摘 要：在“9·11事件”發(fā)生后，美國(guó)更加重視網(wǎng)絡(luò)與信息安全，相繼頒布了《關(guān)鍵基礎(chǔ)設(shè)施保護(hù)法》《網(wǎng)絡(luò)安全研究與發(fā)展法》《網(wǎng)絡(luò)安全增強(qiáng)法》《聯(lián)邦信息安全管理法》《網(wǎng)絡(luò)安全信息共享法案》等一系列法律。政府部門(mén)加強(qiáng)信息網(wǎng)絡(luò)安全的監(jiān)督管理，信息安全法制建設(shè)成效明顯。美國(guó)規(guī)范信息安全的法律經(jīng)歷了一個(gè)從“預(yù)防為主”到“先發(fā)制人”，以控制“硬件設(shè)備”到控制“網(wǎng)絡(luò)信息內(nèi)容”的演化過(guò)程;政府相關(guān)部門(mén)在網(wǎng)絡(luò)監(jiān)管中的權(quán)限職責(zé)不斷加強(qiáng)，以滿足應(yīng)對(duì)與日俱增的信息安全風(fēng)險(xiǎn)與挑戰(zhàn)的需求。我國(guó)信息安全立法存在民法上的救濟(jì)不強(qiáng)、規(guī)定較分散、規(guī)定較滯后等不足，未來(lái)立法要注意前瞻性，對(duì)不同的信息采取分類(lèi)分級(jí)保護(hù)，信息的收集保存及利用都需要制訂規(guī)定、標(biāo)準(zhǔn)。

　　關(guān)鍵詞：美國(guó);信息安全法律;監(jiān)管;立法;啟示

　　《信息網(wǎng)絡(luò)安全》Netinfo Security(月刊)曾用名：公安應(yīng)用技術(shù)通訊(-2000)，2001年創(chuàng)刊，是我國(guó)首批出版發(fā)行的信息安全類(lèi)科技期刊之一，是中國(guó)核心匪數(shù)據(jù)庫(kù)遴選期刊，是多所公安院校認(rèn)定的核心期刊。

　　1 引言

　　計(jì)算機(jī)誕生于美國(guó)，互聯(lián)網(wǎng)也發(fā)源于美國(guó)，美國(guó)一直引領(lǐng)著信息技術(shù)的發(fā)展，也較早地注重對(duì)信息安全的保護(hù)。幾十年來(lái)，美國(guó)頒行了一系列與網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)，建立了比較完善的信息安全保護(hù)機(jī)制，值得其他國(guó)家借鑒。

　　2 美國(guó)信息安全立法的歷程

　　美國(guó)信息安全立法的分水嶺是2001年發(fā)生的“9·11事件”。之前針對(duì)信息安全的立法并不多，當(dāng)時(shí)全世界包括美國(guó)對(duì)網(wǎng)絡(luò)信息安全的重視程度都不高，網(wǎng)絡(luò)普及率不高，也沒(méi)有發(fā)生特別重大的網(wǎng)絡(luò)信息安全事件。進(jìn)入21世紀(jì)后，美國(guó)的信息安全立法主要針對(duì)網(wǎng)絡(luò)安全。安全依附于網(wǎng)絡(luò)，因此信息安全主要關(guān)注網(wǎng)絡(luò)安全，立法也主要集中在網(wǎng)絡(luò)領(lǐng)域。美國(guó)在網(wǎng)絡(luò)信息安全立法方面有著明顯的階段性：第一階段是2001年“9·11事件”之前，處于起步階段;第二階段是“9·11事件”之后到2009年，即小布什執(zhí)政期間，是發(fā)展階段;第三階段是2009年之后至今，積極推進(jìn)相關(guān)立法，相關(guān)立法趨于完備階段。

　　2.1 起步階段

　　1974年，美國(guó)頒布了《隱私權(quán)法》(Privacy Act)，該法律為政府收集、存儲(chǔ)、使用、傳播公民的個(gè)人信息設(shè)定了相關(guān)的標(biāo)準(zhǔn)和準(zhǔn)則。1984年，頒布了《計(jì)算機(jī)欺詐與濫用法》(Computer Fraud and Abuse Act)，該法旨在打擊不法分子侵入計(jì)算機(jī)系統(tǒng)竊取機(jī)密信息以及金融檔案信息的行為，從而保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全。1986年，頒布了《計(jì)算機(jī)安全法》(Computer Security Act)和《電子通信隱私法》(Electronic Communications Privacy Act)，要求政府保障計(jì)算機(jī)信息系統(tǒng)的信息安全以及公民在電子通信過(guò)程中傳輸?shù)男畔⒌陌踩?996年，美國(guó)頒布了《信息技術(shù)管理改革法》(Information Technology Management Reform Act)，要求政府對(duì)應(yīng)用于網(wǎng)絡(luò)安全管理技術(shù)的資金進(jìn)行必要的監(jiān)管。1996年美國(guó)還頒布了《國(guó)家信息基礎(chǔ)設(shè)施保護(hù)法》(National Information Infrastructure Protection Act)和《電子通信法》(The Telecommunications Act)。根據(jù)法律規(guī)定：信息基礎(chǔ)設(shè)施是指包括用于支持政府、企業(yè)、學(xué)校、銀行等機(jī)構(gòu)運(yùn)行的計(jì)算機(jī)系統(tǒng)。同時(shí)，規(guī)定了制造和傳播病毒是犯罪行為，要納入刑法的打擊范圍。政府要制定公共關(guān)鍵基礎(chǔ)設(shè)施標(biāo)準(zhǔn)，切實(shí)保障網(wǎng)絡(luò)信息安全。1997年，頒布了《計(jì)算機(jī)安全增強(qiáng)法》(Computer Security Enhancement Act)，該法律要求加快非公共密鑰管理基礎(chǔ)設(shè)施的建設(shè)。1998年，頒布了《兒童在線隱私權(quán)保護(hù)法》(Children's Online Privacy Protection Rule)，該法律旨在保護(hù)13歲以下的兒童在網(wǎng)絡(luò)上的隱私信息。1999年，頒行了《網(wǎng)絡(luò)空間電子信息安全法》(Cyberspace Electronic Security Act)，該法規(guī)定，聯(lián)邦政府的執(zhí)法機(jī)構(gòu)可以獲取加密密鑰和加密方法，其他未經(jīng)法律授權(quán)的機(jī)構(gòu)和個(gè)人都不得行使該項(xiàng)權(quán)利。2000年，頒布了《政府信息安全改革法》(Government Information Security Reform Act)，該法旨在加強(qiáng)對(duì)政府信息的保護(hù)，確定了各個(gè)政府部門(mén)在政府信息保護(hù)方面的職責(zé)。

　　2.2 發(fā)展階段

　　2000年以后互聯(lián)網(wǎng)發(fā)展逐步進(jìn)入快車(chē)道，海量的信息被上傳在網(wǎng)絡(luò)中傳輸、交流，并存儲(chǔ)在網(wǎng)絡(luò)計(jì)算機(jī)中，加快信息立法，以保護(hù)信息安全變得日益迫切。2001年“9·11事件”之后，美國(guó)意識(shí)到一旦恐怖分子或者其他不法分子利用網(wǎng)絡(luò)信息進(jìn)行犯罪活動(dòng)，破壞性極大，這些促使美國(guó)加快了在信息安全方面立法的步伐。這一階段美國(guó)的立法機(jī)構(gòu)開(kāi)始變得比較主動(dòng)，很重視立法的前瞻性和預(yù)見(jiàn)性，力圖使現(xiàn)階段的立法不僅能適應(yīng)當(dāng)下的情形，還能對(duì)未來(lái)可能出現(xiàn)的情形加以規(guī)范。這一時(shí)期的立法主要關(guān)注計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的研發(fā)與合理利用、網(wǎng)絡(luò)安全戰(zhàn)略的布局、信息共享和信息安全兩者的平衡等方面問(wèn)題。

　　2001年，美國(guó)頒布了《關(guān)鍵基礎(chǔ)設(shè)施保護(hù)法》(Critical Infrastructures Protection Act)，該法律突出關(guān)鍵基礎(chǔ)設(shè)施對(duì)于國(guó)家安全的重要性。2002年，出臺(tái)了《網(wǎng)絡(luò)安全研究與發(fā)展法》(Cyber Security Research and Development Act)，該法規(guī)定政府有義務(wù)資助計(jì)算機(jī)和網(wǎng)絡(luò)安全的研發(fā)。2002年還頒布了《聯(lián)邦信息安全管理法》(Federal Information Security Management Act)、《電子政務(wù)法》(E-Government Act)、《國(guó)土安全法》(Homeland Security Act)和《網(wǎng)絡(luò)安全增強(qiáng)法》(Cyber Security Enhancement Act)?！毒W(wǎng)絡(luò)安全增強(qiáng)法》旨在進(jìn)一步加強(qiáng)網(wǎng)絡(luò)安全，根據(jù)計(jì)算機(jī)和互聯(lián)網(wǎng)行業(yè)的最新發(fā)展，加強(qiáng)了對(duì)計(jì)算機(jī)犯罪的打擊，并規(guī)定政府為了保護(hù)網(wǎng)絡(luò)安全可以獲得公民網(wǎng)絡(luò)通信的內(nèi)容。2005年，頒布《信息自由法》(Free Flow of Information Act)和《網(wǎng)絡(luò)安全教育促進(jìn)法》(Cybersecurity Education Enhancement Act)。

　　2.3 趨于完備階段

　　隨著互聯(lián)網(wǎng)的全面普及，保護(hù)信息安全的任務(wù)變得更加緊迫，美國(guó)在這一時(shí)期開(kāi)始全面推進(jìn)信息安全的立法工作。這一階段的立法是全方位的，立法進(jìn)度更快，所立法律涉及的內(nèi)容也更加廣泛，趨于完備。2009年，頒布了《網(wǎng)絡(luò)安全法》(Cybersecurity Act)，該法賦權(quán)聯(lián)邦政府設(shè)立專(zhuān)門(mén)的網(wǎng)絡(luò)安全咨詢辦公室，該辦公室可以斷開(kāi)重要設(shè)施的網(wǎng)絡(luò)連接，管理一切網(wǎng)絡(luò)相關(guān)事務(wù)。2010年，在修訂《國(guó)土安全法》和其他相關(guān)法律的基礎(chǔ)上制定了《作為國(guó)家資產(chǎn)的網(wǎng)絡(luò)空間保護(hù)法》(Protecting Cyberspace as a National Asset Act)，該法律的主旨是保護(hù)美國(guó)網(wǎng)絡(luò)空間和通信基礎(chǔ)設(shè)施的安全性。2011年，再頒行另外一部作為《網(wǎng)絡(luò)安全法》擴(kuò)展的《網(wǎng)絡(luò)安全增強(qiáng)法》(Cyber security Enhancement Act)，該法案要求總審計(jì)長(zhǎng)定期向國(guó)會(huì)報(bào)告現(xiàn)有網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施的缺陷，并針對(duì)這些缺陷和不足提出相應(yīng)的解決方案和建議。2011年，頒布了《國(guó)土安全及基礎(chǔ)設(shè)施保護(hù)法》(Homeland Security and Physical Infrastructure Protection Act)，該法要求美國(guó)建立網(wǎng)絡(luò)安全合規(guī)部門(mén)，加強(qiáng)在網(wǎng)絡(luò)反恐和保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施方面的工作。2013年，頒布了《 網(wǎng) 絡(luò) 安 全 及 美 國(guó) 網(wǎng) 絡(luò) 競(jìng) 爭(zhēng) 法 》 ( Cyber security and American Cyber Competitiveness Act)和《網(wǎng)絡(luò)信息共享和保護(hù)法》(Cyber Intelligence Sharing and Protection Act)。2014年，頒布《聯(lián)邦信息安全管理法》(Federal Information Security Modernization Act，F(xiàn)ISMA)和《國(guó)家網(wǎng)絡(luò)安全保護(hù)法》(National Cyber Security Protection Act)、《網(wǎng)絡(luò)安全人員評(píng)估法》(Cyber Security Workforce Assessment Act)。2015年，頒布了《網(wǎng)絡(luò)安全信息共享法案》(Cyber Security Information Sharing Act)。

　　3 美國(guó)信息安全立法的特點(diǎn)

　　縱觀美國(guó)信息安全立法的過(guò)程及其相關(guān)規(guī)定可以看出，在立法理念方面，最開(kāi)始美國(guó)是相對(duì)消極的，本著預(yù)防為主。隨著20世紀(jì)90年代計(jì)算機(jī)開(kāi)始進(jìn)入平民家庭，互聯(lián)網(wǎng)也開(kāi)始起步并迅速發(fā)展，這時(shí)美國(guó)政府不得不變得比較主動(dòng)，加強(qiáng)了相關(guān)立法?？偨Y(jié)美國(guó)推進(jìn)信息安全立法的進(jìn)程，可以看出其經(jīng)歷了一個(gè)從“預(yù)防為主”到“先發(fā)制人”，以控制“硬件設(shè)備”到控制“網(wǎng)絡(luò)信息內(nèi)容”的演化過(guò)程。

　　(1)信息安全立法涉及范圍廣，包括規(guī)范網(wǎng)絡(luò)犯罪，加強(qiáng)信息網(wǎng)絡(luò)基礎(chǔ)設(shè)施保護(hù)，規(guī)范信息收集、利用、發(fā)布，隱私權(quán)保護(hù)等方面。

　　(2)注重多部門(mén)協(xié)作，建立信息共享及應(yīng)急支持機(jī)制，并且設(shè)立專(zhuān)門(mén)機(jī)構(gòu)協(xié)調(diào)各方一起保護(hù)信息安全。

　　(3)為了落實(shí)信息安全政策及法律，美國(guó)將政策執(zhí)行、監(jiān)督、管理等權(quán)利分配給多個(gè)部門(mén)，包括DHS、OMB、國(guó)防部、審計(jì)署、商務(wù)部、司法部等，并且根據(jù)現(xiàn)實(shí)需要不斷增設(shè)新機(jī)構(gòu)。

　　(4)美國(guó)還注重標(biāo)準(zhǔn)的制定，在多部法律中提到制定相應(yīng)標(biāo)準(zhǔn)保護(hù)信息安全，例如規(guī)定CIO委員會(huì)與NIST協(xié)作制定安全標(biāo)準(zhǔn)，NIST制定高性能計(jì)算的安全與隱私標(biāo)準(zhǔn)等。

　　總體而言，美國(guó)當(dāng)前有關(guān)信息安全立法的發(fā)展趨勢(shì)是要擴(kuò)大政府部門(mén)在網(wǎng)絡(luò)監(jiān)管中的權(quán)限，明確其職責(zé)任務(wù)，以滿足應(yīng)對(duì)與日俱增的信息安全風(fēng)險(xiǎn)挑戰(zhàn)的需求。

　　4 美國(guó)信息安全相關(guān)法律確定的重要法律制度

　　4.1 強(qiáng)制報(bào)案制度

　　在美國(guó)，如果發(fā)生危害信息安全的事件，那么相關(guān)的責(zé)任人員必須在一定的時(shí)間內(nèi)向相關(guān)機(jī)構(gòu)報(bào)案，如果該事件非常重大，負(fù)有報(bào)案義務(wù)的人員不報(bào)案，那么他將會(huì)承擔(dān)法律責(zé)任，這就是美國(guó)信息安全法律制度中的強(qiáng)制報(bào)案制度。

　　很多企業(yè)在遭遇信息被泄露的時(shí)候往往選擇不報(bào)案，因?yàn)橐坏﹫?bào)案，根據(jù)美國(guó)的《信息自由法》，該事件將要公開(kāi)接受公眾的審查，這樣就會(huì)讓公眾認(rèn)為，該企業(yè)在信息安全保障方面做得非常糟糕，因此基于商業(yè)信譽(yù)和自身形象的考慮往往選擇不報(bào)案。企業(yè)不報(bào)案等于縱容了侵害信息安全的行為，加害者將有恃無(wú)恐地繼續(xù)實(shí)施危害行為。因此，在信息安全方面建立強(qiáng)制報(bào)案制度十分重要。

　　4.2 與強(qiáng)制報(bào)案制度相配套的投訴機(jī)構(gòu)

　　為了保證強(qiáng)制報(bào)案制度能夠真正被施行，美國(guó)建立了完善的投訴機(jī)制。發(fā)生信息安全事件之后，當(dāng)事人可以根據(jù)具體情況選擇向聯(lián)邦或者州的投訴機(jī)構(gòu)投訴。在美國(guó)，聯(lián)邦調(diào)查局、美國(guó)情報(bào)局、美國(guó)移民海關(guān)執(zhí)行局、美國(guó)郵政檢查局和酒精、煙草、易爆物局等機(jī)構(gòu)都有處理信息安全案件的權(quán)力，當(dāng)事人可以向這些機(jī)構(gòu)設(shè)立在全國(guó)各地的辦事處報(bào)案。此外，網(wǎng)絡(luò)犯罪投訴中心(IC3)也有處理信息安全案件的權(quán)限。IC3的使命是迅速處理涉及計(jì)算機(jī)犯罪的投訴，它是美國(guó)聯(lián)邦調(diào)查局和國(guó)家白領(lǐng)犯罪中心于2000年合作建立的，下設(shè)一家網(wǎng)站，專(zhuān)門(mén)承接網(wǎng)絡(luò)犯罪受害人的舉報(bào)。

　　4.3 保障個(gè)人隱私不受侵犯的法律制度

　　美國(guó)人一貫重視個(gè)人隱私，保護(hù)隱私權(quán)的法律非常多，最重要的無(wú)疑是聯(lián)邦憲法，除此之外，還有要有1968年的《綜合犯罪控制和街道安全法》、1974年的《隱私法》。在計(jì)算機(jī)時(shí)代到來(lái)之后，隱私權(quán)的保護(hù)面臨新的威脅。為此，美國(guó)又制定了一系列跟計(jì)算機(jī)網(wǎng)絡(luò)緊密相關(guān)的保護(hù)隱私權(quán)的法律，主要有1986年的《電子通訊隱私法》、1988年的《錄像隱私保護(hù)法》、1984年的《電纜通訊法》、1988年的《電腦匹配和隱私保護(hù)法》和1999年的《兒童網(wǎng)上隱私保護(hù)法》等。

　　4.4 保護(hù)商業(yè)秘密的法律

　　商業(yè)秘密是能夠?yàn)樗姓邘?lái)收益而不為公眾知悉的一種信息。商業(yè)秘密具有重大的經(jīng)濟(jì)價(jià)值。在美國(guó)，保護(hù)商業(yè)秘密的法律主要有《侵權(quán)法重述》《數(shù)字千年版權(quán)法》等?！肚謾?quán)法重述》禁止違背保密義務(wù)而泄露他人的商業(yè)秘密，如有違反則需承擔(dān)相應(yīng)的法律后果。該法律還禁止商業(yè)間諜竊取他人電腦中的商業(yè)秘密?！稊?shù)字千年版權(quán)法》是美國(guó)于1998年頒布實(shí)施的一部法律，它是美國(guó)為應(yīng)對(duì)互聯(lián)網(wǎng)時(shí)代新形勢(shì)制定的，旨在保護(hù)網(wǎng)絡(luò)作品的著作權(quán)。這部法律開(kāi)創(chuàng)了互聯(lián)網(wǎng)時(shí)代專(zhuān)門(mén)立法保護(hù)網(wǎng)絡(luò)作品著作權(quán)的先河。它規(guī)定了“規(guī)避技術(shù)保護(hù)措施”，即沒(méi)有經(jīng)過(guò)著作權(quán)人的許可，其他人不得對(duì)其擁有著作權(quán)的網(wǎng)絡(luò)作品進(jìn)行反響研究、加密與解密，以及其他損害該技術(shù)保護(hù)措施的行為。面對(duì)日趨嚴(yán)峻的網(wǎng)絡(luò)用戶信息被濫用、被盜用形勢(shì)，美國(guó)各個(gè)州也制定了很多有關(guān)保護(hù)商業(yè)秘密的法律。

　　對(duì)于發(fā)生信息安全事件時(shí)網(wǎng)絡(luò)服務(wù)提供者的法律責(zé)任，美國(guó)法律規(guī)定了一種叫做“避風(fēng)港”的制度。在該制度下，網(wǎng)絡(luò)服務(wù)的提供者只需履行三項(xiàng)義務(wù)，就不承擔(dān)其他額外義務(wù)：第一，在發(fā)現(xiàn)并確認(rèn)違法信息后及時(shí)采取包括刪除、屏蔽鏈接等措施;第二，自身不發(fā)布、傳播違法信息;第三，配合協(xié)助執(zhí)法機(jī)關(guān)處理信息安全事件。由于網(wǎng)絡(luò)上存在著海量的信息，要求網(wǎng)絡(luò)服務(wù)提供者逐條審查既不公平也不現(xiàn)實(shí)。“避風(fēng)港”制度公平地確認(rèn)了網(wǎng)絡(luò)服務(wù)提供者的法律責(zé)任，為網(wǎng)絡(luò)服務(wù)提供者的正常經(jīng)營(yíng)提供了有效保障。

　　5 中國(guó)信息安全立法的相對(duì)不足之處

　　5.1 救濟(jì)途徑比較單一

　　我國(guó)法律針對(duì)個(gè)人信息規(guī)定了很多保護(hù)措施和救濟(jì)措施。但是，從司法實(shí)踐來(lái)看，當(dāng)個(gè)人信息受到非法收集、買(mǎi)賣(mài)、泄露及非法利用等情況時(shí)，受害者只能以隱私權(quán)被侵犯為由去起訴，因?yàn)榉蓻](méi)有規(guī)定明確的個(gè)人信息權(quán)的救濟(jì)方式。《民法總則》只是籠統(tǒng)地規(guī)定：“自然人的個(gè)人信息受法律保護(hù)。任何組織和個(gè)人需要獲取他人個(gè)人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個(gè)人信息，不得非法買(mǎi)賣(mài)、提供或者公開(kāi)他人個(gè)人信息。”因此，對(duì)于個(gè)人來(lái)說(shuō)，當(dāng)其信息遭到非法侵犯時(shí)只能適用隱私權(quán)受侵犯來(lái)救濟(jì)自己的權(quán)利。但是眾所周知，隱私權(quán)和信息權(quán)是兩個(gè)不同的概念，它們的內(nèi)容雖有重合之處，但內(nèi)涵和覆蓋范圍卻差異很大。信息是一個(gè)比隱私更大的概念，個(gè)人信息里面包含了具有隱私屬性的信息和不具有隱私屬性的信息。因此，如果不具有隱私屬性的個(gè)人信息被侵犯，那么以隱私權(quán)被侵害為由提起訴訟顯然不會(huì)得到法院的支持，被侵權(quán)人只能請(qǐng)求行政機(jī)關(guān)給與侵權(quán)者行政處罰，被侵權(quán)人很難得到經(jīng)濟(jì)上的賠償。因此，應(yīng)該強(qiáng)化民法上的救濟(jì)。