Tag: <span>网络安全</span>

信息安全技术公共及商用服务信息系统个人信息保护指南

 信息安全技术公共及商用服务信息系统个人信息保护指南

 
工业和信息化部2013年1月21日颁布,自2013年2月1日起施行
 
1  范围
本指导性技术文件规范了全部或部分通过信息系统进行个人信息处理的过程,为信息系统中个人信息处理不同阶段的个人信息保护提供指导。
 
本指导性技术文件适用于指导除政府机关等行使公共管理职责的机构以外的各类组织和机构,如电信、金融、医疗等领域的服务机构,开展信息系统中的个人信息保护工作。
 
2 规范性引用文件
 
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
 
GB/T 20269-2006 信息安全技术 信息系统安全管理要求
 
GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南
 
3 术语和定义
 
GB/T 20269-2006 和GB/Z 20986-2007中界定的以及下列术语和定义适用于本技术性指导文件。
 
3.1 
 
信息系统 information system
 
即计算机信息系统,由计算机(含移动通信终端)及其相关的和配套的设备、设施(含网络)构成,能够按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理。
 
3.2 
 
个人信息 personal information
 
可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。个人信息可以分为个人敏感信息和个人一般信息。
 
3.3 
 
个人信息主体 subject of personal information
 
个人信息指向的自然人。
 
3.4 
 
个人信息管理者 administrator of personal information
 
决定个人信息处理的目的和方式,实际控制个人信息并利用信息系统处理个人信息的组织和机构。
 
3.5 
 
个人信息获得者 receiver of personal information
 
从信息系统获取个人信息的个人、组织和机构,依据个人信息主体的意愿对获得的个人信息进行处理。
 
3.6 
 
第三方测评机构 third party testing and evaluation agency
 
独立于个人信息管理者的专业测评机构。
 
3.7 
 
个人敏感信息 personal sensitive information
 
一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息。各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定。例如个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。
 
3.8 
 
个人一般信息 personal general information
 
除个人敏感信息以外的个人信息。
 
3.9 
 
个人信息处理 personal information handling
 
处置个人信息的行为,包括收集、加工、转移、删除。
 
3.10 
 
默许同意 tacit consent
 
在个人信息主体无明确反对的情况下,认为个人信息主体同意。
 
3.11 
 
明示同意 expressed consent
 
个人信息主体明确授权同意,并保留证据。
 
4 个人信息保护概述
 
4.1 角色和职责
 
4.1.1 综述
 
信息系统个人信息保护实施过程中涉及的角色主要有个人信息主体、个人信息管理者、个人信息获得者和独立测评机构,其职责见4.1.2至4.1.5。
 
4.1.2 个人信息主体
 
在提供个人信息前,要主动了解个人信息管理者收集的目的、用途等信息,按照个人意愿提供个人信息;发现个人信息出现泄漏、丢失、篡改后,向个人信息管理者投诉或提出质询,或向个人信息保护管理部门发起申诉。
 
4.1.3 个人信息管理者
 
负责依照国家法律、法规和本指导性技术文件,规划、设计和建立信息系统个人信息处理流程;制定个人信息管理制度、落实个人信息管理责任;指定专门机构或人员负责机构内部的个人信息保护工作,接受个人信息主体的投诉与质询;制定个人信息保护的教育培训计划并组织落实;建立个人信息保护的内控机制,并定期对信息系统个人信息的安全状况、保护制度及措施的落实情况进行自查或委托独立测评机构进行测评。
 
管控信息系统个人信息处理过程中的风险,对个人信息处理过程中可能出现的泄露、丢失、损坏、篡改、不当使用等事件制定预案;发现个人信息遭到泄漏、丢失、篡改后,及时采取应对措施,防止事件影响进一步扩大,并及时告知受影响的个人信息主体;发生重大事件的,及时向个人信息保护管理部门通报。
 
接受个人信息保护管理部门对个人信息保护状况的检查、监督和指导,积极参与和配合第三方测评机构对信息系统个人信息保护状况的测评。
 
4.1.4 个人信息获得者
 
当个人信息的获取是出于对方委托加工等目的,个人信息获得者要依照本指导性技术文件和委托合同,对个人信息进行加工,并在完成加工任务后,立即删除相关个人信息。
 
4.1.5 第三方测评机构
 
从维护公众利益角度出发、根据个人信息保护管理部门和行业协会的授权、或受个人信息管理者的委托,依据相关国家法律、法规和本指导性技术文件,对信息系统进行测试和评估,获取个人信息保护状况,作为个人信息管理者评价、监督和指导个人信息保护的依据。
 
4.2 基本原则
 
个人信息管理者在使用信息系统对个人信息进行处理时,宜遵循以下基本原则:
 
a)目的明确原则——处理个人信息具有特定、明确、合理的目的,不扩大使用范围,不在个人信息主体不知情的情况下改变处理个人信息的目的。
 
b)最少够用原则——只处理与处理目的有关的最少信息,达到处理目的后,在最短时间内删除个人信息。
 
c)公开告知原则——对个人信息主体要尽到告知、说明和警示的义务。以明确、易懂和适宜的方式如实向个人信息主体告知处理个人信息的目的、个人信息的收集和使用范围、个人信息保护措施等信息。
 
d)个人同意原则——处理个人信息前要征得个人信息主体的同意。
 
e)质量保证原则——保证处理过程中的个人信息保密、完整、可用,并处于最新状态。
 
f)安全保障原则——采取适当的、与个人信息遭受损害的可能性和严重性相适应的管理措施和技术手段,保护个人信息安全,防止未经个人信息管理者授权的检索、披露及丢失、泄露、损毁和篡改个人信息。
 
g)诚信履行原则——按照收集时的承诺,或基于法定事由处理个人信息,在达到既定目的后不再继续处理个人信息。
 
h)责任明确原则——明确个人信息处理过程中的责任,采取相应的措施落实相关责任,并对个人信息处理过程进行记录以便于追溯。
 
5 个人信息保护
 
5.1 概述
 
信息系统中个人信息的处理过程可分为收集、加工、转移、删除4个主要环节。对个人信息的保护贯穿于4个环节中:
 
a)收集指对个人信息进行获取并记录。
 
b)加工指对个人信息进行的操作,如录入、存储、修改、标注、比对、挖掘、屏蔽等。
 
c)转移指将个人信息提供给个人信息获得者的行为,如向公众公开、向特定群体披露、由于委托他人加工而将个人信息复制到其他信息系统等。
 
d)删除指使个人信息在信息系统中不再可用。
 
5.2 收集阶段
 
5.2.1 要具有特定、明确、合法的目的。
 
5.2.2 收集前要采用个人信息主体易知悉的方式,向个人信息主体明确告知和警示如下事项:
 
a)处理个人信息的目的;
 
b)个人信息的收集方式和手段、收集的具体内容和留存时限;
 
c)个人信息的使用范围,包括披露或向其他组织和机构提供其个人信息的范围;
 
d)个人信息的保护措施;
 
e)个人信息管理者的名称、地址、联系方式等相关信息;
 
f)个人信息主体提供个人信息后可能存在的风险;
 
g)个人信息主体不提供个人信息可能出现的后果;
 
h)个人信息主体的投诉渠道;
 
i)如需将个人信息转移或委托于其他组织和机构,要向个人信息主体明确告知包括但不限于以下信息:转移或委托的目的、转移或委托个人信息的具体内容和使用范围、接受委托的个人信息获得者的名称、地址、联系方式等。
 
5.2.3 处理个人信息前要征得个人信息主体的同意,包括默许同意或明示同意。收集个人一般信息时,可认为个人信息主体默许同意,如果个人信息主体明确反对,要停止收集或删除个人信息;收集个人敏感信息时,要得到个人信息主体的明示同意。
 
5.2.4 只收集能够达到已告知目的的最少信息。
 
5.2.5 要采用已告知的手段和方式直接向个人信息主体收集,不采取隐蔽手段或以间接方式收集个人信息。
 
5.2.6 持续收集个人信息时提供相关功能,允许个人信息主体配置、调整、关闭个人信息收集功能。
 
5.2.7 不直接向未满16周岁的未成年人等限制民事行为能力或无行为能力人收集个人敏感信息,确需收集其个人敏感信息的,要征得其法定监护人的明示同意。
 
5.3 加工阶段
 
5.3.1 不违背收集阶段已告知的使用目的,或超出告知范围对个人信息进行加工。
 
5.3.2 采用已告知的方法和手段。
 
5.3.3 保证加工过程中个人信息不被任何与处理目的无关的个人、组织和机构获知。
 
5.3.4 未经个人信息主体明示同意,不向其他个人、组织和机构披露其处理的个人信息。
 
5.3.5 保证加工过程中信息系统持续稳定运行,个人信息处于完整、可用状态,且保持最新。
 
5.3.6 个人信息主体发现其个人信息存在缺陷并要求修改时,个人信息管理者要根据个人信息主体的要求进行查验核对,在保证个人信息完整性的前提下,修改或补充相关信息。
 
5.3.7 详细记录对个人信息的状态,个人信息主体要求对其个人信息进行查询时,个人信息管理者要如实并免费告知是否拥有其个人信息、拥有其个人信息的内容、个人信息的加工状态等内容,除非告知成本或者请求频率超出合理的范围。
 
5.4 转移阶段
 
5.4.1 不违背收集阶段告知的转移目的,或超出告知的转移范围转移个人信息。
 
5.4.2 向其他组织和机构转移个人信息前,评估其是否能够按照本指导性技术文件的要求处理个人信息,并通过合同明确该组织和机构的个人信息保护责任。
 
5.4.3 保证转移过程中,个人信息不被个人信息获得者之外的任何个人、组织和机构所获知。
 
5.4.4 保证转移前后,个人信息的完整性和可用性,且保持最新。
 
5.4.5 未经个人信息主体的明示同意,或法律法规明确规定,或未经主管部门同意,个人信息管理者不得将个人信息转移给境外个人信息获得者,包括位于境外的个人或境外注册的组织和机构。
 
5.5 删除阶段
 
5.5.1 个人信息主体有正当理由要求删除其个人信息时,及时删除个人信息。删除个人信息可能会影响执法机构调查取证时,采取适当的存储和屏蔽措施。
 
5.5.2 收集阶段告知的个人信息使用目的达到后,立即删除个人信息;如需继续处理,要消除其中能够识别具体个人的内容;如需继续处理个人敏感信息,要获得个人信息主体的明示同意。
 
5.5.3 超出收集阶段告知的个人信息留存期限,要立即删除相关信息;对留存期限有明确规定的,按相关规定执行。
 
5.5.4 个人信息管理者破产或解散时,若无法继续完成承诺的个人信息处理目的,要删除个人信息。删除个人信息可能会影响执法机构调查取证时,采取适当的存储和屏蔽措施。

Stopbadware Intro – 制止坏软件组织 – 源自哈佛Berkman中心

Stopbadware是源自哈佛大学Berkman互联网与社会中心的一个非盈利性组织。

豆注:其实什么是bad ware,核心就是一句话:它在和你抢夺你电脑和网络连接的控制权吗?越是在你不知道的情况下、或者虽然你知道却无法改变的情况下,夺取你对你的电脑和网 络的控制权的软件,越是坏软件。自由最核心的要义就在于选择和决定。没有选择的地方,就是没有自由的地方,抢夺你的选择权、决定权的人,就是自由的敌人。

以下内容翻译自Stopbadware官方网站

———————————————————–

视觉化的Facebook信息流分析

下面的视频是一个视觉化的Facebook信息流分析计划,这种图像过去貌似只出现在描写007、FBI或者NCIS的影视中。技术从来不是我关心的重点,我只是忽然想大学时读过的一部科幻小说。那部小说里的人类科技无限发达,科学家们用数学运算的方法,在实验室里建立起了一个世界。然后忽然发现,我们的宇宙也是另一个宇宙的科学家们建立起来的一只小白鼠。类似的思想,在《黑客帝国》里也有过。

最后再稍微说明一下,宏观上,当人类有可能成为上帝的时候,我其实倒不是太恐慌——因为那属于杞人忧天,三千大千世界本由心生,没什么好着急的。再说我类大多难以成佛,所以只关心小世界也就行了,因此,我们真正需要关心的,恐怕在于这小世界的信息的总合逐渐为少部分师兄所掌握后,或者换句话说,当万千业力被统计和计算后,掌握统计结果的师兄们会不会拿着它们来要挟我,让我不但做小白鼠,而且还作小蟑螂被无端地撕扯(点这里看蟑螂的故事点这里读另一个故事)。

信息网络安全法律问题调查报告(节录)

Report of the Survey on Legal Issues on Information and Network Security (Excerpt)

 DONG Hao, ZHANG Fan

This report is a part of the China National Humanity and Sociology Research Project: Legal Issues in the Concern of Information and Internet Security (Team Leader: ZHANG Chu)By using online questionnaires to the netizens and varified with control group, the authors made a survey on the following aspects:

(1)  The Netizen’s attitudes to the issues relevant to ISPs’ liabilities in providing services, such as online bank, music downloading, e-contracting, e-payment, e-governance, online games, etc.

(2) The Netizen’s sense of legal conduction while surfing the line, such as the percentage of reading privacy policies before using web services, the attitude to the "human searching" (collective digging personal information in the Internet), the percentage of using pirate works, etc.

(3) The Netizen’s attitudes to the offensive conducts, such as online harassment, distributing individual portraits, unsolicited E-mails, etc., and their attitudes to the means of dispute resolution.

(3) The Netizen’s values in confront with the digitalization, such as their attitudes to the online copyright, the freedom of expression, the virtule properties in web games, etc.

The 22,000 words report analyzed the results of the above survey in details, the full copy of the report will be provided in this page soon.

 


 

信息网络安全法律问题调查报告(节录)

董皓、张樊

获取方式:

本报告全文刊发于中国政法大学知识产权研究中心学术辑刊:《知识产权前沿报告》第二卷,中国检察出版社,2008,各地书店有售。

内容简介:

  本报告为国家社会科学基金项目《信息网络安全的法律问题研究》(主持人:张楚)的组成部分。课题组采用问卷调查的方法,借助网络技术,面向大众进行了在线调查(同时设置了两个问卷点以校验结果)。调查内容包括:(1)网民对网络服务商责任的态度,包括网民对互联网服务的认识,对网上银行、网络音乐下载、电子合同、收费服务、电子政务、网络游戏等问题的态度;(2)网民对自身信息安全的法律意识,包括对网络立法的了解程度、对软件协议条款、隐私权政策的关注程度,(3)网民对网上性骚扰、肖像权侵害、成人信息、商业广告邮件等侵权(或准侵权)或违法行为的态度,以及对纠纷解决途径的认识;(4)网民对与信息安全有关的法律现象的认识,包括网民的版权保护意识、对网络言论尺度的看法、对个人电脑的保护重视程度、对网络交往的态度、对虚拟物的权利的态度等方面。

  报告对调查问卷的32个问题分别进行了详细的数据分析,所有问题均包括统计图表,报告全文二万余字,以下仅节录部分根据调查数据和分析得出的观点,供有兴趣的读者参考。如需获得报告全文,请参考上述全文获取方式。

不听豆豆言,吃亏在眼前

前几天我才说的:是药三分毒,话还没凉呢。

标题:诺顿误杀导致系统崩溃 中文企业版用户成重灾区
http://www.techweb.com.cn/news/2007-05-18/194434.shtml

【TechWeb消息】5月18日,诺顿杀毒软件升级病毒库后,会把Windows XP系统的关键系统文件当作病毒清除,重启后系统将会瘫痪。瑞星公司表示,截至中午12点已有超过7千名个人用户和近百家企业用户向瑞星客户服务中心求助,更多用户由于系统繁忙无法打入电话。
  据瑞星方面介绍,已经有大型互联网公司受此影响,上千台电脑无法正常使用,公司内部几乎瘫痪,原因就是使用诺顿企业版而引起系统崩溃。
  瑞星安全专家表示,安装了MS06-070补丁的XP系统,如果将诺顿升级最新病毒库,则诺顿杀毒软件会把系统文件netapi32.dll、 lsasrv.dll隔离清除,从而造成系统崩溃。由于国外品牌的笔记本和台式机多数预装了Windows XP系统和诺顿杀毒软件,这些用户极其容易遭到此次“误杀”攻击,因此中国大陆地区将有数百万台电脑面临崩溃的危险。由于该次误杀只发生在简体中文版的 XP系统上,因此对国外用户几乎没有影响 ……

是药三分毒

  自从1990年开始发育到现在的5000多天里,我平均每年到诊所看病两次,各种住院的时间加起来不到四十天(包括SARS期间因为流窜回家被逮捕的十二天),也就是说,我99%的时间是在没有医疗看护的条件下存活的。

  SARS期间的事是这样的,三月底的时候,嘻嘻TV报道说北京从二月份就有SARS病了,而我当时正好在北京,看电视的时候考虑到最近有点嗓子痛合并胸闷,为了响应全民扫黄打非的号召,更因为我发自内心的社会责任感和发自内心深处的怕死情结,我毅然前往医院检查身体,并报告了自己去过疫区的事情,于是我迅速被双规,入住一间可眺望到精神病科的隔离病房。尽管第二天我的嗓子和胸脯就恢复了正常,尽管第四天专门管我的呼吸科主任就揭下口罩对着我猛打哈欠(顺便说以下,他是我见过最有魅力的活的医生,其魅力直逼美国电视剧里的房子医生),尽管第六天我的释放就已经获得了医院专家组的同意,但是我还是待了十二天才得以回家。原因是:此事非同小可,需要上级部门层层备案审批,据说我的名字和其它数千个名字一起,一度送达正部长级的官员办公桌上等待画勾签字,这样看来,运行效率已经相当地奔腾了。

  我另一次偶然住院,邻床的老先生就没那么好的运气,他得了前列腺肥大要做手术,这个病其实没什么大不了的,手术也不痛苦,痛苦的是手术前的检查过程中,必须将铅笔粗的一根导管从尿道口插入,而这种插入必然带来炎症(为什么?你插一下试试就知道了),如果炎症严重,医生们为了保证到时候不出事情,就会拔出导管推迟手术。这意味着下次手术前就要再插一次,而在社会主义市场经济条件下,这期间的插入费用、消炎费用和拔出费用当然都是被插的人支付。年龄越大的患者,医生的胆子越小,所以老先生总共被插了四次,第四次听说还要再拔出来的时候,这位平时宅心仁厚、和蔼可亲的老先生终于忍无可忍,冲到窗前准备跳楼,听说后来医生们没办法,“冒险”做了手术,终于使老先生免去再插之苦。

  说这些,是要说明下面的道理:
  (1)虽然讳疾忌医的思想相当错误,但健康的体魄不是医疗监护出来的,而是从正确的习惯和适当的运动中得来的。
  (2)住院本身是要成本的,除了花钱外,还会限制你的工作效率,降低你抵御疾病的能力,甚至反而增加缓病的风险,危害你的生理和心理健康。

信息网络安全的法学定义研究

 

信息网络安全的法学定义研究——从技术视角向法律思维的转换

董皓、张楚*

———————————–

本文引用方式:董皓、张楚:“信息网络安全的法学定义研究——从技术视角向法律思维的转换”,载《信息网络安全》2006年第2期(总第62 期),第12-15页。

————————————

陷阱”(Entrapment)[2]到震惊世界的黑客米特尼克(Mitnick)[3],从各式各样的软硬件防火墙到数字签名技术,“信息网络安全”似乎已经成为二十一世纪最吸引眼球的关键词之一。这个词汇产生了巨大的引力,拉近了计算机工程师和法官这两种原本并不相干的职业的距离,进而让各国立法者们忙碌起来,纷纷开始草拟有关“网络安全”或者“信息安全”的法律条文——事情好像已经变得非常简单,只要我们手中有一本标明了条款序号的小册子,信息网络安全就和“国家安全”、“财产安全”或者“交易安全”一样,成为法官和行政执法者当然的口号和定争止纷的利器,我们的法律体系也就成功地迈入所谓“信息网络时代”了。
但是,在探讨与信息网络安全有关的法律问题乃至谋求制订诸如“信息网络安全法”一类立法之前,我们同样必须首先回答以下一些看似简单的问题:什么样的信息网络才是“安全”的?在不同的法域和法律文化中,“信息网络安全”是否相同?而这些问题的核心在于“信息网络安全”这一词汇的定义——如果说日常生活中,我们可以采用模糊概念的话,那么在一个(至少是追求)逻辑自足的法律体系中,“信息网络安全”则必须有明确的定义——只有这样,才能使立法条文前后一致、表述清晰,也才能为相关的探讨建立起统一的语境,从而为更深入的分析研究铺平道路。

台湾:电脑网路內容分级处理办法

名  稱: 電腦網路內容分級處理辦法 (民國 94 年 10 月 17 日 修正)
第1條  本辦法依兒童及少年福利法第二十七條第三項規定訂定之。
 
第2條  本辦法用詞,定義如下:
一、電腦網路:指以聯機方式擷取網站資訊之開放式應用網際網路。
二、電腦網路服務提供者:指網際網路接取提供者、網際網路平臺提供者及網際網路內容提供者。
三、網際網路接取提供者:指以專線、撥接等方式提供網際網路聯機服務之業者。
四、網際網路平臺提供者 (以下簡稱平臺提供者) :指在網際網路上提供硬體之儲存空間、或利用網際網路建置網站提供資訊發佈及網頁連結服務功能者。
五、網際網路內容提供者 (以下簡稱內容提供者) :指實際提供網際網路網頁資訊內容者。
六、電腦網路分級服務機構:指受政府委託統籌網際網路內容分級運作之非營利性法人組織。
 論文
第3條  電腦網路內容不得違反法律強制或禁止規定。
 
第4條  電腦網路內容,有下列情形之一,有害兒童及少年身心發展者,列為限制級,未滿十八歲者不得流覽。
一、過當描述賭博、吸毒、販毒、搶劫、竊盜、綁架、殺人或其他犯罪行為者。
二、過當描述自殺過程者。
三、有恐怖、血腥、殘暴、變態等情節且表現方式強烈,一般成年人尚可接受者。
四、以動作、影像、語言、文字、對白、聲音、圖畫、攝影或其他形式描繪性行為、淫穢情節或裸露人體性器官,尚不致引起一般成年人羞恥或厭惡感者。
電腦網路內容非列為限制級者,仍宜視其內容,由父母、監護人或其他實際照顧兒童之人輔導流覽。
 
第5條  平臺提供者、內容提供者提供網路聊天室、討論區、貼圖區或其他類似之功能者,應標示是否設有管理員及適合進入流覽者之年齡。
 
第6條  電腦網路內容列為限制級者,應依下列規定標示:
一、內容提供者應於網站首頁或各該限制級網頁之電腦程式碼,依主管機關或其委託機構規定作標示。
二、內容提供者提供內容屬性主要為限制級者,應於網站首頁或各該限制級網頁標示限制級分級標識或「未滿十八歲者不得流覽」意旨之文字。
三、平臺提供者、內容提供者,提供內容屬性系部分涉及限制級者,得不為前款標示。但應於網站首頁或各該限制級網頁標示「本網站已依臺灣網站內容分級規定處理」意旨之文字。
限制級分級標識如附圖。
 
第7條  平臺提供者未限制未滿十八歲者流覽時,應提供分級服務輔助措施。其無法有效限制流覽者,亦同。
 
第8條  電腦網路服務提供者經政府機關或其委託之機構告知電腦網路內容違法或違反本辦法規定者,應為其他限制兒童及少年接取、流覽之措施,或先行移除。
 
第9條  政府應協助電腦網路分級服務機構,進行電腦網路內容觀察、分級標準辭彙之檢討、等級評定及申訴機制之建立。
政府主管機關應輔導或鼓勵電腦網路服務提供者建置電腦網路內容分級機制。
 
第10條  電腦網路服務提供者應自本辦法施行之日起十八個月內,完成電腦網路分級之相關準備措施,並進行分級。期限屆至前,應依臺灣網際網路協會訂定之網際網路服務業者自律公約,採用內容過濾或身分認證等措施機制,防制兒童或少年接取不良之資訊。
 
第11條  本辦法自發佈日施行。

制度创新中的利益平衡——与内容安全有关的几个焦点法律问题

本文不适用本站创作共用约定,作者保留所有权利,如需转载,请事先取得作者许可。
报告人:
董皓,中组部、教育部“西部之光”计划访问学者,云南大学教师。
作者:
张楚(中国政法大学教授、博士生导师,知识产权研究所所长)、董皓
 
[摘要] 本文从雇员隐私与雇主利益、国家利益与社会利益、知识产品(软件)设计者的利益与软件拥有者的利益等多个方面,探讨了与内容安全相关的法律问题。本文的核心观点是:互联网上的制度创新是一项在各国既有的法律传统基础上的,兼顾各方面利益的审慎工作。在内容安全领域,各国法律传统对新制度的影响尤为突出,这是因为,内容安全与域名等问题不同,从一开始就并非技术问题,而是社会发展中新利益的平衡问题。
 
一、内容安全的概念
1、特征
(1)直接发生在信息的“内容”层次上。
(2)以数据安全为基础
(3)超越数据安全
2、内容安全的两层含义:
“内容安全技术”:以技术的形式手段解决内容的实质问题。
“内容安全制度”:以设定权利义务的实质手段确立内容的形式标准
“内容安全制度”涉及众多法律领域:知识产权、宪法、行政法、合同法、劳动法、人格权法、刑法等等
3、“内容安全”概念的法律地位——与域名概念的一个比较
n      “内容安全”是在社会发展中产生的概念
n     传统法律的规范大不到规范网络内容安全的效果,人们因此才转而谋求技术手段来弥补
n      “域名”是一个技术词汇
n      单纯技术不能解决域名争议和域名抢注,需要法律制度
n      在民法、商标法的既有框架内寻找办法
 
二、制度创新的原则
n   遵循法律的固有体系
n   照顾各方面的利益平衡
n   迅速有效Vs.制度完善
 
三、制度创新中需要平衡的几方面利益
1、雇主利益Vs.雇员隐私
雇主方面,追求的是:
保障商业秘密
降低运营成本
雇员方面,希望的是:
提高自身能力
提高劳动价格
保障自身行为的私密性
《劳动法》及其它法律为雇主的利益提供了相对充分的保障,但雇员的相对利益则缺乏保护。例如,《劳动法》只规定了“企业违反法律、法规”时的责任,而隐私权恰恰没有法律规定。相反,《劳动法》中规定“用人单位应当依法建立和完善规章制度,保障劳动者享有劳动权利和履行劳动义务。”“严重违反劳动纪律或者用人单位规章制度的”可以解雇。这样,雇主就可以在规章制度中规定严厉的隐私检查政策,最大化地保障自己的利益。
《关于禁止侵犯商业秘密行为的若干规定》进一步强化了这种对雇主利益的保护:“权利人的职工违反合同约定或者违反权利人保守商业秘密的要求,披露、使用或者允许他人使用其所掌握的权利人的商业秘密。”就可能遭到雇主解雇、请求赔偿的法律后果。而“权利人保守商业秘密的要求”则实际上把规则的制订权力交给了雇主。
2、国家利益Vs.社会利益
国家(政府)利益
社会(个人)利益
保障政治稳定
维护国家秘密
促进精神文明
最大化获取信息
满足个人精神和物质需求
提高生活质量,降低竞争成本
现有法律:较多偏重国家利益。全国人大《关于维护互联网安全的决定》、《电子公告
3、网络软件的 设计者利益 Vs. 拥有者利益
设计者利益
拥有者利益
保护绝对的知识产权
取得最大化的衍生收益
完全控制所购买的产品
获得稳定的产品效能
法律的趋势:不保护设计者利益à绝对保护设计者利益à 平衡保护
 
四、结论
n   内容安全问题是:
“社会问题===> 法律失效===> 技术方案===> 回归法律” 的过程
n   平衡利益是回归法律的关键
n   对一些问题,现有法律不是不能解决,而是解决成本过高
n   需要制度创新
本文不适用本站创作共用约定,作者保留所有权利,如需转载,请事先取得作者许可。

Some Useful Links on China Internet Governance

Internet Governance in China is an aspect of my research topics. The following is a list of some useful publicated materials on the topic. I believe this collection is very copyrightable even it is just a rough version. This list is also contributed by Dr. Zhao Yun, so please at least mention our name (Zhao Yun and Dong Hao) and the URL of this site (www.blawgdog.com) after you use it.
 
Click HERE to see the details.