信息安全法律基础

第一章信息安全法律的一般原理与方法论
第二章信息安全与立法
第三章网络安全治理与法律规制
第四章互联网平台安全治理与法律规制
- 4.1 互联网平台安全治理
- 4.2 电子商务经营者的职责
第五章数据安全管理与个人信息保护法律规制
第六章电子数据取证与法律规制
第七章一般网络运营者的网络安全法律遵从
第八章关键信息基础设施运营者及网络产品服务的网络安全法律遵从

第一章信息安全法律的一般原理与方法论

1.1 法律权利

（1）法律权利的概念与特征

法律权利的概念:社会主体享有的，由法律确认和保障，以某种正当利益为追求的自由。
法律权利的特征——基于人性特征（自由意志、驱利性、有限理性……）
- 法律性—国家法律确认、保障的一种社会权利。
- 自主性—权利主体可以按照其意愿自由决定是否行使某项权利。
- 可为性—法律权利不是抽象的，而是具体可行的。
- 求利性—法律保护人追求正当利益。

（2）法律权利的结构

法律权利的三大要素:利益、权能、自由
- 利益是权利的目标和方向，是权利的追求。
- 权能是权利主体行使权利的资格和能力，是权利的基础。
- 自由是权利的伦理要素和实质表现，是权利的核心。

1.2 法律义务

（1）义务

社会主体根据法律的规定必须作为或不作为。
- 法定性—法律对社会主体的行为提出的要求。
- 国家强制性—不履行法律义务将受到国家的制裁，包括剥夺生命、政治权利、财产、限制自由等。
- 从属性—法律义务总是从属法律权利存在。
- 必为性—义务主体必须做出的行为，包括必需的作为和不作为，不能迟延履行，更不能拒绝履行
从社会总体来看，法律义务包括作为、不作为两类。
- 作为的义务也称积极义务—义务主体必须采取一定的积极行动来履行的义务。
- 不作为的义务也称消极义务—义务主体不做任何可能侵犯权利主体行为自由和合法利益之事的义务。

（2）权力与义务关系

法律关系中的对应关系：
- 法律权利一般有相对的法律义务存在，二者共同处于法律关系的统一体中。
功能发挥中的互动关系：
- 法律义务的履行促进法律权利的实现。
- 法律权利的享有也有助于法律义务的积极履行。
- 法律权利和法律义务的互动关系还表现在某些特定的权利、义务的相互转化。

1.3 法律功能

（1）法律的基本功能

社会控制的首要工具，即控制功能是法律的基本功能。--社会法学派
法律的基本功能是社会契约功能，辅助功能包括制约权力功能、维护权利功能等。--自然法学派

（2）法律的正功能、反功能与非功能

正功能（法律的积极功能）--能够激发社会成员的积极性，有助于社会体系的良性运作，促进社会关系的协调、稳定。
反功能（法律的消极功能）——法律实现将引发社会内部的紧张关系，分割社会体系内部的协调、稳定局面，降低社会系统的活力。
非功能（法律的无效性）——该法律存在对社会无积极影响、无消极后果，社会成员对其无动于衷。

1.4 科学技术对法律的影响

（1）科学技术对法律的影响

科技的飞速发展，出现了大量新的立法领域
科技成果被大量运用到立法过程中

（2）法律对科学技术的作用

科学技术本身具有正负两个层面，需要科技向善的法律规制；
- 为人类带来财富和利益，促进人类文明进程。
- 给人类造成灾难和损失，成为人类文明的障碍。
法律属于制度框架，可以对科技发展所引发的各种社会问题进行一定的抑制和预防；

第二章信息安全与立法

2.1 信息

（1）信息安全基本属性

完整性：信息在存储或传输过程中保持不被修改、破坏、插入，不延迟、不乱序、不丢失的特性。
可用性：信息可被合法用户访问，在需要时就可以取用所需的信息的特性。
保密性：信息不泄露给非授权的个人和实体的特性。
可控性：授权机构可以随时控制信息的机密性。
可靠性：信息以用户认可的质量连续服务于用户的特性。

2.2 信息安全涉及的法律问题

（1）计算机犯罪

计算机犯罪（Computer Crime）是指行为人通过计算机操作所实施的，危害计算机信息系统（包括内存数据及程序）安全以及其他严重危害社会的，并应当处以刑罚的行为。
《中华人民共和国刑法》中关于计算机犯罪的规定有三个条款:

• 第285条违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。

• 第286条违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。

• 第287条利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚。

• 以上三条分别对应非法侵入计算机信息系统罪、破坏计算机信息系统罪和利用计算机犯罪等三种计算机犯罪的表现形式。第285、286条是1997年新刑法新增加的罪名，并规定了相应的刑罚。第287条是对以计算机为犯罪工具的原则性规定，其刑罚由其他的相关条款规定。
- 从犯罪的实质含义上，刑法第285、286条所规定的犯罪称为狭义的计算机犯罪或单纯的计算机犯罪，加上第287条则称为广义的计算机犯罪。

2.3 立法、司法和执法组织

（1）立法

立法权及等级:
- 立法权是一定的国家机关依法享有的制定、修改、废止法律等规范性文件的权力，是国家权力体系中最重要的核心的权力。
- 我国的立法权根据享有立法权主体和形式的不同，分为国家立法权、地方立法权、行政立法权和授权立法权等，不同级别立法的内容，立法的主体，所立法律的适用范围是不同的。

（2）立法权

国家立法权：国家立法权是由一定的国家权力机关行使，用以调整基本的、带全局性的社会关系，在立法体系中居于基础和主导地位的最高立法权。
- 国家立法权的立法主体是全国人民代表大会及其常务委员会、国务院。
行政立法权：行政立法权是源于宪法，由国家行政机关依法行使的，低于国家立法的一种独立的立法权，包括中央行政立法权和地方行政立法权。主要行使行政规章的立法权。
地方立法权：地方立法权是由有权的地方国家权力机关行使的立法权。主要行使地方性法规的立法权。
- 地方立法权的主体一般是省、自治区、直辖市的人民代表大会及其常务委员会和较大市的地方人民代表大会及其常务委员会，另外还有民族自治地方的人民代表大会。

（3）立法组织与立法程序

享有立法权的组织即立法组织。例如:在我国，国务院、全国和各地区人大是立法组织。其中， 全国人大及其常委会是我国的最高立法组织。
目前，我国法律的制定程序主要有以下四个步骤：
1. 法律方案的提出
2. 法律草案的审议。
3. 法律草案的表决和通过
4. 法律的公布

（4）立法方法

实体规制法——传统的立法方法 :先对某个对象这个实体性概念进行界定，然后在此概念基础上形成相关的实体性规则。
程序规制法—时效的立法方法：在实体性规则尚未成熟的情况下，通过程序性指引规制人们的行为方式。程序规制法当下意义较大，能够一定程度解决当前问题，实务指导性较强，该规制方法也往往被务实的英美法系国家所接纳。
类型规制法—实用的立法方法：当抽象一般概念及其逻辑体系不足以掌握某生活现象或意义脉络的多样表现形态时，一种辅助的规制形式是“归类”。

（5）司法和执法组织

我国的司法组织主要包括以下两大系统:
- 人民法院，其中，最高人民法院是最高审判机关；
- 人民检察院，其中，最高人民检察院是最高检察机关。
我国的执法组织包括:人民法院、人民检察院、公安部、安全部、工商行政管理局、税务局等。不同的执法组织在不同的职权范围内行使职权。
1. 对刑事案件的侦查、拘留、执行逮捕、预审，由公安机关负责。
2. 检察、批准逮捕、检察机关直接受理的案件的侦查、提起公诉，由人民检察院负
  责。
3. 审判由人民法院负责。
4. 国家安全机关依照国家法律规定，办理危害国家安全的刑事案件，行使与公安机
  关相同的职权。

第三章网络安全治理与法律规制

3.1 立法背景、意义、定位

（1）背景

基于总体国家安全观；
基于网络安全威胁的现实；

（2）意义

《网络安全法》对于确立国家网络安全基本管理制度具有里程碑的重要意义。
- 体现权威性（强制约束力）、排它性、普遍适用性、相对稳定性、社会属性。
- 《网络安全法》中明确提出了有关国家网络空间安全战略和重要领域安全规划等问题的法律要求，有助于推进与其他国家和行为主体就网络安全问题展开有效的战略博弈。
- 《网络安全法》将公民个人信息保护纳入正轨，中国网民从道德自律走向法律规范，用法律武器维护自己的合法权益。
- 《网络安全法》完善了网络安全义务和责任，将原来散见于各种法规、规章中的规定上升到人大法律层面，对网络运营者等主体的法律义务和责任做了全面规定。

3.2 相关概念

（1）网络

网络是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。

（2）网络安全

网络安全是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。

（3）网络数据

网络数据是指通过网络收集、存储、传输、处理和产生的各种电子数据。

（4）个人信息

个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、号码等。

（5）网络运营者

网络运营者是指网络的所有者、管理者和网络服务提供者。
网络运营者是网络安全法中非常重要的概念，是关键义务主体或核心义务主体，出现31次。

3.3 基本原则

（1）原则

网络空间主权原则。
网络安全与信息化发展并重原则。
风险防御原则。
协同治理原则。

第四章互联网平台安全治理与法律规制

4.1 互联网平台安全治理

（1）网络平台自治机制

平台方自发的、没有政府机构介入，对在线商家消费者的交易行为进行规范化管理。
优势：
- 平台拥有的交易大数据和技术红利可以对风险行为进行预警。
- 平台的声誉机制需要更好的商家和消费者，具有正外部性。

（2）网络平台自治的局限性

平台商家资质审核、商品溯源等实际操作难度较大
滋生内部腐败、产生负外部性
平台电商与直播、短视频深度融合中出现各种乱象
平台权力有限，无行政等执法权

4.2 电子商务经营者的职责

（1）电子商务经营者的职责

纳税义务，并依法享受税收优惠。
依法取得行政许可。
应当符合保障人身、财产安全。
电子发票
明示用户信息查询、更正、删除以及用户注销的方式、程序。
保障消费者的知情权和选择权。
提供不针对其个人特征的选项。
遵守法律、行政法规收集、使用其用户的个人信息
...

第五章数据安全管理与个人信息保护法律规制

5.1 电信和互联网用户个人信息保护规定

（了解）

5.2 数据确权⭐

（1） 数据确权的现实意义

数据确权已具备经济基础（数据确权收益>数据确权成本）；
不确定的数据产权给各方在数据的开发利用环节带来了不可控的风险成本；
通过立法确定数据产权以促进各方合作；
从立法和司法角度，当新生事物在现有法律体系下难以找到合适制度来保护时，可以尝试用数据产权来解决；

5.3 数据产权及其特性

（1）数据产权

数据产权作为权利束（A Bundle of Rights），包含使用权、收益权、占有权、处分权、可携带权、被遗忘权等。
数据产权主体包含个人用户、数据收集企业、平台企业、政府机构、数据中介等组织

（2）数据产权的特性

多主体性：很多数据可能是由多轮不同主体产生和处理。
潜在价值：初始数据不具有很高的直接价值，在不断挖掘和使用中体现其经济价值和稀缺性。
多栖性：因为数据方便复制携带，数据可以同时存在不同的介质中。
隐私性：有些能够识别特定个人的数据往往具有隐私性。

5.4 数据确权的多视角思考

（1）经济角度：效率优先

（2）公平角度：公正合理优先

（3）法律角度：兼顾公平与效率

5.5 数据问责—用户大数据安全治理

（1）关于用户大数据

（2）用户大数据安全治理目标

5.6 用户大数据安全治理目标

（了解）

第六章电子数据取证与法律规制

6.1 电子数据取证的概念

（1）电子数据取证

能够被法庭接受的,足够可靠和有说服力的存在于计算件机和相关外设中的电子数据的收集、分析、确认、归档以及法庭出示的过程。
- 是可以用于证明案件真实的材料；

6.2 电子数据取证的发展

（1）发展历程

1995-2005年,电子数据取证成为专业技术领域
2005-2010年,数字取证成为信息安全专业的核心技能
2010以来,传统电子数据取证技术面临巨大挑战

（2）发展特点

从“取证”向“中期研判”、“前期采集”发展
取证对象种类剧增,电子数据取证呈现商业化
反取证技术和隐私保护带来挑战
综合取证技术是未来发展方向

6.3 电子数据取证的立法规制

（1）《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》

（2）《公安机关办理刑事案件电子数据取证规则》

第七章一般网络运营者的网络安全法律遵从

7.1 网络安全等级保护制度⭐

（1）网络安全等级保护制度

（2）义务主体

网络运营者:网络的所有者、管理者和网络服务提供者。(《网络安全法》第76条)
- 网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务。。。。(《网络安全法》第21条)

（3）义务内容⭐

制定内部安全管理制度及操作规程—《信息系统安全等级保护基本要求》(GB/T22239-2008)
确定网络安全负责人—网络安全职能部门、负责人岗位(职责、教育、培训)
采取防范危害网络安全行为的技术措施(例:二级,应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击等)
网络监测与日志留存—留存相关的网络日志不少于6个月
数据分类、重要数据备份和加密—《信息安全等级保护管理办法》第34条

（4）网络安全等级保护实施的工作流程⭐

定级备案
建设整改:网络运营者根据安全级别选择最低安全控制措施。
等级测评:网络运营者通过委托等级测评机构开展等级测评。
监督检查:第三级运营者每年检查一次,第四级每半年检查一次。

（5）法律责任

《网络安全法》第59条: 网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。

7.2 网络安全监测预警和应急响应⭐

（1）网络安全监测的概念

采用技术手段对网络与信息系统进行实时、动态且持续性的监控,以全面掌握网络的运行状态,发现网络入侵、攻击等网络安全风险的活动。

（2）网络安全监测信息的来源

自主监测信息:内生安全
外部情报信息:信息披露、众包模式

（3）网络安全事件的分类分级

按事件影响范围和程度分为一、二、三、四级安全事件：
网络病毒安全事件：

（4）网络安全监督的约谈制度

约谈的法律效力:
- 《网络安全法》第56条规定,省级以上人民政府有关部门在履行网络安全监督管理职责中,发现网络存在较大安全风险或发生安全事件的,可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。
约谈的主体和对象:
- 约谈的主体限定为省级以上人民政府有关部门,如网信部门、工信部门、公安部门、关键信息基础设施的有关行业监管部门等约谈的对象是网络运营者的法定代表人或主要负责人。
约谈制度的法律性质：
- 问责制度:面向履职不力的相关负责人
- 柔性执法:指导性、互动性、审慎性

（5）突发事件应对与网络通信临时管制

六类社会安全事件：群体性事件、金融突发事件、涉外突发事件、影响市场稳定的突发事件、恐怖袭击事件和刑事案件。
网络通信临时管制的实施条件：
- 维护国家安全和社会公共秩序
- 经国务院决策或者批准。
- 必须在特定区域针对特定事件实施。
- 尽可能降低对社会正常秩序的影响，事件结束后，网络运营者必须立即恢复正常的通信和网络运营。
- 网络服务合同中将此种情形列为已方的免责条款，并有权依据行政补偿制度，要求国家给予适当的补偿。

7.3 网络环境下的协助执法

（1）协助执法制度概念

传统法律意义的概念:执法机构在进行侦查和刑事调查时,相关的单位和个人有义务提供执法便利,主要包括举报犯罪等协助方式。
网络环境下的广义概念:通信服务提供者通过对自身设备进行特殊设计(合法拦截和数据留存),以满足执法机构对特定对象的监控,协助实施预防和侦查犯罪、反恐怖主义等国家监管计划。

7.4 协助执法的主体和原则⭐※

（1）主体

权利主体：国家安全机关、情报机关、公安机关等。
义务主体：网络运营者（《网络安全法》第28条：网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。）

（2）原则

适当性原则：应当以维护国家安全和便利刑事调查为目的，需要符合严格的程序规定，不能任意行使。
必要性原则：在同等有效的措施中选择对公民权利损害最小的方法，不可过度干预公民的合法权益。
均衡原则 ：综合考虑对个人隐私、产业发展、科技进步等潜在影响，设置合理的协助执法义务边界。

（3）协助执法的内容

合法拦截（Lawful Interception）
- 经法定授权的执法机构或者网络服务提供者基于维护国家安全或侦查刑事犯罪目的而采取技术手段获取通信内容或通信相关数据的活动。
数据留存（Data Retention）
- 为为保护国家安全、防务、公共安全,要求公共通信网络或公共电信服务提供者留存流量数据和位置数据(一定期限),以协助执法单位进行严重犯罪和恐怖嫌犯等调查。
协助解密
- 谁运营,谁解密；谁加密,谁解密
严格保密
- 协助执法义务主体必须对协助执法过程中知悉的所有信息严格保密,包括协助执法活动本身、获取的相关通信信息、执法主体、执法对象、执法期限等相关信息

7.5 网络信息内容过滤

（1）网络信息内容过滤制度

非法有害信息的界定：
- 危害国家安全的信息
- 危害社会稳定和秩序的信息
- 对个人权利及其他私权利造成侵害的信息
常用的过滤手段：
- 基于网络爬虫或搜索引擎的主动监测系统
- 基于文本关键词过滤的被动防御技术
- 针对图像、声音、视频智能过滤技术
局限性：海量信息面临海量审查;机器过滤无法完全识别;海量审核和发现义务增加了个人信息权利侵害的风险

（2）《网络安全法》相关规定

网络运营者的发现义务：
- 第四十七条：网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。
- 第四十八条: 任何个人和组织发送的电子信息、提供的应用软件,不得设置恶意程序,不得含有法律、行政法规禁止发布或者传输的信息。
  电子信息发送服务提供者和应用软件下载服务提供者,应当履行安全管理义务,知道其用户有前款规定行为的,应当停止提供服务,采取消除等处置措施,保存有关记录,并向有关主管部门报告。
- 第四十九条: 网络运营者应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。网络运营者对网信部门和有关部门依法实施的监督检查,应当予以配合。
监督管理的主体:
- 第五十条: 国家网信部门和有关部门依法履行网络信息安全监督管理职责,发现法律、行政法规禁止发布或者传输的信息的,应当要求网络运营者停止传输,采取消除等处置措施,保存有关记录;对来源于中华人民共和国境外的上述信息,应当通知有关机构采取技术措施和其他必要措施阻断传播。

第八章关键信息基础设施运营者及网络产品服务的网络安全法律遵从

8.1 关键信息基础设施的界定

（1）我国关键信息基础设施概念的提出

2015年7月1日颁布实施的《国家安全法》第25条部署了有关关键基础设施和重要领域信息系统及数据安全可控的战略举措。
2017年6月1日实施的《网络安全法》首次明确规定了关键信息基础设施的定义和具体保护措施，采用“列举+概括”的形式
2017年7月11日，《关键信息基础设施安全保护条例》（征求意见稿）第18条沿用《网络安全法》第 31条规定，用“非穷尽列举行业和领域+危害后果”的方式，给出了其范围。

8.2 关键信息基础设施的安全保护义务

（1）关键信息基础设施运营者

关键信息基础设施运营者是一般性网络运营者中的特殊和重要类别,具有网络安全保护义务。
- 具有法律强制力保障实施的作为性、复合性义务。(涉及业务连续性、自主可控、数据安全三个宏观层面的问题)
- 具有复合主体的义务规范,包括关键信息基础设施的所有者、管理者和服务的提供者。
- 义务具有一定的“合理限度”,兼顾“安全”与“发展”。

（2）关键信息基础设施运营者安全保护义务法规遵从

8.3 网络安全审查

（1）网络安全审查制度⭐

《网络安全审查办法》

（2）新程序：设计更具可操作性的审查程序⭐

明确启动审查的两种方式：
- 一种是运营者自己预判评估国家安全风险后主动向审查办公室申报,由审查办公室确定是否启动审查;
- 另一种是审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务,由审查办公室按程序报中央网络安全和信息化委员会批准后启动审查。(第5条、第15条)
明确一般审查程序：
- 审查办公室应当自收到运营者申报材料起10个工作日内确定是否需要审查并书面通知运营者;需要审查的,应当自通知运营者之日起30个工作日内完成初步审查,情况复杂的可以延长15个工作日。(第8条、第10条、第11条)
明确特殊审查程序：
- 对于按照一般审查程序形成的审查结论建议,审查工作机制成员单位、相关关键信息基础设施保护工作部门意见不一致的,启动特别审查程序,并通知运营者。按照特别审查程序处理的,按程序报中央网络安全和信息化委员会批准后,形成审查结论并书面通知运营者;特别审查程序一般应当在45个工作日内完成,情况复杂的可以适当延长。(第12条、第13条)

8.4 网络产品服务安全和用户信息保护

（1）相关概念

网络产品:按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的硬件、软件和系统,如计算机、信息终端、工控等相关设备,以及基础软件、系统软件等。
网络服务:供方为满足需方需要提供的信息技术开发、应用活动,以及以网络技术为手段支持需方业务的一系列活动,如云计算服务、网络通信服务、数据处理和存储服务、设计与开发服务、信息系统运维服务等。
用户信息:与自然人、法人或其他组织有关的信息,以及定义和描述这些信息的数据,包括识别个人身份的信息;用户生成的文档、程序;用户位置数据;系统日志等。
恶意程序:那些用于实施网络攻击、干扰网络和信息系统正常使用、破坏网络和信息系统、窃取网络和系统数据等行为的程序。
安全缺陷:网络产品服务中由于设计、开发、配置等错误可能影响网络产品服务安全的弱漏洞(脆弱性):网络产品服务中能够被威胁利用的弱点。