信息安全法律基础

时间 2020-06-28

标签信息安全法律基础栏目系统安全繁體版

原文原文链接

信息安全法律基础安全

第一章信息安全法律的通常原理与方法论

1.1 法律权利

（1）法律权利的概念与特征网络

法律权利的概念:社会主体享有的，由法律确认和保障，以某种正当利益为追求的自由。框架
法律权利的特征——基于人性特征（自由意志、驱利性、有限理性……）运维
- 法律性—国家法律确认、保障的一种社会权利。
- 自主性—权利主体能够按照其意愿自由决定是否行使某项权利。
- 可为性—法律权利不是抽象的，而是具体可行的。
- 求利性—法律保护人追求正当利益。

（2）法律权利的结构工具

法律权利的三大要素:利益、权能、自由
- 利益是权利的目标和方向，是权利的追求。
- 权能是权利主体行使权利的资格和能力，是权利的基础。
- 自由是权利的伦理要素和实质表现，是权利的核心。

1.2 法律义务

（1）义务大数据

社会主体根据法律的规定必须做为或不做为。搜索引擎
- 法定性—法律对社会主体的行为提出的要求。
- 国家强制性—不履行法律义务将受到国家的制裁，包括剥夺生命、政治权利、财产、限制自由等。
- 从属性—法律义务老是从属法律权利存在。
- 必为性—义务主体必须作出的行为，包括必需的做为和不做为，不能迟延履行，更不能拒绝履行
从社会整体来看，法律义务包括做为、不做为两类。云计算
- 做为的义务也称积极义务—义务主体必须采起必定的积极行动来履行的义务。加密
- 不做为的义务也称消极义务—义务主体不作任何可能侵犯权利主体行为自由和合法利益之事的义务。设计

（2）权力与义务关系

法律关系中的对应关系：
- 法律权利通常有相对的法律义务存在，两者共同处于法律关系的统一体中。
功能发挥中的互动关系：
- 法律义务的履行促进法律权利的实现。
- 法律权利的享有也有助于法律义务的积极履行。
- 法律权利和法律义务的互动关系还表如今某些特定的权利、义务的相互转化。

1.3 法律功能

（1）法律的基本功能

社会控制的首要工具，即控制功能是法律的基本功能。--社会法学派
法律的基本功能是社会契约功能，辅助功能包括制约权力功能、维护权利功能等。--天然法学派

（2）法律的正功能、反功能与非功能

正功能（法律的积极功能）--可以激发社会成员的积极性，有助于社会体系的良性运做，促进社会关系的协调、稳定。
反功能（法律的消极功能）——法律实现将引起社会内部的紧张关系，分割社会体系内部的协调、稳定局面，下降社会系统的活力。
非功能（法律的无效性）——该法律存在对社会无积极影响、无消极后果，社会成员对其无动于衷。

1.4 科学技术对法律的影响

（1）科学技术对法律的影响

科技的飞速发展，出现了大量新的立法领域
科技成果被大量运用到立法过程当中

（2）法律对科学技术的做用

科学技术自己具备正负两个层面，须要科技向善的法律规制；
- 为人类带来财富和利益，促进人类文明进程。
- 给人类形成灾难和损失，成为人类文明的障碍。
法律属于制度框架，能够对科技发展所引起的各类社会问题进行必定的抑制和预防；

第二章信息安全与立法

2.1 信息

（1）信息安全基本属性

完整性：信息在存储或传输过程当中保持不被修改、破坏、插入，不延迟、不乱序、不丢失的特性。
可用性：信息可被合法用户访问，在须要时就能够取用所需的信息的特性。
保密性：信息不泄露给非受权的我的和实体的特性。
可控性：受权机构能够随时控制信息的机密性。
可靠性：信息以用户承认的质量连续服务于用户的特性。

2.2 信息安全涉及的法律问题

（1）计算机犯罪

计算机犯罪（Computer Crime）是指行为人经过计算机操做所实施的，危害计算机信息系统（包括内存数据及程序）安全以及其余严重危害社会的，并应当处以刑罚的行为。
《中华人民共和国刑法》中关于计算机犯罪的规定有三个条款:

• 第285条违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年如下有期徒刑或者拘役。

• 第286条违反国家规定，对计算机信息系统功能进行删除、修改、增长、干扰，形成计算机信息系统不能正常运行，后果严重的，处五年如下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。

• 第287条利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其余犯罪的，依照本法有关规定定罪处罚。

• 以上三条分别对应非法侵入计算机信息系统罪、破坏计算机信息系统罪和利用计算机犯罪等三种计算机犯罪的表现形式。第28五、286条是1997年新刑法新增长的罪名，并规定了相应的刑罚。第287条是对以计算机为犯罪工具的原则性规定，其刑罚由其余的相关条款规定。
- 从犯罪的实质含义上，刑法第28五、286条所规定的犯罪称为狭义的计算机犯罪或单纯的计算机犯罪，加上第287条则称为广义的计算机犯罪。

2.3 立法、司法和执法组织

（1）立法

立法权及等级:
- 立法权是必定的国家机关依法享有的制定、修改、废止法律等规范性文件的权力，是国家权力体系中最重要的核心的权力。
- 我国的立法权根据享有立法权主体和形式的不一样，分为国家立法权、地方立法权、行政立法权和受权立法权等，不一样级别立法的内容，立法的主体，所立法律的适用范围是不一样的。

（2）立法权

国家立法权：国家立法权是由必定的国家权力机关行使，用以调整基本的、带全局性的社会关系，在立法体系中居于基础和主导地位的最高立法权。
- 国家立法权的立法主体是全国人民表明大会及其常务委员会、国务院。
行政立法权：行政立法权是源于宪法，由国家行政机关依法行使的，低于国家立法的一种独立的立法权，包括中央行政立法权和地方行政立法权。主要行使行政规章的立法权。
地方立法权：地方立法权是由有权的地方国家权力机关行使的立法权。主要行使地方性法规的立法权。
- 地方立法权的主体通常是省、自治区、直辖市的人民表明大会及其常务委员会和较大市的地方人民表明大会及其常务委员会，另外还有民族自治地方的人民表明大会。

（3）立法组织与立法程序

享有立法权的组织即立法组织。例如:在我国，国务院、全国和各地区人大是立法组织。其中， 全国人大及其常委会是我国的最高立法组织。
目前，我国法律的制定程序主要有如下四个步骤：
1. 法律方案的提出
2. 法律草案的审议。
3. 法律草案的表决和经过
4. 法律的公布

（4）立法方法

实体规制法——传统的立法方法 :先对某个对象这个实体性概念进行界定，而后在此概念基础上造成相关的实体性规则。
程序规制法—时效的立法方法：在实体性规则还没有成熟的状况下，经过程序性指引规制人们的行为方式。程序规制法当下意义较大，可以必定程度解决当前问题，实务指导性较强，该规制方法也每每被务实的英美法系国家所接纳。
类型规制法—实用的立法方法：当抽象通常概念及其逻辑体系不足以掌握某生活现象或意义脉络的多样表现形态时，一种辅助的规制形式是“归类”。

（5）司法和执法组织

我国的司法组织主要包括如下两大系统:
- 人民法院，其中，最高人民法院是最高审判机关；
- 人民检察院，其中，最高人民检察院是最高检察机关。
我国的执法组织包括:人民法院、人民检察院、公安部、安所有、工商行政管理局、税务局等。不一样的执法组织在不一样的职权范围内行使职权。
1. 对刑事案件的侦查、拘留、执行逮捕、预审，由公安机关负责。
2. 检察、批准逮捕、检察机关直接受理的案件的侦查、提起公诉，由人民检察院负
  责。
3. 审判由人民法院负责。
4. 国家安全机关依照国家法律规定，办理危害国家安全的刑事案件，行使与公安机
  关相同的职权。

第三章网络安全治理与法律规制

3.1 立法背景、意义、定位

（1）背景

基于整体国家安全观；
基于网络安全威胁的现实；

（2）意义

《网络安全法》对于确立国家网络安全基本管理制度具备里程碑的重要意义。
- 体现权威性（强制约束力）、排它性、广泛适用性、相对稳定性、社会属性。
- 《网络安全法》中明确提出了有关国家网络空间安全战略和重要领域安全规划等问题的法律要求，有助于推动与其余国家和行为主体就网络安全问题展开有效的战略博弈。
- 《网络安全法》将公民我的信息保护归入正轨，中国网民从道德自律走向法律规范，用法律武器维护本身的合法权益。
- 《网络安全法》完善了网络安全义务和责任，将原来散见于各类法规、规章中的规定上升到人大法律层面，对网络运营者等主体的法律义务和责任作了全面规定。

3.2 相关概念

（1）网络

网络是指由计算机或者其余信息终端及相关设备组成的按照必定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。

（2）网络安全

网络安全是指经过采起必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。

（3）网络数据

网络数据是指经过网络收集、存储、传输、处理和产生的各类电子数据。

（4）我的信息

我的信息是指以电子或者其余方式记录的可以单独或者与其余信息结合识别天然人我的身份的各类信息，包括但不限于天然人的姓名、出生日期、身份证件号码、我的生物识别信息、住址、号码等。

（5）网络运营者

网络运营者是指网络的全部者、管理者和网络服务提供者。
网络运营者是网络安全法中很是重要的概念，是关键义务主体或核心义务主体，出现31次。

3.3 基本原则

（1）原则

网络空间主权原则。
网络安全与信息化发展并重原则。
风险防护原则。
协同治理原则。

第四章互联网平台安全治理与法律规制

4.1 互联网平台安全治理

（1）网络平台自治机制

平台方自发的、没有政府机构介入，对在线商家消费者的交易行为进行规范化管理。
优点：
- 平台拥有的交易大数据和技术红利能够对风险行为进行预警。
- 平台的声誉机制须要更好的商家和消费者，具备正外部性。

（2）网络平台自治的局限性

平台商家资质审核、商品溯源等实际操做难度较大
滋生内部腐败、产生负外部性
平台电商与直播、短视频深度融合中出现各类乱象
平台权力有限，无行政等执法权

4.2 电子商务经营者的职责

（1）电子商务经营者的职责

纳税义务，并依法享受税收优惠。
依法取得行政许可。
应当符合保障人身、财产安全。
电子发票
明示用户信息查询、更正、删除以及用户注销的方式、程序。
保障消费者的知情权和选择权。
提供不针对其我的特征的选项。
遵照法律、行政法规收集、使用其用户的我的信息
...

第五章数据安全管理与我的信息保护法律规制

5.1 电信和互联网用户我的信息保护规定

（了解）

5.2 数据确权⭐

（1） 数据确权的现实意义

数据确权已具有经济基础（数据确权收益>数据确权成本）；
不肯定的数据产权给各方在数据的开发利用环节带来了不可控的风险成本；
经过立法肯定数据产权以促进各方合做；
从立法和司法角度，当新生事物在现有法律体系下难以找到合适制度来保护时，能够尝试用数据产权来解决；

5.3 数据产权及其特性

（1）数据产权

数据产权做为权利束（A Bundle of Rights），包含使用权、收益权、占有权、处分权、可携带权、被遗忘权等。
数据产权主体包含我的用户、数据收集企业、平台企业、政府机构、数据中介等组织

（2）数据产权的特性

多主体性：不少数据多是由多轮不一样主体产生和处理。
潜在价值：初始数据不具备很高的直接价值，在不断挖掘和使用中体现其经济价值和稀缺性。
多栖性：由于数据方便复制携带，数据能够同时存在不一样的介质中。
隐私性：有些可以识别特定我的的数据每每具备隐私性。

5.4 数据确权的多视角思考

（1）经济角度：效率优先

（2）公平角度：公正合理优先

（3）法律角度：兼顾公平与效率

5.5 数据问责—用户大数据安全治理

（1）关于用户大数据

（2）用户大数据安全治理目标

5.6 用户大数据安全治理目标

（了解）

第六章电子数据取证与法律规制

6.1 电子数据取证的概念

（1）电子数据取证

可以被法庭接受的,足够可靠和有说服力的存在于计算件机和相关外设中的电子数据的收集、分析、确认、归档以及法庭出示的过程。
- 是能够用于证实案件真实的材料；

6.2 电子数据取证的发展

（1）发展历程

1995-2005年,电子数据取证成为专业技术领域
2005-2010年,数字取证成为信息安全专业的核心技能
2010以来,传统电子数据取证技术面临巨大挑战

（2）发展特色

从“取证”向“中期研判”、“前期采集”发展
取证对象种类剧增,电子数据取证呈现商业化
反取证技术和隐私保护带来挑战
综合取证技术是将来发展方向

6.3 电子数据取证的立法规制

（1）《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》

（2）《公安机关办理刑事案件电子数据取证规则》

第七章通常网络运营者的网络安全法律听从

7.1 网络安全等级保护制度⭐

（1）网络安全等级保护制度

（2）义务主体

网络运营者:网络的全部者、管理者和网络服务提供者。(《网络安全法》第76条)
- 网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务。。。。(《网络安全法》第21条)

（3）义务内容⭐

制定内部安全管理制度及操做规程—《信息系统安全等级保护基本要求》(GB/T22239-2008)
肯定网络安全负责人—网络安全职能部门、负责人岗位(职责、教育、培训)
采起防范危害网络安全行为的技术措施(例:二级,应在网络边界处监视如下攻击行为:端口扫描、强力攻击、木马后门攻击等)
网络监测与日志留存—留存相关的网络日志很多于6个月
数据分类、重要数据备份和加密—《信息安全等级保护管理办法》第34条

（4）网络安全等级保护实施的工做流程⭐

定级备案
建设整改:网络运营者根据安全级别选择最低安全控制措施。
等级测评:网络运营者经过委托等级测评机构开展等级测评。
监督检查:第三级运营者每一年检查一次,第四级每半年检查一次。

（5）法律责任

《网络安全法》第59条: 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者致使危害网络安全等后果的,处一万元以上十万元如下罚款,对直接负责的主管人员处五千元以上五万元如下罚款。

7.2 网络安全监测预警和应急响应⭐

（1）网络安全监测的概念

采用技术手段对网络与信息系统进行实时、动态且持续性的监控,以全面掌握网络的运行状态,发现网络入侵、攻击等网络安全风险的活动。

（2）网络安全监测信息的来源

自主监测信息:内生安全
外部情报信息:信息披露、众包模式

（3）网络安全事件的分类分级

按事件影响范围和程度分为1、2、3、四级安全事件：
网络病毒安全事件：

（4）网络安全监督的约谈制度

约谈的法律效力:
- 《网络安全法》第56条规定,省级以上人民政府有关部门在履行网络安全监督管理职责中,发现网络存在较大安全风险或发生安全事件的,能够按照规定的权限和程序对该网络的运营者的法定表明人或者主要负责人进行约谈。
约谈的主体和对象:
- 约谈的主体限定为省级以上人民政府有关部门,如网信部门、工信部门、公安部门、关键信息基础设施的有关行业监管部门等约谈的对象是网络运营者的法定表明人或主要负责人。
约谈制度的法律性质：
- 问责制度:面向履职不力的相关负责人
- 柔性执法:指导性、互动性、审慎性

（5）突发事件应对与网络通讯临时管制

六类社会安全事件：群体性事件、金融突发事件、涉外突发事件、影响市场稳定的突发事件、恐怖袭击事件和刑事案件。
网络通讯临时管制的实施条件：
- 维护国家安全和社会公共秩序
- 经国务院决策或者批准。
- 必须在特定区域针对特定事件实施。
- 尽量下降对社会正常秩序的影响，事件结束后，网络运营者必须当即恢复正常的通讯和网络运营。
- 网络服务合同中将此种情形列为已方的免责条款，并有权依据行政补偿制度，要求国家给予适当的补偿。

7.3 网络环境下的协助执法

（1）协助执法制度概念

传统法律意义的概念:执法机构在进行侦查和刑事调查时,相关的单位和我的有义务提供执法便利,主要包括举报犯罪等协助方式。
网络环境下的广义概念:通讯服务提供者经过对自身设备进行特殊设计(合法拦截和数据留存),以知足执法机构对特定对象的监控,协助实施预防和侦查犯罪、反恐怖主义等国家监管计划。

7.4 协助执法的主体和原则⭐※

（1）主体

权利主体：国家安全机关、情报机关、公安机关等。
义务主体：网络运营者（《网络安全法》第28条：网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。）

（2）原则

适当性原则：应当以维护国家安全和便利刑事调查为目的，须要符合严格的程序规定，不能任意行使。
必要性原则：在同等有效的措施中选择对公民权利损害最小的方法，不可过分干预公民的合法权益。
均衡原则 ：综合考虑对我的隐私、产业发展、科技进步等潜在影响，设置合理的协助执法义务边界。

（3）协助执法的内容

合法拦截（Lawful Interception）
- 经法定受权的执法机构或者网络服务提供者基于维护国家安全或侦查刑事犯罪目的而采起技术手段获取通讯内容或通讯相关数据的活动。
数据留存（Data Retention）
- 为为保护国家安全、防务、公共安全,要求公共通讯网络或公共电信服务提供者留存流量数据和位置数据(必定期限),以协助执法单位进行严重犯罪和恐怖嫌犯等调查。
协助解密
- 谁运营,谁解密；谁加密,谁解密
严格保密
- 协助执法义务主体必须对协助执法过程当中知悉的全部信息严格保密,包括协助执法活动自己、获取的相关通讯信息、执法主体、执法对象、执法期限等相关信息

7.5 网络信息内容过滤

（1）网络信息内容过滤制度

非法有害信息的界定：
- 危害国家安全的信息
- 危害社会稳定和秩序的信息
- 对我的权利及其余私权利形成侵害的信息
经常使用的过滤手段：
- 基于网络爬虫或搜索引擎的主动监测系统
- 基于文本关键词过滤的被动防护技术
- 针对图像、声音、视频智能过滤技术
局限性：海量信息面临海量审查;机器过滤没法彻底识别;海量审核和发现义务增长了我的信息权利侵害的风险

（2）《网络安全法》相关规定

网络运营者的发现义务：
- 第四十七条：网络运营者应当增强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当当即中止传输该信息,采起消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。
- 第四十八条: 任何我的和组织发送的电子信息、提供的应用软件,不得设置恶意程序,不得含有法律、行政法规禁止发布或者传输的信息。
  电子信息发送服务提供者和应用软件下载服务提供者,应当履行安全管理义务,知道其用户有前款规定行为的,应当中止提供服务,采起消除等处置措施,保存有关记录,并向有关主管部门报告。
- 第四十九条: 网络运营者应当创建网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。网络运营者对网信部门和有关部门依法实施的监督检查,应当予以配合。
监督管理的主体:
- 第五十条: 国家网信部门和有关部门依法履行网络信息安全监督管理职责,发现法律、行政法规禁止发布或者传输的信息的,应当要求网络运营者中止传输,采起消除等处置措施,保存有关记录;对来源于中华人民共和国境外的上述信息,应当通知有关机构采起技术措施和其余必要措施阻断传播。

第八章关键信息基础设施运营者及网络产品服务的网络安全法律听从

8.1 关键信息基础设施的界定

（1）我国关键信息基础设施概念的提出

2015年7月1日颁布实施的《国家安全法》第25条部署了有关关键基础设施和重要领域信息系统及数据安全可控的战略举措。
2017年6月1日实施的《网络安全法》首次明确规定了关键信息基础设施的定义和具体保护措施，采用“列举+归纳”的形式
2017年7月11日，《关键信息基础设施安全保护条例》（征求意见稿）第18条沿用《网络安全法》第 31条规定，用“非穷尽列举行业和领域+危害后果”的方式，给出了其范围。

8.2 关键信息基础设施的安全保护义务

（1）关键信息基础设施运营者

关键信息基础设施运营者是通常性网络运营者中的特殊和重要类别,具备网络安全保护义务。
- 具备法律强制力保障实施的做为性、复合性义务。(涉及业务连续性、自主可控、数据安全三个宏观层面的问题)
- 具备复合主体的义务规范,包括关键信息基础设施的全部者、管理者和服务的提供者。
- 义务具备必定的“合理限度”,兼顾“安全”与“发展”。

（2）关键信息基础设施运营者安全保护义务法规听从

8.3 网络安全审查

（1）网络安全审查制度⭐

《网络安全审查办法》

（2）新程序：设计更具可操做性的审查程序⭐

明确启动审查的两种方式：
- 一种是运营者本身预判评估国家安全风险后主动向审查办公室申报,由审查办公室肯定是否启动审查;
- 另外一种是审查工做机制成员单位认为影响或可能影响国家安全的网络产品和服务,由审查办公室按程序报中央网络安全和信息化委员会批准后启动审查。(第5条、第15条)
明确通常审查程序：
- 审查办公室应当自收到运营者申报材料起10个工做日内肯定是否须要审查并书面通知运营者;须要审查的,应当自通知运营者之日起30个工做日内完成初步审查,状况复杂的能够延长15个工做日。(第8条、第10条、第11条)
明确特殊审查程序：
- 对于按照通常审查程序造成的审查结论建议,审查工做机制成员单位、相关关键信息基础设施保护工做部门意见不一致的,启动特别审查程序,并通知运营者。按照特别审查程序处理的,按程序报中央网络安全和信息化委员会批准后,造成审查结论并书面通知运营者;特别审查程序通常应当在45个工做日内完成,状况复杂的能够适当延长。(第12条、第13条)

8.4 网络产品服务安全和用户信息保护

（1）相关概念

网络产品:按照必定的规则和程序对信息进行收集、存储、传输、交换、处理的硬件、软件和系统,如计算机、信息终端、工控等相关设备,以及基础软件、系统软件等。
网络服务:供方为知足需方须要提供的信息技术开发、应用活动,以及以网络技术为手段支持需方业务的一系列活动,如云计算服务、网络通讯服务、数据处理和存储服务、设计与开发服务、信息系统运维服务等。
用户信息:与天然人、法人或其余组织有关的信息,以及定义和描述这些信息的数据,包括识别我的身份的信息;用户生成的文档、程序;用户位置数据;系统日志等。
恶意程序:那些用于实施网络攻击、干扰网络和信息系统正常使用、破坏网络和信息系统、窃取网络和系统数据等行为的程序。
安全缺陷:网络产品服务中因为设计、开发、配置等错误可能影响网络产品服务安全的弱漏洞(脆弱性):网络产品服务中可以被威胁利用的弱点。