查找:                      转第 显示法宝之窗 隐藏相关资料 下载下载 收藏收藏 打印打印 转发转发 小字 小字 大字 大字
【期刊名称】 《网络法律评论》
信息安全软件厂商的法律监管框架研究
【英文标题】 On the Regulatory Framework of the Information Security Software Industry
【作者】 苏苗罕顾伟
【作者单位】 中央财经大学法学院中国社会科学院法学研究所
【分类】 行政管理法【中文关键词】 安全厂商;监管;行为规范;纠纷解决
【英文关键词】 information security software industry; regulation; code of conduct ;dispute resolution
【文献标识码】 A【期刊年份】 2015年
【期号】 1(第17卷)【页码】 161
【摘要】

信息安全如今已经成为继能耗和互联网连通性之后的电子计算机的又一支柱。为了规范我国信息安全软件厂商的发展,亟须加强行为规范制度的建设。在维护互联网用户利益方面,安全厂商除了应当遵守产品质量责任和禁止欺诈行为等规范外,基于信息产品本身的特点,还需要遵守信息保护义务、告知同意规则等主要规范。此外,一般网络企业和信息安全厂商都在争夺用户桌面这一宝贵的“虚拟地产”。在市场竞争方面,除了需要遵守不得实施商业诋毁、搭售等不正当竞争行为,经营者集中需要接受审查之外,安全厂商还需要遵守反技术规避原则、限制和确保软件兼容等相关规则。最后,安全厂商相关争议的解决机制对时效性要求更高,可以考虑改革行政执法程序,允许执法部门主动及时介入争议解决,同时引入司法审查机制作为平衡器。

【英文摘要】

Information Security has been the third pillar of computing after energy efficient performance and internet connectivity. The Institutionalization of codes of conduct is in great need to develop the information software industry in a sound way. As to the protection of interests of the internet users, the information security software producer should conform to legal rules relating to privacy protection, informed consent, product liability and prohibition of fraud. In addition, both internet enterprises and information security software enterprises are struggling for the valuable “virtual domain” the user desktops. To ensure fair competition of internet market, information security enterprises not only need to be prohibited to take unfair competitive practices such as commercial defamation, and submit to review in case of merge and takeover, but also be subject to anti-circumvention rule and take the duty to ensure software interoperability. In the end, the dispute resolution relating to information security enterprises has a higher demand of timeliness ,thus the procedure of information need to be reformed to allow enforcement agency to interrupt the dispute resolution, which is also under the supervision of judicial review.

【全文】法宝引证码CLI.A.1217114    

引言

通信网络与信息系统的安全已经日益成为全社会关注的重点,信息安全软件厂商(以下简称“安全厂商”)的地位也与日倶增。[1]正如英特尔首席执行官Paul. Otellini所指出的,安全已经成为继能耗和互联网连通性之后的计算机的必备要求。[2]安全厂商凭借其先进的电子通信和网络安全技术,为信息安全提供高技术平台的保障。参考国际标准化组织根据开放系统互连(OSI)的基本参考模型所建构的OSI安全体系结构,安全厂商业务涉及多种基本安全服务和安全机制,涵盖了信息流动过程中所必须经过的全部环节,包括物理层、数据链路层、代码层、网络层、传输层、会话层、表示层和应用层等所有信息的安全生成、传递、接收、存储、应用环节。在安全服务体系中,信息安全包括对等实体鉴别服务、访问控制服务、数据保密服务、数据完整性服务、数据源鉴别服务、禁止否认服务等与信息数据有关的服务项目,其所涉及的安全机制主要包括加 密机制、数据签名机制、访问控制机制、数据完整性机制、交换鉴别机制、业务流量填充机制、路由控制机制、网络认证机制等。[3]在如此立体的、全方位的、多层次的技术系统平台上,如果没有对安全厂商在法律上的准确定位与功能区分,没有对安全厂商在制度上的比较研究与体系建构,那么任何试图对其进行有效规制的愿望都将落空。

一、信息安全产品的概念界定

我国现行法律尚未对信息安全厂商或者互联网安全厂商确切定义,相关的规范性文件主要通过对信息安全产品的监管间接限定安全厂商的范围。[4]结合本文所讨论的互联网市场秩序,文中互联网安全厂商的概念也可被界定为面向广大互联网市场参与者提供信息安全产品的企业。因此,只要互联网信息安全产品概念或范围得到清晰界定,互联网安全厂商的定位也就得到明确。

我国采用的是广义的信息安全产品的概念,对于互联网信息安全产品的细化可参考国外的规定。据欧洲网络与信息安全局的报告表述,网络与信息安全市场有着明确的界定,可细分为安全硬件、安全软件与安全服务。[5]其中又以安全软件所属的威胁管理工具和内容安全软件(包括反病毒、反垃圾邮件、反间谍软件工具及防火墙和互联网内容过滤工具等)——主要面向大部分个人电脑用户和对安全性要求一般的企业用户——受众最广。此类产品的提供者也是我国一般意义上的互联网安全厂商,如Symantec、 McAfee、 Kaspersky Labs等。由此可见,互联网市场秩序所涉及的信息安全产品主要为欧盟所称的威胁处理与内容安全软件。

参照全国信息安全标准化技术委员会制定的《信息安全技术信息安全产品类别与代码》(GB/T 25066-2010)的规定,本文所述互联网安全厂商(以下简称安全厂商)指主要向互联网市场提供计算环境防护、防恶意代码及内容安全等三个类别软件产品的企业。

二、安全厂商的监管历史与现状概述

(一)监管的历史沿革

伴随计算机产业和互联网的逐步成长与开放,我国对信息安全厂商的监管经历了从无到有,从限制到鼓励的渐进过程。

最初,由部分地方规章先行,对安全厂商采取了普遍禁止的办法,防恶意代码类安 全软件完全是由公安机关发布与运作,排除了一般企业的参与。如1991年《呼和浩特市计算机病毒控制管理办法》第10条规定除公安计算机安全监察部门外,任何部门、单位和个人不得销售计算机病毒清除工具;任何单位和个人不得使用除公安计算机安全监察部门发行外的清毒软件。”

1994年以后,随着《计算机信息系统安全保护条例》的颁布,以及计算机与网络的普及,我国逐步解禁了信息安全市场。公安部陆续颁布了一系列部门规章,规范计算机病毒防治及信息系统安全专用产品的生产、销售与使用。期间,北京、河北等地纷纷出台地方立法,规定在经公安机关批准后,单位或个人可以从事计算机病毒预防、检测、清除研究工作,经公安机关审查批准后,单位或个人可以生产、销售、出租计算机病毒检测、清除、防护工具。[6]

信息安全业务属于高科技、高风险性经营活动,为了进一步加强对信息安全的管理,保护计算机信息系统安全,保障互联网的应用与发展,2000年12月全国人大常委会通过了《关于维护互联网安全的决定》,积极支持并鼓励包括安全厂商在内的社会力量,共同参与互联网安全工作。其规定:“各级人民政府及有关部门要采取积极措施,在促进互联网的应用与网络技术的普及过程中,重视和支持对网络安全技术的研究和开发,增强网络的安全防护能力”。2003年9月7日,中共中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》,特别强调要“加强信息安全技术研究开发,推进信息安全产业发展”。在总体发展方针确定之后,各部门立法、行业标准、自律守则等各种规范方式的发展日趋兴盛,对互联网安全厂商的规制体系随之渐具雏形。

(二)监管现状与评价

我国安全厂商的监管框架主要体现在市场准入制度。我国目前对软件产品管理采取“双软认定”的措施,即软件企业的认定和软件产品的登记,这一制度也同样适用于安全软件,即只有通过上述要求,安全软件才能够上市销售。

首先,软件企业的认定,其性质主要是一种针对厂商的市场准入。根据《软件企业认定标准及管理办法(试行)》第4条的规定,工业和信息化部会同教育部、科技部、国家税务总局等有关部门制定软件企业认定标准及管理方法,工业和信息化部对全国软件产业实行行业管理和监督,组织协调并管理全国软件企业认定工作。

其次,软件产品的登记,则是针对产品的市场准入措施,按照工业和信息化部2009年3月颁布的《软件产品管理办法》规定,应具备两个前提,即(1)取得本企业开发或拥有知识产权的软件产品的证明材料,指软件产品登记证书、计算机软件著作权登记 证书或专利证书等;(2)由工业和信息化部授权的软件检测机构出具的检测证明材料。

省、自治区、直辖市及计划单列市软件产业主管部门对软件产品实行登记管理,并报工业和信息化部备案和进行公示。按照《软件产品管理办法》,经过登记和备案的国产软件产品,可以享受《产业政策》规定的有关鼓励政策。

除了属于双软认定所调整的软件产品的范畴之外,安全软件还同时属于公安部所监管的计算机信息系统安全专用产品范畴,因此,还需要接受公安部所制定的计算机信息系统安全专用产品检测与销售许可的相关要求。

早在1994年颁布的《计算机信息系统安全保护条例》中即规定了安全专用产品许可证制度。之后公安部又主导促成了《计算机信息系统安全专业产品分类原则》《计算机信息系统安全专用产品检测与销售许可证管理》《计算机病毒防治管理办法》等有关信息系统安全专用产品销售许可证制度的法规规章的出台。1997年12月,经国务院批准,公安部发布的《计算机信息网络国际联网安全保护管理办法果然是京城土著》规定了病毒专管制度并公布安全专用产品销售许可证制度。

根据上述规定,安全厂商在我国境内从事安全专用产品销售之前,必须申领销售许可证。公安部计算机管理监察部门负责销售许可证的审批办法工作和安全专用产品安全功能检测机构的审批工作,地(市)级以上人民政府公安机关负责销售许可证的监督检查工作。安全专用产品的生产者应当向经公安部计算机管理监察部门批准的检测机构申请安全功能检测。对在国内生产的安全专用产品,由其生产者负责送交检测;对境外生产在国内销售的安全专用产品,由国外生产者指定的国内具有法人资格的企业或单位负责送交检测。另外,防治计算机病毒的安全专用产品的生产厂商须预先到公安机关进行计算机防治研究的备案。采用密码技术的产品,申请者须获得国家密码管理部门的审批文件。在检测合格且履行其他必要手续后,安全厂商方可向公安部计算机管理监察部门申领销售许可证。[7]

此外,对于纳入政府采购目录的信息安全产品,还需要接受质检系统的测评检验。国家质量监督检验检疫总局、国家认证认可监督管理委员会于2008年第7号公告中规定,对部分信息安全产品实施强制性认证制度(3C产品认证),它不针对面向个人用户的产品,将信息安全产品认证的强制实施范围调整为《政府采购法》规定的范围内。本文所述的互联网安全厂商一般不需要再接受强制认证。一般的测评检验集中于安全专用产品销售许可证申请检测,以及安全专用产品的安全功能发生改变时,安全专用产品的重新检测等。

从我国目前有关互联网安全的立法现状看,立法实践中缺乏纵向的统筹考虑和横 向的有效协调,特别是行政法规或部门规章的牵头起草制定部门很难基于全局的考虑,致使现有的规章松散交叉,各职能部门很难做好协调监管,执法难度增加而执法效果大打折扣。主要表现在以下几个方面:一是多头监管与各部门对互联网实行条块分割式监管,致使各主体之间职责不明,权限不清;二是立法层级较低,行政法规、部门规章和其他规范性文件居多,法律层面的规定较少,致使立法的实施缺乏有力的保障和统筹;三是立法内容交叉重复、同一行为有多个行政处罚主体、处罚幅度不一致、规章与行政法规相抵触,在实践中尚没有一个统一的权威部门或机构能够彻底消除现行法律条款之间的冲突[8];四是在安全监管上重合规性监管,轻风险性监管,过分强调行政许可,而对安全厂商运营风险中出现的问题缺乏预防性的监管,即企业行为规范与引导政策的缺失。可以说,随着大数据时代的到来以及云计算的发展,现有的主要监管终端软件与计算机信息系统的法律法规,已经不适应科技发展的节奏,也难以有序规范网络空间的各种企业行为。

三、安全厂商的一般行为规范

由于网络立法和政策的之后,网络环境下企业的行为边界和底线在哪里,很多时候缺乏明确的规则和标准。2010年的“3Q大战”双方都寻求并接受行政干预,实际上也证明了这一点。当然,虚拟社会并不是独立于现实社会而存在的,其主体的行为规范相当程度上可以沿袭过去的立法,但是也有部分规则是需要适应新的情况加以设计,在这方面发达国家的立法也已经作出了不少创新。综合对现有法律的梳理和比较法的考察,笔者认为,在一般的生产经营活动中,安全厂商至少需要遵守以下四个方面的行为规范:

(一)产品质量责任

如前所述,安全软件目前在我国被同时纳入软件产品和计算机信息系统安全专用产品这两套监管体系之中。

首先,作为一种软件产品,它必须符合《软件产品管理办法》第4条对软件产品的质量管理所作的明确规定,信息安全软件自然也受调整。我国安全软件要上市销售,必须接受第三方软件技术检测机构,并获得检测合格报告。为了衡量安全软件是否符合产品质量要求,我国已经制定并发布了15项软件产品测试标准和规范。

由于检测合格报告是产品销售许可的前提,因而具有很强的强制性。但是,在实践中,官方认定或者授权的检测机构权威性并不高,更多的只是满足销售许可制度要求和申请政府财税政策和产业政策支持的需要。事实上,我们在众多安全厂商的公司简介或者产品宣传中可以看到,其重点宣传的更多是经过国际权威评测机构认证的信 息。例如,奇虎360公司在其产品宣传中称,360杀毒软件已连续获得美国VB100、奥地利AV-C以及英国Check Mark认证。瑞星亦在其公司简介中宣称,其产品经过英国Check Mark、美国Virus Bulletin, AV-Test等国际权威评测机构的严格认证。这些国际评测机构所提供的安全软件检测均属于自愿性质,甚至是无偿的,但是由于这些机构具有独立性,其检测结构也具有很强的权威性,某种意义上他们已经起到了补充、强化甚至替代上述强制性的政府监管的作用。

其次,安全软件属于计算机信息系统安全专用产品的范畴,需要接受公安部的监管,接受经公安部计算机管理监察部门批准的检测机构的安全功能检测。这里的检测机构,主要是指公安部计算机信息系统安全产品质量监督检验中心。公安部计算机信息系统安全专用产品检测机构对于安全软件进行检测时所采用的标准目前包括11项国家标准、8项公共安全行业标准和该检测机构自己编制并经公安部公共信息网络安全监察局批准的24项检测标准。

如果安全软件存在质量问题,如软件产品不符合我国技术标准、规范和上述办法规定,或者有证据证明其不能满足使用要求以及与生产单位标称或者承诺的功能不相符的,根据《产品质量法》《消费者权益保护法》的相关规定,厂商可能承担的行政责任形式往往会包括责令停止生产、销售,没收违法生产、销售的产品,没收违法所得,吊销营业执照等。如果情节严重,则可能需要承担刑事责任。而在民事责任方面,安全厂商对于缺陷产品则可能需要按照《合同法》《产品质量法》《消费者权益保护法》等法律的要求,承担更换、退货、补足商品数量、退还货款和服务费用或者赔偿损失等责任。

(二)禁止欺诈行为

在实践中,厂商的欺诈行为,根据其针对的对象不同可以区分为以下两类:

一种是对消费者的欺诈行为。按照《欺诈消费者行为处罚办法》的定义,欺诈消费者行为,是指经营者在提供商品或者服务中,采取虚假或者其他不正当手段欺骗、误导消费者,使消费者的合法权益受到损害的行为。

在安全软件市场上,这种针对消费者的欺诈行为的案例可谓屡见不鲜。例如,2011年,美国就有一家安全厂商因欺诈消费者的行为遭到联邦贸易委员会的处罚:

2011年1月,Marc D’Souza及其父亲Maurice D’Souza与美国联邦贸易委员会的虚假安全软件案达成和解,同意向后者支付820万美元。在该案中,被告谎称在用户电脑上侦测到病毒、间谍软件和非法的淫秽内容,以欺骗超过100万用户购买自己的安全产品以删除用户电脑上虚假侦测到的有害软件。和解协议还禁止Marc D, Smiza从事与消费者使用计算机相关的软件业务,禁止他作出与计算机安全软件相关的欺骗性的陈述,禁止其使用虚假信息注册的域名,禁止其谎称自己代表第三方的授权行事。[9]

对于安全厂商的欺诈行为,各国常常会出于对消费者的倾斜保护,在权利义务配置和法律责任追究等方面进行设计。我国《消费者权益保护法》即借鉴美国经验,引入惩罚性赔偿制度。2013年该法新修订时,还将针对欺诈行为的惩罚性赔偿从一倍提高至三倍,即“经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或者接受服务的费用的3倍;增加赔偿的金额不足500元的,为500元”。[10]

除了适用消费者权益保护相关立法之外,我们也需要看到,信息社会里,欺诈作为误导公众的行为,是一种典型的不正当竞争行为。我国《反不正当竞争法》第9条与第24条就将虚假宣传列为一种主要的不正当竞争行为加以规制。

另外一种则是针对政府机关或者特定监管机构的欺诈行为。例如,在申报材料中弄虚作假,骗取相关企业资质认定、产品登记、销售许可,免税退税优惠等。

针对这种欺骗政府的行为,美国早在1863年就制定了专门的《反欺骗政府法》(False Claim Act)予以严惩。该法规定,个人或公司发现有人欺诈美国政府财物,能够以政府名义控告违法者,在胜诉后可分享一部分罚金。《反欺骗政府法》直到今日,仍然是应对企业,包括安全厂商欺诈政府的行为的有力武器。

例如,2009年3月,美国司法部指控美国著名安全厂商EMC通过给予联邦政府IT咨询公司回扣的手段,致使美国政府从20世纪90年代后期开始在硬件采购、软件采购、科技服务支出方面支付过多的成本费用。美国司法部在当时发表的一份公开声明中声称:“EMC在同美国总务管理局(GSA)的谈判合同中没有披露其商业定价做法,并提供了不恰当的费用以及其他有价值的东西给系统集成商和合同中与政府有接触的合作伙伴。EMC向GSA陈述了虚假的商业定价做法,以获得更高的价格合同。”2010年5月,EMC向司法部支付8750万美元,以就该案达成和解。[11]

反观我国,相关法律法规则对这种欺诈政府的行为处罚力度过于宽松。例如,《软件产品管理办法》第24条第1款规定:“已登记的软件产品含有本办法第4条所列内容或者以内容虚假的登记备案材料骗取软件产品登记的,省、自治区、直辖市及计划单列市软件产业主管部门应当撤销该软件的登记号、登记证书。已经享受的税收优惠等应当予以追回,由省、自治区、直辖市及计划单列市软件产业主管部门报工业和信息化部。工业和信息化部给予警告,并予以公布。”这里所列的撤销产品登记、追回税收优惠以及警告等处理方式,其对于企业来说影响轻微,远不足以起到以儆效尤之功效。

(三)信息保护义务

现代社会就是信息社会,信息对于个人的生存和发展的意义相比过去更加具有决定 性的意义。而随着互联网的高速发展,网络安全也成为日益严峻的问题。人们要使用计算机,要连接网络,就需要依赖安全厂商这些虚拟世界里的“网络警察”来维护互联网安全。而与此同时,安全厂商也通过网络用户的信任轻易地走进千家万户的电脑终端。

安全厂商的特点在于,它和操作系统等基础软件类似,都是属于一种启动时加载内存的底层应用,而即时通讯工具等各种应用软件则处于应用层。通常而言,底层软件的装机量要大于应用软件,对用户的粘性也更强。因此,安全厂商一方面更容易通过设置后门程序窃取用户个人信息,同时一旦它采取这样的行为,其危害也会更大。

因此,对于安全厂商的行为规范而言,保护用户的个人信息是最为首要的责任和义务。而如果它私自采取收集、处理、利用或者披露用户个人信息,则构成违法。

在美国,联邦贸易委员会根据《联邦贸易委员会法》第5条有关禁止不公平或者欺骗性行为的解释,认为如果软件销售企业没有充分披露其隐私保护的实践,它将有权对其展开调查和提出指控。2010年11月30日,美国联邦贸易委员会宣告与EchoMetrix, Inc.就指控其未能充分披露隐私保护实践问题达成和解。在该案中,EchoMetrix销售监控儿童上网活动的Sentry软件,但是没有告知父母该软件所收集的有关儿童上网信息将会披露给第三方用于市场营销的目的。根据案件和解协议,EchoMetrix同意不使用或者向他人提供通过Sentry软件,或者任何类似软件获取的信息,除非其目的是允许注册用户访问账户。[12]

2012年底,我国全国人大常委会出台了《关于加强网络信息保护的决定》,以法律形式保护公民个人及法人信息安全,明确了包括安全厂商在内的网络服务提供者在信息收集与使用过程中的信息保护义务和责任。但遗憾的是该决定并没有明确违反信息保护义务的具体处罚尺度,何种情况进行何种处罚不甚明确。

(四)告知同意规则

安全软件的用户在安装软件的时候通常并不了解潜在的风险和负面的后果。为了保护用户的利益,特别是信息主体对于个人信息的控制权、消费者的知情权和选择权,各国大多普遍要求,安全软件厂商有义务在终端用户许可协议(End User License Agreement)或者隐私协议(Privacy Agreement)中向用户提供明确的通知和同意选择,否则即构成违法。

例如,2005年8月,Advertising, com.,Inc.曾与美国联邦贸易委员会达成和解,承认其提供免费的安全软件Spy Blast,但是没有充分披露该软件捆绑了收集用户信息并用于发送弹窗广告的广告软件,该行为违反了联邦法律。根据和解协议的要求,该公司必须对所捆绑的广告软件明确及时披露。

联邦贸易委员会在指控书中认为,Spy Blast是一款互联网安全软件,被告没有充 分披露Spy Blast中捆绑了会使用户接收弹窗广告的广告软件,而这一点对用户是否决定安装Spy


  ······

法宝用户,请登录后查看全部内容。
还不是用户?点击单篇购买;单位用户可在线填写“申请试用表”申请试用或直接致电400-810-8266成为法宝付费用户。
【注释】                                                                                                     
©北大法宝:(www.pkulaw.cn)专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料,正式引用法规条文时请与标准文本核对
欢迎查看所有产品和服务。法宝快讯:如何快速找到您需要的检索结果?    法宝V5有何新特色?
扫码阅读
本篇【法宝引证码CLI.A.1217114      关注法宝动态:  

法宝联想
【共引文献】
【相似文献】
【引用法规】

热门视频更多