中国信息安全保障法律制度

中国信息安全保障法律制度中国人民大学法学院袁钢2007·1·10主要内容•一、信息规范：法律、政策、伦理•二、信息安全立法的背景•三、信息安全保障体系•四、我国信息安全立法框架•五、智能卡相关法律问题思考一、信息规范•信息政策•信息法律•信息伦理二、信息安全立法的背景信息政治信息民主信息知识信息安全与我们有多远？中新社北京十二月二十七日电(记者刘育英)二十六日晚南海海域发生地震后，多条海底通信光缆中断，附近国家和地区通信和访问国际互联网受到严重影响。中国电信已表示，正在积极疏通业务，以尽快恢复，但由于受余震影响，预计影响还将持续一段时间。☆信息危害窃听(Eavesdropping)窃取(Spoofing)•利用操作系统漏洞(Bugs)•盗用密码(Codes)•木马(Trojanhorse)、病毒(Virus)、后门(Backdoor)☆计算机病毒计算机病毒是如何传播的2006年全国信息网络安全状况与计算机病毒疫情调查分析报告计算机病毒的危害2006年全国信息网络安全状况与计算机病毒疫情调查分析报告三、信息安全保障体系•法律政策体系•人才培养体系•产业支撑体系•技术保障体系•组织管理体系—信息安全立法信息立法体系1）电子政务类2）电子商务类3）信息安全类4）信息产业类5）信息技术类6）信息标准类商业秘密保护法政务信息保护法科学技术保密法个人隐私保护法信息系统及网络安全法国外信息立法现状与发展趋势美国《保护美国关键基础设施》《信息保障技术框架》《保卫美国计算机空间—保护信息系统的国家计划》国外信息立法现状与发展趋势俄罗斯《联邦信息、信息化和信息保护法》《俄罗斯国家安全构想》《国家信息安全学说》国外信息立法现状与发展趋势日本《21世纪信息通信构想》《信息通信产业技术战略》《信息通信网络安全可靠性基准》《IT安全政策指南》四、我国信息安全立法框架我国信息安全立法体系分为四个层面：•法律•行政法规•部门规章、地方性法规、地方规章•规范性文件我国的立法体系权力机关立法系统行政立法系统位阶从高到低中央宪法（全国人大）法律（全国人大及其常委会）行政法规（国务院）地方性法规（省级人大）－报全国人大常委会和国务院备案自治条例和单行条例（自治区人大）部门规章（国务院各部委）地方地方性法规（较大的市人大）－报省级人大常委会批准后方能生效，并由省级人大即报全国人大常委会和国务院备案自治条例和单行条例（自治州人大）地方规章（省政府）自治条例和单行条例（自治县人大）地方规章（较大的市政府）法律、行政法规、地方法法规、规章的备案、报批、改变、撤销示意图法律：是指由全国人民代表大会及其常委会通过的法律规范。我国信息安全立法框架•我国与信息安全相关的法律主要有：•《宪法》•《电子签名法》、《全国人大常委会关于维护互联网安全的决定》•《刑法》、《刑事诉讼法》、《人民警察法》•《治安管理处罚法》、《国家安全法》、《保守国家秘密法》、《行政处罚法》、《行政诉讼法》、《行政复议法》《国家赔偿法》、《海关法》、《邮政法》•《商标法》、《专利法》、《著作权法》、《反不正当竞争法》我国信息安全立法框架法律我国信息安全立法框架1、《宪法》第35条中华人民共和国公民有言论、出版、集会、结社、游行、示威的自由。第38条中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。第40条中华人民共和国公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要，由公安机关或者检察机关依照法律规定的程序对通信进行检查外，任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。法律我国信息安全立法框架2、《全国人大常委会关于维护互联网安全的决定》（2000年12月28日）这是我国第一部关于互联网安全的法律。该法分别从（1）保障互联网的运行安全；（2）维护国家安全和社会稳定；（3）维护社会主义市场经济秩序和社会管理秩序；（4）保护个人、法人和其他组织的人身、财产等合法权利等四个方面，共15款，明确规定了对构成犯罪的行为，依照刑法有关规定追究刑事责任。法律我国信息安全立法框架3、《电子签名法》（2004年8月28日）•确立电子签名的法律效力；•规范电子签名的行为；•明确认证机构的法律地位及认证程序；•规定电子签名的安全保障措施。•电子签名适用于电子政务的问题：第35条规定，国务院或者国务院规定的部门可以依据本法制定政务活动和其他社会活动中使用电子签名、数据电文的具体办法法律我国信息安全立法框架4、《刑法》（1997年3月14日修订，六部刑法修正案）根据《刑法》规定，除了分则规定的大多数犯罪罪种（包括危害国家安全罪，危害公共安全罪、破坏社会主义市场经济秩序罪，侵犯公民人身权利、民主权利罪、侵犯财产罪，妨害社会管理秩序罪）都适用于利用计算机网络实施的犯罪以外，还专门在第285条和第286条分别规定了非法入侵计算机信息系统罪和破坏计算机信息系统罪，共两条四款。法律计算机犯罪的防范和打击第285条违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。《中华人民共和国刑法》计算机犯罪的防范和打击第286条违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑。违反国家规定，对计算机信息系统中存储、处理或者传播的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款处罚。故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款处罚。《中华人民共和国刑法》计算机犯罪的种类及特征计算机犯罪的防范和打击分类标准特点常见形式以互联网络作为生存空间被动性质，引诱一般人进入1色情网站六合彩站点以互联网作为犯罪工具针对特定目标进行侵害，使用网络作为犯罪工具在网络上进行恐吓、诽谤网络诈骗传播有害信息以互联网作为犯罪客体对网络或计算机信息系统进行破坏、攻击1、入侵网络2、散布病毒•5、《全国人民代表大会常务委员会关于维护互联网安全的决定》(2000年12月28日第九届全国人民代表大会常务委员会第十九次会议通过)我国信息安全立法框架•一、为了保障互联网的运行安全，对有下列行为之一，构成犯罪的，依照刑法有关规定追究刑事责任：•（一）侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统；•（二）故意制作、传播计算机病毒等破坏性程序，攻击计算机系统及通信网络，致使计算机系统及通信网络遭受损害；•（三）违反国家规定，擅自中断计算机网络或者通信服务，造成计算机网络或者通信系统不能正常运行。•二、为了维护国家安全和社会稳定，对有下列行为之一，构成犯罪的，依照刑法有关规定追究刑事责任：•（一）利用互联网造谣、诽谤或者发表、传播其他有害信息，煽动颠覆国家政权、推翻社会主义制度，或者煽动分裂国家、破坏国家统一；•（二）通过互联网窃取、泄露国家秘密、情报或者军事秘密；•（三）利用互联网煽动民族仇恨、民族歧视，破坏民族团结；•（四）利用互联网组织邪教组织、联络邪教组织成员，破坏国家法律、行政法规实施。•我国信息安全立法框架•三、为了维护社会主义市场经济秩序和社会管理秩序，对有下列行为之一，构成犯罪的，依照刑法有关规定追究刑事责任：•（一）利用互联网销售伪劣产品或者对商品、服务作虚假宣传；•（二）利用互联网损坏他人商业信誉和商品声誉；•（三）利用互联网侵犯他人知识产权；•（四）利用互联网编造并传播影响证券、期货交易或者其他扰乱金融秩序的虚假信息；•（五）在互联网上建立淫秽网站、网页，提供淫秽站点链接服务，或者传播淫秽书刊、影片、音像、图片。•四、为了保护个人、法人和其他组织的人身、财产等合法权利，对有下列行为之一，构成犯罪的，依照刑法有关规定追究刑事责任：•（一）利用互联网侮辱他人或者捏造事实诽谤他人；•（二）非法截获、篡改、删除他人电子邮件或者其他数据资料，侵犯公民通信自由和通信秘密；•（三）利用互联网进行盗窃、诈骗、敲诈勒索。我国信息安全立法框架五、利用互联网实施本决定第一条、第二条、第三条、第四条所列行为以外的其他行为，构成犯罪的，依照刑法有关规定追究刑事责任。•六、利用互联网实施违法行为，违反社会治安管理，尚不构成犯罪的，由公安机关依照《治安管理处罚条例》予以处罚；违反其他法律、行政法规，尚不构成犯罪的，由有关行政管理部门依法给予行政处罚；对直接负责的主管人员和其他直接责任人员，依法给予行政处分或者纪律处分。•利用互联网侵犯他人合法权益，构成民事侵权的，依法承担民事责任。我国信息安全立法框架我国信息安全立法框架行政法规：是指国务院为执行宪法和法律而制定的法律规范行政法规我国信息安全立法框架•与信息安全有关的行政法规主要有(一)：•国务院令147号：《计算机信息系统安全保护条例》•国务院令195号：《计算机信息网络国际联网管理暂行规定》•国务院令273号：《商用密码管理条例》行政法规我国信息安全立法框架•与信息安全有关的行政法规主要有（二）：•国务院令291号：《中华人民共和国电信条例》•国务院令292号：《互联网信息服务管理办法》•国务院令339号：《计算机软件保护条例》•国务院令468号：《信息网络传播权保护条例》等行政法规我国信息安全立法框架•1、《计算机信息系统安全保护条例》（1994年2月18日）这是我国第一部涉及计算机信息系统安全的行政法规。《条例》赋予“公安部主管全国计算机信息系统安全保护工作”的职能（包括监督、检查、指导权；计算机违法犯罪案件查处权；其他监督职权；《条例》要求国家安全部、国家保密局和国务院其他有关部门，在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。行政法规我国信息安全立法框架•2、《计算机信息网络国际联网管理暂行规定》计算机信息网络进行国际联网的原则：•必须使用邮电部国家公用电信网提供的国际出入口信道。•接入网络必须通过互联网络进行国际联网。•用户的计算机或计算机信息网络必须通过接入网络进行国际联网。•《规定》对互联网接入单位实行国际联网经营许可证制度（经营性）和审批制度（非经营性），限定了接入单位的资质条件、服务能力及其法律责任。行政法规我国信息安全立法框架•3、《计算机软件保护条例》2002年1月1日起施行主要修订之处:软件著作权的保护期由过去的25年提高到50年；增加出租权；增加网络传播侵权的行为的认定；明确并加大了对侵权的法定赔偿的数额；完善软件著作权登记制度；界定了用户使用未经允许的软件的法律性质问题行政法规我国信息安全立法框架•3、《计算机软件保护条例》2002年1月1日起施行主要修订之处:•软件著作权的保护期由过去的25年提高到50年；•增加出租权；•增加网络传播侵权的行为的认定；•明确并加大了对侵权的法定赔偿的数额；•完善软件著作权登记制度；•界定了用户使用未经允许的软件的法律性质问题行政法规我国信息安全立法框架•4、《信息网络传播权保护条例》2006年7月1日起施行•2000年，最高人民法院制定了《关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释》；•2001年，全国人大常委会修订了《著作权法》；•2002年，国务院颁布了《著作权法实施条例》；•2003年，最高人民法院修订了《关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释》；•2005年，国家版权局和信息产业部联合发布了《互联网著作权行政保护办法》等。行政法规我国信息安全立法框架•保护措施•保护信息网络传播权•保护为保护权利人信息网络传播权采取的技术措施•保护用来说明作品权利归属或者使用条件的权利管理电子信息•建立处理侵权纠纷的“通知与删除”简便程序行政法规我国信息安全立法框架四种免除赔偿责任的情形•网络服务提供者提供网络自动接入服务、自动传输服务，只按照服务对象的指令提供服务，不对传输的作品、表演、录音录像制品进行修改，不向规定对象以外的人传输作品、表演、录音录像制品。•网络服务提供者为了提高网络传输效率，自动存储从其他网络服务提供者获得的作品、表演、录音录像制品