前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的关于网络安全的法律条文主题范文,仅供参考,欢迎阅读并收藏。
关键词:互联网;网络;信息安全
在互联网技术不断发展的今天,在社会生产生活的各个领域当中都离不开网络技术,然而一些网络安全事件也随之产生,比如系统遭受攻击、账号失窃以及信息被删等,诸如此类的网络安全事件层出不穷,同时严重破坏了网络安全,用户的个人信息以及财产安全遭受到了一定的攻击和损失。要想对网络防护体系做进一步的稳固,就必须要加强网络信息方面的安全教育。
1网络信息安全教育的重要性
随着互联网技术在全球范围内的推广,人们无论是在工作、学习当中还是在生活娱乐方面都和计算机有着紧密的联系。人们为了使信息的存储和查询以及管理的工作变得更加便利,往往会将工作以及生活当中的各种数据都存在计算机的云管理当中,如此以来不管大大的节约了空间同时在查询的时候也更加的边界。然而假如系统受到攻击的话,云管理当中的所有资料信息就很可能会被泄露出去,进而对各方面的利益造成影响。严重的是,在现阶段当中,有一些网络犯罪人员,通过盗取别人的信息来设置网络骗局,该类网络犯罪的对象主要是一些缺乏社会经验且经常使用计算机的青少年人员。因此,要想从根本上提高计算机网络信息管理的安全性就必须要有针对性的做好安全防护措施,加强对所有网民的网络信息安全教育。
2“互联网+”时代网络信息安全教育问题
2.1网络信息安全教育重视程度不足
要想不断推进网络信息安全教育工作各个人员必须要在思想方面引起足够的重视,这也是将教育的有效性提高上来的核心所在。在现阶段的网络信息安全教育工作当中,相关的从教人员和管理者在思想方面不够重视,这不断在机制建设方面有所体现,同时在工作计划方面也有一定的体现。就机制建设方面而言,所存在的主要问题有工作机制不完善以及管理机制不健全等,而在具体工作当中的表现主要为没有专门负责网络信息安全教育的人员,各行业以及各部分之间没有形成良好的沟通。而在工作计划方面则表现在缺乏计划性,缺乏长远的眼光来看待时代的发展与科学技术的不断进步,对于网络信息安全方面的教育工作无法做到与时俱进和创新。在日常的宣传以及教育工作当中对于网络信息安全教育缺乏相应的组织性,对于网络信息安全方面的教育工作无法真正的做到全面覆盖,从而导致在所有网民当中出现了信息安全认知存在误区,在素养方面参差不齐的现象。之所以会出现这种情况,其主要是由以下两个方面的原因而造成的:(1)管理人员心存侥幸,于他们而言,网络信息安全事件的发生只是极个别的情况,不会发生在自己所负责的领域当中,就算是出现了一些问题,对于整体性工作的影响也不大;(2)从教人员缺乏整体教育意识,对于网络信息安全知识的普及不够重视。
2.2网络信息安全教育统筹规划欠缺
在网络信息安全教育工作当中,统筹规划以及全局意识十分重要,是增强教育水平、保证网络安全的核心所在。这也正是现阶段的网络信息安全教育工作当中所缺乏的,经过分析总结,主要体现在以下两个方面:(1)缺乏教育力量的统筹配置。在进行网络信息安全教育的时候,只是一味的依靠学校,虽然广大网民的网络信息安全素养也得到了一定程度的提升,但是由于缺乏政府、社会以及个人等多方面的共同协作,网络信息安全教育的长效机制很难形成。(2)在教育内容方面没有进行统筹安排。在教学的时候对于理论知识太过于重视,而对于引导性的安全行为以及道德养成等方面的关注程度较少。但是,在网络信息安全当中最大的危险通常不是因为理论知识的缺乏而导致的,而是因为个人思想意识以及道德素养等的缺乏而导致的。再者,部分人员即使对网络信息技术十分精通,但是如果最为基本的法律意识和网络伦理有所欠缺的话,所掌握的技术反而成为了其进行违法犯罪活动的“帮凶”,对于网络安全的稳定性造成了破坏。对其原因进行分析,之所以会出现这样的情况和教育机制是分不开的,在现阶段的教育体系当中,现有教育框架下,不仅学校与其他教育力量之间的屏障难以真正打通,教育合力生成困难,受教育评价机制影响的教育者在力量投入上也过于单一,而专注于与网络信息安全息息相关的隐性教育内容如道德、法律等的发掘、教学和研究的教育者数量严重不足,从而导致受教育人员缺乏相应的网络信息知识,进而对其在网络当中的行为也造成了一定的影响,为网络信息的安全埋下了一定的隐患。
3“互联网+”时代网络信息安全教育的新路径
3.1坚持网络信息安全教育的多维度着力
要想确保网络信息的安全性离不开网络信息安全教育工作,如果网络信息安全教育方面的工作没有做好,就会为后续的防护工作埋下相应的隐患。所以网络信息安全教育工作不但要加强技术方面的培训,还要从法治以及思想等方面来进行,采用多维度的方法,打造网络信息安全教育的全方位育人新模式。(1)着力思想维度,促进安全意识养成。网络管理人员的首要任务就是要提高对安全安全教育的重视,这主要是由于再先进的防护技术也无法抵消密码泄露所造成了不良后果。著名黑客凯文米特尼克再自己开创的社会工程学中总结:“在计算机网络安全领域中,网络最薄弱的环节就是人。”由这句话我们可以看到要想从根本上确保网络信息的安全,就需要从加强网络信息安全的宣传以及提高对普通用户的教育来着手。第一,在进行网络操作的过程当中一定要尽量避免使用真实信息进行注册;第二,进行密码设置的时候一定要严格安全相关标准来进行。这一点在微软操作系统就有所体现,在现阶段所使用的高版本的操作系统当中都默认对密码策略进行了开启,也就是对用户密码的设备进行了限制,不但要求其长度要符合。另外,在密码的使用方面也必须要进行数字、特殊字符以及英文大小写混合,同时对于密码的使用期限及其历史记录等也做了想有关要求。用户只要严格按照上述密码策略,就大大提高了密码的安全性,降低了被黑客破解利用的几率。(2)着力法治维度,完善安全治理体系。首先,一定要不断普及关于网络信息安全方面的法律知识,使受教育人员的法律意识得到有效提升,对相关的法律条文进行不断明确,树立法治思维,自觉遵法、守法、用法、护法;其次,在进行网络信息安全教育的过程当中可以选择一些生活当中较为典型的一些具有警示作用的案例让受教育者进行分析总结,从而起到学习、警示的作用;最后,相关的政府部门需要对关于对网络信息犯罪方面的法律、法规进行不断完善,从根本上维护网络空间的安全。(3)着力技术维度,实现安全技术操作。在进行网络信息安全教育的时候,要想将该项工作做好,还需要对受教育人员进行相应的技术教育,尤其是针对非专业受教育人员的培训工作,帮助其实现对网络信息问题的亲自感知。首先,需要注意的就是要让受教育者所学到的知识有用武之地,帮助其将安全技术以及自身的防御能力提升上来,最可能发生的一些网络信息安全问题做到有效预防;其次,加强对技术方面的创新,随着科学力量的不断提升,技术方面也取得了很大的进步,基于此就必须要针对广大网民进行最新网络操作技术的培训和宣传工作,防止出现技术水平根本上网络发展的情况。
3.2推动网络信息安全教育的多形式互动
大范围内的进行网络信息安全教育,必须要和多元化的教育形式相配合,所以对于教育的方式方法要进行不断创新,实现网络信息安全教育的全过程育人新形态,在育人模式方面打造普适性和专业性并举的分类方式。做好网络信息安全的普适性教育,在教育的过程当中就需要分层次来进行。结合不同教育对象的文化程度、个人喜好以及空闲时间等来对其进行有计划、有针对性的教育,提高网民的网络信息安全意识,从而形成网络信息安全教育的常态化机制。再者,不但要将网络信息安全教育的第一课堂搞好,同时还要充分发挥第二课堂的优势,将其在生活和工作当中进行不断的渗透和拓宽,比如可以通过技术培训以及知识竞赛等方式来普及和宣传网络信息安全知识。
关键词:企业信息建设;信息安全;法律法规
中图分类号:F270 文献标识码:A 文章编号:1671-2064(2017)07-0018-01
1 导致企业信息安全问题的内部因素
1.1 对信息安全问题缺乏正确认识
部分企业由于在管理方面存在漏洞,导致企业内部对信息安全问题重视程度不足,无法认识到企业信息化建设对企业未来发展的意义与作用。由于我国中小企业在发展过程中对于信息安全问题的管理存在态度上的问题,导致信息安全问题逐渐成为制约我国中小企业发展的重要问题。
1.2 在信息化技术与操作方面的差距明显
从市场情况看,无论在信息安全的质量还是信息安全相关软件的数量方面都无法满足国内企业发展需要,信息技术的发展虽然为我国企业的信息化建设提供了技术支持,然而,信息技术的不断发展也使得各类黑客软件以及新型电脑病毒不断出现,对企业的信息安全问题造成严重威胁。
在操作方面,由于我国企业信息化建设起步较晚,信息化建设程度尚未脱离初级阶段,企业在信息化建设的过程中缺乏技术熟练的操作人员以及专业技能水平较高的人才队伍,始终是我国企业信息安全方面存在的比较严峻的问题,我国企业信息化建设的初级阶段不仅缺乏高水平操作人员与技术人员,在相应的管理人才方面也十分欠缺。优秀的管理人才不仅可以有效提高企业信息安全管理的水平,还能够为企业未来的发展提供相应的管理策略,有助于企业信息安全系统的建立与升级,提高企业信息安全管理的整体水平。
1.3 缺乏完善的法律法规
企业的发展离不开完善的法律制度以及相关法律法规的建立,关于企业的相关法律法规中涉及到信息安全的法律条文较少,覆盖面积较小,部分不法分子可以充分利用其中存在的漏洞作案,从而获取非法利益。由于缺乏完善的法律法规,我国企业在发展过程中存在着缺乏法律指引的情况,是我国企业信息化建设发展缓慢的原因之一。
2 导致企业信息安全问题的外在因素
随着市场经济的发展,各大企业在获取市场竞争力方面展开激烈角逐,各类中小企业为了在激烈的市场竞争中获取一块立足之地而努力。为了增强自身企业的实力遏制其他企业发展,许多不法分子开始使用违法手段盗取其他企业的机密信息或重要数据。最常见的手段是黑客入侵或病毒侵蚀手段。黑客入侵是由于受到网络黑客的攻击,导致企业出现重要信息、数据丢失或者信息安全系统出现问题。病毒侵蚀则是通过将电脑病毒移植到目讼低持校利用病毒来盗取相关信息。在实际生活中除了企业之间还有一部分人专门依靠盗取知名企业的重要信息、资料来换取高额利益报酬,对企业未来发展造成严重损害。
3 企业信息安全问题产生的形式及解决方法
3.1 信息安全问题产生的形式
信息系统遭到攻击的形式有三种,具体如下:
信息的截断。通过对信息系统中相关硬件设备以及信息传输路线的破坏,从而使企业的信息系统瘫痪,失去正常的信息传递功能。
信息的截获。在截断信息以后,通常都会采用搭线或是磁盘复制等手段来获取相关企业的重要信息与资源,影响了相关企业未来的发展。
信息的伪造。部分计算机技术以及信息技术的高手,在窃取其他公司相关信息数据的过程中,会对其系统注入一系列经伪造处理后的信息与数据,使其他企业由于数据信息方面存在的错误而受损,从而影响了相关企业的发展速度。
3.2 信息安全问题的解决办法
在解决企业信息安全问题的办法主要包括以下几个方面:
增强企业信息安全防护意识。我国企业在开展信息化建设过程中要端正自身态度,提高企业员工安全防护意识。
提高企业信息技术水平。在企业开展信息化建设过程中,信息技术的强弱程度直接决定企业信息安全系统的防御水平。软件毕竟是由人类设计出来的,并不是完美无瑕的防护体系,存在着被破解的可能性,但破解软件需要很强的信息技术水平,因此,高性能安全防护软件的引用可以有效提高企业的信息安全水平,减少企业信息化建设中信息安全存在的问题。
强化企业的信息管理工作。加强企业内部的管理组织建设,在组织内部设置网络主管、系统安全专家、安全操作员等相关职位,在确保系统安全问题不受影响的情况下进行日常操作与维护。加强企业安全管理人才队伍建设,提高内部人员素质水平,从而实现企业信息化建设与发展。
4 结语
企业的信息安全问题关系到企业在未来发展中能否获得足够的市场竞争力,而加强企业信息化建设,有效提升企业的信息化技术水平,逐渐使企业在激烈的市场竞争中立于不败之地。
参考文献
关键词:安全价值;网络监管;网络伦理;逻辑延展;信息丰富
自2010年底发生QQ软件与360软件不兼容的冲突之后,对于网络软件规范的呼声就不断响起。不曾想到的是过去人们曾经一度认为计算机的使用权在用户手里的看法从此将打上问号。那么,让我们重新审视的问题是什么呢?笔者认为主要有以下三点:安全价值在计算机网络中的体现、网络监管的意义、网络伦理的探索。
一、安全价值在计算机网络中的体现
在网络处于突飞猛进的今天,给网络立法已经成为了众多法律专家、学者的头等工作。不同于传统法律规范人的现实外在行为,网络法律面对的是网络行为虚拟性的一面。在此基础上,有学者将网络法律的基本理念概括为“秩序维护、权利保护和自由共享①”。
也就是说,在网络环境下,人类的基本价值依然显现着重要的作用。同时,笔者认为在以上三种基本理念的基础上,还应该存在更高一层的理念――安全。
按照百度百科的解释,安全是指不受威胁,没有危险、危害、损失。人类的整体与生存环境资源的和谐相处,互相不伤害,不存在危险的危害的隐患。是免除了不可接受的损害风险的状态②。这也就是说安全应该是能够避免正在发生的危险以及更进一步的可能遭受的风险。同时,安全又是相对的。我们常常理解的安全就是能够处于一个暂时的远离风险的可能。
当安全的概念迁移到网络中时,人的整体概念作为安全的主体仍然存在,只是这时人的一切安全表征都信息化了。这里最明显的例子就是隐私的保护。现实生活中盗窃一只手表与盗窃一台笔记本电脑从刑法上并没有本质的区别。但是,如果这台笔记本电脑中有所有者的隐私?而且因为盗窃者将隐私公布了呢?结果将会大不相同。亦或者,电脑使用者将自己准备发表的重要电子文件利用网络软件发表到自己的网络空间。然而由于软件的错误,电子文件遗失了,同时作者又没有备份。作者将陷入不能及时发表带来的一系列危险之中。的确,计算机网络技术本身给人类带来了免于现实交流的不便,但同时没能给人们带来更多的安全,反而拓展了不安全的范围。你在使用电脑的同时遭受着辐射的侵害,你发送的信息包可能已经被黑客截获,你所使用的系统可能已经由于没有及时更新补丁而陷入危险中。不可否认的是,在互联网设计过程中,关于物理设备、网络结构、系统稳定等因素都是有漏洞的。这些漏洞带来的危险不亚于现实生活中所遭受到人身侵害的危险。因此,技术不仅由于它所带来的一系列诸如环境和生态危机等问题对人的生存环境构成了威胁,技术还由于其对自身自然地干预也对人构成了威胁③。
正因为如此,我们必须明确“安全”这一理念无时无刻地影响着现实与虚拟的生活。在虚拟网络中,即便我们希望构建一种充满秩序、保护权利以及能够自由的分享的世界,首要的因素也应该是让网络用户体验到对其安全的切实保护。
二、网络监管的意义
网络监管,即对互联网网络的监督、监管和检查,以达到维护网络安全、保护网络上的公共利益的目的。任何事物的发展都要经历从萌芽到繁盛,互联网也不例外。我国的互联网发展经历了从1987年第一封“越过长城,走向世界”电子邮件到2009年12月底,网民规模达到3.84亿人,中国手机网民则达到了2.33亿人。网络的发展必然带来诸多问题的显现。
从个人行为上看,主要有通过网络诋毁他人、散布非法言论等。从企业行为上看,主要有通过网络进行虚假宣传、进行诋毁其他企业的行为等。针对这样的问题,国外已经有了值得我们借鉴的方案。例如,韩国设立有信息安全署(KISA),负责打击垃圾邮件、钓鱼网站、网络攻击,甚至是网络犯罪。新加坡的网络管理在法律上则更为严格,单从法律条文上看,在新加坡设立任何网站,原则上需要部长签名同意。即使在你建立了网站之后,如果了涉及黄、赌、毒的内容,则会被政府强制关闭。严重情况时,开办网站的当事人也会受到严厉的刑事处罚。
相对于技术的迅猛发展,法律总是相对滞后的。网络监管,就是要基于国家的强制力对网络中新问题加以解决。这种解决方式不仅是针对个人的网络危害行为,也是针对企业之间由于不正当竞争导致的对用户权益和整个互联网经济发展的危害行为。由360软件与QQ软件之间进行的不兼容事件正是这样的问题。企业在市场占有量上充斥着竞争。因此,必须充分考虑网络经济条件下垄断的具体特征及其影响,并采取相应措施,既能维护市场的有效竞争,又能促进经济效率和技术创新水平的提高,又有利于提高消费者的福利水平,实现尽可能好的市场绩效④。因此,要实现上述的经济增长并不能单纯依靠相对滞后的法律,而必须辅之以政府出台的网络监管政策以及互联网民间协会的协助。也就是说,网络监管本身蕴含着来自网络法律的出台、国家政策的导向以及网络企业间互相监督的综合,而它的根本目的则是共同维护网络中安全、秩序、权利和自由这些价值。
其实,网络经营商之间的竞争直接关系到网络的普及与发展。在此期间,如果没有对网络经营商的监管,网络经营商对网络使用者的免责条款也会在一定程度上限制网络使用中的安全体验。比如,QQ2011 beta版软件中条款“4.2 腾讯特别提请用户注意:腾讯为了保障公司业务发展和调整的自,腾讯拥有随时自行修改或中断软件授权而不需通知用户的权利,如有必要,修改或中断会以通告形式公布于腾讯网站重要页面上。”从中可以发现,网络经营商作为提供网络服务的一方,虽然它提供了对于用户免费的服务,但是它对建立在自己发展基础上而限制用户体验的免责条款的确很不公平。所以,无论是从互联网协会角度,还是政府角度,针对网络经营商的格式条款的监管必将成为一种趋势。
三、网络伦理的探索
信息时代的伦理学应该如何建设?“新工业革命是一把双刃剑。它可能造福于人类……它也可能损害人类,如果不能明智地使用它,他将朝着这个方向越走越远。”罗伯特•维纳的话给了读者很深的印象――任何技术都要限制在合理的范畴内使用!那么,在不断扩张的信息时代,特别是网络技术和应用与日俱增的时代,我们如何更好的使用网络将是一个问题。特别是当网络法规的影响力还不足以覆盖所有网络领域的时候,计算机伦理就显得如此的重要。
为什么会存在计算机伦理学?计算机伦理学的形成来源于20世纪40年代和50年代早期,麻省理工学院罗伯特•维纳教授奠定的基础。然而,他的工作却被埋没了二十多年,直到20世纪70年代才开始被重新发现。在发现的过程中,沃尔特•曼纳、黛博拉•约翰逊、詹姆士•摩尔、特雷尔•拜纳姆和唐纳德•哥特巴恩这样一批人的观点重新梳理了计算机伦理学的研究路径,并给出了不断完善的定义。既有曼纳利用传统伦理学的应用的影响,又有拜纳姆对社会价值与人的价值的遵从。在笔者看来,摩尔的理解更加具有开创性和影响力。他认为,之所以产生典型的计算机伦理问题,是因为存在关于应当如何使用计算机技术的政策真空。技术不仅由于它所带来的一系列诸如环境和生态危机等问题对人的生存环境构成了威胁,技术还由于其对自身自然地干预也对人构成了威胁。
同时,按照摩尔的思想路线,我们可以发现计算机伦理学不能简单的套用常规伦理学去理解。主要是由于计算机具有逻辑延展性,即它们可以被定制和塑造,几乎可以在输入、输出的形式下完成任何工作。因此它们最接近通用工具,这会使我们习惯性的将因它们的使用而产生的伦理问题与日常的工具不加区分。比如,有人偷钱包,有人偷计算机。二者都是盗窃行为。但是如果放在一个特殊情境下,还会如此么?当计算机里的内容是一份机密文件或是使用者的隐私,结果将会很不一样。也许你会反驳我,钱包里也会有机密文件或是用户的隐私。但是,不可否认的是计算机除了存放文件以外,还具有诸多可以利用的方面,如炒股、游戏、交流、甚至科学研究等。而在这些领域,钱包的功能显得狭隘的多。因此,盗窃一个计算机将会比盗窃一个钱包更具有伦理研究价值。
计算机的另一个特征是它的信息丰富性。这一点可以很好的解释当今日益盛行的网络购物与电子信用的发展。在过去,我们还习惯从银行取钱,然后进行消费。然而,今天一切都不同了。我们可以用装有电子芯片的信用卡进行即刷即购的活动,也可以直接敲击键盘对我们心仪的商品进行线上购买。这种网络连接上的芯片或是计算机或多或少的携带着用户的个人信息。在这种买卖过程中我们会面临信息交换的情景,这种信息的交换将不再像传统买卖活动那样容易隐藏。然而,问题是并不是所有人都愿意将自己的信息泄露给他人。在技术主导的时代,恐怕不是某个人可以决定是否将信息泄露出去的。另一个让人担忧的问题是知识产权的保护。最近的例子是百度文库的侵权事件。网络用户将具有版权的资料上传到百度文库,然后所有利用计算机网络的用户都可以免费看到。这将使版权的保护面临更大的困难。
在强调了计算机伦理的特点之后,如何解决则主要分为专业责任和伦理准则。专业责任主要是计算机职业者的责任。他们的责任如果律师、医生、教师和会计人员一样,在拥有与专业身份相称的特殊资格和技能的同时,专业协会和组织是维护计算机职业者伦理的重要因素。因为,单纯依靠技术的专业能力将可能回避对社会公众的责任。这种责任的缺失问题已经在最近的“3Q大战”中通过隐私的可能泄露与软件的不兼容而暴露出来。这之后由工业和信息化部公布的《互联网信息服务市场秩序监督管理暂行办法》征求意见稿与互联网协会草拟的《互联网终端软件服务行业规范》都是基于对以上问题的解决和计算机伦理的重视而的。这就说明,无论一款功能上多么有利于用户的软件,都不应该是公然或是隐蔽的违背用户自由使用的意志,即使那是“免费”的软件。当软件设计者在设计软件时,难道只是遵循公司的要求么?试想如果所有会计人员都只是尊崇企业领导的指令而不对会计账簿的真实可靠性负责,那将对经济的发展产生何等地影响?当使用者开心的应用着“免费”的软件时,软件设计人员的关于“由软件所造成的任何不利后果由用户自行承担”将不会是使用者看都不看就点击“同意”安装软件那么简单吧!所以相对次要的责任将由用户承担。起码是在用户使用软件时候,仔细阅读使用说明的义务。当然,即便是这样分担责任,用户仍然由于其自身固有的技术局限性而受制于软件的“陷阱”。譬如,软件故意留下的“后门”程序,或者是软件自行为用户勾选的合作伙伴的软件下载服务。显然,前者的危害性更大,那就好比家中的保姆随时可以偷走家里的一切财物。虽然现在的网络使用者大多没有形成网络隐私权的概念,但是在计算机应用的不断普及过程中,人们在使用计算机时的伦理问题将必然包含日常生活中的一系列伦理问题,这当中自然就有隐私的保护问题。
对伦理准则的强调主要体现在计算机专业人员的伦理原则。正如塞缪尔•约翰逊所言,“诚而无知,软弱无用;知而不诚,危险可怕”。计算机专业人员必须具有尊重、诚实、不偏见、专业胜任、适当关怀、公平、社会成本、效率与效果的伦理原则。这里笔者要阐述的伦理原则虽然不是法律,不具有解决纠纷的强制力;不是完备的伦理框架或算法,发生伦理价值的冲突是无法避免的;不是毫无遗漏的清单,不能提供给使用者所要面对的所有重要伦理问题。但是,不可否认的是只有在伦理准则的指导下,大多数计算机专业人员才能形成一个共同体,而这个共同体不是在法律强制性的指导下能够生成的。同时,必须强调的是不完备的伦理准则比没有更糟。因为,伦理准则很可能把焦点放在最有意义的伦理问题上,这样可以很好的突出重要的问题。但是,也不能遗漏了其他问题,为其他方面的不道德行为留下余地。因此,在伦理准则中没有明确规定的领域,也要有与时俱进的谨慎思考。
结语
计算机技术是具有发展潜力的技术,同时,发展计算机技术过程中暴露出的问题也逐渐凸显。然而,我们在对待计算机技术的发展应用与解决它暴露出的问题这两方面上却不能同步发展。归其原因,在笔者看来主要是计算机所具有的逻辑延展性带来的广泛适用与信息丰富性带来的问题多元化。因此,计算机伦理作为一种道德制约因素,将为解决计算机法规滞后导致的规范缺失问题提供很好的途径。(河北经贸大学法学院;河北;石家庄;050061)
参考文献:
[1] [美]特雷尔•拜纳姆 [英]西蒙•罗杰森 主编 李伦 金红 曾建平 李军 译《计算机伦理与专业责任》 北京大学出版社
[2] 梅绍祖 《网络与隐私》 清华大学出版社
[3] 张秀兰 《网络隐私权保护研究》 北京图书馆出版社
[4] 张震 《网络时代伦理》 四川人民出版社
[5] (美)马特斯尔斯•W•斯达切尔(matthias W. Stecher)编辑 《网络广告:互联网上的不正当竞争和商标》 中国政法大学出版社
注解
① 夏燕 网络法律的法理学分析 《社会科学家》 2008年10月 第10期
② baike.省略/view/4547.htm#sub4547
谢波
摘要:在传统交易活动中,“签字盖章”是许多法律的基本要求。但随着网络技术的日新月异,电子签名和认证已经十分普遍。电子签名和认证作为电子商务的重要组成部分,其中的法律问题阻碍了电子交易的进行,也制约了电子商务的发展。本文将对电子签名和认证中的法律问题进行深入的探讨和论述。
关键词:电子签名,认证,电子商务,电子合同,法律问题
在传统交易中,人们常常通过亲笔签名的方式来确保合同当事人身份的真实有效和意思表示的一致。同时,亲笔签名也是许多法律的要求。例如,我国《合同法》第32条规定:“当事人采用合同书形式订立合同的,自双方当事人签字或者盖章时合同成立。”我国《票据法》第4条规定:“票据出票人制作票据,应当按照法定条件在票据上签章,并按照所记载的事项承担票据责任。持票人行使票据权利,应当按照法定程序在票据上签章,并出示票据。”然而,在电子商务环境下,由于合同当事人可能相隔千里,甚至在整个交易过程中并不谋面,这就使传统的亲笔签名方式就很难运用于电子交易。但是,传统的亲笔签名方式所具有的功能,特别是它所具有的证明合同的真实性和完整性的功能,对一直为网络安全问题所困扰的电子商务仍然具有重要的价值。所以,签名的要求在电子商务环境下不仅不应被放弃,反而应该得到强化和更有力的保障。当然,这里所说的签名已经不再是传统的亲笔签名,而是电子签名(Electronic Signature)。
新加坡1998年颁布的《电子交易法》(Singapore Electronic Transactions Act 1998,SETA)对电子签名和数字签名作了相关规定。它将电子签名定义为:“以数字形式所附或在逻辑上与电子记录有联系的任何字母,文字数字或其他符号,并且执行或采纳电子签名是为了证明或批准电子记录”;将数字签名(Digital Signature)定义为:“通过使用非对称加密系统和哈希函数(Hushing Function)来变换电子记录的一种电子签名”。可见,数字签名是电子签名的一种。根据联合国国际贸易法委员会电子商务工作组1999年颁布的《电子签名统一规则(草案)》(Draft Uniform Rule On Electronic Signature)第1条的规定:“‘电子签名’,是指以电子形式存在于数据信息之中的,或作为其附件的或逻辑上与之有联系的数据,并且它(可以)用于辨别数据签署人的身份,并表明签署人对数据信息中包含的信息的认可”。笔者认为这一定义颇值得我国立法的借鉴。
电子签名的主要目的是利用技术的手段对数据电文的发件人身份做出确认及保证传送的文件内容没有被篡改,以及解决事后发件人否认已经发送或者是收到资料等问题。[1]电子签名是法律上一个重要的创新概念,它作为电子认证技术在法律上的总括,得到了许多国家的认可。目前,国际上通用的电子签名主要有以下三种模式:
一、智能卡模式。智能卡是安装了嵌入式微型控制器芯片的IC卡,内储有关自己的数字信息。使用者在使用智能卡时只要在计算机的扫描器上一扫,然后键入自己设定的密码即成。
二、密码模式。使用者可以自己设定一个密码,该密码由数字或字符组合而成。有的单位还提供硬件,让使用者用电子笔在电子板上签名后存储起来,电子板不仅可以记录签名的形状,而且可以记录使用者签名时的力度以及定字的速度等,以防他人盗用签名。
三、生物测定模式。该方法以使用者的生理特征为基础,通过计算机对使用者的指纹、面部等进行数字化的同一认定。
随着电子商务的发展,为了消除电子商务在法律上的障碍,许多国家已经着手研究电子签名的问题。联合国国际贸易法委员会电子商务工作组一直以《电子签名统一规则》作为拟定草案的标题,并得到了许多国家的一致认同。欧盟的相关指令也同样以“电子签名”为题。自世界上第一部电子签名法——美国犹他州于1995年颁布的《数字签名法》以来,迄今为止,国家级的电子商务立法有德国的《数字签名法》和《数字签名条例》、美国的《电子签名法》、意大利的《数字签名法》、爱尔兰的《电子签名法》、马来西亚的《数字签名法》、新加坡的《电子交易法》、韩国的《电子商务基本法》等。从内容上来看,这些法律以电子签名(数字签名)与认证机构的相关规定为主,多数立法文件直接以“电子签名”或“数字签名”为标题。电子签名法不仅能解决电子合同的法律效力、电子交易中的风险和责任分配等基本问题,而且能有效地维护电子商务活动中国家的经济利益,因此在整个电子商务法律体系中占有极其重要的地位。
由于电子合同未必具有传统合同的书面文本,这就使得传统的亲笔签名方式被电子签名所替代。如同传统合同须双方当事人签字盖章方能生效一样,如果电子签名不具有法律效力,则无法使电子合同有效。在传统合同中,亲笔签名或盖章的行为主要有两种功能:一是表明合同当事人的真实身份;二是表明合同当事人愿受合同约束的意思。但在电子商务活动中,传统的亲笔签名方式很难应用于这种电子交易方式。因此,人们开始采用电子签名来证明彼此的身份。
在电子合同上的签名,最大的障碍仍然是技术上的,也就是说现有技术仍不能使当事人像在合同书上签字那样方便、简单。[2]但需要指出的是,一旦从技术上解决了电子签名的问题,电子签名在电子商务中的实用性以及所产生的法律效力将不会低于在传统合同书上的签名。同时,我们还应看到,既然承认电子合同属于书面形式,那么就必须承认电子签名的效力,因为在没有电子签名的情况下,任何人都可以自由地进入计算机系统,并对文件的内容进行篡改,电子合同就很难存在了。
目前,世界各国以及国际组织的立法已有将“电子签名”视为签名的倾向。例如,联合国欧洲经济委员会促进国际贸易程序工作小组认为:只要贸易文件上的签名,能够据以认定文件的来源(即据以追溯出文件的作者)并利用该签名认证该文件,签署文件者就要对文件单据上事项的正确性及完整性负责。[3]《汉堡规则》(Hamburg Rules)第14条规定:“提单上的签字可以用手写、印摹、打孔、盖章、符号或如不违反提单签发地所在国国家的法律,用任何其他机械的或电子的方法。”在我国的实体法中,除法律有特别规定以外,当事人订立合同可以采用书面形式、口头形式和其他形式,而并不以书面形式、签字盖章等方式为要件。就这点而言,与英美法系所强调书面形式和签字盖章等要件才能使合同成立、生效的基本原则有很大的不同。因此,我国对签名或盖章的法律要求在具体法律条文中并未过多涉及。[4]但我国《合同法》采用了一种灵活的方式。我国《合同法》第33条规定:“当事人采用信件、数据电文等形式订立合同的,可以在合同成立之前要求签订确认书。签订确认书时合同成立。”根据这一规定,如果当事人在签订合同时使用了电子签名,既可以不签订确认书,也可以根据实际情况,在合同成立之前要求签订确认书。当然,采用后一种做法可以更加明确合同的真实性,以防电子签名的伪造。
笔者认为,政府相关部门应该积极向大众广为推介说明电子签名的定义、目的、适用范围、使用方法等,然后再由法律提供一套公平合理的游戏规则。通过建立完善的电子签名和电子认证体系,一方面可以促进电子商务的发展,另一方面可以提高人们对电子签名的接纳度并减少电子签名的伪造、变造和其他欺诈行为。
认证是一种证实某人或某事为有效或名副其实的过程,其目标仍然是着眼于“安全”。电子商务的安全问题主要包括两个方面:一、从技术上建立安全认证机制,以确认交易各方身份的真实性以及信息的保密性、完整性和不可抵赖性;同时,利用现代密码技术以及电子签名技术等,来保证电子商务活动的安全。二、当电子商务活动出现差错时,如何运用法律手段解决交易各方的责任以及权利义务关系等问题。在计算机系统或通信中,认证是良好的数据安全措施的一个重要组成部分。电子信息技术的发展极大地增强了人们获得信息的能力,同时也增加了某些敏感或有价值的数据被滥用的风险。如何确保交易对方的主体资格以及交易数据资料的安全,是电子交易各方都极为关注的问题。因此,我们必须保证买卖双方在电子交易中身份的真实可靠。电子认证的作用就在于确认交易双方真实有效的身份。
电子认证与电子签名一样都是电子商务活动中的安全保障机制。它是由特定的第三方机构提供的,对电子签名及其签名者的真实身份进行验证的服务。电子认证主要应用于电子交易的信用安全方面,以保障开放性网络环境中交易人身份的真实可靠。电子认证是确定某个人的身份信息或者是特定的信息在传输过程中未被修改或者替换。[5]
在电子交易过程中,除了交易双方以电子签名的方式来识别彼此的身份和确保传输信息的完整性外,对电子签名本身的认证问题,并不能由交易各方自己完成,而是由一个具有权威性、可信赖性和公正性的第三方来完成,从而为电子交易建立一种有效、可靠的保护机制。此第三方被称为认证机构(Certificate Authority,CA)。认证机构提供电子交易过程中的认证服务,能签发数字证书并能确认用户的真实身份。同时,由于电子商务活动常常是跨国境的,因此交易各方当事人就需要有不同国家的认证机构对各自的身份进行认证,并向电子商务活动的相对方发放电子认证证书。在实践中,就需要各国相互承认对方国家认证机构发放的电子认证证书的效力,以保证电子商务活动的顺利进行。
认证机构在电子商务活动中既不向在线当事人出售任何商品,也不提供资金或劳动力资源,它所提供的服务只是一种无形的证书信息。这种数字证书包含一个公开密钥、交易相对人的姓名以及认证机构的电子签名、密钥的有效时间,发证机关的名称,证书的序列号等。在整个电子交易过程中,认证机构不仅要对进行电子交易的各方当事人负责,还要对整个电子商务的交易秩序负责,因此,它是一个十分重要的机构。
在认证机构的设立上,我们必须强调它应是一个独立的法律实体,即是说它能够以自己的名义提供服务,能够以自己的财产提供担保,同时能在法律规定的范围内独立承担相应的民事责任。认证机构在整个电子交易过程中必须保持中立,它一般不得直接和客户进行商业交易,也不能代表任何一方当事人的利益,而只能通过客观的交易信息促成当事人之间的交易。另外,电子认证机构不能以盈利为目的,它应当是一种类似于承担社会服务功能的公共事业。从国外的经验来看,设立专门、独立和非营利性的认证机构是比较合适的作法。
结合国际上电子商务立法的先例,认证机构一般应承担以下义务:一、信息披露与通知义务。其根本目的就在于维护社会公共利益和保护信息弱势群体。二、安全义务。安全可信度是公众对认证机构的要求,认证机构应当采用能够满足条件的安全系统。三、保密义务。认证机构不得对外披露需要保密的信息。此外,认证机构还负有其他义务,如:举证义务,即交易当事人在使用证书过程中发生纠纷,认证机构可以根据交易双方或一方的要求,为其提供举证服务。
同时,认证机构在提供认证服务的过程中会面临许多潜在风险。其风险的种类主要有:(1)运用技术过失致使数字记录丢失;(2)对信息未进行严格审查致使证书含虚假陈述,第三人信赖其陈述,并基于证书的等级进行交易,将损坏认证机构的可信度;(3)未经过合理适当的辨别而终止或撤销证书;(4)由于服务器故障或周期性离线修整而造成认证服务中断;(5)内部人员即认证机构有权访问证书数据库的雇员制作虚假证书或涂改证书记录;(6)外部人员使用多种方法改造认证机构的通用协议;(7)作为网络机构随着技术更新其淘汰率高,服务可能难以长期维持,但是某些长期证书的管理又需要服务一直持续下去不能中断,等等。[6]
由上述认证机构的性质与风险分析可以看出,电子认证的产生与发展将引发电子商务领域的许多新的法律问题,这主要包括:一、数字证书与认证机构的法律地位以及对电子认证的法律监管应得到立法规范,否则无法保障电子认证的有序发展。二、电子认证所面临的风险将引发认证机构的责任问题,因为认证机构有可能在某些场合给证书持有人或证书信赖人造成损失。三、认证机构作为一个在电子商务领域具有重要价值的新型信用服务主体,将会面临许多现实或潜在的执业风险。四、电子认证所应实现的服务标准或技术标准应得到相应的规范与完善,以真正达到保障电子交易安全的目的与价值。基于以上这些法律问题,笔者认为,对于在电子交易中保障网络交易安全以及信用制度起重要作用的电子认证,应在未来的电子商务立法中占据应有的地位。
参考文献:
[1] 蒋坡:“论我国电子商务法律体系和基本架构”,《科技与法律》2002年第2期。
[2] 王利明主编:《电子商务法研究》,中国法制出版社2003年版,第89页。
[3] Perritt, Legal and Technological Infrastructures for Electronic Payment Systems, 22 Rutgers Computer & Technology Law Journal 53 (1996).
[4] 万以娴、朱瑞阳:“签名与盖章之新课题——论电子签章之法律效力”,2002年全国信息网络与高新技术法律问题研讨会论文。
[5] 刘满达:“数字签名的法律思考”,《法学》2000年第12期。