在金融、能源、制造、商业零售等经济活动中会产生大量的数据和信息。对这些数据和信息进行综合分析,能够了解国家的经济活动状态、特征、发展变化等情况。这些数据和信息是企业竞争力和国家生产力发展的核心要素,直接关系着国家经济安全和国家安全。随着经济活动对信息网络依赖性增强,利用信息技术实施经济窃密活动日益增多,经济数据和信息的保密性、完整性和可用性面临挑战。我国应如何保障网络空间的经济信息安全呢?
(一)信息技术强国可通过研发针对性网络间谍工具、实施针对性网络攻击等,窃取我国经济信息
近年来,全球出现了“火焰”和“高斯”等病毒,这些病毒被认为是美国等研发的针对性网络间谍工具,能够将被感染系统中的相关数据发给病毒操控者。尽管目前这些病毒主要针对中东国家,但表明美国等信息技术强国已经具备了研发针对性网络间谍工具、窃取他国敏感数据和信息的能力,给我国经济信息安全带来潜在威胁。
(二)国外厂商利用产品和设备预留后门、远程维护等机会,窃取我国经济信息
国外产品和设备在我国有较广泛的应用,国外产品和设备可能设置有后门,可被利用进行“系统监控、信息调阅”等操作,控制信息系统或窃取相关信息。
(三)跨国公司在提供信息技术服务过程中,可能窃取大量经济信息并非法利用
我国金融、电信、交通等领域的大型企业很多都采用跨国公司提供的信息技术咨询、信息系统集成、数据处理和运营等服务。跨国公司在提供服务过程中不仅会掌握我国客户的大量信息,还可能利用该机会窃取敏感经济信息。此外,随着云计算等快速发展,国内客户在使用云计算服务过程中,会将大量数据存储到
“云”端,这些数据可能被存储到海外并被非法利用。
(四)外资企业通过对业务积累的商业数据进行分析等,获取我国大量的经济信息
目前外资企业已经渗透到我国多个行业和领域。外资企业通过主动收集等手段,积累了大量的商业数据;一些企业将商业数据传至国外,严重危害我国经济信息安全。
(五)网络犯罪团伙或个人利用病毒植入等手段,窃取金融、大型商务网站等的客户信息和商业数据
当前针对我国金融、大型商务网站的网络犯罪行为日益猖獗,犯罪分子利用技术漏洞、病毒植入、网络钓鱼等手段,窃取网站客户信息和商业数据。例如,2012年以来京东商城、当当网等大型商务网站被入侵,致使用户账户余额被盗刷。近年来,黑客技术手段不断更新,网络犯罪行为呈现智能化趋势,金融、大型商务等领域客户资料和商业数据面临的威胁更加严峻。
(一)出台经济信息安全相关立法
随着经济安全问题越来越突出,美国在国家安全的框架下开展经济安全系列立法,除在能源、金融、贸易、制造等领域制定相关法律保护该领域经济安全外,还出台了专门针对经济间谍的法律。
1996年的《经济间谍法》对商业秘密进行了广泛界定,将任何有形无形的、非公开的、为拥有者合理保护的信息都认定为商业秘密,并对两类违法行为进行制裁:一是外国政府、机构、企业刺探美国产业商业秘密的经济间谍罪;二是一般企业因竞争因素所导致的窃取商业秘密罪。该法将商业秘密的保护提升到国家经济安全的高度,不仅将窃取或未经适当授权取得等行为界定为犯罪,还将任何意图实施上述行为的也界定为犯罪,而且该法效力可及于国外。通过系列立法,美国构建了较完善的经济安全(含经济信息安全)法律保障体系,能够更全面地保护美国的经济利益。
(二)构建系统化的组织机构体系
美国构建了一个庞大的组织机构体系保障经济安全——设立了以总统为中心,副总统、国防部长、国务卿、中央情报局局长和总统安全事务助理等人组成常务委员会的国家安全委员会,总统掌握着经济安全的决策权和协调权。财政部、商务部、农业部、能源部等各部门执行具体的经济信息安全职能。美国还建立了跨部门的协调机构。系列化的组织机构为经济安全(含经济信息安全)提供了组织保障。
(三)指导企业加强数据和信息保护
美国政府指导企业加强数据和信息保护,并推广数据和信息保护最佳实践,包括:制定信息战略;实施内部威胁和意识计划,对信息技术应用可能给数据和信息带来的威胁进行侦测,进行内部安全意识培训,对外提供信息前对信息接受者进行背景调查,与员工和商业伙伴签订保密协议等;对数据和信息进行有效管理,对企业所拥有信息进行分类,明确哪些信息需要保护及保护期限,选择适合的控制措施;对网络进行实时监控,保存登录服务器并进行文档操作的所有记录,安装必要的软件工具等。
(一)通过立法和标准等手段,规范经济信息的收集、处理和利用等行为
《全国人民代表大会常务委员会关于加强网络信息保护的决定》主要对公民个人信息进行保护,对经济信息保护没有涉及。建议借鉴美国等国的经验,在国家安全的大框架下,尽快研究制定经济数据和信息保护的法律制度,明确经济数据和信息的范围,规范数据和信息的收集、处理和利用等行为,明确经济信息主体的信息保护责任,明确对经济间谍、利用网络窃取经济数据和信息的处罚措施。同时,要研究制定经济信息和数据保护相关标准规范,从信息的收集、处理和利用环节提出明确具体的要求。
(二)建立经济信息安全保护的跨部门协调机构,形成系统性组织机构,保障经济安全
在国家信息安全协调小组框架下,建立经济信息安全保护协调机构,负责经济信息安全战略政策的制定,协调国务院相关部门的经济信息安全保护工作。充分发挥工业和信息化部、国家发改委、财政部、商务部、科技部、农业部等部委在保障经济信息安全工作中的作用。加大国家安全部等部门对外国经济间谍活动的监督防范。
(三)对国民经济关键行业和领域的经济信息采取多种措施予以重点保护
对金融、资源、能源、制造、高科技、商业零售、军工等国民经济关键行业和领域的企业明确提出经济信息保护要求,要求其在加强信息化建设的同时对重要敏感信息保护予以充分重视。要求上述领域企业建设信息安全监控基础设施,对信息系统的实时运行进行监控,同时要求其强化各项技术保护措施,并落实重要信息系统风险评估、信息系统等级保护等制度。要求企业在采用国外技术、产品和服务过程中,对产品的安全性、服务机构的资质和信用进行严格审查,明确商业伙伴的保密等义务。
(四)对国民经济关键行业、领域应用的关键产品和设备实施信息安全审查
以重要领域工业控制系统、关键信息技术产品和设备为切入点,实施系统和产品设备的信息安全审查。在总结经验、完善审查程序的基础上,逐步将安全审查范围拓展到经济领域应用的所有关键产品和设备。以安全审查为契机,支持国产关键产品和设备的研发,推广国产关键产品和设备,鼓励各领域应用国产产品和设备,逐步实现经济领域应用的关键产品和设备的国产化替代。