数据运行安全法律保障问题研究
王永全++廖根为++赵帅?
内容摘要:随着信息化技术不断深化,信息安全中数据运行安全问题逐渐成为重灾区。然而,对于传统的信息安全防治体系,数据运行安全法律评价存在社会危害性难以预测,法律前瞻性存在疏漏;独立性法规有待明确;相关罪名设立混乱,保护客体区分缺略等问题。科学的数据运行安全立法保护应当在分析数据运行的技术属性基础上,从改良信息安全立法模式出发,细化涉及数据运行安全的各方面规定,完善数据运行安全配套法律,健全数据运行安全技术标准,形成统一完备的数据运行安全防治体系,如此才能更好地保障我国数据运行安全,进而实现大数据时代下信息网络的安全发展。
关键词:信息安全;数据运行安全;防治体系;法律保障
网络信息安全涉及社会、经济、政治、文化和军事等各个领域的核心安全问题,也是继海、陆、空、天之后的新国家安全领域。在此领域中,网络违法犯罪问题颇为复杂、严重。面对网络中违法犯罪现象,其中针对数据运行的违法犯罪尤甚,各种影响、破坏数据运行安全的手段层出不穷,对国家、社会以及个人的危害性无法估量,因此应对数据运行安全给予重视和保护。
一、信息安全中数据运行安全问题的严重性
(一)信息安全法律保护体系问题
伴随着网络及其相关技术不断发展和普及,大数据、云计算、移动互联网和智能物联网等高新技术的研发与应用,计算机和网络给人们带来便利的同时,也产生了严重的涉网违法犯罪问题,如网络诈骗、网络侵权、隐私安全问题等,其相关法律的滞后性问题已逐渐凸显。我国因网络违法犯罪行为在国家安全、公共安全、经济秩序、个人权利等各方面都遭受了多重威胁和极大的损失。
我国信息安全法律保护体系是以惩治性为主,保障性为辅的模式,具体来说,是以刑法打击网络犯罪为核心,再以行政法规及其他法律规定为惩罚和保障相结合的机制,如治安管理处罚法的兜底性处罚、电信条例的专项保障性规定等等。其次,为了保持法律体系统一性和稳定性,我国采取“渐进式立法模式”,因此在针对网络犯罪日趋严重的问题,改良刑法体系,改善刑法配置,加大网络违法犯罪的惩治力度仍是眾多专家学者所倡导的立法方式。诚然,事后惩治是法律作为调解社会矛盾的重要方式,致力于认定行为的法律性质,惩罚违背法律原则或规则的恶劣行为,以此稳固社会基础。但以惩治为核心的信息安全法律模式存在一定的局限性,对于降低网络违法犯罪所带来的社会危害性就已是见效甚微。如果我们能够将信息安全保护的切入点前置,将重心从事后惩治向事前保障移转,能够从全面防范的立法本意出发,转换立法思路,这无疑将大大减少网络违法犯罪行为的发生,也就会降低了网络违法犯罪行为所带来的社会危害性以及惩治成本。
(二)信息安全中数据运行安全问题的严重性
1.数据运行安全的概念
信息的价值在于共享和交换,保护数据运行安全就在于保护数据信息以及其交流的价值。数据运行安全,又可称之为计算机信息系统运行安全,从计算机的问世到现如今的大数据技术,我们可以将信息系统安全分为单机运行系统安全、网络运行系统安全。众所周知,一台能够正常运行的计算机需要软、硬件设施的组成以及运行规则的协调。在单机系统中的数据运行主要涉及操作系统功能和应用程序功能,或者可以简单理解为操作系统和一系列软件程序。网络运行系统,则是在单机系统运行基础上,将各个单机节点通过网络连接起来,形成一个庞大的网络空间。计算机网络将分布在不同区域的计算机与专门的外部设备通过通信线路互联成一个规模大、功能强的网络系统,从而使得众多计算机可以方便地互相传递信息、共享软硬件和数据信息等资源。 网络运行系统安全相对为复杂,其特点是对抗性,正是网络主体之间的对抗产生了网络安全问题。单机系统因网络运行系统存在安全隐患,使得信息系统的机密性、完整性和可用性受到威胁。因此,数据运行安全既包括操作系统和软件程序这种特殊数据的安全性,也包含基于操作系统和软件程序进行交流的数据信息以及交流功能的安全性问题,破坏数据运行系统及其相关数据的机密性、完整性和可用性则是主要的数据运行安全问题。
2.数据运行安全问题的严重性
在信息安全问题的重灾区中,数据运行安全问题成为了对国家、社会和个人有着极大威胁的难题。根据360互联网安全中心发布了《2016年中国互联网安全报告》现实,在对197.9万个网站漏洞检查中发现,46.3%的网站有漏洞,其中高危漏洞占7.1%。从漏洞统计数据看有将近一半的网站都存在网站漏洞,网站安全形势不容乐观。 根据CNCERT公布的数据,2016年国家信息安全漏洞共享平台共收录通用软硬件漏洞10822个,较2015年增长33.9%。其中,高危漏洞收录数量高达4146个(占38.3%),较2015年增长29.8%;“零日”漏洞2203个,较2015年增长82.5%;2016年约9.7万个木马和僵尸网络控制服务器控制了我国境内1699万余台主机,约有8.2万个网站被植入后门,1.7万个网站网页被篡改。 可见伴随着云计算、物联网、大数据的发展和普及,数据运行安全问题牵涉之广、影响之大,从安全漏洞到黑客攻击,从信息泄露到蠕虫肆掠,安全威胁无处不在。分析这些触目惊心的数据不难发现数据运行安全问题已经严重影响到国家安全、公共安全、社会经济秩序以及个人权利的有效保护。
二、数据运行安全法律保障现状评析
数据运行安全防护主要有技术防控和法律保障,但从立法层次来看,大多数相关的法规仅是较低层次的部门规章以及信息安全技术标准;从立法结构来看,缺乏专门性涉及数据运行安全的法律法规;从司法实践来看,大量涉及数据运行案件缺乏法律依据,更多依靠司法解释和刑法中提示性规定予以处理,这种“头痛医头脚痛医脚”的方式既无法解决长远问题,又会造成司法越权问题。 综合各方面有关的法律法规我们可以发现针对数据运行安全法律评价存在评价范围不足和评价体系混乱等问题,因此亟需完善对数据运行安全的法律保障体系。
(一)评价范围不足
1.社会危害性难以预测
网络技术的发展导致利用数据运行系统和攻击数据运行系统的手段层出不穷。而且针对数据运行安全的违法犯罪行为具备一般违法犯罪行为所不具备的特殊性。尤其大数据时代,网络已经模糊了地理空间的概念,使得网络攻击行为的冲击和对抗性更为隐蔽。 网络破坏攻击的影响会因互联网而迅速蔓延,使得破坏程度难以评估,对国家安全、公共安全以及个人安全的威胁性存在一定的不确定性、蔓延性和隐蔽性。
当前刑法将利用信息系统进行其他犯罪行为以提示性规定予以处理,这一做法明显忽略了利用过程中对数据运行造成的损害,例如,以破坏银行的信息安保系统,盗取金融机构资金这一行为,按照现有规定则应以盗取金融机构论处,但现实情况可能是破坏银行金融信息系统造成的直接损失和对公共社会影响会远远超过其盗窃金额。同理,现如今电子数据的价值已经逐渐显现,有的数据信息或信息系统的价值是无法用金额进行估计的。针对数据运行的违法犯罪行为所造成的社会危害性可能远比其目的性所为更为严重。然而,目前仍缺乏针对数据运行违法犯罪行为的社会危害性更为合理的评价机制。
针对数据运行安全的违法犯罪的社会危害评价结果,刑法和其他法律法规惩治力度稍显薄弱。在信息科技极速发展的同时,网络空间渐显其重要性,现实社会存在社会秩序、公共秩序、交通秩序等规则机制,破坏社会、公共、交通秩序,法律根据危害程度予以惩处,最高可至死刑。网络空间随着信息技术的不断深入,也会形成相应的网络秩序。针对数据运行安全的违法犯罪行为,即使没有造成直接性损失,但也是对网络秩序的蔑视和破坏,使得网络维护成本极大增加,耗费极大的网络资源。
2.法律前瞻性存在疏漏
当前与数据运行安全有关的法律规范,主要是以事后惩治为基准,对针对数据运行的违法犯罪行为进行定罪量刑。然而在分析破坏数据运行安全的违法犯罪行为所造成的实际社会危害性之后,这种事后惩处的立法模式对信息安全保护的周延和力度是存在欠缺之处的。以非法手段甚至破坏性方式侵入或破坏国家信息系统所造成的后果是难以评估的,破坏数据运行安全的后果在短时间内难以评测涉案的人数、金额、价值以及秩序影响,甚至其影响后果具有持续性。其次,仅事后惩处的方式并不能在最大程度来解决信息安全问题,事后弥补性的法律惩处并不能实际挽回国家、公共或个人受到的损失和伤害。所以在此方面,我国“渐进的立法方式”灵活性较差,不能很好的适应形势的变化,而可能会导致“罪责刑不相应”的结果。 而前瞻性保护机制能够提前设定好预防机制和各方的法律责任与义务,这样可以大大缓解破坏数据运行安全对国家安全、社会公共秩序、国民经济所造成的影响。
3.法规独立性有待明确
刑法中特别罪名之所以成为独立性规定,是存在着其社会影响的普遍性,社会危害的严重性,保护客体的相异性、侵犯客体的手段方式的差异性等法因,如金融诈骗罪与诈骗罪的关系。 针对数据运行安全的犯罪行为亦是如此。现有刑法规定是依据对计算机信息系统的侵犯方式和具体法益的差异性,分为非法侵入、非法控制、非法获取以及破坏行为。而除了这四种侵犯行为之外,还可能存在干扰(不造成破坏性结果)、伪造运行数据等其他行为方式,显然不能涵盖所有的侵犯行为,因而会影响对数据运行安全的犯罪行为的定罪量刑。其次,现实社会的许多违法犯罪行为在网络空间中会被极度的放大,如线下制作病毒性程序并散布,其传播的范围和影响一般都是有限的,而在信息网络中这种范围和影响较难控制,造成的后果不可预测。但现有刑法中以破坏计算机信息系统罪进行笼统性规定,不能很好地体现各种破坏、影响行为的社会危害的差异性。
网络空间中充斥着各种有价数据,对于某些人而言,这些有价数据就是可以创造财富的源泉。如网络盗取网上银行账户密码即可轻而易举的转移财产;网络窃取企业关键机密信息就可以获得不可预估的利益;盗取教育机构的学生保密信息对学生会造成难以估量的影响。非法获取数据运行的相关数据所侵犯的主要客体不仅是社会公共秩序,更可能波及经济市场秩序、金融市场秩序、公私财产权、公民人身权利等衍射性客体。而在大数据时代,这种衍射性客体很可能转化为直接性客体。并且网络空间作为实际社会的衍变时空同样具有网络社会秩序,对于针对数据运行安全的违法犯罪行为也是扰乱了网络公共秩序。此外现有刑法对于非法获取数据运行系统的数据信息在定罪上需要达到情节严重程度或情节非常严重程度,在量刑上顶层为七年有期徒刑加罚金。在某种程度上,这与破坏数据运行安全造成的危害结果不能罪责刑相适应。因此,从数据运行安全带来的社会影响的普遍性、社会危害性、侵犯客体以及方式都需要设定专门性针对数据运行安全的法律规定,提高对数据运行安全的重视程度。
(二)评价体系混乱
1.数据运行罪名设立混乱
目前刑法所规定的针对计算机信息系统的罪名体系,主要包括非法侵入计算机信息系统罪、非法控制计算机信息系统罪、非法获取计算机信息系统数据罪、破坏计算机信息系统罪。这四种罪名在评价破坏数据运行安全行为时存在重合之处,并且仅以四种侵犯方式将针对数据运行系统的犯罪各形态进行立法规范,着实难以全面涵盖。例如,通过破解信息系统的访问控制机制进而掌控国家某军事领域计算机系统,按照刑法关于计算机犯罪理论应当构成非法控制计算机信息系统罪,但非法获取某军事领域计算机系统时必然已经在客观方面上构成了非法侵入计算机信息系统罪的成立要件;其次,破解信息系统访问控制机制是对数据运行的一种破坏行为,也构成了破坏计算机信息系统罪;再者,行為人有获取计算机信息系统中重要国家机密信息的非法目的,又构成非法获取计算机信息系统数据罪。除此之外还可能触及非法获取军事秘密罪或为境外窃取军事秘密罪。而从刑法设定针对计算机信息系统的立法原意来看,非法控制计算机信息系统罪是针对大量的计算机沦为“肉鸡”的现象,非法获取计算机信息系统数据罪则是对国家机关、重要企事业单位和公民相关的大量敏感信息被非法获取现象的回应。 因此,现有针对计算机信息系统的四个罪名之间存在着难以区分认定,设立方式存在混乱而不合理的问题。
2.法律保护客体区分缺略
针对数据运行犯罪行为分为四个罪名,即非法侵入计算机信息系统罪、非法控制计算机信息系统罪、非法获取计算信息系统数据罪和破坏计算机信息系统罪。其中,从立法原意分析,非法侵入计算信息系统罪保护的对象是国家事务、国防建设、尖端科学技术领域的计算信息系统;非法获取计算机信息系统数据、非法控制计算机信息系统罪保护对象一般是依据国家有关规定的国家事务、国防建设、尖端科学技术领域以外的计算信息系统;破坏计算机信息系统是针对当前木马、病毒等恶意软件盛行状况,保护的是所有计算机信息系统的安全。这种以具体犯罪行为作为划分针对数据运行安全的立法标准,首先较难涵盖所有的针对性犯罪行为,如伪造数据运行中相关信息;其次,数据运行系统可以分为网络运行功能和节点运行功能,节点运行功能包括操作系统功能和应用程序功能,而目前我国的法律并未单独就网络运行功能、操作系统运行功能、用处程序功能等数据运行方面的犯罪独立进行规定;再者,仅从刑法规定保护客体看,侵入一般领域中的信息系统和非法获取、非法控制国家事务、国防建设、尖端科学技术领域内的信息系统的行为在刑法评价上要么无法评价,要么无法实现恰当评价,形成了刑事立法在针对数据运行犯罪行为评价体系上的漏洞。 至于行政法规、部门规章大多是以具体对象,如电信网、商用密码等加以规定,更不能对数据运行安全进行全面而系统地保护。
三、数据运行安全法律保障对策
(一)数据运行安全的技术属性分析
数据运行系统本身也是一种特殊的数据,数据运行安全其实是信息系统在被什么人使用,什么范围内使用,什么内容被使用,在什么时候使用、如何使用的合法化问题研究。从整个信息安全体系来看,信息安全的特性是对抗性,大数据时代中的数据是价值的承载体,自然会引起不同主体之间的对抗和利益之争。法律作为调整社会秩序的最后一道屏障,应当平衡好信息的持有者和对立者之间的关系,在信息的收集、处理、存储、传输、检索中保障整个运行状态的安全。
针对数据运行系统的违法犯罪行为与法律保障之间的对抗性来看,我们主要保护的是数据运行的机密性、完整性和可用性。机密性是指信息的访问和披露应经合法授权, 不能泄漏给非授权的个人、实体或进程。 数据运行中的机密性需求和其他场合或系统中提到的机密性需求在实质上是一致的,并且在具体的实施上也有很多相似之处。例如:信息系统的敏感数据在物理上要防止攻击者通过传统偷窃数据载体(硬盘、光盘、磁带、甚至机器等)等方法获取数据。数据运行的完整性在对不同系统或应用中都有所体现,例如:在数据库应用中,对完整性需求可以分为不同的层次:数据库完整性和元素完整性。数据运行完整性可以从两个方面进行考虑:一是数据运行系统本身的完整性,运行系统功能不被未授权的修改、增加和删除等;二是数据运行来源的完整性,是指数据的发送者就是其所声称的来源是真实的,经常通过各种认证机制实现。可用性是确保已授权用户/系统过程可以及时可靠地访问信息/服务和IT资源。 换句话说,可用性是指使用所需资源或信息的能力。 在系统设计中,可用性是系统可靠性的一个重要方面。如果一个系统无法使用就如同系统不存在一样糟糕。
(二)保障数据运行安全的法律对策
结合当前我国关于数据运行的法律法规情况和数据运行安全保障的对抗性,我们建议:
1.完善信息安全立法模式
“信息安全立法是一项综合性、长期性工作,期望一部法律解决所有问题是不现实的。这就需要对信息安全立法规划开展研究,深入调研信息安全立法需求,合理分配立法资源,为建立内容全面、协调有序的信息安全法律法规体系制定长远规划。” 我们应当从加强保护入手,逐步夯实基础,这点我们可以借鉴美国的立法经验,首先加强打击不法行为的力度,起到必要的震慑效果,而后由点及面、由近及远,加强对该领域更加全面的规范化管理、提出更具综合性的管理举措。结合计算机及系统安全保护的要求,从提高我国计算机系统的安全性和保密性的更高宗旨出发,强调在加强打击力度的同时,还应制定事前保障性法律,进一步完善信息安全的立法模式。事前保障性法律是以保护信息网络的安全为立法出发点,对信息安全涉及的各方面进行预先防范的强制性规定,以追究各方面所涉及的相关主体的法律责任,从而不断降低因网络违法犯罪所带来的社会危害。其次,加强对法律法规具体实施情况的评估。我国应通过对有关法律法规实施情况及实施效果的评估,适时修改或修订相关信息安全立法。
2.细化涉及数据运行安全各方面规定
从数据运行对象上,我国目前还未单独就网络运行功能、操作系统运行功能、应用程序功能等数据运行安全的违法犯罪行为进行立法。数据运行安全根据信息安全的对抗性原理,我们可以基于数据运行安全类别,从信息系统机密性安全要求、信息系统完整性要求、信息系统可用性要求等三个方面着手,不断细化数据运行安全的各方面内容。以数据运行本身为目标,将网络运行功能、操作系统运行功能和应用程序功能在数据运行机密性安全要求、数据运行完整性要求、信息系统可用性等安全类别上进行重组规定,如网络运行功能针对数据运行的机密性、完整性和可用性进行规范,同理,操作系统运行功能和应用程序功能也是如此。
3.进一步完善关于数据运行安全配套法律
依据系统设计理论,作为法的体系,显然在主法的主控模块下面有诸多子模块组成,它们之间相互联系又可以独立存在。 在完善信息安全基本法的基础上,明确具体的数据运行安全的基本规定。我国是以宪法为根本大法,基本法紧随其后,补充完善具体落实宪法规定的各项要求,国务院以构建行政法规体系主导行政工作,各部门根据自身职责具体制定更为详细的规章制度。所以,我们在信息安全法律体系之中,也应完善关于数据运行安全的配套法律体系,简要来说,在构建有关数据运行安全的基本法規或条文的基础上,首先行政法规从事前保障性和事后惩处性两个角度,统一设计信息系统安全保护总则、网络运行功能安全、操作系统运行功能、应用软件程序等有关的安全保护规定。具体在涉及数据运行安全在影响公共安全、社会经济秩序等重要方面进行立法设计。其次,各部门依据各自职责,依照基本法和行政法规规定,根据对数据运行安全的具体保护要求进行专门性规范,各部门之间应当通力合作,信息共享。在司法方面,最高人民法院和最高人民检察院应当根据不断涌现的实际案例,出台司法解释对法律中数据运行的有关方面进行补充说明,提高司法和执法有效力度。
4.加强信息系统安全技术标准建设以配合各部门具体规范
信息系统安全的技术性标准是技术和法律相结合的基石,“赋予技术标准以国家意志,使其具有强制实施的法律效力是世界各国的一致行动。” 数据运行安全主要涉及机密性、完整性和可用性,需要针对数据运行安全的特性不断完善有关的技术、管理、检测、设备、工作模式、评估方式等等信息化标准。相关部门在完善相关技术性标准之后应当与其他有具体职责的部门相配合,如公安部、司法部、证监会、银监会等,将技术标准与具体的部门规范紧密结合,使得各部门针对数据运行安全的规范更具有可操作性。
内容摘要:随着信息化技术不断深化,信息安全中数据运行安全问题逐渐成为重灾区。然而,对于传统的信息安全防治体系,数据运行安全法律评价存在社会危害性难以预测,法律前瞻性存在疏漏;独立性法规有待明确;相关罪名设立混乱,保护客体区分缺略等问题。科学的数据运行安全立法保护应当在分析数据运行的技术属性基础上,从改良信息安全立法模式出发,细化涉及数据运行安全的各方面规定,完善数据运行安全配套法律,健全数据运行安全技术标准,形成统一完备的数据运行安全防治体系,如此才能更好地保障我国数据运行安全,进而实现大数据时代下信息网络的安全发展。
关键词:信息安全;数据运行安全;防治体系;法律保障
网络信息安全涉及社会、经济、政治、文化和军事等各个领域的核心安全问题,也是继海、陆、空、天之后的新国家安全领域。在此领域中,网络违法犯罪问题颇为复杂、严重。面对网络中违法犯罪现象,其中针对数据运行的违法犯罪尤甚,各种影响、破坏数据运行安全的手段层出不穷,对国家、社会以及个人的危害性无法估量,因此应对数据运行安全给予重视和保护。
一、信息安全中数据运行安全问题的严重性
(一)信息安全法律保护体系问题
伴随着网络及其相关技术不断发展和普及,大数据、云计算、移动互联网和智能物联网等高新技术的研发与应用,计算机和网络给人们带来便利的同时,也产生了严重的涉网违法犯罪问题,如网络诈骗、网络侵权、隐私安全问题等,其相关法律的滞后性问题已逐渐凸显。我国因网络违法犯罪行为在国家安全、公共安全、经济秩序、个人权利等各方面都遭受了多重威胁和极大的损失。
我国信息安全法律保护体系是以惩治性为主,保障性为辅的模式,具体来说,是以刑法打击网络犯罪为核心,再以行政法规及其他法律规定为惩罚和保障相结合的机制,如治安管理处罚法的兜底性处罚、电信条例的专项保障性规定等等。其次,为了保持法律体系统一性和稳定性,我国采取“渐进式立法模式”,因此在针对网络犯罪日趋严重的问题,改良刑法体系,改善刑法配置,加大网络违法犯罪的惩治力度仍是眾多专家学者所倡导的立法方式。诚然,事后惩治是法律作为调解社会矛盾的重要方式,致力于认定行为的法律性质,惩罚违背法律原则或规则的恶劣行为,以此稳固社会基础。但以惩治为核心的信息安全法律模式存在一定的局限性,对于降低网络违法犯罪所带来的社会危害性就已是见效甚微。如果我们能够将信息安全保护的切入点前置,将重心从事后惩治向事前保障移转,能够从全面防范的立法本意出发,转换立法思路,这无疑将大大减少网络违法犯罪行为的发生,也就会降低了网络违法犯罪行为所带来的社会危害性以及惩治成本。
(二)信息安全中数据运行安全问题的严重性
1.数据运行安全的概念
信息的价值在于共享和交换,保护数据运行安全就在于保护数据信息以及其交流的价值。数据运行安全,又可称之为计算机信息系统运行安全,从计算机的问世到现如今的大数据技术,我们可以将信息系统安全分为单机运行系统安全、网络运行系统安全。众所周知,一台能够正常运行的计算机需要软、硬件设施的组成以及运行规则的协调。在单机系统中的数据运行主要涉及操作系统功能和应用程序功能,或者可以简单理解为操作系统和一系列软件程序。网络运行系统,则是在单机系统运行基础上,将各个单机节点通过网络连接起来,形成一个庞大的网络空间。计算机网络将分布在不同区域的计算机与专门的外部设备通过通信线路互联成一个规模大、功能强的网络系统,从而使得众多计算机可以方便地互相传递信息、共享软硬件和数据信息等资源。 网络运行系统安全相对为复杂,其特点是对抗性,正是网络主体之间的对抗产生了网络安全问题。单机系统因网络运行系统存在安全隐患,使得信息系统的机密性、完整性和可用性受到威胁。因此,数据运行安全既包括操作系统和软件程序这种特殊数据的安全性,也包含基于操作系统和软件程序进行交流的数据信息以及交流功能的安全性问题,破坏数据运行系统及其相关数据的机密性、完整性和可用性则是主要的数据运行安全问题。
2.数据运行安全问题的严重性
在信息安全问题的重灾区中,数据运行安全问题成为了对国家、社会和个人有着极大威胁的难题。根据360互联网安全中心发布了《2016年中国互联网安全报告》现实,在对197.9万个网站漏洞检查中发现,46.3%的网站有漏洞,其中高危漏洞占7.1%。从漏洞统计数据看有将近一半的网站都存在网站漏洞,网站安全形势不容乐观。 根据CNCERT公布的数据,2016年国家信息安全漏洞共享平台共收录通用软硬件漏洞10822个,较2015年增长33.9%。其中,高危漏洞收录数量高达4146个(占38.3%),较2015年增长29.8%;“零日”漏洞2203个,较2015年增长82.5%;2016年约9.7万个木马和僵尸网络控制服务器控制了我国境内1699万余台主机,约有8.2万个网站被植入后门,1.7万个网站网页被篡改。 可见伴随着云计算、物联网、大数据的发展和普及,数据运行安全问题牵涉之广、影响之大,从安全漏洞到黑客攻击,从信息泄露到蠕虫肆掠,安全威胁无处不在。分析这些触目惊心的数据不难发现数据运行安全问题已经严重影响到国家安全、公共安全、社会经济秩序以及个人权利的有效保护。
二、数据运行安全法律保障现状评析
数据运行安全防护主要有技术防控和法律保障,但从立法层次来看,大多数相关的法规仅是较低层次的部门规章以及信息安全技术标准;从立法结构来看,缺乏专门性涉及数据运行安全的法律法规;从司法实践来看,大量涉及数据运行案件缺乏法律依据,更多依靠司法解释和刑法中提示性规定予以处理,这种“头痛医头脚痛医脚”的方式既无法解决长远问题,又会造成司法越权问题。 综合各方面有关的法律法规我们可以发现针对数据运行安全法律评价存在评价范围不足和评价体系混乱等问题,因此亟需完善对数据运行安全的法律保障体系。
(一)评价范围不足
1.社会危害性难以预测
网络技术的发展导致利用数据运行系统和攻击数据运行系统的手段层出不穷。而且针对数据运行安全的违法犯罪行为具备一般违法犯罪行为所不具备的特殊性。尤其大数据时代,网络已经模糊了地理空间的概念,使得网络攻击行为的冲击和对抗性更为隐蔽。 网络破坏攻击的影响会因互联网而迅速蔓延,使得破坏程度难以评估,对国家安全、公共安全以及个人安全的威胁性存在一定的不确定性、蔓延性和隐蔽性。
当前刑法将利用信息系统进行其他犯罪行为以提示性规定予以处理,这一做法明显忽略了利用过程中对数据运行造成的损害,例如,以破坏银行的信息安保系统,盗取金融机构资金这一行为,按照现有规定则应以盗取金融机构论处,但现实情况可能是破坏银行金融信息系统造成的直接损失和对公共社会影响会远远超过其盗窃金额。同理,现如今电子数据的价值已经逐渐显现,有的数据信息或信息系统的价值是无法用金额进行估计的。针对数据运行的违法犯罪行为所造成的社会危害性可能远比其目的性所为更为严重。然而,目前仍缺乏针对数据运行违法犯罪行为的社会危害性更为合理的评价机制。
针对数据运行安全的违法犯罪的社会危害评价结果,刑法和其他法律法规惩治力度稍显薄弱。在信息科技极速发展的同时,网络空间渐显其重要性,现实社会存在社会秩序、公共秩序、交通秩序等规则机制,破坏社会、公共、交通秩序,法律根据危害程度予以惩处,最高可至死刑。网络空间随着信息技术的不断深入,也会形成相应的网络秩序。针对数据运行安全的违法犯罪行为,即使没有造成直接性损失,但也是对网络秩序的蔑视和破坏,使得网络维护成本极大增加,耗费极大的网络资源。
2.法律前瞻性存在疏漏
当前与数据运行安全有关的法律规范,主要是以事后惩治为基准,对针对数据运行的违法犯罪行为进行定罪量刑。然而在分析破坏数据运行安全的违法犯罪行为所造成的实际社会危害性之后,这种事后惩处的立法模式对信息安全保护的周延和力度是存在欠缺之处的。以非法手段甚至破坏性方式侵入或破坏国家信息系统所造成的后果是难以评估的,破坏数据运行安全的后果在短时间内难以评测涉案的人数、金额、价值以及秩序影响,甚至其影响后果具有持续性。其次,仅事后惩处的方式并不能在最大程度来解决信息安全问题,事后弥补性的法律惩处并不能实际挽回国家、公共或个人受到的损失和伤害。所以在此方面,我国“渐进的立法方式”灵活性较差,不能很好的适应形势的变化,而可能会导致“罪责刑不相应”的结果。 而前瞻性保护机制能够提前设定好预防机制和各方的法律责任与义务,这样可以大大缓解破坏数据运行安全对国家安全、社会公共秩序、国民经济所造成的影响。
3.法规独立性有待明确
刑法中特别罪名之所以成为独立性规定,是存在着其社会影响的普遍性,社会危害的严重性,保护客体的相异性、侵犯客体的手段方式的差异性等法因,如金融诈骗罪与诈骗罪的关系。 针对数据运行安全的犯罪行为亦是如此。现有刑法规定是依据对计算机信息系统的侵犯方式和具体法益的差异性,分为非法侵入、非法控制、非法获取以及破坏行为。而除了这四种侵犯行为之外,还可能存在干扰(不造成破坏性结果)、伪造运行数据等其他行为方式,显然不能涵盖所有的侵犯行为,因而会影响对数据运行安全的犯罪行为的定罪量刑。其次,现实社会的许多违法犯罪行为在网络空间中会被极度的放大,如线下制作病毒性程序并散布,其传播的范围和影响一般都是有限的,而在信息网络中这种范围和影响较难控制,造成的后果不可预测。但现有刑法中以破坏计算机信息系统罪进行笼统性规定,不能很好地体现各种破坏、影响行为的社会危害的差异性。
网络空间中充斥着各种有价数据,对于某些人而言,这些有价数据就是可以创造财富的源泉。如网络盗取网上银行账户密码即可轻而易举的转移财产;网络窃取企业关键机密信息就可以获得不可预估的利益;盗取教育机构的学生保密信息对学生会造成难以估量的影响。非法获取数据运行的相关数据所侵犯的主要客体不仅是社会公共秩序,更可能波及经济市场秩序、金融市场秩序、公私财产权、公民人身权利等衍射性客体。而在大数据时代,这种衍射性客体很可能转化为直接性客体。并且网络空间作为实际社会的衍变时空同样具有网络社会秩序,对于针对数据运行安全的违法犯罪行为也是扰乱了网络公共秩序。此外现有刑法对于非法获取数据运行系统的数据信息在定罪上需要达到情节严重程度或情节非常严重程度,在量刑上顶层为七年有期徒刑加罚金。在某种程度上,这与破坏数据运行安全造成的危害结果不能罪责刑相适应。因此,从数据运行安全带来的社会影响的普遍性、社会危害性、侵犯客体以及方式都需要设定专门性针对数据运行安全的法律规定,提高对数据运行安全的重视程度。
(二)评价体系混乱
1.数据运行罪名设立混乱
目前刑法所规定的针对计算机信息系统的罪名体系,主要包括非法侵入计算机信息系统罪、非法控制计算机信息系统罪、非法获取计算机信息系统数据罪、破坏计算机信息系统罪。这四种罪名在评价破坏数据运行安全行为时存在重合之处,并且仅以四种侵犯方式将针对数据运行系统的犯罪各形态进行立法规范,着实难以全面涵盖。例如,通过破解信息系统的访问控制机制进而掌控国家某军事领域计算机系统,按照刑法关于计算机犯罪理论应当构成非法控制计算机信息系统罪,但非法获取某军事领域计算机系统时必然已经在客观方面上构成了非法侵入计算机信息系统罪的成立要件;其次,破解信息系统访问控制机制是对数据运行的一种破坏行为,也构成了破坏计算机信息系统罪;再者,行為人有获取计算机信息系统中重要国家机密信息的非法目的,又构成非法获取计算机信息系统数据罪。除此之外还可能触及非法获取军事秘密罪或为境外窃取军事秘密罪。而从刑法设定针对计算机信息系统的立法原意来看,非法控制计算机信息系统罪是针对大量的计算机沦为“肉鸡”的现象,非法获取计算机信息系统数据罪则是对国家机关、重要企事业单位和公民相关的大量敏感信息被非法获取现象的回应。 因此,现有针对计算机信息系统的四个罪名之间存在着难以区分认定,设立方式存在混乱而不合理的问题。
2.法律保护客体区分缺略
针对数据运行犯罪行为分为四个罪名,即非法侵入计算机信息系统罪、非法控制计算机信息系统罪、非法获取计算信息系统数据罪和破坏计算机信息系统罪。其中,从立法原意分析,非法侵入计算信息系统罪保护的对象是国家事务、国防建设、尖端科学技术领域的计算信息系统;非法获取计算机信息系统数据、非法控制计算机信息系统罪保护对象一般是依据国家有关规定的国家事务、国防建设、尖端科学技术领域以外的计算信息系统;破坏计算机信息系统是针对当前木马、病毒等恶意软件盛行状况,保护的是所有计算机信息系统的安全。这种以具体犯罪行为作为划分针对数据运行安全的立法标准,首先较难涵盖所有的针对性犯罪行为,如伪造数据运行中相关信息;其次,数据运行系统可以分为网络运行功能和节点运行功能,节点运行功能包括操作系统功能和应用程序功能,而目前我国的法律并未单独就网络运行功能、操作系统运行功能、用处程序功能等数据运行方面的犯罪独立进行规定;再者,仅从刑法规定保护客体看,侵入一般领域中的信息系统和非法获取、非法控制国家事务、国防建设、尖端科学技术领域内的信息系统的行为在刑法评价上要么无法评价,要么无法实现恰当评价,形成了刑事立法在针对数据运行犯罪行为评价体系上的漏洞。 至于行政法规、部门规章大多是以具体对象,如电信网、商用密码等加以规定,更不能对数据运行安全进行全面而系统地保护。
三、数据运行安全法律保障对策
(一)数据运行安全的技术属性分析
数据运行系统本身也是一种特殊的数据,数据运行安全其实是信息系统在被什么人使用,什么范围内使用,什么内容被使用,在什么时候使用、如何使用的合法化问题研究。从整个信息安全体系来看,信息安全的特性是对抗性,大数据时代中的数据是价值的承载体,自然会引起不同主体之间的对抗和利益之争。法律作为调整社会秩序的最后一道屏障,应当平衡好信息的持有者和对立者之间的关系,在信息的收集、处理、存储、传输、检索中保障整个运行状态的安全。
针对数据运行系统的违法犯罪行为与法律保障之间的对抗性来看,我们主要保护的是数据运行的机密性、完整性和可用性。机密性是指信息的访问和披露应经合法授权, 不能泄漏给非授权的个人、实体或进程。 数据运行中的机密性需求和其他场合或系统中提到的机密性需求在实质上是一致的,并且在具体的实施上也有很多相似之处。例如:信息系统的敏感数据在物理上要防止攻击者通过传统偷窃数据载体(硬盘、光盘、磁带、甚至机器等)等方法获取数据。数据运行的完整性在对不同系统或应用中都有所体现,例如:在数据库应用中,对完整性需求可以分为不同的层次:数据库完整性和元素完整性。数据运行完整性可以从两个方面进行考虑:一是数据运行系统本身的完整性,运行系统功能不被未授权的修改、增加和删除等;二是数据运行来源的完整性,是指数据的发送者就是其所声称的来源是真实的,经常通过各种认证机制实现。可用性是确保已授权用户/系统过程可以及时可靠地访问信息/服务和IT资源。 换句话说,可用性是指使用所需资源或信息的能力。 在系统设计中,可用性是系统可靠性的一个重要方面。如果一个系统无法使用就如同系统不存在一样糟糕。
(二)保障数据运行安全的法律对策
结合当前我国关于数据运行的法律法规情况和数据运行安全保障的对抗性,我们建议:
1.完善信息安全立法模式
“信息安全立法是一项综合性、长期性工作,期望一部法律解决所有问题是不现实的。这就需要对信息安全立法规划开展研究,深入调研信息安全立法需求,合理分配立法资源,为建立内容全面、协调有序的信息安全法律法规体系制定长远规划。” 我们应当从加强保护入手,逐步夯实基础,这点我们可以借鉴美国的立法经验,首先加强打击不法行为的力度,起到必要的震慑效果,而后由点及面、由近及远,加强对该领域更加全面的规范化管理、提出更具综合性的管理举措。结合计算机及系统安全保护的要求,从提高我国计算机系统的安全性和保密性的更高宗旨出发,强调在加强打击力度的同时,还应制定事前保障性法律,进一步完善信息安全的立法模式。事前保障性法律是以保护信息网络的安全为立法出发点,对信息安全涉及的各方面进行预先防范的强制性规定,以追究各方面所涉及的相关主体的法律责任,从而不断降低因网络违法犯罪所带来的社会危害。其次,加强对法律法规具体实施情况的评估。我国应通过对有关法律法规实施情况及实施效果的评估,适时修改或修订相关信息安全立法。
2.细化涉及数据运行安全各方面规定
从数据运行对象上,我国目前还未单独就网络运行功能、操作系统运行功能、应用程序功能等数据运行安全的违法犯罪行为进行立法。数据运行安全根据信息安全的对抗性原理,我们可以基于数据运行安全类别,从信息系统机密性安全要求、信息系统完整性要求、信息系统可用性要求等三个方面着手,不断细化数据运行安全的各方面内容。以数据运行本身为目标,将网络运行功能、操作系统运行功能和应用程序功能在数据运行机密性安全要求、数据运行完整性要求、信息系统可用性等安全类别上进行重组规定,如网络运行功能针对数据运行的机密性、完整性和可用性进行规范,同理,操作系统运行功能和应用程序功能也是如此。
3.进一步完善关于数据运行安全配套法律
依据系统设计理论,作为法的体系,显然在主法的主控模块下面有诸多子模块组成,它们之间相互联系又可以独立存在。 在完善信息安全基本法的基础上,明确具体的数据运行安全的基本规定。我国是以宪法为根本大法,基本法紧随其后,补充完善具体落实宪法规定的各项要求,国务院以构建行政法规体系主导行政工作,各部门根据自身职责具体制定更为详细的规章制度。所以,我们在信息安全法律体系之中,也应完善关于数据运行安全的配套法律体系,简要来说,在构建有关数据运行安全的基本法規或条文的基础上,首先行政法规从事前保障性和事后惩处性两个角度,统一设计信息系统安全保护总则、网络运行功能安全、操作系统运行功能、应用软件程序等有关的安全保护规定。具体在涉及数据运行安全在影响公共安全、社会经济秩序等重要方面进行立法设计。其次,各部门依据各自职责,依照基本法和行政法规规定,根据对数据运行安全的具体保护要求进行专门性规范,各部门之间应当通力合作,信息共享。在司法方面,最高人民法院和最高人民检察院应当根据不断涌现的实际案例,出台司法解释对法律中数据运行的有关方面进行补充说明,提高司法和执法有效力度。
4.加强信息系统安全技术标准建设以配合各部门具体规范
信息系统安全的技术性标准是技术和法律相结合的基石,“赋予技术标准以国家意志,使其具有强制实施的法律效力是世界各国的一致行动。” 数据运行安全主要涉及机密性、完整性和可用性,需要针对数据运行安全的特性不断完善有关的技术、管理、检测、设备、工作模式、评估方式等等信息化标准。相关部门在完善相关技术性标准之后应当与其他有具体职责的部门相配合,如公安部、司法部、证监会、银监会等,将技术标准与具体的部门规范紧密结合,使得各部门针对数据运行安全的规范更具有可操作性。
