基于以上的分析,笔者认为虽然我国目前的法律虽然没有明确政府信息灾备工作,但可从现有的法治资源之下的宪法、法律、行政法规的综合性解释和归纳中为政府信息灾备得到一定的依据。
2.政府信息灾备的专门人大立法
以上虽然运用法律解释学的方法试图从现有立法中解释出政府信息灾备的职权和义务,可是法律解释毕竟是一种主观性解读,如果没有明确的规范依据,单凭法律解释来论证某项政府职权存在模糊化的危险,这对切实规范政府此项权力的展开及保护公民权利都是不利的,并且政府信息灾备是一个及其专业的工作,如果没有专门的人大立法加以规范,单靠主观的解释必然会忽略重要的细节和技术要求,难以规范的展开相关工作,因此首先需要作为我国立法机关的全国人大或全国人大常委会进行专门政府信息灾备立法,或者通过人大立法授权行政机关制定高层级的关于政府信息灾备的行政法规,以真正的规范和推动政府信息灾备工作的展开。
根据国外相关经验和我国已实施的有关信息灾备的较低层次规范的经验看,笔者认为,我国政府信息灾备的人大立法可考虑包括以下主要内容:(一)立法依据,笔者认为可依据宪法“紧急状态”的规定;(二)立法目的可为保护国家机关行使职权及保障公民知情权;(三)政府信息灾备的强制性及义务;(四)政府信息灾备的主体和各级政府层级;(五)政府信息灾备的内容及范围,尤其应强调重要政府数据两地三中心的要求;(六)政府信息的分级,及对应的灾备程序及技术标准或制定技术标准的授权;(七)指定政府,信息灾备具体实施细则的授权(七)政府信息灾备的监督、核查、审计、备案、法律责任等。限于篇幅,笔者在此不再展开具体内容,而只是列出一个框架,当然具体制定时需要明确更多的细节和考虑其他因素。
三、政府信息灾备与公众参与
(一)中国政府信息灾备进展缓慢与公众参与的缺失
笔者认为,关于政府信息灾备有两种公众参与的形式:一是现代企业制度下的公司作为公众的一员,通过第三方“外包”的方式参与政府信息灾备,即体现了这种现代行政法公共参与的重要理念;二是民众基于知情权而监督政府信息保存状况和灾备状况。在保证政府信息安全前提下适当的公众参与和公共协助可为中国政府信息灾备建设提供助益。
目前我国政府信息灾备的工作推进较为缓慢。在中央政府层级,进展较为迅速的是国家税务总局在广东南海建设的数据灾备中心、中国人民银行清算总中心的异地灾备中心、海关总署的异地信息灾备中心,在地方政府层级,主要是一些东部发达地区的地方政府考虑进行政府信息灾备,而自然灾害相对频发、风险较大的西部地区地方政府由于财力的限制推进政府信息灾备的步伐相对迟缓。
根据国务院信息化办公室2007年7月发布的《信息系统灾难恢复规范》规定,灾备的具体建设和运营方式有三种:由组织所有或运营、多方共建或通过互惠协议获取、租用商业化灾难备份中心的基础设施三种。目前我国信息灾备进展较快的是金融业,根据中国银监会在2006年颁布的《银行业金融机构信息系统风险管理指引》、2007年颁布了《商业银行操作风险管理指引》;中国证监会于2006年颁布的《证券公司集中交易安全管理技术指引》;中国保监会于2007年颁布的《保险业信息系统灾难恢复管理指引》,众多金融机构已建成或正在建设“两地三中心”:即在同城具有一个负责日常工作的数据中心基础上,建立一个同城信息备份中心,并在异地建立一个灾难备份中心。除了四大行和中国人寿这些大型金融机构采取自建的方式进行“两地三中心”建设外,很多如城商行这样的中小型金融机构采取了外包灾备的形式进行信息灾备。在经济而又快速的外包灾备服务下,我国金融机构的信息灾备取得了一定的成果。而从我国目前进行的政府信息灾备来看,我国政府进行信息灾备的主要方式为自建方式,重要原因在于政府基于安全目的的考虑,不放心将部分政府信息灾备的建设运行外包给第三方。而普通民众对政府信息灾备进行的了解和监督也并不常见。
