律，属于刑法范畴。

(二)保护信息安全的其他法律

一国的法律错综复杂，然而有机地结合为一个整体，共同发挥着治理社会的作用。在保障信息安全方面也是如此，有大量的民事法律、法规和行政法律、法规也起着保护信息安全的基础性作用。也就是说，有诸多法律都直接或者间接地起到保护信息安全的作用，但它们不是严格意义上的安全法。

能起到保护信息安全作用的法律，除信息安全法以外，最为典型的是《电子签名法》和《个人信息保护法》。我国《电子签名法》于2004年8月28日公布，并于2005年4月1日正式实施，是一部规范我国电子商务的基础性法律。有一种意见认为，电子签名法是信息安全法的一部分，其主要理由是因为电子签名法的主要目的之一是为了保障电子商务安全。笔者认为，此“安全”非彼“安全”，民法的主要目的之一也是保障交易安全，但不能因此将民法等同于刑法。电子签名法和信息安全法在性质与立法目的与功能方面存在着十分明显的差异。电子签名法属于私法范畴，信息安全法属于刑法范畴;电子签名法的首要目的是确认数据电文的归属并保障其传递中的安全，但是，这种安全是电子商务的安全，换句话说是交易的安全，属于民法上的“安全”。而信息安全法直接以信息为保护客体，其基本目的在于防范信息犯罪行为。有人主张对个人信息的保护也应该纳入信息安全法的范畴。个人信息保护法是以保护个人人格权益为目的，是行政法和民法的交叉法，与作为刑法部门的信息安全法有着显著的不同。

三、信息安全法的特征

信息安全立法的目的是为了维护网络空间的正常秩序，保障信息网络的安全，维护当事人的合法权益。网络的全球性、技术性、虚拟性等特征以及信息安全立法的目的决定了我国立法的基本特征:

(一)技术性

信息安全法的技术性是指信息安全法是立足信息技术而构建的法律规范。从信息安全法的产生讲，信息安全法是根据网络特点、遵循网络规律而制定的一个全新的部门法。计算机网络是当事人进行活动的技术平台，网络的特征决定了信息安全立法必须适应网络的特点、遵循网络规律。计算机网络构筑了一个与物理空间不同的网络世界。在因特网上，传统的地缘或政治上的国界已不复存在，“超越国界”只需敲击键盘或鼠标即可实现。网上行为总是需要明确的法律指引，只有出台国际社会认可的、明确的、共同的法律规则，才能为各方当事人提供明确的指引，网络才能发挥其全部的潜能。如果说传统的法律基于地域管辖还能够“各自为政”的话，那么信息网络的发展与应用已经将国与国、地区与地区之间的法律衔接推上更紧迫的日程。^[6]因此，我国在进行信息安全立法时，应适应网络的特点，在研究外国及国际立法的基础上，借鉴其先进、科学的法律制度，力求达到与国际标准统一，避免因法律制度的差异而阻碍网络的应用和发展。

(二)开放性

信息安全法的开放性是指信息安全法在具体的法律规范的设计上表现出的一定的宏观性。针对信息安全进行立法尚无法确定的问题，尽可能在宏观上加以规范，这样可以保持信息安全法具有一定的开放性，给今后的发展和适用预留一定的空间。是立足信息技术而构建的法律规范。计算机与通信技术的发展方兴未艾，新的技术、新的信息处理方式和传输方式不断涌现。可以预见，随着信息网络的快速发展，新的犯罪形式层出不穷。如经常、不断地修订法律以适应信息安全的需要，必将牺牲法律的稳定性和连续性。保持法律的稳定性和连续性是法律权威性及严肃性的内在要求，朝令夕改或任意废止将有损法律的尊严。因此，信息安全立法也必须根据目前的现实情况，并预测到未来发展的需要，坚持开放性的原则，具有充分的前瞻性和预测性，保持适当的灵活性，否则便可能出现无法可依、让罪犯逍遥法外的被动局面。

宏观性和可操作性并不当然矛盾，对于已经确定的情况，应构建便于操作的具体规范，从维护信息安全的角度出发，保护当事人的正当权益，制定的规范便于当事人的起诉，也便于司法机关办案。

(三)兼容性

信息安全法的兼容性是针对传统法而言的，是指信息安全法的制度创设表现出的与现有法律体系应协调一致的特性。一方面，计算机网络构筑了一个不同于以往的网络空间，在这个空间里，比特代替了原子。人们在这个空间里进行活动，必然形成新的社会关系。面对这些新的社会关系需要法律予以调整和规范的要求，建立在物理空间中的法律显得无能为力，因而必须建立新的制度以适应网络活动的要求。但另一方面，网络毕竟不是脱离物理空间存在的独立世界，网络只是现实世界的自然延伸和发展，就Internet来说，它是一个真实的物理结构。^[7]虽然网络在一定程度上改变了人们的行为方式，但并没有彻底改变现行法律所赖以存在的基础。^[8]因此，信息安全立法不能完全脱离现有法律，而应当针对危害信息安全的新行为做出新的规定，同时又要与现有的法律相协调，尤其是基本的法学理念和法律规范仍应予以继承，从而更好地保护当事人的合法权益。

四、我国制定信息安全法的必要性

(一)政府治理社会的基本需要

伴随信息技术的发展，我国社会信息化程度越来越高，并且，我们的最终目标是走向信息社会。在这个急速信息化的过程中，电子政务、电子商务、家庭上网、“十二金”工程等信息化计划深入推广，网络已经渗透到人们日常生活的方方面面，信息安全已经成为社会安全和社会秩序的新领域，受到政府的高度重视。先进的技术正在不断地保障着信息安全，诸如电子签名、防病毒、反黑客、防垃圾邮件、公共安全平台等措施，为我们实施信息安全战略提供了技术上的保证。然而，风险是绝对的，安全是相对的。信息安全面临的挑战不但是技术上的风险，还有更重要的就是制度上的风险。法律是最终的解决方案，制定信息安全法是政府治理社会的基本需要。

(二)协调信息安全管理机关职责的需要

目前，我国并没有专门的信息安全机关，而是由公安部、安全部、国家保密局、国家商用密码管理办公室等协同管理。实际上，涉及信息安全工作的国家机关远不止于此，几乎所有的部委和行业主管部门都在根据自己的职责管理相关的部分。这个看似庞大的规模和队伍，需要统一和协调。制定信息安全法、明确管理机关的责权利，是保障信息安全的重要内容。

(三)规范网络行为的需要

信息安全问题实质是网络行为是否符合社会规范的问题。在信息网络上，黑客、病毒和垃圾邮件并称为“三大公害”，极大影响了我国网络运行的正常秩序。有关统计数据显示，我国95%的与因特网相联的网络管理中心都曾遭到国内外黑客的攻击或入侵，其中银行、金融和证券机构是攻击重点。这些犯罪行为往往会给社会经济和国家安全造成灾难性的后果。制定统一的信息安全法，为网络信息提供规范，可以起到震慑作用，净化网络空间。

(四)完善法律自身的需要

自1994年以来，我国先后颁布了一系列有关计算机及国际互联网络的法规、部门规章或条例，这些信息安全立法，许多内容已明显滞后，并且有的内容还相互冲突、抵触。1997年修订的《刑法》中的有关条款，也难以适应现实的诸多需要。因此，制定信息安全法，废止过时的或者相互抵触的行政法规，非但不会打乱现行法律体系，而且能够减少现有信息安全法律和法规的冲突和抵触，是社会信息化过程中法律自身健康发展的需要。