美国信息安全法律法规

8.5.1　美国信息安全法律法规

美国作为当今世界信息大国，不仅信息技术具有国际领先水平，有关信息安全的立法活动也进行得较早。因此，与其他国家相比，美国是信息安全方面的法案最多而且较为完善的国家。美国的国家信息安全机关除人们所熟知的国家安全局（NSA）、中央情报局（CIA）、联邦调查局（FBI）外，1996年成立了总统关键设施保护委员会，1998年成立了国家设施保护中心，以及国家计算机安全中心、设施威胁评估中心。美国信息安全法律制度调整的对象涉及的范围比较广泛，大致可以分为三个方面：一是政府的信息安全；二是商业组织的信息安全；三是个人隐私信息的安全。下文将从上述三个方面分别对美国的信息安全法律法规进行简单的介绍。

1.政府信息安全法律

（1）《信息自由法》

该法制订于1966年，主要是保障公民的个人自由。其利用“例外”的立法方式，将需要保护的信息加以列举。其列举了九种不能公开的信息。《信息自由法》是美国最重要的信息法律，构成了其他信息安全保护法律的基础。与此相类似还有《阳光政府法》（Government in Sunshine of 1976），又叫《联邦公开会议法》，该法影响着约50个联邦部门、委员会和机构，要求它们公开所有会议的情况和记录档案。

（2）《爱国者法》

这是“9·11”事件以后美国为保障国家安全颁布的最为重要的一部法律，也是目前争议最大的一部法律。该法原名：2001年为团结和强化美国而提供有效措施抗击恐怖主义法案，是联邦法。它的目的主要是：从法律上授予美国国内执法机构和国际情报机构非常广泛的权力和相应的设施以防止、侦破和打击恐怖主义活动，使美国人民能够生活在安全的环境中。该法共分十个章节，范围广泛，内容复杂，同时，还对美国现有的十几部法律作出了修改。

（3）《联邦信息安全管理法案》

该法将“信息安全”定义为“保护信息和信息系统以避免未授权的访问、使用、泄露、破坏、修改或者销毁，以确保信息的完整性、保密性和可用性”。同时，对“国家安全系统”的概念进行了界定。该法还授权各管理部门行使国家信息安全管理职责，比如，授权国家标准与技术局（NIST）为联邦政府使用的系统制定安全标准与指南；授权管理与预算办公室（OMB）主任对安全政策、原则、标准、指南等的制定、执行（包括遵守）情况进行监督。该法是美国政府在“9·11”事件后为加强国家安全颁布的另一部非常重要的法律。

（4）《美国企业改革法案》

该法又名：《公众公司会计改革与投资者保护法》（简称《萨班斯－奥克斯利法》）。法案要求某些公司为保证其内部金融控制的准确性，证券交易委员会（SEC）有权制定标准并执行这些规则，并与其他对金融组织拥有管辖权的机构共同负责对金融组织计算机系统上的有关个人金融信息隐私的规则的执行。SEC还负责大量私营部门公司内部金融控制（包括关联公司计算机系统的内部金融控制）认证规则的执行。该法是在包括安然、世界通信等一系列公司财务丑闻爆发之后由国会订立的，主要目的是加强对上市公司内部金融信息的监管，以维护金融市场的秩序和安全。

2.商业组织信息安全法律

美国是一个高度发达的工商业社会，市场化程度非常高，甚至军工生产都由私营企业来承担。随着网络在工商业中的广泛应用，信息安全问题显得越来越重要和突出。比如说，黑客攻击了纽约证券交易所的网络，或有人窃取了花旗银行的所有客户账号与密码等，这样的损害和损失将是十分严重的。要解决这样的问题，要靠技术、管理，更要靠法律的约束。对商业组织信息特别是商业秘密的保护主要是依据各州的法律，主要是普通法。

（1）对商业秘密的保护

商业秘密是一种信息或过程，它能使商业组织与没有掌握这种信息或过程的竞争者更具有竞争优势。在美国，保护商业秘密的法律有普通法、成文法，另外还有是相关方签订劳动合同或保密协议的方式。

根据《侵权法重述》第757节，“某人未经授权泄露或使用他人的商业秘密，在下列条件下要承担法律责任：①用不适当方式泄露秘密；②泄露或使用是违背告诉者与之之间的保密信用关系的。”工业间谍进入竞争者的计算机盗取商业机密的行为，也属于商业秘密盗窃。

直到最近，实质上所有涉及业秘密的法律都是普通法。但由于普通法具有复杂性和不可预测性，1985年美国制定了《保护商业秘密统一示范法》，供各州选择使用。法案的部分条款已在20多个州使用。

《商业秘密法案》（the Trade Secrets Act of 2000）。该法规定未经授权泄露商业秘密的行为为犯罪。

（2）对版权作品的保护

《数字千年版权法》（The Digital Millennium copyright Act of 1998DMCA，17U.S.C.§1201－05）。该法涉及网上作品的临时复制（temporary copies）、网络上文件的传输（digital transmissions）、数字出版发行（digital publication）、作品合理使用范围的重新定义、数据库的保护等，规定未经允许在网上下载音乐、电影、游戏、软件等为非法，要承担相应的民事或刑事责任。在刑事责任方面：根据该法第1204条的规定，对初犯者，惩罚为高达500 000美元的罚款和5年监禁。对再犯者，罚款可达1 000 000美元和10年监禁。在民事责任方面：恢复原状；没收违法利润；法定赔偿金最高可达2 500美元（每次违法行为）。任意赔偿金可包括的：最近三年来受损害方可以证明的利益损失的三倍、受害方申请禁令和聘请律师的费用等。

3.个人隐私信息安全法律

美国公众对个人隐私的保护非常重视，但美国的法律体系明确承认隐私权，是在19世纪末。此前，主要是依据宪法第一修正案、第三修正案、第四修正案、第五修正案中的原则来保护个人隐私，同时普通法中也有一些间接的保护隐私的例子。公认的对隐私权真正确立是始于1890年学者山姆利·沃伦（Samul Warren）和路易斯·布伦迪斯（Louis Brandeis）在《哈佛法律评论》上发表一篇文章《论隐私权》。到今天，隐私权已成为一项可以抗辩的法律主张。作为一项法律权利，隐私权在美国整个法律体系的权利序列中，处于较高的阶位。假如政府或个人的行为对大众有利却侵犯了隐私权，则这些行为仍然是违法的。

对个人隐私保护的联邦成文法非常多。主要列举如下：

（1）1980年《隐私保护法》，确立了执法机构使用报纸和其他媒体拥有的记录和其他信息的标准。

（2）1986年《电子通信隐私法》，该法是对1969年《综合犯罪控制和街道安全法》的修订，目的在于根据计算机和数字技术所导致的电子通信的变化而更新联邦的信息保护法。

（3）1996年《电讯法》，规定电讯经营者有保守客户财产信息秘密的义务。该法是为了适应信息化的发展而对20世纪30年代的原有法律进行全面修订而制定的全新法律，它综合了以往分别进行管理的广播、电视、通信和计算机等内容，部分内容体现了试图查禁色情贩子肆无忌惮的在网际空间促销淫秽资讯的活动，保护儿童和少年的身心健康。

（4）1999年《儿童网上隐私保护法》，该法是第一个保护由网络和因特网的在线服务所处理的个人信息的联邦法律。没有父母的同意，联邦法律和法规限制搜集和使用儿童的个人信息。