信息安全法律基礎

時間 2020-06-28

標籤信息安全法律基礎欄目系統安全简体版

原文原文鏈接

信息安全法律基礎安全

第一章信息安全法律的通常原理與方法論

1.1 法律權利

（1）法律權利的概念與特徵網絡

法律權利的概念:社會主體享有的，由法律確認和保障，以某種正當利益爲追求的自由。框架
法律權利的特徵——基於人性特徵（自由意志、驅利性、有限理性……）運維
- 法律性—國家法律確認、保障的一種社會權利。
- 自主性—權利主體能夠按照其意願自由決定是否行使某項權利。
- 可爲性—法律權利不是抽象的，而是具體可行的。
- 求利性—法律保護人追求正當利益。

（2）法律權利的結構工具

法律權利的三大要素:利益、權能、自由
- 利益是權利的目標和方向，是權利的追求。
- 權能是權利主體行使權利的資格和能力，是權利的基礎。
- 自由是權利的倫理要素和實質表現，是權利的核心。

1.2 法律義務

（1）義務大數據

社會主體根據法律的規定必須做爲或不做爲。搜索引擎
- 法定性—法律對社會主體的行爲提出的要求。
- 國家強制性—不履行法律義務將受到國家的制裁，包括剝奪生命、政治權利、財產、限制自由等。
- 從屬性—法律義務老是從屬法律權利存在。
- 必爲性—義務主體必須作出的行爲，包括必需的做爲和不做爲，不能遲延履行，更不能拒絕履行
從社會整體來看，法律義務包括做爲、不做爲兩類。雲計算
- 做爲的義務也稱積極義務—義務主體必須採起必定的積極行動來履行的義務。加密
- 不做爲的義務也稱消極義務—義務主體不作任何可能侵犯權利主體行爲自由和合法利益之事的義務。設計

（2）權力與義務關係

法律關係中的對應關係：
- 法律權利通常有相對的法律義務存在，兩者共同處於法律關係的統一體中。
功能發揮中的互動關係：
- 法律義務的履行促進法律權利的實現。
- 法律權利的享有也有助於法律義務的積極履行。
- 法律權利和法律義務的互動關係還表如今某些特定的權利、義務的相互轉化。

1.3 法律功能

（1）法律的基本功能

社會控制的首要工具，即控制功能是法律的基本功能。--社會法學派
法律的基本功能是社會契約功能，輔助功能包括制約權力功能、維護權利功能等。--天然法學派

（2）法律的正功能、反功能與非功能

正功能（法律的積極功能）--可以激發社會成員的積極性，有助於社會體系的良性運做，促進社會關係的協調、穩定。
反功能（法律的消極功能）——法律實現將引起社會內部的緊張關係，分割社會體系內部的協調、穩定局面，下降社會系統的活力。
非功能（法律的無效性）——該法律存在對社會無積極影響、無消極後果，社會成員對其無動於衷。

1.4 科學技術對法律的影響

（1）科學技術對法律的影響

科技的飛速發展，出現了大量新的立法領域
科技成果被大量運用到立法過程當中

（2）法律對科學技術的做用

科學技術自己具備正負兩個層面，須要科技向善的法律規制；
- 爲人類帶來財富和利益，促進人類文明進程。
- 給人類形成災難和損失，成爲人類文明的障礙。
法律屬於制度框架，能夠對科技發展所引起的各類社會問題進行必定的抑制和預防；

第二章信息安全與立法

2.1 信息

（1）信息安全基本屬性

完整性：信息在存儲或傳輸過程當中保持不被修改、破壞、插入，不延遲、不亂序、不丟失的特性。
可用性：信息可被合法用戶訪問，在須要時就能夠取用所需的信息的特性。
保密性：信息不泄露給非受權的我的和實體的特性。
可控性：受權機構能夠隨時控制信息的機密性。
可靠性：信息以用戶承認的質量連續服務於用戶的特性。

2.2 信息安全涉及的法律問題

（1）計算機犯罪

計算機犯罪（Computer Crime）是指行爲人經過計算機操做所實施的，危害計算機信息系統（包括內存數據及程序）安全以及其餘嚴重危害社會的，並應當處以刑罰的行爲。
《中華人民共和國刑法》中關於計算機犯罪的規定有三個條款:

• 第285條違反國家規定，侵入國家事務、國防建設、尖端科學技術領域的計算機信息系統的，處三年如下有期徒刑或者拘役。

• 第286條違反國家規定，對計算機信息系統功能進行刪除、修改、增長、干擾，形成計算機信息系統不能正常運行，後果嚴重的，處五年如下有期徒刑或者拘役；後果特別嚴重的，處五年以上有期徒刑。

• 第287條利用計算機實施金融詐騙、盜竊、貪污、挪用公款、竊取國家祕密或者其餘犯罪的，依照本法有關規定定罪處罰。

• 以上三條分別對應非法侵入計算機信息系統罪、破壞計算機信息系統罪和利用計算機犯罪等三種計算機犯罪的表現形式。第28五、286條是1997年新刑法新增長的罪名，並規定了相應的刑罰。第287條是對以計算機爲犯罪工具的原則性規定，其刑罰由其餘的相關條款規定。
- 從犯罪的實質含義上，刑法第28五、286條所規定的犯罪稱爲狹義的計算機犯罪或單純的計算機犯罪，加上第287條則稱爲廣義的計算機犯罪。

2.3 立法、司法和執法組織

（1）立法

立法權及等級:
- 立法權是必定的國家機關依法享有的制定、修改、廢止法律等規範性文件的權力，是國家權力體系中最重要的核心的權力。
- 我國的立法權根據享有立法權主體和形式的不一樣，分爲國家立法權、地方立法權、行政立法權和受權立法權等，不一樣級別立法的內容，立法的主體，所立法律的適用範圍是不一樣的。

（2）立法權

國家立法權：國家立法權是由必定的國家權力機關行使，用以調整基本的、帶全局性的社會關係，在立法體系中居於基礎和主導地位的最高立法權。
- 國家立法權的立法主體是全國人民表明大會及其常務委員會、國務院。
行政立法權：行政立法權是源於憲法，由國家行政機關依法行使的，低於國家立法的一種獨立的立法權，包括中央行政立法權和地方行政立法權。主要行使行政規章的立法權。
地方立法權：地方立法權是由有權的地方國家權力機關行使的立法權。主要行使地方性法規的立法權。
- 地方立法權的主體通常是省、自治區、直轄市的人民表明大會及其常務委員會和較大市的地方人民表明大會及其常務委員會，另外還有民族自治地方的人民表明大會。

（3）立法組織與立法程序

享有立法權的組織即立法組織。例如:在我國，國務院、全國和各地區人大是立法組織。其中， 全國人大及其常委會是我國的最高立法組織。
目前，我國法律的制定程序主要有如下四個步驟：
1. 法律方案的提出
2. 法律草案的審議。
3. 法律草案的表決和經過
4. 法律的公佈

（4）立法方法

實體規制法——傳統的立法方法 :先對某個對象這個實體性概念進行界定，而後在此概念基礎上造成相關的實體性規則。
程序規制法—時效的立法方法：在實體性規則還沒有成熟的狀況下，經過程序性指引規制人們的行爲方式。程序規制法當下意義較大，可以必定程度解決當前問題，實務指導性較強，該規制方法也每每被務實的英美法系國家所接納。
類型規制法—實用的立法方法：當抽象通常概念及其邏輯體系不足以掌握某生活現象或意義脈絡的多樣表現形態時，一種輔助的規制形式是「歸類」。

（5）司法和執法組織

我國的司法組織主要包括如下兩大系統:
- 人民法院，其中，最高人民法院是最高審判機關；
- 人民檢察院，其中，最高人民檢察院是最高檢察機關。
我國的執法組織包括:人民法院、人民檢察院、公安部、安所有、工商行政管理局、稅務局等。不一樣的執法組織在不一樣的職權範圍內行使職權。
1. 對刑事案件的偵查、拘留、執行逮捕、預審，由公安機關負責。
2. 檢察、批准逮捕、檢察機關直接受理的案件的偵查、提起公訴，由人民檢察院負
  責。
3. 審判由人民法院負責。
4. 國家安全機關依照國家法律規定，辦理危害國家安全的刑事案件，行使與公安機
  關相同的職權。

第三章網絡安全治理與法律規制

3.1 立法背景、意義、定位

（1）背景

基於整體國家安全觀；
基於網絡安全威脅的現實；

（2）意義

《網絡安全法》對於確立國家網絡安全基本管理制度具備里程碑的重要意義。
- 體現權威性（強制約束力）、排它性、廣泛適用性、相對穩定性、社會屬性。
- 《網絡安全法》中明確提出了有關國家網絡空間安全戰略和重要領域安全規劃等問題的法律要求，有助於推動與其餘國家和行爲主體就網絡安全問題展開有效的戰略博弈。
- 《網絡安全法》將公民我的信息保護歸入正軌，中國網民從道德自律走向法律規範，用法律武器維護本身的合法權益。
- 《網絡安全法》完善了網絡安全義務和責任，將原來散見於各類法規、規章中的規定上升到人大法律層面，對網絡運營者等主體的法律義務和責任作了全面規定。

3.2 相關概念

（1）網絡

網絡是指由計算機或者其餘信息終端及相關設備組成的按照必定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統。

（2）網絡安全

網絡安全是指經過採起必要措施，防範對網絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網絡處於穩定可靠運行的狀態，以及保障網絡數據的完整性、保密性、可用性的能力。

（3）網絡數據

網絡數據是指經過網絡收集、存儲、傳輸、處理和產生的各類電子數據。

（4）我的信息

我的信息是指以電子或者其餘方式記錄的可以單獨或者與其餘信息結合識別天然人我的身份的各類信息，包括但不限於天然人的姓名、出生日期、身份證件號碼、我的生物識別信息、住址、號碼等。

（5）網絡運營者

網絡運營者是指網絡的全部者、管理者和網絡服務提供者。
網絡運營者是網絡安全法中很是重要的概念，是關鍵義務主體或核心義務主體，出現31次。

3.3 基本原則

（1）原則

網絡空間主權原則。
網絡安全與信息化發展並重原則。
風險防護原則。
協同治理原則。

第四章互聯網平臺安全治理與法律規制

4.1 互聯網平臺安全治理

（1）網絡平臺自治機制

平臺方自發的、沒有政府機構介入，對在線商家消費者的交易行爲進行規範化管理。
優點：
- 平臺擁有的交易大數據和技術紅利能夠對風險行爲進行預警。
- 平臺的聲譽機制須要更好的商家和消費者，具備正外部性。

（2）網絡平臺自治的侷限性

平臺商家資質審覈、商品溯源等實際操做難度較大
滋生內部腐敗、產生負外部性
平臺電商與直播、短視頻深度融合中出現各類亂象
平臺權力有限，無行政等執法權

4.2 電子商務經營者的職責

（1）電子商務經營者的職責

納稅義務，並依法享受稅收優惠。
依法取得行政許可。
應當符合保障人身、財產安全。
電子發票
明示用戶信息查詢、更正、刪除以及用戶註銷的方式、程序。
保障消費者的知情權和選擇權。
提供不針對其我的特徵的選項。
遵照法律、行政法規收集、使用其用戶的我的信息
...

第五章數據安全管理與我的信息保護法律規制

5.1 電信和互聯網用戶我的信息保護規定

（瞭解）

5.2 數據確權⭐

（1） 數據確權的現實意義

數據確權已具有經濟基礎（數據確權收益>數據確權成本）；
不肯定的數據產權給各方在數據的開發利用環節帶來了不可控的風險成本；
經過立法肯定數據產權以促進各方合做；
從立法和司法角度，當新生事物在現有法律體系下難以找到合適制度來保護時，能夠嘗試用數據產權來解決；

5.3 數據產權及其特性

（1）數據產權

數據產權做爲權利束（A Bundle of Rights），包含使用權、收益權、佔有權、處分權、可攜帶權、被遺忘權等。
數據產權主體包含我的用戶、數據收集企業、平臺企業、政府機構、數據中介等組織

（2）數據產權的特性

多主體性：不少數據多是由多輪不一樣主體產生和處理。
潛在價值：初始數據不具備很高的直接價值，在不斷挖掘和使用中體現其經濟價值和稀缺性。
多棲性：由於數據方便複製攜帶，數據能夠同時存在不一樣的介質中。
隱私性：有些可以識別特定我的的數據每每具備隱私性。

5.4 數據確權的多視角思考

（1）經濟角度：效率優先

（2）公平角度：公正合理優先

（3）法律角度：兼顧公平與效率

5.5 數據問責—用戶大數據安全治理

（1）關於用戶大數據

（2）用戶大數據安全治理目標

5.6 用戶大數據安全治理目標

（瞭解）

第六章電子數據取證與法律規制

6.1 電子數據取證的概念

（1）電子數據取證

可以被法庭接受的,足夠可靠和有說服力的存在於計算件機和相關外設中的電子數據的收集、分析、確認、歸檔以及法庭出示的過程。
- 是能夠用於證實案件真實的材料；

6.2 電子數據取證的發展

（1）發展歷程

1995-2005年,電子數據取證成爲專業技術領域
2005-2010年,數字取證成爲信息安全專業的核心技能
2010以來,傳統電子數據取證技術面臨巨大挑戰

（2）發展特色

從「取證」向「中期研判」、「前期採集」發展
取證對象種類劇增,電子數據取證呈現商業化
反取證技術和隱私保護帶來挑戰
綜合取證技術是將來發展方向

6.3 電子數據取證的立法規制

（1）《關於辦理刑事案件收集提取和審查判斷電子數據若干問題的規定》

（2）《公安機關辦理刑事案件電子數據取證規則》

第七章通常網絡運營者的網絡安全法律聽從

7.1 網絡安全等級保護制度⭐

（1）網絡安全等級保護制度

（2）義務主體

網絡運營者:網絡的全部者、管理者和網絡服務提供者。(《網絡安全法》第76條)
- 網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務。。。。(《網絡安全法》第21條)

（3）義務內容⭐

制定內部安全管理制度及操做規程—《信息系統安全等級保護基本要求》(GB/T22239-2008)
肯定網絡安全負責人—網絡安全職能部門、負責人崗位(職責、教育、培訓)
採起防範危害網絡安全行爲的技術措施(例:二級,應在網絡邊界處監視如下攻擊行爲:端口掃描、強力攻擊、木馬後門攻擊等)
網絡監測與日誌留存—留存相關的網絡日誌很多於6個月
數據分類、重要數據備份和加密—《信息安全等級保護管理辦法》第34條

（4）網絡安全等級保護實施的工做流程⭐

定級備案
建設整改:網絡運營者根據安全級別選擇最低安全控制措施。
等級測評:網絡運營者經過委託等級測評機構開展等級測評。
監督檢查:第三級運營者每一年檢查一次,第四級每半年檢查一次。

（5）法律責任

《網絡安全法》第59條: 網絡運營者不履行本法第二十一條、第二十五條規定的網絡安全保護義務的,由有關主管部門責令改正,給予警告;拒不改正或者致使危害網絡安全等後果的,處一萬元以上十萬元如下罰款,對直接負責的主管人員處五千元以上五萬元如下罰款。

7.2 網絡安全監測預警和應急響應⭐

（1）網絡安全監測的概念

採用技術手段對網絡與信息系統進行實時、動態且持續性的監控,以全面掌握網絡的運行狀態,發現網絡入侵、攻擊等網絡安全風險的活動。

（2）網絡安全監測信息的來源

自主監測信息:內生安全
外部情報信息:信息披露、衆包模式

（3）網絡安全事件的分類分級

按事件影響範圍和程度分爲1、2、3、四級安全事件：
網絡病毒安全事件：

（4）網絡安全監督的約談制度

約談的法律效力:
- 《網絡安全法》第56條規定,省級以上人民政府有關部門在履行網絡安全監督管理職責中,發現網絡存在較大安全風險或發生安全事件的,能夠按照規定的權限和程序對該網絡的運營者的法定表明人或者主要負責人進行約談。
約談的主體和對象:
- 約談的主體限定爲省級以上人民政府有關部門,如網信部門、工信部門、公安部門、關鍵信息基礎設施的有關行業監管部門等約談的對象是網絡運營者的法定表明人或主要負責人。
約談制度的法律性質：
- 問責制度:面向履職不力的相關負責人
- 柔性執法:指導性、互動性、審慎性

（5）突發事件應對與網絡通訊臨時管制

六類社會安全事件：羣體性事件、金融突發事件、涉外突發事件、影響市場穩定的突發事件、恐怖襲擊事件和刑事案件。
網絡通訊臨時管制的實施條件：
- 維護國家安全和社會公共秩序
- 經國務院決策或者批准。
- 必須在特定區域針對特定事件實施。
- 儘量下降對社會正常秩序的影響，事件結束後，網絡運營者必須當即恢復正常的通訊和網絡運營。
- 網絡服務合同中將此種情形列爲已方的免責條款，並有權依據行政補償制度，要求國家給予適當的補償。

7.3 網絡環境下的協助執法

（1）協助執法制度概念

傳統法律意義的概念:執法機構在進行偵查和刑事調查時,相關的單位和我的有義務提供執法便利,主要包括舉報犯罪等協助方式。
網絡環境下的廣義概念:通訊服務提供者經過對自身設備進行特殊設計(合法攔截和數據留存),以知足執法機構對特定對象的監控,協助實施預防和偵查犯罪、反恐怖主義等國家監管計劃。

7.4 協助執法的主體和原則⭐※

（1）主體

權利主體：國家安全機關、情報機關、公安機關等。
義務主體：網絡運營者（《網絡安全法》第28條：網絡運營者應當爲公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供技術支持和協助。）

（2）原則

適當性原則：應當以維護國家安全和便利刑事調查爲目的，須要符合嚴格的程序規定，不能任意行使。
必要性原則：在同等有效的措施中選擇對公民權利損害最小的方法，不可過分干預公民的合法權益。
均衡原則 ：綜合考慮對我的隱私、產業發展、科技進步等潛在影響，設置合理的協助執法義務邊界。

（3）協助執法的內容

合法攔截（Lawful Interception）
- 經法定受權的執法機構或者網絡服務提供者基於維護國家安全或偵查刑事犯罪目的而採起技術手段獲取通訊內容或通訊相關數據的活動。
數據留存（Data Retention）
- 爲爲保護國家安全、防務、公共安全,要求公共通訊網絡或公共電信服務提供者留存流量數據和位置數據(必定期限),以協助執法單位進行嚴重犯罪和恐怖嫌犯等調查。
協助解密
- 誰運營,誰解密；誰加密,誰解密
嚴格保密
- 協助執法義務主體必須對協助執法過程當中知悉的全部信息嚴格保密,包括協助執法活動自己、獲取的相關通訊信息、執法主體、執法對象、執法期限等相關信息

7.5 網絡信息內容過濾

（1）網絡信息內容過濾制度

非法有害信息的界定：
- 危害國家安全的信息
- 危害社會穩定和秩序的信息
- 對我的權利及其餘私權利形成侵害的信息
經常使用的過濾手段：
- 基於網絡爬蟲或搜索引擎的主動監測系統
- 基於文本關鍵詞過濾的被動防護技術
- 針對圖像、聲音、視頻智能過濾技術
侷限性：海量信息面臨海量審查;機器過濾沒法徹底識別;海量審覈和發現義務增長了我的信息權利侵害的風險

（2）《網絡安全法》相關規定

網絡運營者的發現義務：
- 第四十七條：網絡運營者應當增強對其用戶發佈的信息的管理,發現法律、行政法規禁止發佈或者傳輸的信息的,應當當即中止傳輸該信息,採起消除等處置措施,防止信息擴散,保存有關記錄,並向有關主管部門報告。
- 第四十八條: 任何我的和組織發送的電子信息、提供的應用軟件,不得設置惡意程序,不得含有法律、行政法規禁止發佈或者傳輸的信息。
  電子信息發送服務提供者和應用軟件下載服務提供者,應當履行安全管理義務,知道其用戶有前款規定行爲的,應當中止提供服務,採起消除等處置措施,保存有關記錄,並向有關主管部門報告。
- 第四十九條: 網絡運營者應當創建網絡信息安全投訴、舉報制度,公佈投訴、舉報方式等信息,及時受理並處理有關網絡信息安全的投訴和舉報。網絡運營者對網信部門和有關部門依法實施的監督檢查,應當予以配合。
監督管理的主體:
- 第五十條: 國家網信部門和有關部門依法履行網絡信息安全監督管理職責,發現法律、行政法規禁止發佈或者傳輸的信息的,應當要求網絡運營者中止傳輸,採起消除等處置措施,保存有關記錄;對來源於中華人民共和國境外的上述信息,應當通知有關機構採起技術措施和其餘必要措施阻斷傳播。

第八章關鍵信息基礎設施運營者及網絡產品服務的網絡安全法律聽從

8.1 關鍵信息基礎設施的界定

（1）我國關鍵信息基礎設施概念的提出

2015年7月1日頒佈實施的《國家安全法》第25條部署了有關關鍵基礎設施和重要領域信息系統及數據安全可控的戰略舉措。
2017年6月1日實施的《網絡安全法》首次明確規定了關鍵信息基礎設施的定義和具體保護措施，採用「列舉+歸納」的形式
2017年7月11日，《關鍵信息基礎設施安全保護條例》（徵求意見稿）第18條沿用《網絡安全法》第 31條規定，用「非窮盡列舉行業和領域+危害後果」的方式，給出了其範圍。

8.2 關鍵信息基礎設施的安全保護義務

（1）關鍵信息基礎設施運營者

關鍵信息基礎設施運營者是通常性網絡運營者中的特殊和重要類別,具備網絡安全保護義務。
- 具備法律強制力保障實施的做爲性、複合性義務。(涉及業務連續性、自主可控、數據安全三個宏觀層面的問題)
- 具備複合主體的義務規範,包括關鍵信息基礎設施的全部者、管理者和服務的提供者。
- 義務具備必定的「合理限度」,兼顧「安全」與「發展」。

（2）關鍵信息基礎設施運營者安全保護義務法規聽從

8.3 網絡安全審查

（1）網絡安全審查制度⭐

《網絡安全審查辦法》

（2）新程序：設計更具可操做性的審查程序⭐

明確啓動審查的兩種方式：
- 一種是運營者本身預判評估國家安全風險後主動向審查辦公室申報,由審查辦公室肯定是否啓動審查;
- 另外一種是審查工做機制成員單位認爲影響或可能影響國家安全的網絡產品和服務,由審查辦公室按程序報中央網絡安全和信息化委員會批准後啓動審查。(第5條、第15條)
明確通常審查程序：
- 審查辦公室應當自收到運營者申報材料起10個工做日內肯定是否須要審查並書面通知運營者;須要審查的,應當自通知運營者之日起30個工做日內完成初步審查,狀況複雜的能夠延長15個工做日。(第8條、第10條、第11條)
明確特殊審查程序：
- 對於按照通常審查程序造成的審查結論建議,審查工做機制成員單位、相關關鍵信息基礎設施保護工做部門意見不一致的,啓動特別審查程序,並通知運營者。按照特別審查程序處理的,按程序報中央網絡安全和信息化委員會批准後,造成審查結論並書面通知運營者;特別審查程序通常應當在45個工做日內完成,狀況複雜的能夠適當延長。(第12條、第13條)

8.4 網絡產品服務安全和用戶信息保護

（1）相關概念

網絡產品:按照必定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的硬件、軟件和系統,如計算機、信息終端、工控等相關設備,以及基礎軟件、系統軟件等。
網絡服務:供方爲知足需方須要提供的信息技術開發、應用活動,以及以網絡技術爲手段支持需方業務的一系列活動,如雲計算服務、網絡通訊服務、數據處理和存儲服務、設計與開發服務、信息系統運維服務等。
用戶信息:與天然人、法人或其餘組織有關的信息,以及定義和描述這些信息的數據,包括識別我的身份的信息;用戶生成的文檔、程序;用戶位置數據;系統日誌等。
惡意程序:那些用於實施網絡攻擊、干擾網絡和信息系統正常使用、破壞網絡和信息系統、竊取網絡和系統數據等行爲的程序。
安全缺陷:網絡產品服務中因爲設計、開發、配置等錯誤可能影響網絡產品服務安全的弱漏洞(脆弱性):網絡產品服務中可以被威脅利用的弱點。