信息安全法的基本原则是贯穿于信息安全立法、执法、司法各环节,在信息安全法制建设过程中贯彻始终和必须遵循的基本规则。作为信息安全法的两个主要方面,网络信息安全法和信息安全保密法除了应当遵循我国社会主义法制的一般原则外,还应遵循以下特有原则:
1.预防为主的原则
从手段上讲,积极预防的方式和过程一般会比产生消极后果再补救要简单和轻松许多;另一方面,从后果上看,各种信息数据一旦被破坏或者泄露,往往会造成难以弥补的损失。网络信息安全关键在于预防。“信息安全问题,应该重在‘防’,然后才是‘治’,增强用户的防范意识,是减少网络安全隐患极其关键的一环。”
有专家认为,对信息系统进行安全风险评估,并在特殊时期内对尚未发生的安全事故严防以待,可以减少灾难发生。叫相应地,网络信息安全法也应加强预防规范措施,如对于病毒的预防,对于非法入侵的防范等。同样,对于保密信息尤其是国家秘密而言,首先要求的是事前的主动的积极防范。我国《保守国家秘密法》第二十九条“机关、单位应当对工作人员进行保密教育,定期检查保密工作”的规定就是这一原则的体现。
2.突出重点的原则
在信息安全法中,凡涉及国家安全和建设的关键领域的信息,或者对经济发展和社会进步有重要影响的信息,都应有明确、具体、有效的法律规范加以保障。《中华人民共和国计算机信息系统安全保护条例》第四条规定,计算机信息系统的安全保护工作,重点是维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。
在信息安全保密工作中,也应突出重点进行规范。如对国家秘级的划分,在三个密级中,绝密是重点。如果不分轻重,平均使用力量一般对待,就会使国家的核心秘密与一般秘密混同,影响和威胁核心秘密的安全;就秘密分布区域来说,秘密集中的地区、部门是重点;就信息的潜在危险程度来说,国家事务、经济建设、国防建设、尖端科学技术等重要领域的信息无疑也是重点。
3.主管部门与业务部门相结合的原则
由于涉及领域广泛,信息安全法更显现出其兼容性和综合性。通常,不同领域的管理部门,一般负责其相应领域的信息安全管理工作并对因管理不善造成的后果承担法律责任。网络信息安全法在很多方面体现出主管部门与业务部门相结合的原则。
在信息安全保密方面,由于国家秘密分布在国家的各个领域,如国家机关、单位业务部门涉及的国家安全和利益、涉及经济建设的许多事项都可能会成为国家秘密,因此,保密工作与各业务部门的业务工作的联系非常紧密,没有业务部门的配合,保密工作的落实是非常困难的。所以,必须把保密工作主管部门和业务工作部门结合起来。实践证明,这是做好保密工作的根本途径,因而成为一项重要原则。
4.依法管理的原则
“三分技术,七分管理”这个在其他领域总结出来的实践经验和原则,在信息安全领域同样适用。对于网络信息安全,不能仅仅强调技术,仅仅依靠网络自身的力量,更应该加强管理。从早期的加密技术、数据备份、防病毒到近期网络环境下的防火墙、入侵检测、身份认证等,信息技术的发展可谓迅速。但事实上许多复杂、多变的安全威胁和隐患仅仅依靠技术是无法解决的。
由于保密工作是一项巨大的系统工程,涉及面很广,一旦泄密,产生的后果也很大,因而依法管理显得尤为重要。所谓依法管理就是要求各个部门和相关工作人员严格按照法定的程序和内容管理保密信息并进行其他保密工作,增加各个部门之间的协调配合,从而使保密工作纳入法治的轨道。
5.维护国家安全和利益的原则
国家安全是保障政治安定、社会稳定的基本前提,关系到国家的生死存亡,是维护全国各族人民利益的根本保障。冷战结束后,国际局势日趋缓和,但是境外组织对我国重要信息的窃密活动却日益增加,不仅从原来的政治、军事领域扩大到经济、科技、文化等领域,而且窃密手段越来越多种多样,严重威胁着我国的国家安全和利益。信息安全保密法特别强调维护国家安全和利益的原则。这是保密工作的根本出发点和归宿,是国家意志在保密法中的具体体现,也是信息安全保密法的本质所在。这一原则不仅是保密工作的一项重要的指导思想,而且是信息安全保密法的首要基本原则。
