首页 > 文章中心 > 网络信息安全等级保护条例

网络信息安全等级保护条例

前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇网络信息安全等级保护条例范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。

网络信息安全等级保护条例

网络信息安全等级保护条例范文第1篇

关键词:信息安全;等级保护;技术方案

中图分类号:TP393.092

随着采供血业务对信息系统的依赖程度越来越高,信息安全问题日益突现,各采供血机构对信息安全保障工作给予了高度重视,各方面的信息安全保障工作都在逐步推进。《卫生行业信息安全等级保护工作的指导意见》(卫办发[2011]85号)指出[1],依据国家信息安全等级保护制度,遵循相关标准规范,全面开展信息安全等级保护定级备案、建设整改和等级测评等工作,明确信息安全保障重点,落实信息安全责任,建立信息安全等级保护工作长效机制,切实提高卫生行业信息安全防护能力、隐患发现能力、应急能力,做好信息安全等级保护工作,对于促进采供血机构信息化发展,维护公共利益、社会秩序和国家安全具有重要意义。

1 信息安全等级保护概述

1994年国务院147号令《中华人民共和国计算机信息系统保护条例》,规定我国实行“计算机信息安全等级保护制度”[2]。根据147号令的要求,公安部制定了《计算机信息等级划分标准》(GB17859-1999以下简称GB17859),该标准是我国最早的信息安全等级标准。

当前实施的信息安全等级保护制度是由公安部等四部委联合发文《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)及《信息安全等级保护管理办法》(公通字[2007]43号),文件明确了信息安全等级保护制度的原则、内容、工作要求、部门分工和实施计划,为信息安全工作提供了规范保障。这些信息安全的有关政策法规主要是从管理角度划分安全等级的要求。

2006年,国家信息安全技术标准化技术委员会以GB17859为基本依据,提出并制定了一系列信息安全国家标准(GB/T20269-2006《信息安全技术 信息系统安全管理要求》等)。这一系列规范性文件体现了从技术角度划分信息安全等级的要求,主要以信息安全的基本要素为单位,对实现不同安全要求的安全技术和机制提出不同的要求。本文主要讨论以GB17859为依据从技术角度探讨信息安全等级保护技术在采供血机构中的实践。

2 等级保护技术方案

信息安全等级保护制度明确了信息安全防护方案,要求确保信息系统安全稳定运行,确保信息内容安全。保证业务数据在生成、存储、传输和使用过程中的安全,重要业务操作行为可审计,保证应用系统可抵御黑客、恶意代码、病毒等造成的攻击与破坏,防范恶意人员对信息系统资源的非法、非授权访问。

2.1 实现要求。三级安全应用平台安全计算环境的安全目标是保护计算环境的终端、重要服务器、乃至上层的应用安全和数据安全,并对入侵事件进行检测/发现、防范/阻止和审计/追查。依据GB17859-1999等系列标准把相关技术要求落实到安全计算环境、安全区域边界和安全通信网络、安全管理中心及四个部分,形成“一个中心”三重保障体系[3]。

图1 三级安全应用平台TCB模型

2.2 安全计算机环境。安全计算机环境是由安全局域通信网络连接的各个安全的计算资源所组成的计算环境,其工作方式包括客户/服务器模式;主机/终端模式;服务器/工作站模式。

2.3 安全区域边界。是安全计算环境通过安全通信网络与外部连接的所有接口的总和,包括防火墙、防病毒网关及入侵检测等共同实现。

2.4 安全通信网络。实现信息系统中各个安全计算机环境之间互相连接的重要设施。包括安全性检测、安全审计病毒防杀、备份与故障恢复以及应急计划与应急反应。

2.5 安全管理中心。针对安全计算机环境、安全区域边界和安全通信网络三个部分的安全机制的集中管理设施。针对安全审计网络管理、防病毒等技术的安全集中管理。

3 采供血机构信息系统等级保护建设

3.1 定级。采供血机构为地市级公益卫生事业单位,信息管理系统受到破坏会严重损害社会秩序,采供血业务停滞会严重损害公共利益,信息泄露则会严重影响公众利益,按信息系统安全等级保护定级指南,确定采供血信息系统安全保护等级为第三级。

3.2 系统分析。采供血信息系统覆盖采供血业务和相关服务过程,包括献血者档案、血液采集、制备、检验和发放等信息记录必须妥善保存并保持可溯性。艾滋病疫情信息根据国家相关法律法规的要求,必须防止泄露,以免产生对国家安全及社会稳定的负面影响。

信息系统核心由两台双机热备服务器、磁盘阵列柜组成,采用硬件VPN、硬件防火墙作为网络安全设备。应用VPN技术将远离采供血机构本部的献血屋、移动采血车及医院输血科使用的业务计算机与站内的服务器联网。

3.3 等级保护建设。依据GB17859-1999等系列标准把相关技术要求落实到安全计算环境、安全区域边界和安全通信网络和安全管理中心四部分。构建“一个中心”管理下的“三重保障体系”,实现拓朴图如下:

图2 采供血机构拓扑图

3.3.1 安全计算环境。系统层主要进行身份认证及用户管理、访问控制、安全审计、审恶意代码防范,补丁升级及系统安全性检测分析。安全计算环境主要依靠在用户终端或是服务器中充分挖掘完善现有windows/Linux操作系统本身固有的安全特性来保证其安全性。在应用系统实现身份鉴别、访问控制、安全审计等安全机制。

3.3.2 安全区域边界。在网络边界处以网关模式部署深信服下一代防火墙AF-1320,电信及联通两条线路都接入其中,达到以下防护目的:(1)区域边界访问控制:逻辑隔离数据、透明并严格进行服务控制,隔离本单位网络和互联网,成为网络之间的边界屏障,单位内部电脑上网,实施相应访问控制策略,设置自主和强制访问控制机制;(2)区域边界包过滤:通过检查数据包源地址、过滤与状态检测提供静态的包过滤和动态包过滤功能;(3)区域边界安全审计:由内置数据中心和独立数据中心记录各类详细事件,并产生统计报表。还可根据管理者定义的风险行为特征自动挖掘并输出风险行为智能报表;(4)完整性保护:保护计算机网络免受非授权人员的骚扰与黑客的入侵,过滤所有内部网和外部网之间的信息交换。该防火墙具有IPS入侵防护,防护类型包括蠕虫/木马/后门/DoS/DDoS攻击探测/扫描/间谍软件/利用漏洞的攻击/缓冲区溢出攻击/协议异常/ IPS逃逸攻击等;具有网络应用层防护,识别及清杀恶意代码功能。

3.3.3 安全通信网络。当用户跨区域访问时,根据三级标准要求,需要进行数据传输保护。通过部署VPN安全设备构建安全隧道,实施机密性和完整性保护,实现对应用数据的网络传输保护。(1)本单位用采两台深信服VPN网关为跨区域边界的通信双方建立安全的通道。一台为IPsec VPN用于连接采供血机构的分支机构如大型献血屋,另一台为SSL VPN用于小型捐血屋、流动采血车、各医院与采供血机构的数据通信。VPN设备可为采供血机构内部网络与外部网络间信息的安全传输提供加密、身份鉴别、完整性保护及控制等安全机制。另外,VPN安全网关中设计了审计功能来记录、存储和分析安全事件,可为安全管理员提供有关追踪安全事件和入侵行为的有效证据;(2)在防火墙下端部署华为S5700系列三层核心交换机,并在网络中划分VLAN,设置部门应用终端的访问权限,规定哪些部门可以访问哪些服务器等以减少网络中的广播风暴,提高网络效率;(3)在行政办公区域利用深信服上网行为管理(Sinfor-M5000-AC)有效管理与利用互联网资源,合理封堵非业务网络应用。

3.3.4 安全管理中心。信息安全等级保护三级的信息系统,应建立安全管理中心,主要用于监视和记录信息系统中比较重要的服务器、网络设备等环节,以及所有应用系统和主要用户的安全状况。本单位目前安全管理中心由两部分组成,配置赛门铁克赛门铁克SEP12.1,采用分布式的体系结构部署了防病毒系统中心、防病毒服务器端、防病毒客户端、防病毒管理员控制台。防病毒软件与防火墙、VPN及上网行为管理协同完成通信线路、主机、网络设备、应用软件的运行等监测和报警,并形成相关报表。对设备状态、恶意代码、补丁升级及安全审计等相关事项进行集中管理。

4 结束语

按照等级保护的相关规范和技术要求,结合采供血机构具体网络和系统应用,设计三级信息安全等级保护方案并建设,保证采供血机构网络的安全、稳定、通畅,保障了整个采供血业务的正常运转,更好地服务于广大患者。

参考文献:

[1]网神信息技术(北京)股份有限公司[J].信息网络安全,2012(10):28.

[2]郎漫芝,王晖,邓小虹.医院信息系统信息安全等级保护的实施探讨[J].计算机应用与软件,2013(01):206.

[3]胡志昂,范红.信息系统等级保护安全建设技术方案设计实现与应用[M].北京:电子工业出版社,2011:98-104.

网络信息安全等级保护条例范文第2篇

[关键词] 电子政务 信息安全 等级保护 风险评估

1 概述

电子政务是政府管理方式的革命,它是运用信息以及通信技术打破行政机关的组织界限,构建一个电子化的虚拟机关,使公众摆脱传统的层层关卡以及书面审核的作业方式,并依据人们的需求、人们可以获取的方式、人们要求的时间及地点等,高效快捷地向人们提供各种不同的服务选择。政府机关之间以及政府与社会各界之间也经由各种电子化渠道进行相互沟通。

电子政务的建立将使政府社会服务职能得到最大程度的发挥,但也使政府敏感信息暴露在无孔不入的网络威胁面前。由于电子政务信息网络上有相当多的政府公文在流转,其中不乏重要信息,内部网络上有着大量高度机密的数据和信息,直接涉及政府的核心政务,它关系到政府部门、各大系统乃至整个国家的利益,有的甚至涉及国家安全。因此,电子政务信息安全是制约电子政务建设与发展的首要问题和核心问题,是电子政务的职能与优势得以实现的根本前提。如果电子政务信息安全得不到保障,不仅电子政务的便利与效率无从保证,更会给国家利益带来严重威胁。

2 电子政务信息系统面临的威胁

电子政务涉及对政府机密信息和敏感政务的保护、维护公共秩序和行政监管的准确实施以及为保障社会提供公共服务的质量。电子政务作为政府有效决策、管理、服务的重要手段,必然会遇到各种敌对势力、恐怖集团、捣乱分子的破坏和攻击。尤其是,电子政务在基于互联网的网络平台上,他包括政务内网、政务外网和互联网,而互联网是一个无行政主管的全球网络,自身缺少设防,安全隐患很多,使得不法分子利用互联网进行犯罪有机可乘,这就使得基于互联网开展的电子政务应用面临着严峻的挑战。

对电子政务的安全威胁包括网上黑客入侵和犯罪、病毒泛滥和蔓延,信息间谍的潜入和窃密,网络恐怖集团的攻击和破坏,内部人员的违规和违法操作,网络系统的脆弱和瘫痪,信息安全产品的失控等,对于这些威胁,电子政务的建设和应用应引起足够警惕,采取果断的安全措施,应对这种挑战。

3 电子政务信息安全管理体系的构建

要有效维护电子政务信息系统的安全,就需要构建电子政务安全管理体系,从而使政务的信息基础设施、信息应用服务能够具有保密性、完整性、真实性和可用性。电子政务安全管理体系包括安全技术体系、安全管理体系和安全服务体系,涉及从管理到组织,从网络到数据,从法规标准到基础设施等各个方面。

3.1 加强安全技术力量是实现电子政务安全的基本方法

安全技术体系是利用技术手段实现技术层面的安全保护,是对电子政务安全防护体系的完善,包括网络安全体系、数据安全传输与存储体系,功能主要是通过各种技术手段实现技术层次的安全保护。

网络安全体系包括网闸、入侵检测、漏洞检测、外联和接入检测、补丁管理、防火墙、身份鉴别和认证、系统访问控制、网络审计等;数据安全与传输与存储体系包括数据备份恢复、PKI/CA、PMI等。整个电子政务的安全,涉及信息安全产品的全局配套和科学布置,产品选择应充分考虑产品的自和自控权。在关键技术、经营管理、生产规模、服务观念等方面,要集中人力、物力,制订相关政策,大力发展自主知识产权的计算机芯片、操作系统等信息安全技术产品,以确保关键政府部门的信息系统的网络安全。加强核心技术的自主研发,并尽快使之产品化和产业化,尤其是操作系统技术和计算机芯片技术。现阶段各地政府部门目前所选用的高端软硬件平台,很多都是国外公司的产品,这也对政务安全带来了许多隐患。因此,在构建电子政务系统的时候,在可能的情况下,我们应尽量选用国产化技术和国内公司的产品。

3.2 构建安全管理体系是电子政务安全实施的重要基础

安全管理是解决电子政务的安全问题在技术以外的另一有力保障和途径。由于安全的防范技术与破坏技术总是“势均力敌”、“相互促进”的。作为防范者就更应该在安全防范的管理上下更大的工夫。安全管理主要涉及三个方面:法律法规、安全防护体系以及等级保护政策。

3.2.1法律政策、规章制度和标准规范

电子政务的工作内容和工作流程涉及到国家秘密与核心政务,它的安全关系到国家的、国家的安全和公众利益,所以电子政务的安全实施和保障,必须以国家法规形式将其固化,形成全国共同遵守的规约。目前,世界上很多国家制定了与网络安全相关的法律法规,如英国的《官方信息保护法》等。我国虽然颁发了一些与网络安全有关的法律法规,如《计算机信息系统安全保护条例》、《计算机信息系统保密管理暂行规定》等等,但显得很零散,还缺乏关于电子政务网络安全的专门法规。此外,在完善法律法规的同时,还应该加大执法力度,严格执法,这一目标的实现不仅需要政府组织的努力,更要国家立法机构的参与和支持。

3.2.2电子政务防护体系

贯穿整个电子政务的安全防护体系,对电子政务安全实施起全面的指导作用,具体包括三个方面的内容:安全组织机构、安全人事管理、以及安全责任制度。建立安全组织机构,其目的是统一规划各级网络系统的安全、制定完善的安全策略和措施、协调各方面的安全事宜,主要职责包括制定整体安全策略、明确规章制度、落实各项安全措施实施,以及制订安全应急方案和保密信息的安全策略;安全人事管理,其主要内容包括:人事审查与录用、岗位与责任范围的确定、工作评价、人事档案管理、提升、调动与免职、基础培训等;制定和落实安全责任制度,包括系统运行维护管理制度、计算机处理控制管理制度、文档资料管理制度、操作和管理人员管理制度、机房安全管理制度、定期检查与监督制度、网络通信安全管理制度、病毒防治管理制度、安全等级保护制度、对外交流安全维护制度,以及对外合作制度等。

3.2.3等级保护制度

通过全面推行信息安全等级保护制度,逐步将信息安全等级保护制度落实到信息系统安全规划、建设、测评、运行维护和使用等各个环节,使信息安全保障状况得到基本改善。通过加强和规范信息安全等级保护管理,不断提高信息安全保障能力,为维护信息网络的安全稳定,促进信息化发展服务。

4 完善安全服务是维护电子政务安全实施的有力保障

4.1 安全等级测评和风险评估管理

电子政务信息系统安全测评服务,其实质是通过科学、规范、公正的测试和评估向被测评单位证实其信息系统的安全性能符合等级保护的要求。

由于信息安全直接涉及国家利益、安全和,政府对信息产品、信息系统安全性的测评认证要更为严格。对信息系统和信息安全技术中的核心技术,由政府直接控制,在信息安全各主管部门的支持和指导下,依托专业的职能机构提供技术支持,形成政府的行政管理与技术支持相结合、相依赖的管理体制。 风险管理是对项目风险的识别、分析和应对过程。它包括对正面事件效果的最大化及对负面事件影响的最小化。电子政务安全风险管理的主要任务是电子政务信息系统的风险评估并提出风险缓解措施,前者是识别并分析系统中的风险因素,估计可能造成的损失,后者是选择和实施安全控制,将风险降低到一个可接受的水平。

4.2 安全培训服务

根据不同层次的人才需求,社会化的信息安全人才培养体系应分为专业型教育、应用型教育和安全素养教育三个层次。专业型教育主要是培养信息安全领域的专业研发、工程技术、战略管理等方面的人才。应用型(半专业)教育则是以从事现代信息管理工作的人作为对象,培养目标是要求学生具备信息安全的基本知识、网络和信息系统安全防范技能、组织机构或系统安全管理的能力等。这种应用型的信息安全教育要求受教育对象数量要多,覆盖面要广,基本信息技能要强。通过课程、讲座、宣传等多种形式,达到让每一个人都具备必要的安全意识和常规的信息安全自我防范技术的目的。要求单位领导应具备必要信息安全意识和安全知识;信息管理人员应具备一定的信息安全知识和基本技能;从事信息服务或信息安全服务的有关人员应具备必要的信息安全知识和技术基础等。

构建安全稳定的政务信息系统,技术、管理、服务作为支撑体系的三大要素,缺一不可。只有这三方面都做好了,才能实现海西政务信息管理体系的全面提升。

参考文献:

[1] 何玲,电子政务环境下政府电子文件管理新探索[D].成都:四川大学硕士学位论文,2008.

网络信息安全等级保护条例范文第3篇

关键词:网络经济;安全;现状;策略

中图分类号:G64 文献识别码:A 文章编号:1001-828X(2015)017-0000-02

信息化时代造就了网络经济的蓬勃发展,其具备的直接性、边际效益递增性、可持续性等特点直接促进了新型经济关系与经济形态的发展。但是由于网络经济是依托计算机网络而诞生和发展起来的,计算机网络天生具备的安全缺陷使得网络经济在这一核心媒介下面临严重的安全威胁。网络经济信息安全已经成为阻碍网络经济繁荣发展的一大屏障,通过技术层面、舆论层面乃至精神层面的措施保障网络经济信息安全亟待落实。

一、网络经济安全的内涵与现状

(一)网络经济安全的内涵与范畴

网络经济安全是维护网络经济平稳健康运行的一系列安全措施集合及其状态。从内容上看,网络经济安全是两种安全的有机结合:网络安全与经济安全。网络安全是指在两个实体之间保证信息交流以及通信的安全可靠,满足计算机网络对信息安全的可用性、完整性、保密性、真实性、实用性和可维护性等的要求。经济安全则是基于基本经济运行规律和守则,保证经济行为的合法性与合理性。经济安全是核心,网络安全是保障,两者在网络经济发展的进程中不断融合,形成了具有独特特性的经济形态安全概念。从范畴上看,网络经济安全包含多个层面的安全:如国家网络经济安全与区域网络经济安全、基于全产业链的网络经济安全与企业网络经济安全、电子商务经济与网络广告经济、网络经济从业安全与网络经济支持安全、网络金融安全与网络财税安全等。不同范畴的网络经济安全拥有不同的安全措施体系与安全理念,但核心思想都是维护网络经济的整体秩序与环境。

(二)我国网络经济安全的现状

伴随着实体经济的发展,网络经济的规模与质量也逐年提升。中国网民的规模世界第一、国家域名注册量世界第一、网络购物应用位居中国十大网络应用之一、电子商务已经深入到每个人的日常生活之中……种种表现都预示着网络经济繁荣的成果与势头。但是在繁荣的背后,因为安全措施的不到位、安全观念的落后、安全机制的缺失所导致的网络经济安全缺少保障的案例时有发生。尽管部分企业针对资金安全、信息安全等采取了较好的安全措施,在硬件配置、软件开发、信息传递等方面提供了较好的安全保障,但广大的中小企业在安全领域的忽视与不作为,以及日趋恶化的网络总体环境却掩盖不了网络安全形势的严峻。资金流失、信息盗取等不同形式的网络经济犯罪行为层出不穷,严重威胁着从企业到群众,从国家到区域的网络经济安全。

具体而言,我国网络经济安全还存在以下几个问题:一是缺少顶层设计与系统规划的意识,网络安全缺乏整体和高层的战略目标、战略重点、战略举措的规划,这就导致网络经济安全无法上升到国家战略层面的安排和构想;二是安全产品和设备的技术不过硬。这是网络经济安全犯罪高发的技术层面原因,也是直接影响网络经济健康可持续发展的关键要素。这与国家整体安全技术研发水平较低和人才培养机制不健全有着紧密的联系;三是经济信息保密程度不够或法律层面界定不清。这和问题背后也隐含着另外两个更重要的问题:即公众网络安全意识不够,以及网络安全法律不健全。四是网络安全产业链整体互动不健康。目前网络经济及其安全各个环节还缺少良性互动,上下游企业合作松散,缺乏规范的约束手段,既影响了各自和整体效应,也使网络经济风险有机可乘[1]。

二、网络经济安全的应对策略

(一)加强基础设施保障体系建设

基础设施是网络经济安全的基础,是维护网络经济秩序,促进网络经济健康发展的外在保障。这里的基础设施不仅仅指的是安全硬件设备的研发与装备,同时也囊括安全机构的设立与协同合作、安全等级保护等相关制度的制定与执行两个部分,安全硬件设备的研发与装备是实现网络经济安全的物理保障,国家有关部门、企业等单位要在互联网接入、服务器使用、安全软件应用等方面提高安全警戒级别,谨防存在安全漏洞的安全产品进入信息流通的环节,造成信息泄露和安全威胁;安全机构的设立与协同合作强调政府部门在网络经济安全上的责任与行动部署,通过建立快速准确的预警机制、信息机制和处理机制,建立国家层面的协调应急机构与部门层面、地方层面的分支机构,构筑起维护网络经济系统安全的防范体系;安全制度的建立是从隐形视角出发构建维护网络经济安全的无形的力量。例如病毒防治制度、网络消费者权益保护制度、网络安全等级保护制度等。制度可以增强行动的执行效率,明晰权责分配,增强规范的灵活性和可操作性,弥补法律法规在操作层面的不足。

(二)完善信息网络法律法规体系

网络经济安全必须依靠法律法规的健全以抑制网络经济犯罪行为。我国目前的信息安全法相关法规主要有八部,包括《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》、《互联网信息服务管理办法》等,这些法律用于规范信息系统或与信息系统相关行为,同时国务院也下发《关于加快电子商务发展的若千意见》,针对电子交易过程、市场准入、用户隐私保护、信息资源管理等多方面现实问题进行规范和引导。立法部门应针对网络经济安全领域制定专门的法律,用于保障网络经济运行全过程环节的安全,同时也应积极融入国际经济信息安全法的制定过程中,融入国际性网络经济安全体系。

(三)建立网络安全人才培养机制

目前我国计算机安全人才培养已出具规模,在部分高校也成立了专门的计算机信息安全研究机构。这些机构在人才培养、科学研究等方面也已经取得了较好的成果,为我国的信息安全领域培养了数以万计的专业人才。但是目前网络安全人才培养缺乏层次性和系统性,国家应注重独立自主的网络经济信息安全技术人才培养体系的建设,通过科研型单位、工程型单位和应用型单位,立体式的培养网络经济安全人才。此外,监狱网络经济安全的复杂性,高等学校也应注重培养法律、经济、互联网领域的复合型人才,以应对网络经济安全不断出现的新挑战。

(四)拓展网络安全文化传播渠道

网络安全应该是一种全民意识。现有的网络安全宣传多是安全厂商和专业安全机构在利益的驱动下进行,企业和普通网民在这一宣传潮流中往往处于被动地位[2]。这就说明我国公众网络安全意识还未形成,社会也远未形成网络安全文化氛围。一方面与我国正处于网络社会的初级阶段之现实有关,另一方面也与我国网络安全文化的宣传机制和渠道落后有关。我国网民虽位居全球第一,但网民的总体素质却处于较低层次,网络安全文化无法通过有效渠道对外传播,即使存在若干传播渠道,却因传播方式、传播机制的不当而收效甚微。

网络安全文化主要包括网络安全知识、网络道德教育等内容,针对网络经济安全方面的内容则更细化,如网络经济安全基本常识、网络经济的运行模式、网络经济道德等。网络经济安全文化氛围的形成,就需要通过不同的渠道向公众传播相关知识。现有的传播渠道仅限于网络经济运营商的安全操作说明、国家有关部门和安全协会的安全操作公益广告、新闻传播主体制作的网络经济安全节目等,这些传播手段在促进网络经济安全普及化的进程中起到了重要的作用,今后网络经济安全文化的传播渠道应把握“全民化”的脉络,增加自媒体、流媒体、新媒体的传播分量,注重拓展宣传形式,扩展和精细化宣传内容,让更多的人认识和接受网络经济安全文化。

参考文献:

网络信息安全等级保护条例范文第4篇

1商务主要的信息安全要素

1.1有效性

有效性是指信息发送方发送给信息接收方的信息是未经外人加工、改变的信息。贸易数据都具有特定型性,是指贸易信息只有在特定的时刻和确定的地点才是有效的。电子商务改变了过去纸质的方式,以电子的形式传递信息,如何确保电子信息在传送过程中的未经加工是确保信息有效的前提。电子商务中信息的有效性对企业、个人、甚至国家的经济利益有着重大的影响,所以,要及时对网络故障、应用程序错误、系统软件错误或者计算机病毒引起的信息安全隐患进行防范,以确保数据的有效性。

1.2保密性

保密性是指贸易信息在存储或传递过程中未经他人窃取或泄露。传统的纸质贸易信息一般是通过邮寄的信件及其他可靠的传递渠道来互送商业贸易文件以确保信息的安全。现代电子网络是一个开放的传递平台,维护商业贸易信息显得更加重要,确保商业机密的保密性是电子商务全面推广应用的基本保障。所以,必须确保贸易信息在传递过程中的保密性,防止非法窃取及泄露。

1.3完整性

完整性是指电子贸易信息在传递的过程中没有没被修改、歪曲和重复,信息的接受者接收到的信息与信息发送方发送的信息完全相同。贸易信息的完整性会对贸易各方经济利润、营销策略和贸易合同产生巨大影响。确保贸易信息的完整性是电子商务实际应用的重要基础。所以,在信息传递过程中要防范信息被随意生成、修改和删除,防止信息的丢失与重复,同时信息的传递次序要保证统一。

1.4可靠性

电子商务信息直接关系到贸易双方的商业交易,在交易过程中如何确保进行交易的对方与交易所期望的贸易方是同一者,这就需要电子商务信息必须确保本身的可靠性。在传统的商业交易中,双放当事人可以通过手写签名或印章等形式确保双方的身份,但是电子商业贸易利用网络这一形式,无法采取传统的身份认定形式,就必须确保贸易信息的可靠性,从而为贸易双方进行商业交易奠定重要基础。

2电子商务安全的技术要求

2.1物理安全

要根据国家标准、信息安全等级、信息技术情况,制定切实可行、符合实际情况的的物理安全标准体系。本体系可以防范设备功能失常、电源事故、电磁泄漏等引起的信息失密等。

2.2网络安全

为了保证电子商务交易的安全可靠,电子商务平台须稳定可靠,能够全天候正常运行。系统在运行的任何中断,如病毒入侵、网络故障或硬件软件错误等都会对正在进行电子商务交易的双方造成重大损失,尤其是丢失或失密的贸易信息,将是不可恢复性的。

2.3商务安全

商务安全是指商务交易中的安全问题,商务安全的不同方面需要通过不同的网络安全技术和安全交易标准来确保实现。确保电子商务安全的技术主要有安全电子交易SET协议、在线支付协议、文件加密技术、数字签名技术等。

2.4系统安全

系统安全主要是指主机的操作系统和数据库系统的安全情况。对系统安全的防范和保护,要通过安全技术升级,加强安全保护设施的投资建设,提高系统的安全防护能力。

3目前我国电子商务存在的问题

就我国电子商务而言,我国的科学技术水平目前还处于较低层次,技术含量不高,资金投入又不足,在安全保密方面存在较大的隐患,网络安全性较低,主要表现在我国的网络信息易扰、欺骗等,再加上我国人民对于网络安全这方面的安全意识不高,网络安全处于十分薄弱的环境中。

3.1电子商务安全存在的隐患

(1)网络协议方面的安全问题。在电子商务中,交易双方在交易中是通过传送数据包的形式来交换数据,传送过程中,不法恶意攻击者会拦截数据包,甚至在一定程度上破坏,这使得接收方接收的信息是不正确的。

(2)用户信息的安全问题。用户和商家是在B/S结构的电子商务网站使用浏览器登录进行交易,在登陆浏览器时势必会使用电脑,有的用户在使用电脑时,如果计算机中存在木马,那么登陆者的信息存在泄露的危险,有的用户在不方便使用自己电脑的情况下使用公共计算机,有些不法分子会通过电脑技术窃取交易信息。

(3)商家商务网的安全问题。有些企业在制作自己的商务网站时由于技术不过硬,本身的商务网站就存在隐患,服务器安全性低,不法分子利用电脑技术攻击商务网站,窃取用户信息和交易信息。

3.2电子商务安全问题的具体表现

(1)交易信息被窃取、毁坏。电子商务交易在数据包的传送过程中,可能会被一些不法分子运用电脑技术非法篡改交易信息,使得交易信息失去真实性和可靠性。无论是在网络硬件还是软件方面,都存在导致传送过程中信息的误传的可能性。

(2)假冒身份问题。电子商务交易是通过浏览器登录进行交易,交易双方没有机会面对面洽谈,这就给了第三人一个假冒交易某一方破坏交易、骗取交易成果,甚至败坏交易某一方的声誉等的机会。

(3)交易抵赖问题。例如,在电子商务交易中,买家收到货之后,不确认收货。

(4)计算机病毒感染问题。电子商务交易势必会使用计算机,交易者在使用计算机时,存在选中有病毒的计算机的可能性,这样给商务交易带来了问题。另外,我国网上的蠕虫病毒等在网络流域的传播极易发生,传播过程中会产生巨大的攻击流量,会导致访问速度滞停的问题。

4电子商务安全防范技术

为确保电子商务贸易的有效进行,一方面要保证电子商务平台的运行可靠稳定,能够全天候持续不断地提供网络服务;另一方面,电子商务系统还必须不断更新和采用最新安全技术来保证电子商务的整个交易过程的安全,防止交易抵赖行为。在现实生活中,电子商务安全防范技术主要有以下几种:

4.1数据加密技术

数据加密技术分为常规密钥密码体系和公开密钥密码体系两大类。在交易双方可以保证密钥在交换阶段未曾发生丢失或泄露的情况下,通常采用常规密钥密码技术为机密信息加密。在公开密钥密码体系中,加密密钥是公开的信息,加密算法和解密算法也是公开的信息,而解密密钥是机密的。重要的公开密钥密码体系有:基于NP完全理论的Merkel-Hellman背包体系、基于数论中大数分解的RSA体系、基于编码理论的McEliece体系。以上两种加密体系各有优缺点:常规密钥密码体系的优点是加密速度快、效率高,主要用于大量数据的加密,但是常规密钥密码体系中密钥在传递过程中容易被窃取,对于大量密钥的管理存在缺陷;公开密钥体系在大范围密钥的安全方面很好的解决了常规密钥密码体系存在的问题,保密性能比常规密钥密码体系高,但是公开密钥密码体系项目复杂,加密速度较慢。实践中通常将常规密钥密码体系和公开密钥密码体系结合起来使用。

4.2防火墙技术

防火墙技术分为两类:服务技术和数据包过滤技术。其中,数据包过滤技术较为简单,也最常用,它通过检查接收到的每个数据包的头,来分析该数据包是否已经发送到目的地。防火墙技术通过对数据进行分析并有选择的过滤,从而有效地避免外来因素对数据包进行的破坏,保证网络的安全。实践中,也常常将数据包过滤防火墙与服务器结合使用,可以更加有效地保护网络安全。

4.3虚拟专网技术VPN

VPN具有适应性强、投资小、易管理等优点,通过使用信息加密技术、安全隧道技术、用户认证技术、访问控制技术等实现对网络信息的保护。VPN可以使商业伙伴、公司、供应商、远程用户的内部网之间建立可靠稳定的安全连接,确保贸易信息的安全传输,从而保证在公共的Internet或企业局域网之间安全进行电子交易。

4.4安全认证技术

安全认证技术包括以下几种:

(1)数字签名技术。数字签名技术可以确保原始报文的不可否认性以及鉴别,并且可以防止虚假签名。

(2)数字摘要技术。数字摘要技术通过验证网络传输的明文,鉴别其是否经过篡改,进而确保数据的有效性和完整性。

(3)数字凭证技术。数字凭证技术通过运用电子手段来鉴别用户身份以及管理用户对网络资源访问的权限。

(4)认证中心。认证中心专门负责审核网络用户的真实身份并提供相应的证明,且只管理每个用户的一个公开密钥,在一定程度上大大降低了密钥管理的复杂性。

(5)智能卡技术。智能卡具有存储数据和读写数据的能力,可以对数据进行简单地处理,能够对数据进行加密和解密,其特点是存储器部分具有外部不可读性,可以使用户身份鉴别更加安全。

5电子商务中的信息安全对策

5.1不断完善网络安全管理体系

我国应在现有网络安全管理部门之外建立一个具有权威的信息安全领导机构。该部门应宏观地、有效统一地协调各部门的职能,对市场网络信息安全现状进行及时的分析,制定科学的政策。对于使用计算机网络的单位及个人,必须严格遵守《中华人民共和国计算机信息系统安全保护条例》和《计算机信息网络安全保护管理办法》,建立完善的责任问责制度。

5.2大力培养网络安全专业人才

面对现代网络应用高速普及的情况,网络安全专业人才显得捉襟见肘,我国需要大量的网络安全人才维护网络的安全。我国应加大对培养网络安全人才的科研教育机构的投入力度,同时积极组织人才及组织与国外的相关部门进行技术经验交流,不断引进国外先进网络安全保护技术,并及时对我国专业人员进行技术培训。

5.3建立网络风险防范机制

现阶段我国的网络安全技术较滞后、相关法律法规不是很健全,网络安全面临很多威胁因素,这就要求电子贸易用户建立网络风险防范机制,为存在的安全因素建立补救措施。电子商务交易用户可以根据交易具体情况为标的物进行投保,通过这些措施,可在很大程度上减少网络安全事故造成的经济损失。

网络信息安全等级保护条例范文第5篇

已有虚拟财产法律学说讨论的主要问题是,“虚拟财产”是否具有财产性。对此,虚拟财产法律学说呈现出学说上的多歧样态。这些学说并未清晰地阐述“虚拟财产”之社会实然、有效规则及联结两者的证成理由,反而借助抽象的法律术语,将与“虚拟财产”相关的利益倾向,隐藏于研究路径的抽象论争、社会实然的选择性描述、既存规则或判例的引申性解释之中。在描述实然规则的意义上,“虚拟财产”相关的现存规则不具有财产性;“‘虚拟财产’是否具有财产性”这一问题的误导性作用大于其引导性作用。在寻求应然规则的意义上,虚拟财产法律学说可以财产理念为基础进行论证,但应结合具体的社会实然进行更为深入的精细化、类型化研究。关键词:

虚拟财产;财产;物权;主观权利

中图分类号:O923

文献标识码:A

文章编号:16738268(2013)05002707

互联网信息服务产业中的网络游戏装备、级数、点数、账号等虚拟元素通常被称为“虚拟财产”。相应地,“‘虚拟财产’是否具有财产性”这一问题,也随着该术语的扩展而占据了虚拟财产法律学说的核心,似乎“虚拟财产”相关的实然规则与应然规则都应在财产规则的框架内予以阐述,并且只有财产理念方能为这些规则提供证成理由。然而,历经十余年之努力,对于“虚拟财产”的财产性问题,学界业已形成的财产否认说[1]、物权说[24]、债权说[56]、知识产权说[7]、特殊财产权说(或新型财产权说)[810]、分阶段权利说[11]、分类型权利说[12]等七种不同虚拟财产法律学说尚无法给出相对清晰、日趋一致的回应,整体上呈现出学说上的多歧样态。虚拟财产法律学说已经陷入进一步深化和扩展的瓶颈。

从表面看,这些学说间的分歧主要集中于“财产”、“物权”等法律概念的界定,并未直接、明确地触及与“虚拟财产”相关的利益纷争或价值抉择;似乎只有等到财产理论、物权理论等传统法律学说达成共识以后,虚拟财产法律学说方有逐步形成共识的可能。若如此,时下与“虚拟财产”相关的法律实践便很难获得虚拟财产法律学说的智识支撑。当虚拟财产法律学说如此这般丧失实践价值时,其要么沦为学者间封闭的文字游戏,要么被逐步边缘化,甚至销声匿迹。最后的结果便是法学共同体在“虚拟财产”领域内的地位遭到贬损。

本文认为,已有虚拟财产法律学说之所以表面上被财产理论等法律学说所困扰,而未能就现实冲突的实质展开直白、理性的讨论,是因为它们借助复杂的法律术语,将与“虚拟财产”相关的价值抉择或利益倾向,隐藏于研究路径的抽象论争、社会实然的选择性描述、既存规则或判例的引申性解释之中。为了澄清那些与“虚拟财产”相关的处于抗衡中的各种利益或价值,提升个案处理的可操作性及其理性程度,推进“虚拟财产”相关规范的转型或发展,虚拟财产法律学说应认清并回归私法学最基本的任务,直白、清晰地阐述“虚拟财产”之社会实然、有效规则以及联结两者的证成理由。下文将根据已有虚拟财产法律学说的主要分歧,依次澄清这些分歧的实质及其不足,并结合虚拟财产法律学说的基本任务,分别给出具体解决方案,以期有助于突破虚拟财产法律学说目前所面临的困境。

一、“虚拟财产”财产性分析路径的分歧及其解决

分析“虚拟财产”的财产性,首先应明确何为私法上的财产,以此确立财产性分析的框架或路径。在已有虚拟财产法律学说中,存在两种不同的财产界定方式及各自相应的分析路径:一是通过抽象概括的方式界定财产,并采自上而下的演绎法认定财产性。美国Westbrook博士[13]和Fairfield助理教授[10]都主张,财产是人身权利以外的对物性权利;“虚拟财产”因具有对世性和可转让性而属于财产。我国林旭霞教授主张,财产必须具有使用价值、稀缺性、可支配性、合法性(下简称“四性说”);“虚拟财产”因满足该四性要求而属于财产[4]。财产否认说主张,“虚拟财产”因具有虚拟性、不可回收、其并非来源于经济学意义上的价值劳动、其对社会财富的增加或减少并无影响,故其不具有价值,也不应视为财产[1]。二是通过列举类型的方式界定财产,并采自下而上的归纳法认定财产性。此类观点主张应先有具体规则(“虚拟财产”应被视为物权、债权、知识产权抑或其他),后将其归入一般概念(是否具有财产性)。主张采此路径的美国Lastowka助理教授认为,“虚拟财产”纠纷的解决,应首先不要犯错,而那种自上而下的演绎法用醒目的口号遮蔽了理性的思考[14];Farber教授批评那种演绎法试图用简单的规则回应复杂的现实[15]。

在这两种分析路径中,前者的价值倾向是,尽管传统财产法之价值标准及基本规则所依附的社会实然与“虚拟财产”相应的社会实然并不相同,但这些传统价值标准或基本规则应当扩展至“新”的“虚拟财产”领域。后者的价值倾向是,与传统财产法所依附的社会实然相比,“虚拟财产”相应的社会实然已发生改变,应当结合个案争议来反思传统财产法基本理念或规则的合理性。

对于界定“财产”的如是分歧,我国立法“没有财产的内涵规定,甚至其外延也没有一般性列举,只是在少数法律中针对特定主体的财产有外延规定”[16]。法学理论对于财产的界定目前也存在争论。一种观点主张应采英美法中的“财产”,“财产法”的“财产权”应被定位为不包括债权的对世权,而不是被掏空内涵的所谓总括性的权利[17];另一观点则主张采德国法和荷兰法中的“财产”,将其视为具有金钱价值的权利的总和[18];第三种观点认为,财产必须具备四个要件:具有使用价值、稀缺性、可支配和合法性。如此,虚拟财产法律学说应如何界定“财产”?

法律概念的界定无所谓正确或错误,只有合目的性与不合目的性[19]。在虚拟财产法律学说中,“财产”的界定应符合其自身的基本任务或目的。作为私法学的一部分,虚拟财产法律学说的主要任务应为:第一,为与之相关纠纷的解决提供分析框架,以寻找合理的适用规则;第二,发现适用规则后,将其融入到法律体系当中,使私法学更加如实地掌握社会现实;第三,寻求虚拟财产领域核心的共同价值(或无疑的一般法律意识)[20]。为此,虚拟财产法律学说对待财产理论的应有态度是:一方面,在寻求具体适用规则时,应采列举类型式的财产理论及其对应的自下而上的分析路径。因为抽象概括式的财产理论试图形成整全、精确的财产理论,注重财产背后的证成理由或理念,但忽视财产所连接的具体法律规则。在该理论中,传统财产法基本理念或规则被视为理所当然,立法者对于“虚拟财产”相关之利益衡平的大部分权力被权利话语模式所架空,具体问题的理性考量被醒目的口号所遮蔽。同时,在抽象概括式的财产理论的推理过程中,论证的逻辑起点是处于争论之中的、没有形成共识的某种财产理论;若以此为论证起点,无论论证过程如何完美,批评者都可以跨过具体的论证过程而对其结论予以批判。比如,若采“四性说”为前提假设,不论对“虚拟财产”之使用价值、可支配性、稀缺性、合法性的论证如何清晰,都会受到“其不是权利”的责难;毕竟对某一利益仅赋予法律保护本身,还不足以使一个主观权利得以承认[21]。而若以各方观点的共识为逻辑起点则可避免此类基于“大前提”的攻击,将争论聚焦于具体问题的解决方案,而非抽象的理论前提,进而有利于促进不同观点走向共识。另一方面,在阐明“虚拟财产”领域之适用规则的共同价值并将其纳入私法体系时,应强调抽象概括式财产理论中的规范性,采自上而下的分析路径。因为列举类型式的财产理论仅试图提供一种持续改变财产规则的方法,而非直接提供解决问题的方案;其注重对相应法律规则的简练阐述,但忽视财产所蕴含的核心价值。该财产理论很难阐明虚拟财产领域与相关领域之间的异同,无法提供对既有规则的概览,也更不利于日后对既有规则的反思。

因此,“虚拟财产”财产性分析的路径应为:首先,将“虚拟财产”与物权、债权和知识产权等相类比,寻求合理的适用规则;其次,再以某种财产理论为基础,确立“虚拟财产”在财产体系或私法体系中的位置,以促进虚拟财产制度的持续转型。

二、寻求“虚拟财产”适用规则之前提的争论及其应对

在如上分析框架内寻求“虚拟财产”的适用规则时,已有虚拟财产法律学说又被物权理论的分歧所阻滞。诸说多将“虚拟财产”之应然规则的规范性主张隐藏于物权理论的描述性阐述,而这种(虚拟财产应然规则之)证成与(物权理论之)描述的混淆导致诸说之间很难就“虚拟财产”之应然规则这一核心问题进行直接、通畅的交流,更不用说达成共识了。为此,似乎可在霍菲尔德之基本法律概念的框架内构建虚拟财产制度,进而摆脱物权理论所造成的障碍,但为防止一败涂地,较务实的做法仍是通过类推适用已有规则来逐步寻求虚拟财产的适用规则。这样,为了清晰地界定已有规则的内涵,还是需要面对那棘手的物权理论。

在已有的七种虚拟财产法律学说中,主要存在两种不同的物权理论。物权说以效力为标准认定物权(下简称“效力标准”)。如杨立新教授认为,只要具有法律上的排他支配或管理的可能性及独立的经济性,就可以被认定为法律上的“物”。网络虚拟财产在法律上具有排他支配和管理的可能性、网络虚拟财产与物都具有独立的经济价值、网络虚拟财产的存在需要一定的空间,因此应将网络虚拟财产作为一种特殊物,适用现有法律对物权的有关规定,同时综合采用其他方式,对虚拟财产进行法律保护[2]。而反对物权说的观点则主张以客体为标准认定物权(下简称“客体标准”),认为物权仅限于有体标的。如刘德良教授认为,物权说虽然是目前大多数人所持的观点,但其缺陷是显而易见的。因为传统物权法中的物权是以有体物为标的的一种支配权;而虚拟物品在本质上属于电子数据,并不属于有体物。因此,将不属于物权法上物权客体的虚拟物品纳入物权的范畴的观点显然是不当的[8]。

显然,效力标准借助对于“物”的扩张解释,主张“虚拟财产”应类推适用传统物法的规则;而客体标准借助对于“物”的限缩解释,主张“虚拟财产”不应类推适用传统物法的规则,“具有排他支配和管理可能性、具有独立经济价值的网络虚拟财产”不应被赋予物法上的排他性权利。

对于如何界定“物”的如是争论,我国《物权法》第二条“本法所称物,包括不动产和动产”的规定不适当地保持了沉默。在此前提下选择物权理论时,虚拟财产法律学说同样应结合其自身的任务或目的。一方面,为清晰地阐释已有规则的内涵,以方便“虚拟财产”适用规则的寻求,应选择客体标准。客体标准主张应对完整纯粹抽象之所有权予以承认与限制:为了反对封建特权,需要一个完全纯粹抽象的所有权,所有权的主体不得分割;但所有权又必须受到市民社会必然性的限制,这种限制主要体现在客体上,即只有有体标的才能成为所有权的客体,其他客体原则上适用债法[22]。如此,客体标准可以阐明已有规则的全部内涵:一部分规则是有体标的上成立的所有权,这些客体可被直接支配,并且应被完全个人主义化;一部分规则是具有非竞争性和可复制性之无体标的上成立的知识产权,这些客体可被直接支配,但基于效率的考虑不应被完全个人主义化;一部分规则是行为上成立的债权,行为不能被直接支配,脱离了主体,行为并不存在。而效力标准则主张传统物法的静止气息与当下社会现实并不相符,应当取消完整纯粹抽象的所有权,即要么修正所有权的概念,限制其权能并扩张其范围[2223],要么构建双重所有权或与其相类似的制度[24]。这样,效力标准便成了一个空盒子,可以容纳任何我们想要的东西[25],很难简练地阐明相关规则中的社会实然、具体效力及其背后理念。另一方面,若为将虚拟财产的适用规则纳入私法体系,客体标准与效力标准的选择则并非虚拟财产法律学说的核心任务,也便超出了本文的讨论范围目前,从法史学的角度看,萨维尼和德国《民法典》都主张客体标准,并明确反对效力标准(参见:参考文献[26],[27],[28])。从如实描述社会实然的角度看,客体标准优于效力标准(参见:参考文献[22])。但从促进欧洲共同财产法之形成的角度看,似乎效力标准优于客体标准(参见:参考文献[25])。我国应如何选择,仍需深入思考。[2628]。

但是,将“物”限定于“有体标的”,其意义仅在于更加清晰地呈现已有规则,以方便“虚拟财产”应然适用规则的思考。该限定并不意味着由于“虚拟财产”不是“有体标的”,其就不应当适用传统物法的规则。“虚拟财产”应适用何种规则,应当结合其对应的社会实然,借助既有规则的引导与类比予以慎重考量。

三、“虚拟财产”之内涵的多样性及其原因

在明确了已有规则的内涵之后,我们便无须再去争论“虚拟财产”之实然到底是不是“物”,只需借助类比推理来思考在“虚拟财产”之社会实然上适用某规则的合目的性,阐明虚拟财产所连接的社会实然、有效规则及背后理念(或连接两者的证成理由)即可[29]。然而,已有虚拟财产法律学说多将规范性的证成理由隐藏于社会实然的选择性描述或有效规则的引申性解释之中,由此导致学说上的多歧样态,且很难形成共识。

其中,由于证成理由被社会实然的选择性描述所遮蔽而导致的分歧主要表现为:知识产权说强调虚拟物品的感知形式,主张虚拟物品是玩家的智力成果,尽管游戏商已经通过软件编程创造出潜在的角色、物品等,但这并不意味着虚拟物品必然会在游戏中出现,仍需要玩家投入大量的时间和智慧去克服游戏障碍,从而使潜在的物品成为现实[7]。债权说强调虚拟物品的效用形式,主张“对于玩家来说,虚拟物的意义不在于其存储形式,甚至也不在其感知形式,而是在其效用形式”[6]。而物权说、新型财产权说与它们的主要分歧在于,电磁记录这种存储形式是否应为虚拟财产法律学说讨论的重点。在这种分歧的基础上,衍生出了“分类型权利说”和“分阶段权利说”这两种仅试图简单综合债权说、物权说、知识产权说,但并未触及各说间主要差异及其实质的观点。仅以债权说与物权说的分歧为例,即使我们赞同“效用形式”之虚拟物上应成立债权,“存储形式”之虚拟物上应成立物权,但还存在另一个问题,当“存储形式”之虚拟物随着“效用形式”之虚拟物发生移转时,是应当适用物权的移转规则,还是应当适用债权的移转规则。对此,债权说、物权说借助对“效用形式”或“存储形式”虚拟物这种社会实然的强调,分别主张应适用债法或物法,但未明确阐述两种不同规则所对应的社会效果及其评价,而“分类型权利说”和“分阶段权利说”则对此保持沉默。显然,这种源于社会实然之选择性描述的分歧及论争,遮蔽了各观点间利益倾向的不同,阻碍了各观点之间的碰撞与融合。

相比之下,通过有效规则的引申性解释来遮蔽证成理由的论证则更为普遍,后果也更为严重。学界大多援引美国1996年ThriftyTel案54 Cal. Rptr. 2d 468 (Ct. App. 1996).、2001年Oyster Software案No. CV000724JCS, 2001 U.S. Dist. LEXIS 22520, 43 (N.D. Cal. Dec. 6, 2001).、2003年Hamidi案71 P.3d 296 (Cal. 2003).和2006年Bragg案Civil Action No.064925.来论证“虚拟财产”应适用财产法。但这些判例所处理的具体问题都与“虚拟财产”的财产性问题并无直接相关性。ThriftyTel案、Oyster Software案和Hamidi案所处理的具体争议是:在认定与计算机网络设备相关的动产侵害时,是否要求证明存在实际损害。ThriftyTel案中,原告主张被告的行为(连续拨号)构成对其动产(服务器)的侵害。法院支持了原告的观点,但Thomas Crosby法官在法官意见中多此一举地又说明被告无体行为也构成侵害。事实上,对动产的侵害只需要有实际损害,而不要求侵害行为的形式。Oyster Software案中,原告主张被告未经许可进入其网站,构成了对其动产的侵害。但被告宣称其行为并未构成实际损害,故不构成对动产的侵害。法院认为,认定动产侵害已不需要实际损害。Hamidi案中,原告Intel公司认为被告Hamidi向其服务器发大量邮件,构成对其动产(服务器)的侵害。被告宣称其行为并未造成实际损害。上诉法院认为无需证明实际损害,但加利福尼亚最高法院认为需要证明。Hamidi案以后,其他法院的态度仍处不确定之中[14]。而2006年Bragg案争议的焦点是,网络游戏服务条款中“纠纷只能通过仲裁解决”的约定是否具有可执行力,该焦点与“虚拟财产”财产性问题的距离更为遥远。

而我国多被援引用来证成“虚拟财产”之财产性的判例是2004年李宏晨案李宏晨诉北京北极冰科技发展有限公司案,(2004)二中民终字第02877号。。该案法院认定被告没有履行服务合同关系中必要的注意义务,应承担网络安全保障不利的责任,判决被告回复原状并赔偿原告损失。该案中的损害赔偿请求权多被不适当地引申为原告应享有电磁记录上的某种财产权利(或主观权利)。事实上,损害赔偿请求权所保护的利益不应完全等同于主观权利:对于前者,原则上若存在利益损失与主观上的“应归责”,则成立损害赔偿请求权,但不得强制被告以绝对安全的方式履行相应的注意义务[22][30];其并不强调对被告本身的某种控制。而对于主观权利,原则上只要权利遭侵害即可主张不作为请求权;其强调“对他人自由的一种合法限制”[23]。李宏晨案的判决仅涉及损害赔偿请求权,并未涉及注意义务(即网络安全保障义务)的强制履行及其程度或方式在我国,网络游戏运营商应如何履行网络安全保障义务的问题,主要由以《计算机信息系统安全保护条例》(国务院令第147号)为核心,包括《计算机病毒防治管理办法》(公安部令第51号)、《信息安全等级保护管理办法》(公通字〔2007〕43号)等在内的规范群所规定。;主观权利的核心理念并未突显。如此,电磁记录上应适用物权之规定的规范性主张并未得以正面、明确的证成,其实质上仅是“原权—救济权”[31]之描述性权利体系下逻辑反推的结果,而与现实的利益博弈及价值抉择无关。此类虚拟财产之内涵的阐述便仅仅是法学概念天国中缺乏论证之观点的表达,很难与其他观点进行较深入的论争;各观点间便只能是各自说话,缺乏交流,更无理性之共识。

为此,作为法律学说的虚拟财产理论,唯有直白、清晰地阐述虚拟财产之社会实然、有效规则以及联结两者的证成理由,方能较好地履行其对虚拟财产法律材料进行分析评价性阐释,进而引导人们就虚拟财产领域内正义之具体化进行讨论与反思的职责,而不至于再招致实务部门或网络法课堂上学生们那无奈的一笑了之。

四、结论与建议

就目前而言,与“虚拟财产”相关之立法、判例及学说的大致情况如表1所示。

在描述实然规则的意义上,仅从已有立法和判例来看,“虚拟财产”领域内的已有规则不具有财产性;或者说,“‘虚拟财产’是否具有财产性”这一问题,其消极的误导性作用大于其积极的引导性作用。这些已有法律素材直接强调的是“各方主体应为之事”,并非“某人所拥有的有益事物”或“某主体对自己应有事物的道德权力”。一方面,这些涉及“各方主体应为之事”的规则依靠公平原则、保护消费者原则、公共政策等便足以获得正当性,而无需借助财产理念下“某人所拥有的有益事物”遭受损害而寻求正当性。正义的具体方案不必非要经过“物化”或“财产化”而得以证成。并且,财产理念与公平原则、保护消费者原则等在个案中也可能发生冲突例如,财产理念与保护消费者理念发生冲突的情况(参见:参考文献[31])。[32],将它们等同或将公平原则等依附于财产理念,无助于规则描述与个案裁决。另一方面,这些“各方主体应为之事”的具体内容,更接近于垃圾邮件、网络安全、网络格式条款等规制制度,而非财产规则中不作为请求权或损害赔偿请求权的履行。在不作为请求权或损害赔偿请求权之构成要件与具体内容的引导下,很难认知关于网络安全保障义务之履行、垃圾邮件等不正当行为之规制等更为细化的要求。与其将已有这些法律素材解释为财产规则,不如将其解释为垃圾邮件、网络安全等规制制度的萌芽或个案。

在寻求应然规则的意义上,“‘虚拟财产’是否具有财产性”这一问题,具有积极的引导性作用。该问题不仅可引导我们思考“虚拟财产”移转规则等可能出现的问题,也可在公平原则、保护消费者原则等之外,为“虚拟财产”相关之规制问题提供财产理念的独特理解。但应注意的是,在法学共同体内,财产理念的独特理解不应隐藏于相关法律概念(财产、物权)的分歧或社会实然的不同选择之中,不应借助晦涩难懂的概念或极富煽动性的说辞来抽象地表达,而应结合具体的社会实然直白地表明其利益或价值倾向,以供立法者选择。鉴于互联网信息服务产业中复杂的经营模式及其利益纷争,“虚拟财产”相关之应然规则的寻求将是一个复杂的过程,仍有待更加深入的精细化、类型化研究以及立法政策的逐步考量。

参考文献:

[1] 吴晓华,张海燕.论网络虚拟财产的法律保护——以宪法为中心[J].成都理工大学学报:社会科学版,2005(2):99.

[2] 杨立新,王中合.论网络虚拟财产的物权属性及其基本规则[J].国家检察官学院学报,2004(6):7.

[3] 钱颖萍,彭霞.关于网络虚拟财产的法律探讨[J].云南行政学院学报,2005(5):111.

[4] 林旭霞.虚拟财产权研究[M].北京:法律出版社,2010:3133.

[5] 邓张伟.论网络游戏中虚拟财产的法律属性及变动规则[D].厦门:厦门大学,2006:6.

[6] 寿步.网络游戏法律政策研究2009——网络虚拟物研究[M].上海:上海交通大学出版社,2009:169.

[7] STEPHENS M. Sales of InGame Assets: An illustration of the Continuing Failure of Intellectual Property Law to Protect DigitalContent Creator[J].Texas Law Review,2002,80(6):1530.

[8] 刘德良.论虚拟物品财产权[J].内蒙古社会科学:汉文版,2004(6):32.

[9] 刘惠荣.虚拟财产法律保护体系的构建[M].北京:法律出版社,2008:83.

[10]FAIRFIELD A. Virtual Property[J]. Borton University Law Review, 2005(85):1047.

[11]寿步,陈跃华.网络游戏法律政策研究[M].上海:上海交通大学出版社,2005:4042.

[12]张楚.电子商务法[M].第2版.北京:中国人民大学出版社,2007:258259.

[13]WESTBROOK T J. Owned: Finding a Place for Virtual World Property Rights[J]. Michigan State Law Rewiew, 2006:779812.

[14]LASTORKA G. Decoding Cyberproperty[J]. Indiana Law Review, 2007(40):2627.

[15]FARBER D A. Access and Exclusion Rights in Electronic Media:Complex Rules for a Complex World[J]. Northern Kentucky Law Review,2006(33):459482.

[16]侯水平,黄果天.物权法争点详析[M].北京:法律出版社,2007:5.

[17]郑成思,薛虹.再谈应当制定“财产法”而不是制定“物权法”[M]//易继明.私法:第7卷.北京:北京大学出版社,2004:9.

[18]王利明.我国民法典重大疑难问题之研究[M].北京:法律出版社,2006:258.

[19]黄茂荣.法学方法与现代民法[M].北京:法律出版社,2007:541.

[20]弗朗茨·维亚克尔.近代私法史——以德意志的发展为观察重点[M].陈爱娥,黄建辉,译.上海:上海三联出版社,2005:584588.

[21]克默雷尔.侵权行为法的变迁:上[M].李静,译//王洪亮.中德私法研究:第3卷.北京:北京大学出版社,2007:76.

[22]罗尔夫·克尼佩尔.法律与历史[M].朱岩,译.北京:法律出版社,2003:235276.

[23]雅克·盖斯坦,吉勒·古博.法国民法总论[M].陈鹏,译.北京:法律出版社,2004:175178.

[24]孟勤国.物权二元结构论——中国物权制度的理论重构[M].北京:人民法院出版社,2004:6169.

[25]迪尔克·赫尔鲍特.封建法:欧洲真正的财产共同法——我们应当重新引入双重所有权?[M].张彤,译//王洪亮.中德私法研究:第4卷.北京:北京大学出版社,2008:126141.

[26]弗里德里希·卡尔·冯·萨维尼.萨维尼论对人之诉和对物之诉[M].田士永,译//王洪亮.中德私法研究:第1卷.北京:北京大学出版社,2006:198.

[27]弗里德里希·卡尔·冯·萨维尼. 萨维尼论财产权[M].金可可,译//王洪亮.中德私法研究:第1卷.北京:北京大学出版社,2006:207215.

[28]金可可.债权物权区分说的构成要素[J].法学研究,2005(1):24.

[29]李乐.虚拟世界的金钱交易分析[J].重庆邮电大学学报:社会科学版,2010(2):3033.

[30]迪特尔·梅迪库斯.德国债法总论[M].杜景林,卢谌,译.北京:法律出版社,2003:313319.