信息安全的观念演进与制度更迭

第二节　信息安全的观念演进与制度更迭

信息安全问题自古有之，只是在社会信息化转型过程中被迅速放大了。如果以计算机的问世作为社会信息化转型的缘由，那么在计算机问世以前，信息安全并没有独立成为一个问题领域，人们关注信息安全的视野还是停留在国家安全这个大的概念和范围之内。国家一般是通过保密法的实施来规制信息安全问题。随着社会信息化转型的深入，信息安全作为一个独立的社会问题登上了历史舞台，并逐步引起各国政府的重视。

一、早期的信息安全观念

最初，信息安全主要是针对计算机黑客和专业间谍的专业化攻击手段而言的，各国政府普遍采取“加密”这样的保护措施，在这个历史时期，信息安全的内涵就是“通信保密”，这就突出了电信行业的重要地位，这个时代被称为通信保密时代。在这一时期，反计算机犯罪立法是信息安全观念在法律领域的具体制度化的典型表现。反计算机犯罪的核心观念是维护国家安全，立法领域主要是针对威胁国家安全的计算机犯罪行为。1997年3月15日全国人民代表大会通过的《中华人民共和国刑法》第285条和第286条中对计算机犯罪进行的规定，是这个历史阶段立法倾向的典型反映。我国《刑法》第285条规定:“违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。”第286条规定:“违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役;后果特别严重的，处五年以上有期徒刑。违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。”

二、20世纪90年代的信息安全观念

到20世纪90年代前后，随着社会信息化转型的部分完成，人们明确提出除了“保密”的内含外，信息安全还有更广泛的内涵，还包括信息的保密性(Confidentiality)、完整性(Integrity)和信息系统的可用性(Availability)等内容，并明确提出信息安全就是要保证信息的保密性、完整性和可用性。^[4]具体来说，信息安全是指确保信息和信息系统避免非授权访问、使用、披露、中断、修改或破坏，以实现信息的完整性、机密性和可用性。完整性是指保证信息从真实的信源发往真实的信宿，传输、存储、处理过程中未被删改、增添、替换;^[5]机密性是指只有在正常规定的条件下获得授权的使用者才能访问信息(包括代码、资料、处理、关系、程序等);^[6]可用性是指保证信息和信息系统随时可为授权者提供服务而不被非授权者滥用。^[7]

这一时期，在反计算机犯罪立法的基础上，个别国家开始了反信息犯罪的专项立法，世界立法潮流从反计算机犯罪逐步向反信息犯罪过渡。这个时期反计算机犯罪的观念仍然以维护国家安全为主，但是对企业信息安全和个人信息平等保护的基本观念已经萌芽。立法的核心领域仍然以针对威胁国家安全的计算机犯罪和信息犯罪行为为主。2007年10月30日开始实施的《加拿大信息安全法》仍停留在这个时期的特点之上。该法律尽管以信息安全为名，但是在法律体系和内容上，均以国家信息安全为限，不涉及社会信息安全和企业、个人信息安全问题，其第三章“罪行”是该法的核心，其中，第一节就“损害国家利益或安全”做出了专门规定，第二节规定了“杂项罪行”，第三节规定了“特殊的业务情报及负有永久保密义务的人”，第四节规定了“与外国实体或恐怖组织之间的通信”，第五节规定了“经济间谍”，第六节规定了“外国势力或恐怖势力的威胁或暴力”，第七节规定了“窝藏或者隐瞒”，第八节规定了“预备行为”，第九节规定了“阴谋、企图”以及类似问题。

三、成熟的信息安全观念

从21世纪开始，人们把信息安全放在了国家安全的角度予以关注，形成了全方位的信息安全概念。信息主权是社会信息化转型背景下国家主权的新的表现形式，是指国家对一国信息所享有的保护、管理和控制的能力。而互联网的开放性、虚拟性和全球性对国家主权提出了挑战，互联网上的信息采集和传输，尤其是跨国传输，给传统的国家主权观念和制度提出了严峻的考验。发展中国家实现社会信息化转型的过程中，还面临着发达国家的信息殖民主义的威胁。信息主权是国家主权下的一个概念，信息主权是国家主权的一部分，国家主权是信息主权的基础，维护信息主权是国家主权的必然要求。

在这一时期，反信息犯罪立法成为立法主流，反信息犯罪法也在许多国家成为一个独立的法律。反信息犯罪的基本观念是对国家安全、企业和个人的信息安全同等保护，使得信息安全从高高在上的国家安全，走入了社会生活。在立法技术上使用了更加抽象的技术性概念，如信息等，从而取代了国家安全等术语。美国2002年颁布的《美国联邦信息安全管理法》(Federal Information Security Management Act of 2002)是这个时期的代表之一。该法律采取国家安全和企业、个人信息安全同等保护的平等观念，既保护联邦政府运作中生成的信息，也保护和联邦资产相关的信息，以及联邦政府与其他机构之间，或与公众之间通过网络传递的各类信息;保护的直接目标是确保信息完整性、保密性以及信息系统的可用性。