前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的信息安全等級保護條例主題范文,僅供參考,歡迎閱讀并收藏。
關鍵詞:信息系統(tǒng)安全 等級保護 福建
一、引言
信息安全等級保護制度是國家在國民經(jīng)濟和社會信息化的發(fā)展過程中,提高信息安全保障能力和水平,維護國家安全、社會穩(wěn)定和公共利益,保障和促進信息化建設健康發(fā)展的一項基本制度。我國實施的信息系統(tǒng)安全等級保護制度,根據(jù)信息系統(tǒng)在國家安全、經(jīng)濟建設、社會生活中的重要程度,信息系統(tǒng)遭到破壞后對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的危害程度等因素,將信息系統(tǒng)的安全保護等級劃分為5個級別,從第一級到第五級逐級增高,對不同安全級別的信息系統(tǒng)實施不同的安全管理。
二、我國信息系統(tǒng)安全等級保護思想的形成
1994年,《中華人民共和國計算機信息系統(tǒng)安全保護條例 》(國務院147號令)規(guī)定,“計算機信息系統(tǒng)實行安全等級保護,安全等級的劃分標準和安全等級保護的具體辦法,由公安部會同有關部門制定”。
20世紀80年代初,美國國防部制定了“國家計算機安全標準”等系列標準,包括《可信計算機系統(tǒng)評估準則》(TCSEC,即俗稱的“桔皮書”)及其他近40個相關標準,合稱“彩虹系列”。 TCSEC標準是國際上計算機系統(tǒng)安全評估的第一套大規(guī)模系統(tǒng)標準,具有劃時代的意義。TCSEC將安全產(chǎn)品的安全功能和可信度綜合在一起,設立了4類7級。
1999年,我國公安部組織制定了強制性國家標準――《計算機信息系統(tǒng)安全保護等級劃分準則》。
2000年11月10日,國家計委批準公安部開展“計算機信息系統(tǒng)安全保護等級評估體系及互聯(lián)網(wǎng)絡電子身份管理與安全保護平臺項目”建設。
2003年,《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發(fā)[2003]27號)明確指出“實行信息安全等級保護”,“要重點保護基礎信息網(wǎng)絡和關系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng),抓緊建立信息安全等級保護制度,制定信息安全等級保護的管理辦法和技術指南”。這標志著等級保護從計算機信息系統(tǒng)安全保護的一項制度提升到國家信息安全保障一項基本制度。同時中央27號文明確了各級黨委和政府在信息安全保障工作中的領導地位,以及“誰主管誰負責,誰運營誰負責”的信息安全保障責任制。
2004年9月,公安部會同國家保密局、國家密碼管理局和國務院信息辦聯(lián)合出臺了《關于信息安全等級保護工作的實施意見》(公通字[2004]66號),明確了信息安全等級保護制度的原則和基本內(nèi)容,以及信息安全等級保護工作的職責分工、工作實施的要求等。
2006年1月,公安部、國家保密局、國家密碼管理局、國信辦聯(lián)合制定了《信息安全等級保護管理辦法(試行)》,并于2007年6月修訂。
2007年6月,公安部會同國家保密局、國家密碼管理局和國務院信息辦聯(lián)合頒布《信息安全等級保護管理辦法》(公通字[2007]43號,以下簡稱《管理辦法》),明確了信息安全等級保護制度的基本內(nèi)容、流程及工作要求,進一步明確了信息系統(tǒng)運營使用單位和主管部門、監(jiān)管部門在信息安全等級保護工作中的職責、任務,為開展信息安全等級保護工作提供了規(guī)范保障。
三、開展信息系統(tǒng)安全等級保護工作的必要性和重要性
⒈開展信息系統(tǒng)安全等級保護工作的必要性
隨著網(wǎng)絡新技術的飛速發(fā)展和各類信息系統(tǒng)的廣泛應用,網(wǎng)絡與信息安全也相應出現(xiàn)了許多新情況、新問題,福建省網(wǎng)絡與信息安全防護工作面臨的形勢十分嚴峻。這就使得開展信息系統(tǒng)安全等級保護工作成為必然。
一是網(wǎng)上斗爭日趨復雜,不確定性增強。由于在互聯(lián)網(wǎng)上傳播信息具備快速便捷、低成本、無國界、易消除痕跡、技術變化快等特點,使互聯(lián)網(wǎng)成為境內(nèi)外敵對勢力、敵對分子從事各種破壞活動的重要工具。我國將長期面臨敵對勢力的信息優(yōu)勢、技術優(yōu)勢所帶來的信息安全威脅。
二是網(wǎng)絡違法犯罪活動迅速增多,造成的后果越來越嚴重。隨著新技術、新應用的發(fā)展,暴露出來的網(wǎng)絡與信息安全問題也日益增多。
三是漏洞數(shù)量居高不下,利用漏洞發(fā)起攻擊仍是互聯(lián)網(wǎng)最大的安全隱患。安全漏洞是指在網(wǎng)絡系統(tǒng)中硬件、軟件、協(xié)議和系統(tǒng)安全策略等存在的缺陷和錯誤,攻擊者利用這些缺陷和錯誤可以對網(wǎng)絡系統(tǒng)進行非授權(quán)的訪問或破壞。
四是計算機病毒傳播和對網(wǎng)絡非法入侵十分嚴重。據(jù)公安機關調(diào)查,2007年1-6月,我國平均每月截獲計算機病毒6.6萬個,累計感染計算機達1.18億臺次。2007年初在我國發(fā)生的“熊貓燒香”病毒案,短時間內(nèi)就出現(xiàn)病毒變種700余個,感染了445萬臺計算機,大批網(wǎng)民的網(wǎng)上帳號、口令被竊取。
⒉開展信息系統(tǒng)安全等級保護工作的重要性
開展信息安全等級保護工作,就是要解決我國信息安全面臨的威脅和存在的主要問題,按標準建設安全保護措施,建立安全保護制度,落實安全責任,加強監(jiān)督檢查,有效保護重要信息系統(tǒng)安全,有效提高我國信息和信息系統(tǒng)安全建設的整體水平。
建立信息安全等級保護制度,開展信息安全等級保護工作,有利于在信息化建設過程中同步建設信息安全設施,保障信息安全與信息化建設相協(xié)調(diào);有利于為信息系統(tǒng)安全建設和管理提供系統(tǒng)性、針對性、可行性的指導和服務;有利于優(yōu)化信息安全資源的配置,重點保障基礎信息網(wǎng)絡和關系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)的安全;有利于明確國家、法人和其他組織、公民的信息安全責任,加強信息安全管理;有利于推動信息安全產(chǎn)業(yè)的發(fā)展,逐步探索出一條適應社會主義市場經(jīng)濟發(fā)展的信息安全模式。
四、加快推進福建省重要信息系統(tǒng)安全等級保護工作
2007年7月20日,公安部、國家保密局、國家密碼管理局、國務院信息化工作辦公室在北京聯(lián)合召開“全國重要信息系統(tǒng)安全等級保護定級工作電視電話會議”,部署在全國范圍內(nèi)開展重要信息系統(tǒng)安全等級保護定級工作。8月13日,福建省公安廳、省保密局、省委機要局、數(shù)字福建建設領導小組辦公室等四家單位也聯(lián)合召開“福建省重要信息系統(tǒng)安全等級保護定級工作電視電話會議”。這標志著福建省重要信息系統(tǒng)安全等級保護工作正式啟動。
信息系統(tǒng)安全保護工作的首要環(huán)節(jié)是定級,定級工作是開展信息系統(tǒng)建設、整改、測評、備案、監(jiān)督檢查等后續(xù)工作的重要基礎。信息系統(tǒng)安全級別定不準,系統(tǒng)建設、整改、備案、等級測評等后續(xù)工作都將失去針對性。此次福建省重要信息系統(tǒng)安全等級保護工作將分四個階段進行。
1.突出重點,全面準確劃定定級范圍和定級對象
此次重要信息系統(tǒng)定級的范圍是國家基礎信息網(wǎng)絡和重要信息系統(tǒng),這些網(wǎng)絡和系統(tǒng)廣泛分布在各級黨政機關和電信、廣電、鐵路、銀行、民航、海關、稅務、電力、證券、保險等數(shù)十個行業(yè)。將這些基礎信息網(wǎng)絡和重要信息系統(tǒng)納入此次定級的重點范圍,體現(xiàn)了統(tǒng)籌規(guī)劃、突出重點、重點保障基礎信息網(wǎng)絡和重要信息系統(tǒng)安全的總體要求和原則。
2.依據(jù)《管理辦法》,準確確定信息系統(tǒng)安全保護等級
福建省各運營使用單位和主管部門在全面分析各自信息網(wǎng)絡和信息系統(tǒng)在國家安全、社會秩序、公共利益等方面的作用和影響的基礎上,根據(jù)信息網(wǎng)絡和信息系統(tǒng)被攻擊破壞后對國家安全、社會秩序和公共利益等方面可能造成的危害程度等因素,依據(jù)《管理辦法》,參照《定級指南》所提供的定級方法,綜合確定信息系統(tǒng)的安全保護等級。在確定等級的過程中,要最大限度地避免定級的盲目性、隨意性,力爭做到定級準確、科學、合理。
3.及時備案,加強對定級工作的監(jiān)督、檢查和指導
為全面掌握基礎信息網(wǎng)絡和重要信息系統(tǒng)的單位和系統(tǒng)的基本情況,保護重點領域的重要信息網(wǎng)絡和信息系統(tǒng),凡是安全保護等級為第二級以上的信息系統(tǒng)運營使用單位或主管部門要按照《管理辦法》的要求,到公安機關進行備案。公安機關受理備案后要對備案材料進行審核,加強對重要信息系統(tǒng)安全等級保護定級工作的監(jiān)督、檢查和指導;對定級不準的,要及時通知備案單位重新定級。
4.依據(jù)《管理辦法》和技術標準,開展整改、測評等工作
信息系統(tǒng)的安全保護等級確定后,運營使用單位要按照信息安全等級保護管理規(guī)范和技術標準,使用符合國家有關規(guī)定、滿足信息系統(tǒng)安全保護等級需求的信息技術產(chǎn)品,開展信息系統(tǒng)安全建設或者改建工作,建設符合等級要求的信息安全設施;參照信息安全等級保護管理規(guī)范,制定并落實安全管理制度;選擇符合《管理辦法》規(guī)定條件的測評機構(gòu),依據(jù)技術標準對信息系統(tǒng)安全等級狀況開展等級測評,使其盡快達到等級要求的安全保護能力和水平。
五、加大力度,確保福省重要信息系統(tǒng)安全等級保護工作任務落到實處
隨著北京奧運會的日益臨近,特別是“科技奧運”和“數(shù)字奧運”是2008年北京奧運會的一大亮點,信息安全等級保護的工作任務艱巨,責任重大。福建省公安、保密、密碼工作和信息化等部門要密切配合,及時開展監(jiān)督、檢查,嚴格審查信息系統(tǒng)所定級別,積極開展備案、整改、測評等工作。同時,充分利用廣播電視、報刊雜志、互聯(lián)網(wǎng)等媒體,加大對國家信息安全等級保護制度的宣傳力度,積極開展面向不同層次、不同對象的宣傳、培訓,以確保福建省重要信息系統(tǒng)安全等級保護工作落到實處。
1.明確職責,落實責任
各級公安機關要積極向當?shù)攸h委、政府專門匯報,主動爭取黨委、政府對信息安全等級保護工作的重視和支持;或者成立專門的等級保護工作直轄市領導小組,加強對定級工作的領導,研究制定定級工作實施方案。各運營使用單位及其主管部門要按照“誰主管誰負責、誰運營誰負責”的要求,明確主管領導和責任部門。各信息系統(tǒng)主管部門要切實加強對定級工作的組織、領導,落實等級保護各項責任,督促、指導本行業(yè)、本系統(tǒng)開展定級、備案、建設整改等工作。
2.密切配合,通力協(xié)作
各級公安機關作為開展等級保護工作的牽頭部門,要加強同保密、密碼工作、信息辦等其他信息安全職能部門的協(xié)調(diào)、配合,盡快建立健全信息安全等級保護監(jiān)管工作的協(xié)調(diào)配合機制;要主動與信息系統(tǒng)主管部門交流溝通,督促配合其組織下屬信息系統(tǒng)運營、使用單位建立信息安全責任制,建立并落實等級保護制度,從而確保等級保護工作的順利、有效實施。
3.加強宣傳,強化培訓
某企業(yè)信息中心(以下簡稱信息中心)負責全國各機構(gòu)的信息化總體工作,同時,也是信息安全等級保護的重點執(zhí)行部門,通過多年建設,信息中心在IT資產(chǎn)管理、監(jiān)控平臺整合等方面已取得了較大成績,基礎平臺已經(jīng)投入運行。
隨著信息中心信息安全管理成熟度的提升,風險評估、安全策略建設,信息安全等級保護實施等相關工作陸續(xù)開展,迫切需要一個處于管理層面的信息安全工作平臺,滿足信息中心各職能部門從信息安全要求、策略應答、到實施信息安全建設的需要,并且支持以風險為核心,通過評估、檢查,審計提高信息中心信息安全的防御能力。
神州泰岳Ultra―SCM信息安全工作管理平臺是一個構(gòu)架于基礎信息平臺(服務臺系統(tǒng)、集中監(jiān)控系統(tǒng))之上,滿足信息安全職能管理要求,符合信息安全管理模型的一個信息化工作平臺。
該平臺在充分調(diào)研某信息中心安全管理現(xiàn)狀的基礎上,采取業(yè)務建模的方式完成平臺的架構(gòu)設計。根據(jù)業(yè)務模型,信息安全管理工作平臺從業(yè)務功能上分解為五大模塊:安全要求管理、策略管理、評估與審計,風險管理、信息安全知識庫。
整個平臺圍繞一條主線來實現(xiàn),通過策略應答的方式實現(xiàn)安全要求(需求),以風險管理提高信息安全策略應答的針對性和目的性,以檢測和審計驗證安全策略實施效果。
為適應不同階段管理成熟度的需求,平臺需滿足以下三類應用場景。首先它是一個學習平臺。建立信息安全要求、標準、策略、實踐參考等信息的知識庫,供平臺使用者學習用。
其次是基礎工作平臺。作為信息中心各專業(yè)部門的安全工作臺,實現(xiàn)信息安全要求、標準引入管理,進行職責分工,實施策略應答,對安全策略執(zhí)行情況進行評估和審計,檢測安全檢測效果。即支持信息安全的正向建設實施。
最后是職能管理和全面風險管理。從外部信息安全要求、標準出發(fā),實施差距性風險評估,以風險為核心實施管控,促進信息安全策略的完善,推動信息安全建設。
通過本平臺的建設,為信息中心各職能部門提供了一個信息安全學習交流平臺,用戶可以獲得大量信息安全知識,同時能夠通過這個平臺將工作中的經(jīng)驗和知識進行共享;通過對信息安全等級保護要求、信息中心內(nèi)部信息安全制度的引入管理,安全策略的應答,制定和實施,保障了依賴于信息系統(tǒng)的業(yè)務安全有效運行。
通過引入風險評估和審計方法,規(guī)范了信息中心風險評估和審計活動,有效的識別了當前存在的和潛在可能存在的風險,并制定風險控制措施,降低了風險對業(yè)務系統(tǒng)可能產(chǎn)生的影響,同時,通過審計活動驗證信息安全工作的落實情況,督促對不符合信息安全規(guī)定的內(nèi)容進行改進,逐步提升信息中心信息安全建設的有序運行。
訊鳥,呼叫中心系統(tǒng)專家
北京訊鳥軟件有限公司創(chuàng)立于2001年,是專業(yè)的呼叫中心系統(tǒng)和服務提供商。主要業(yè)務包括呼叫中心系統(tǒng)建設,呼叫中心在線托管與呼叫中心服務外包等。
通過技術和服務幫助企業(yè)實現(xiàn)與客戶的互動式溝通,開發(fā)最大的價值潛能是訊鳥多年以來孜孜以求的目標。通過訊鳥的技術,呼叫中心這樣一個原本只有政府及機構(gòu)和大型企業(yè)才有實力采用的奢侈品也可為廣大迫切需要提升與客服互動能力及服務水平的中小企業(yè)所采用。
在轉(zhuǎn)型中成長
從2001年進入呼叫中心行業(yè)以來,訊鳥就秉承著創(chuàng)新開拓的精神,不斷壯大自己的實力,調(diào)整行業(yè)定位,謀求更大的行業(yè)話語權(quán)和影響力,其自身角色也經(jīng)歷了幾個轉(zhuǎn)變。7年來,訊鳥從呼叫中心應用集成商到呼叫中心中間件提供商,再到呼叫中心運營商和軟件供應商,不斷拓展著新的發(fā)展空間,同時也在引領呼叫中心的一個個新時代。
2001年訊鳥公司成立之初,主做呼叫中心應用集成。但在整個呼叫中心解決方案生態(tài)鏈上,應用集成的核心價值太低,且缺乏掌控力。訊鳥需要一個更有挑戰(zhàn)和控制力的角色。公司創(chuàng)始人吳益民果斷做出決定:改走呼叫中心中間件這條路。訊鳥的第一次成功轉(zhuǎn)型,為訊鳥今后的發(fā)展奠定了扎實的基礎。2002年,訊鳥成功研發(fā)出CTI產(chǎn)品,并成功簽約阿里巴巴、藝龍等客戶,取得了不錯的市場業(yè)績。2006年公司歷經(jīng)2年多研發(fā)的Disco系統(tǒng)正式上線,成功應用于中國大都會人壽保險公司、廣東煙草公司,獲得客戶充分肯定。
訊鳥公司將呼叫中心基本功能和多年成功經(jīng)驗融合在一起,創(chuàng)造出呼叫中心標準化組件。并通過少量的定制開發(fā)(包括界面交互展示、客戶流程設計、業(yè)務接口配合)與其完美結(jié)合。在專注呼叫中心領域的同時,訊鳥更重視用戶的應用體驗和應用價值的開發(fā)。追求幫助客戶實現(xiàn)最大范圍的多元化交互方式,創(chuàng)造突破時空、可控可管的有效溝通工具。
呼叫中心的“多面手”
訊鳥擁有強大的自主研發(fā)能力,多主體協(xié)同技術、軟交換技術、基于廣域網(wǎng)的IP語音傳輸協(xié)議和壓縮算法,基于關鍵字搜索的呼叫中心服務系統(tǒng)及方法,面向呼叫中心的電話信號音檢測方法及其系統(tǒng)等多項技術都處于國際領先水平。
傳統(tǒng)的呼叫中心集成式建設模式是建立在多個來自不同廠家的松散組合而形成的松散體系,難以做到整個體系在更深程度上的高效整合與緊密協(xié)同,而工程式的維護與服務模式也讓呼叫中心用戶吃盡了服務與維護的苦頭。
創(chuàng)新一體化呼叫中心系統(tǒng)
訊鳥軟件憑借多年呼叫中心行業(yè)的經(jīng)驗與技術積累,提出了“整體化呼叫中心系統(tǒng)”的建設模式。訊鳥認為呼叫中心是一個企業(yè)與客戶保持緊密聯(lián)系的互動溝通樞紐,它是一個將人員、過程、技術和戰(zhàn)略統(tǒng)一協(xié)調(diào)的綜合系統(tǒng),是公司大規(guī)模組織內(nèi)部資源,開展規(guī)模化服務的戰(zhàn)略業(yè)務中樞,是一個能夠隨著公司業(yè)務柔性發(fā)展、靈活分布,高效運作的核心系統(tǒng)。
整體化呼叫中心系統(tǒng)不再是由多個廠家的產(chǎn)品拼湊而成,而是以通過完善的標準化軟件模塊,搭建在相應硬件上的一個整體,并根據(jù)客戶的需求進行相應的定制開發(fā)。在此基礎上,訊鳥軟件為客戶提供從選擇到使用的全面服務。訊鳥呼叫中心的模塊化功能是根據(jù)多年經(jīng)驗,將行業(yè)中不同客戶的普遍需求進行整理研發(fā)而成。
發(fā)揚傳統(tǒng)交換機呼叫中心系統(tǒng)
訊鳥軟件基于交換機的呼叫中心系統(tǒng),是為企業(yè)提供的一套獨立運營的呼叫中心系統(tǒng)。運用先進的CTI技術,將電話程控交換機、CTI中間件與計算機系統(tǒng)有機 的結(jié)合在一起,通過最佳的設計器,生成器和客戶信息系統(tǒng),自始至終地對電子化的客戶交互進行跟蹤和管理,滿日益復雜的客戶交互需求。
阿里巴巴呼叫中心是由訊鳥公司參與建設的,其呼叫中心主要負責阿里巴巴旗下誠信通,淘寶、支付寶、口碑網(wǎng)等電子商務交易的主動銷售和客戶服務。該客服中心的規(guī)模在國內(nèi)位居前列。整個呼叫中心以杭州作為中心點,已建成北京、杭州、上海、成都、廣州,青島六個地區(qū)共9個分支點。整個呼叫中心集中控制的方式實現(xiàn)中繼分散接入,座席分散與集中相結(jié)合。該項目充分考慮了交換機、網(wǎng)絡或其他故障。通過采用遠端交換機再生功能和訊鳥產(chǎn)品獨有的多機熱備系統(tǒng),保證了該客服中心7×24小時不間斷運行的要求。
IP呼叫中心系統(tǒng)
訊鳥IP呼叫中心系統(tǒng)采用先進的互聯(lián)網(wǎng)技術,顛覆傳統(tǒng)呼叫中心的模式,給所有具備寬帶上網(wǎng)的客戶提供一個不受時間。空間限制的可控可管的新型呼叫中心系統(tǒng)。企業(yè)用戶除享受傳統(tǒng)呼叫中心的各種功能外,還可以根據(jù)自己的業(yè)務應用、辦公地點,任意部署固定座席、移動座席、手機座席,并通過報表等手段集中管理座席。訊鳥IP呼叫中心系統(tǒng)即提供對Web用戶的服務,用戶不僅可通過電話撥打,也可以通過因特網(wǎng)呼叫,直接和座席進行文字、語音交流,全面拓寬了企業(yè)和客戶之間的交流通道。
讓呼叫中心進入“平民時代”
2008年年初,訊鳥軟件正式推出命名為“啟通寶”的呼叫中心租賃運營業(yè)務,面向電子商務類企業(yè)開展呼叫中心出租業(yè)務。針對網(wǎng)商客戶的需求與特點,企通寶推出了全托管運營的模式,客戶可以按月按座席來租用呼叫中心系統(tǒng),只需要配備人員和電腦就可以快速組建自己的呼叫中心。
該產(chǎn)品是訊鳥自主研發(fā)的全球領先的集散服務統(tǒng)一通信系統(tǒng)。即利用P2P技術、多主體無中心點分布處理技術、無上限堆疊式服務器和無總線技術,攻克了針對因特網(wǎng)的語音質(zhì)量技術難關,在實現(xiàn)傳統(tǒng)lP聯(lián)絡中心所有功能的基礎上,還具有無瓶頸規(guī)模擴容、在線容錯容災、基于Web的DIY配置,基于Web運營、異地部署靈活分布等特點,可滿足用戶的多種需求。簡單說,訊鳥啟通寶讓昂貴的呼叫中心進入了“平民時代”,只要具備因特網(wǎng),擁有普通電腦和耳麥,就可以實現(xiàn)呼叫中心的所有功能。
訊鳥的SaaS型呼叫中心座席數(shù)量沒有上限,可以服務上億級的客戶群。啟通寶座席可多可少、增減靈活,一處多點和異地分布辦公,都可輕松應對。對廣大中小企業(yè)而言,此產(chǎn)品更是帶來了一次商業(yè)模式和運營管理上的變革,“電子商務+呼叫中心”的商業(yè)模式為處在金融風暴風雨飄搖中的中小企業(yè)帶去了度過難關的有效方案。
現(xiàn)在,啟通寶已在全國擁有300多家企業(yè)用戶。2009年1月,功能更加強大的啟通寶2.0即將面世。
盡管針對信息系統(tǒng)的監(jiān)理工作已經(jīng)開展了多個年頭,但是其主要的工作目標仍然集中在以系統(tǒng)集成為代表的信息基礎設施建設以及以軟件研發(fā)為代表的應用系統(tǒng)建設,對于認知度和重要性日益提高的信息安全,監(jiān)理體系的發(fā)展尚有很長的路要走。
作為信息監(jiān)理體系中的一個分支和必要組成部分,信息安全監(jiān)理既保有信息監(jiān)理的基本特征,同時又有很多個性特質(zhì),這主要是信息安全本身的特性使然。
在實踐中,信息安全不但與通常的監(jiān)理對象一樣具有規(guī)劃、實施、運營等等清晰的工作周期,而且由于信息安全工作在變更、響應、教育方面的高要求,使得信息安全監(jiān)理在開展過程中需要關注更多的問題。處理好這些問題,信息安全才能真正保障。
認識篇:安全監(jiān)理 并不遙遠
基于多年對信息技術產(chǎn)業(yè)的關心和促進,我國已經(jīng)形成一系列的法規(guī)、條例和標準用于信息領域相關工作的規(guī)范和管理。針對信息安全領域,于1994年2月18日的《中華人民共和國計算機信息系統(tǒng)安全保護條例》,是我國信息系統(tǒng)安全體系的核心法律依據(jù);而作為GB17859-1999國家標準的《計算機信息系統(tǒng)安全等級保護劃分準則》則為我國的信息安全工作提供了標準上的支持。特別是2006年上旬公安部的《信息安全等級保護管理辦法(試行)》,也稱7號文件,其中針對不同等級的信息系統(tǒng)明確的在監(jiān)管和監(jiān)管資質(zhì)方面進行了規(guī)定。這些法規(guī)標準的出臺和實施為信息安全的監(jiān)理工作提供了有效的生長環(huán)境,同時也預示著信息安全監(jiān)理的大幕正在拉開,通過第三方的監(jiān)理手段提高信息安全工作有效性正成為產(chǎn)業(yè)中一股新的力量。
重視實施
在信息安全工作體系當中,監(jiān)理可以發(fā)揮極為重要的作用,有效的監(jiān)理工作可以節(jié)約資源并保障信息安全工作的順利開展。
在實施信息安全的過程中,監(jiān)理機制可以保障安全特性與系統(tǒng)核心的工作目標適配,避免安全目標與系統(tǒng)目標之間發(fā)生沖突。即使對于信息安全本身,其保密性、完整性和可用性三大基本要求之間也存在著潛在的沖突,例如,在很多時候為了提高保密性的要求而可能會損害到信息的可用性,這些問題的權(quán)衡和建議體現(xiàn)了監(jiān)理工作在整個系統(tǒng)體系設計層次的作用。
基于資源有限這一基本原理,在實施信息安全工作的過程中一個非常重要的問題在于使用合適的資源對不同類型的信息資產(chǎn)進行保護。很多信息安全工程或是沒有分清保護的重點,或是對某些信息資產(chǎn)投放了過度的資源,這對于系統(tǒng)的安全乃至系統(tǒng)本身的運轉(zhuǎn)都會造成不良影響。監(jiān)理機制能夠在資源調(diào)配上起到監(jiān)管作用,從設計階段就發(fā)現(xiàn)信息安全系統(tǒng)中潛藏的缺陷。
作為監(jiān)理機制最重要的作用之一,監(jiān)督信息安全的實施過程是信息安全監(jiān)管的重中之重。即使擁有完善的信息安全系統(tǒng)設計也并不能保證信息安全工作的成功,保證實施方按照設計方案正確的進行實施與對設計方案的分析一樣重要。在很多信息安全工程中存在著執(zhí)行不利的問題,監(jiān)理工作非常適合在執(zhí)行過程中的發(fā)揮保障作用,在這類相對確定且可變性較低的層面可以充分發(fā)揮監(jiān)理的標準化能力及管理能力。
從規(guī)范到管理
眾所周知,在信息安全體系中管理制度和人員的因素與其它信息工程相比要占據(jù)更重要的地位。從信息安全制度規(guī)范的實施到安全意識技能培訓,往往受制于企業(yè)內(nèi)部的阻力。通過監(jiān)理的形式促進這些工作的開展,除了可以有效的提高信息安全工作的質(zhì)量,同時還可以推進整套工作的進展。
一個容易被忽視的信息安全問題是信息安全體系建設完成之后的管理,在一個信息安全系統(tǒng)建設完成之后并不代表著工作的結(jié)束,運營過程中的監(jiān)管是不容忽視的。一個應用系統(tǒng)層面的變更帶來的往往是生產(chǎn)力的促進和提高,而這種變更所帶來的安全層面的變更往往會對信息安全體系造成巨大的破壞。所以在信息安全體系建設之后的生命周期當中,監(jiān)理機制仍能夠起到重要作用,保證信息安全工作的延續(xù)性。
對比篇:撥開安全監(jiān)理與審計的迷霧
審計通常是指審計方在接受委托后,通過收集各種信息和證據(jù)從而對審計目標是否達到了預先設定的目標進行判斷和指導,延伸到信息安全領域就是通過對計算機系統(tǒng)的數(shù)據(jù)進行記錄和檢驗從而了解系統(tǒng)是否達到了要求的安全指標。而依照《信息系統(tǒng)工程監(jiān)理暫行辦法》,信息系統(tǒng)監(jiān)理是指依法設立且具備相應資質(zhì)的監(jiān)理單位受托依據(jù)國家有關法規(guī)和標準對信息系統(tǒng)工程項目實施監(jiān)督及管理。從概念上分析,這兩種服務的目的都在于降低信息系統(tǒng)工程實施過程中的風險,從基本出發(fā)點上是完全相同的。
走出概念的誤區(qū)
在實際的工作范疇以及作用等方面,監(jiān)理和審計并不完全相同。
就一個信息安全體系來說,本身就需要記錄充分的信息予以存檔留待需要時分析,這也是審計機制中最核心的鑒證功能。但是一個成熟的信息審計過程并不僅僅如此,更重要的是通過第三方的力量對目標信息的真實性、完整性、可靠性進行驗證,從而為決策行為提供充分有效的證明。從不同的視角對一個安全系統(tǒng)進行分析,可以更加真實的還原信息系統(tǒng)的安全現(xiàn)狀,同時可以利用審計機構(gòu)所具備的知識和經(jīng)驗,完善系統(tǒng)設計,以提高實施成功率。
從這一點來看,信息安全審計服務與信息安全監(jiān)理服務的作用有一定的交叉性。而在此基礎之上,信息安全監(jiān)理還具有一些信息安全審計不具備的職能。首先信息安全監(jiān)理需要履行監(jiān)管的職責,也即不僅僅象信息安全審計過程一樣要進行咨詢、分析、建議,還要對整個安全體系的實施乃至運行采取強于審計工作的控制,以第三方的力量穩(wěn)定項目發(fā)展的軌道。另外,信息安全監(jiān)理還需要在項目開展過程中協(xié)調(diào)客戶與實施方等多方之間的關系,保證參與方確實的履行合同條款,去除隱藏的欺詐行為。也就是說信息安全監(jiān)理更側(cè)重于項目成功的保障,而信息安全審計更側(cè)重于信息的可信性。
值得一提的是,在針對項目范疇的信息審計在關注信息可信的基礎上也包含了對信息系統(tǒng)有效性的審計,集中體現(xiàn)于對項目完成后系統(tǒng)運營狀態(tài)的審計,在對于這一生命周期的關注上信息安全審計要強于信息安全監(jiān)理。
正確實踐
在實際的信息安全項目當中,信息安全監(jiān)理與信息安全審計也有很多區(qū)別,集中體現(xiàn)于工作主體上的差異。
對于監(jiān)理來說,必須由第三方完成相關工作,否則就失去了公正性和監(jiān)管力。而對于審計來說,除了聘用外部機構(gòu)對系統(tǒng)的安全性開展審計工作之外,很多情況下審計工作也可以由組織內(nèi)部的信息安全團隊完成。在通常情況下,基本的信息安全審計都是由內(nèi)部人員定期執(zhí)行并向管理層進行反饋,利用外部力量進行審計的情況相對較少,這也與國內(nèi)用戶對第三方審計的認知不夠有關。
另外,審計和監(jiān)理服務所面向的服務對象也有一定的差異。信息審計所具有的公證性目標,在執(zhí)行信息安全審計時往往服務于類似管理層這樣發(fā)起審計要求的局部對象。而信息安全監(jiān)理則往往服務于用戶和實施方兩方,即使在特定情況下監(jiān)理機制作用于組織內(nèi)部的不同部門和層級,也具有作用多個對象的特征。
總體來看,在作用方面信息安全監(jiān)理與信息安全審計處于相互融合、互相支撐的關系。在一個成功的信息安全項目當中,兩者的作用都不容忽視,應該根據(jù)具體需要進行具體選擇,并開展符合實際應用環(huán)境的具體應用。
實踐篇:安全規(guī)劃 重在督導
缺乏規(guī)劃性是很多信息安全項目失敗的主因,所以監(jiān)理機構(gòu)有責任向用戶提出實施規(guī)劃方面的建議。建議的方面有很多,而主要的原則面則基于成熟的信息安全項目操作經(jīng)驗。
安全原則不容忽視
首先我們要在規(guī)劃制訂過程中樹立以人為本的意識,對計算機系統(tǒng)進行安全管理要充分結(jié)合對人的管理。授權(quán)最小化是安全管理的核心原則之一,保障權(quán)限授予的合理并減少冗余是任何安全體系成功的基礎。
另外,在安全規(guī)劃中不能忽視卻常常被忽視的一個問題就是物理安全,協(xié)助用戶分析如何管理各種存儲介質(zhì),完善用戶所在建筑物的安全管理,都是在監(jiān)理工作過程中需要注意的問題。
對于安全事件的響應也是監(jiān)理應該重點關心的方向,很多用戶的信息安全體系具有完善的保護計劃,但是在執(zhí)行保護工作的過程中卻常常因為缺乏健全的響應計劃而導致信息資產(chǎn)的損失。特別是對于那些服務范圍只涉及建設過程的監(jiān)理,如果在規(guī)劃階段忽視了運營過程中的響應機制,就會給客戶遺留一個缺乏后續(xù)保障的安全體系。
除此以外,還有很多問題值得關注,但相對來說有更多的范例可以借鑒,同時也更加容易通過規(guī)范來保障。信息安全監(jiān)理應該在全局掌握的基礎上,重點關注那些相對容易忽視、可變性較高、人員協(xié)調(diào)需要較強的范疇。
有效溝通是保障
規(guī)劃的建立只是開始,在整個信息安全監(jiān)理工作過程中,應該通過與用戶的充分溝通,形成一套切實可行的安全管理制度。一般常見的安全管理制度包括了權(quán)限管理、操作規(guī)章、定期檢測制度、信息分級、信息銷毀、介質(zhì)管理、響應計劃、變更管理、員工培訓等等。在形成制度的同時,一個更加不容忽視的問題在于制度的學習和實踐,這也是監(jiān)理機構(gòu)發(fā)揮督管作用的重要陣地。
在實際工作過程中,制度的推行往往在客戶方遇到一定的阻礙,而面對這種阻礙,往往會導致實施方降低項目的推進力。在這種情況下,監(jiān)理方應該及時、確實的把握雙方的思維動向,緩沖雙方之間的矛盾,以便于達到項目協(xié)調(diào)的作用。
另外,監(jiān)理方還應該對照雙方確認完成的制度條款,通過檢驗手段保證安全管理工作能夠順利實施。這樣既能夠保證用戶得到有效的安全保護系統(tǒng),同時也是對實施方的工作成果負責,在此基礎上監(jiān)理方才能對雙方的利益開展協(xié)調(diào)。在監(jiān)理工作當中還有一個需要高度重視的問題,那就是監(jiān)理方本身對于制度的遵守和執(zhí)行。
作為用戶與實施方的媒介,監(jiān)理方必須嚴格依照實現(xiàn)制訂的標準完成監(jiān)理工作,這是獲得信任的基礎。同時監(jiān)理方也應該盡力遵守用戶和實施方之間的協(xié)議以及制訂出的制度(例如進場制度),只有得到兩方的尊重,才能順利保證監(jiān)理工作的開展。
教育在信息安全體系中的重要性已無需多言。信息安全所包含的知識跨越了很多領域,既有計算機技術,又覆蓋了安防意識的范疇,而且還包含了諸如物理安全、社交工程學等很多與計算機科學沒有直接聯(lián)系的內(nèi)容。
【關鍵詞】 信息系統(tǒng); 審計; 審計目標
2007年2月國務院國有資產(chǎn)監(jiān)督管理委員會和國務院信息化工作辦聯(lián)合印發(fā)了《關于加強中央企業(yè)信息化工作的指導意見》,加快了國有企業(yè)信息化建設的步伐。國有企業(yè)審計是中國特色社會主義國家審計的重要組成部分。由于企業(yè)與公共部門在內(nèi)部控制、管理和治理方面的差異,導致了企業(yè)信息系統(tǒng)審計與公共部門信息系統(tǒng)審計的不同特點。
一、增強國有企業(yè)信息系統(tǒng)的可信性
審計機關的審計目標取決于法定要求。根據(jù)《中華人民共和國審計法》的規(guī)定,審計機關對國有企業(yè)財務收支的真實、合法、效益,依法進行審計監(jiān)督。顯然,真實性是國有企業(yè)審計的目標之一。信息系統(tǒng)審計是國有企業(yè)審計的重要組成部分。國有企業(yè)審計的總體目標,決定了國有企業(yè)信息系統(tǒng)審計的目標。國有企業(yè)審計的真實性目標,必然要求國有企業(yè)信息系統(tǒng)提供真實性的信息,這意味著,審計機關的國有企業(yè)信息系統(tǒng)審計必須把真實性作為審計目標之一。
根據(jù)相關法律的規(guī)定,注冊會計師也可以對國有企業(yè)進行審計。根據(jù)我國公司法第165條的規(guī)定,“公司應當在每一會計年度終了時編制財務會計報告,并依法經(jīng)會計師事務所審計。”而且,2008年10月通過的《中華人民共和國企業(yè)國有資產(chǎn)法》第六十七條明確規(guī)定,“履行出資人職責的機構(gòu)根據(jù)需要,可以委托會計師事務所對國有獨資企業(yè)、國有獨資公司的年度財務會計報告進行審計,或者通過國有資本控股公司的股東會、股東大會決議,由國有資本控股公司聘請會計師事務所對公司的年度財務會計報告進行審計,維護出資人權(quán)益。”大家知道,依據(jù)注冊會計師執(zhí)業(yè)審計準則的規(guī)定,會計師事務所對企業(yè)財務報表審計的目的是“提高財務報表預期使用者對財務報表的信賴程度。”①這說明,注冊會計師國有企業(yè)審計的目標是要求財務報表提供的信息具有可信性。注冊會計師所審計的國有企業(yè)財務報表中的信息是由國有企業(yè)的信息系統(tǒng)產(chǎn)生形成的,因而必須對信息系統(tǒng)進行審計。注冊會計師對國有企業(yè)財務報表審計的可信性目標,決定了注冊會計師對國有企業(yè)信息系統(tǒng)審計的可信性目標。
同樣的審計對象,不同的審計主體,導致了兩種不同的國有企業(yè)信息系統(tǒng)審計目標。從上述分析不難發(fā)現(xiàn),無論是審計機關還是注冊會計師對國有企業(yè)進行審計,其中對企業(yè)信息系統(tǒng)的審計都是不可或缺的重要組成部分。根據(jù)審計法的規(guī)定,審計機關對國有企業(yè)信息系統(tǒng)審計的目標是真實性。而根據(jù)注冊會計師執(zhí)業(yè)審計準則,對國有企業(yè)信息系統(tǒng)審計的目標是可信性。那么,什么是真實性?什么是可信性?這兩種目標之間有什么樣的聯(lián)系和區(qū)別?為什么說審計機關應當把增強國有企業(yè)信息系統(tǒng)可信性作為審計目標呢?
(一)真實性與可信性的基本涵義
我國審計法強調(diào)真實性,根據(jù)2010年9月頒布的中華人民共和國國家審計準則(以下簡稱國家審計準則)的規(guī)定,“真實性是指反映財政收支、財務收支以及有關經(jīng)濟活動的信息與實際情況相符合的程度。”那么,什么是真實性呢?真實性只是對財政財務收支及有關經(jīng)濟活動信息質(zhì)量的最低要求。如果會計信息是真實的,但是不夠完整或者披露不及時,仍然不能滿足信息使用者的需要,甚至會導致錯誤的投資決策。事實上,就真實性本身而言,由于會計估計、核算方法等因素的影響,會計信息的真實性也只是相對的,而不是絕對的。所以,把真實性作為審計目標,具有一定的局限性。所謂可信性,從國際審計準則第200號(ISA200)可以看出,當編制的財務報表公允表達(presented fairly)或真實公允(true and fair)時,它才是可信性的。從字面上講,公允(fair)或公平的要求,強調(diào)了財務報表各種使用者之間的利益平衡。從理論上講,公允表達或真實公允的概念比真實性概念具有更多的內(nèi)涵,涉及會計適當性、適當披露及審計責任等概念。在國際審計準則第200號(ISA200)中,公允表達是指財務報表是否在所有重大方面按照適用的財務報告框架編制,“公允”還意味著超出財務報告框架所要求披露范圍的必要性,以及在極端情況下必須偏離財務報告框架的可能性。適用的財務報告框架,主要是指適用的會計法律法規(guī)、會計準則、會計制度等。大家知道,我國會計法強調(diào)“保證會計資料真實、完整”。根據(jù)會計法的要求,我國的財務報表不僅要具有真實性,而且還要具有完整性。總的來說,可信性并不否認真實性,真實性是可信性的必要前提之一,但真實的并不一定是可信的,可信性的內(nèi)涵更加豐富,真實性是對財務信息質(zhì)量的最低要求,可信性反映了對財務信息質(zhì)量更高的要求。
(二)可信性目標反映了注冊會計師審計發(fā)展的新階段
一般認為,受社會需求變化、自身技術手段及審計風險等因素的影響,注冊會計師審計目標的發(fā)展演變至今經(jīng)歷了四個階段,即20世紀30年代之前的查錯糾弊階段、30年代中期至80年代驗證會計報表真實公允階段、80年代至90年代中期真實公允與查錯糾弊并重階段,及90年代后期以來的增強信息可信性階段。雖然同為注冊會計師審計的目標,然而從歷史發(fā)展演變的角度看,真實性只是注冊會計師審計的早期目標,當前注冊會計師審計準則中的可信性目標反映了注冊會計師審計的最新發(fā)展,是更高級發(fā)展階段的目標。
(三)可信性目標比“真實公允”具有更加廣泛的適用性
20世紀90年代后期,傳統(tǒng)的財務報表審計成為更為廣義的概念――“保證業(yè)務”(Assurance Service)的一個組成部分。我國注冊會計師協(xié)會譯為“鑒證業(yè)務”②。2004年國際會計師聯(lián)合會了《國際保證業(yè)務框架》,2005年1月1日生效。2006年我國制定了《中國注冊會計師鑒證業(yè)務基本準則》,2007年1月1日起施行。鑒證業(yè)務是指注冊會計師對鑒證對象信息提出結(jié)論,以增強除責任方之外的預期使用者對鑒證對象信息信任程度的業(yè)務。鑒證對象與鑒證對象信息具有多種形式,主要包括:當鑒證對象為財務業(yè)績或狀況時(如歷史或預測的財務狀況、經(jīng)營成果和現(xiàn)金流量),鑒證對象信息是財務報表;當鑒證對象為非財務業(yè)績或狀況時(如企業(yè)的運營情況),鑒證對象信息可能是反映效率或效果的關鍵指標;當鑒證對象為物理特征時(如設備的生產(chǎn)能力),鑒證對象信息可能是有關鑒證對象物理特征的說明文件;當鑒證對象為某種系統(tǒng)和過程時(如企業(yè)的內(nèi)部控制或信息技術系統(tǒng)),鑒證對象信息可能是關于其有效性的認定;當鑒證對象為一種行為時(如遵守法律法規(guī)的情況),鑒證對象信息可能是對法律法規(guī)遵守情況或執(zhí)行效果的聲明。不難看出,傳統(tǒng)的財務報表審計只是鑒證業(yè)務中的一種。鑒證標準隨著鑒證對象的不同,也從財務報表審計中按照適用的財務報表編制框架,如編制財務報表所使用的會計準則和相關會計制度,擴展到單位內(nèi)部制定的行為準則、績效水平等方面。從其定義看,鑒證業(yè)務的目的在于增強除責任方之外的預期使用者對鑒證對象信息的信任程度。真實公允目標是針對財務報表審計的審計目標,可信性目標在概念外延上具有更加廣泛的適用性。可信性目標不僅適用于對財務信息的可信性,而且還適用于非財務信息(績效信息)的可信性。對財務報表來說,如果它是真實公允的,即在所有重大方面是按照適用的財務報表框架編制的,它就是可信性;對于其他鑒證信息來說,如果它是符合適用的鑒證標準,就是可信性的。企業(yè)內(nèi)部的信息系統(tǒng),現(xiàn)在已不僅僅是財務信息系統(tǒng),還包括各種業(yè)務和管理信息系統(tǒng)。與此同時,為滿足企業(yè)的業(yè)務需求,信息系統(tǒng)所提供的信息也不局限于財務信息,而且還包括許多非財務信息。所以,在國有企業(yè)信息系統(tǒng)審計中,把可信性作為國有企業(yè)信息系統(tǒng)審計的目標比真實性目標更加符合企業(yè)信息化發(fā)展的客觀要求。
(四)可信性目標反映了審計理論的深化和發(fā)展
可信性不是一個孤立的術語,它是新審計理論(或一組新的相互聯(lián)系的審計概念)中的一個關鍵性概念。隨著注冊會計師的業(yè)務從傳統(tǒng)的財務報表審計發(fā)展到鑒證業(yè)務,傳統(tǒng)的審計理論也得到了深化和發(fā)展。大家知道,審計三方關系是指審計人、被審計人、審計授權(quán)或委托人之間的關系。傳統(tǒng)的受托責任論,即審計動因論,是建立在傳統(tǒng)的審計三方關系之上的。然而,在我國現(xiàn)行的《注冊會計師鑒證業(yè)務基本準則》中給出了一種新的審計三方關系,即注冊會計師、責任方和預期使用者。在新的審計三方關系中,被審計人與審計授權(quán)或委托人之間責任關系的含義更加豐富,除傳統(tǒng)的受托責任關系外還有其他種類不帶委托性質(zhì)的責任關系③。在新的審計三方關系中,預期使用者應包括企業(yè)所有的利益相關者,除了傳統(tǒng)受托責任關系中的股東外,還應包括經(jīng)營者、員工、顧客、供應商、債權(quán)人、潛在的投資者、監(jiān)管層、競爭者等。聘請注冊會計師的通常是預期使用者或其代表,但也可能是責任方。責任方、預期使用者和注冊會計師三方之間的關系,可以看作是信息提供者、信息使用者和信息可信性的保證者之間的關系④。增強信息的可信性,實際上是減少了信息提供者與預期使用者之間的信息不對稱,鑒于預期使用者的廣泛性,在市場經(jīng)濟條件下,將有利于完善市場機制,提高市場資源配置效率,從而拓展了審計的社會功能。可信性不是一個空洞的概念,鑒證對象信息是否具有可信性,需要執(zhí)行一定的業(yè)務程序。審計師在收集證據(jù)的基礎上,依據(jù)一定的標準,檢查責任方的鑒證對象信息在所有重大方面是否符合適當?shù)臉藴屎螅拍転殍b證對象信息的可信性提供一定程度的保證,從而提供給預期使用者。鑒證業(yè)務的保證程度被細分為合理保證和有限保證,鑒證對象信息被劃分為財務信息和非財務信息,其中財務信息被進一步細分為歷史財務信息和預測性財務信息。可信性概念是這些新審計理論中的關鍵性概念之一,相比之下,真實性概念在新的審計理論中卻沒有相應的理論地位。
(五)可信性目標反映了國家審計的發(fā)展趨勢
在世界審計組織(INTOSAI)的道德準則(Code of Ethics)中,強調(diào)了信賴(trust)、信任(confidence)、信譽(credibility)對于審計機關的至關重要性。在南非審計署1911至2011年百年紀念的紀念品和網(wǎng)站首頁上有一句格言:“Auditing to build public confidence”,即“審計旨在建立公共信任”。我國審計署2011年7月15日印發(fā)的《審計署關于深化經(jīng)濟責任審計工作的指導意見》中提出,要確保經(jīng)濟責任審計結(jié)果的可信、可靠和可用。劉家義審計長提出,國家審計是國家治理的一個組成部分。孔子曰:“足食,足兵,民信之矣”,“民無信不立”,說明了信任、守信在國家治理中的重要性。我們知道,“誠信友愛”是構(gòu)建社會主義和諧社會的基本要求之一。國家審計可以增強政府的公信力,增強整個社會的誠信。從國家治理的角度看,可信性目標比真實性目標更好地體現(xiàn)了國家審計在國家治理中的作用。
經(jīng)過上述真實性和可信性兩種審計目標含義的對比,不難發(fā)現(xiàn),雖然真實性目標是國有企業(yè)審計的傳統(tǒng)目標之一,但是可信性比真實性的涵義更為豐富,可信性目標中不但包含了真實性目標,而且可信性目標要求信息系統(tǒng)提供更高質(zhì)量的信息。兩種目標都對信息系統(tǒng)提供的信息質(zhì)量提出了要求,國家審計對信息質(zhì)量的要求不應低于注冊會計師審計。因此,筆者認為,盡管現(xiàn)行的審計法規(guī)定了國有企業(yè)信息系統(tǒng)審計的真實性目標,但是,從理論上講以及從未來發(fā)展趨勢看,審計機關應當選擇可信性作為國有企業(yè)信息系統(tǒng)審計的目標,即國有企業(yè)信息系統(tǒng)審計應當促進企業(yè)信息系統(tǒng)提供可信的信息。
二、促進國有企業(yè)信息系統(tǒng)的遵循性
最高審計機關國際組織(INTOSAI)在審計基本原則(ISSAI-100)中,把政府審計業(yè)務分為兩大類,即合規(guī)審計(regularity audit)和績效審計(performance audit),并制定了相應的審計執(zhí)行指南,即財務審計執(zhí)行指南(Implementation Guidelines on Financial Audit)、遵循審計執(zhí)行指南(implementation guidelines on compliance audit)和績效審計執(zhí)行指南(Implementation Guidelines on Performance Audit)。在這個準則指南框架中,合規(guī)性審計包括了財務審計和遵循性審計。遵循性審計是指對公共部門實體的活動是否與相關法律法規(guī)及授權(quán)要求相一致的審計。在《國際審計準則第250號――財務報表審計中對法律法規(guī)的考慮》(ISA250)中,非遵循(non-compliance),是指被審計單位不履行法律法規(guī)責任或者違反法律法規(guī)的犯罪,故意地或者非故意地,與執(zhí)行的法律或法規(guī)對立的行為。在COSO內(nèi)部控制框架中,遵循性(compliance)作為內(nèi)部控制的目標之一,是指符合適用的法律法規(guī)。由此看來,在上述準則指南中,遵循性,就是我國國家審計中的合法性。但是,在本文中,作為國有企業(yè)信息系統(tǒng)審計的目標之一,遵循性與合法性不同。
為滿足業(yè)務需求,對信息系統(tǒng)提供的信息有一般性的要求,在IT治理框架COBIT4.1中,這些要求也被稱之為信息標準(information criteria)。遵循性(compliance)作為其中的標準之一,是指“涉及業(yè)務流程與所需遵守的法律、法規(guī)及合同約定之間的符合程度的屬性,即外部的強制要求和內(nèi)部政策的遵循性。”⑤在本文中,遵循性作為國有企業(yè)信息系統(tǒng)審計的目標之一,采用COBIT4.1中遵循性的概念,即國有企業(yè)信息系統(tǒng)的設計、建設、運行和監(jiān)控不僅要符合來自企業(yè)外部的強制性要求(合法性),而且還應符合國有企業(yè)內(nèi)部制定的各種規(guī)定的要求。
我國審計機關對國有企業(yè)的財務收支的真實、合法和效益,依法進行審計監(jiān)督。合法性是國有企業(yè)審計的審計目標之一。作為國有企業(yè)審計的重要內(nèi)容,信息系統(tǒng)審計應當促進國有企業(yè)信息系統(tǒng)的合法性。那么,為什么我們要把國有企業(yè)內(nèi)部制定的各種規(guī)定同時也納入國有企業(yè)信息系統(tǒng)審計的目標呢?企業(yè)內(nèi)部如何制定關于其信息系統(tǒng)的規(guī)定是企業(yè)自己的事情,似乎審計機關不應干預,但是,效益性也是國有企業(yè)審計的審計目標之一。當信息系統(tǒng)不符合國有企業(yè)某些內(nèi)部規(guī)定的要求時就會影響到企業(yè)效益,這些內(nèi)部規(guī)定,如內(nèi)部控制、管理和治理等,也應納入國有企業(yè)信息系統(tǒng)審計的遵循性目標范圍。
三、改善國有企業(yè)信息系統(tǒng)的績效性
績效性目標是企業(yè)信息化不斷發(fā)展的產(chǎn)物。我國企業(yè)信息化建設已經(jīng)發(fā)展到了關注績效性的階段。績效性目標也是IT管理和IT治理的重要內(nèi)容。IT管理和IT治理的國際標準或良好實務,為開展信息系統(tǒng)績效審計提供了審計標準。
(一)企業(yè)信息系統(tǒng)績效性的概念
當企業(yè)信息化發(fā)展水平達到一定程度后,信息系統(tǒng)的績效問題逐漸引起了人們的關注。在企業(yè)信息化的早期階段,信息系統(tǒng)主要應用于企業(yè)的財務會計領域,這時人們對信息系統(tǒng)關注的焦點主要是信息系統(tǒng)的可信性和遵循性問題,相應的措施主要集中在內(nèi)部控制方面,強調(diào)信息系統(tǒng)的一般控制和應用控制。隨著企業(yè)信息化水平的不斷提高,信息系統(tǒng)在企業(yè)中的應用范圍逐漸從財務會計領域擴展到整個業(yè)務領域和管理領域,與此同時,信息系統(tǒng)的建設投入和運行成本顯著提高。這時人們發(fā)現(xiàn),大量的信息化投入并不一定能夠帶來預期的收益,而且還帶來巨大的潛在風險,個別企業(yè)甚至因高投入造成利潤下降或財務危機,有的企業(yè)因業(yè)務流程改造滯后,還會導致管理混亂。在這種情況下,人們對信息系統(tǒng)關注的焦點,逐漸從“投入”轉(zhuǎn)向“產(chǎn)出”,從技術和內(nèi)部控制問題轉(zhuǎn)向管理和治理問題,在企業(yè)內(nèi)部出現(xiàn)了專門的IT管理部門,IT管理和IT治理逐漸從企業(yè)的一般管理和治理中獨立出來,而“績效”是描述信息系統(tǒng)投入產(chǎn)出、管理和治理的核心概念。
信息系統(tǒng)的績效性是指利用IT資源提供企業(yè)信息服務的經(jīng)濟性、效率性和效果性。為它的利益相關者提供價值是企業(yè)存在的基本前提。企業(yè)信息系統(tǒng)的目的在于利用IT資源,通過IT流程,提供企業(yè)信息服務,以滿足業(yè)務需求。信息系統(tǒng)要實現(xiàn)的績效目標必須與企業(yè)的業(yè)務需求或業(yè)務目標相一致。
(二)績效性目標的可行性
從我國企業(yè)信息化發(fā)展階段看,目前信息系統(tǒng)的績效問題已經(jīng)成為關注的焦點。2011年2月,工信部電子一所和用友軟件股份有限公司聯(lián)合了《2010年中國企業(yè)信息化指數(shù)調(diào)研報告》。該報告將中國企業(yè)的信息技術應用分為四個階段,分別為基礎應用階段、關鍵應用階段、擴展整合及優(yōu)化升級應用階段以及戰(zhàn)略應用階段,如圖1所示。
該報告認為,目前我國企業(yè)信息化總體上處于由基礎應用和關鍵應用向擴展整合與優(yōu)化升級過渡階段。報告的主要結(jié)論之一是,2010年“信息技術應用范圍的變化主要體現(xiàn)在應用廣度和深度兩方面,企業(yè)基本完成了信息技術在各業(yè)務領域的應用覆蓋,已逐漸開始深度關注企業(yè)業(yè)務發(fā)展需求,著力提升信息技術的應用價值。”提高信息系統(tǒng)的績效,也已經(jīng)成為我國企業(yè)信息化深度發(fā)展的方向。把績效性作為國有企業(yè)信息系統(tǒng)審計的目標,符合我國企業(yè)信息化發(fā)展的現(xiàn)狀,在現(xiàn)實中具有可行性。
(三)績效性是IT管理和IT治理的重要內(nèi)容
IT管理目的在于如何降低成本,以更好的彈性及更快的響應速度,向組織內(nèi)外部顧客提供高質(zhì)量的IT服務,提供顧客的滿意度。IT管理的目標就是要追求信息系統(tǒng)的績效性,即經(jīng)濟性、效率性和效果性。
信息系統(tǒng)的績效性也是IT治理追求的目標之一。在IT治理國際標準ISO/IEC38500(組織的信息技術治理)中規(guī)定了“績效”原則,即IT應適合于支持組織的目的并提供服務,服務等級和服務質(zhì)量應滿足當前和將來的業(yè)務要求。IT治理框架COBIT4.1有四個基本特征:以業(yè)務為中心、以流程為導向、以控制為基礎、以績效測評為驅(qū)動。在該框架中,績效測評是IT治理的關鍵,并且指出,“多項調(diào)研已經(jīng)表明,IT成本、價值和風險管理缺乏透明是驅(qū)動IT治理最重要的一個因素。相對于其他關注的領域,提高透明度主要通過績效測評來實現(xiàn)。”⑥
(四)績效審計的參照標準
IT管理和IT治理從企業(yè)管理和治理中獨立出來,為開展單獨立項的信息系統(tǒng)績效審計創(chuàng)造了條件。就像企業(yè)審計要關注被審計單位的管理和治理那樣,企業(yè)信息系統(tǒng)審計要關注被審計單位的IT管理和IT治理情況。IT管理和IT治理的國際標準或良好實務,則為開展信息系統(tǒng)績效審計提供了審計標準,也可以作為向被審計單位提出改進建議的參照標準。常見的IT管理和IT治理國際標準有:ISO/1EC20000(信息技術――服務管理)、ITIL(信息技術基礎庫)、ISO/IEC38500(組織的信息技術治理)、COBIT4.1(信息及其相關技術控制目標)等。
四、維護國有企業(yè)信息系統(tǒng)的安全性
維護國有企業(yè)信息系統(tǒng)的安全,對于維護國家經(jīng)濟安全至關重要。隨著信息技術的發(fā)展和應用,人們對信息系統(tǒng)安全性的認識也不斷深化。正確理解信息安全的涵義,對于開展信息系統(tǒng)安全性審計具有重要的意義。
(一)安全性目標的重要性
根據(jù)1994年我國頒布的《中華人民共和國計算機信息系統(tǒng)安全保護條例》,維護計算機信息系統(tǒng)的安全性,就是要保障計算機及其相關的和配套的設備、設施(含網(wǎng)絡)的安全,運行環(huán)境的安全,保障信息的安全,保障計算機功能的正常發(fā)揮,以維護計算機信息系統(tǒng)的安全運行⑦。從這里可以看出,信息系統(tǒng)的安全包括:信息本身的安全、系統(tǒng)設施設備的安全和系統(tǒng)運行環(huán)境的安全三個層面。就三個層面的關系而言,信息是核心,系統(tǒng)設施設備及其運行環(huán)境是保障,信息本身的安全是目的,系統(tǒng)設施設備的安全及其運行環(huán)境的安全是手段。
國有企業(yè)信息系統(tǒng)安全是國家信息安全和經(jīng)濟安全的重要組成部分。為了保護中央企業(yè)信息系統(tǒng)的安全穩(wěn)定運行,2010年12月,公安部和國務院國有資產(chǎn)監(jiān)督管理委員會聯(lián)合頒布了《關于進一步推進中央企業(yè)信息安全等級保護工作的通知》。據(jù)統(tǒng)計,截至2010年5月,已有89.6%的中央企業(yè)開展了信息安全等級保護工作,中央企業(yè)總計建成投入使用的信息系統(tǒng)有16 092個,已定級14 539個,占比90.3%;應向公安機關備案的系統(tǒng)(二級及以上)有11 370個,已備案8 113個,占應備案系統(tǒng)的71.4%;列入2010年定級計劃的有1 598個。中央企業(yè)在公安機關備案的信息系統(tǒng)總數(shù)約占全國信息系統(tǒng)備案總數(shù)的21%,第三、四級重要系統(tǒng)約占全國重要信息系統(tǒng)備案總數(shù)的30%⑧。這些數(shù)據(jù)表明,國有企業(yè)信息系統(tǒng)已成為國家信息安全的重要組成部分。《中華人民共和國企業(yè)國有資產(chǎn)法》第七條規(guī)定,“國家采取措施,推動國有資本向關系國民經(jīng)濟命脈和國家安全的重要行業(yè)和關鍵領域集中,優(yōu)化國有經(jīng)濟布局和結(jié)構(gòu),推進國有企業(yè)的改革和發(fā)展,提高國有經(jīng)濟的整體素質(zhì),增強國有經(jīng)濟的控制力、影響力。”由于國有企業(yè)集中在國民經(jīng)濟命脈和國家安全的重要行業(yè)和關鍵領域,如電信、電力、石油、石化等重要行業(yè),其重要信息系統(tǒng)已成為國家關鍵基礎設施,是國民經(jīng)濟命脈之命脈,保護國有企業(yè)信息系統(tǒng)的安全穩(wěn)定運行,對于維護國家經(jīng)濟安全和社會穩(wěn)定具有重要的意義。
(二)信息安全概念的演變
根據(jù)我國計算機信息系統(tǒng)安全保護條例中的定義,計算機信息系統(tǒng)的安全性,包括信息本身的安全、系統(tǒng)設施設備的安全和支撐環(huán)境的安全。其中,信息本身的安全,即信息安全,是信息系統(tǒng)安全的核心和目的。那么,究竟什么是信息安全呢?
人們對信息系統(tǒng)安全性的認識經(jīng)歷了一個不斷深化的發(fā)展過程。20世紀80年代美國國防部制定的《可信計算機系統(tǒng)評估準則TCSEC》把保密性當作信息安全的重點。20世紀90年代初由英、法、德、荷四國制定的《信息技術安全評估準則ITSEC》開始把完整性、可用性與保密性作為同等重要的因素。自此,信息安全的概念,即信息的保密性、完整性和可用性,逐漸被普遍接受。在2002年的國際標準ISO/IEC17799:2000《信息技術――信息安全管理業(yè)務規(guī)范》中明確規(guī)定,信息安全,是指保護:“保密性(confidentiality),即確保信息只能夠由獲得授權(quán)的人訪問;完整性(integrity),即保護信息的正確性和完整性以及信息處理方法;可用性(availability),即保證經(jīng)授權(quán)的用戶可以訪問到信息,如果需要的話,還能夠訪問相關資產(chǎn)。”然而,在2005年的該國際標準修訂版即ISO/IEC17799:2005中,信息安全的定義,包括了七種安全特性:信息的保密性(confidentiality)、完整性(integrity)、可用性(availability)及其他屬性,如真實性(authenticity)、責任性(accountability)、不可抵賴性(non-repudiation)、可靠性(reliability)等,而且,這種修訂后的信息安全定義,被2007年的國際標準ISO/IEC27001(《信息安全管理體系――規(guī)范與使用指南》)引用。在學術界,有人認為,信息安全的特性還應進一步包括可控性(controllability)、可預測性(predictability)、可審計性(auditability)、遵循性(compliance)等。
隨著信息技術的發(fā)展與應用,信息安全的內(nèi)涵越來越豐富,從最初的信息保密性發(fā)展到保密性、完整性和可用性,進而又發(fā)展到相關的真實性、責任性、抗抵賴性、可靠性等。相應地,對企業(yè)信息安全的考慮,也從最初關注企業(yè)信息安全技術層面,發(fā)展到關注企業(yè)信息安全控制、管理和治理等層面。
(三)正確理解信息安全涵義需要注意的幾個問題
1.信息安全與信息保密不同。從信息安全概念的涵義可以看出,信息保密與信息安全是兩個不同的概念,信息安全比信息保密的涵義更加豐富。盡管我國新修訂的保密法對信息系統(tǒng)的保密問題作出了規(guī)定,但是保密法不能代替信息安全法。目前,我國對信息安全的立法仍然比較滯后,尚無專門的信息安全法。信息安全法是國家信息安全保障體系不可或缺的組成部分。
2.微觀信息安全與宏觀信息安全的聯(lián)系。企業(yè)信息系統(tǒng)的安全離不開系統(tǒng)運行環(huán)境的支撐,系統(tǒng)環(huán)境包括物理環(huán)境和社會環(huán)境。從社會環(huán)境看,主要是指有關信息安全法律法規(guī)、安全意識、人才培養(yǎng)等。這就是說,微觀層面單個組織的信息系統(tǒng)安全,還離不開宏觀層面國家信息安全保障體系的構(gòu)建。與此同時,微觀層面的信息安全是基礎,沒有微觀層面的信息安全,也就沒有宏觀層面的信息安全。
3.授權(quán)管理的重要性。信息安全的概念有三個核心涵義:保密性、完整性和可用性。這三個核心涵義都涉及一個共同的要素,即“授權(quán)”。保密性意味著只有獲得授權(quán)才能訪問;完整性意味著沒有授權(quán)不得對信息進行刪除或修改;可用性意味著擁有授權(quán)者隨時可以使用。這表明,授權(quán)管理是信息安全管理的一項關鍵內(nèi)容。信息系統(tǒng)是一種人機系統(tǒng),授權(quán)管理主要涉及對人員行為的安全管理。
4.安全性目標與遵循性、績效性、可信性目標的聯(lián)系。從信息安全的涵義可以看出,信息系統(tǒng)的安全性目標不同于其遵循性、績效性和可信性目標,但是,安全性與它們之間又是相互聯(lián)系的。首先,安全性必須滿足遵循性的要求,信息系統(tǒng)的設計、運行、使用和管理可能要置于法律規(guī)定的和合同約定的安全要求的約束之下,特別是各種信息安全法律法規(guī)、保密法,以及知識產(chǎn)權(quán)、個人隱私權(quán)方面的法律法規(guī);其次,信息安全沒有絕對的安全,所有的信息安全都是風險可接受條件下的安全,高水平的安全保護需要大量的投入成本,因而需要在成本、收益、風險和安全之間進行權(quán)衡,即安全性與績效性的聯(lián)系;最后,在信息安全技術層面,可信計算技術是信息安全技術的一個重要研究領域,從而表明安全性與可信性之間也有內(nèi)在的聯(lián)系。
筆者認為,目前國際上制定的有關信息安全等級評估、信息安全風險評估、信息安全管理體系等方面的國際標準,無論是在理論概念還是在操作實務方面,對于我國審計機關開展信息系統(tǒng)審計都具有重要的借鑒價值。這些國際標準或良好實務可以作為審計的參照標準,同時也可以作為審計機關向被審計單位提出改進信息系統(tǒng)安全性建議的依據(jù)。同時,在對國有企業(yè)信息系統(tǒng)的安全性進行審計時,還要立足我國實際,由于我國國有企業(yè)信息系統(tǒng)是國民經(jīng)濟命脈之命脈,事關國家經(jīng)濟安全和社會穩(wěn)定,在重視企業(yè)本身信息系統(tǒng)安全的同時,還應當從宏觀上揭示國有企業(yè)信息系統(tǒng)的安全風險,維護國家經(jīng)濟安全。
最后應當指出的是,在審計實踐中,根據(jù)具體情況,單個審計項目可以選取上述可信性、績效性和安全性目標中的一個或多個作為審計目標。
已有虛擬財產(chǎn)法律學說討論的主要問題是,“虛擬財產(chǎn)”是否具有財產(chǎn)性。對此,虛擬財產(chǎn)法律學說呈現(xiàn)出學說上的多歧樣態(tài)。這些學說并未清晰地闡述“虛擬財產(chǎn)”之社會實然、有效規(guī)則及聯(lián)結(jié)兩者的證成理由,反而借助抽象的法律術語,將與“虛擬財產(chǎn)”相關的利益傾向,隱藏于研究路徑的抽象論爭、社會實然的選擇性描述、既存規(guī)則或判例的引申性解釋之中。在描述實然規(guī)則的意義上,“虛擬財產(chǎn)”相關的現(xiàn)存規(guī)則不具有財產(chǎn)性;“‘虛擬財產(chǎn)’是否具有財產(chǎn)性”這一問題的誤導性作用大于其引導性作用。在尋求應然規(guī)則的意義上,虛擬財產(chǎn)法律學說可以財產(chǎn)理念為基礎進行論證,但應結(jié)合具體的社會實然進行更為深入的精細化、類型化研究。關鍵詞:
虛擬財產(chǎn);財產(chǎn);物權(quán);主觀權(quán)利
中圖分類號:O923
文獻標識碼:A
文章編號:16738268(2013)05002707
互聯(lián)網(wǎng)信息服務產(chǎn)業(yè)中的網(wǎng)絡游戲裝備、級數(shù)、點數(shù)、賬號等虛擬元素通常被稱為“虛擬財產(chǎn)”。相應地,“‘虛擬財產(chǎn)’是否具有財產(chǎn)性”這一問題,也隨著該術語的擴展而占據(jù)了虛擬財產(chǎn)法律學說的核心,似乎“虛擬財產(chǎn)”相關的實然規(guī)則與應然規(guī)則都應在財產(chǎn)規(guī)則的框架內(nèi)予以闡述,并且只有財產(chǎn)理念方能為這些規(guī)則提供證成理由。然而,歷經(jīng)十余年之努力,對于“虛擬財產(chǎn)”的財產(chǎn)性問題,學界業(yè)已形成的財產(chǎn)否認說[1]、物權(quán)說[24]、債權(quán)說[56]、知識產(chǎn)權(quán)說[7]、特殊財產(chǎn)權(quán)說(或新型財產(chǎn)權(quán)說)[810]、分階段權(quán)利說[11]、分類型權(quán)利說[12]等七種不同虛擬財產(chǎn)法律學說尚無法給出相對清晰、日趨一致的回應,整體上呈現(xiàn)出學說上的多歧樣態(tài)。虛擬財產(chǎn)法律學說已經(jīng)陷入進一步深化和擴展的瓶頸。
從表面看,這些學說間的分歧主要集中于“財產(chǎn)”、“物權(quán)”等法律概念的界定,并未直接、明確地觸及與“虛擬財產(chǎn)”相關的利益紛爭或價值抉擇;似乎只有等到財產(chǎn)理論、物權(quán)理論等傳統(tǒng)法律學說達成共識以后,虛擬財產(chǎn)法律學說方有逐步形成共識的可能。若如此,時下與“虛擬財產(chǎn)”相關的法律實踐便很難獲得虛擬財產(chǎn)法律學說的智識支撐。當虛擬財產(chǎn)法律學說如此這般喪失實踐價值時,其要么淪為學者間封閉的文字游戲,要么被逐步邊緣化,甚至銷聲匿跡。最后的結(jié)果便是法學共同體在“虛擬財產(chǎn)”領域內(nèi)的地位遭到貶損。
本文認為,已有虛擬財產(chǎn)法律學說之所以表面上被財產(chǎn)理論等法律學說所困擾,而未能就現(xiàn)實沖突的實質(zhì)展開直白、理性的討論,是因為它們借助復雜的法律術語,將與“虛擬財產(chǎn)”相關的價值抉擇或利益傾向,隱藏于研究路徑的抽象論爭、社會實然的選擇性描述、既存規(guī)則或判例的引申性解釋之中。為了澄清那些與“虛擬財產(chǎn)”相關的處于抗衡中的各種利益或價值,提升個案處理的可操作性及其理性程度,推進“虛擬財產(chǎn)”相關規(guī)范的轉(zhuǎn)型或發(fā)展,虛擬財產(chǎn)法律學說應認清并回歸私法學最基本的任務,直白、清晰地闡述“虛擬財產(chǎn)”之社會實然、有效規(guī)則以及聯(lián)結(jié)兩者的證成理由。下文將根據(jù)已有虛擬財產(chǎn)法律學說的主要分歧,依次澄清這些分歧的實質(zhì)及其不足,并結(jié)合虛擬財產(chǎn)法律學說的基本任務,分別給出具體解決方案,以期有助于突破虛擬財產(chǎn)法律學說目前所面臨的困境。
一、“虛擬財產(chǎn)”財產(chǎn)性分析路徑的分歧及其解決
分析“虛擬財產(chǎn)”的財產(chǎn)性,首先應明確何為私法上的財產(chǎn),以此確立財產(chǎn)性分析的框架或路徑。在已有虛擬財產(chǎn)法律學說中,存在兩種不同的財產(chǎn)界定方式及各自相應的分析路徑:一是通過抽象概括的方式界定財產(chǎn),并采自上而下的演繹法認定財產(chǎn)性。美國Westbrook博士[13]和Fairfield助理教授[10]都主張,財產(chǎn)是人身權(quán)利以外的對物性權(quán)利;“虛擬財產(chǎn)”因具有對世性和可轉(zhuǎn)讓性而屬于財產(chǎn)。我國林旭霞教授主張,財產(chǎn)必須具有使用價值、稀缺性、可支配性、合法性(下簡稱“四性說”);“虛擬財產(chǎn)”因滿足該四性要求而屬于財產(chǎn)[4]。財產(chǎn)否認說主張,“虛擬財產(chǎn)”因具有虛擬性、不可回收、其并非來源于經(jīng)濟學意義上的價值勞動、其對社會財富的增加或減少并無影響,故其不具有價值,也不應視為財產(chǎn)[1]。二是通過列舉類型的方式界定財產(chǎn),并采自下而上的歸納法認定財產(chǎn)性。此類觀點主張應先有具體規(guī)則(“虛擬財產(chǎn)”應被視為物權(quán)、債權(quán)、知識產(chǎn)權(quán)抑或其他),后將其歸入一般概念(是否具有財產(chǎn)性)。主張采此路徑的美國Lastowka助理教授認為,“虛擬財產(chǎn)”糾紛的解決,應首先不要犯錯,而那種自上而下的演繹法用醒目的口號遮蔽了理性的思考[14];Farber教授批評那種演繹法試圖用簡單的規(guī)則回應復雜的現(xiàn)實[15]。
在這兩種分析路徑中,前者的價值傾向是,盡管傳統(tǒng)財產(chǎn)法之價值標準及基本規(guī)則所依附的社會實然與“虛擬財產(chǎn)”相應的社會實然并不相同,但這些傳統(tǒng)價值標準或基本規(guī)則應當擴展至“新”的“虛擬財產(chǎn)”領域。后者的價值傾向是,與傳統(tǒng)財產(chǎn)法所依附的社會實然相比,“虛擬財產(chǎn)”相應的社會實然已發(fā)生改變,應當結(jié)合個案爭議來反思傳統(tǒng)財產(chǎn)法基本理念或規(guī)則的合理性。
對于界定“財產(chǎn)”的如是分歧,我國立法“沒有財產(chǎn)的內(nèi)涵規(guī)定,甚至其外延也沒有一般性列舉,只是在少數(shù)法律中針對特定主體的財產(chǎn)有外延規(guī)定”[16]。法學理論對于財產(chǎn)的界定目前也存在爭論。一種觀點主張應采英美法中的“財產(chǎn)”,“財產(chǎn)法”的“財產(chǎn)權(quán)”應被定位為不包括債權(quán)的對世權(quán),而不是被掏空內(nèi)涵的所謂總括性的權(quán)利[17];另一觀點則主張采德國法和荷蘭法中的“財產(chǎn)”,將其視為具有金錢價值的權(quán)利的總和[18];第三種觀點認為,財產(chǎn)必須具備四個要件:具有使用價值、稀缺性、可支配和合法性。如此,虛擬財產(chǎn)法律學說應如何界定“財產(chǎn)”?
法律概念的界定無所謂正確或錯誤,只有合目的性與不合目的性[19]。在虛擬財產(chǎn)法律學說中,“財產(chǎn)”的界定應符合其自身的基本任務或目的。作為私法學的一部分,虛擬財產(chǎn)法律學說的主要任務應為:第一,為與之相關糾紛的解決提供分析框架,以尋找合理的適用規(guī)則;第二,發(fā)現(xiàn)適用規(guī)則后,將其融入到法律體系當中,使私法學更加如實地掌握社會現(xiàn)實;第三,尋求虛擬財產(chǎn)領域核心的共同價值(或無疑的一般法律意識)[20]。為此,虛擬財產(chǎn)法律學說對待財產(chǎn)理論的應有態(tài)度是:一方面,在尋求具體適用規(guī)則時,應采列舉類型式的財產(chǎn)理論及其對應的自下而上的分析路徑。因為抽象概括式的財產(chǎn)理論試圖形成整全、精確的財產(chǎn)理論,注重財產(chǎn)背后的證成理由或理念,但忽視財產(chǎn)所連接的具體法律規(guī)則。在該理論中,傳統(tǒng)財產(chǎn)法基本理念或規(guī)則被視為理所當然,立法者對于“虛擬財產(chǎn)”相關之利益衡平的大部分權(quán)力被權(quán)利話語模式所架空,具體問題的理性考量被醒目的口號所遮蔽。同時,在抽象概括式的財產(chǎn)理論的推理過程中,論證的邏輯起點是處于爭論之中的、沒有形成共識的某種財產(chǎn)理論;若以此為論證起點,無論論證過程如何完美,批評者都可以跨過具體的論證過程而對其結(jié)論予以批判。比如,若采“四性說”為前提假設,不論對“虛擬財產(chǎn)”之使用價值、可支配性、稀缺性、合法性的論證如何清晰,都會受到“其不是權(quán)利”的責難;畢竟對某一利益僅賦予法律保護本身,還不足以使一個主觀權(quán)利得以承認[21]。而若以各方觀點的共識為邏輯起點則可避免此類基于“大前提”的攻擊,將爭論聚焦于具體問題的解決方案,而非抽象的理論前提,進而有利于促進不同觀點走向共識。另一方面,在闡明“虛擬財產(chǎn)”領域之適用規(guī)則的共同價值并將其納入私法體系時,應強調(diào)抽象概括式財產(chǎn)理論中的規(guī)范性,采自上而下的分析路徑。因為列舉類型式的財產(chǎn)理論僅試圖提供一種持續(xù)改變財產(chǎn)規(guī)則的方法,而非直接提供解決問題的方案;其注重對相應法律規(guī)則的簡練闡述,但忽視財產(chǎn)所蘊含的核心價值。該財產(chǎn)理論很難闡明虛擬財產(chǎn)領域與相關領域之間的異同,無法提供對既有規(guī)則的概覽,也更不利于日后對既有規(guī)則的反思。
因此,“虛擬財產(chǎn)”財產(chǎn)性分析的路徑應為:首先,將“虛擬財產(chǎn)”與物權(quán)、債權(quán)和知識產(chǎn)權(quán)等相類比,尋求合理的適用規(guī)則;其次,再以某種財產(chǎn)理論為基礎,確立“虛擬財產(chǎn)”在財產(chǎn)體系或私法體系中的位置,以促進虛擬財產(chǎn)制度的持續(xù)轉(zhuǎn)型。
二、尋求“虛擬財產(chǎn)”適用規(guī)則之前提的爭論及其應對
在如上分析框架內(nèi)尋求“虛擬財產(chǎn)”的適用規(guī)則時,已有虛擬財產(chǎn)法律學說又被物權(quán)理論的分歧所阻滯。諸說多將“虛擬財產(chǎn)”之應然規(guī)則的規(guī)范性主張隱藏于物權(quán)理論的描述性闡述,而這種(虛擬財產(chǎn)應然規(guī)則之)證成與(物權(quán)理論之)描述的混淆導致諸說之間很難就“虛擬財產(chǎn)”之應然規(guī)則這一核心問題進行直接、通暢的交流,更不用說達成共識了。為此,似乎可在霍菲爾德之基本法律概念的框架內(nèi)構(gòu)建虛擬財產(chǎn)制度,進而擺脫物權(quán)理論所造成的障礙,但為防止一敗涂地,較務實的做法仍是通過類推適用已有規(guī)則來逐步尋求虛擬財產(chǎn)的適用規(guī)則。這樣,為了清晰地界定已有規(guī)則的內(nèi)涵,還是需要面對那棘手的物權(quán)理論。
在已有的七種虛擬財產(chǎn)法律學說中,主要存在兩種不同的物權(quán)理論。物權(quán)說以效力為標準認定物權(quán)(下簡稱“效力標準”)。如楊立新教授認為,只要具有法律上的排他支配或管理的可能性及獨立的經(jīng)濟性,就可以被認定為法律上的“物”。網(wǎng)絡虛擬財產(chǎn)在法律上具有排他支配和管理的可能性、網(wǎng)絡虛擬財產(chǎn)與物都具有獨立的經(jīng)濟價值、網(wǎng)絡虛擬財產(chǎn)的存在需要一定的空間,因此應將網(wǎng)絡虛擬財產(chǎn)作為一種特殊物,適用現(xiàn)有法律對物權(quán)的有關規(guī)定,同時綜合采用其他方式,對虛擬財產(chǎn)進行法律保護[2]。而反對物權(quán)說的觀點則主張以客體為標準認定物權(quán)(下簡稱“客體標準”),認為物權(quán)僅限于有體標的。如劉德良教授認為,物權(quán)說雖然是目前大多數(shù)人所持的觀點,但其缺陷是顯而易見的。因為傳統(tǒng)物權(quán)法中的物權(quán)是以有體物為標的的一種支配權(quán);而虛擬物品在本質(zhì)上屬于電子數(shù)據(jù),并不屬于有體物。因此,將不屬于物權(quán)法上物權(quán)客體的虛擬物品納入物權(quán)的范疇的觀點顯然是不當?shù)腫8]。
顯然,效力標準借助對于“物”的擴張解釋,主張“虛擬財產(chǎn)”應類推適用傳統(tǒng)物法的規(guī)則;而客體標準借助對于“物”的限縮解釋,主張“虛擬財產(chǎn)”不應類推適用傳統(tǒng)物法的規(guī)則,“具有排他支配和管理可能性、具有獨立經(jīng)濟價值的網(wǎng)絡虛擬財產(chǎn)”不應被賦予物法上的排他性權(quán)利。
對于如何界定“物”的如是爭論,我國《物權(quán)法》第二條“本法所稱物,包括不動產(chǎn)和動產(chǎn)”的規(guī)定不適當?shù)乇3至顺聊T诖饲疤嵯逻x擇物權(quán)理論時,虛擬財產(chǎn)法律學說同樣應結(jié)合其自身的任務或目的。一方面,為清晰地闡釋已有規(guī)則的內(nèi)涵,以方便“虛擬財產(chǎn)”適用規(guī)則的尋求,應選擇客體標準。客體標準主張應對完整純粹抽象之所有權(quán)予以承認與限制:為了反對封建特權(quán),需要一個完全純粹抽象的所有權(quán),所有權(quán)的主體不得分割;但所有權(quán)又必須受到市民社會必然性的限制,這種限制主要體現(xiàn)在客體上,即只有有體標的才能成為所有權(quán)的客體,其他客體原則上適用債法[22]。如此,客體標準可以闡明已有規(guī)則的全部內(nèi)涵:一部分規(guī)則是有體標的上成立的所有權(quán),這些客體可被直接支配,并且應被完全個人主義化;一部分規(guī)則是具有非競爭性和可復制性之無體標的上成立的知識產(chǎn)權(quán),這些客體可被直接支配,但基于效率的考慮不應被完全個人主義化;一部分規(guī)則是行為上成立的債權(quán),行為不能被直接支配,脫離了主體,行為并不存在。而效力標準則主張傳統(tǒng)物法的靜止氣息與當下社會現(xiàn)實并不相符,應當取消完整純粹抽象的所有權(quán),即要么修正所有權(quán)的概念,限制其權(quán)能并擴張其范圍[2223],要么構(gòu)建雙重所有權(quán)或與其相類似的制度[24]。這樣,效力標準便成了一個空盒子,可以容納任何我們想要的東西[25],很難簡練地闡明相關規(guī)則中的社會實然、具體效力及其背后理念。另一方面,若為將虛擬財產(chǎn)的適用規(guī)則納入私法體系,客體標準與效力標準的選擇則并非虛擬財產(chǎn)法律學說的核心任務,也便超出了本文的討論范圍目前,從法史學的角度看,薩維尼和德國《民法典》都主張客體標準,并明確反對效力標準(參見:參考文獻[26],[27],[28])。從如實描述社會實然的角度看,客體標準優(yōu)于效力標準(參見:參考文獻[22])。但從促進歐洲共同財產(chǎn)法之形成的角度看,似乎效力標準優(yōu)于客體標準(參見:參考文獻[25])。我國應如何選擇,仍需深入思考。[2628]。
但是,將“物”限定于“有體標的”,其意義僅在于更加清晰地呈現(xiàn)已有規(guī)則,以方便“虛擬財產(chǎn)”應然適用規(guī)則的思考。該限定并不意味著由于“虛擬財產(chǎn)”不是“有體標的”,其就不應當適用傳統(tǒng)物法的規(guī)則。“虛擬財產(chǎn)”應適用何種規(guī)則,應當結(jié)合其對應的社會實然,借助既有規(guī)則的引導與類比予以慎重考量。
三、“虛擬財產(chǎn)”之內(nèi)涵的多樣性及其原因
在明確了已有規(guī)則的內(nèi)涵之后,我們便無須再去爭論“虛擬財產(chǎn)”之實然到底是不是“物”,只需借助類比推理來思考在“虛擬財產(chǎn)”之社會實然上適用某規(guī)則的合目的性,闡明虛擬財產(chǎn)所連接的社會實然、有效規(guī)則及背后理念(或連接兩者的證成理由)即可[29]。然而,已有虛擬財產(chǎn)法律學說多將規(guī)范性的證成理由隱藏于社會實然的選擇性描述或有效規(guī)則的引申性解釋之中,由此導致學說上的多歧樣態(tài),且很難形成共識。
其中,由于證成理由被社會實然的選擇性描述所遮蔽而導致的分歧主要表現(xiàn)為:知識產(chǎn)權(quán)說強調(diào)虛擬物品的感知形式,主張?zhí)摂M物品是玩家的智力成果,盡管游戲商已經(jīng)通過軟件編程創(chuàng)造出潛在的角色、物品等,但這并不意味著虛擬物品必然會在游戲中出現(xiàn),仍需要玩家投入大量的時間和智慧去克服游戲障礙,從而使?jié)撛诘奈锲烦蔀楝F(xiàn)實[7]。債權(quán)說強調(diào)虛擬物品的效用形式,主張“對于玩家來說,虛擬物的意義不在于其存儲形式,甚至也不在其感知形式,而是在其效用形式”[6]。而物權(quán)說、新型財產(chǎn)權(quán)說與它們的主要分歧在于,電磁記錄這種存儲形式是否應為虛擬財產(chǎn)法律學說討論的重點。在這種分歧的基礎上,衍生出了“分類型權(quán)利說”和“分階段權(quán)利說”這兩種僅試圖簡單綜合債權(quán)說、物權(quán)說、知識產(chǎn)權(quán)說,但并未觸及各說間主要差異及其實質(zhì)的觀點。僅以債權(quán)說與物權(quán)說的分歧為例,即使我們贊同“效用形式”之虛擬物上應成立債權(quán),“存儲形式”之虛擬物上應成立物權(quán),但還存在另一個問題,當“存儲形式”之虛擬物隨著“效用形式”之虛擬物發(fā)生移轉(zhuǎn)時,是應當適用物權(quán)的移轉(zhuǎn)規(guī)則,還是應當適用債權(quán)的移轉(zhuǎn)規(guī)則。對此,債權(quán)說、物權(quán)說借助對“效用形式”或“存儲形式”虛擬物這種社會實然的強調(diào),分別主張應適用債法或物法,但未明確闡述兩種不同規(guī)則所對應的社會效果及其評價,而“分類型權(quán)利說”和“分階段權(quán)利說”則對此保持沉默。顯然,這種源于社會實然之選擇性描述的分歧及論爭,遮蔽了各觀點間利益傾向的不同,阻礙了各觀點之間的碰撞與融合。
相比之下,通過有效規(guī)則的引申性解釋來遮蔽證成理由的論證則更為普遍,后果也更為嚴重。學界大多援引美國1996年ThriftyTel案54 Cal. Rptr. 2d 468 (Ct. App. 1996).、2001年Oyster Software案No. CV000724JCS, 2001 U.S. Dist. LEXIS 22520, 43 (N.D. Cal. Dec. 6, 2001).、2003年Hamidi案71 P.3d 296 (Cal. 2003).和2006年Bragg案Civil Action No.064925.來論證“虛擬財產(chǎn)”應適用財產(chǎn)法。但這些判例所處理的具體問題都與“虛擬財產(chǎn)”的財產(chǎn)性問題并無直接相關性。ThriftyTel案、Oyster Software案和Hamidi案所處理的具體爭議是:在認定與計算機網(wǎng)絡設備相關的動產(chǎn)侵害時,是否要求證明存在實際損害。ThriftyTel案中,原告主張被告的行為(連續(xù)撥號)構(gòu)成對其動產(chǎn)(服務器)的侵害。法院支持了原告的觀點,但Thomas Crosby法官在法官意見中多此一舉地又說明被告無體行為也構(gòu)成侵害。事實上,對動產(chǎn)的侵害只需要有實際損害,而不要求侵害行為的形式。Oyster Software案中,原告主張被告未經(jīng)許可進入其網(wǎng)站,構(gòu)成了對其動產(chǎn)的侵害。但被告宣稱其行為并未構(gòu)成實際損害,故不構(gòu)成對動產(chǎn)的侵害。法院認為,認定動產(chǎn)侵害已不需要實際損害。Hamidi案中,原告Intel公司認為被告Hamidi向其服務器發(fā)大量郵件,構(gòu)成對其動產(chǎn)(服務器)的侵害。被告宣稱其行為并未造成實際損害。上訴法院認為無需證明實際損害,但加利福尼亞最高法院認為需要證明。Hamidi案以后,其他法院的態(tài)度仍處不確定之中[14]。而2006年Bragg案爭議的焦點是,網(wǎng)絡游戲服務條款中“糾紛只能通過仲裁解決”的約定是否具有可執(zhí)行力,該焦點與“虛擬財產(chǎn)”財產(chǎn)性問題的距離更為遙遠。
而我國多被援引用來證成“虛擬財產(chǎn)”之財產(chǎn)性的判例是2004年李宏晨案李宏晨訴北京北極冰科技發(fā)展有限公司案,(2004)二中民終字第02877號。。該案法院認定被告沒有履行服務合同關系中必要的注意義務,應承擔網(wǎng)絡安全保障不利的責任,判決被告回復原狀并賠償原告損失。該案中的損害賠償請求權(quán)多被不適當?shù)匾隇樵鎽碛须姶庞涗浬系哪撤N財產(chǎn)權(quán)利(或主觀權(quán)利)。事實上,損害賠償請求權(quán)所保護的利益不應完全等同于主觀權(quán)利:對于前者,原則上若存在利益損失與主觀上的“應歸責”,則成立損害賠償請求權(quán),但不得強制被告以絕對安全的方式履行相應的注意義務[22][30];其并不強調(diào)對被告本身的某種控制。而對于主觀權(quán)利,原則上只要權(quán)利遭侵害即可主張不作為請求權(quán);其強調(diào)“對他人自由的一種合法限制”[23]。李宏晨案的判決僅涉及損害賠償請求權(quán),并未涉及注意義務(即網(wǎng)絡安全保障義務)的強制履行及其程度或方式在我國,網(wǎng)絡游戲運營商應如何履行網(wǎng)絡安全保障義務的問題,主要由以《計算機信息系統(tǒng)安全保護條例》(國務院令第147號)為核心,包括《計算機病毒防治管理辦法》(公安部令第51號)、《信息安全等級保護管理辦法》(公通字〔2007〕43號)等在內(nèi)的規(guī)范群所規(guī)定。;主觀權(quán)利的核心理念并未突顯。如此,電磁記錄上應適用物權(quán)之規(guī)定的規(guī)范性主張并未得以正面、明確的證成,其實質(zhì)上僅是“原權(quán)—救濟權(quán)”[31]之描述性權(quán)利體系下邏輯反推的結(jié)果,而與現(xiàn)實的利益博弈及價值抉擇無關。此類虛擬財產(chǎn)之內(nèi)涵的闡述便僅僅是法學概念天國中缺乏論證之觀點的表達,很難與其他觀點進行較深入的論爭;各觀點間便只能是各自說話,缺乏交流,更無理性之共識。
為此,作為法律學說的虛擬財產(chǎn)理論,唯有直白、清晰地闡述虛擬財產(chǎn)之社會實然、有效規(guī)則以及聯(lián)結(jié)兩者的證成理由,方能較好地履行其對虛擬財產(chǎn)法律材料進行分析評價性闡釋,進而引導人們就虛擬財產(chǎn)領域內(nèi)正義之具體化進行討論與反思的職責,而不至于再招致實務部門或網(wǎng)絡法課堂上學生們那無奈的一笑了之。
四、結(jié)論與建議
就目前而言,與“虛擬財產(chǎn)”相關之立法、判例及學說的大致情況如表1所示。
在描述實然規(guī)則的意義上,僅從已有立法和判例來看,“虛擬財產(chǎn)”領域內(nèi)的已有規(guī)則不具有財產(chǎn)性;或者說,“‘虛擬財產(chǎn)’是否具有財產(chǎn)性”這一問題,其消極的誤導性作用大于其積極的引導性作用。這些已有法律素材直接強調(diào)的是“各方主體應為之事”,并非“某人所擁有的有益事物”或“某主體對自己應有事物的道德權(quán)力”。一方面,這些涉及“各方主體應為之事”的規(guī)則依靠公平原則、保護消費者原則、公共政策等便足以獲得正當性,而無需借助財產(chǎn)理念下“某人所擁有的有益事物”遭受損害而尋求正當性。正義的具體方案不必非要經(jīng)過“物化”或“財產(chǎn)化”而得以證成。并且,財產(chǎn)理念與公平原則、保護消費者原則等在個案中也可能發(fā)生沖突例如,財產(chǎn)理念與保護消費者理念發(fā)生沖突的情況(參見:參考文獻[31])。[32],將它們等同或?qū)⒐皆瓌t等依附于財產(chǎn)理念,無助于規(guī)則描述與個案裁決。另一方面,這些“各方主體應為之事”的具體內(nèi)容,更接近于垃圾郵件、網(wǎng)絡安全、網(wǎng)絡格式條款等規(guī)制制度,而非財產(chǎn)規(guī)則中不作為請求權(quán)或損害賠償請求權(quán)的履行。在不作為請求權(quán)或損害賠償請求權(quán)之構(gòu)成要件與具體內(nèi)容的引導下,很難認知關于網(wǎng)絡安全保障義務之履行、垃圾郵件等不正當行為之規(guī)制等更為細化的要求。與其將已有這些法律素材解釋為財產(chǎn)規(guī)則,不如將其解釋為垃圾郵件、網(wǎng)絡安全等規(guī)制制度的萌芽或個案。
在尋求應然規(guī)則的意義上,“‘虛擬財產(chǎn)’是否具有財產(chǎn)性”這一問題,具有積極的引導性作用。該問題不僅可引導我們思考“虛擬財產(chǎn)”移轉(zhuǎn)規(guī)則等可能出現(xiàn)的問題,也可在公平原則、保護消費者原則等之外,為“虛擬財產(chǎn)”相關之規(guī)制問題提供財產(chǎn)理念的獨特理解。但應注意的是,在法學共同體內(nèi),財產(chǎn)理念的獨特理解不應隱藏于相關法律概念(財產(chǎn)、物權(quán))的分歧或社會實然的不同選擇之中,不應借助晦澀難懂的概念或極富煽動性的說辭來抽象地表達,而應結(jié)合具體的社會實然直白地表明其利益或價值傾向,以供立法者選擇。鑒于互聯(lián)網(wǎng)信息服務產(chǎn)業(yè)中復雜的經(jīng)營模式及其利益紛爭,“虛擬財產(chǎn)”相關之應然規(guī)則的尋求將是一個復雜的過程,仍有待更加深入的精細化、類型化研究以及立法政策的逐步考量。
參考文獻:
[1] 吳曉華,張海燕.論網(wǎng)絡虛擬財產(chǎn)的法律保護——以憲法為中心[J].成都理工大學學報:社會科學版,2005(2):99.
[2] 楊立新,王中合.論網(wǎng)絡虛擬財產(chǎn)的物權(quán)屬性及其基本規(guī)則[J].國家檢察官學院學報,2004(6):7.
[3] 錢穎萍,彭霞.關于網(wǎng)絡虛擬財產(chǎn)的法律探討[J].云南行政學院學報,2005(5):111.
[4] 林旭霞.虛擬財產(chǎn)權(quán)研究[M].北京:法律出版社,2010:3133.
[5] 鄧張偉.論網(wǎng)絡游戲中虛擬財產(chǎn)的法律屬性及變動規(guī)則[D].廈門:廈門大學,2006:6.
[6] 壽步.網(wǎng)絡游戲法律政策研究2009——網(wǎng)絡虛擬物研究[M].上海:上海交通大學出版社,2009:169.
[7] STEPHENS M. Sales of InGame Assets: An illustration of the Continuing Failure of Intellectual Property Law to Protect DigitalContent Creator[J].Texas Law Review,2002,80(6):1530.
[8] 劉德良.論虛擬物品財產(chǎn)權(quán)[J].內(nèi)蒙古社會科學:漢文版,2004(6):32.
[9] 劉惠榮.虛擬財產(chǎn)法律保護體系的構(gòu)建[M].北京:法律出版社,2008:83.
[10]FAIRFIELD A. Virtual Property[J]. Borton University Law Review, 2005(85):1047.
[11]壽步,陳躍華.網(wǎng)絡游戲法律政策研究[M].上海:上海交通大學出版社,2005:4042.
[12]張楚.電子商務法[M].第2版.北京:中國人民大學出版社,2007:258259.
[13]WESTBROOK T J. Owned: Finding a Place for Virtual World Property Rights[J]. Michigan State Law Rewiew, 2006:779812.
[14]LASTORKA G. Decoding Cyberproperty[J]. Indiana Law Review, 2007(40):2627.
[15]FARBER D A. Access and Exclusion Rights in Electronic Media:Complex Rules for a Complex World[J]. Northern Kentucky Law Review,2006(33):459482.
[16]侯水平,黃果天.物權(quán)法爭點詳析[M].北京:法律出版社,2007:5.
[17]鄭成思,薛虹.再談應當制定“財產(chǎn)法”而不是制定“物權(quán)法”[M]//易繼明.私法:第7卷.北京:北京大學出版社,2004:9.
[18]王利明.我國民法典重大疑難問題之研究[M].北京:法律出版社,2006:258.
[19]黃茂榮.法學方法與現(xiàn)代民法[M].北京:法律出版社,2007:541.
[20]弗朗茨·維亞克爾.近代私法史——以德意志的發(fā)展為觀察重點[M].陳愛娥,黃建輝,譯.上海:上海三聯(lián)出版社,2005:584588.
[21]克默雷爾.侵權(quán)行為法的變遷:上[M].李靜,譯//王洪亮.中德私法研究:第3卷.北京:北京大學出版社,2007:76.
[22]羅爾夫·克尼佩爾.法律與歷史[M].朱巖,譯.北京:法律出版社,2003:235276.
[23]雅克·蓋斯坦,吉勒·古博.法國民法總論[M].陳鵬,譯.北京:法律出版社,2004:175178.
[24]孟勤國.物權(quán)二元結(jié)構(gòu)論——中國物權(quán)制度的理論重構(gòu)[M].北京:人民法院出版社,2004:6169.
[25]迪爾克·赫爾鮑特.封建法:歐洲真正的財產(chǎn)共同法——我們應當重新引入雙重所有權(quán)?[M].張彤,譯//王洪亮.中德私法研究:第4卷.北京:北京大學出版社,2008:126141.
[26]弗里德里希·卡爾·馮·薩維尼.薩維尼論對人之訴和對物之訴[M].田士永,譯//王洪亮.中德私法研究:第1卷.北京:北京大學出版社,2006:198.
[27]弗里德里希·卡爾·馮·薩維尼. 薩維尼論財產(chǎn)權(quán)[M].金可可,譯//王洪亮.中德私法研究:第1卷.北京:北京大學出版社,2006:207215.
[28]金可可.債權(quán)物權(quán)區(qū)分說的構(gòu)成要素[J].法學研究,2005(1):24.
[29]李樂.虛擬世界的金錢交易分析[J].重慶郵電大學學報:社會科學版,2010(2):3033.
[30]迪特爾·梅迪庫斯.德國債法總論[M].杜景林,盧諶,譯.北京:法律出版社,2003:313319.