在金融、能源、制造、商業零售等經濟活動中會產生大量的數據和信息。對這些數據和信息進行綜合分析,能夠了解國家的經濟活動狀態、特征、發展變化等情況。這些數據和信息是企業競爭力和國家生產力發展的核心要素,直接關系著國家經濟安全和國家安全。隨著經濟活動對信息網絡依賴性增強,利用信息技術實施經濟竊密活動日益增多,經濟數據和信息的保密性、完整性和可用性面臨挑戰。我國應如何保障網絡空間的經濟信息安全呢?
(一)信息技術強國可通過研發針對性網絡間諜工具、實施針對性網絡攻擊等,竊取我國經濟信息
近年來,全球出現了“火焰”和“高斯”等病毒,這些病毒被認為是美國等研發的針對性網絡間諜工具,能夠將被感染系統中的相關數據發給病毒操控者。盡管目前這些病毒主要針對中東國家,但表明美國等信息技術強國已經具備了研發針對性網絡間諜工具、竊取他國敏感數據和信息的能力,給我國經濟信息安全帶來潛在威脅。
(二)國外廠商利用產品和設備預留后門、遠程維護等機會,竊取我國經濟信息
國外產品和設備在我國有較廣泛的應用,國外產品和設備可能設置有后門,可被利用進行“系統監控、信息調閱”等操作,控制信息系統或竊取相關信息。
(三)跨國公司在提供信息技術服務過程中,可能竊取大量經濟信息并非法利用
我國金融、電信、交通等領域的大型企業很多都采用跨國公司提供的信息技術咨詢、信息系統集成、數據處理和運營等服務。跨國公司在提供服務過程中不僅會掌握我國客戶的大量信息,還可能利用該機會竊取敏感經濟信息。此外,隨著云計算等快速發展,國內客戶在使用云計算服務過程中,會將大量數據存儲到
“云”端,這些數據可能被存儲到海外并被非法利用。
(四)外資企業通過對業務積累的商業數據進行分析等,獲取我國大量的經濟信息
目前外資企業已經滲透到我國多個行業和領域。外資企業通過主動收集等手段,積累了大量的商業數據;一些企業將商業數據傳至國外,嚴重危害我國經濟信息安全。
(五)網絡犯罪團伙或個人利用病毒植入等手段,竊取金融、大型商務網站等的客戶信息和商業數據
當前針對我國金融、大型商務網站的網絡犯罪行為日益猖獗,犯罪分子利用技術漏洞、病毒植入、網絡釣魚等手段,竊取網站客戶信息和商業數據。例如,2012年以來京東商城、當當網等大型商務網站被入侵,致使用戶賬戶余額被盜刷。近年來,黑客技術手段不斷更新,網絡犯罪行為呈現智能化趨勢,金融、大型商務等領域客戶資料和商業數據面臨的威脅更加嚴峻。
(一)出臺經濟信息安全相關立法
隨著經濟安全問題越來越突出,美國在國家安全的框架下開展經濟安全系列立法,除在能源、金融、貿易、制造等領域制定相關法律保護該領域經濟安全外,還出臺了專門針對經濟間諜的法律。
1996年的《經濟間諜法》對商業秘密進行了廣泛界定,將任何有形無形的、非公開的、為擁有者合理保護的信息都認定為商業秘密,并對兩類違法行為進行制裁:一是外國政府、機構、企業刺探美國產業商業秘密的經濟間諜罪;二是一般企業因競爭因素所導致的竊取商業秘密罪。該法將商業秘密的保護提升到國家經濟安全的高度,不僅將竊取或未經適當授權取得等行為界定為犯罪,還將任何意圖實施上述行為的也界定為犯罪,而且該法效力可及于國外。通過系列立法,美國構建了較完善的經濟安全(含經濟信息安全)法律保障體系,能夠更全面地保護美國的經濟利益。
(二)構建系統化的組織機構體系
美國構建了一個龐大的組織機構體系保障經濟安全——設立了以總統為中心,副總統、國防部長、國務卿、中央情報局局長和總統安全事務助理等人組成常務委員會的國家安全委員會,總統掌握著經濟安全的決策權和協調權。財政部、商務部、農業部、能源部等各部門執行具體的經濟信息安全職能。美國還建立了跨部門的協調機構。系列化的組織機構為經濟安全(含經濟信息安全)提供了組織保障。
(三)指導企業加強數據和信息保護
美國政府指導企業加強數據和信息保護,并推廣數據和信息保護最佳實踐,包括:制定信息戰略;實施內部威脅和意識計劃,對信息技術應用可能給數據和信息帶來的威脅進行偵測,進行內部安全意識培訓,對外提供信息前對信息接受者進行背景調查,與員工和商業伙伴簽訂保密協議等;對數據和信息進行有效管理,對企業所擁有信息進行分類,明確哪些信息需要保護及保護期限,選擇適合的控制措施;對網絡進行實時監控,保存登錄服務器并進行文檔操作的所有記錄,安裝必要的軟件工具等。
(一)通過立法和標準等手段,規范經濟信息的收集、處理和利用等行為
《全國人民代表大會常務委員會關于加強網絡信息保護的決定》主要對公民個人信息進行保護,對經濟信息保護沒有涉及。建議借鑒美國等國的經驗,在國家安全的大框架下,盡快研究制定經濟數據和信息保護的法律制度,明確經濟數據和信息的范圍,規范數據和信息的收集、處理和利用等行為,明確經濟信息主體的信息保護責任,明確對經濟間諜、利用網絡竊取經濟數據和信息的處罰措施。同時,要研究制定經濟信息和數據保護相關標準規范,從信息的收集、處理和利用環節提出明確具體的要求。
(二)建立經濟信息安全保護的跨部門協調機構,形成系統性組織機構,保障經濟安全
在國家信息安全協調小組框架下,建立經濟信息安全保護協調機構,負責經濟信息安全戰略政策的制定,協調國務院相關部門的經濟信息安全保護工作。充分發揮工業和信息化部、國家發改委、財政部、商務部、科技部、農業部等部委在保障經濟信息安全工作中的作用。加大國家安全部等部門對外國經濟間諜活動的監督防范。
(三)對國民經濟關鍵行業和領域的經濟信息采取多種措施予以重點保護
對金融、資源、能源、制造、高科技、商業零售、軍工等國民經濟關鍵行業和領域的企業明確提出經濟信息保護要求,要求其在加強信息化建設的同時對重要敏感信息保護予以充分重視。要求上述領域企業建設信息安全監控基礎設施,對信息系統的實時運行進行監控,同時要求其強化各項技術保護措施,并落實重要信息系統風險評估、信息系統等級保護等制度。要求企業在采用國外技術、產品和服務過程中,對產品的安全性、服務機構的資質和信用進行嚴格審查,明確商業伙伴的保密等義務。
(四)對國民經濟關鍵行業、領域應用的關鍵產品和設備實施信息安全審查
以重要領域工業控制系統、關鍵信息技術產品和設備為切入點,實施系統和產品設備的信息安全審查。在總結經驗、完善審查程序的基礎上,逐步將安全審查范圍拓展到經濟領域應用的所有關鍵產品和設備。以安全審查為契機,支持國產關鍵產品和設備的研發,推廣國產關鍵產品和設備,鼓勵各領域應用國產產品和設備,逐步實現經濟領域應用的關鍵產品和設備的國產化替代。