摘要在应用法律保障政府信息安全管理上,美国是当前出台相关法律最健全的国家,本文指出从法律的角度了解美国是如何管理、控制和保障信息安全的,对我国研究构建政府信息安全法律体系有着重要意义。
关键词政府信息安全 法律 法规
中图分类号:D9712 文献标识码:A 文章编号:1009-0592(2009)05-360-01
一、保障政府信息安全的联邦法律
(一)《信息自由法》(FOIA, 1966)
为了适应计算机及网络技术的发展和广泛应用,该法于1996年被修订,把电子信息纳入该法,使公民能够方便地获取和使用政府信息。但由于保障国家安全的需要,该法利用例外的方式,将需要保护的信息进行列举。规定除了以下9种不必公开的信息外都应按法定条件向公众公开:国家安全问题,即根据行政命令的标准被设定为保密的材料;内务材料;法律规定豁免的材料;商业秘密;律师工作文件,当事人特权性材料;个人隐私文件;符合法定条件的执法档案;金融机构材料;地质数据。上述规定实质上是规定了何种信息应受法律保护而不应被公开。《信息自由法》是其它信息安全保护法律的基础。
(二)《阳光政府法》(GSA,1976)
该法影响着约50个联邦部门、委员会和机构,要求公开其所有会议的情况和记录档案,但有10 种例外。9种与《信息自由法》规定的一样,增加的是政府正在参与仲裁或者正处于裁定或处理一起案件的过程中的信息与档案。除了联邦法律之外,美国各州都制订了公开会议法或公开档案法等,规范信息的公开与保密问题。
(三)《总统档案法》(PRA,1978)
该法规定白宫幕僚向总统提供的文件要该届政府结束12年之后才能公开。9·11事件后,美国政府对政府信息的公开更加谨慎,以防被恐怖分子利用。从《总统档案法》的执行看,美国行政机构对档案的控制权是非常大而灵活的。
(四)《计算机安全法案》(CSA,1987)
该法被1996年《信息技术管理改革法案》和2002年《电子政务法》修订。前者要求行政机构设置信息主管(CIO)并为他们设定职责;后者要求政府颁布计算机安全标准、培训相关信息安全工作职员、为计算机系统安全和隐私信息制订安全计划。经过修订的《计算机安全法》是美国政府信息安全领域的重要法律,其主要内容包括规定了国家标准与技术局是为联邦政府计算机系统制定信息安全政策和标准的授权单位,要求凡是存有敏感信息的政府计算机系统,必须制定安全计划等等。
(五)《爱国者法》(PA,2001)
这是9·11事件后美国为保障国家安全颁布的最为重要的一部法律。它从法律上授予美国国内执法机构和国际情报机构广泛的权力以防止、侦破和打击恐怖主义活动,使美国公众生活在安全环境中。该法还对美国现有的十几部法律作了修订。
(六)《联邦信息安全管理法案》(FISMA,2002)
该法对信息安全作了定义,并对国家安全系统的概念进行界定。该法还授权各管理部门行使国家信息安全管理职责,比如:授权管理与预算办公室(OMB)主任对安全政策、原则、标准、指南等的制定、执行情况进行监督,授权国家标准与技术局(NIST)为联邦政府使用的系统制定安全标准与指南。该法是美国政府在9·11事件后为加强国家安全颁布的另一部非常重要的法律。
(七)《电子政务法案》(EGA,2002)
该法对联邦政府信息管理和规划的各个方面,从危机管理到电子档案及查询索引都做了规定。在具体内容中特别强调了电子政务中的信息安全问题,重新授权政府信息安全改革法,为保护政府计算机网络安全提供管理框架。
此外,还有《计算机欺诈与滥用法》(CFAA)、《经济间谍法案》(EEA)、《数字千年版权法案》(DMCA) 等法律对政府信息安全保护也有明确的相关规定。
二、保障政府信息安全的行政法规
联邦政府通过总统的行政令对政府部门信息制订了保密分类标准,分类主要涉及国家安全与国防、情报收集和外交。确立三级分类保密制度:机密级、秘密级、绝密级。但其合理性和合法性,最终受司法审查的控制。1996年制定的《国家信息基础设施保护法案》,加强了对侵害国家信息基础设施的行为的认定和处罚。1998年克林顿签署颁布了《关于保护国家信息基础设施的第63号总统令》,要求确保关键基础设施的安全。该总统令就美国信息安全的概念、意义、长期与短期目标等作了明确的说明,针对下一步的行动作了指示,并提出了一个保护国家关键信息基础设施的方案。作为美国21世纪总体信息安全战略和指南的《信息系统保护国家计划》2000年出台,涉及到脆弱性评估、信息共享、事件反应、人才培养以及隐私保护、法律改革等方面的内容,为每一项信息安全内容制定了详细的时间表和计划。
9·11事件后,布什政府把信息安全立法问题提到新的高度,并做了大量的工作。包括:督促国会通过联邦法案;发布行政命令和国家信息安全政策;调整国家信息安全工作机构,设立直接向总统负责的总统国家安全顾问,成立本土安全部,同时建立相应的其他配套机构,以保证国家信息安全工作的协调、统一与高效。2003年通过的《网络空间安全战略》和《保护关键基础设施和关键资产国家战略》均把保护国家基础信息设施安全列为第一优先,反映了美国对国家基础信息设施保护的重视程度。在《网络空间安全国家战略》中明确提出了政府与私人双向信息共享机制。
三、美国政府信息安全法规对我国政府信息安全法规建设的启示
我国的法律法规中有涉及信息安全的规定, 但整体立法层次不高, 存在很多问题。现行的有关信息安全的法律法规大多是国务院及其部委制定的行政法规,没有专门针对政府信息安全管理的法律。对政府信息安全管理的相关规定分散于各个法律、法规条文中,针对性不强, 功能上不能相互支持和补充,而且主要是行政许可和行政处罚,具有局限性,有时还出现重复规定和自相矛盾现象,给信息法规的执行实施造成了障碍,损害了其威信和威力。
针对目前我国政府信息安全立法的现状, 建立健全我国政府信息安全法律保障体系, 应吸取和借鉴国外先进的信息安全立法经验,加快立法步伐及其修改和完善。首先应确立科学的政府信息安全法律保护理念,形成适合信息网络安全需要的法治文化。其次,根据我国信息安全相关法律规范分散的特点, 制定针对政府信息安全的法律, 通过有针对性、系统性、科学性、可操作性的法律规定,保护政府信息安全。另外,现代信息技术发展迅速, 政府信息安全立法应从有利于信息技术发展, 有利于电子政务发展的角度出发, 及时修改现有法律中与信息社会发展不相适应的部分,健全政府信息公开、信息资源开发的组织机构及其职责和政府信息资源管理等方面的法律法规。
参考文献:
[1]Steven Robinson,U.S. Information Security Law, Part 4.
[2]http://www.whitehouse.gov/omb/inforeg/reports/2007_fisma_report.pdf.
[3]唐岚.美国国家信息安全体系简介.国际资料信息.2005(2).
[4]许德斌.美国信息安全战略的基本要素与实施原则探析.国防技术基础.2007(4).