法律是一国之根本,信息安全问题的特殊性和复杂性需要国家通过法律进行约束。信息安全立法活动必须在立法原则的指导下进行,才能把握信息安全发展的客观规律,更好地发挥法律调控功能。
由于互联网的开放、自由和共有的脆弱性,使国家安全、社会公共利益以及个人权利在网络活动中面临着来自各方面的威胁,国家需要在技术允许的范围内保持适当的安全要求。 这即美国联邦信息安全管理法所确认的“适度安全”。所谓适度安全是指安全保护的立法的范围要和应用的重要性相一致,不要花费过多的成本,限制信息系统的可用性。
正如与传统安全一样,信息安全风险具有“不可逆”的特点,需要信息安全法律采取以预防为主的法律原则。由于信息安全威胁的全局性特点,其法律原则更应当采取积极主动的预防原则,从发现威胁、降低风险、控制风险的一切环节构建信息安全法律保障能力。