美国信息安全保障立法体系介绍及思考
中国信息安全认证中心 宋扬
美国的国家信息安全保障体系由来已久,从“二战”期间对国家信息的保护,到“冷战”期间与前苏联之间的信息战,再到“911”事件发生之后,对信息安全保障的重视进入到一个新的阶段,时至今日美国的信息安全的保障体系已经逐步健全。美国信息安全保障框架形成了由安全技术、安全管理与政策法规三个层次统一协调的立体化框架。三个层次之间形成了一个有机整体。总体而言,美国现在的信息安全战略属于“扩张型”的信息安全战略,在关键基础设施、信息安全等级保护等相关领域制定了一系列的相关立法,形成了比较完善的信息安全保障体系。本文对美国信息安全保障立法体系进行介绍,并根据我国情况提出几点思考。
一、美国保护政府信息安全立法情况
美国对计算机网络高度依赖,从联邦政府到州政府,再到公民个人的大量信息几乎全部存储在计算机系统中,由于政府信息安全事关国家安全及政治稳定,一旦遭到破坏,产生的后果将更为深远和不可逆。因此,美国极为重视对政府信息的保护。
目前,美国有关政府信息安全方面的法律主要有:
1966年,美国制定《信息自由法》,并且分别于1974年、1986年和1996年进行了修订,主要内容涉及对政府信息的获取、公开方式、可分割性,以及相关的诉讼事宜等。
1987年制定的《计算机安全法》,规定NIST负责开发联邦计算机系统的安全标准。除了国家安全系统被用于国防和情报任务外,商务部负责公布安全标准,加强联邦计算机系统安全保护的培训的责任,以提高联邦计算机系统的安全性和保密性。
1991年发布的《高性能计算法》,规定建立满足安全需求的联邦高性能计算程序,此程序应当提供跨部门之间协调并向国会递交年度执行报告。此外,此法还要求NIST为联邦系统建立高性能计算的安全与隐私标准。
1996年发布的《克林格-科恩法》,又名《信息技术管理改革法》,规定设立首席信息官(CIO)职位;授予商务部发布安全标准的权利,要求各个机构开发和维护信息技术架构;要求政府预算办公室(OMB)监督主要信息技术的收购,并且与国土安全部长协商,公布国家标准与技术研究院(NIST)制定的强制性联邦计算机安全标准。
2000年发布的《政府信息安全改革法》,规定联邦政府部门在保护信息安全方面的责任, 此法明确了商务部、国防部、司法部、总务管理局、人事管理局等部门维护信息安全的具体职责,建立了联邦政府部门信息安全监督机制。
2002年发布的《联邦信息安全管理法》,为联邦信息系统创建了一个安全框架。该法案强调风险管理,规定了OMB、NIST、CIOs、CISOs(首席信息安全官)、IGs(联邦机构监察长)的具体责任。倡导建立由OMB监督的中央联邦事件中心,负责分析安全事件并且提供技术帮助,通知机构运营商当前和潜在的安全威胁及漏洞。
2009年奥巴马总统签署《网络空间政策评估报告》,强调保障美国政府的网络系统安全。
二、美国打击计算机犯罪立法情况
1958年,世界上第一例计算机犯罪在美国硅谷发生,但是直至8年后才被发现,随后计算机犯罪引起了美国的高度重视。1970年美国颁布了《金融秘密权利法》,对金融业务计算机中存储的数据进行限制。到1984年美国制定了规范计算机犯罪的专门性法律《联邦计算机安全处罚条例》,并在1987年颁布。在1988年美国就成立了由计算机安全专家组成的行动小组,对违法犯罪程序和计算机病毒的防范进行研究。同年,美国国防部高级研究计划署成立计算机应急响应小组,负责计算机安全问题。美国有关计算机犯罪的法律主要有:
1984年的《伪造连接装置及计算机欺诈与滥用法》。这是美国通过的第一部关于计算机安全与犯罪的法案,规定了禁止对联邦计算机系统、银行系统、各州及对外贸易的各种攻击。
1986年签署的《计算机欺诈与滥用法》,扩展了1984年《伪造连接装置及计算机欺诈与滥用法》的范围,并对1986年《电子通讯隐私法》进行了补充,宣告未经授权访问“联邦利益”计算机(指被牵涉进某个刑事案件的两台或多台计算机,且它们位于不同的州),及未经授权破解计算机口令为犯罪行为,以及交易盗窃的计算机密码为违法行为。在1994年的修正案中,对传播病毒和其他有害代码行为也作了规定。
《计算机欺诈与滥用法》颁布以后,网络技术的发展导致计算机犯罪出现新的形式,尤其是业内人士的犯罪行为增加,但该法并没有对内部人员犯罪做出规定,加上近些年计算机犯罪的产业化趋势,使得计算机犯罪立法更为急迫。
三、美国保护个人隐私立法情况
美国的电子商务迅速发展,收集和分析个人信息的软件行业纷纷建立,给用户的个人隐私安全带来极大隐患。为了降低个人隐私因使用电脑等高科技过程中被侵犯的可能性,美国从法律层面加强对隐私的保护。美国有关隐私保护的法律落后于欧盟,尤其是2001《爱国者法》的出台,扩大了警察机关的权限,为政府更多涉入公民私生活创造了条件,违反确保公民私生活隐秘的宪法原则,引起很大的争议,美国应该考虑制定适应当今时代的新的隐私保护法律。美国有关信息安全的隐私保护法律有:
1974年的《隐私权法》,规定联邦机构限制个人可识别信息的披露,要求机构提供访问个人信息记录的权利。
1986年通过的《电子通信隐私法》主要禁止未经授权的电子窃听,对信息传输安全、存储安全和监视合法性进行的规定。
1998年美国通过了《儿童网上隐私保护法》,该法规定了网站经营者必须披露其隐私保护政策,声明寻求儿童监护人同意的时间及方式,以及违法儿童隐私保护应承担的责任。该法适用于美国管辖之下的自然人或单位对13岁以下儿童在线个人信息的收集。
2001的《医治保险携带和责任法》(HIPAA)修正案,目标之一就是保护病人的电子健康记录,并提出保护的具体标准。该法详细规定了行政保障措施、物理保障措施、技术保障措施及安全责任的分配问题,对于违反安全标准的实体,规定了最高可达25万美元罚款和最长10年监禁的严厉惩罚措施。
四、美国保护关键基础设施立法情况
关键基础设施关系到一国的经济发展与社会稳定,美国特别重视对关键基础设施的保护。20世纪90年代中期,鉴于日益增长的国际恐怖主义威胁,美国从国土安全的角度对关键基础设施进行了重新定义。2001年的《爱国者法案》对其做出了详细的概念解释。2003年布什总统发布第7号国土安全总统令《关键基础设施标识、优先级和保护》,对美国关键基础设施和重要资源进行优先级排序和保护。2006年DHS发布《国家基础设施保护计划》为今后的关键基础设施保护提供总体框架。相关法律主要涉及以下几部:
1996年发布《国家信息基础设施保护法》,规定未经授权进入受保护的计算机系统并通过各种形式进行恶意破坏行为,利用电子手段对他人和机构进行敲诈行为,或是试图这样做的行为都要受到刑事指控。
2002年发布《国土安全法》,明确了国土安全部(DHS)的职责和组织体系、信息分析和基础设施保护、CIO管理职责,及加强在国土安全保护方面的合作等。
2010年发布的《国土安全网络和物理基础设施保护法》,涵盖了部门责任义务的遵守、个人隐私保护和数据泄露应对、网络安全教育和技术研发、重要电力基础设施保护和漏洞分析、国际合作、打击网络犯罪以及采购与供应链安全等内容。
此外,美国111届国会上提出《国家网络基础设施保护法案2010》,规定在国防部(DOD)建立国家网络中心,设立主管职位直接向总统报告安全事件,建立国家网络安全项目预算全国性的网络防御应急基金,建立政府与私营部门之间协作的网络防御联盟,分享彼此的网络安全威胁信息,并互相提供技术支援。
五、几点思考
总结美国相继出台的信息安全立法,可以看出美国规范信息安全的法律经历了一个从“预防为主”到“先发制人”,以控制“硬件设备”到控制“网络信息内容”的演化过程。
首先,美国信息安全立法涉及范围广泛,有规范网络犯罪方面的,加强信息网络基础设施保护方面,规范信息收集、利用、发布方面,隐私权保护等方面。
其次,注重多部门协作,建立威胁信息共享及应急支持机制,并且设立专门机构协调各方携手保护信息安全。
再次,为了落实信息安全政策及法律,美国将政策执行、监督、管理等权利分配给多个部门,包括DHS、OMB、国防部、审计署、商务部、司法部等,并且根据现实需要不断增设新机构。
此外,美国还注重标准的制定,在多部法律中提到制定相应标准保护信息安全,例如规定CIO委员会与NIST协作制定安全标准,NIST制定高性能计算的安全与隐私标准等。
总体而言,美国当前有关信息安全立法的发展趋势是要扩大政府部门在网络监管中的权限,并明确其职责任务,以满足应对与日俱增的信息安全风险与挑战的需求。