【編者按】
本講義由上海國瓴律師事務所名譽主任、上海交通大學網絡空間治理研究中心主任壽步教授撰寫,內容取材於2016年11月我國網絡安全法發布以來至2023年2月底期間的相關規範性文件,權威性高,實用性強,可供關心網絡安全法律政策的讀者閱讀。連載共13篇。
目錄
第五章 關鍵信息基礎設施運行安全制度
網絡安全法第三章網絡運行安全第二節關鍵信息基礎設施的運行安全,包含第三十一條至第三十九條,是網絡運行安全制度中針對關鍵信息基礎設施的專門規定。
其中第三十七條涉及個人信息和重要數據的出境管理,是一項特殊制度,本書另設數據出境管理制度專章進行討論。本章討論網絡安全法第三章第二節除了第三十七條之外的其它八條所規定的關鍵信息基礎設施運行安全制度。
《關鍵信息基礎設施安全保護條例》已經2021年4月27日國務院第133次常務會議通過,2021年7月30日第745號國務院令發布,自2021年9月1日起施行。
第一節 建立關鍵信息基礎設施保護制度
這裡介紹兩個術語:(1)關鍵基礎設施保護(Critical Infrastructure Protection,CIP);(2)關鍵信息基礎設施保護(Critical Information Infrastructure Protection,CIIP)。
這兩個術語在各國文件中基於聚焦目標和側重點的不同往往會交叉出現。在各國加大對關鍵信息基礎設施保護的實現過程中,顯示出如下趨勢:
(1)從CIP向CIIP聚焦。一方面,隨著CI的普遍網絡化和信息化,CI和CII的邊界模糊、逐漸趨同,同時大多數CI基於信息通信技術進行運維管理,因此CIIP成為保護的新焦點;另一方面,隨著CII的出現,從任何地方發起匿名攻擊和黑客攻擊都很方便。因此,許多國家把CIP政策的焦點放到信息方面,即為CIIP。
(2)將CIIP納入國家戰略。在新形勢下各國信息安全戰略中,CII保護是作為國家戰略的重要任務。美歐英俄日等近年陸續發布《網絡空間國際戰略》、《歐洲關鍵基礎設施保護計劃》、《英國網絡安全戰略》、《俄聯邦關鍵網絡基礎設施安全》、《日本保護國民信息安全戰略》等,將CIIP納入各項戰略規劃之中。我國也於2016年後首次發布CIIP相關戰略,並明確CIIP發展目標和具體要求,旨在加強CII的保護力度。
(3)CIIP相關標準逐漸細化,從概念到定義、法律到政策、從行動計劃到工作指南、演習演練等等涵蓋眾多細化領域。美國分別從法律、機構、計劃、框架等方面,加強CIIP的能力建設;歐盟出臺一系列戰略規劃,切實加強CIIP的頂層設計、強化國家合作;俄羅斯強調對CIIP法律層面的保護力度,陸續出臺相關政策加強優先保障;日本強化對CIIP的網絡攻擊演習,注重CIIP的保護效果;中國也首次發布國家戰略、信息化規劃、網絡標準等,對CIIP進行了明確目標和細化要求。
近年來,針對他國關鍵信息基礎設施的安全攻擊日趨激烈,給相關國家的關鍵信息基礎設施安全甚至國家安全造成重大威脅。保護本國關鍵信息基礎設施安全已經成為國際社會關注的焦點,也成為各國維護網絡安全的首要任務。當前我國關鍵信息基礎設施面臨的網絡安全形勢嚴峻複雜,因此,我國在網絡安全等級保護制度基礎上對關鍵信息基礎設施實行重點保護,專門建立關鍵信息基礎設施運行安全制度。
網絡安全法第三十一條規定:“國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。關鍵信息基礎設施的具體範圍和安全保護辦法由國務院制定。
國家鼓勵關鍵信息基礎設施以外的網絡運營者自願參與關鍵信息基礎設施保護體系。”
一、相關規範性文件
《關鍵信息基礎設施安全保護條例(征求意見稿)》由國家網信辦2017年7月10日發布。
《關鍵信息基礎設施安全保護條例》由2021年7月30日第745號國務院令發布,自2021年9月1日起施行。
為貫徹落實網絡安全法的要求,全國信息安全標準化委員會正在制定一系列標準,包括但不限於:
1.《信息安全技術 關鍵信息基礎設施網絡安全框架》作為基礎標準,闡明構成框架的基本要素及其關系,統一通用術語和定義;
2.《信息安全技術 關鍵信息基礎設施網絡安全保護要求》作為基線類標準,對關鍵信息基礎設施運營者開展網絡安全保護工作提出最低要求;
3.《信息安全技術 關鍵信息基礎設施安全控制措施》作為實施類標準,根據基本要求提出相應的控制措施;
4.《信息安全技術 關鍵信息基礎設施安全檢查評估指南》作為測評類標準,依據基本要求明確關鍵信息基礎設施檢查評估的目的、流程、內容和結果;
5.《信息安全技術 關鍵信息基礎設施安全保障評價指標體系》作為測評類標準,依據檢查評估結果、日常安全檢測等情況對關鍵信息基礎設施安全保障狀況進行定量評價。
上述五個標準中後四個標準的征求意見稿已經在2017年8月和2018年6月分別發布。
二、關鍵信息基礎設施的範圍
關於關鍵信息基礎設施的範圍,在不同的規範性文件中有不同的描述。
關鍵信息基礎設施是指一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的信息基礎設施,包括但不限於公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域的信息基礎設施。(根據網絡安全法第三十一條第一款改寫)
“國家關鍵信息基礎設施是指關系國家安全、國計民生,一旦數據泄露、遭到破壞或者喪失功能可能嚴重危害國家安全、公共利益的信息設施,包括但不限於提供公共通信、廣播電視傳輸等服務的基礎信息網絡,能源、金融、交通、教育、科研、水利、工業制造、醫療衛生、社會保障、公用事業等領域和國家機關的重要信息系統,重要互聯網應用系統等。”(引自《國家網絡空間安全戰略》)
“本條例所稱關鍵信息基礎設施,是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等。”(《關鍵信息基礎設施安全保護條例》第二條)
“下列單位運行、管理的網絡設施和信息系統,一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的,應當納入關鍵信息基礎設施保護範圍:
(一)政府機關和能源、金融、交通、水利、衛生醫療、教育、社保、環境保護、公用事業等行業領域的單位;
(二)電信網、廣播電視網、互聯網等信息網絡,以及提供雲計算、大數據和其他大型公共信息網絡服務的單位;
(三)國防科工、大型裝備、化工、食品藥品等行業領域科研生產單位;
(四)廣播電臺、電視臺、通訊社等新聞單位;
(五)其他重點單位。”(引自《關鍵信息基礎設施安全保護條例(征求意見稿)》第十八條)
《關鍵信息基礎設施安全保護條例》第二章“關鍵信息基礎設施認定”第八條至第十一條規定:
▲第二條涉及的重要行業和領域的主管部門、監督管理部門是負責關鍵信息基礎設施安全保護工作的部門(以下簡稱保護工作部門)。
▲保護工作部門結合本行業、本領域實際,制定關鍵信息基礎設施認定規則,並報國務院公安部門備案。制定認定規則應當主要考慮下列因素:(一)網絡設施、信息系統等對於本行業、本領域關鍵核心業務的重要程度;(二)網絡設施、信息系統等一旦遭到破壞、喪失功能或者數據泄露可能帶來的危害程度;(三)對其他行業和領域的關聯性影響。
▲保護工作部門根據認定規則負責組織認定本行業、本領域的關鍵信息基礎設施,及時將認定結果通知運營者,並通報國務院公安部門。
▲關鍵信息基礎設施發生較大變化,可能影響其認定結果的,運營者應當及時將相關情況報告保護工作部門。保護工作部門自收到報告之日起3個月內完成重新認定,將認定結果通知運營者,並通報國務院公安部門。
三、關鍵信息基礎設施安全保護負責部門的職責
網絡安全法第三十二條規定:“按照國務院規定的職責分工,負責關鍵信息基礎設施安全保護工作的部門分別編制並組織實施本行業、本領域的關鍵信息基礎設施安全規劃,指導和監督關鍵信息基礎設施運行安全保護工作。”
《關鍵信息基礎設施安全保護條例》第三條規定:
“在國家網信部門統籌協調下,國務院公安部門負責指導監督關鍵信息基礎設施安全保護工作。國務院電信主管部門和其他有關部門依照本條例和有關法律、行政法規的規定,在各自職責範圍內負責關鍵信息基礎設施安全保護和監督管理工作。
省級人民政府有關部門依據各自職責對關鍵信息基礎設施實施安全保護和監督管理。”
四、統籌協作的安全保護機制
關鍵信息基礎設施涉及的範圍很廣,面臨的安全風險和威脅來自諸多方面,有必要在關鍵信息基礎設施的運營者和有關主管部門監管部門承擔安全保護工作基礎上,建立統籌協作機制,發揮各方作用,共同應對風險和威脅。
網絡安全法第三十九條規定:“國家網信部門應當統籌協調有關部門對關鍵信息基礎設施的安全保護采取下列措施:
(一)對關鍵信息基礎設施的安全風險進行抽查檢測,提出改進措施,必要時可以委托網絡安全服務機構對網絡存在的安全風險進行檢測評估;
(二)定期組織關鍵信息基礎設施的運營者進行網絡安全應急演練,提高應對網絡安全事件的水平和協同配合能力;
(三)促進有關部門、關鍵信息基礎設施的運營者以及有關研究機構、網絡安全服務機構等之間的網絡安全信息共享;
(四)對網絡安全事件的應急處置與網絡功能的恢複等,提供技術支持和協助。”
第二節 關鍵信息基礎設施運營者的義務
一、確保建設安全要求
網絡安全法第三十三條規定:“建設關鍵信息基礎設施應當確保其具有支持業務穩定、持續運行的性能,並保證安全技術措施同步規劃、同步建設、同步使用。”
(一)性能保證
關鍵信息基礎設施關系國家安全、國計民生,一旦數據泄露、遭到破壞或者喪失功能可能嚴重危害國家安全、公共利益。因此,對關鍵信息基礎設施的支持業務穩定、持續運行的性能要求很高。
以基礎電信、銀行、證券行業為例,一旦這些行業的服務中斷,就將產生重大影響,造成巨大損失。在無現金交易日益成為主要交易手段的情況下,移動支付系統的服務如果中斷,也會造成巨大影響。
(二)“三同步”要求
我國在網絡建設中一向有關於安全技術措施同步規劃、同步建設、同步使用的“三同步”要求。
《關鍵信息基礎設施安全保護條例》第十二條規定:“安全保護措施應當與關鍵信息基礎設施同步規劃、同步建設、同步使用。”
《網絡安全等級保護條例(征求意見稿)》第四條規定:網絡運營者在網絡建設過程中,應當同步規劃、同步建設、同步運行網絡安全保護、保密和密碼保護措施。涉密網絡應當依據國家保密規定和標準,結合系統實際進行保密防護和保密監管。
《信息安全技術 關鍵信息基礎設施安全控制措施(征求意見稿)》的6.2小節“網絡安全與信息化同步”在“三同步”方面有更加具體的規定——
1.同步規劃
關鍵信息基礎設施運營者應:
a)同步分析安全需求,即在關鍵信息基礎設施建設或改建之初,從本組織的職能或業務的角度分析對關鍵信息基礎設施實施網絡安全的需求,形成安全需求說明書。
b)同步定義安全要求,即基於網絡安全需求說明書,定義關鍵信息基礎設施的網絡安全要求,形成網絡安全功能和性能說明書。
c)確保安全需求說明書得到網絡安全責任部門簽字認可。
2.同步建設
關鍵信息基礎設施運營者應:
a)同步設計安全體系結構,即基於已經定義的關鍵信息基礎設施的網絡安全要求,設計網絡安全體系結構,明確系統內的各類信息安全組件,說明各組件提供的信息安全服務及可能的實現機制。
b)同步開展詳細的安全設計,即根據安全保護等級選擇基本安全措施,細化安全機制在關鍵信息基礎設施中的具體實現。
c)在建設或改建過程中,按照GB/T 22239(《信息安全技術 網絡安全等級保護基本要求》)工程實施相應等級的要求,同步建設符合其等級要求的網絡安全設施,包括自行軟件開發。
d)建設完成後,組織對關鍵信息基礎設施進行驗收並將網絡安全作為驗收的重要內容。
3.同步使用
關鍵信息基礎設施運營者應:
a)同步運行安全設施,確保安全設施保持啟用狀態。
b)按照GB/T 22239(《信息安全技術 網絡安全等級保護基本要求》)安全運維管理相應等級的要求進行安全運維。
c)關鍵信息基礎設施及其運行環境發生明顯變化時,評估其風險,及時升級安全設施並實施變更管理。
d)對安全設施同步實施配置管理,包括制定配置管理計劃,制定、記錄、維護基線配置,保留基線配置的曆史版本,便於必要時恢複曆史配置。
e)在廢棄安全設施時,采取以下措施,保護被廢棄的安全設施中存儲信息的安全:
1)妥善保存或采用安全方式處置介質。
2)對含有特別重要的敏感信息或涉密信息的重要介質,選擇有資質的機構進行安全銷毀。
3)對敏感組件或信息的處置保留詳細記錄。
f)如需要建設新的安全設施承接原有功能,應確保業務平穩、安全遷移,在新安全設施建設完成、通過驗收並正式上線前,不得關閉原有安全設施。”
二、履行安全保護義務
(一)相關規定
網絡安全法第三十四條規定:“除本法第二十一條的規定外,關鍵信息基礎設施的運營者還應當履行下列安全保護義務:
(一)設置專門安全管理機構和安全管理負責人,並對該負責人和關鍵崗位的人員進行安全背景審查;
(二)定期對從業人員進行網絡安全教育、技術培訓和技能考核;
(三)對重要系統和數據庫進行容災備份;
(四)制定網絡安全事件應急預案,並定期進行演練;
(五)法律、行政法規規定的其他義務。”
顯然,對關鍵信息基礎設施運營者,第三十四條從技術和管理兩方面規定了比一般網絡運營者更加嚴格的安全保護義務。
《關鍵信息基礎設施安全保護條例》第三章“運營者責任義務”第十二條至第二十一條對關鍵信息基礎設施運營者(這裡簡稱為“運營者”)應當履行的安全保護義務有進一步的細化規定。
2018年6月11日發布《信息安全技術 關鍵信息基礎設施網絡安全保護要求(征求意見稿)》。該標準適用於關鍵信息基礎設施的規劃設計、開發建設、運行維護、退出廢棄等階段,在等級保護基礎上,規定了對關鍵信息基礎設施運營者在識別認定、安全防護、檢測評估、監測預警、應急處置等環節的基本要求。
信安標委2018年6月11日發布《信息安全技術 關鍵信息基礎設施安全控制措施(征求意見稿)》。該標準旨在為關鍵信息基礎設施保護工作的部門指導和監督關鍵信息基礎設施運行安全保護工作提供技術參考,也可供關鍵信息基礎設施運行安全保護工作的其他參與方參考,對提高我國關鍵信息基礎設施安全保障水平具有十分重要的意義。
(二)實務操作
根據網絡安全法第三十四條的規定,關鍵信息基礎設施的運營者的安全保護義務已經明確,違反相關義務將要承擔比一般網絡運營者更加嚴格的責任。因此,建議關鍵信息基礎設施的運營者根據網絡安全法和《關鍵信息基礎設施安全保護條例》的要求,結合相關標準征求意見稿的規定,切實履行義務。
三、履行采購的安全審查和安全保密義務
(一)國家安全審查
網絡安全法第三十五條規定:“關鍵信息基礎設施的運營者采購網絡產品和服務,可能影響國家安全的,應當通過國家網信部門會同國務院有關部門組織的國家安全審查。” 這條規定是與國家安全法第五十九條規定銜接的。
《國家安全法》第五十九條規定:“國家建立國家安全審查和監管的制度和機制,對影響或者可能影響國家安全的外商投資、特定物項和關鍵技術、網絡信息技術產品和服務、涉及國家安全事項的建設項目,以及其他重大事項和活動,進行國家安全審查,有效預防和化解國家安全風險。”
網絡安全法第三十五條確定的關鍵信息基礎設施的運營者采購網絡產品和服務的國家安全審查制度,只在“可能影響國家安全的”特殊情況下啟動,不同於網絡安全法第二十三條確定的網絡關鍵設備和安全專用產品的安全認證和安全檢測制度;在對網絡產品和服務的安全性進行審查的同時,還需要對影響國家安全的其他因素進行審查。
由國家網信辦發布、自2017年6月1日起實施的《網絡產品和服務安全審查辦法(試行)》是關於關鍵信息基礎設施采購的國家安全審查制度的具體規定。2020年4月13日,國家網信辦、國家發改委等12個部門聯合發布《網絡安全審查辦法》,自2020年6月1日起實施,取代《網絡產品和服務安全審查辦法(試行)》。2021年11月16日,由國家網信辦、國家發改委等13個部門聯合發布新版《網絡安全審查辦法》,自2022年2月15日起實施。
新版《網絡安全審查辦法》既適用於關鍵信息基礎設施運營者采購網絡產品和服務、影響或者可能影響國家安全的情況,也適用於網絡平臺運營者開展數據處理活動、影響或者可能影響國家安全的情況。在這兩種情況下,都應當按照新版《網絡安全審查辦法》進行網絡安全審查。後一種情況是這次修改後新增的。
考慮到這兩種情況具有關聯性,為敘述方便,在此一並介紹新版《網絡安全審查辦法》關於這兩種情況的規定。要點如下:
1. 網絡安全審查工作的原則
堅持防範網絡安全風險與促進先進技術應用相結合、過程公正透明與知識產權保護相結合、事前審查與持續監管相結合、企業承諾與社會監督相結合,從產品和服務以及數據處理活動安全性、可能帶來的國家安全風險等方面進行審查。
2. 建立國家網絡安全審查工作機制
在中央網絡安全和信息化委員會領導下,國家網信辦會同國家發改委、工信部、公安部、國家安全部、財政部、商務部、中國人民銀行、市場監管總局、廣電總局、證監會、國家保密局、國家密碼管理局建立國家網絡安全審查工作機制。網絡安全審查辦公室設在國家網信辦,負責制定網絡安全審查相關制度規範,組織網絡安全審查。
3. 關鍵信息基礎設施運營者采購網絡產品和服務的國家安全審查義務
(1)關鍵信息基礎設施運營者采購網絡產品和服務的,應當預判該產品和服務投入使用後可能帶來的國家安全風險。影響或者可能影響國家安全的,應當向網絡安全審查辦公室申報網絡安全審查。關鍵信息基礎設施安全保護工作部門可以制定本行業、本領域預判指南。
(2)對於申報網絡安全審查的采購活動,關鍵信息基礎設施運營者應當通過采購文件、協議等要求產品和服務提供者配合網絡安全審查,包括承諾不利用提供產品和服務的便利條件非法獲取用戶數據、非法控制和操縱用戶設備,無正當理由不中斷產品供應或者必要的技術支持服務等。
4. 網絡平臺運營者開展數據處理活動的國家安全審查義務
掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市,必須向網絡安全審查辦公室申報網絡安全審查。
自2021年9月1日起施行的我國數據安全法明確規定國家建立數據安全審查制度。新版《網絡安全審查辦法》將網絡平臺運營者開展數據處理活動影響或者可能影響國家安全等情形納入網絡安全審查範圍,要求掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市必須申報網絡安全審查,主要目的是為了進一步保障網絡安全和數據安全,維護國家安全。這種情況下申報網絡安全審查的結果,可能有以下三種情況:一是無需審查;二是啟動審查後,經研判不影響國家安全的,可繼續赴國外上市程序;三是啟動審查後,經研判影響國家安全的,不允許赴國外上市。
根據數據安全法,數據處理活動包括數據的收集、存儲、使用、加工、傳輸、提供、公開等活動。新版《網絡安全審查辦法》重點聚焦的是網絡平臺運營者開展上述數據處理活動,影響或者可能影響國家安全的情形。
5. 網絡安全審查重點評估的因素
網絡安全審查重點評估相關對象或者情形的以下國家安全風險因素:
(一)產品和服務使用後帶來的關鍵信息基礎設施被非法控制、遭受幹擾或者破壞的風險;
(二)產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害;
(三)產品和服務的安全性、開放性、透明性、來源的多樣性,供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險;
(四)產品和服務提供者遵守中國法律、行政法規、部門規章情況;
(五)核心數據、重要數據或者大量個人信息被竊取、泄露、毀損以及非法利用、非法出境的風險;
(六)上市存在關鍵信息基礎設施、核心數據、重要數據或者大量個人信息被外國政府影響、控制、惡意利用的風險,以及網絡信息安全風險;
(七)其他可能危害關鍵信息基礎設施安全、網絡安全和數據安全的因素。
6.當事人在審查期間應當采取的措施
新版《網絡安全審查辦法》涉及的關鍵信息基礎設施運營者和網絡平臺運營者統稱為當事人。
網絡安全審查工作機制成員單位認為影響或者可能影響國家安全的網絡產品和服務以及數據處理活動,由網絡安全審查辦公室按程序報中央網絡安全和信息化委員會批準後,依照本辦法的規定進行審查。為了防範風險,當事人應當在審查期間按照網絡安全審查要求采取預防和消減風險的措施。
7.進行網絡安全審查的網絡產品和服務的範圍
新版《網絡安全審查辦法》所稱的網絡產品和服務主要指核心網絡設備、重要通信產品、高性能計算機和服務器、大容量存儲設備、大型數據庫和應用軟件、網絡安全設備、雲計算服務,以及其他對關鍵信息基礎設施安全、網絡安全和數據安全有重要影響的網絡產品和服務。
(二)安全保密協議
網絡安全法第三十六條規定:“關鍵信息基礎設施的運營者采購網絡產品和服務,應當按照規定與提供者簽訂安全保密協議,明確安全和保密義務與責任。”
關鍵信息基礎設施運營者采購網絡產品和服務用於建設和維護關鍵信息基礎設施,若這些產品和服務供應鏈中存在安全風險,必然也會對關鍵信息基礎設施構成安全威脅。因此,網絡安全法第三十六條要求關鍵信息基礎設施的運營者在采購時應當與網絡產品和服務提供者簽訂安全保密協議,明確雙方的安全義務、保密義務和相應的法律責任。這是在網絡安全法第二十二條規定的網絡產品和服務提供者的安全義務基礎上,對其供應產品、提供服務行為的進一步約束。
四、履行定期安全檢測評估義務
網絡安全法第三十八條規定:“關鍵信息基礎設施的運營者應當自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估,並將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。” 這條規定是與國家安全法第五十六條規定銜接的。
《國家安全法》第五十六條規定:“國家建立國家安全風險評估機制,定期開展各領域國家安全風險調查評估。有關部門應當定期向中央國家安全領導機構提交國家安全風險評估報告。”
《關鍵信息基礎設施安全保護條例》對此有進一步的細化規定。開展安全檢測評估活動,還應當關注相關標準的要求。
作者簡介 PROFILE
壽步 國瓴名譽主任
壽步教授現為上海交通大學法學院教授、博士生導師,上海交通大學知識產權研究中心主任、網絡空間治理研究中心主任,中國法學會網絡與信息法學研究會副會長,中國科學技術法學會副會長、網絡空間法專業委員會主任,中國法學會知識產權法學研究會常務理事,中國法學會案例法學研究會常務理事,中華全國律師協會信息網絡與高新技術法律專業委員會顧問,上海知識產權法院特邀知識產權專家。
壽步教授長期從事法學與新技術交叉領域的法學研究、法學教育、法律實務工作,尤其是與計算機軟件、網絡遊戲、雲計算、網絡安全、數據安全、個人信息保護等相關的領域。
壽步教授已出版個人專著5部、合著4部、主編著作21部。代表性論著有《中國軟件版權訴訟實務》、《 計算機軟件著作權保護》、《軟件網絡和知識產權》、《軟件網絡訴訟代理實務》、《信息時代知識產權教程》等。
發表評論 取消回複