信息安全法律基础

• 法律原理和方法论
  • 法律权利

1. 法律权利的概念：社会主体享有的，由法律确认和保障，以某种正当利益为追求的自由。
2. 法律权利的特征：法律性，自主性，可为行，求利性。
3. 法律权利的结构：法律权利的三大要素：利益、权能、自由
   1. 利益是权利的目标和方向，是权利的追求。
   2. 权能是权利主体行使权利的资格和能力，是权利的基础。
   3. 自由是权利的伦理要素和实质表现，是权利的核心。

• • 法律义务

1. 概念：社会主体根据法律的规定必须作为或不作为。
2. 特征：法定性，国家强制性，从属性，必为性
3. 法律义务的种类：从社会总体来看，法律义务包括作为、不作为两类。
   1. 作为的义务也称积极义务—义务主体必须采取一定的积极行动来履行的义务
   2. 不作为的义务也称消极义务—义务主体不做任何可能侵犯权利主体行为自由和合法利益之事的义务。

• • 法律权利和义务关系

1. 法律关系中的对应关系：法律权利一般有相对的法律义务存在，二者共同处于法律关系的统一体中。
2. 功能发挥中的互动关系：法律的功能常常是通过它所设定的权利和义务得以实现并表现出来的.
   1. 法律义务的履行促进法律权利的实现。
   2. 法律权利的享有也有助于法律义务的积极履行。
   3. 法律权利和法律义务的互动关系还表现在某些特定的权利、义务的相互转化

• • 法律功能

1. 社会法学派—法律是社会控制的首要工具，即控制功能是法律的基本功能。

自然法学派—把法律视为一种契约，法律的基本功能是社会契约功能，辅助功能包括制约权力功能、维护权利功能等。

1. 法律正功能、反功能、非功能
   1. 法律的正功能（法律的积极功能）——能够激发社会成员的积极性，有助于社会体系的良性运作，促进社会关系的协调、稳定。
   2. 法律的反功能（法律的消极功能）——法律实现将引发社会内部的紧张关系，分割社会体系内部的协调、稳定局面，降低社会系统的活力。
   3. 法律的非功能（法律的无效性）——该法律存在对社会无积极影响、无消极后果，社会成员对其无动于衷。
2. 案件事实和法律规范：
   1. 案件事实：法律认为发生了什么（证据链是否具有完整性，证据是否通过合法手段获得等）

• • 法律与科技

1. 科学技术对法律的影响：科技成果被大量运用到立法过程中
   1. 在事实认定方面，越来越多的高科技产品被用于查明案件事实领域，收效明显。 
   2. 在法律适用主体方面，传统的单一法官判案已经受到某种挑战，探索新的司法方法创新，人工智能的发展对司法发展的影响是深远的。
   3. 新的法律思想、法学理论的出现，如法律信息论、法律系统论、法律控制论等。

 

1. 法律对科学技术的作用：

科学技术本身具有正负两个层面，需要科技向善的法律规制

1. 1. 为人类带来财富和利益，促进人类文明进程。
   2. 给人类造成灾难和损失，成为人类文明的障碍。

法律属于制度框架，可以对科技发展所引发的各种社会问题进行一定的抑制和预防

 

• 信息安全与立法
  • 信息安全概述

1. 信息安全基本属性：完整性，可用性，保密性，可控性，可靠性
2. 信息安全任务：采取一切可能的方法和手段保证信息的“五性”安全。采取有效措施（有效的技术、管理手段）让信息资产免遭威胁，或者将威胁带来的后果降到最低程度（风控），维护国家、组织的正常运作以及个人的正常生活。
3. 信息安全保障的三大支柱：信息安全技术、信息安全法律法规和信息安全标准是保障信息安全的三大支柱。
4. 法律条款：《中华人民共和国刑法》中关于计算机犯罪的规定有三个条款:
   1. 第285条  违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系 统的，处三年以下有期徒刑或者拘役。
   2. 第286条  违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。
   3. 第287条  利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯 罪的，依照本法有关规定定罪处罚。
   4. 以上三条分别对应非法侵入计算机信息系统罪、破坏计算机信息系统罪和利用计算机犯罪等三种计算机犯罪的表现形式。第285、286条是1997年新刑法新增加的罪名，并规定了相应的刑罚。第287条是对以计算机为犯罪工具的原则性规定，其刑罚由其他的相关条款规定。

• • 立法、司法、执法

1. 国家立法权：国家立法权是由一定的国家权力机关行使，用以调整基本的、带全局性的社会关系，在立法体系中居于基础和主导地位的最高立法权。
   1. 国家立法权的立法主体是全国人民代表大会及其常务委员会、国务院。
2. 行政立法权：行政立法权是源于宪法，由国家行政机关依法行使的，低于国家立法的一种独立的立法权，包括中央行政立法权和地方行政立法权。主要行使行政规章的立法权。
3. 地方立法权：地方立法权是由有权的地方国家权力机关行使的立法权。主要行使地方性法规的立法权。
   1. 地方立法权的主体一般是省、自治区、直辖市的人民代表大会及其常务委员会和较大市的地方人民代表大会及其常务委员会，另外还有民族自治地方的人民代表大会。
4. 立法组织：享有立法权的组织即立法组织。例如:在我国，国务院、全国和各地区人大是立法组织。其中，全国人大及其常委会是我国的最高立法组织。
5. 目前，我国法律的制定程序主要有以下四个步骤：
   1. 法律方案的提出。
   2. 法律草案的审议。
   3. 法律草案的表决和通过。
   4. 法律的公布。
6. 我国信息安全法律规范体系：
   1. 基本法律体系
   2. 政策法规体系
   3. 强制性技术标准体系
7. 网络立法规制：即实体规制法、程序规制法和类型规制法。
   1. 实体规制法——传统的立法方法
   2. 程序规制法—时效的立法方法：在实体性规则尚未成熟的情况下，通过程序性指引规制人们的行为方式。

程序规制法当下意义较大，能够一定程度解决当前问题，实务指导性较强，该规制方法也往往被务实的英美法系国家所接纳。

采用程序规制法解决信息网络问题，需要归纳网络环境各种行为的可能性，但由于网络具有天然的自由、开放属性，要穷尽各种行为可能性制定规则挑战巨大 。

c） 类型规制法—实用的立法方法：当抽象一般概念及其逻辑体系不足以掌握某生活现象或意义脉络的多样表现形态时， 一种辅助的规制形式是“归类”。

      

1. 司法组织

我国的司法组织主要包括以下两大系统:

（1）人民法院，其中，最高人民法院是最高审判机关；

（2）人民检察院，其中，最高人民检察院是最高检察机关。

 人民检察院是国家法律监督机关。它独立行使公诉权，同时行使批准逮捕权、逮捕权、抗诉权，对涉及贪污、玩忽职守、侵犯人民选举权等特定犯罪有自行侦查权。检察院实行同级人民代表大会、上级检察院双重领导制度，有县（市）、市（地）、省（自治区、直辖市）、最高四级。

1. 执法组织

我国的执法组织包括:人民法院、人民检察院、公安部、安全部、工商行政管理局、税务局等。不同的执法组织在不同的职权范围内行使职权。

（1）对刑事案件的侦查、拘留、执行逮捕、预审，由公安机关负责。

（2）检察、批准逮捕、检察机关直接受理的案件的侦查、提起公诉，由人民检察院负责。

（3）审判由人民法院负责。

（4）国家安全机关依照国家法律规定，办理危害国家安全的刑事案件，行使与公安机关相同的职权。

 

• 网络安全治理与法律规制

1. 继《中华人民共和国计算机信息系统安全保护条例》（1994-2011 年）之后又有一个网络安全立法的里程碑。
2. 网络是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。
3. 网络安全是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。
4. 网络数据是指通过网络收集、存储、传输、处理和产生的各种电子数据
5. 个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
6. 网络运营者是指网络的所有者、管理者和网络服务提供者。（网络运营者是网络安全法中非常重要的概念，是关键义务主体或核心义务主体，出现31次）。
7. 关键信息基础设施：国家需要对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施进行保护
8. 基本原则：
   1. 网络空间主权原则： 网络空间主权原则依据《联合国宪章》和国际法法理，是传统主权在网络空间的自然延伸，《网络安全法》以《国家安全法》为基础，进一步明确和细化网络空间主权原则。
   2. 网络安全与信息化发展并重原则：既要推进网络基础设施建设，鼓励网络技术创新和应用，又要建立健全网络安全保障体系，提高网络安全保护能力。
   3. 风险防御原则：网络天然的脆弱性必须采取动态、综合地风险防范机制。以法的强制性，建立网络安全监测预警和信息 通报制度，制定网络安全事件应急预案。
   4. 协同治理原则：网络空间安全仅仅依靠政府是无法实现的，鼓励全社会共同参与，政府部门、网络建设者、网络运营者、网络服务提供者、网络行业相关组织、高等院校、职业学校、社会公众等应根据各自的角色参与网络安全治理工作。
9. 主要惩罚措施：《网络安全法》在第六章规定了详尽的法律责任，大致规定了14种惩罚手段，分别是约谈、断网、改正、警告、罚款、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证、吊销营业执照、拘留、职业禁入、民事责任、刑事责任。
   1. 对网络运营者，根据违法行为的情形，主要的法律责任承担形式包括：责令改正、警告、罚款，责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员等进行罚款等；有关机关还可以把违法行为记录到信用档案。对于违反法律第二十七条的人员，法律还建立了职业禁入的制度。
   2. 除了以上行政处罚外，网络运营者还应当包括违法行为所导致的民事责任和刑事责任。网络运营者如果因违反《网络安全法》的行为给他人造成损失的，该行为具有民事上的可诉性，网络运营者应当承担相应的民事责任。

• 互联网平台安全治理

1. 平台模式已成为企业的重要组织方式
2. 平台安全治理的热点问题
   1. 数据逐渐演变为平台竞争的核心要素
   2. 平台模式挑战反垄断规制
   3. 平台企业责任边界难以界定
3. 网络平台自治：平台方自发的、没有政府机构介入，对在线商家、消费者的交易行为进行规范化管理
   1. 优势：

平台拥有的交易大数据和技术红利可以对风险行为进行预警。 

平台的声誉机制需要更好的商家和消费者，具有正外部性。

1. 1. 局限性：

平台商家资质审核、商品溯源等实际操作难度较大

滋生内部腐败、产生负外部性

平台电商与直播、短视频深度融合中出现各种乱象

平台权力有限，无行政等执法权

1. 网络平台自治机制
   1. 支付宝担保交易机制——解决虚拟交易的互信问题，防止交易双方的道德风险（卖家携款潜逃或买家收货拒付）
   2. 基于大数据的风险行为预警机制——依据交易数据分析购买转化率、跳失率、顾客购买习惯等，发现可能存在的违法交易。
   3. 大数据征信机制——全流程监控和追踪交易行为，对失信者采取关闭交易系统等处罚
   4. 商品溯源机制——全生命周期商品管理。
   5. 商家审核机制——设立商家入驻资质标准（营业执照、品牌授权证明、产品质量合格证明等）。
2. 中华人民共和国电子商务法
   1. 为了保障电子商务各方面主体的合法权益，规范电子商务行为，维护市场秩序，促进电 子商务持续健康发展，制定本法。
   2. 2019年1月1日开始施行。
   3. 电子商务经营者，是指通过互联网等信息网络从事销售商品或者提供服务的经营活动的自然人、法人和非法人组织，包括电子商务平台经营者、平台内经营者以及通过自建网站、其他网络服务销售商品或者提供服务的电子商务经营者。
   4. 电子商务平台经营者，是指在电子商务中为交易双方或者多方提供网络经营场所、交易撮合、信息发布等服务，供交易双方或者多方独立开展交易活动的法人或者非法人组织。
   5. 称平台内经营者，是指通过电子商务平台销售商品或者提供服务的电子商务经营者。

• 无

 

• 信息数据安全

1. 《电信和互联网用户个人信息保护规定》自2013年9月1日起施行
2. 电子数据证据与电子数据取证的概念
   1. 计算机取证或鉴定:对以比特（Bit）形式存储或者传递的数据加以恢复、保存、检查的各种工具或技术，通常由特聘或委托的计算机专家负责取证工作。（基于技术语境）
   2. 电子数据取证:能够被法庭接受的，足够可靠和有说服力的存在于计算机和相关外设中的电子数据的收集、分析、确认、归档以及法庭出示的过程。（基于法律语境）
3. 电子数据取证的发展特点电子数据取证的发展特点
   1. 从“事后取证”向“中期研判”、“前期采集”发展。电子数据证据的获取时点呈现前置趋势，可以帮助案件侦破和事前预防
   2. 取证对象种类剧增，电子数据取证呈现商业化
   3. 反取证技术和隐私保护带来挑战
   4. 综合取证技术是未来发展方向
   5. 第五条 对作为证据使用的电子数据，应当采取以下一种或者几种方法保护电子数据的完整性：

（一）扣押、封存电子数据原始存储介质；

（二）计算电子数据完整性校验值；

（三）制作、封存电子数据备份；

（四）冻结电子数据；

（五）对收集、提取电子数据的相关活动进行录像；

（六）其他保护电子数据完整性的方法。

 

• 等级保护

1. 信息与信息系统的安全保护等级划分为五级：自主保护级、指导保护级、监督保护级、强制保护级、专控保护级
2. 义务主体: 网络运营者：网络的所有者、管理者和网络服务提供者
3. 义务内容：

制定内部安全管理制度及操作规程

确定网络安全负责人

采取防范危害网络安全行为的技术措施

               网络监测与日志留存

               数据分类、重要数据备份和加密

• 关键信息基础设施界定

1. 网络运营者是指网络的所有者、管理者和网络服务提供者。关键信息基础设施运营者是一般性网络运营者中的特殊和重要类别，具有网络安全保护义务。

第三十四条 除本法第二十一条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务： 

（一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；  

（二）定期对从业人员进行网络安全教育、技术培训和技能考核；        

（三）对重要系统和数据库进行容灾备份；  

（四）制定网络安全事件应急预案，并定期进行演练；  

（五）法律、行政法规规定的其他义务。  

 

1. 网络安全审查制度
   1. 2020年6月1日，《网络安全审查办法》实施。《网络安全审查办法》作为我国网络安全审查领域首部专门性立法，标志着我国网络安全审查制度已经基本形成。
   2. 明确启动审查的两种方式：一种是运营者自己预判评估国家安全风险后主动向审查办公室申报，由审查办公室确定是否启动审查；另一种是审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务，由审查办公室按程序报中央网络安全和信息化委员会批准后启动审查。（第5条、第15条）
   3. 明确一般审查程序：审查办公室应当自收到运营者申报材料起10个工作日内确定是否需要审查并书面通知运营者； 需要审查的，应当自通知运营者之日起30个工作日内完成初步审查，情况复杂的可以延长15个工作日。（第8条、第 10条、第11条）
   4. 明确特殊审查程序：对于按照一般审查程序形成的审查结论建议，审查工作机制成员单位、相关关键信息基础设施保护工作部门意见不一致的，启动特别审查程序，并通知运营者。按照特别审查程序处理的，按程序报中央网络安全和信息化委员会批准后，形成审查结论并书面通知运营者；特别审查程序一般应当在45个工作日内完成，情况复 杂的可以适当延长。（第12条、第13条）
2. 用户信息保护的基本原则
   1. 明示原则及用户同意原则（知情权、选择权）
   2. 网络产品服务提供者通过格式合同（用户服务协议、隐私政策）采用显著方式提醒用户有 关利害关系
   3. 用户信息的收集和使用等应遵从用户同意原则 
   4. 合法、正当、必要原则（脱敏/去识别化处理）
   5. 用户信息保密原则（通过网络爬虫等技术收集用户信息）