关键词:案例教学;《信息安全法律法规》课程;信息安全
中图分类号:G434 文献标识码:A 文章编号:1674-7712 (2013) 06-0221-01
信息安全是一门新兴学科。我国信息安全本科专业设置始于2001年,江西警察学院2010年开始设立信息安全专业。《信息安全法律法规》课程是信息安全专业的专业必修课,在该课程中应用案例教学法是贯彻公安教学紧贴公安实战的原则,积极探索和实施“战学研”相结合的教学模式。教师用基层锻炼收集的案例讲解法理,容易激发学生的学习兴趣,从而培养学生的综合运用能力、独立解决问题能力。
一、案例教学法概述
“案例教学法”是指教学者使用案例,以小组讨论、角色扮演与撰写案例等方式来增加成员间的交流,引发学习者思考,并给予成员真实状况学习的一种教学方法。教师于教学中扮演着设计者和激励者的角色,鼓励学生积极参与讨论,案例教学法与传统的信息安全专业课程教学相比较,具有以下特点:
(一)激发学生学习兴趣。对于信息安全专业的学生而言,社会经验不足,法律意识不强,面对抽象的法律法规往往不知从何入手。运用案例教学法有助于激发学生学习兴趣,活跃课堂气氛。
(二)注重师生之间的双向交流。传统信息安全专业课程的讲授都是以教师为主体,学生被动听课;而案例教学法则必须以学生为主体,通过学生自主地阅读、了解、思考案例,自主地讨论、交流、研究案例,从而使他们获得认识、分析、解决问题的思路、方法与能力。教师在其中主要起组织和引导作用。
(三)有效解决理论与实践相脱离。基于实践案例的案例教学法,不仅大大提高了学生的课堂参与积极性,还使得教育内容和现实运用相结合,帮助学生将所学的理论知识与真实的生活连结起来。因此案例教学法可以作为解决理论与实践相脱离的有效方法,不仅可以传授新知识,也可激发学习者讨论与思辨的积极性,培养学习者高层次的思考能力、问题解决能力及决策能力。
二、《信息安全法律法规》课程中案例教学法的应用
(一)案例的选取。一般而言,教学方法与教学目的密不可分,教学方法围绕教学目的展开方能达成教学目的要求。《信息安全法律法规》课程的教学目的是使学生了解计算机与网络安全相应的法律、法规,理解并掌握计算机网络环境和信息安全新形势下涌现的法律领域新问题的基本思考方法,培养学生的计算机与网络安全法律观念。案例教学法正好能够实现这样的教学目的。在《信息安全法律法规》课程的教学中引入案例教学法,最关键的是根据教学知识所选择的典型案例。一是案例要具有针对性和代表性,容易使学生产生认同感,激发学生的学习主动性,二是注重案例的时效性,教师应当尽可能选择一些现行有效的法律法规调整下发生的案例来辅助教学,三是案例要和知识点有机结合,能够通过案例让学生掌握知识点。
(二)案例教学的组织和实施。案例教学在组织和实施过程中需要认真把握好案例的准备、分组讨论、课堂集体讨论分析和总结几个重要环节。
案例的准备要早。在理论教学开始之前就应当将案例通过QQ群发给学生,让学生有充足的时间来了解案例的内容和要求。同时学生带着案例中的问题来进行理论学习,主动地根据自己的知识背景对案例信息进行选择、加工和处理,形成对问题的解释,提出自己的假设。
分组讨论要深入。小组讨论是案例教学的重要环节,同学之间相互交流、相互启发、相互补充,使分析的内容不断深入。一般以10位同学为一组进行讨论,小组讨论中,由小组长负责组织讨论,教师充当导航者的角色,适当地为学生提供分析思路,避免出现冷场、僵局或就事论事,游离主题,指引学生学会如何在“案例事实”与“法律规范”之间来回穿梭思考,抓住分析问题的基本规律。
课堂集体讨论要抓住重点和难点。当案例涉及的情境复杂时,案例争议的焦点往往不止一个,教师需要把问题逐一列出。例如在网络犯罪案件侦查相关法律问题讨论实验中,讨论网络黑客案件中如何调查取证,教师可以给出如下问题:(1)以破坏计算机信息系统犯罪中传播、制作计算机病毒行为为例讨论如何确定传播计算机病毒犯罪嫌疑人,如何发现制作计算机病毒犯罪嫌疑人?(2)如何确定所取得的证据是否属于具有破坏性质的计算机病毒?(3)讨论非法获取计算机信息系统数据、非法控制计算机信息系统罪与破坏计算机信息系统罪的区别?由于教学时间有限,教师通常不可能组织讨论全部问题,然而,只要肯定了这些问题的价值,也就开拓了学生思维的空间。
总结要完善。好的总结能提升案例教学的效果。总结分为教师概况总结和学生个人总结,要给学生提供充分的表现空间,由小组代表宣读总结报告,其他小组的同学除了认真听以外,还应该把该小组的观点和论据记录下来,修正自己的报告。最后提交的总结报告往往观点鲜明,论证充分,逻辑缜密。
(三)案例教学中需要注意的问题。案例教学法在应用时应注意选取恰当的组织方式,以穿插式和讨论式为宜,所选案例应与讲授的理论紧密联系,案例不宜过于复杂。同时还应注意处理好案例教学和理论教学的关系,理论教学为案例教学提供必需的基础知识和理论,案例教学则弥补了理论教学重理论轻务实、重讲授轻参与的不足。
在运用案例教学法作为主要教学模式时,也要结合其他教学模式作为辅助,比如多媒体教学、任务驱动教学法。在讲解案例、分析案例时用多媒体教学能形象、具体、直观。其他教学法可以和案例教学相辅相成,事半功倍。
三、结束语
信息安全专业的《信息安全法律法规》课程教学要突出其作为专业必修课的专业特点,结合专业特色整合教学内容,在各种交互教学模式基础上重点运用案例教学法,可以有效提高学生的综合运用能力及分析解决实际问题的能力,对于该专业整个课程体系的建设具有重要意义。
参考文献:
[1]吴玉萍.论案例教学法的实施[J].长春大学学报:社会科学版,2011,21,1.
关键词 网络信息 安全管理 立法
中图分类号:G202 文献标识码:A
1信息安全及网络信息安全简析
在人类认知的有限范围内,信息被定义为人类社会以及自然界其他生命体中需要传递、交换、存储和提取的抽象内容。而随着信息化的步伐,信息的地位日益上升,信息安全的重要性也愈显重要,然而什么样的信息才认为是安全的呢?一般认为,同时具备完整性,机密性,有效性的信息是安全的。
在信息安全中,首要的便是网络信息安全――网络系统硬件、软件及其系统中数据的安全,网络信息的传输、存储、处理和使用都要求处于安全状态。可见,网络安全至少应包括静态安全和动态安全两种。其中静态安全是指信息在没有传输和处理的状态下信息内容的秘密性、完整性和真实性;动态安全是指信息在传输过程中不被篡改、窃取、遗失和破坏。
I Research市场咨询调查显示,我国普遍存在浏览器配置被修改、数据受损或丢失、系统使用受限、密码被盗、受到病毒非法远程控制等问题。调查表明,我国的网络信息安全问题形势比较严峻,信息安全问题的解决迫在眉睫。
由于中国网民数量在总人口的比重越来越重,网民的力量是很强大,会形成巨大的舆论压力。这股力量如果健康发展,不受到不良的网络信息影响就可以形成健康的社会意识。只有保证网络信息安全环境,才能使得国家的军事安全、政治信息不被曲解、盗取,才能稳定舆论减少网民恐慌。
故维护信息安全极为重要。
2现有且常用的的网络信息安全技术
针对信息安全问题,通过信息安全技术在网络信息系统中对存储和传输辐射信息的操作和进程进行控制和管理,即为安全控制。常见的有操作系统的安全控制,网络接口模块的安全控制,网络互连设备的安全控制。而安全服务是指在应用程序层对网络信息的保密性、完整性和真实性进行保护和鉴别,防止各种安全威胁和攻击,其可以在一定程度上弥补和完善现有操作系统和网络信息系统的安全漏洞。安全服务主要内容包括:安全机制、安全连接、安全协议、安全策略等。安全控制和安全服务都是通过信息安全技术来控制和解决网络信息安全问题的。常见的网络信息安全技术有:防火墙技术,网络信息数据的加密技术,数字签名。
3网络信息安全所存在的障碍及后果
(1)许多网民缺乏信息安全意识,在目前网络发达的环境中,对网络通信的对象无法作明确的认证,导致一些非法、欺骗的犯罪活动。更为严重的是,要是绑定识别码的密码被人截获、识破或篡改,那对个人或团体造成的影响将是致命的。
(2)信息安全与隐私及自由。电子邮件是比较广泛的通信方式,也是对家用计算机的最大威胁之一。
(3)信息安全与财产保护。网络黑客入侵的目标――计算机用户,窃取信用卡的号码、银行账号的信息、个人背景资料以及他们所能找到的其他信息。
(4)信息安全与教育。信息安全主要是指防止信息受到恶意攻击,弥补信息安全系统本身的安全缺陷和软件漏洞以消除计算机网络的结构隐患。而信息安全与教育往往做得很少。
因此,如果不能正确的对待和解决网络信息安全问题,势必对对人们的生活、工作和学习带来严重的后果,并且其后果和威胁都是极其严重和多方面的。
4网络信息安全问题的解决方法
除了密码技术的应用,防火墙技术以及分层局部内部管理等信息安全技术之外,更重要的是道德规范宣传教育,多途径培养专门网络信息安全人才,加紧网络信息安全立法工作,特别是网络信息安全立法更是解决网络信息安全问题的根本中得根本。下面将主要从网络安全立法的方面来讨论网络信息安全。
4.1关于网络信息安全立法存在的问题
4.1.1网络信息安全法律体系凌乱,完整性不足,兼容性差
我国规范网络的部门规章及地方性法规很多,反映出我国各方力图促使网络健康发展的决心和积极性,行为举措是可以给予肯定的。但正我国网络法律法规过于凌乱,数量多而明确性低。另一方面,由于立法主体众多,不同的条例、规范之间存在太大差异,缺乏关系与支持,甚至出现许多重复、空白和失误之处。
4.1.2法律法规缺乏持续性和一体性
法律的可持续性和一体性是一个完善法律体系的标志,所谓一体性,就是法律的完善连贯性。法律在执行过程中,要具有连贯性才能发挥最强的效应。由于互联网的迅猛发展,法律早已跟不上计算机技术的发展速度,这就导致法律的滞后性。法律的滞后性无疑给那些网络违法者制造一个逃脱惩罚的绝好机会。
4.1.3现实问题的覆盖范围狭窄,存在空白
网络立法存在失衡问题,偏重于网络管理及网络信息立法两大方面,不能覆盖由网络引起的各种法律问题,造成许多重要而实际的网络信息问题缺乏法律引导和规范的局面。操作繁琐,可实施性不强。
综上可知,网络法规的可实施性受到很大制约,网络法规本来的法律效力也影响了它的实际操作,而网络技术的复杂性和网络本身的虚拟性也增加了法律法实施的难度。另外,网络信息立法各部门的处罚不尽一致,导致实际操作困难。
4.2网络信息安全立法的必要性
伴随网络信息系统的发展,安全问题日益增多,人们逐渐认识到因特网需要引进法律规范。尤其是网络信息系统作为一种传播媒介,不仅不可能自动消除不良信息的危害性,而且因其使用便利、传播快捷的特点,反而可能在缺乏管理的状态下大大增强其危害性。网络信息安全极其复杂多样,治本之策便是进行法律规范,尤其需要像网络结构一样的一个安全法律法规体系来有效保障信息、网络系统的安全。
网络信息的安全,关系到国家的安全、和社会的稳定,必须提高安全意识,采取可靠的安全措施,强化防范和管理,保证政府信息网络系统的安全。强调网络信息安全的立法迫切性,不仅仅是因为信息网络安全在实现信息资源共享方面的重要作用,更因为它是保障国家网络信息安全、济安全、政治安全的战略问题,它和国家紧紧相连。
其次,网络信息安全立法也是做好安全防范的要求之一。网上的数据安全问题、保密问题、病毒的传播等问题,是目前信息网络发展中存在的普遍问题。对有害于信息网络使用的行为要与之坚决斗争。为此,必须制定管理规则,规范人们的行为,查处有害行为,组织力量对付‘黑客’,维护正常的秩序。第三,安全意识薄弱现象的普遍存在,证明信息安全法律责任的迫切性。安全意识不强,安全技术落后,是造成安全隐患的主要问题。如果加强立法,明确法律责任,这些问题将会得到较大程度的改善。信息网络既是实现信息、资源共享的平台,也可能成为威胁国家安全、危害国计民生的通道。网络信息安全的法律则是对免疫系统的保护之一,其迫切性也是不言而喻的。
4.3网络信息安全立法工作的可行性分析
网络信息安全问题不仅是个别国家的国内安全问题,也不是单凭一个国家或一种技术就能解决得了的问题,而是必须通过开展长期、广泛和深入的国际合作,包括各国政府、各种地区组织等等的充分合作,才有可能解决。随着网络信息安全逐渐被认识,许多国家都争相开始进行立法工作,例如美国、俄罗斯、日本以及欧盟各国。随着网络信息安全法律的健全,确保了国家相关部门切实履行其职能,提高了行政效率,保护了网络信息人的私权如隐私权、名誉权、著作权等,同时推动了信息产业发展,比如推动和保护电子商务并且完善了诉讼程序和其他救济程序,保障被侵权人的自救和他救,加大处罚力度,强化侵权者的责任,形成法律威慑力。
八届人大五次会议于1997年3月14日通过,同年10月1日正式实施的新修订的《刑法》增加了三个法律条款:非法侵入计算机系统罪(285条),破坏计算机信息系统功能、破坏计算机信息系统数据或应用程序罪,制作、传播计算机病毒等破坏计算机程序罪(第286条)以及属于广义计算机犯罪范畴的利用计算机实施的犯罪(第287条)等。这对预防和打击计算机违法犯罪起到了积极的作用,但由于这三个条款只作了较原则性的规定,且具有较强的专业性,因此对有关计算机犯罪的定罪量刑尺度把握较难,故网络安全立法必须有更进一步的行动,也将会建立更加完善的网络环境,创造更加和谐的绿色网络虚拟世界。
5总结
随着我国经济的高速增长,中国信息化有了显著的发展和进步,信息在现代化过程中占据着越来越重要的地位。“十一五”期间,我国电子信息产业规模继续壮大,然而信息安全的问题也越来越迫在眉睫。本文详细分析了我国网络信息安全的现状以及存在的问题,并指出虽然现行网络信息安全措施早已出台,但是网络信息安全依然存在许多障碍。本文强调,网络信息安全的有效办法是道德规范教育与网路安全规范立法并行,并从各个方面论证了该方法的可行性以及有效性,对我国网络信息安全维护和控制有一定的指导意义。
参考文献
[1] 王世伟.论信息安全,网络安全,网络空间安全[J].中国图书馆学报,2015, 41(2):72-84.
[2] 徐明,等.网络信息安全[M].西安电子科技大学出版社,2006.
[3] 王红梅,宗慧娟,王爱民.计算机网络信息安全及防护策略研究[J].价值工程, 2015,34(1):209-210.
[4] 王世伟.论大数据时代信息安全的新特点与新要求[J].图书情报工作,2016, 60(6):5-14.
[5] [美]雷蒙德.S.R.库.网络信息法:案例与资料[M].中信出版社,2003.
[6] 黄海峰.网络信息安全2016年呈现五大发展趋势[J].通信世界,2016(1): 55.
[7] 燕金武.网络信息政策导论[M].北京图书馆出版社,2006.
[8] 刘品新.网络法学[M].中国人民大学出版社.2009.
[9] 高永强,郭世泽.网络平安技术好应用大典[M].人民邮电出版社,2009.
[10] 刘冰.社交网络中用户信息安全影响因素实证研究[J].情报科学,2016(5): 14.
国家相关部门应当建立健全相关法律法规制度,为档案信息化中电子文件的信息安全提供有力的法律保障。目前,我国已了《全国人民代表大会常务委员会关于维护互联网安全的决定》、《电子计算机系统安全工作规范(试行草案)》、《计算机信息系统安全保护条例》、《计算机信息系统国际联网保密管理规定》、《计算机病毒防治办法》、《计算机软件保护条例》、《中国互联网络域名管理办法》等法律法规。这些法律法规我国是保护网络信息安全、打击网络违法犯罪行为的有力依据和基础,但目前,随着信息技术的不断发展,相关法律法规仍需要进一步健全和完善。首先,国家应当加大对保护电子档案信息安全的宣传力度,深入宣传《档案法》,增强社会的档案意识,将电子档案法制观念渗透到人们的思想理念当中。
其次,相关执法部门应当加大执法力度,做到违法必究,依法治党,有效保障档案信息化中电子文件的信息安全。再次,我国相关立法部门应当深入了解目前国内档案信息化中电子文件的信息安全问题,加大对相关法律法规的理论研究力度,更好地修订完善法律法规。最后,我国应当建立健全与档案信息化中电子文件的信息安全相关的法律体系,找出目前法律有待完善的地方,修改不适时宜的法律条款,增强对电子档案信息安全的保护与执法力度,制定专门的电子档案信息安全法。
二、采用先进的现代信息技术
我们应当采用先进的网络安全技术、数据安全技术等先进信息技术,保护档案信息化中电子文件的信息安全。首先,我们应当采用先进的网络安全技术,对网络资源进行访问控制,避免不法分子非法访问和非法使用网络资源。访问控制技术包括入网访问控制技术和网络权限控制技术。其中,入网访问控制技术应当在内部网与互联网之间建立防火墙,防止电脑遭到黑客攻击或病毒入侵,同时,访问者需要接受身份鉴别,经过电脑系统验证身份之后,才能进入网络。网络权限控制技术则应当给予特定的用户和用户组一定的访问和操作权限,使用户在自身权限范围内进行访问操作。其次,我们应当采用先进的安全检测技术,检测与监控网络入侵,阻止内部网络和外部黑客的攻击与入侵。安全检测应当做到实时监测和全面检测,为档案信息化中电子文件的信息安全提供有力保障。再次,我们应当采用先进的数据安全技术,它是保障档案信息化中电子文件信息安全的关键技术。我们应当选择合适的加密算法,如单匙加密算法和飞对称加密算法等,对关键电子档案采用加密技术,防止档案信息被他人窃取或篡改。同时,我们应当采用备份技术,有效落实灾难恢复策略,直接提高电子档案文件信息的安全系数,采用仿真技术、迁移技术、再生性技术,长期保存电子档案。除此之外,我们应当灵活运用真实保障技术,保护档案信息化中电子文件的信息安全。电子文件作者应当运用电子签署技术,在计算机屏幕上签名,并由收文方对档案信息进行信息认证,并在电子文件中嵌入文字、序列号等水印,有效保障电子文件作者的合法权益。
论文关键词:高师计算机专业;信息安全;法律法规课程
人类进入21世纪,现代信息技术迅猛发展,特别是网络技术的快速发展,互联网正以其强大的生命力和巨大的信息提供能力和检索能力风靡全球.
网络已成为人们尤其是大学生获取知识、信息的最快途径.网络以其数字化、多媒体化以及虚拟性、学习性等特点不仅影响和改变着大学生的学习方式生活方式以及交往方式,而且正影响着他们的人生观、世界观、价值取向,甚至利用自己所学的知识进行网络犯罪,所有这些使得高师学生思想政治工作特别是从事网络教学、实践的计算机专业的教育工作者来说,面临着前所未有的机遇和挑战,这不仅因为,自己一方面要传授学生先进的网络技术,另一方面也要教育学生不要利用这些技术从事违法活动而从技术的角度来看,违法与不违法只是一两条指令之间的事情,更重要的是高师计算机专业学生将来可能成为老师去影响他的学生,由此可见,在高师计算机专业学生中开设与信息安全有关的法律法规课程有着十分重要的意义.如何抓住机遇,研究和探索网络环境下的高师计算机专业学生信息安全法律法规教学的新特点、新方法、新途径、新对策已成为高师计算机专业教育者关心和思考的问题.本文主要结合我校的实际,就如何在高师计算机专业中开设信息安全法律课程作一些探讨.
1现有的计算机专业课程特点
根据我校人才培养目标、服务面向定位,按照夯实基础、拓宽专业口径、注重素质教育和创新精神、实践能力培养的人才培养思路,沟通不同学科、不同专业之间的课程联系.全校整个课程体系分为“通识教育课程、专业课程(含专业基础课程、专业方向课程)、教师教育课程(非师范除外)、实践教学课程”四个大类,下面仅就计算机专业课程的特点介绍.
1.1专业基础课程专业基础课是按学科门类组织的基础知识课程模块,均为必修课.目的是在大学学习的初期阶段,按学科进行培养,夯实基础,拓宽专业口径.考虑到学科知识体系、学生转专业等需要,原则上各学科大类所涵盖的各专业的学科专业基础课程应该相同.主要内容包括:计算机科学概论、网页设计与制作、c++程序设计、数据结构、操作系统等.
1.2专业方向课程各专业应围绕人才培养目标与规格设置主要课程,按照教育部《普通高等学校本科专业目录》的有关要求,结合学校实际设置必修课程和选修课程.同时可以开设2—3个方向作为限选.学生可以根据自身兴趣和自我发展的需要,在任一方向课程组中选择规定学分的课程修读.主要内容包括:计算机网络、汇编语言程序设计、计算机组成原理、数据库系统、软件工程导论、软件工程实训、计算机系统结构等.
1.3现有计算机专业课程设置的一些不足计算机技术一日千里,对于它的课程设置应该具有前瞻性,考虑到时代的变化,计算机应用专业旨在培养一批适合现代软件工程、网络工程发展要求的软件工程、网络工程技术人员,现有我校的计算机专业课程是针对这一目标进行设置的,但这一设置主要从技术的角度来考虑问题,没有充分考虑到:随着时代的发展,人们更广泛的使用网络、更关注信息安全这一事实,作为计算机专业的学生更应该承担起自觉维护起信息安全的责任,作为高师计算机专业的课程设置里应该考虑到教育学生不得利用自己所学的技术从事不利于网络安全的事情.
2高师计算机专业学生开设信息安全法律法规的必要性和可行性
2.1必要性信息安全学科群体系由核心学科群、支撑学科群和应用学科群三部分构成,是一个“以信息安全理论为核心,以信息技术、信息工程和信息安全等理论体系为支撑,以国家和社会各领域信息安全防护为应用方向”的跨学科的交叉性学科群体系.该学科交叉性、边缘性强,应用领域面宽,是一个庞大的学科群体系,涉及的知识点也非常庞杂.
仅就法学而言,信息安全涉及的法学领域就包括:刑法(计算机犯罪,包括非法侵入计算机信息系统罪、故意制作传播病毒等)、民商法(电子合同、电子支付等)、知识产权法(著作权的侵害、信息网络传播权等)等许多法学分支.因此,信息安全教育不是一项单一技术方面的教育,加强相关法律课程设置,是信息安全学科建设过程中健全人才培养体系的重要途径与任务.
高师计算机专业,虽然没有开设与信息安全专业一样多与信息安全的有关技术类课程.但这些专业的学生都有从事网络工程、软件工程所需要的基本编程能力、黑客软件的使用能力,只要具备这些能力且信息安全意识不强的人,都可能有意识或无意识的干出违反法律的事情,例如“yai”这个比cih还凶猛的病毒的编写者为重庆某大学计算机系一名大学生.由此可见,在高师计算机专业的学生中开设相关的法律法规选修课程是必要的.
2.2可行性技术与法律原本并不关联,但是在信息安全领域,技术与法律却深深的关联在一起,在全世界各国都不难发现诸如像数字签名、pki应用与法律体系紧密关联.从本质上讲,信息安全对法律的需求,实际上来源于人们在面临信息技术革命过程中产生的种种新可能的时候,对这些可能性做出选择扬弃、利益权衡和价值判断的需要.这也就要求我们跳出技术思维的影响,重视信息安全中的法律范畴.
根据前面对信息安全法律法规内容的特点分析可知:信息安全技术与计算机应用技术有着千丝万缕的联系.从事计算机技术的人员很容易转到从事信息安全技术研究上,加之信息安全技术是当今最热门技术之一,因此,在高师计算机专业中开设一些基本的信息安全技术选修课程、开设一些与法律体系紧密关联的信息安全法律法规选修课程学生容易接受,具有可操作性.
3信息安全技术课程特点
信息安全技术课程所涉及的内容众多,有数学、计算机、通信、电子、管理等学科,既有理论知识,又有实践知识,理论与实践联系十分紧密,新方法、新技术以及新问题不断涌现,这给信息安全课程设置带来了很大的难度,为使我校计算机专业学生了解、掌握这一新技术,我们在专业课程模块中开设《密码学基础》、《网络安全技术》、《入侵检测技术》等作为专业选修课.我校本课程具有以下特点:
(1)每学期都对知识内容进行更新.
(2)对涉及到的基本知识面,分别采用开设专业课、专业选修课、讲座等多种方式,让学生了解信息安全知识体系,如有操作系统、密码学基础、防火墙技术、vpn应用、信息安全标准、网络安全管理、信息安全法律课程等.
(3)对先修课程提出了较高的要求.学习信息安全技术课程之前,都可设了相应的先行课程让学生了解、掌握,如开设了计算机网络基本原理、操作系统、计算机组成原理、程序设计和数论基础等课程.
(4)注重实践教学.比如密码学晦涩难懂的概念,不安排实验实训,不让学生亲手去操作,就永远不能真正理解和运用.防火墙技术只有通过亲手配置和测试.才能领会其工作机理.对此我们在相关的课程都对学生作了实践、实训的要求.
4涉及到信息安全法律法规内容的特点
信息安全的特点决定了其法律、法规内容多数情况下都涉及到网络技术、涉及到与网络有关的法律、法规.
4.1目的多样性作为信息安全的破坏者,其目的多种多样,如利用网络进行经济诈骗;利用网络获取国家政治、经济、军事情报;利用网络显示自己的才能等.这说明仅就破坏者方面而言的信息安全问题也是复杂多样的.
4.2涉及领域的广泛性随着网络技术的迅速发展,信息化的浪潮席卷全球,信息化和经济全球化互相交织,信息在经济和社会活动中的作用甚至超过资本,成为经济增长的最活跃、最有潜力的推动力.信息的安全越来越受到人们的关注,大到军事政治等机密安全,小到防范商业企业机密泄露、青少年对不良信息的浏览、个人信息的泄露等信息安全问题涉及到所有国民经济、政治、军事等的各个部门、各个领域.
4.3技术的复杂性信息安全不仅涉及到技术问题,也涉及到管理问题,信息安全技术又涉及到网络、编码等多门学科,保护信息安全的技术不仅需要法律作支撑,而且研究法律保护同时,又需要考虑其技术性的特征,符合技术上的要求.
4.4信息安全法律优先地位综上所述,信息安全的法律保护不是靠一部法律所能实现的,而是要靠涉及到信息安全技术各分支的信息安全法律法规体系来实现.因此,信息安全法律在我国法律体系中具有特殊地位,兼具有安全法、网络法的双重地位,必须与网络技术和网络立法同步建设,因此,具有优先发展的地位.
5高师信息安全技术课程中的法律法规内容教学目标
对于计算机专业或信息安全专业的本科生和研究生,应深入理解和掌握信息安全技术理论和方法,了解所涉到的常见的法律法规,深入理解和掌握网络安全技术防御技术和安全通信协议.
而对普通高等师范院校计算机专业学生来说,由于课程时间限制,不能对信息安全知识作较全面的掌握,也不可能过多地研究密码学理论,更不可能从法律专业的角度研究信息安全所涉到的法律法规,为此,开设信息安全法律法规课程内容的教学目标定位为:了解信息安全技术的基本原理基础上,初步掌握涉及网络安全维护和网络安全构建等技术的法律、法规和标准.如:《中华人民共和国信息系统安全保护条例》,《中华人民共和国数字签名法》,《计算机病毒防治管理办法》等.
6高师信息安全技术法律法规课程设置探讨
根据我校计算机专业课程体系结构,信息安全有关的法律法规课程,其中多数涉及信息安全技术层面,主要以选修课、讲座课为主,作为信息安全课程的补充.主要可开设以下选修课课程或讲座课程.
(1)信息安全法律法规基础讲座:本讲座力图改变大家对信息安全的态度,使操作人员知晓信息安全的重要性、企业安全规章制度的含义及其职责范围内需要注意的安全问题,让学生首先从信息安全的非技术层面了解与信息安全有关的法律、法规,主要内容包括:国内信息安全法律法规概貌、我国现有信息安全相关法律法规简介等.
(2)黑客攻击手段与防护策略:通过本课程的学习,可以借此提高自己的安全意识,了解常见的安全漏洞,识别黑客攻击手法,熟悉提高系统抗攻击能力的安全配置方法,最重要的还在于掌握一种学习信息安全知识的正确途径和方法.
(3)计算机犯罪取证技术:计算机取证是计算机安全领域中的一个全新的分支,涉及计算机犯罪事件证据的获取、保存、分析、证物呈堂等相关法律、程序、技术问题.本课程详细介绍了计算机取证相关的犯罪的追踪、密码技术、数据隐藏、恶意代码、主流操作系统取证技术,并详细介绍了计算机取证所需的各种有效的工具,还概要介绍了美国与中国不同的司法程序.
一、网络信息安全立法的系统规划
为了促使网络信息安全立法的基础性工作能够积极有序地进行,我们首先应当做好网络信息安全立法的系统规划,它同时也是有效提高立法水平的关键措施之一。在制定立法的系统规划时,我们需要科学整合立法的所有需求,促使立法之间能够实现相互协调,从而增强立法的预见性、科学性。
其一,立法的目的是促进发展。我们应当明确立法是为了更好地为发展提供规范依据和服务,是为了确保发展能够顺利进行。针对跟网络有联系的部分,我们可以将其归到传统的法律范围内,并尽量通过修订或完善传统法律来解决实际的问题。如果一些问题必须要通过制定新的法律才能解决,我们再实施新法律的制定也不迟。并且新法律必须具备良好的开放性,能够随时应对新问题的发生。
其二,要重视适度干预手段的运用。为了促使法律可以跟社会的现实需求相适应,我们应当积极改变那些落后的调整方式,将网络信息安全法律制度的完善重点转移到为建设并完善网络信息化服务,争取为网络信息的安全发展扫清障碍,从而通过规范发展来确保发展,并以确保发展来推动发展,构建良好的社会环境以促进我国网络信息化的健康发展,形成一个跟网络信息安全的实际需求高度符合的法治文化环境。
其三,要充分考虑立法应当遵循的一些基本原则。在立法的具体环节,我们不仅要考虑到消极性法律制定出来将造成的后果,还应当充分考虑积极性法律附带的法律后果。因此,我们不仅要制定出管理性质的法律制度,还要制定出能够促进网络信息产业及网络信息安全技术持续发展的法律制度,并涉及一些必要的、能够积极推动我国网络信息安全产业可持续发展的内容。
二、完善我国网络信息安全法律制度的具体措施
(一)及时更新我国网络信息的立法观念
当下,一些发展中国家及大多数发达国家正主动参与制定网络信息化的国际规则,尤其是电子商务的立法,这些国家的参与热情最高,欧盟、美国及日本正在想方设法将自己制定的立法草案发展成为全球网络信息立法的范本,其他国家也在加强对立法发言权的争取,于是国际电子商务规则的统一出台是我们指日可待的事情。从这一紧张且迫切的国际形势来看,中国在实施网络信息化立法时应当要适度超前我国实际的网络信息化发展进程,及时更新我国网络信息的立法观念,勇于吸取发达国家先进的立法经验,加快建设网络信息安全立法的速度,尽快将国内的网络信息化立法完善。与此同时,我国也应当积极争取在制定国际网络信息化规则时享有更多的发言权,切实将中国的利益维护好。
(二)加强研究我国网络信息的立法理论
发展到今天,已经有相当一部分国人在从事我国网络信息化的理论研究工作,取得了显著的研究成果,为完善我国网络信息安全的法律制度奠定了必要的理论依据。然而,这些研究工作并不具备必要的组织及协调,在力度和深度上都远远不够,至今也没有得出实际的法律草案,根本无法跟立法的需求相符。为了配合法律制度的完善,我们需要更加系统、更加深入地研究立法理论。具体地,我们要做好两个主要的工作:其一,建议我国的一些相关部门在全国范围内成立专门的学术研讨会,针对网络信息安全的法律政策进行研究,掀起我国研究立法理论的热潮,积极推动网络信息立法的实现。其二,积极研究国外的网络信息立法,借鉴其中较先进的法律体系及经验,同时要处理好网络信息安全立法跟其他法律之间的关系。
(三)积极移植国外先进的网络信息法规
跟中国相比,西方一些发达国家更早进行网络信息立法的研究和实践,并已经制定出很多保护网络信息安全的法律制度,个别发达国家甚至已经构建了完善的网络信息安全法律体系。所以,我们应提高对国外新的信息立法的关注度,争取把握好他们发展网络信息立法的趋势。但是,对于国外已经完善的网络信息安全法律,我们并不能照搬,而是要以中国的实际国情为基础,勇于借鉴它们先进的立法成果,致力于使我们制定出的法律制度跟中国的特色社会主义市场经济规律相符,从而真正提高我国网络信息安全法律制度的完善速度,提升我们的立法质量。
(四)完善网络信息法制建设的反馈机制
在制定并完善我国网络信息安全法律制度的全过程中,我们坚决不能忽视反馈。反馈能够确保我们顺利实施网络信息安全法律制度,并为网络信息安全法律制度建设的进一步完善提供积极的参考依据。然而长时间以来,我国并没有建立健全网络信息安全立法的反馈渠道,从提出需求、编制条文到执行法规、监督法规,几乎都是立法领域的主管机构在负责,这种管理方式自上而下,将法规的执行者摆在了被动的地位上,没有跟法规的制定者建立起良好的信息沟通关系,对网络信息安全法律制度的可行性、科学性等有极大的消极影响。所以,我们应当建立起通畅的网络信息立法反馈渠道,构建完善的安全法律制度反馈机制,进一步明确各执法部门的反馈职能,全面收集运行网络信息安全法律制度的相关信息,确保我国的网络信息安全立法是科学的、现实的,促使法律制度在运行时能够达到一个良好的动态平衡状态。
(五)健全我国网络信息安全的法律体系
网络信息化最重要的保障就是网络信息安全的基本法,因此我们应当尽快制定出这一基本法,加快健全我国网络信息安全的法律制度体系。中国至今仍不具备网络信息安全的基本法,这对建设及完善我国的网络信息安全法律制度有很大的制约作用。随着网络信息化在中国的快速发展,社会发展及国民经济当中信息网络占据的地位越来越重要,其作用也愈加关键,一旦网络瘫痪、数据丢失,人民的财产安全及社会的稳定都将遭受无可估量的巨大损失。也就是说加强保障我国网络信息的安全已经发展成为最重要的网络信息化工作之一。目前,网络安全事故造成的经济影响及社会影响正在逐渐加大,一旦事故发生,受到影响的将是数以千百万计的国人,我们将要遭受的经济损失将是几百上千亿。因此,我们更要进一步健全我国网络信息安全的法律体系,切实维护信息网络的数据安全、物理安全,将安全责任落实到人头,加强对安全管理的改革,通过法律制度的完善来严厉打击利用信息网络及针对信息网络实施的刑事犯罪。
(六)网络信息安全法律制度的执行重点
完善我国网络信息安全法律制度的执行重点应当体现在管理体制、网络信任、信息保护、等级保护、研发网络信息安全技术、应急处理、人才培养、监控体系以及应用推广网络信息安全标准、信息安全意识等各个方面。在实践这一系列重点措施的过程中,我们应特别加强对网络信息安全法律制度效率的提高。在信息网络技术迅猛发展的今天,网络信息安全法律制度拥有的积极作用不仅仅是滞后和适应,还应当充分体现为技术发展的前瞻性及主动规范性。网络信息安全的法律制度必须是能够促进网络信息技术发展进步的,于是我们务必要提升网络信息安全法律制度的效率,在法律制度的创设阶段要科学借鉴主流的技术中立思想,重视法律对特殊技术要求的符合程度,超前为发展技术和完善技术留下一定的空间,提高网络信息安全法律制度的社会适应性。在具体的执行过程中,我们应当加强研究国外先进的立法模式,取其精华、去其糟粕,借鉴其中有益自身发展的成分,有效解决法律制度跟技术之间存在的矛盾,积极鼓励创新技术,大力开发自主知识产权,完善我国网络信息安全的技术指标体系,提高法律制度的规范效率。
换言之,在完善我国网络信息安全法律制度时,我们不仅要遵循现有的法律体系,也要敢于跳出现行的立法理念,只要是跟现行的法律体系内容不符,我们就要将其突破;我们反对动辄立法,因为一些法律条文我们完全可以自行解释、执行。在创制网络信息安全法律时,我们不仅要重视制定管理性质的规范,也要颁布实施能够促进网络信息产业可持续发展的法律法规,并积极引导从业单位自律;积极防止对网络信息传播有害的管理机制的出现,进一步完善保障网络信息安全的法规体系,建立起通过网络信息弘扬我国优秀文化的激励机制。在执行网络信息安全法律制度时,我们不仅要完善其行政执法体制,还应当加强建立起一支专业的人才队伍,由具备专业的网络信息知识、拥有快速的安全反应能力的人员组成,以进一步明确职责,健全我们的执法机构,力求真正做到依法管理、依法行政、依法决策;加强完善我国网络信息领域的司法公工作,力求通过司法的途径切实维护好公民的合法权益,促使国家的经济安全和政治安全得到保障,进而大力推动我国网络信息有序、健康、安全地发展下去。
关键词:信息安全法律法规;教学方法;案例教学
中图分类号:G434 文献标识码:A 文章编号:1007-9599 (2013) 01-0296-02
发展信息安全技术和产业,人才是关键。人才培养,教育是根本。到目前为止,我国设立信息安全专业的高等院校已达70多所。江西警察学院的信息安全本科专业2010年批准建立,2011年开始招生。在本院信息安全专业人才培养方案中明确指出:信息安全人才不但要精通计算机及信息安全技术,而且应掌握我国有关计算机信息系统安全保护的法律、法规,具有较强的执法能力。《信息安全法律法规》课程是信息安全专业的专业必修课,与其他专业课程相比具有很大的差异性。如何有效地、整体地提高我国高校学生的信息安全意识,提高他们对计算机网络环境和信息安全新形势下涌现的法律领域新问题的分析能力,已经成为我国每一所普通高校不得不面对和必须解决的问题。
1 课程教学存在的问题
1.1 课程不受学生重视。本门课程属于信息安全管理类课程,学生刚接触这类课程的时候往往理解为死记硬背的法律法规课程,和技术培养毫无关系。从而把兴趣都放在信息安全技术类课程(如网络安全理论与技术、入侵检测技术、计算机病毒原理与防范技术等)的学习上。因此,先入为主的观念使得本门课程容易被学生们轻视,很难激发学生的学习兴趣,更谈不上达到学生自主学习的目的。
1.2 过于强调理论教学,导致学生理论和实践技能脱节。本门课程主要介绍国内外信息安全标准和法律法规的背景知识、发展状况,并对较有影响力的标准和法律法规进行了详细的说明。由于涉及的条文都比较抽象,教师如果就条文讲条文,就制度讲制度则很难提起学生的兴趣。完全按照大纲照本宣科显然不是与时俱进的教学方法,通过实践教学可以提高学生的积极性,同时在备课与课堂教学的过程中,真正做到教学相长。
1.3 课程涉及到的法律法规更新频繁,教师备课压力大。我国自20世纪90年代起有关信息安全的法律法规相继出台,法律体系初步构建,但体系化与有效性等方面仍有待进一步完善。从形式上看,有法律、相关的决定、司法解释及相关文件、行政法规、法规性文件、部门规章及相关文件、地方性法规与地方政府规章及相关文件多个层次。我们作为信息安全专业的教师,对于信息安全技术的掌握是强项,但是相关的法律专业的知识,不仅仅是现有的法律条文,也包括随时更新的法律法规,这方面的学习几乎是随着每个案例的出现来进行的。所以,教师的法学知识需要随时的更新。如果教师不能及时跟上时代的发展,易让学生感觉正在学习陈旧过时的知识。
2 课程教学的改革
2.1 使用案例教学法。案例教学是教师根据课堂教学目标和教学内容的需要,通过设计教学案例,组织学生开展讨论,形成反复的互动与交流,进而提高学生分析问题、解决问题能力的一种开放式、互动式的新型教学方法。在《信息安全法律法规》课程中应用案例教学法是贯彻公安教学紧贴公安实战的原则,积极探索和实施“战学研”相结合的教学模式。教师把公安一线实践作为学校教学的生动课堂和不竭源泉,在基层公安实践中收集典型信息网络安全违法犯罪案例,用案例讲解法理,将枯燥的法律条文融入到鲜活的案例情景之中,使学生能够从真实的案例中感受法理,学习法理。如在讲授“破坏计算机信息系统罪”这一节内容时,选用“哈尔滨某大学学生用黑客入侵学校网站修改成绩案例”进行讲解,发生在校园内的案件更贴近学生,容易引起学生的兴趣。在案例教学中,学生拿到案例后,先要进行消化,然后查阅各种他认为必要的理论知识,这无形中加深了对知识的理解,而且是主动进行的。同时他的答案随时要求教师给予引导,这也促使教师加深思考,根据不同学生的不同理解补充新的教学内容。
2.2 使用模拟法庭教学。模拟法庭的设置对成功举办模拟审判活动而言非常重要。学校应当设置专门的模拟法庭实验室,配备必要的器材和物品。首先通过新闻、报纸、互联网等媒体,选择有典型性的最新案例;然后将学生分为若干个小组,各个小组自由选择案例。小组内自由安排法官、控方和辩方,由小组组长担任审判长,具体安排小组内各方工作;第三是庭前准备。各小组人员讨论案情,拟定审判方案。正式开庭前,学生要准备好诉讼文书和证据资料。从开庭公告、进行开庭准备到作出判决,均要做到有法可依;第四是开庭辩论。陈述案情,控、辩双方激烈辩论,审判组给出判决结果。这一部分体现出学生提前所做的工作,是给出课后评价的主体;最后是案件答疑和提交结案报告。关于法律知识以及相关的技术知识,教师和其它同学可以自由提出问题和见解。鼓励大家进行自由讨论。小组以案例为核心,将法律知识以及技术知识写成书面报告形式。
2.3 削减部分理论课时,加大实践学时。加强实训教学,是培养技能型人才的必由之路。从理论中来,到实践中去,进而提升技能,真正做到“知行合一”。教育部高等学校信息安全类专业教学指导委员会起草的《普通高等学校信息安全本科指导性专业规范》中建议了四种实践教学环节:实验课,课间实验,课程设计,课外实习。比如我们在讲解“有害数据及计算机病毒防治管理”这一节内容时,可以通过实验首先让学生观察计算机病毒感染后计算机显现的特点,然后选用“熊猫烧香病毒案件”进行讲解,最后在取证机房让学生完成案件的司法鉴定流程。实际上,实践教学环节远不止以上四种,各学校完全可以根据自己的实际情况,设计出更多的实践教学环节,达到锻炼提高学生实践能力的目的。
2.4 注重立体化建设。第一是传统教学和多媒体教学有机的结合。多媒体课件信息量大,能够优化教学过程。但多媒体不恰当的使用会分散学生的注意力,也不利于发挥学生的想象力。所以利用文字表达困难或者难以理解的内容可采用多媒体教学,如播放案件的相关视频文件,对于案例分析则发挥传统的教学优势,进行课堂讨论、板书讲解、结合提问将问题层层剖析、层层深入;第二是创建丰富的网络资源环境,方便学生的学习和交流。另外,教师还可以通过微博和微信等新兴手段反映对社会上一些信息安全事件的认识,引导学生发表自己的看法,拉近师生的距离;第三是课程的案例库建设。案例教学法以案例库建设为基础。案例库是学校教学改革、课程建设的成果表现形式之一,是提高教学质量的基础设施。《信息安全法律法规》课程案例库建成后,教师应当将该成果应用到教学中,在教学实践中不断修订和补充案例。
2.5 考核方式的改革。传统的考核方式下学生为被动的学习状态,应付考试的心理,课程的学多集中在期末考试的突击阶段。本门课程的考核由平时成绩(出勤率、课堂表现成绩、实训报告成绩等)和期末笔试成绩综合评定,使学生重视平时的学习,提高教学效果。在期末的笔试试卷中,重点考核对案例进行分析的能力,鼓励学生学会用所掌握的法理去分析和解决问题。
3 结束语
总之,只要我们在教学过程中大胆改革、勇于创新,别具匠心的钻研教材,重组教学内容,根据学生们的兴趣及爱好精心设计各种不同的案例,努力营造与人合作探究、合作交流的学习氛围,调动学生学习的情感,激活学生的思维,促进学生萌生强烈的探究欲望,就一定能大幅度提高该课程的教学效果,以培养出更多合格的信息安全专业技术人员。
参考文献:
[1]王隆娟.探讨《信息安全标准与法律法规》课程的教学方法[J].信息安全与技术,2010,10.
自1994年中国接入国际互联网伊始,中国政府相关网络信息监管法律法规、政策性规范文件及执法措施一直受到国际社会的关注:一些人权方面非政府组织甚至将中国列入“互联网的敌人”名单,美国谷歌公司甚至以撤出中国大陆的方式公开叫板中国政府实行的网络监管措施,一些国家的政府领导人在诸多场合公然指责中国限制互联网自由和公民言论自由,一些学术机构、议会议员、外国公司以所谓的网络审查制构成网络服务贸易障碍为由,呼吁欧盟、美国诉诸世界贸易组织争端解决机构。与此同时,一些国家政府还以所谓“促进全球互联网自由”的名义,有针对性地采取了反对监管互联网信息的措施,比如,美国国务院《2006年人权实践国别报告》新增了一个重点内容:每个国家公民访问和使用互联网的程度以及政府是否不适当地限制或者阻止访问互联网或者审查网站。时任美国国务卿的赖斯建立了“全球互联网自由工作组”(GIFT),以对全球违反互联网自由的国家提供外交政策方面的回应。专门采取针对中国的网络信息监管的一些特别措施。同时,美国众议院在2009年提出《全球网络自由法》议案(H.R.2271),规定向实施网络监管的国家销售互联网技术和服务的企业,必须采取措施反对审查制并保护个人信息。再如,2010年1月,时任美国国务卿的希拉里在其《关于互联网自由与全球言论自由的未来》讲话中宣布,将与技术公司合作,开发有助于个人规避基于政治原因的互联网言论审查的工具,为个人提供规避技术培训,并为此额外拨付1500万美元[1,2]。2010年1月,希拉里发表互联网自由的演讲之后,瑞典外交部长CarlBildt发表了相似的观点,并把中国的网络监管政策和柏林墙相提并论[3]。2011年2月15日,希拉里再次发表关于互联网自由的演讲《互/,!/联网的是与非:网络世界的选择与挑战》,大肆鼓吹人权保护,并对中国网络监管政策暗地指责。然而,正如“欧洲国际政治经济研究中心”理事弗雷德里克?埃里克森、霍素克?李—枚山浩石曾撰文指出的,“事实上,极少数(如果有的话)自由民主国家对互联网的使用绝对没有限制”[4],“斯诺登事件”曝光的美国国家安全局“棱镜”项目即为明证。在互联网发展早期,受制于不同的意识形态与信息监管法制传统,网络与传统媒体之间差异的认识,以及网络技术、电子商务对本土经济巨大推进潜力的考量,各国或者地区政府对网络信息监管必要性的认识存在巨大差异,也导致了监管法律多与寡、监管程度强与弱之别。在一些西方国家眼中,“网络监管”曾是“缺民主”、“少自由”的国家与生俱来的“原罪”,必须加以反对[5]。然而,随着美国“911”恐怖袭击的发生,国际恐怖主义广泛蔓延、大量的网络攻击甚或网络战争威胁,以及网络信息传播技术在中东地区政治动荡中的助力,一些国家或者地区政府一方面继续强调互联网自由,另一方面却对打击网络犯罪,维护信息安全的必须性认识得到加强,开始颁行或者考虑颁行相关法律与政策,并寻求在国际层面进行打击网络犯罪方面的合作或制定区域性相关国际公约。除了面临国外不断针对中国网络信息监管实践的指责与应对的外交压力之外,我国的网络信息监管问题还面临着国外日益强化网络信息监管的法律制定与修订、日益注重网络信息监管政策制定的国际环境。本文拟从当前国际环境与国内互联网产业发展需求出发,论述完善我国网络信息监管法律与政策的必要性与紧迫性。
2完善我国网络信息监管法律政策的国外环境需求
前已述及,美国发生的“911”恐怖袭击引发的反恐意识的加强,改变了西方国家以往除了针对儿童内容和宣扬种族歧视的网络信息之外而单方面谴责其他国家网络信息监管的局面。在各种严重网络危害的侵袭下,不少国家将意识形态抛到一边———澳大利亚总理吉拉德上任伊始即明确表示“审查网络和审查电影一样正常”;德国以泄露用户数据的罪名把美国社交网站Facebook告上了法庭;面对暴力和不良信息,意大利政府要求审查谷歌旗下Youtube视频网站的每一个视频[6]。“工欲善其事,必先利其器”,在决定对网络信息予以监管的同时,各国开始重视相关法律与政策的制定或修订。
2.1国外日益强化网络信息监管的法律制定与修订
由于注重法治的传统,在表示强化网络信息监管的同时,众多国家开始重视网络信息监管的法律依据的确立。整体而言,这些国家采用了直接适用旧法、修订现有法律和颁行新的法律三种方式为监管确立法律依据。有关机构对世界42个国家的调查表明,大约33%的国家正在制定有关互联网的法规,而70%的国家在修改原有的法规以适应互联网发展[7]。对于立法,各国都持比较谨慎的态度,首先选择适用现有法律,继而再根据互联网的特点修订现有法律或重新立法。与此同时,国际社会开始探索制定区域性网络信息监管的国际公约。
(1)众多国家之所以直接适用旧法至少有三个方面的原因:其一,现行法律禁止或者限制的信息内容与传播媒体特性无涉,可以直接适用于网络信息。比如,新西兰1993年《电影、电视与出版物分类法》、英国1964年《出版物法》、1986年《公共秩序法》和新加坡的《反煽动法》、加拿大的刑法和人权法;其二,现行法律或者司法判决明确将互联网视为大众媒体,或者将网络内容视为出版物。如阿塞拜疆1999年的《大众媒体法》(第3条)、哈萨克斯坦2001年的《大众媒体法》(第1条)、格鲁吉亚2004年的《新闻与言论自由法》(第1条)、越南《大众传播法》(第10条)和《出版法》(第22条)均将网站定义为“大众媒体”组成部分,因此这些法律自然适用于网络信息监管。约旦最高法院2010年1月的一份判决将网站视为出版物,直接适用1998年制定、2007年修订的《新闻出版法》。英国Keith-SmithvWilliam案判决确认,英国现行的《反诽谤法》适用于网络言论;其三,现行法律采用了高度抽象、外延宽泛的概念。如瑞士
《刑法典》第135条和第197条分别规定的传播针对人和动物的极端暴力行为、传播针对16岁以下儿童的色情与暴力信息行为及人员的刑事责任,因采用了“任何人”、“录音、电影或视频或者其他产品”、“资料、录音或视频,描述或者其他具有同一性质的物品”等外延宽泛概念,自然适用于网络信息的监管。 (2)在现有法律规范无法调整网络信息传播形式的情况下,只有修订现有法律或者颁行新的相关法律两种可能。比如,德国于1997年率先颁行了直接适用于互联网信息传播的《信息与通信服务法》(俗称《多媒体法》),该法由《远程服务法》《数据保护法》《数字签名法》三个新法和将现有法律适用于互联网的六个附属条款所组成;法国在1998年修订其《未成年人保护法》,新增“利用网络诱惑青少年犯罪”应从重处罚的规定;意大利2013年第925号法律《诽谤法》正在就意大利刑法典和1948年的《大众传播法》进行修订,拟对网络报纸、广播电视新闻和时事新闻节目、诽谤的刑事责任、媒体的诽谤责任等方面进行补充性立法。就颁行新的法律而言,采用此方式的国家不胜枚举,比如俄罗斯1995年的《联邦信息、信息化和信息网络保护法》、美国1996年的《通信规范法》、瑞典第1998:112号法律《电子公告板责任法》、巴林2002年第47号法律《大众传媒与出版法》、美国《2004年反犹太主义审查法》、意大利2006年第266/2005号法律《金融法》(要求信息服务提供商阻止提供网络的网站)、土耳其2007年第5651号法律《互联网出版物的规制与打击通过这种出版物实施的犯罪法》及其三个配套的行政法规、日本2009年的《创造有利于儿童安全使用互联网环境的法律》(规定移动电话经营者有义务提供过滤服务,以保证儿童不受非法和有害信息的侵扰)、俄罗斯2009年的《关于在独联体范围内打击纳粹主义、纳粹战犯及其帮凶复活法》、美国2009年《防止憎恨犯罪法》、约旦2010年的《信息系统犯罪法》等等。
(3)在各国重视网络信息监管的国内法制定的同时,国际社会开始制定网络信息监管方面的区域性国际公约,其中,比较重要的有欧洲理事会2001年制订、2004年7月1日实施的《网络犯罪公约》[8]及其《关于通过计算机系统实施种族歧视和仇视外国人性质刑事犯罪的补充议定书》、欧盟2007年10月25日签订的《保护儿童不受性剥削和待公约》、欧洲理事会2007年的《防止恐怖主义公约》(CETSNo.196)。此外,由于缔结相关国际公约面临的困难较大,2011年5月在巴黎召开的“e-G8论坛”发出了加强网络信息监管及国际合作的强烈信号[9]。
2.2国外日益注重网络信息监管政策的制定
鉴于互联网信息的传播具有跨国界性,而国内法通常又不具有域外效力,加之各国对有害的或者非法的网络信息的界定存在差异,各国尽管非常注重修订旧法和制定新法来加强对网络信息的监管,这些法律对于域外网络信息的实施效果却非常有限。同时,由于网络信息监管的国际合作仅限于区域性的有限主题(网络犯罪、儿童物品或恐怖主义),导致国际协助匮乏,各国在注重国内立法的同时,还积极地制定相关的监管政策,试图通过鼓励行业自律,采用过滤技术屏蔽或者移除来自域外网络信息。就打击网络儿童色情、网络恐怖主义而言,欧盟相关权力机关和欧洲理事会颁行了众多相关政策,比如欧盟2003年的《打击儿童性剥削和儿童物品的理事会框架决定》;欧洲理事会2007年的《建立一个自由且安全的互联网》;欧盟理事会2008年《关于修订打击恐怖主义理事会框架决定的决定》;欧洲理事会2009年的《促进适宜于未成年人的互联网和网络媒体服务》;欧盟委员会2009年的《2009年更安全的互联网工作项目》《欧盟更安全的社交网络诸原则》《关于建立对于儿童更安全的互联网欧洲新方法的布拉格宣言》;欧盟委员会2012年的《数字议程:为儿童提供更安全的互联网和更好的互联网内容的新战略》等等。就网络安全而言,1997年《俄罗斯国家安全构想》明确提出,保障国家安全应把保障经济安全放在第一位,而信息安全又是经济安全的重中之重。
2000年9月,俄罗斯安全委员会通过了《国家信息安全学说》,明确了联邦信息安全建设的目的、任务、原则和主要内容,对国家信息网络安全面临的问题及信息网络战武器装备现状、发展前景和防御方法等进行了详尽的论述,阐明了俄罗斯在信息网络安全方面的立场、观点和基本方针,提出了在该领域实现国家利益的手段和相关措施[10];许多欧盟成员国分别在2008年(斯洛文尼亚)、2011年(捷克、法国、德国、立陶宛、卢森堡、罗马尼亚、英国)、2013年(奥地利、芬兰、意大利、匈牙利、荷兰、波兰、西班牙)、2014年(比利时、爱沙尼亚、拉脱维亚)陆续制定了本国的网络安全战略。在欧盟层面,欧盟委员会也在其2012年工作计划中将确立欧洲网络安全战略作为工作任务之一,且“保证网络和信息安全”仍然位列其2014年优先工作事项之中[11]。
2013年10月9日,欧洲网络与信息安全局(ENISA)了“工业控制系统网络安全白皮书”,白皮书在分析研究的基础上要求采取适当的防范措施,对针对工业控制系统的网络攻击事件做出灵活应对[12]。这将有利于欧盟及成员国建立有效的监管机制,降低由网络攻击带来的损失。除俄罗斯和欧盟之外,新加坡从2005年开始制定了两个信息通信安全总体规划,并于2013年7月颁布2013-2018网络安全总体规划[13];日本从2006年开始分三个阶段颁行国家信息安全战略,并于2013年形成综合性的网络安全战略[14];加拿大与南非(2010年)、澳大利亚和新西兰(2011年)、挪威与瑞士(2012年)、印度、黑山、土耳其、乌干达(2013年)、肯尼亚、纳米比亚和卢旺达(2014年)各自出台了本国的网络安全战略。在美国,克林顿于1998年5月22日签署第63号行政命令《保护关键基础设施》(CriticalInfrastructureProtection),首次提出“信息安全”的目标。
2000年,克林顿政府又提出了《信息系统保护国家
计划》,强调国家信息基础设施的保护,将网络信息安全放在优先发展的位置,并对重点信息网络实行全寿命安全周期管理[15]。2003年2月,布什政府了《国家网络安全战略》报告,正式将网络安全提升至国家安全的战略高度,从国家战略全局对网络的正常运行进行谋划,以保证国家和社会生活的安全与稳定[16]。2009年5月,美国总统奥巴马办公室《网络空间安全政策评估》报告,对美国政府及军队当前的网络状况进行评估并讨论对策。这标志着奥巴马政府已经把网络安全视为国家安全优先考虑的问题。2009年6月,美国国防部正式宣布成立网络战争司令部,提出“攻防一体”的口号,备战网络战争[17]。 此后,奥巴马政府于2011年制定了《网络空间国际战略》[18]。2013年2月12日,奥巴马又签署了第13636号行政命令《完善关键基础设施网络安全》(ImprovingCriticalInfrastructureCyberse-curity)。除了上述部级政策之外,还有众多国外非政府组织了专业性网络信息监管方面的政策声明,比如,国际商会2007年的《关于规制互联网视听内容传输的声明》、2012年的《关于互联网表达自由和信息自由流动的政策声明》等。综上,各国重视网络信息监管法律的制定与修订,以及注重拟定相关监管政策的现实,客观上要求中国进一步完善网络信息监管的现行法律与政策。
3完善我国网络信息监管法律政策的国内网络
产业需求在中国,随着互联网在日常生活和经济发展中的作用日益凸显,与互联网如影随形的一些弊端也暴露无遗,比如黑客攻击、网络、虚假广告、网络欺诈、利用网络侵害他人人身权益等危害活动,严重威胁我国国家安全、社会稳定、公民基本权利以及阻碍新型网络经济业态的健康发展。与此同时,中国现行网络信息监管法律与政策所存在的诸多缺陷,也难以满足国内互联网产业发展的实际需求。
3.1国内网络产业的健康发展需要完善网络信息监管法律政策
3.1.1国内网络产业规模的扩张根据中国互联网络信息中心2014年7月的第34次《中国互联网络发展状况统计报告》,截至2014年6月,我国网民规模达6.32亿,较2013年底增加1442万人。互联网普及率为46.9%,较2013年底提升了1.1个百分点。2013年12月至2014年6月半年间,除了微博、社交网站使用率有所下降之外,中国网民在即时通信、搜索引擎、网络新闻、网络音乐、博客/个人空间、网络视频、网络游戏、网络购物、网上支付、网络文学、网上银行、电子邮件、旅行预订、团购、论坛/bbs等各类网络应用的半年使用率均有不同程度的增长。然而,正如学者正确指出的,“数字化世界是一片崭新的疆土,既可以释放出难以形容的生产能力,也可能成为恐怖主义和江湖巨骗的工具,或是弥天大谎和恶意中伤的大本营”[19],互联网不仅被“东突”和“伊拉克和黎凡特伊斯兰国”等恐怖组织作为宗教极端思想传播、恐怖犯罪手段培训和恐怖成员招募的工具,以及某些西方国家颠覆国家政权的有利武器(从突尼斯的“茉莉花”革命到埃及、伊朗的“Twitter”革命),而且还为“现实世界丑陋现象在虚拟世界的映射”[20]提供了便利的技术支持。一时间,现实世界几乎所有的违法行为或者其新形式均在互联网这个虚拟世界盛行。虽然现行监管法律大多数可以直接适用于网络违法行为,因法律天然的滞后性,少数新型网络违法行为却无法直接适用现行监管法律。比如,搜索引擎服务提供商“竞价排名”或者“关键词广告”服务的性质,本质上是一种广告服务,但现行《中华人民共和国广告法》却无法调整此种广告服务,且现行《中华人民共和国商标法》及配套司法解释对其是否构成商标侵权未作明确规定,导致竞价排名引发的网络商标侵权、不正当竞争纠纷频发,但裁判结果却差异纷存,令电商企业无所适从。虽然禁止“利用互联网对商品、服务作虚假宣传”和“利用互联网侵犯他人知识产权”的《全国人民代表大会常务委员会关于维护互联网安全的决定》第3条可以适用于前述行为,该决定却仅是通过追究刑事责任途径来规制此类行为,而且,搜索引擎服务提供商是否应为犯罪主体不明。此外,由于传统的衡量罪与非罪标准大多以损失数额为标准,而网络环境下证明权利人实际损失却非常困难,该条对此类行为的规制便难上加难。根据中国电子商务研究中心的国内首份电商法律报告———《2011-2012年度中国电子商务法律报告》,网络不正当竞争、行业垄断、知识产权成为电商企业发展最为急需的法律类别。该报告显示,在对电子商务法律类别需求中,76.92%电商企业选择网络不正当竞争、垄断和知识产权;30.77%选择电子商务行业的行政许可(例如支付牌照)[21]。由此可见,适时通过修订旧法或者制定新法的方式,完善现行网络信息监管法律具有必要性。
3.1.2网络服务提供者监管责任的模糊网络信息的海量特性决定了网络服务提供者难以对通过其系统的全部信息进行监管。因此,为避免过重的信息监管责任导致网络服务提供者在投资开发网络新技术和新经济业态方面的顾虑,世界各国法律均未赋予其监管的一般义务,而仅赋予其存在明知或应知违法信息之时的特殊监管义务,比如欧盟电子商务指令第15条即是如此。学界将网络服务提供者享有的这种责任豁免制度普遍称之为“避风港”原则。然而,2009年12月1日施行的地方性法规《新疆维吾尔自治区信息化促进条例》第43条却赋予“网络运营和使用单位”对网上传播信息的“严格审查”义务,并规定了除责令改正、消除影响、罚款之外的“吊销经营许可证或者停止其使用网络系统”等相当严厉的法律责任。该规定明显未考虑网络信息的海量特性而有违避风港原则,从而加重了网络信息服务提供者的监管责任。可想而知,此规定肯定是高悬在该自治区地域范围内网络运营主体头上的一把锋利无比的达摩克利斯之剑,其经营网络业务的积极性因此可能受损。但是,另一方面,适用于全国范围网络服务提供者对网络信息监管责任的法律规定却欠缺周延,导致网络服务提供者监管责任虚无。根据《全国人民代表大会常务委员会关于维护互联网安全的决定》第7条,从事互联网业务的单位“发现”互联网上出现违法犯罪行为和有害信息时,要采取措施,停止传输有害信息。可见,网络服务提供者主动采取停止传输措施义务的前提是其“发现”犯罪行为和有害信息。然而,该条对“发现”是主动监控的结果还是被动监控的结果却语焉不明,容易引发争议。
2010年“丽水QQ自杀案”一审判决以该条为依据,认定腾讯公司未及时对“相约自杀”的内容进行删除或者屏蔽,致使其得以传播,应对范某的死亡承担连带赔偿责任,曾在全国引发巨大争议。二审判决则认为腾讯公司仅负有事后被动审查、监管QQ群聊信息的义务,即在接到相关权利人通知或确知侵权事实存在的情况下,腾讯公司应采取必要处置措施,因此,腾讯公司不构成侵权。显然,二审判决确立了网络服务提供者的被动监控义务。但是,这种被动监控义务容易导致网络服务提供者疏于监管,导致非法网络信息大行其道。在写作本文之时,笔者在百度以“自杀QQ群”为搜索关键词,结果显示,依然有约4,710,000个相关网页存在。全国各地通过自杀QQ群相约自杀,或者受其影响而独立实施自杀的人越来越多。但是,腾讯公司却毫无作为,搜索引擎服务提供商也未采取任何措施屏蔽此类信息。我们认为,在通过技术手段自动发现、屏蔽、过滤这些“自杀QQ群”本身已毫无技术障碍,且法律明确规定了被监管信息类别的情况下,现行法律应当赋予网络服务提供商事先通过技术手段屏蔽、过滤>
,! 3.1.3网络信息监管执法措施不规范2009至2010年3月,国家9个部门联合进行了为期5个多月的网络整顿行动,全面排查了近180万个网站,关闭未备案网站13.6万余个;1.6万多个色情和低俗网站被清理;清退违规接入服务提供商126家。然而,此行动也暴露出“泼掉脏水”的同时,也“倒掉了些孩子”的弊端———大批互联网企业只因一点瑕疵而蒙受巨大损失,行业发展步伐随之受到牵制,创业激情遭到重创。其中,除了基础电信企业为规避风险采用所谓“株连九族”的“封机房”手段之外,执法部门的执法措施不规范也引起网络产业界的不满:“很多被关停的网站经营者反映,网站被关之前和被关之后他们都没有收到任何书面通知,执行停止解析域名措施的服务商也没有给出清楚的解释,甚至不告诉网站经营者是哪个政府部门下发的查处信息。
此外,相关政府部门对诸如“封机房”、“白名单”之类的事一无所知,这显然是政策制定者和执行者之间产生了脱节。”[22]此外,一些执法机关采取执法措施之前,在法律依据方面也相当随意。比如,“胡星斗网站”被封案显示,苏州市公安局网监部门指令新网公司关闭胡星斗个人网站的法律依据是“网站存在非法信息”,而未指明“非法信息”的具体类别。我们认为,网络信息监管执法属于行政执法,应当按照《中华人民共和国行政处罚法》规定的行政处罚必须要有明确的法律依据和依照法定程序严格进行。然而,正如学者正确指出的是,我国现行网络信息监管法律带有浓重的“管理法”味道[23],其中,这些法律的内容多是关于管理部门、管理措施、行政处罚等行政职权的规定,而关于执法程序、执法责任和相对人的行政救济却只字不提。因此,为避免不规范执法措施对网络产业的不利影响,我们需要完善现行网络信息监管法律政策。综上所述,在《“十二五”国家战略性新兴产业发展规划》已将“高端软件和新兴信息服务产业”列为国家战略性产业的前提下,为确保我国网络产业的健康发展,《国家“十二五”时期文化改革发展规划纲要》适时确立的“依法惩处传播有害信息行为,深入推进整治网络色情和低俗信息专项行动,严厉打击网络违法犯罪。加大网上个人信息保护力度,建立网络安全评估机制,维护公共利益和国家信息安全”的监管措施,迫切需要相关法制和政策的保障。
3.2现行网络信息监管法律政策难以满足国内网络产业发展需求
3.2.1现行网络信息监管法律存在诸多缺陷
(1)现行法律的规范层级较低,有违国际法义务。中国批准加入的《世界人权宣言》《经济、社会和文化权利国际公约》,以及中国已经签署但尚未批准的《公民权利和政治权利国际公约》均明确规定,国家限制公民权利、政治权利、经济权利、社会权利和文化权利必须通过“法律”,即由立法机关制定的一般意义上的法律。然而,我国现行网络信息监管的百余部法律法规中,绝大多数是目前有权进行网络信息监管的14个行政机关的部门规章或者部门规范性文件,还有众多的地方性法规和地方政府规章,而网络信息监管专门法律仅有全国人大常委会2000年的《全国人大常委会关于维护互联网安全的决定》和2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》两部,其他规定则散见于诸如《着作权法》等少量法律之中。此现状有违上述国际法的硬性规定,缺乏立法的正当性。
(2)被监管信息类别存在立法冲突,且判断标准模糊。2000年颁行的《全国人大常委会关于维护互联网安全的决定》出于“保障互联网的运行安全”,“维护国家安全和社会稳定”,“维护社会主义市场经济秩序和社会管理秩序”以及“保护个人、法人和其他组织的人身、财产等合法权利”4个立法目的,规定了15种具体行为应追究刑事责任。然而,法律层级较低的大量部门规章或规范性文件和地方性法规或规章却僭越上述法律规定,自行设定了被监管信息类别,立法冲突明显。比如,公安部1997年颁布的《计算机信息网络国际互联网安全保护管理办法》第5条禁止“损害国家机关信誉”的信息,此项规定后为众多地方政府的规章所承继;再比如,国务院2002年颁布的行政法规《互联网上网服务营业场所管理条例》第14条禁止“损害国家荣誉和利益”的信息,并为众多部门规章、地方政府规章所援用(比如2011年文化部《互联网文化管理暂行规定》和2011年《内蒙古自治区计算机信息系统安全保护办法》),而这两类信息均无法律层级规范的依据。同时,公安部的前述部门规章甚至还禁止任何单位和个人“查阅”这类信息(行政法规《互联网上网服务营业场所管理条例》同),从而引发违宪争议[24]。就被监管信息判断标准模糊而言,前述“损害国家机关信誉”和“损害国家荣誉和利益”即属此类。另外的例证是前新闻出版总署1988年颁布的《关于认定及色情出版物的暂行规定》。该规定在出版物和色情出版物的概念界定上,有关“整体上宣扬行为”的“整体”之表述不明,容易把“整体”判断成“整体内容”而非“出版物的整体创作意图或目的”[25]。这些模糊标准埋下了相关行政机关随意行使自由裁量权的巨大隐患。
(3)过分强化政府对网络的管制而漠视相关网络主体权利的保护。正如学者正确指出的,《全国人大常委会关于维护互联网安全的决定》所确立的促进互联网的健康发展,促进个人、法人和其他组织的合法权益之立法目的“应该被所有的法规和规章所全面遵循”。但是,“在其后颁布的各类法规和规章都不约而同纷纷只强调规范秩序、维护安全,而忽视各网络主体的权利保护。不仅如此,这些立法中不但极少规定政府的义务和法律责任,更普遍限制司法权尤其是限制司法权对政府管制行为的司法审查,这样,当个人、法人和其他组织在被政府不当行政行为侵害时,相应的诉诸司法获得救济的机会
都被剥夺了。”[26]因此,漠视网络主体权利的保护不仅直接违反了《行政法规制定程序条例》第11条和《规章制定程序条例》第4条共同规定的“切实保障公民、法人和其他组织的合法权益,在规定其应当履行的义务的同时,应当规定其相应的权利和保障权利实现的途径”,而且还与确保获得有效救济义务之行政法一般原则和具体制度相悖,从而违反法治原则。 (4)部分地方法规明显违背上位法规定。2009年经江苏省人大常委会批准的《徐州市计算机信息系统安全保护条例》含有禁止网络“人肉搜索”的规定。该条例颁行之后,曾引发广泛热议。该条例第18条第(七)项禁止未经许可,通过计算机信息系统提供或者公开他人的信息资料的行为,且第28条规定对个人最多可罚款5000元;情节严重的,半年内禁止计算机上网或停机的处罚。上述规定被普遍认为违反了《社会治安管理处罚法》第42条规定的最高“500元以下”罚款之规定。
3.2.2诸多网络信息监管现行政策成为网络产业发展的掣肘
(1)现行政策确立的互联网行业“分工负责、齐抓共管”的行政监管体系缺乏多部门协调,让产业界无所适从。这种多达14个行政部门多头监管的现状被业界戏称为“群>!
(2)多头监管导致了政府部门利益博弈,偏离公共利益导向,从而加重企业经营负担。部门利益博弈现象在中国并不鲜见:工商部门与卫生部门就食品安全方面的收费权之争、建设部与交通部与公路市政施工企业管理的执法权之争、建设部与国家统计局就商品房空置率的话语权之争、文化部与国家版权局就KTV版权费的收取权之争等即为明证。而反映在网络信息监管方面的部门利益博弈体现在2009年文化部与前新闻出版总署就网络游戏(《魔兽世界》)网络发行审批权的争夺上。尽管2008年和2009年国务院关于文化部和前新闻出版总署和国家广电总局的“三定”规定,基本上划定了两者的监管职权范围,两者在动漫、网络游戏的监管方面却存在职权交叉。这种普遍存在的部门利益博弈现象是基于部门利益最大化的动机而体现的行政规制权争夺。其中不利后果之一即是出于部门利益而制定部门规章,试图通过行政审批、资格认证、滥用行政执法权来获取部门利益,从而造成法律体系的不统一和企业经营负担的加重之恶果。比如,文化部2013年制定了《网络文化经营单位内容自审管理办法》,确立了文化产品与服务的内容自审制度,并确立了内容审核人员培训与资格认证制度。如果受此激励,现在的国家新闻出版广电总局也出台类似制度,从事互联网文化经营的企业将不得不承受双重的规制成本。在党的十四中全会通过的《中共中央关于全面推进依法治国若干重大问题的决定》明确指出了“立法工作中部门化倾向、争权诿责现象较为突出”的前提下,我们应当消除因执行多头监管政策导致的部门利益法律化现象。
(3)在网络信息监管执法政策方面,政府往往采用“运动式”执法措施,不仅缺乏系统性,而且难保执法效果。我国政府采用“运动式”[28]网络信息监管执法的主要原因在于,政府往往注重单一领域的监管。如果某一单一领域的问题出现,并最终经由单一事件诱发,监管层的主观判断和民众意愿部分合流,公众政策的“机会窗口”[29]出现,政府就会采取相应的运动式执法措施。这种“头疼医头、脚疼医脚”的运动式执法不仅缺乏系统性,也难以保障执法效果。“运动过后,一切照旧”的现象普遍存在。
【题目】事业单位档案安全管理问题探究
【引言】事业机构档案信息管控研究引言
【第一章】事业单位档案信息管理概述
【第二章】我国事业单位档案信息安全现状
【第三章】 【第四章】提高事业单位档案信息安全管理水平的对策
【结论/参考文献】事业单位档案安全管理机制构建结论与参考文献
第三章 国内外档案信息安全管理的主要模式与法律法规。
第一节 国外档案信息安全管理在不同模式下的应用。
国外的档案信息化管理模式主要分为档案馆集中管理和机构自行管理两种类型。
一、档案馆集中管理模式的应用。
美国国家档案与文件署的蒂博多十分赞成档案馆集中管理的观点,他认为把电子档案局限在生成机构的狭小空间内是一种目光短浅的做法,电子档案应该由档案馆来保管。如果把它们交给生成机构自行管理,机构很难对失去现行使用价值的电子档案给予足够的重视,这样就会危及到档案的生存。因此,最好的办法就是将档案置于档案馆的保护伞之下,尽可能地减少对档案的改变和损毁。[6]
美国和澳大利亚是采用档案馆集中管理模式较有代表性的国家。其中美国开展了电子档案档案馆项目,该项目由美国国家档案与文件管理署负责,耗资数亿美元,旨在建立一个未来的档案馆,在该模式下国家档案馆作为集中永久保管文件的专门机构,在电子档案管理链上具有极为重要的地位,在协调全国电子档案管理系统的互联互通方面发挥着核心和枢纽作用。澳大利亚国家档案馆先后颁布了《联邦政府文件保管政策》、《数字文件保存的方法》、《数字化保存照亮过去,指引未来》等法令,形成了澳大利亚国家档案馆电子档案保管的基本框架,澳大利亚国家档案馆原则上将承担起所有具有档案价值的电子档案的保管责任。澳大利亚国家档案馆还为电子档案的保存制定了一个较为完善的工作流程,开发了配套的应用软件Xena。[7]
二、机构自行管理模式的应用。
在信息技术较为发达的日本,电子档案机构自行分散管理模式比较流行。很多机构将电子档案存放在形成部门,不须移交。部分机构专门设置档案室,负责接收、管理各部门档案,有的只负责管理机构历史档案,也有的负责整个机构的档案管理。
无论是采用案馆集中管理模式还是机构自行分散管理模式,档案信息化管理较为发达的国家普遍使用文档一体化管理方式,该模式将文件工作和档案工作纳入同一系统,进行统一管控,即统一规范标准、统一工作制度、统一工作程序和统一控制中心,将档案进行统一存储、加工和传输,从而实现对文件和档案管理的整体优化,减少重复工作,在提升档案管理的效能的同时,因安全法规较为完善,管理标准统一,信息安全技术较为先进,人员管理较为严格,其档案信息安全管理水平也大大提升。文档一体化管理模式的最佳实现途径是建立涵盖电子档案全生命周期的电子文档一体化管理系统,该系统有统一的工作制度、工作程序和统一的控制中心。该模式不是简单的将文件管理与档案管理功能相叠加,而是对整个流程进行重构,以实现将文件处理与档案管理整合为一个有机整体,提高部门之间的协同办公效率,同时提升安全管理水平,保护档案信息未经授权不得访问、使用、泄露、中断、修改和破坏,确保信息存储和传递的保密性、真实性、完整性、可用性、不可否认性,以及系统自身的安全稳定性。
第二节 国内外档案信息安全管理模式的比较。
通过前文分析可以看出,档案馆集中管理模式和机构自行分散管理模式具有各自的特点和优势,以下对上述两种管理模式在安全管理方面利弊进行比较分析。
一、档案馆集中管理的利与弊。
在档案馆集中管理模式下,档案馆是档案信息化管理的核心机构,相对各部门内部的档案管理机构,档案馆在硬件配置、软件技术水平、高素质的专业人员方面均有明显优势,可以保证电子档案实体得到妥善保管,尤其是对具有永久保存价值的电子档案实现长期有效的管理;另一方面,可以防止档案被删改和随意销毁,以保证电子档案的真实性和可靠性。但是档案馆集中管理模式也存在一定弊端,集中体现为统一模式转换成本高。以美国为例,档案馆每年都要花费大笔资金将各部门报送的电子档案按统一格式拷贝至统一载体,并改变一些重要电子档案的原有结构以使其脱离生成环境来进行保存。我国档案管理信息化的配套软件和转换技术还相对落后,在很长一段时期内技术问题将是困扰我国档案信息化实行档案馆集中管理模式的主要因素,在一定程度上影响电子档案的完整性、可用性。[8]
二、机构自行管理模式的利与弊。
根据前文分析,机构自行分散管理模式在保证电子档案的可识读性和完整性方面均有独特优势。信息化档案具有系统依赖性和非人工识读性等特点,如果脱离相关的软硬件环境,其完整性和长期可利用性将很难得到有效保障。而在机构自行分散管理模式下,电子档案不需要脱离原来的系统环境,有利于维护电子档案的可识读性和完整性。此外,相对于档案馆集中管理模式,机构自行分散管理模式可以缓解档案馆在资金和技术方面的困难,无需花费巨资购置兼容所需的软硬件设备。但是机构自行分散管理模式的最大问题就是文件实体过于分散,易使某些具有永久保存价值的、年限较为久远的电子档案得不到妥善管理而造成遗失或耗损,影响正常读取,同时由于分散,安全管理无法达到同一标准,不利于保证系统防护软、硬件的及时更新、维护。
第三节 国内外档案信息安全管理法律法规。
一、我国档案信息安全管理的相关法律法规。
随着信息化程度的提升和法制化建设的不断深入,我国档案信息安全管理相关法律法规也日趋完善,逐步形成以档案法律为主、档案行政法规和行政规章为辅的档案法律法规体系。主要法律法规如下:
首先是《中华人民共和国档案法》,该法律于 1988 年正式实施,是我国第一部全面规定档案管理问题的上位法,标志着我国的档案事业开始走上法治化轨道。
该法共六章 27 条,分别就档案机构及职责、档案管理、档案利用的职权和公布、法律责任等方面进行了明确的法律规定。该部法律没有对档案信息化做出明确表述,但是提到了有关数字档案的复制权、复制件的处理及数字档案的易删除性和可复制性等问题,同时对档案的保密问题做出了规定。其次是《中华人民共和国档案法
实施办法》,于 1990 年正式实施,该法针对《档案法》中有关档案管理和利用、公布及处罚等相关规定进行了更为细致的说明,还对电子文件的法律凭证作用给予了肯定。其三是《中华人民共和国保守国家秘密法》,于 1989 年 5 月 1 日正式实施,2010 年 4 月 29 日修订,该法为档案实体的物理安全和信息内容安全提供了有力保障。其四是《中华人民共和国政府信息公开条例》,于 2008 年 5 月实施,其内容涉及信息公开的范围、方法和公开程序、监督机制和保障举措等。[9]
随着档案信息在社会发展中的重要性日益加强及利用率的持续提高,涉及相关安全管理的法律法规及规章制度也不断制定出台,但未形成完备的法律体系,具体体现在以下几方面:一是法律法规与信息公开要求不配套,部分因信息公开可能产生的问题,找寻不到相关法律依据;二是法律法规及规章制度制定层级高,符合工作实际,行业分类明晰的专门性指导方案少,实效性及可执行性不足,且更新步伐慢;三是对信息使用者义务要求的多,权力体现的少,监督及保护举措缺乏,降低影响力。
综上所述,我国档案管理相关法律法规仍处于不断健全、完善的初级阶段,与欧美等法律体系较完备的国家相比,法律制定、修订进程相对缓慢,因此不断健全、完善的法制环境是档案信息化管理及其安全性的重要依据和保障;正确运用档案法律法规,可以有效的调节档案信息化管理所在机构内部各系统、各部门的协调发展,进一步明确职责,保证部门间沟通畅通;法律法规体系的完善,能够有效协调机构间的档案信息化管理的关系,有利于整合分布在网络上的虚拟资源。[10]
二、国外档案信息安全管理相关法律法规。
(一)美国档案信息化管理相关法律法规。
美国相关法律法规的适用对象主要有政府、组织和个人的电子档案信息。美国对政府信息进行立法的原则是要促进政府对社会公众的信息公开。美联邦政府信息安全保护法律中主要代表性法律主要有:
1.《信息自由法》等法规《信息自由法》。该法利用例外形式将需要保护的信息加以列举,分为国家安全问题(保密材料)、内务材料、法律规定豁免的材料、商业秘密工作文件、符合法定条件的执法档案、金融机构材料地质数据等。《信息自由法》是美国信息法律体系的基础,同类的法规还有《阳光政府法》、《加密问题备忘录》、《美国加密产品出口管理条例》、《网络空间电子安全法》以及《出口管理法》、《数字签字示范法》、《数字签字指南》、《数字签字法》、《华盛顿电子认证法》、《全球与国家商务中的电子签字法》、《侵权法》、《保护商业秘密统一示范法》、《商业私密法案》、《数字千年版权法》、《联邦贸易委员会法》、《隐私保护法》、《电子通讯隐私法》、《电脑匹配和隐私保护法》等。
(二)欧盟档案信息化管理相关法律法规。
1.《信息安全框架决议》。该决议于 1992 年 3 月颁布,其目标是为了给一般用户、行政管理部门和工商业界存储电子信息提供切实有效的安全保护,使之不危及公众的利益。
2.《关于计算机犯罪的协定》。该协定于 2001 年 11 月在各成员国征集签署,旨在打击计算机犯罪,协定规定各成员国必需承担协议所定义的犯罪范围内建立适当的权限支持建立预防犯罪的合作的义务(包括相互援助支持采纳关于高科技犯罪数据存储的规定为了调查严重的刑事犯罪,支持跨国界的计算机搜索,并遵从欧盟关于接触和使用业务资料的有关规定)。
3.《打击信息系统犯罪的框架决议》。该框架决议于 2005 年 2 月通过,并于2005 年 3 月开始实施,框架决议规定应受到惩罚的犯罪包括类非法接触信息系统非法进行系统干扰即通过输入、传输、损害、删除、恶化、改变、抑制或者翻译描写不可接触的计算机数据等手段,故意严重阻扰或打断一个信息系统的功能非法进行数据干扰。此外,从事鼓动、帮助、教唆和试图实施上述任何犯罪行为的,也要负法律责任。
4.《建立欧洲网络和信息安全机构的规则》。规则于 2004 年 3 月颁布,旨在加强欧共体各成员国和工商企业应对网络和信息安全问题的能力,该机构也要为欧洲理事会在网络和信息安全领域更新和发展欧共体法律提供技术准备方面的帮助。
三、国、内外档案信息安全管理法律法规比较。
购物车(0)
