然而,这些文件大多是针对具体问题,在总体上,个人信息保护领域的法律法规,却仍然不成体系,对基础网络建设信息安全领域保护,更是缺少明确的、体系化的法律文本。
《财经国家周刊》从工业和信息化部(下称“工信部”)相关部门获得的资料表明,工信部2011年已经启动信息保护立法调研和研究工作,并约谈了包括百度、腾讯等诸多互联网公司。
监管调整
降了立法层面之外,专家也建议,中国应建立更加立体化的国家网络信息安全评估保障机制。
一位资深行业人士说,中国一直没有真正着手信息安全体系,更多是由于历史原因。
“就最基础的通信设备和网络设备来说,中国最早是没有自己的工业基础的,在上个世纪90年代以前,基本上都是依赖进口,而且在早期我们还处于大发展阶段,每年都需要兴建大量的网络,在那个阶段,对系统设备的要求基本上只有最低的要求:能用就行。”该人士说,虽然当年的信产部及后来的工信部,都设立了入网检测机构与检测程序,但这一程序也更多是对于设备可用性的检测,对信息安全的评估并没有提到最为重要的等级。
但随着时代变化,当各国的信息通信流量爆涨,并全面渗透进入政府、军事、商业、工业与公众服务的各个环节之后,信息安全的作用变得日益重要。
“信息安全关系到国家的政治安全、经济安全、文化安全、国防安全和社会稳定,尤其网络信息安全已经成为事关国家安全的第一安全,信息技术产业的发展也就直接关系对国家安全的基本保障能力。”工信部软件与集成电路促进中心主任邱善勤说,当前,世界各国都将信息技术和信息安全的自主可控能力与维护国家安全的能力紧密联系在一起,控制与反控制的斗争甚至已经对国与国之间的外交、经贸等关系产生了重要影响。
与此同时,信息安全事故的破坏性越来越大,信息安全问题也越来越成为焦点。近两年来,微软、亚马逊、谷歌等企业纷纷发生重大信息安全事故,“震网”病毒更给伊朗造成巨大损失。信息安全事故频发,也引起了各国政府的高度重视。比如在美国,奥巴马将网络安全问题视为最严重的国家经济和国家安全挑战之一,提出将数字基础设施视为国家战略资产予以保护,并组建了网络战司令部。日本则通过了《保护国民信息安全战略》,重点加强铁路、金融系统重要信息基础设施的安全防范。
“这也是为什么利益相关方以信息安全为借口指控中兴华为时,美国各方立刻高度紧张的原因。”前文提及资深行业人士说。
问题在于,由于过去在开放环境下的高速发展,中国过去是既没有行业标准,也没有法律要求,没有合格的检测机构,对于信息安全成体系的评估监管,尤其在设备领域,几乎是一个空白。该人士说,在此过程中,过去政府对行业基本没有做强制性的规范,也缺乏强制手段和检测手段,而是把权放给了基础运营商,但在商业环境下,运营商所进行的检测乃至防范往往会不自觉地放松要求。
“所以,中国现在除了继续开放市场,积极与海外厂商合作外,也要注意保护与捍卫自己的核心利益与国家安全,重新改变政府与企业过去在对信息安全体系中的定位和分工。”陈金桥认为。
