收集取得的;二是机关单位或个人为保护国家利益或单位的利益或个人利益而专门收集的;三
(2)审查电子数据证据的收集程序。
审查司法机关在收集和提取电子数据证据时是否按照法律的有关规定,取证的方法是否正
确;其他收集证据者收集电子数据证据的过程是否合法。
2.审查电子数据证据的真实性。
(1)由于计算机中的信息极其容易变造,比如对原始数据已经进行过编辑,这样,就失去
了作为证据的证明性,因此对得到的电子数据证据要进行真实性的审查。
(2)电子数据证据的取得一般要通过一定的技术方法或手段,比如,对压缩文件的解压
缩、对加密信息的解密等,同时这种证据的显现必须通过一定的电子设备,在进行这些处理的
过程中,是否改变了原始数据,也需要进行审查。
数据证据依然具有真实可靠性。
3.电子数据证据内容的审查。
审查电子数据证据的内容是否与案件有关、是否具有证明案件的价值。
4.电子数据证据与案件其他事实联系的审查。
计算机犯罪案件发生后,除了电子数据证据外,还会有许多与案件相联系的事实和能够证
实案件的其他类型的物证,因此应该将案件事实、电子数据证据以及其他证据联系起来,使犯
罪事实都有相对应的证据证明而不出现矛盾,从而形成一个证据的整体。
二、如何审查电子数据证据
1.检查或验证法。
查或验证时,一要对电子设备的质量和性能进行检查,二要对电子数据证据的形成过程进行检
查,三要检查电子数据证据与其他证据之间的联系。
2.鉴定法。
利用专门的电子设备和专用的软件或聘请专家对电子数据证据的真实性进行鉴定,判定电
子数据证据有无变造。也可以利用模拟的方法对案件进行模拟,或依法进行测试,所得结果也
可以作为鉴定结果。
对电子数据鉴定、检验、审查后,鉴定部门应出具“电子数据鉴定书”。“电子数据鉴定
书”应包含:检验方案、操作程序、检验记录、分析说明、鉴定结论等内容,并加盖“鉴定专
用章”以证明其合法性。
195202
第十一章计算机犯罪的法律对策
从1958年美国有了计算机滥用事件的记录,到目前涉计算机的各种犯罪,世界各地,尤
其是发达国家,计算机犯罪问题日趋突出。
计算机犯罪学专家乌居壮行所说:“现在几乎没有任何一种犯罪能像电子计算机犯罪那样
轻而易举地支取到巨额财富。”而世界各国对计算机犯罪的惩治力度明显不够,由于种种原因
计算机犯罪的破案率、成功起诉率非常低。例如,我国在1997年刑法通过之前,司法机关对
于现实中发生的许多计算机犯罪根本无法定性,有的不得不无条件将犯罪人加以释放。法律对
于计算机犯罪的无可奈何使不法分子更加肆无忌惮,计算机犯罪日益猖狂。计算机犯罪的持续
上升使世界各国均感到以法律来预防和打击危害计算机信息系统安全行为的必要性。
通过计算机犯罪立法,一方面可以使计算机安全措施法律化、规范化、制度化,从而遏制
计算机犯罪的条件;另一方面可以为打击计算机犯罪提供有利的法律依据,并对犯罪分子起到
一定的威慑作用。联邦德国犯罪学家施奈德说:“专门对计算机犯罪的刑法条款比之把计算机
犯罪归属于一般的刑法条款(诈骗、盗窃、侵吞、贪污等)具有更大的威假作用。这种专门的
刑法条款不仅服务于明确无误地适用刑法,而且也能够为形成一种计算机职业内部的职业道德
打下基础。”因此,在对计算机犯罪从技术上和管理上进行防范的同时,同样重要的是必须制
定专门的法律或在刑法中设立专门的条款,这样才能有效地遏制计算机犯罪。
本章简要介绍世界各国计算机犯罪的刑事立法概况,重点阐述中国计算机犯罪的法律对
策,并探讨有关计算机犯罪法律热点问题。
11.1世界范围内惩治计算机犯罪的刑事立法
犯罪的刑事立法作为高科技犯罪的计算机犯罪产生后,其准确定性、合理量刑以及能否适
用传统法律,曾经是长期困感各国刑事立法和司法机关的疑难问题之一。伴随着计算机犯罪发
案率的持续上升,各国纷纷开始制定专门的计算机犯罪惩治法案,中国也是如此。
随着计算机犯罪的日趋严重,世界各国均感到以法律来规制和打击危害计算机信息系统安
全行为的必要性。在此背景下,1973年瑞典通过了世界上第一部保护计算机的法律《珊典国
家数据保护法》,这是世界上第一部涉及计算机犯罪刑事惩罚条款的法律。该法以保护私人数
据的权益为目的,对数据的未经许可访问、收集、处理、复制、存储、传输、使用、修改、销
毁以及定罪等都作了法律规定。
美国是世界上拥有计算机及网络最多、应用最为广泛、普及程度最高的国家。美国的佛罗
里达州在1978年率先在美国各州中制定计算机犯罪防止法,即《佛罗里达计算机犯罪法》。该
196203
法的主体内容即是对计算机犯罪的惩治,规定了三类大罪:侵犯知识产权罪;侵犯计算机装置
或设备罪;侵犯计算机用户罪。该州通过此一法规后,截止到1984年共有44个州相继通过了
类似的惩治计算机犯罪的法律。1984年8月,美国通过了《伪造存取手段及计算机诈骗与滥
用法》,从而对于联邦刑法典进行了修改,将非法使用计算机和损坏资料的行为规定为犯罪。
在其他联邦法律中,与计算机犯罪有关的有:1974年的《个人秘密法》,1978年的防止向国外
的不正当支付法案《资金电子调拨法》、《金融秘密法》,1986年的《电子通信秘密法》,1987
年的《计算机安全法》,1989年的《计算机病毒消除法》,等等。这些法条的共同特点是,重
新界定财产的定义,包括无形财产和计算机数据。大多数法律规定对未经许可的访问或者使用
数据进行欺诈的行为进行惩罚,如同对破坏、涂改、滥用行为惩罚一样。在规定形式上,这些
法律或者规定为新的犯罪行为,或者修改已在刑法典中规定的内容。
世界其他国家也纷纷制定有关计算机犯罪和计算机信息系统安全的法律和法规。1986年
德国颂布的关于防止经济犯罪法规定了欺诈,尤其是信用卡欺诈、计算机间谍、计算机破坏和
非法使用方面的内容;法国1988年颁布的信息管理法规定了不诚实地进入程序或者在计算机
系统功能中设置障碍、干扰数据的完整性和真实性,伪造和使用计算机方面的内容;英国
1981年颁布的伪造和变造法,对上面或者里面储存或者记录信息资料的伪造的仪器、磁盘、
磁带、音带或者“其他装置”进行了界定;加拿大1985年刑法典修正案已经涉及到未经许可
的截取信息或者破坏计算机设备和信用卡欺诈行为,在它的规定中,“凭证”在含义上包括计
算机系统;丹麦1985年《破坏数据惩罚法》规定了计算机欺诈、破坏和未经许可进入程序方
面的内容;1987年日本在刑法中增订了惩治计算机犯罪的若干条款,并规定了较重的法定刑。
希腊于1988年颁布的有关法律对于非法侵人计算机及非法使用、泄露计算机内存数据秘密作
了特别惩罚规定;澳大利亚也颁布了有关此类的法律,但均为地区性法律。此外,其他一些国
家的刑法的议案或者修正案已被建议粗略地规定上述方面的内容。对于这一点,1985年有关
电信和计算机的国际组织列举了一些有此类做法的国家,例如瑞士、奥地利、比利时、挪威、
巴西、新加坡等国也先后颁布了有关计算机犯罪和数据安全的法律和规定。
上述国家中,惩治和打击计算机犯罪的法律条文较为有代表性的是美国、加拿大、日本等
几个国家,这将在后面加以评述。
对于计算机犯罪有明确性刑事立法的国家,其立法方式也并不相同。基本上有三种方式,
一是直接规定于刑法典之中;二是制定惩治计算机违法犯罪行为的单行法律;三是在有关行政
法律法规中设置刑事条款。
11.1.2若干国家和地区计算机犯罪惩治法律介绍
由于中国计算机的普及率不高和由此而导致的计算机犯罪的发案率或者说案件发现率不
高,导致司法经验总结机会的减少,因而我国1997年刑法典中关于计算机犯罪的法条设置显
犯罪的刑事立法加以考察,可能会对完善中国刑法典中关于计算机犯罪的法条设置,提供些帮
助。
一、美国的计算机犯罪惩治法
美国是计算机普及率最高的国家之一,相应也是计算机犯罪发案率最高的国家之一。世界
范围内最早发现的计算机犯罪案件,即发生于美国。因而美国有关计算机犯罪的刑事立法出现
较早,但联邦与各州之间的刑事立法各有特点,互不相同。下面我们简要介绍有关计算机犯罪
的联邦刑事立法。
204197
此种行为与传统型犯罪并无特异之处。由于当时利用计算机犯罪的多数情况是以计算机为工具
的财产性犯罪,尤其以盗窃行为居多,因而当时多以盗窃罪起诉。但是,即便在此种情况下,
法院的最终判决也极少认定犯罪成立。
伴随着计算机犯罪的持续增加和对社会冲击的日趋严重,美国联邦和各州立法机关逐渐开
始着手制定针对计算机犯罪的专门刑事立法。在1979年前后,美国国会花了三个会期讨论联
邦计算机犯罪的立法问题,但是由于各种原因而导致许多法律草案最终未能表决通过。1984
年美国的计算机犯罪发案率比往年较高,当时的联邦检察官对于无权进入计算机系统取得有价
值信息的行为多数以“电讯欺诈与州际间运送赃物”等法律起诉,但因没有准确的法律规定和
刑罚设置,导致许多起诉案被判无罪。于是,在1984年10月12日,美国国会通过《伪造存
取手段与计算机欺诈、计算机滥用法》,这是第一个规范行为人使用计算机去实施犯罪行为或
者违法行为的刑事立法。这个法条后来被纳人美国联邦刑法法典第47章第18篇最后一条,其
根据美国联邦刑法典的规定,与计算机有关的犯罪分为以下几类:(1)通过非法使用或者
以欺诈为目的之合法使用,而获得5000美元以上非法利益或者使他人蒙受5000美元以上之损
失,或者为获取资讯秘密,以致影响国防或者外交关系者。(2)非法或者以非法目的的合法获
却滥用计算机,于一年内取得5000美元以上利益或者造成5000美元以上损失,且影响州际间
或者与国际间的商业行为。(4)无论造成损失与否,禁止非法接近使用计算机破坏、窜改或者
揭露美国政府的信息。
1989年,震惊世界的美国国防部计算机网络被破坏案引起美国国会的高度重视,因而也
导致了另几个有关计算机犯罪的法案《计算机保护法案》应运而生:禁止行为人在明知或者有
足够理由相信,其所引人计算机的信息或者指令,足以造成损失、或者对计算机信息系统形成
危险的情形下,引入计算机程式或者计算机本身或者电子指令。
二、德国
大陆法系国家传统上均严守罪刑法定主义,但因计算机犯罪属于全新类型的高科技犯罪,
理研究早于欧洲大陆各国,而且率先于1986年修正刑法,将与计算机有关的犯罪完全纳人刑
法典体系,以有别于另立特别法的立法方式。德国刑法典中有关计算机犯罪的规定,可以作如
下概述:
1.资料间谍罪:
本条为新设条文,为适用科技社会下保护资料隐私权的新设规定。依该规定,行为人非法
获得非属其持有,且受特别保护以防越权取用的资料者,处三年以下有期徒刑,或并处罚金。
而此类资料,是指储存或经电子、磁化或其他不可直接目视之方式传输者的资料。
2.计算机诈欺罪:
本条为新增条文,依其规定:意图为自己或第三人获得不法财产利益,而制作不正当的程
序,使用不正确或不完全的资料,或者以其他方式无权限地干预资料处理的过程,影响资料处
理结果因而损害他人的财产者,处五年以下有期徒刑或并处罚金。
3.伪造资料罪:
意图在法律事务交往中进行欺骗而存储或变更可辨识状态下所存储或变更的资料者,处五
年以下有期徒刑或并处罚金。
198205
4.变更资料罪:
非法删除、隐匿、使不能使用或变更资料者处以两年以下有期徒刑或并处罚金。
5.妨害计算机罪:
对于某经营体或企业或官署具有本质意义的处理有以下妨害行为的处以五年以下有期徒刑
或并处罚金:(1)非法变更资料。(2)毁弃、损害、使不能使用、别除或变更资料处理设备和
媒体。
三、日本
日本是当今世界上计算机工业高度发达的国家之一。日本在制定计算机犯罪的特定刑事立
法之前,有关计算机犯罪的司法惩治实际案例是通过刑法解释方法加以处罚的。在不影响罪刑
法定主义原则的前提下,力图达到利用既有刑法规范惩治又有防范计算机犯罪的司法目的。
在计算机犯罪的刑事立法上,日本沿袭德、法等大陆法系国家的立法方式,于1987年由
日本计算机犯罪中心提出“刑法部分条文修正案”,于伺年6月20日公布,自6月22日施行。
其中有关国外犯罪之处罚部分,因涉及国际条约在日本发生效力的问题,故于同年7月8日始
施行。
日本刑法关于计算机犯罪的增加和完善规定如下:
1.电磁记录的定义。
新增定刑法第七条之二规定:“本法所称电磁记录,是依电子方式、磁气方式或其他无法
以人发知觉加以认识的方式所制作的记录,而供计算机处理资料所用的。”本条所称的“电磁
记录”,并非指保存资料的媒体本身,如磁带、软盘等,而是指在媒体上特定资料(信息)记
载之状态而言。
2.关于电磁记录不正作出罪(即伪造电磁记录罪)。
增订电磁记录的保护,使其地位与文书相同,以保护资料不被不法操作。传统的伪造文件
的对象是可视、可读的文字或符号。而现代社会不仅行政部门、企业,甚至个人都将情报、资
料等输入计算机,输入计算机的电磁记录就不再是可视可读的了。因此,伪造电磁记录就不能
归属于传统的伪造文件罪中,就有了进行伪造计算机电磁记录立法的必要了。
3.计算机业务妨碍罪。
损坏他人业务上使用的计算机或供其使用的电磁记录,将虚伪资料、不正当指令输入他人
业务上使用的计算机,或以其他方法使他人计算机不能达到使用目的,从而妨害他人业务者,
处五年以下有期徒刑或2000元以下之罚金。
4.计算机使用诈欺罪。
新增刑法第二四六条之二电子计算机使用诈欺罪规定:“将虚伪资料或不正指令输入前条
以外的人处理事物使用的计算机,制作有关财产权之得失、变更不实电磁记录,或将有关财产
权之得失、变更虚伪电磁记录供人处理事物之用,使自己或第三人获财产上不法利益者,处十
年以下有期徒刑。”本条是为了对抗日本日益增多的自动付款机犯罪而设立的。
四、英国
1990年之前在有关计算机犯罪的刑法惩治上,英国与美国态度上有相当歧异。在1990年
以前,英国司法实务上从来不认为有单独立法的必要,因而其司法解释都将计算机视为其犯罪
工具而已。英国法院对计算机犯罪的分类,也是着眼于其所引发的结果,是否为传统的犯罪形
态所涵盖,而不以其犯罪手法或工具而定,因此,英国完全将计算机犯罪视为一般既存之犯
罪,故无需特别立法或增修法律。由于计算机程序或信息等无形物是否居于无形财产权的范
畴,在英国曾引起莫大争议。因而英国法院在处理计算机有关的犯罪时,均巧妙的避开此类争
199206
议,而仅注视于既存的犯罪中,计算机仅是扮演新工具或方法的角色而已。即使如此,在英国
现有法律中,亦存有不少与防治计算机犯罪有关的法律:如1984年的《资料保护法》,其立法
主要原则乃由计算机处理记录中有关个人资料需被充分的保护,以防止不当侵害个人隐私权;
1984年的《英国警察与刑事证据法》对于计算机证据的合法性亦有详细之规定,警察可把计
算机中的情报作为证据。1990年制定的《计算机滥用法》规范下列三种犯罪类型:
·故意毁损、破坏或修正计算机资料或程式。
五、加拿大
鉴于计算机“闯人者”事件日益增多,加拿大政府对于计算机犯罪的立法压力越来越大,
于是在20世纪80年代初期,曾有一个法律提案企图将加拿大现行的刑法法典中,有关财产权
的定义包括无形财产权在内,并增订有关于预计算机等行为。此法案于1985年成为法律,而
成为加拿大防治计算机犯罪的刑事立法,这种方法不但与美国制定单行刑事法的方式有所区
别,而且与英国完全以现行传统之法律防治计算机犯罪者不同,因而被称为“折衷两者间立
加拿大防治计算机犯罪的规定如下;
计算机、机械或他法,直接或间接截获或使截获计算机系统之功能的为公诉罪。
·关于资料之危害;毁损、篡改计算机资料,或使其无效等行为为公诉罪。
11.2我国有关计算机犯罪的刑事责任
1994年初,《中华人民共和国计算机信息系统安全保护条例》的颁布实施,为中国计算机
信息系统安全治理走上规范化、法制化和科学化的轨道,揭开了历史性的序幕。1997年初,
全国人民代表大会又通过了新的《刑法》,其中包括了关于计算机信息犯罪的直接的或间接的
有关条款,这从立法的角度宣告了中国信息化进程的飞速发展,同时也警示我们,信息活动中
可能负有的刑事责任。在形形色色的信息活动中,出于各种主观心态或客观因素,其中的某些
刑事责任,应当引起高度重视。
11.2.1非法侵入计算机信息系统罪
随着计算机信息系统的广泛应用,信息系统日益成为国家和社会各部门各单位的要害部
位。特别是在关系到国计民生的国家事务管理、军事指挥控制、尖端科技研究开发领域,这些
计算机系统的正常运行,对于保障国家安全、经济发展以及人们生命财产安全等等方面,起着
十分重要的作用。这些人机系统一旦成为犯罪对象而被非法侵入,就可能导致其中的重要数据
遭到破坏,或某些重要敏感的信息被泄露,继而招致灾难性的连锁反应,造成经济、政治等等
方面的重大损失,甚至危及国家和人民的生命财产安全。对这种非法侵人,必须给予严厉的打
击,于是,《刑法》第二百八十五条明确规定:“违反国家规定,侵人国家事务、国防建设、尖
端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。”
非法侵入计算机信息系统罪的犯罪构成:
200207
本罪侵犯的对象是国家事务、国防建设、尖端科学技术领域的计算机信息系统。所谓计算
机信息系统,根据1994年2月18日国务院颁布的《计算机信息系统安全保护条例》第2条的
和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。计算机信息系统的外延
非常广,其表现形式也多种多样。按照系统内计算机的组成来划分,可将计算机信息系统分为
两种:一种是只包括一台计算机系统的信息系统;另一种则是由多个计算机系统组成的分布式
系统。无论是那一种系统都可能成为国家事务、国防建设和尖端科学计算机领域的计算机信息
系统。
本罪侵犯的客体是国家事务、国防建设、尖端科学技术领域的计算机信息系统安全。本罪
的客观要件是,行为人实施了违反国家规定侵人国家事务、国防建设、尖端科学技术领域的计
算机信息系统的行为。就信息系统的完整保密安全性而言,侵人本身就是一种危害,这就意味
条款中指称违反的“国家规定”,就是《中华人民共和国计算机信息系统安全保护条例》
的第四条规定:“计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、
尖端科学技术等重要领域的计算机信息系统安全。”该条例的第24条同时载明:“违反本条例
的规定,构成违反治安管理行为的,依照《中华人民共和国治安管理处罚条例》的有关规定处
罚;构成犯罪的,依法追究刑事责任。”此外,我国有关计算机信息系统管理方面的其他法规
如:《计算机学习网络国际联网管理暂行规定》、《计算机信息网络国际联网出人信道管理办
法》.《专用网与公用网联网的暂行规定》等也有类似的规定。由此应该明了,刑法重于定罪和
是互相紧扣、密切关联的。违反不同的规定,可认定为同一罪。违反同一规定,根据不同的情
况,也可能会认定为不同罪。构架是一个疏而不散的法网系统,似乎相当繁杂琐碎。因此,对
于包括《计算机信息系统安全保护条例》在内的其他有关计算机安全保护的法律规范标准,千
万不能以为这些不是《刑法》只是个一殷的行政法规或规范标准,就掉以轻心。这里需要指出
的是:《中华人民共和国计算机信息系统安全保护条例》中规定的计算机信息系统安全保护的
重点为“国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安
体和对象范围只限定在国家事务、国防建设和尖端科学技术领域的计算机信息系统之内,显得
过于狭窄。它与计算机技术日新月异的发展及其在我国各行各业的广泛应用状况极不相称。目
前我国许多单位,尤其是金融、保险、医疗、交通、航运等机构都建立了计算机信息系统。而
这些领域计算机信息系统的安全性也极其重要、非法侵人这些领域的计算机信息系统同样具有
非常严重的社会危害性。加上互联网的广泛应用,给非法侵人计算机信息系统提供了更多的机
会,如果我们不从法律上对其加以保护,则极不利于打击犯罪、不利于我国的社会主义建设事
业。为了更有效地打击计算机犯罪,(刑法)第285条规定的非法侵入计算机信息系统罪应将
金融、医疗、交通、航运等重要领域的计算机信息系统包括在内。考虑到侵人不同领域的计算
机信息系统的行为具有不同的社会危害性,即侵入“国家事务、国防建设、尖端科学技术领
域”计算机信息系统相对于侵入金融、医疗、信息服务等领域的计算机信息系统来说,前者对
社会的危害性要大一些。因此,建议将刑法第285条规定修改为:“违反国家规定,侵人金融、
交通运输、公用电信、医疗领域或者其他关系国计民生的重要计算机信息系统的,处三年以下
有期徒刑或者拘役。侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,从
201208
重处罚。但刑法未修改之前,应严格遵守罪刑法定的原则,这要求有关部门在执法中严格把
关。
本罪的客观方面表现为违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计
过计算机终端非法访问国家事务、国防建设、尖端科学技术领域的计算机信息系统或者进行数
据截收的行为。一般来说,所有的计算机信息系统都有自身的安全控制机制,可以决定哪些用
户有访问权力并明确合法用户的访问权限。因此,非法侵入行为分为两类:非法用户侵人计算
机系统和合法用户越权访问。通常,非法侵入方式有:冒充。冒充合法用户进入计算机系统。
使用非法手段获取口令或者许可证明,随后,冒充合法用户,进人国家事务,国防建设、尖端
科学技术领域的计算机系统;更有甚者,有人把自己的计算机与国家事务、国防建设、尖端科
学技术领域的计算机信息系统非法联网;技术攻击、通过后门陷阱门非法侵人也是常用的手
段。
应该注意的是,经过加密处理的信息系统如果没有相应的加密措施“获得口令”是无法进
入的。因此,侵人的第一步骤是解密,获得密码钥匙。而密码的设置表明系统不允许随便进
入,故解密本身是非法的,具有可罚性。侵入的第二步是进入该系统的总目录并伴有浏览行
为,但仅限于浏览,若浏览后又实施了拷贝、打印等行为,则按刑法的有关规定定罪后,从重
罪处罚。
本罪的主观方面应该是故意。也就是说,行为人清楚地知道,自己的行为是违反了国家的
规定,会产生非法侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的危害后
果,而这种结果是自己希望发生的。其动机和目的是多种多样的,例如,好奇、炫耀、泄愤、
报复、消遣等等,这些都不影响犯罪的构成。但若行为人具有其他可查证的目的,如非法窃取
国家秘密、商业秘密等,不构成本罪,而应以其行为构成的具体犯罪追究刑事责任,如非法窃
取国家秘密罪、侵犯商业秘密罪或以某种特定危害国家安全罪追究刑事责任。
由于过失而侵人国家事务、国防建设、尖端科学技术领域的计算机信息系统的,不构成本
罪。从司法实践来看,非法侵入一般情况只能是故意。因为各类计算机信息系统均有挖制访问
机制,本罪的犯罪对象更是如此,行为人不作技术方面的努力,不可能破译密码而突破系统的
保护机制或成功地绕过此类安全保护机制。纯过失的误入此类信息系统的行为是罕见的,甚至
是不存在的。若有过失进入事件,行为人已经发现而不主动退出的,也应构成本罪。
本罪的主体是一般主体。他们往往具有相当高的计算机专业知识和操作技能水平,如程序
设计人员,计算机管理、操作、维修人员等等。
11.2.2破坏计算机信息系统罪
《刑法》第286条明确规定:“违反国家规定,对计算机信息系统功能进行删除、修改、增
加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役,
后果特别严重的、处五年以上有期徒刑。”“违反国家规定,对计算机信息系统中存储、处理或
者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。”
“故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重依照第一款
的规定处罚。”
违反国家规定即指《中华人民共和国计算机信息系统安全保护条例》第3条规定:“计算
环境安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运
202209
行。”如果行为人违反该项国家规定,后果严重的,就必须予以刑罚处罚。
根据大量社会实践,对于违反这一规定的不同情节,确认为可能的三款犯罪:第一款是关
于破坏计算机信息系统功能及其相应的刑事处罚的规定;第二款是关于破坏计算机信息系统数
据、应用程序及其相应的刑事处罚的规定;第三款是关于故意制作、传播破坏性程序及其相应
的刑事处罚的规定。
这些罪侵犯的客体是社会管理秩序,具体说是国家对于计算机信息系统的管理制度。
这些罪的侵害对象是计算机信息系统中的数据、应用程序。所谓数据,是计算机实际处理
的一切文字、符号、声音、图像等等有意义的组合。所谓计算机程序,是指为了得到某种结果
而可以由计算机等具有信息处理能力的装置执行的代码化指令序列,或者可被自动转换成代码
的符号化语句序列。而计算机应用程序,是用户使用数据库的一种方式,是用户按数据库授予
的子模式的逻辑结构,书写对数据进行操作和运算的程序。所谓对数据和应用程序的破坏是指
通过输入删除、修改、增加的操作指令,对计算机信息系统中存储、处理或传输的数据和应用
程序进行破坏的行为。所谓破坏性程序,是指在计算机内部运行的一种干扰程序。它的破坏性
和非法性,决定了它的隐藏性。计算机病毒破坏攻击的主动性,危害的巨大和多样性、传染和
传播的泛滥性、衍生性、多变性及其可潜伏、条件随意设置的可激发性等等,是当前攻击计算
机信息系统最严重的方法,已经成为计算机犯罪的一种相当有效的手段,甚至成为信息战的战
略武器之一。所谓制作,是指通过计算机编制、设计针对计算机信息系统的破坏系统的行为。
所谓传播,是指通过计算机编制、设计针对计算机信息系统(含网络)直接输人、输出破坏性
程序,或者把已经输人、输出破坏性程序的软件加以派送、散发、销售的行为。
这些罪的客观方面,是行为人实施了破坏计算机信息系统功能且情节严重的行为。所谓计
算机信息系统的功能,是指按照一定的应用目标和规则,对信息进行采集、修改、增加、干
扰。使计算机信息系统的功能不能得到正常的发挥,导致计算机信息系统不能正常运行。所谓
后果严重,一般是指,破坏国家事务、国防建设、尖端科学技术领域的计算机信息系统的功
能:给国家、社会、集体、组织或者个人造成较大经济损失的,造成恶劣的社会影响的等等。
本罪犯罪行为方式通常表现为以下几种:(1)别除,即抹去某些计算机软件,使其功能在
计算机系统中不复存在。对关键性软件的破坏,除导致计算机系统不能正常运行外,有时可能
会导致整个系统瘫痪。(2)修改功能性软件。(3)增加,在软件上添加大量程序,使系统因承
担大量数据而运行速度减慢或瘫痪。(4)干扰,在软件中输入某些程序使系统的工作程序不能
为地发射强干扰信号,干扰计算机系统的正常的动作状态或传输的信号,使之不能正常工作或
信号不能被正常输出或接收。应注意,本罪的犯罪方式是法定的,根据罪刑法定主要原则,只
有使用上述四种犯罪方法进行破坏计算机信息系统功能的,才以本罪论处,以其他方法进行破
坏的,不构成本罪。有学者指出,本罪的常见犯罪方法还包括拒绝使用方法。拒绝使用是指在
废弃某系统、使端口处于停顿状态、在屏幕上发出杂乱数据、改变文件名称、删除关键程序文
件或扭曲系统的资源状态,使系统运行素乱或速度降低,最终导致处理结果降低价值。
这些罪的主观方面应该是故意。也就是说,行为人明知自己所输人的程序或指令会导致计
算机信息系统不能正常运行的危害结果,仍然希望这种结果的发生。其动机和目的多种多样,
例如,泄愤报复,牟取非法利益,嫉贤妒能,等等。无论什么动机和目的,都不影响本罪的构
成。
需要特别指出的是,故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运
行,或者对计算机信息系统功能、数据非法增、删、改、干扰而造成严重后果的,也就是《刑
203210
法》第二百八十六条第三款所针对的犯罪行为的重要部分。所谓传播,是指通过计算机信息系
统(含网络)直接输入、输出破坏性程序,或将已输入破坏性的软件加以派送、散发、销售的
行为,而由于过失传播计算机病毒等破坏性程序的,不构成本罪。
这些犯罪的主体是一般主体。他们往往具有相当高的计算机专业知识和操作技能水平,例
如程序设计员和计算机管理、操作、维修人员等等。
11.2.3利用计算机实施的金融犯罪
《刑法》第287条规定:“利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘
密或者其他犯罪的,依照本法有关规定定罪处罚。”
利用计算机实施的金融系统犯罪主要有:诈骗、盗窃、贪污、挪用公款、窃取国家机密等
犯罪。在这类犯罪中,计算机只是一种新的犯罪工具,在犯罪手段上有了一些变化,但其社会
危害性以及犯罪构成与一些传统的犯罪在实质上没有区别,所以没有把利用计算机实施的这些
犯罪都规定为新的犯罪。但鉴于这类犯罪在手段上的新颖性与巨大的社会危害性,现行刑法特
设一说明性的条款,以利于对这些犯罪的正确定罪和量刑。
由于这类犯罪在实施时客观上造成了对计算机系统的正常运行的危险,即使没有直接的损
害,仍然破坏了计算机系统的安全。因此,这类犯罪在主观上具有两种故意:即占有财产的故
意和侵害计算机系统的故意。对计算机系统的侵害故意是因为犯罪人需要利用这种手段来完成
财产犯罪。如果利用计算机实施犯罪对计算机系统也造成了损害,则按照我国刑法第285条和
第286条的规定以及关于处理牵连犯的一般原则从重处罚即可。
本罪侵害的客体是公私财产或国家秘密的拥有权。
客观方面是利用计算机改变公私财产或国家秘密的拥有关系的行为。
犯罪的主体是一般主体。
主观方面是故意。
11.2.4与计算机信息系统安全保护有关的其他犯罪
一、传授犯罪方法罪
《刑法》第295条规定:“传授犯罪方法的,处五年以下有期徒刑,拘役或者管制;情节严
重的,处五年以上有期徒刑;情节特别严重的,处无期徒刑或者死刑。”
本罪侵害的客体是社会公共秩序。
客观方面是实施了传授犯罪方法的行为,即以语言、文字、动作或者其他方式方法将实施
犯罪的具体经验、技能传授给他人的行为。行为人构成本罪,所传授的必须是犯罪方法。这里
的犯罪方法,是指犯罪的经验和技能,包括手段、步骤、反侦查方法等。行为人传授犯罪方法
的形式是多种多样的,有口头传授、书面传授,有公开传授、秘密传授,有当面直接传授、间
接转达传授,有用语言、动作传授的,也有通过实际实施犯罪而传授的,等等。
本罪的主观方面是故意,并且只能是直接故意。即行为人为使他人接受自己所传授的犯罪
方法去实施犯罪而故意进行非法传授。行为人实施传授犯罪方法行为的动机是多种多样的,例
如报复社会、牟取非法利益、网罗犯罪人员等等。不论行为人出自何种动机,只要是具有传授
犯罪方法的故意,即可构成此罪。
本罪的主体是一般主体,他们一般具有相当高的计算机专业知识和操作技能,往往还是惯
犯,前科累累。
204211
二、破坏通信设备罪
在一些特定的情况下,例如发生重大自然灾害,或者发生危及国家、社会安全或安定的紧
急事件时,通信设备将会担负着综合性的指挥功能,情况收集、综合处理、传播疏导、指令下
达、筹划调遣等等,这对于保护广大人民群众的安全和公私财产安全等等,具有十分重要的作
用。于是《刑法》第124条明确规定:“破坏广播电视设施,公用电信设施,危害公共安全的,
处三年以上七年以下有期徒刑;造成严重后果的,处七年以上有期徒刑。过失犯前款罪的,处
三年以上七年以下有期徒刑;情节较轻的,处三年以下有期徒刑或者拘役。”
本罪侵害的客体是国家与社会各界相互保持畅通的信息交换渠道的基本权利,这种信息渠
道的畅通关系遭到侵害,将使公共安全受到严重的威胁,在难于预期的紧急关头,必将酿成灾
难性的后果。
本罪的行为构成,是达到“危害公共安全的”程度,属于危害公共安全罪。这是指在发生
突发性事件中,由于公共信息基础设施受到破坏,信息不能及时有效地处理,传播,联络中
断,致使公众惊恐,公众的安全及公私财产处于极大的危险之中。所谓“造成严重后果的”,
是指由于信息联络中断致使不能及时排除险情,在灾害中导致人员伤亡的;或者公私财产遭受
到严重损失的等等。如果是在平时一般的情况下,没有造成上述情况的,则按《刑法》的其他
有关条款定罪处罚,例如扰乱社会秩序罪、破坏公私财产罪等等。
该条款为两款,第一款是关于故意破坏通信设备罪的规定,第二款是过失破坏通信设备罪
的规定。故意破坏通信设备罪,是指犯罪人故意实施破坏公用电信设施、危害公共安全的犯罪
行为。由于行为人的“过失”引起的,即:行为人应当预见自己的行为可能发生危害社会的结
果,因为疏忽大意而没有预见,或者已经预见而轻信能够避免,以致发生危害社会的后果;或
者说,行为人在主观意愿上并不希望或放任发生危害公共安全的后果,由于工作不认真负责或
粗心大意,而导致信息系统设备的破坏,并由此造成危害公共安全的严重后果的。
该条款明确指出,特定的犯罪对象是“广播电视设施,公用电信设施”。这类公用电信设
施主要是指用于社会公用事业的通信设施、设备,以及其他的通信设施、设备。比如国家电信
施中使用的无线电通信、导航设施、设备,也包括在内。“电信设施”既包括各种机器设备,
也包括其组成部分的线路等。一般性的信息服务设备,并不包括其中,例如大街上的公用电
广泛采用的智能性的信息处理设备,例如智能终端、智能控制或处理设备等。而计算机网络在
客观上是计算机系统与通信系统的结合;从公用电信设施的角度看,计算机网络是一个智能化
的,强功能的通信网络;从计算机网络的角度看,“公用电信设施”为各个分散的计算机信息
系统提供了联网的“信道”。信息的社会化和网络化,使得计算机网络已经成为重要的社会基
础性设施,用于信息的采集、存储、处理、传播和应用,这是社会进入信息时代的重要客观标
志。
三、其他
计算机信息系统(含网络)是一种功能空前强大的信息处理系统,同时也被利用为作案犯
统的广泛应用,社会各个单位部门对于计算机信息系统依赖程度的越来越高,计算机犯罪也越
演越烈。可以说,计算机信息系统应用到哪些专业领域,计算机犯罪基本上就接踵而至;计算机
信息系统功能有多强,作案能力就有多大;计算机信息系统有多重要,作案后果就有多严重。
205212
也就是说,计算机信息系统的工具性,在实质上计算机犯罪的客体与原有的犯罪并无太大
的变化,只是由于计算机信息系统的广泛应用,使得犯罪的对象、方法、途径等出现了崭新的
内容。这是在有关计算机安全保护的立法之前,各国基本上都根据犯罪的客体,能够引用原有
的法律对有关计算机犯罪予以认定、处罚的根本原因。例如,诈骗、贪污罪,间谍罪,煽动
罪,诽谤罪,侮辱罪,制作、传播淫秽物品罪,窃取商业秘密罪,损害竞争对手罪,侵占罪,
挪用公司资金罪,等等。
危害社会,应当惩处,当然天经地义;然而,法律的严格性,是不允许任意比照或类推
的。由此可知,有关计算机信息系统安全保护领域的法律规范标准的建立以及逐步完善形成体
系,当前仅仅是拉开了序幕,展望未来,确实任重道远。这其实是正常的,因为,法律规范是
社会实践经验、教训的总结,而信息的社会化,却正处在发展演进的过程中。
11.3计算机信息系统安全保护的行政法律责任
为了规范社会信息活动中的信息关系,对于危害社会的违法事件,除了危害严重的,必须
承担刑事责任,并处以刑事处罚外,大量的是属于行政法律责任和民事法律责任范畴的事件。
务领域的行政机关主管或负责,进行人际信息关系的规范和调整。
根据中国现行法律的规定,在行政法律责任和民事法律责任的范畴内,调整的是行政关
系,包括法人、非法人等在内所有法律规范关系的主体,都可能成为承担这些行政法律责任的
法律关系主体,涉及面相当广泛;而不少的单位或个人还没有清楚地意识到这一点,因此,应
当引起高度的重视,学法、懂法、自觉守法,不断提高和强化计算机信息系统安全保护的观念
意识。
违反计算机信息系统安全保护行政法规定,主要是指违反有关计算机信息系统安全保护的
法律、行政法规,以及地方性行政法规所规定的应负法律责任的内容。《中华人民共和国计算
机信息系统安全保护条例》的第四章专门设立了法律责任,这是对计算机信息系统安全保护
工作的原则性要求,是公安机关实施安全监督的依据,也是了解行政法律责任内容的典型例
子。
一、违反《计算机信息系统安全保护条例》第20条规定
《计算机信息系统安全保护条例》第20条规定,违反本条例规定有下列行为之一的,由公
安机关处以警告或停机整顿;
1.违反计算机信息系统安全等级保护制度,危害计算机信息系统安全的;
2.违反计算机信息系统国际联网备案制度的;
4.接到公安机关要求改进安全状况的通知后,在限期内拒不改进的;
5.有危害计算机信息系统安全的其他行为的。
对违反本条例规定的,可以处以警告、停机整顿、罚款,可以并处或者单处罚款。
二、违反《计算机信息系统安全保护条例》第21条规定
《计算机信息系统安全保护条例》第21条规定,计算机机房不符合国家标准和国家有关规
定的,或者在计算机机房附近施工危害计算机信息系统安全的,由公安机关会同有关单位进行
处理。对违反本条规定的,可以处以责令拆除、停工、停建、罚款,可以并处或者单处罚款。
206213
三、违反《计算机信息系统安全保护条例》第22条规定
《计算机信息系统安全保护条例》第22条规定,运输、携带、邮寄计算机信息媒体进出
境,不如实向海关申报的,由海关依照《中华人民共和国海关法》和本条例以及其他有关法
律、法规的规定处理。对违反本条规定的,可以处以没收,可以并处罚款。
四、违反《计算机信息系统安全保护条例》第23条规定
《计算机信息系统安全保护条例》第23条规定,故意输入计算机病毒以及其他有害数据危
害计算机信息系统安全的,或者未经许可出售计算机信息系统安全专用产品的,由公安机关处
以警告或者对个人处以5000元以下的罚款,对单位处以15000元以下罚款;有违法所得的,
除予以没收外,可以处以违法所得的1至3倍的罚款。对违反本条例规定的,可以处以没收,
可以并处罚款。
五、《计算机信息系统安全保护条例》执行中的行政争议、行政诉讼和行政处分
在行政法律关系中发生行政争议时,《计算机信息系统安全保护条例》第26条规定:“当
事人对公安机关依照本条例所作出的具体行政行为不服的,可以依法申请行政复议或者提起行
政诉讼。”
条例的第27条还规定:“执行本条例的国家公务员利用职权,索取、收受贿赂或者有其他
违法、失职行为,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,给予行政处分。”
计算机信息系统的安全保护涉及各个方面的权益,一旦侵害发生,各个系统、单位必将首
当其冲、身受其害。因此,根据中国《中华人民共和国计算机信息系统安全保护条例》的需
要,各个系统、单位的领导,应当亲自挂帅,与公安机关密切配合,高度重视自身的计算机信
息系统的安全,积极创造条件,切实认真做好各项安全工作,益在自身,功在社会。
《中华人民共和国计算机信息系统安全保护条例》第25条作了“应当依法承担民事责任”
规,无需也不可能在《计算机信息系统安全保护条例》中—一包罗。
11.4.1计算机软件的法律保护及法律贵任
计算机软件是指计算机程序和文档资料。而所谓程序,是指为了得到某种结果而由计算机
执行的一组有序的编码;所谓文档,是指用人类的自然语言或形式化语言编写的描述程序内容
和使用方法的资料。自从1969年美国IBM公司率先实施“价格分离”政策,开始把计算机软
件和硬件分别计价出售以来,软件的价值迅速为人们所认识,随之而来的则是如何用法律的手
段来保护计算机软件。
《计算机软件保护条例》在中国的法律体系当中,属于著作权法下属的一个专门法规,是
中国对计算机软件著作权实施法律保护的具体规定。计算机软件的其他知识产权(如软件的专
利权、软件的商标权),由《中华人民共和国专利法》、《中华人民共和国商标法》实施法律保
护。
《计算机软件保护条例》于1991年10月1日起实施,它赋予软件开发者下列七项专有权
利:
·发表权;
214207
●开发者身份权:
·软件使用权(包含复制权、展示权、发行权、翻译权);
·注释权;
·修改权;
·使用许可权和获得报酬权;
·转让权。
除因课堂教学、科学研究、国家机关执行公务等非商业性的少量复制和使用软件,以及合
法持有者为达成使用功能而进行的必要的修改与备份外,任何单位和个人均不得侵害上述七项
权利,否则应承担“停止侵害”、“消除影响”、“公开赔札道歉”等民事责任,并可以由国家软
件著作权行政管理部门给予行政处罚。根据1994年7月5日颁布的《全国人民代表大会常务
委员会关于惩治侵犯著作权犯罪的补充规定》,对严重侵害软件著作权的犯罪行为,最多可判
七年有期徒刑。
11.4.2电子出版物的法律保护
电子出版物是以计算机存储介质为载体采用计算机检索技术的新型出版物。它既可以承载
于软磁盘或光盘等介质,通过发行盘片进行传播;也可以存储于网络服务器上,通过地区性或
国际性计算机网络传送。
电子出版物著作权具有多重性,它可分为软件著作权和软件以外的著作权,后者还可分为
素材中自由创造作品的著作权和编辑著作权。
11.4.3计算机软件的商业秘密和竞争的法律保护及法律责任
计算机软件作为一种新的知识体,所包含的知识内容非常丰富,能够带来经济效益,往往
存在着技术秘密和经营秘密。能够成为计算机软件技术秘密的内容不少,例如分析报告、技术
品市场,生命周期往往很短,竞争相对激烈,有关价格、用户名单、技术转让等经营策略、经
营渠道或经营技巧都可能构成计算机软件的经营秘密。
(一)侵犯计算机软件商业秘密的行为。《中华人民共和国反不当竞争法》第十条规定了四
种侵犯计算机软件商业秘密的行为:
1.以盗穷、利诱、胁迫或其他不正当手段获取权利人的计算机软件商业秘密。“盗窃”是
指侵权者以偷盗的方式,直接获取权利人计算机软件的商业秘密行为。“利诱”是指侵权者以
金钱、物品或者其他物质和精神利益为饵,通过计算机软件商业的知情者获取商业秘密的行
为。“胁迫”是指侵权者以恐吓、威胁或者实施暴力等手段,通过胁迫计算机软件商业秘密的
知情者而获取该软件商业秘密的行为。“其他不正当手段”是指侵权者以包括色情、间谍、教
唆他人等违反权利人意愿的手段,获取权利人计算机软件的商业秘密的行为。
2.披露、使用或者允许他人使用以获取权利人计算机软件的商业秘密。“披露”是指侵权
者将其以不正当手段获取的计算机软件商业秘密告诉第三人或者公诸于众的行为。“使用或者
允许他人使用”是指侵权者将其以不正当手段获取的计算机软件的商业秘密,自己进行使用或
者许可、转让于他人使用的行为。
3.违约。无论个人或单位,一经与权利人建立了保守计算机软件商业秘密的约定或者合
同关系之后,当事人均应认真履行有关保密的条款,并承担有关保密的义务。个人或者单位对
其掌握权利人的计算机软件商业秘密进行披露、使用或供他人使用,都是侵害商业秘密的行
208215
为。商业秘密的权利人在因工作需要,不得不将商业秘密告诉他人时,应当同对方建立保守计
算机软件商业秘密的协议或合同,以防患于未然。这类情况往往出现在职工因工作调离而发生
泄露计算机软件商业秘密行为,以及单位之间未履行保守计算机软件商业秘密义务等。
4.“第三人”明知故犯。所谓“第三人”,是指计算机软件商业秘密知情者以外的人。当
第三人明明知道或者应该知道计算机软件商业秘密知情者的违法行为时,不制止、不向有关执
法机关举报,反而获取、使用或者披露他人计算机软件的商业秘密,则其行为被视为侵犯计算
机软件的商业秘密。
(二)计算机软件商业秘密的法律保护。《中华人民共和国反不正当竞争法》于1993年12
月1日实施。这对制止不正当竞争,维护我国的经济秩序,保障社会主义市场经济的健康发
展,鼓励和保护公平竞争,保护经营者和消费者的合法权益,都提供了法律保证,对我国计算
机软件产业的健康发展同样具有积极的意义。
计算机软件中包含“商业秘密”是引用《反不正当竞争法》的必要条件。对于构成商业秘
密的,该法有明确规定:该项商业秘密不为公众所知悉,即具有“新颖性”;该秘密能够为权
利人带来经济效益,即具有“价值性”;该秘密已被其权利人采取了保密措施加以保守,即具
有“保密性”。
计算机软件的商业秘密的实际界定是麻烦的,实施法律保护也非常困难。鉴于计算机软件
商业秘密的重要性,在国内外的许多软件开发、销售合同或者合作与交流的技术合同中、通常
都要求对有关技术实施保密的条款,以便有效地保护权利人的商业秘密。
(三)侵犯计算机软件商业秘密的法律责任。根据中国《反不正当竞争法》的规定,计算
1.侵权者的行政法律责任。构成侵犯计算机离业秘密的,国家监督检查部门将首先责令
侵权者停止违法行为,并根据侵权的情节,依法对侵权者处以1万元以上20万元以下的罚款。
2.侵权者的民事责任。作为计算机软件商业秘密的侵权者,其侵害行为对权利人的经营
造成经济损失的,侵害者应当承担经济损害赔偿的民事法律责任。当计算机软件权利人的经营
损失难以计算时,其赔偿数额为侵权者在侵权期间因侵权而获得的利润,侵权者还要承担被侵
权者因调查该侵权者侵害其合法利益的不正当竞争行为所支付的费用。对此,被侵权者为维护
自己的合法利益,可以向人民法院提起民事诉讼,请求禁止侵权者的侵害行为并请求获得合理
的经济赔偿。
11.5有关计算机犯罪热点问题探讨
刑法作为一种规范性调整手段,其产生具有滞后性。它通常总是在某一危害社会的行为已
经不为社会主体意志所容纳,并且其他法律已经无法调整时,作为一种带有痛苦色彩的强制性
最后调整手段出现的。这一点对于计算机犯罪也是如此。通常情况下,刑法本身的发展必然落
后于技术的发展,社会总是等技术的普及和应用已经达到一定程度,其扭曲使用已对社会产生
一定的危害,提出一定的挑战并且往往是出现无法解决的问题时,才制定并借助于刑法来解决
问题。从这个角度来讲,目前大多数国家防治计算机犯罪的法律都是不健全的。例如我国《刑
法》仅在第285条和第286条分别规定了非法侵人计算机信息系统罪和破坏计算机信息系统
罪,这远远不能涵盖形形色色的危害计算机信息安全的犯罪行为,在具体适用中存在一些难以
解决的问题。因此我们认为,应对现行刑法有关条款进行修改并增加一些有关计算机犯罪的罪
216209
名,以便更有效地预防和打击计算机犯罪。另外,在诉讼程序上也是如此。例如计算机记录不
能作为证据导致了在许多国家此类犯罪得不到应有的惩治。
有效执法机构和高素质计算机执法人员的缺乏、国际间合作和协调的不可行性等问题,致
使在预防、控制、侦破和制裁计算机犯罪方面困难重重。当前我国计算机犯罪虽然发案率较
低,也未出现全面扩大之势,但随着计算机在我国的迅速普及和网络联接的逐步社会化,可以
预料在今后5至10年内,计算机犯罪的发案率将大量发生,有可能成为社会危害性极大的一
种犯罪。结合国外计算机犯罪的发展历程以及我国计算机犯罪现状、司法现状及有关的法律法
此引起与现行法律法规和理论研究现状的一些冲突。具体表现为,导致某些行为无法可依,某
些行为适用原来的刑法理论将不能予以合理的解释。这种法律滞后和理论滞后的问题不仅在中
国存在,其他国家也是如此。根据各国计算机犯罪的现状与司法现状,结合计算机犯罪的发展
趋势,对于以下几个方面的问题进行法律上或者理论的再思考是有意义的。
11.5.1增加一些有关计算机犯罪的罪名
对于司法实践已经出现的某些违法乃至于足以构成犯罪的行为,由于我国刑法未作出特别
规定,将导致无法可依。此种关于计算机犯罪的法条规定的不健全、不完善,将导致对此类行
为无法惩处,以至于轻纵犯罪人。现时期司法实践中所大量发生的,并且可以预见今后也将大
量存在的此类行为主要有以下几种:
1.非法占用他人计算机存储容量的行为。具体而言,是指秘密地在他人所有的计算机存
储介质上非法存储文件、数据和应用程序等行为,此类行为虽末给计算机所有人造成任何损
失,但是却是对他人所有权的一种侵害。
2.盗窃计算机软件、数据罪。盗窃计算机软件数据罪,是指秘密窃取计算机系统内部数
据的犯罪。这种犯罪是以非法侵人计算机系统为手段,以窃取计算机系统内部数据为目的的行
为。首先,计算机系统内部的数据,有些是属于知识产权的软件,有些是属于商业秘密的资
料,有些则是属于国家秘密,窃取这些数据的行为,都可以适用相应罪名来加以处罚。但是,
计算机系统中还有相当一部分数据并不属于以上的内容却有广泛的知识性,如果没有使用价
值,行为人就不会去盗窃它,其中有些数据对所有人来说可能是多年呕心沥血创造的知识,具
有十分重要的价值。数据是信息,信息是无形的资源和财富,而且比有形财富更为珍贵。从知
识经济的角度上考虑,窃取这些数据的行为也应该规定为犯罪,否则就会造成盗窃物质财富构
成犯罪,而盗窃知识财富不构成犯罪的畸形状态。其次,虽然这些数据似乎同一般的文字资料
非常相似,但是由于计算机系统的特点,它能够储存大量的数据,这样的数据是一般的单项资
料所不具有的。收集这些数据要花费大量的成本,而大量数据的集合就具有少量的数据所不具
有的特点,它们在系统内部的有机组合,还会产生新的信息,创造出更加重要的知识,呈现出
比物质财产更大的价值。再次,数据作为一种知识财富,它又与物质财富不同,行为人盗窃了
物质财富,原主就失去对它的控制和占有,而盗窃数据并不使其所有人对它失去控制和占有,
因此,盗窃数据行为的社会危害性应当说轻于盗窃物质财富,不可按普通的盗窃罪适用刑罚,
如果将其规定为犯罪,则应单列罪名并配置轻于普通盗窃罪的法定刑。
在现行刑法中窃用计算机信息系统的行为并未受到应有的重视。根据《刑法》第265条规
210217
定:“以牟利为目的,盗接他人通信线路、复制他人电信号码或者明知是盗接、复制的电信设
备、设施而使用的,依照第264条盗窃罪的规定定罪处罚。”窃取使用计算机信息系统同窃用
通信系统一样,都是窃用这些设备提供的服务。服务可以是一种有价值的东西,但是它和一般
的财产具有不同的性质,它的价值只有在使用者享受这种服务时才体现出来,并且价值的大小
算机信息系统的安全保护和管理制度。然而,在现行刑法中并未对这种危害行为作出规定,这
对于打击计算机犯罪极为不利。例如,1998年7月上海市某高校应届毕业生杨×因非法侵人
“上海热线”信息网被公安机关抓获,后以“破坏计算机信息系统罪”的罪名被逮捕。对于本
案的定性,我们赞成这样的观点:首先,在该案中,杨x侵人的“上海热线”是网络服务商
(ISP)的信息系统,不属于国家事务、国防建设、尖端科学技术领域。因此其行为不构成刑法
第285条规定的非法侵人计算机信息系统罪;其次,杨×仅实施了非法侵入的行为,并没有构
成刑法第286条规定的破坏计算机信息系统罪三种情况中的任何一种,因此也不构成破坏计算
机信息系统罪;再次,杨x的行为也不构成刑法第265条规定的盗窃罪。据此,该学者认为,
根据罪刑法定原则,杨x的行为并不构成犯罪。鉴于以上分析,我们认为,应当在刑法中将窃
取计算机信息系统服务的行为规定为犯罪。由于计算机信息系统服务与通信均属于信息产业
可以将窃用计算机信息系统与窃用通信系统放在一起来规定,这样可以避免司法实践中的困
难,尤其是在认定盗窃数额问题上的困难。因此建议将《刑法》第265条修改为:“以牟利为
目的,盗接他人通信线路、盗用因特网终端设备及账号、窃取复制他人电信号码或计算机账号
或者明知是盗接、复制的电信设备设施而使用的,依照本法第264条的规定定罪处罚。”
4.传授犯罪方法。利用计算机犯罪者通常都有一种显示技能的渴望,因而利用计算机传
授犯罪方法尤其是传授计算机犯罪的犯罪方法在各国都大量存在,我国也不例外。例如199%
攻击者是超想电脑技术开发公司何肇光向公告栏上发送信息,要求得到超级用户的口令,以及
在不是超级用户的前提下,如何成为超级用户。何的要求提出后,就有多人将帮助信息发送到
网上,供何参考使用。何通过自己设置的账号破译口令,攻击系统。对于此类行为,根据目前
的刑法理论,可以直接以传授犯罪方法罪追究刑事责任。但是,如果行为人是针对不特定人的
提供犯罪工具,换言之,在网络中如果行为人是向不特定的多数人提供犯罪工具,是否还应当
以传播犯罪方法罪处罚此种情况较为常见,因为在互联网络中大量存在的免费提供针对某一
软件的盗版工具,或者针对不特定软件的解密工具等犯罪工具的行为就属于此种情形。例如,
1992年初,一个名叫达克·埃文格(意为“恶意的复仇者”)的人,向社会发行了他研究的一
种“变形器”。换言之,这是一种公然教唆进行计算机犯罪的辅助性工具,因为它可以在计算
机上指示病毒编制如何利用多形性技术,从而设计出更新的更难消除的多形病毒,而且,作为
示范,他已经运用这个“变形器”生产了第一种病毒PONGE(波格),并于1992年1月投放市
场。这种病毒竟使大多数病毒扫描程序对它毫无办法。对于埃文格所提供的“变形器”,技术
旁人不一定采用他所教授的方法,仅仅只沿着“多形性技术”这种全新思路的启发走下去,后
果也是相当严重的。而从法律角度来看,埃文格的行为造成了事实难题:此种面向不特定多数
人的提供犯罪工具的行为,在法律上应当如何定性和处理呢
5.增设单位计算机犯罪。我国刑法目前未规定单位可以构成计算机犯罪,但是在司法实
践中确实存在各种各样的由单位实施的计算机犯罪的情况,而且类型与形态都日趋多样化和复
杂化。因而完善现行刑事立法,增设单位可以构成计算机犯罪的规定,是现实的需要。
218211
对于上述几种行为的处理,有的虽然可以通过扩张解释加以处理,例如对于窃用计算机时
间的行为,但是最终解决这一问题,却应当是通过立法完善而非司法补充。
11.5.2刑罚种类的创新
从司法实践中发生的案例来看,计算机犯罪除了本身难以查证外,其犯罪人往往对此种方
法具有迷恋性,因而仅仅是事后性的惩罚往往难以阻止其再次犯罪。例如瑞福金一案,犯罪人
被拘押判决的过程中,尽管表示已经认识到自己行为的违法性并真诚悔过,但是还是禁不住再
次利用计算机盗窃了数千万美元。因而对于此类犯罪引入新的资格刑,或者说规定某些与使用
计算机有关的保安处分,可能是一种比较好的选择。这一处理方式在某些国家已有先例。笔者
赞同此种方式。而对于各种利用计算机实施传统性犯罪的行为适用资格刑,也可能更为有效起
到特殊预防的效果。例如美国佛罗里达州的一位地方法官不久前判处一名从事网上儿童色情作
案的犯罪嫌疑犯5000美元和五年缓刑,并禁止他在缓刑期间享受任何网上服务行为。
11.5.3行为人低年龄化对于刑事责任年龄制度的影响
根据我国刑法规定,已满16周岁的人犯罪、应当负刑事责任;已满14周岁不满16周岁
的人,犯故意杀人、故意伤害致人重伤或者死亡、强奸、抢劫、贩卖毒品、放火、爆炸、投毒
罪的,应当负刑事责任。
而计算机犯罪低龄化的趋势,使得未成年人实施计算机犯罪行为的现象大量增加,从英国
15岁的少年米尼克“侵人”美国国防部计算机系统,到美国空军网站遭到15岁少年入侵,各
国所谓的“计算机神童”犯罪不断涌现。对于此类造成严重损失、对社会秩序造成严重冲击的
犯罪,适当下调刑事责任年龄,也许是值得考虑的事情。因为对于此类犯罪人因年龄偏低无法
惩处,在国外已成为一个刺激少年人实施同类行为的一个因素。
11.5.4无国界犯罪所引起的管辖问题
在国际互联网络消除了社会界限与国境线的同时,计算机犯罪也随之撰脱了国境线。通过
国际互联网络实施计算机犯罪行为的人数猛增,跨国犯罪在所有的计算机空间犯罪中所占的比
例越来越高。例如,几名前联邦德国的学生通过国际互联网络进入美国国防部为克格勃窃取军
行为在网络空间上同时跨越了几个国家,因此毫无疑问造成了刑事管辖的冲突。
网络型的跨国犯罪对于传统的刑法理论在许多方面造成了冲击。例如“抽象”越境犯罪的
管辖问题。所谓“抽象”越境,是指行为人本身或者其犯罪行为并未在某一国家的领域内实
施,而只是在互联网络上以信号或者数据传输方式跨越了某国国境。例如上述所举案例。对于
此类犯罪行为,被越境国(如上述案件中的日本)是否有管辖权,是一个尚待研究的问题。如
果认为有管辖权,那么对于刑事管辖权理论将是一个彻底的冲击;如果认为没有管辖权,那么
对于“当罪犯轻易地强制进入计算机终端位于自己国家领土内而数据库位于国外的程序时”,
是否进行管辖呢根据我国刑法理论及刑法典规定,犯罪行为或者犯罪结果有一项发生在我国
领域内的,认为是在中国领域内犯罪。但对于此类犯罪行为并未发生在中国领域内,而行为在
空间上穿越了中国领域的,是否有管辖权这是应当再思考的一个问题。这好比这样一个案
例,一个人在中国领域内开枪打死了处于中国领域外的一个人,或者是在中国领域外开枪打死
212219
了处于中国领域内的一个人,那么中国司法机关根据我国刑法规定显然有管辖权。但是若是行
为人某甲在A国开枪,子弹穿越中国领域而打死了处于B国的受害人某乙,那么中国司法机
关是否对此案有管辖权呢更何况计算机网络上的穿越,只是信号与数据传输的穿越,而非
“子弹”这种物质实体的穿越。
网络犯罪的其他许多问题,例如犯罪地的确定等,也有不同于传统刑法的方面。
11.5.5犯罪类型归属的调整
随着全社会对计算机及网络使用的广泛化和依赖性的增加,计算机犯罪的社会危害性将变
得的越来越大,因而也将越来越具有危害公共安全的性质。将计算机犯罪的部分罪种由妨害社
会管理秩序罪这一犯罪群调整至危害公共安全罪这一犯罪群,或者在危害公共安全罪一章中设
立有关计算机犯罪的独立罪种,将随着社会的发展变得越来越有必要。这样,更有利于公众对
计算机犯罪危害的认识,同时从法律的角度加大对此类犯罪的打击力度。
11.5.6增设强制报案制度
由于大部分计算机犯罪发生于金融或者机要部门,出于浓厚的隐讳意识,因而受害人往往
即使发现了计算机犯罪,也往往隐瞒下来控制外传,自行处理而不向有关执法机关报案。例
如,美国纽约花旗银行是1997年惟一一家报告了受“黑客”攻击损失情况的公司,但是它立
即就发现它的最大的20家客户成了其他竞争对手拉拢的目标,竞争对手宣称它们的银行比花
旗银行更为“安全”。不得不承认的是,此种拒不报案的姑息养奸的做法已经使得计算机犯罪
更为猖獗。美国联邦调查局1996年的一次调查显示,42%的被调查企业承认在过去的12个月
中曾遭受计算机犯罪的侵害。另外,应当注意的是,计算机犯罪行为的实施者已经觉察到了这
一情况,因而企业所奉行的拒不报案原则已经在司法实践中引发了更为严重的后续性犯罪。例
如,基于银行、保险公司、财政机构因害怕损害它们的信誉,而总是不乐意说明其遭受的损
失,甚至不愿说出其遭受过计算机犯罪的侵害的事实情况。在计算机网络上,犯罪分子探索到
他们认为是有“价值”的信息后,就向信息的管理者通常是大公司或者大银行发出威胁,
扬言如果不定期给他们送钱,公司的计算机资料就会遭到破坏,或者被植入计算机病毒;或者
重要的资料将被销毁、转移或者泄露,这实质上已经转变成了赤裸裸的敲诈。而根据英国统
计,英国许多大公司每年得支付给计算机网络上的犯罪分子以巨额资金,以求保护自己的网络
软件系统不被破坏。尽管有的采取将计算机犯罪分子引到自己的竞争对手那里去的方法,有的
采用各种方法将入侵者赶走,但是没有一家公司使用法律武器来保护自己,没有一家公司向司
法机关报案。
《中华人民共和国计算机信息系统安全保护条例》第14条规定:“对计算机信息系统发生
的案件,有关使用单位应当在24小时内向当地县级以上人民政府公安机关报告。”但并未同时
规定违反这一规定应怎么处罚,且《刑诉法》也无相应的规定。基于以上情况,尽快完善刑事
诉讼制度,建立计算机犯罪受害人的“强制报案制度”,则有利于增加计算机犯罪的发现率,
在计算机犯罪危害越来越大的情况下,将有助于惩治与防范此类犯罪。
11.5.7证据类型的增加
我国现行刑事诉讼法第42条规定的证据有七种,即;物证、书证;证人证言;被害人陈
213220
述;犯罪嫌疑人、被告人供述和辩解;鉴定结论;勘验、检查笔录;视听资料。
在上述七种证据类型中,无论怎样理解,计算机电磁记录及命令记录都不可能为任何一种
证据类型所包括。随着计算机犯罪案件的增多,行为人所使用过的操作命令等如何作为证据出
现及使用,将是一个亟待解决的问题。从世界范围内来看,将计算机记录作为证据在诉讼中起
作用,在国外已有立法例子。因而为惩治和防范此类犯罪,不论采取扩大解释还是修改法律,
承认计算机记录的证据效力,已是当务之急。
11.5.8传统刑法理论的更新势在必行
随着传统型犯罪的计算机化的增多,对于某些传统犯罪的刑法理论认识,有再进行研讨的
必要。例如财产性犯罪。对于除故意毁坏财物罪以外的财产犯罪,通常认为应当是以非法占有
为目的,而不论是为本人还是为他人占有。但随着计算机犯罪形式的增多,此类传统型犯罪的
构成特征也发生了若干变化。非牟利的侵犯财产罪大量出现,非牟利的侵犯著作权犯罪也同样
存在。这就使得传统刑法理论无法适用于此类犯罪。这种传统犯罪新型化的现象对传统刑法理
论的冲击将越来越多的出现。
11.5.9引渡与司法协助制度的冲击
到目前为止,由于世界各个国家和地区的计算机使用范围和普及程度高低不同,因而导致
一些国家和地区的计算机犯罪率相对较低,尤其是在计算机使用率较低的国家中,针对本国的
计算机犯罪发生率非常低,通常都是通过计算机网络对他国的计算机系统实施攻击或者实施其
他犯罪行为。这一方面导致计算机犯罪的跨国司法协助制度和引渡制度的建立与完善显得越来
越重要,另一方面也显示了一个实际难题,即一些国家将计算机犯罪明确加以规定,而另一些
国家则根本不承认计算机犯罪。这显然使得引渡或者跨国的司法协助难度大大增加。例如,保
加利亚的计算机普及程度与使用率并不是非常高,但是保加利亚的计算机病毒制造与传播则名
318种,其中就有76种源于保加利亚。对此,计算机界的同行们公认日本的硬件最硬(质量
过硬)、美国的软件最好,而保加利亚的病毒最毒。对于犯罪人所在国不承认计算机犯罪的,
显然无法追究犯罪人的刑事责任,因而形成实际的司法盲点。例如,1997年巴尔于国家克罗
地亚的三名中学生在Intemet网上利用计算机破译了美国国防部五角大楼的计算机系统密码口
令,侵人美国军事计算机系统,将美军战略导弹部署、军事卫星用途等高度机密文件资料饱览
一遍后从容退出。事后美国向克罗地亚提出引渡三名中学生到美国受审的要求,遭到克罗地亚
方面的拒绝,因为克罗地亚国家刑法不承认计算机人侵为犯罪。
同时应当注意的是,中国刑法典对计算机犯罪的刑罚设置普遍偏低,这也导致对于引渡制
度的实际冲击与阻碍。例如,1997年7月导致我国哈尔滨市和上海市计算机网络遭受破坏的
人侵就是由国外不法分子造成的,据分析可能是来自美国德克萨斯的“黑客”所为,而犯罪地
则在中国境内。根据中国刑法典的规定,此种行为显然应当按中国刑法加以管辖,但是遗憾的
是,中国与美国没有引渡条约而不能引渡。但是这里应当注意的是,即使中国与美国政府存在
双边引渡条约也不能引渡该名罪犯,因为中国刑法辞典对于非法侵人计算机信息系统的法定刑
设置为三年以下有期徒刑。而根据引渡的国际惯例,引渡的条件之一即是行为人所犯的犯罪的
最低刑为三年以上有期徒刑。此种情况表明,中国1997年刑法典在设立非法侵人计算机信息
系统罪的,并没有充分考虑此种犯罪行为的常见跨国性特点。基于此种情况,笔者认为在可能
的条件下应当尽快提高非法侵人计算机信息系统罪的法定刑标准,以严厉打击处于国外的跨国
214221
“黑客”所实施的非法侵入行为。
另外,尽管计算机犯罪日趋猖獗,跨国计算机犯罪大量增加,但是国际社会却尚未制定惩
治与防范此类犯罪的国际公约,而且目前也看不到起草此类公约的任何可能性,因而对于计算
机犯罪的国际惩治面临着严重的困难,有关计算机犯罪定义的立法规定不同将导致各国在惩治
此类犯罪时无法采取一致行动。解决司法冲突、实行选择性的管辖权、避免不同国家的法院裁
决之间的冲突、控告权的移送等问题,都是有待解决的问题。
11.5.10司法滞后所带来的问题
对计算机犯罪进行有效起诉,将计算机犯罪分子绳之以法,一方面使计算机犯罪分子不敢旨
险,另一方面又发挥出一般预防的威慑作用,使计算机犯罪分子受到警戒而不敢轻举妄动。目
前,计算机犯罪有效起诉率非常低,根本原因是司法滞后问题,这主要是针对司法人员的素质落
后而言的。对于计算机犯罪的侦查和审判,显然要求有关司法工作人员掌握一定的计算机专业
知识,这一点就我国大部分司法机关而言,可以说是过高的要求。计算机犯罪的司法滞后问题,
可以说是一个世界性的问题。但其他国家的司法先例值得我们借鉴,可以采取以下措施:
1.加强司法人员的专业训练。刑事案件的侦查成效,取决于侦查人员的素质。由于侦查
计算机犯罪特有的困难,因此,具有专业知识的刑事侦查人员在计算机犯罪的刑事追诉工作中
是决定性的关键人物。对于刑事执法人而言,有关的专业训练,是有效抗制计算机犯罪的先决
条件。在各国的司法实践中,由于司法人员缺乏计算机专业知识,甚至对于已发现的计算机犯
罪案件,往往因为证据不足而前功尽弃。因此,刑事侦查人员除具有参与侦查工作的意愿外,
最重要的是要有现代计算机技术知识的技能。从现有工作人员中挑选出具有工作能力的合格人
员加以专业化的训练,是当前司法机关惩治计算机犯罪的重要举措。
2.建议成立计算机犯罪特别刑警部队。目前,世界上比较发达的国家,纷纷设立计算机
警察或对警察进行计算机专业知识的集中培训。因为计算机犯罪具有特殊性,如果没有技术高
超娴熟的计算机警察进行侦查,根本不可能及时破案。
位于美国佐治亚的美国联邦执法培训中心已经成为培训警察的基地,警察们正在学习怎样
从电子公告牌上发现证据,如何跟踪信用卡欺诈等侦查技术。正如该中心主任所说,“给每个
警察发一个徽章、一支枪和一部便携式计算机的时代马上就要来临。”在德国,为了打击Internet上的犯罪行为,特别设立了网络警察组织,他们仅在1996年一年就查获各类犯罪高达110
例。在英国,伦敦有一家名叫CCV的伦敦警察局犯罪部,专门负责计算机高科技犯罪的侦探
工作,除了应付计算机犯罪之外,还帮助开设计算机调查技术课程以培训警察,并帮助公众排
除因计算机病毒而带来的麻烦,目前该部已经成为欧洲计算机犯罪信息中心。在法国,巴黎警
察分局的信息技术侦察处,有10多位计算机警察,他们都是计算机方面处理存储、传播信息
针对我国目前的计算机犯罪状况及其发展趋势,吸收大量专业技术人员作为司法工作人
员,将对解决司法滞后问题大有帮助。同时,及时有效对所有侦查人员进行计算机专业知识的
培训,也将是当务之急。
222223
附录:中华人民共和国部分与计算机
一:《中华人民共和国刑法》节选
(1997年7月1日第八届全国人民代表大会第五次会议修订通过,1997年10月1日实施)
第二百八十五条违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机
系统的,处三年以下有期徒刑或者拘役。
第二百八十六条违反国家规定,对计算机信息系统的功能进行删除、修改、增加、干
扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特
别严重的,处五年以上有期徒刑。
违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修
改、增加的操作,后果严重的,依照前款的规定处罚。
故意制造、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照
第一款的规定处罚。
第二百八十七条利用计算机实施金融、盗窃、贪污、挪用公款、窃取国家机密或者其他
犯罪的,依照本法有关规定定罪处罚。
二:《中华人民共和国网络安全法》
(第一章总则
第一条为了保障网络安全,维护网络空间主权和国家安全、社会公共利
益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,
制定本法。
第二条在中华人民共和国境内建设、运营、维护和使用网络,以及网络
安全的监督管理,适用本法。
第三条国家坚持网络安全与信息化发展并重,遵循积极利用、科学发展、
依法管理、确保安全的方针,推进网络基础设施建设和互联互通,鼓励网络技
术创新和应用,支持培养网络安全人才,建立健全网络安全保障体系,提高网
络安全保护能力。
223223
第四条国家制定并不断完善网络安全战略,明确保障网络安全的基本要
求和主要目标,提出重点领域的网络安全政策、工作任务和措施。
的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,
依法惩治网络违法犯罪活动,维护网络空间安全和秩序。
第六条国家倡导诚实守信、健康文明的网络行为,推动传播社会主义核
心价值观,采取措施提高全社会的网络安全意识和水平,形成全社会共同参与
促进网络安全的良好环境。
第七条国家积极开展网络空间治理、网络技术研发和标准制定、打击网
络违法犯罪等方面的国际交流与合作,推动构建和平、安全、开放、合作的网
络空间,建立多边、民主、透明的网络治理体系。
国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法
规的规定,在各自职责范围内负责网络安全保护和监督管理工作。
县级以上地方人民政府有关部门的网络安全保护和监督管理职责,按照国
家有关规定确定。
第九条网络运营者开展经营和服务活动,必须遵守法律、行政法规,尊
重社会公德,遵守商业道德,诚实信用,履行网络安全保护义务,接受政府和
社会的监督,承担社会责任。
第十条建设、运营网络或者通过网络提供服务,应当依照法律、行政法
规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络
安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络
数据的完整性、保密性和可用性。
为规范,指导会员加强网络安全保护,提高网络安全保护水平,促进行业健康
发展。
第十二条国家保护公民、法人和其他组织依法使用网络的权利,促进网
络接入普及,提升网络服务水平,为社会提供安全、便利的网络服务,保障网
络信息依法有序自由流动。
任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公
德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,煽动
颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖
主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、
传播虚假信息扰乱经济秩序和社会秩序,以及侵害他人名誉、隐私、知识产权
和其他合法权益等活动。
第十三条国家支持研究开发有利于未成年人健康成长的网络产品和服务,
依法惩治利用网络从事危害未成年人身心健康的活动,为未成年人提供安全、
健康的网络环境。
第十四条任何个人和组织有权对危害网络安全的行为向网信、电信、公
安等部门举报。收到举报的部门应当及时依法作出处理;不属于本部门职责的,
应当及时移送有权处理的部门。
224223
第二章网络安全支持与促进
第十五条国家建立和完善网络安全标准体系。国务院标准化行政主管部
门和国务院其他有关部门根据各自的职责,组织制定并适时修订有关网络安全
管理以及网络产品、服务和运行安全的国家标准、行业标准。
家标准、行业标准的制定。
第十六条国务院和省、自治区、直辖市人民政府应当统筹规划,加大投
入,扶持重点网络安全技术产业和项目,支持网络安全技术的研究开发和应用,
推广安全可信的网络产品和服务,保护网络技术知识产权,支持企业、研究机
构和高等学校等参与国家网络安全技术创新项目。
第十七条国家推进网络安全社会化服务体系建设,鼓励有关企业、机构
开展网络安全认证、检测和风险评估等安全服务。
第十八条国家鼓励开发网络数据安全保护和利用技术,促进公共数据资
源开放,推动技术创新和经济社会发展。
国家支持创新网络安全管理方式,运用网络新技术,提升网络安全保护水
平。
第十九条各级人民政府及其有关部门应当组织开展经常性的网络安全宣
传教育,并指导、督促有关单位做好网络安全宣传教育工作。
大众传播媒介应当有针对性地面向社会进行网络安全宣传教育。
第二十条国家支持企业和高等学校、职业学校等教育培训机构开展网络
流。
第三章网络运行安全
第一节一般规定
第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络
安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网
络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的
技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、
漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管
部门报告。
网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定
或者当事人约定的期限内,不得终止提供安全维护。
225223
网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取
得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个
人信息保护的规定。
强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可
销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和
网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、
检测。
第二十四条网络运营者为用户办理网络接入、域名注册服务,办理固定
与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户
国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技
术,推动不同电子身份认证之间的互认。
第二十五条网络运营者应当制定网络安全事件应急预案,及时处置系统
漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的
事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部
门报告。
第二十六条开展网络安全认证、检测、风险评估等活动,向社会发布系
统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有
关规定。
第二十七条任何个人和组织不得从事非法侵入他人网络、干扰他人网络
正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入
网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程
序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广
告推广、支付结算等帮助。
第二十八条网络运营者应当为公安机关、国家安全机关依法维护国家安
全和侦查犯罪的活动提供技术支持和协助。
第二十九条国家支持网络运营者之间在网络安全信息收集、分析、通报
和应急处置等方面进行合作,提高网络运营者的安全保障能力。
有关行业组织建立健全本行业的网络安全保护规范和协作机制,加强对网
络安全风险的分析评估,定期向会员进行风险警示,支持、协助会员应对网络
安全风险。
第三十条网信部门和有关部门在履行网络安全保护职责中获取的信息,
只能用于维护网络安全的需要,不得用于其他用途。
第二节关键信息基础设施的运行安全
第三十一条国家对公共通信和信息服务、能源、交通、水利、金融、公
共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者
数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,
在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体
范围和安全保护办法由国务院制定。
226223
国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施
保护体系。
第三十二条按照国务院规定的职责分工,负责关键信息基础设施安全保
护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规
划,指导和监督关键信息基础设施运行安全保护工作。
第三十三条建设关键信息基础设施应当确保其具有支持业务稳定、持续
运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。
第三十四条除本法第二十一条的规定外,关键信息基础设施的运营者还
应当履行下列安全保护义务:
(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗
位的人员进行安全背景审查;
(二)定期对从业人员进行网络安全教育、技术培训和技能考核;
(三)对重要系统和数据库进行容灾备份;
(四)制定网络安全事件应急预案,并定期进行演练;
第三十五条关键信息基础设施的运营者采购网络产品和服务,可能影响
国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
第三十六条关键信息基础设施的运营者采购网络产品和服务,应当按照
规定与提供者签订安全保密协议,明确安全和保密义务与责任。
第三十七条关键信息基础设施的运营者在中华人民共和国境内运营中收
集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提
供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;
法律、行政法规另有规定的,依照其规定。
第三十八条关键信息基础设施的运营者应当自行或者委托网络安全服务
机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检
第三十九条国家网信部门应当统筹协调有关部门对关键信息基础设施的
安全保护采取下列措施:
(一)对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必
要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估;
(二)定期组织关键信息基础设施的运营者进行网络安全应急演练,提高
应对网络安全事件的水平和协同配合能力;
(三)促进有关部门、关键信息基础设施的运营者以及有关研究机构、网
络安全服务机构等之间的网络安全信息共享;
(四)对网络安全事件的应急处置与网络功能的恢复等,提供技术支持和
协助。
第四章网络信息安全
第四十条网络运营者应当对其收集的用户信息严格保密,并建立健全用
户信息保护制度。
第四十一条网络运营者收集、使用个人信息,应当遵循合法、正当、必
要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,
并经被收集者同意。
227223
网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行
政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规
的规定和与用户的约定,处理其保存的个人信息。
第四十二条网络运营者不得泄露、篡改、毁损其收集的个人信息;未经
被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人
且不能复原的除外。
网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安
全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、
丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管
第四十三条个人发现网络运营者违反法律、行政法规的规定或者双方的
约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网
络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。
网络运营者应当采取措施予以删除或者更正。
第四十四条任何个人和组织不得窃取或者以其他非法方式获取个人信息,
不得非法出售或者非法向他人提供个人信息。
第四十五条依法负有网络安全监督管理职责的部门及其工作人员,必须
对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售
或者非法向他人提供。
第四十六条任何个人和组织应当对其使用网络的行为负责,不得设立用
于实施诈骗,传授犯罪方法,制作或者销售违禁物品、管制物品等违法犯罪活
动的网站、通讯群组,不得利用网络发布涉及实施诈骗,制作或者销售违禁物
品、管制物品以及其他违法犯罪活动的信息。
第四十七条网络运营者应当加强对其用户发布的信息的管理,发现法律、
行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等
处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。
第四十八条任何个人和组织发送的电子信息、提供的应用软件,不得设
置恶意程序,不得含有法律、行政法规禁止发布或者传输的信息。
电子信息发送服务提供者和应用软件下载服务提供者,应当履行安全管理
义务,知道其用户有前款规定行为的,应当停止提供服务,采取消除等处置措
施,保存有关记录,并向有关主管部门报告。
第四十九条网络运营者应当建立网络信息安全投诉、举报制度,公布投
诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。
网络运营者对网信部门和有关部门依法实施的监督检查,应当予以配合。
第五十条国家网信部门和有关部门依法履行网络信息安全监督管理职责,
发现法律、行政法规禁止发布或者传输的信息的,应当要求网络运营者停止传
述信息,应当通知有关机构采取技术措施和其他必要措施阻断传播。
第五章监测预警与应急处置
第五十一条国家建立网络安全监测预警和信息通报制度。国家网信部门
应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统
一发布网络安全监测预警信息。
228223
第五十二条负责关键信息基础设施安全保护工作的部门,应当建立健全
本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安
全监测预警信息。
第五十三条国家网信部门协调有关部门建立健全网络安全风险评估和应
急工作机制,制定网络安全事件应急预案,并定期组织演练。
负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网
络安全事件应急预案,并定期组织演练。
网络安全事件应急预案应当按照事件发生后的危害程度、影响范围等因素
对网络安全事件进行分级,并规定相应的应急处置措施。
第五十四条网络安全事件发生的风险增大时,省级以上人民政府有关部
门应当按照规定的权限和程序,并根据网络安全风险的特点和可能造成的危害,
采取下列措施:
(一)要求有关部门、机构和人员及时收集、报告有关信息,加强对网络
安全风险的监测;
(二)组织有关部门、机构和专业人员,对网络安全风险信息进行分析评
估,预测事件发生的可能性、影响范围和危害程度;
(三)向社会发布网络安全风险预警,发布避免、减轻危害的措施。
第五十五条发生网络安全事件,应当立即启动网络安全事件应急预案,
对网络安全事件进行调查和评估,要求网络运营者采取技术措施和其他必要措
施,消除安全隐患,防止危害扩大,并及时向社会发布与公众有关的警示信息。
第五十六条省级以上人民政府有关部门在履行网络安全监督管理职责中,
发现网络存在较大安全风险或者发生安全事件的,可以按照规定的权限和程序
对该网络的运营者的法定代表人或者主要负责人进行约谈。网络运营者应当按
照要求采取措施,进行整改,消除隐患。
第五十七条因网络安全事件,发生突发事件或者生产安全事故的,应当
依照《中华人民共和国突发事件应对法》、《中华人民共和国安全生产法》等
有关法律、行政法规的规定处置。
第五十八条因维护国家安全和社会公共秩序,处置重大突发社会安全事件
的需要,经国务院决定或者批准,可以在特定区域对网络通信采取限制等临时
措施。
第六章法律责任
第五十九条网络运营者不履行本法第二十一条、第二十五条规定的网络
安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危
害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员
处五千元以上五万元以下罚款。
关键信息基础设施的运营者不履行本法第三十三条、第三十四条、第三十
六条、第三十八条规定的网络安全保护义务的,由有关主管部门责令改正,给
予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以
下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。
第六十条违反本法第二十二条第一款、第二款和第四十八条第一款规定,
有下列行为之一的,由有关主管部门责令改正,给予警告;拒不改正或者导致
229223
危害网络安全等后果的,处五万元以上五十万元以下罚款,对直接负责的主管
人员处一万元以上十万元以下罚款:
(一)设置恶意程序的;
(二)对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施,
或者未按照规定及时告知用户并向有关主管部门报告的;
(三)擅自终止为其产品、服务提供安全维护的。
第六十一条网络运营者违反本法第二十四条第一款规定,未要求用户提
主管部门责令改正;拒不改正或者情节严重的,处五万元以上五十万元以下罚
关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员
处一万元以上十万元以下罚款。
第六十二条违反本法第二十六条规定,开展网络安全认证、检测、风险
评估等活动,或者向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等
网络安全信息的,由有关主管部门责令改正,给予警告;拒不改正或者情节严
责的主管人员和其他直接责任人员处五千元以上五万元以下罚款。
第六十三条违反本法第二十七条规定,从事危害网络安全的活动,或者
提供专门用于从事危害网络安全活动的程序、工具,或者为他人从事危害网络
公安机关没收违法所得,处五日以下拘留,可以并处五万元以上五十万元以下
罚款;情节较重的,处五日以上十五日以下拘留,可以并处十万元以上一百万
元以下罚款。
单位有前款行为的,由公安机关没收违法所得,处十万元以上一百万元以
下罚款,并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。
违反本法第二十七条规定,受到治安管理处罚的人员,五年内不得从事网
络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员,终身不得从事
网络安全管理和网络运营关键岗位的工作。
第六十四条网络运营者、网络产品或者服务的提供者违反本法第二十二
条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利
的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所
得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚
款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;
许可证或者吊销营业执照。
违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者
非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处
违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。
第六十五条关键信息基础设施的运营者违反本法第三十五条规定,使用
未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责
230223
令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其
他直接责任人员处一万元以上十万元以下罚款。
第六十六条关键信息基础设施的运营者违反本法第三十七条规定,在境
外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给
予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相
接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
第六十七条违反本法第四十六条规定,设立用于实施违法犯罪活动的网
站、通讯群组,或者利用网络发布涉及实施违法犯罪活动的信息,尚不构成犯
罪的,由公安机关处五日以下拘留,可以并处一万元以上十万元以下罚款;情
节较重的,处五日以上十五日以下拘留,可以并处五万元以上五十万元以下罚
款。关闭用于实施违法犯罪活动的网站、通讯群组。
单位有前款行为的,由公安机关处十万元以上五十万元以下罚款,并对直
接负责的主管人员和其他直接责任人员依照前款规定处罚。
第六十八条网络运营者违反本法第四十七条规定,对法律、行政法规禁
止发布或者传输的信息未停止传输、采取消除等处置措施、保存有关记录的,
由有关主管部门责令改正,给予警告,没收违法所得;拒不改正或者情节严重
其他直接责任人员处一万元以上十万元以下罚款。
电子信息发送服务提供者、应用软件下载服务提供者,不履行本法第四十
八条第二款规定的安全管理义务的,依照前款规定处罚。
第六十九条网络运营者违反本法规定,有下列行为之一的,由有关主管
部门责令改正;拒不改正或者情节严重的,处五万元以上五十万元以下罚款,
对直接负责的主管人员和其他直接责任人员,处一万元以上十万元以下罚款:
(一)不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息,
采取停止传输、消除等处置措施的;
(二)拒绝、阻碍有关部门依法实施的监督检查的;
(三)拒不向公安机关、国家安全机关提供技术支持和协助的。
第七十条发布或者传输本法第十二条第二款和其他法律、行政法规禁止
发布或者传输的信息的,依照有关法律、行政法规的规定处罚。
第七十一条有本法规定的违法行为的,依照有关法律、行政法规的规定
记入信用档案,并予以公示。
第七十二条国家机关政务网络的运营者不履行本法规定的网络安全保护
义务的,由其上级机关或者有关机关责令改正;对直接负责的主管人员和其他
直接责任人员依法给予处分。
第七十三条网信部门和有关部门违反本法第三十条规定,将在履行网络
安全保护职责中获取的信息用于其他用途的,对直接负责的主管人员和其他直
接责任人员依法给予处分。
网信部门和有关部门的工作人员玩忽职守、滥用职权、徇私舞弊,尚不构
成犯罪的,依法给予处分。
第七十四条违反本法规定,给他人造成损害的,依法承担民事责任。
231223
违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成
犯罪的,依法追究刑事责任。
第七十五条境外的机构、组织、个人从事攻击、侵入、干扰、破坏等危
害中华人民共和国的关键信息基础设施的活动,造成严重后果的,依法追究法
律责任;国务院公安部门和有关部门并可以决定对该机构、组织、个人采取冻
结财产或者其他必要的制裁措施。
第七章附则
第七十六条本法下列用语的含义:
的规则和程序对信息进行收集、存储、传输、交换、处理的系统。
(二)网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干
扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保
障网络数据的完整性、保密性、可用性的能力。
(三)网络运营者,是指网络的所有者、管理者和网络服务提供者。
(四)网络数据,是指通过网络收集、存储、传输、处理和产生的各种电
子数据。
(五)个人信息,是指以电子或者其他方式记录的能够单独或者与其他信
息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日
第七十七条存储、处理涉及国家秘密信息的网络的运行安全保护,除应
当遵守本法外,还应当遵守保密法律、行政法规的规定。
第七十八条军事网络的安全保护,由中央军事委员会另行规定。
第七十九条本法自2017年6月1日起施行。
三:《中华人民共和国信息安全法》
第一章总则
第一条为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,
维护国家主权、安全和发展利益,制定本法。
第二条在中华人民共和国境内开展数据处理活动及其安全监管,适用本法。
在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组
织合法权益的,依法追究法律责任。
第三条本法所称数据,是指任何以电子或者其他方式对信息的记录。
数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。
数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续
安全状态的能力。
第四条维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保
障能力。
第五条中央国家安全领导机构负责国家数据安全工作的决策和议事协调,研究制定、指导实施国
家数据安全战略和有关重大方针政策,统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全
工作协调机制。
232223
第六条各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。
工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据
安全监管职责。
公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安
全监管职责。
第七条国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序
自由流动,促进以数据为关键要素的数字经济发展。
第八条开展数据处理活动,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道
德,诚实守信,履行数据安全保护义务,承担社会责任,不得危害国家安全、公共利益,不得损害个人、
组织的合法权益。
第九条国家支持开展数据安全知识宣传普及,提高全社会的数据安全保护意识和水平,推动有关
部门、行业组织、科研机构、企业、个人等共同参与数据安全保护工作,形成全社会共同维护数据安全和
促进发展的良好环境。
员加强数据安全保护,提高数据安全保护水平,促进行业健康发展。
第十一条国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作,参与数据安全相
关国际规则和标准的制定,促进数据跨境安全、自由流动。
第十二条任何个人、组织都有权对违反本法规定的行为向有关主管部门投诉、举报。收到投诉、
举报的部门应当及时依法处理。
第二章数据安全与发展
第十三条国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障
数据开发利用和产业发展。
第十四条国家实施大数据战略,推进数据基础设施建设,鼓励和支持数据在各行业、各领域的创
新应用。
省级以上人民政府应当将数字经济发展纳入本级国民经济和社会发展规划,并根据需要制定数字经
济发展规划。
第十五条国家支持开发利用数据提升公共服务的智能化水平。提供智能化公共服务,应当充分考
虑老年人、残疾人的需求,避免对老年人、残疾人的日常生活造成障碍。
第十六条国家支持数据开发利用和数据安全技术研究,鼓励数据开发利用和数据安全等领域的技
术推广和商业创新,培育、发展数据开发利用和数据安全产品、产业体系。
第十七条国家推进数据开发利用技术和数据安全标准体系建设。国务院标准化行政主管部门和国
国家支持企业、社会团体和教育、科研机构等参与标准制定。
第十八条国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业
机构依法开展服务活动。
国家支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防
范、处置等方面开展协作。
第十九条国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场。
采取多种方式培养数据开发利用技术和数据安全专业人才,促进人才交流。
第三章数据安全制度
第二十一条国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦
遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的
危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,
加强对重要数据的保护。
233223
关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格
的管理制度。
数据具体目录,对列入目录的数据进行重点保护。
第二十二条国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。
国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。
第二十三条国家建立数据安全应急处置机制。发生数据安全事件,有关主管部门应当依法启动应
急预案,采取相应的应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示
信息。
第二十四条国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家
安全审查。
依法作出的安全审查决定为最终决定。
口管制。
第二十六条任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人
民共和国采取歧视性的禁止、限制或者其他类似措施的,中华人民共和国可以根据实际情况对该国家或者
地区对等采取措施。
第四章数据安全保护义务
第二十七条开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,
组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网
络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
第二十八条开展数据处理活动以及研究开发数据新技术,应当有利于促进经济社会发展,增进人
民福祉,符合社会公德和伦理。
第二十九条开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即
采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门
报告。
第三十条重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部
门报送风险评估报告。
风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全
风险及其应对措施等。
第三十一条关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出
境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中
收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。
第三十二条任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方
式获取数据。
法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范
围内收集、使用数据。
易双方的身份,并留存审核、交易记录。
法取得许可。
第三十五条公安机关、国家安全机关因依法维护国家安全或者侦查犯罪的需要调取数据,应当按
照国家有关规定,经过严格的批准手续,依法进行,有关组织、个人应当予以配合。
第三十六条中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、
协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主
管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。
第五章政务数据安全与开放
234223
第三十七条国家大力推进电子政务建设,提高政务数据的科学性、准确性、时效性,提升运用数
据服务经济社会发展的能力。
第三十八条国家机关为履行法定职责的需要收集、使用数据,应当在其履行法定职责的范围内依
照法律、行政法规规定的条件和程序进行;对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密
商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供。
第三十九条国家机关应当依照法律、行政法规的规定,建立健全数据安全管理制度,落实数据安
全保护责任,保障政务数据安全。
第四十条国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,应当经过严格的批
准程序,并应当监督受托方履行相应的数据安全保护义务。受托方应当依照法律、法规的规定和合同约定
履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据。
第四十一条国家机关应当遵循公正、公平、便民的原则,按照规定及时、准确地公开政务数据。
依法不予公开的除外。
第四十二条国家制定政务数据开放目录,构建统一规范、互联互通、安全可控的政务数据开放平
台,推动政务数据开放利用。
适用本章规定。
第四十四条有关主管部门在履行数据安全监管职责中,发现数据处理活动存在较大安全风险的,
可以按照规定的权限和程序对有关组织、个人进行约谈,并要求有关组织、个人采取措施进行整改,消除
隐患。
第四十五条开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定
的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,
对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数
关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下
罚款。
违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上
构成犯罪的,依法追究刑事责任。
第四十六条违反本法第三十一条规定,向境外提供重要数据的,由有关主管部门责令改正,给予
警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元
一百万元以下罚款。
第四十七条从事数据交易中介服务的机构未履行本法第三十三条规定的义务的,由有关主管部门
责令改正,没收违法所得,处违法所得一倍以上十倍以下罚款,没有违法所得或者违法所得不足十万元的,
业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
第四十八条违反本法第三十五条规定,拒不配合数据调取的,由有关主管部门责令改正,给予警
告,并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元
以下罚款。
违反本法第三十六条规定,未经主管机关批准向外国司法或者执法机构提供数据的,由有关主管部
门给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处
五万元以上五十万元以下罚款。
第四十九条国家机关不履行本法规定的数据安全保护义务的,对直接负责的主管人员和其他直接
责任人员依法给予处分。
235223
第五十条履行数据安全监管职责的国家工作人员玩忽职守、滥用职权、徇私舞弊的,依法给予处
分。
第五十一条窃取或者以其他非法方式获取数据,开展数据处理活动排除、限制竞争,或者损害个
人、组织合法权益的,依照有关法律、行政法规的规定处罚。
第五十二条违反本法规定,给他人造成损害的,依法承担民事责任。
违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责
任。
第五十三条开展涉及国家秘密的数据处理活动,适用《中华人民共和国保守国家秘密法》等法律、
行政法规的规定。
在统计、档案工作中开展数据处理活动,开展涉及个人信息的数据处理活动,还应当遵守有关法律、
第五十四条军事数据安全保护的办法,由中央军事委员会依据本法另行制定。
第五十五条本法自2021年9月1日起施行。
四:《网络安全审查办法》
(第一条为了确保关键信息基础设施供应链安全,保障网络安全和数据安全,维护
国家安全,根据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》、《中
华人民共和国数据安全法》、《关键信息基础设施安全保护条例》,制定本办法。
第二条关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处
理活动,影响或者可能影响国家安全的,应当按照本办法进行网络安全审查。
前款规定的关键信息基础设施运营者、网络平台运营者统称为当事人。
第三条网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正
透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合,
从产品和服务以及数据处理活动安全性、可能带来的国家安全风险等方面进行审查。
第四条在中央网络安全和信息化委员会领导下,国家互联网信息办公室会同中华人
民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安
部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国
人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家
保密局、国家密码管理局建立国家网络安全审查工作机制。
范,组织网络安全审查。
236223
第五条关键信息基础设施运营者采购网络产品和服务的,应当预判该产品和服务投
入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查
办公室申报网络安全审查。
关键信息基础设施安全保护工作部门可以制定本行业、本领域预判指南。
第六条对于申报网络安全审查的采购活动,关键信息基础设施运营者应当通过采购
文件、协议等要求产品和服务提供者配合网络安全审查,包括承诺不利用提供产品和服务
的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或
者必要的技术支持服务等。
第七条掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全
审查办公室申报网络安全审查。
第八条当事人申报网络安全审查,应当提交以下材料:
(一)申报书;
(二)关于影响或者可能影响国家安全的分析报告;
(三)采购文件、协议、拟签订的合同或者拟提交的首次公开募股(IPO)等上市申请
文件;
(四)网络安全审查工作需要的其他材料。
第九条网络安全审查办公室应当自收到符合本办法第八条规定的审查申报材料起10
个工作日内,确定是否需要审查并书面通知当事人。
(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的
风险;
(二)产品和服务供应中断对关键信息基础设施业务连续性的危害;
及因为政治、外交、贸易等因素导致供应中断的风险;
(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况;
(五)核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非
法出境的风险;
(六)上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政
府影响、控制、恶意利用的风险,以及网络信息安全风险;
237223
(七)其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。
第十一条网络安全审查办公室认为需要开展网络安全审查的,应当自向当事人发出
书面通知之日起30个工作日内完成初步审查,包括形成审查结论建议和将审查结论建议发
日。
起15个工作日内书面回复意见。
形式将审查结论通知当事人;意见不一致的,按照特别审查程序处理,并通知当事人。
意见,进行深入分析评估,再次形成审查结论建议,并征求网络安全审查工作机制成员单
通知当事人。
第十四条特别审查程序一般应当在90个工作日内完成,情况复杂的可以延长。
第十五条网络安全审查办公室要求提供补充材料的,当事人、产品和服务提供者应
第十六条网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产
品和服务以及数据处理活动,由网络安全审查办公室按程序报中央网络安全和信息化委员
会批准后,依照本办法的规定进行审查。
为了防范风险,当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的
作中知悉的商业秘密、个人信息,当事人、产品和服务提供者提交的未公开材料,以及其
他未公开信息承担保密义务;未经信息提供方同意,不得向无关方披露或者用于审查以外
的目的。
第十八条当事人或者网络产品和服务提供者认为审查人员有失客观公正,或者未能
对审查工作中知悉的信息承担保密义务的,可以向网络安全审查办公室或者有关部门举报。
第十九条当事人应当督促产品和服务提供者履行网络安全审查中作出的承诺。
网络安全审查办公室通过接受举报等形式加强事前事中事后监督。
238223
第二十条当事人违反本办法规定的,依照《中华人民共和国网络安全法》、《中华
人民共和国数据安全法》的规定处理。
第二十一条本办法所称网络产品和服务主要指核心网络设备、重要通信产品、高性
能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服
务,以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服
务。
第二十二条涉及国家秘密信息的,依照国家有关保密规定执行。
国家对数据安全审查、外商投资安全审查另有规定的,应当同时符合其规定。
第二十三条本办法自2022年2月15日起施行。2020年4月13日公布的《网络安全审查
办法》(国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国
家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、
国家保密局、国家密码管理局令第6号)同时废止。
五:《网络产品安全漏洞管理规定》
第一条为了规范网络产品安全漏洞发现、报告、修补和发布等行为,防
范网络安全风险,根据《中华人民共和国网络安全法》,制定本规定。
第二条中华人民共和国境内的网络产品(含硬件、软件)提供者和网络
运营者,以及从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人,
应当遵守本规定。
第三条国家互联网信息办公室负责统筹协调网络产品安全漏洞管理工作。
工业和信息化部负责网络产品安全漏洞综合管理,承担电信和互联网行业网络
产品安全漏洞监督管理。公安部负责网络产品安全漏洞监督管理,依法打击利
用网络产品安全漏洞实施的违法犯罪活动。
有关主管部门加强跨部门协同配合,实现网络产品安全漏洞信息实时共享,
对重大网络产品安全漏洞风险开展联合评估和处置。
第四条任何组织或者个人不得利用网络产品安全漏洞从事危害网络安全
的活动,不得非法收集、出售、发布网络产品安全漏洞信息;明知他人利用网
广、支付结算等帮助。
第五条网络产品提供者、网络运营者和网络产品安全漏洞收集平台应当
建立健全网络产品安全漏洞信息接收渠道并保持畅通,留存网络产品安全漏洞
信息接收日志不少于6个月。
239223
洞。
第七条网络产品提供者应当履行下列网络产品安全漏洞管理义务,确保
其产品安全漏洞得到及时修补和合理发布,并指导支持产品用户采取防范措施:
(一)发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施
并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其
(二)应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报
版本以及漏洞的技术特点、危害和影响范围等。
(三)应当及时组织对网络产品安全漏洞进行修补,对于需要产品用户(
含下游厂商)采取软件、固件升级等措施的,应当及时将网络产品安全漏洞风
险及修补方式告知可能受影响的产品用户,并提供必要的技术支持。
工业和信息化部网络安全威胁和漏洞信息共享平台同步向国家网络与信息
鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制,对发现并通
报所提供网络产品安全漏洞的组织或者个人给予奖励。
第八条网络运营者发现或者获知其网络、信息系统及其设备存在安全漏
洞后,应当立即采取措施,及时对安全漏洞进行验证并完成修补。
第九条从事网络产品安全漏洞发现、收集的组织或者个人通过网络平台、
媒体、会议、竞赛等方式向社会发布网络产品安全漏洞信息的,应当遵循必要、
真实、客观以及有利于防范网络安全风险的原则,并遵守以下规定:
(一)不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏
并向工业和信息化部、公安部报告,由工业和信息化部、公安部组织评估后进
行发布。
(二)不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞
的细节情况。
(三)不得刻意夸大网络产品安全漏洞的危害和风险,不得利用网络产品
安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动。
(四)不得发布或者提供专门用于利用网络产品安全漏洞从事危害网络安
全活动的程序和工具。
(五)在发布网络产品安全漏洞时,应当同步发布修补或者防范措施。
(六)在国家举办重大活动期间,未经公安部同意,不得擅自发布网络产
品安全漏洞信息。
(七)不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境
外组织或者个人提供。
第十条任何组织或者个人设立的网络产品安全漏洞收集平台,应当向工
业和信息化部备案。工业和信息化部及时向公安部、国家互联网信息办公室通
240223
鼓励发现网络产品安全漏洞的组织或者个人向工业和信息化部网络安全威
胁和漏洞信息共享平台、国家网络与信息安全信息通报中心漏洞平台、国家计
算机网络应急技术处理协调中心漏洞平台、中国信息安全测评中心漏洞库报送
网络产品安全漏洞信息。
第十一条从事网络产品安全漏洞发现、收集的组织应当加强内部管理,
采取措施防范网络产品安全漏洞信息泄露和违规发布。
第十二条网络产品提供者未按本规定采取网络产品安全漏洞补救或者报
告措施的,由工业和信息化部、公安部依据各自职责依法处理;构成《中华人
民共和国网络安全法》第六十条规定情形的,依照该规定予以处罚。
第十三条网络运营者未按本规定采取网络产品安全漏洞修补或者防范措
施的,由有关主管部门依法处理;构成《中华人民共和国网络安全法》第五十
九条规定情形的,依照该规定予以处罚。
第十四条违反本规定收集、发布网络产品安全漏洞信息的,由工业和信
息化部、公安部依据各自职责依法处理;构成《中华人民共和国网络安全法》
第六十二条规定情形的,依照该规定予以处罚。
第十五条利用网络产品安全漏洞从事危害网络安全活动,或者为他人利
用网络产品安全漏洞从事危害网络安全的活动提供技术支持的,由公安机关依
法处理;构成《中华人民共和国网络安全法》第六十三条规定情形的,依照该
规定予以处罚;构成犯罪的,依法追究刑事责任。
第十六条本规定自2021年9月1日起施行。
六:《计算机信息网络国际联网安全保护管理办法》
第一条为了加强对计算机信息网络国际联网的安全保护,维护公共秩序和社会稳定,根
据《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联
网管理暂行规定》和其他法律、行政法规的规定,制定本办法。
第二条中华人民共和国境内的计算机信息网络国际联网安全保护管理,适用本办法。
第三条公安部计算机管理监察机构负责计算机信息网络国际联网的安全保护管理工作。
公安机关计算机管理监察机构应当保护计算机信息网络国际联网的公共安全,维护从事国
际联网业务的单位和个人的合法权益和公众利益。
第四条任何单位和个人不得利用国际联网危害国家安全、泄露国家秘密,不得侵犯国家
的、社会的、集体的利益和公民的合法权益,不得从事违法犯罪活动。
第五条任何单位和个人不得利用国际联网制作、复制、查阅和传播下列信息:
224241
(一)煽动抗拒、破坏宪法和法律、行政法规实施的;
(二)煽动颠覆国家政权、推翻社会主义制度的;
(三)煽动分裂国家、破坏国家统一的;
(四)煽动民族仇恨、民族歧视,破坏民族团结的;
(五)捏造或者歪曲事实,散布谣言,扰乱社会秩序的;
(六)宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪的;
(七)公然侮辱他人或者捏造事实诽谤他人的;
(八)损害国家机关信誉的;
(九)其他违反《宪法》和法律、行政法规的。
第六条任何单位和个人不得从事下列危害计算机信息网络安全的活动:
(一)未经允许,进入计算机信息网络或者使用计算机信息网络资源的;
(二)未经允许,对计算机信息网络功能进行删除、修改或者增加的;
(三)未经允许,对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、
修改或者增加的;
(四)故意制作、传播计算机病毒等破坏性程序的;
(五)其他危害计算机信息网络安全的。
第七条用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律规定,利
用国际联网侵犯用户的通信自由和通信秘密。
第二章安全保护责任
第八条从事国际联网业务的单位和个人应当接受公安机关的安全监督、检查和指导,如
实向公安机关提供有关安全保护的信息、资料及数据文件,协助公安机关查处通过国际联网的
计算机信息网络的违法犯罪行为。
第九条国际出入口信道提供单位、互联单位的主管部门或者主管单位,应当依照法律和
国家有关规定负责国际出入口信道、所属互联网络的安全保护管理工作。
第十条互联单位、接入单位及使用计算机信息网络国际联网的法人和其他组织应当履行
下列安全保护职责:
(一)负责本网络的安全保护管理工作,建立健全安全保护管理制度;
(二)落实安全保护技术措施,保障本网络的运行安全和信息安全;
(三)负责对本网络用户的安全教育和培训;
(四)对委托发布信息的单位和个人进行登记,并对所提供的信息内容按照本办法第五条
进行审核;
(五)建立计算机信息网络电子公告系统的用户登记和信息管理制度;
(六)发现有本办法第四条、第五条、第六条、第七条所列情形之一的,应当保留有关原
始记录,并在二十四小时内向当地公安机关报告;
(七)按照国家有关规定,删除本网络中含有本办法第五条内容的地址、目录或者关闭服
务器。
第十一条用户在接人单位办理人网手续时,应当填写用户备案表。备案表由公安部监
制。
第十二条互联单位、接入单位、使用计算机信息网络国际联网的法人和其他组织(包括
跨省、自治区、直辖市联网的单位和所属的分支机构),应当自网络正式联通之日起三十日内,
到所在地的省、自治区、直辖市人民政府公安机关指定的受理机关办理备案手续。
225242
前款所列单位应当负责将接入本网络的接入单位和用户情况报当地公安机关备案,并及时
报告本网络中接入单位和用户的变更情况。
第十三条使用公用账号的注册者应当加强对公用账号的管理,建立账号使用登记制度。
用户账号不得转借、转让。
第十四条涉及国家事务、经济建设、国防建设、尖端科学技术等重要领域的单位办理备
案手续时,应当出具其行政主管部门的审批证明。
前款所列单位的计算机信息网络与国际联网,应当采取相应的安全保护措施。
第三章安全监督
第十五条省、自治区、直辖市公安厅(局),地(市)、县(市)公安局,应当有相应机
构负责国际联网的安全保护管理工作。
第十六条公安机关计算机管理监察机构应当掌握互联单位、接入单位和用户的备案情
况,建立备案档案,进行备案统计,并按照国家有关规定逐级上报。
第十七条公安机关计算机管理监察机构应当督促互联单位、接入单位及有关用户建立健
全安全保护管理制度。监督、检查网络安全保护管理以及技术措施的落实情况。
公安机关计算机管理监察机构在组织安全检查时,有关单位应当派人参加。公安机关计算
机管理监察机构对安全检查发现的问题,应当提出改进意见,作出详细记录,存档备查。
第十八条公安机关计算机管理监察机构发现含有本办法第五条所列内容的地址、目录或
者服务器时,应当通知有关单位关闭或者删除。
第十九条公安机关计算机管理监察机构应当负责追踪和查处通过计算机信息网络的违法
行为和针对计算机信息网络的犯罪案件,对违反本办法第四条、第七条规定的违法犯罪行为,
应当按照国家有关规定移送有关部门或者司法机关处理。
第四章法律责任
第二十条违反法律、行政法规,有本办法第五条、第六条所列行为之一的,由公安机关
给予警告,有违法所得的,没收违法所得,对个人可以并处五千元以下的罚款,对单位可以并
处一万五千元以下的罚款;情节严重的,并可以给予六个月以内停止联网、停机整顿的处罚,
必要时可以建议原发证、审批机构吊销经营许可证或者取消联网资格;构成违反治安管理行为
的,依照《治安管理处罚条例》的规定处罚;构成犯罪的,依法追究刑事责任。
第二十一条有下列行为之一的,由公安机关责令限期改正,给予警告,有违法所得的,
没收违法所得;在规定的限期内未改正的,对单位的主管负责人员和其他直接责任人员可以并
处五千元以下的罚款,对单位可以并处一万五千元以下的罚款;情节严重的,并可以给予六个
月以内的停止联网、停机整顿的处罚,必要时可以建议原发证、审批机构吊销经营许可证或者
取消联网资格。
(一)未建立安全保护管理制度的;
(二)未采取安全技术保护措施的;
(三)未对网络用户进行安全教育和培训的;
(四)未提供安全保护管理所需信息、资料及数据文件、或者所提供内容不真实的;
(五)对委托其发布的信息内容未进行审核或者对委托单位和个人未进行登记的;
(六)未建立电子公告系统的用户登记和信息管理制度的;
(七)未按照国家有关规定,删除网络地址、目录或者关闭服务器的;
(八)未建立公用账号使用登记制度的;
(九)转借、转让用户账号的。
226243
第二十二条违反本办法第四条、第七条规定的,依照有关法律、法规予以处罚。
第二十三条违反本办法第十一条、第十二条规定,不履行备案职责的,由公安机关给予
警告或者停机整顿不超过六个月的处罚。
第五章附则
第二十四条与香港特别行政区和台湾、澳门地区联网的计算机信息网络的安全保护管
理,参照本办法执行。
第二十五条本办法自发布之日起施行。
七:《互联网信息服务管理办法》
第一条为了规范互联网信息服务活动,促进互联网信息服务有序发展,制定本办法。
第二条在中华人民共和国境内从事互联网信息服务活动,必须遵守本办法。
本办法所称互联网信息服务,是指通过互联网向上网用户提供信息的服务活动。
经营性互联网信息服务,是指通过互联网向上网用户有偿提供信息或者网页制作等服务活
动。
的服务活动。
案制度。
未取得许可或者未履行备案手续的,不得从事互联网信息服务。
第五条从事新闻、出版、教育、医疗保健、药品和医疗器械等互联网信息服务,依照法
律、行政法规以及国家有关规定须经有关主管部门审核同意的,在申请经营许可或者履行备案
手续前,应当依法经有关主管部门审核同意。
第六条从事经营性互联网信息服务,除应当符合《中华人民共和国电信条例》规定的要
求外,还应当具备下列条件:
(二)有健全的网络与信息安全保障措施,包括网站安全保障措施、信息安全保密管理制
度、用户信息安全管理制度;
(三)服务项目属于本办法第五条规定范围的,已取得有关主管部门同意的文件。
第七条从事经营性互联网信息服务,应当向省、自治区、直辖市电信管理机构或者国务
证)。
省、自治区、直辖市电信管理机构或者国务院信息产业主管部门应当自收到申请之日起
60日内审查完毕,做出批准或者不予批准的决定。予以批准的,颁发经营许可证;不予批准
的,应当书面通知申请人并说明理由。
申请人取得经营许可证后,应当持经营许可证向企业登记机关办理登记手续。
227244
务院信息产业主管部门办理备案手续。办理备案时,应当提交下列材料:
(一)主办单位和网站负责人的基本情况;
(二)网站网址和服务项目;
(三)服务项目属于本办法第五条规定范围的,已取得有关主管部门的同意文件。
省、自治区、直辖市电信管理机构对备案材料齐全的,应当予以备案并编号。
第九条从事互联网信息服务,拟开办电子公告服务的,应当在申请经营性互联网信息服
案。
第十条省、自治区、直辖市电信管理机构和国务院信息产业主管部门应当公布取得经营
许可证或者已履行备案手续的互联网信息服务提供者名单。
第十一条互联网信息服务提供者应当按照经许可或者备案的项目提供服务,不得超出经
许可或者备案的项目提供服务。
互联网信息服务提供者变更服务项目、网站网址等事项的,应当提前30日向原审核、发
证或者备案机关办理变更手续。
第十二条互联网信息服务提供者应当在其网站主页的显著位置标明其经营许可证编号或
者备案编号。
第十三条互联网信息服务提供者应当向上网用户提供良好的服务,并保证所提供的信息
内容合法。
第十四条从事新闻、出版以及电子公告等服务项目的互联网信息服务提供者,应当记录
互联网信息服务提供者和互联网接人服务提供者的记录备份应当保存六十日,并在国家有
关机关依法查询时,予以提供。
第十五条互联网信息服务提供者不得制作、复制、发布、传播含有下列内容的信息:
(一)反对宪法所确定的基本原则的;
(二)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
(三)损害国家荣誉和利益的;
(五)破坏国家宗教政策,宣扬邪教和封建迷信的;
(六)散布谣言,扰乱社会秩序,破坏社会稳定的;
(七)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;
(八)侮辱或者诽谤他人,侵害他人合法权益的;
(九)含有法律、行政法规禁止的其他内容的。
第十六条互联网信息服务提供者发现其网站传输的信息明显属于本办法第十五条所列内
容之一的,应当立即停止传输,保存有关记录,并向国家有关机关报告。
第十七条经营性互联网信息服务提供者申请在境内境外上市或者同外商合资、合作,应
当事先经国务院信息产业主管部门审查同意;其中,外商投资的比例应当符合有关法律、行政
法规的规定。
第十八条国务院信息产业主管部门和省、自治区、直辖市电信管理机构,依法对互联网
信息服务实施监督管理。
228245
新闻、出版、教育、卫生、药品监督管理、工商行政管理和公安、国家安全等有关主管部
门,在各自职责范围内依法对互联网信息内容实施监督管理。
第十九条违反本办法的规定,未取得经营许可证,擅自从事经营性互联网信息服务,或
者超出许可的项目提供服务的,由省、自治区、直辖市电信管理机构责令限期改正,有违法所
得的,没收违法所得,处违法所得三倍以上五倍以下的罚款;没有违法所得或者违法所得不足
五万元的,处十万元以上一百万元以下的罚款;情节严重的,责令关闭网站。
的项目提供服务的,由省、自治区、直辖市电信管理机构责令限期改正;拒不改正的,责令关
闭网站。
第二十条制作、复制、发布、传播本办法第15条所列内容之一的信息,构成犯罪的,
依法追究刑事责任;尚不构成犯罪的,由公安机关、国家安全机关依照《中华人民共和国治安
管理处罚条例》、《计算机信息网络国际联网安全保护管理办法》等有关法律、行政法规的规定
予以处罚;对经营性互联网信息服务提供者,并由发证机关责令停业整顿直至吊销经营许可
直至关闭网站。
第二十一条未履行本办法第14条规定的义务的,由省、自治区、直辖市电信管理机构
责令改正;情节严重的,责令停业整顿或者暂时关闭网站。
第二十二条违反本办法的规定,未在其网站主页上标明其经营许可证编号或者备案编号
的,由省、自治区、直辖市电信管理机构责令改正,处五千元以上五万元以下的罚款。
第二十三条违反本办法第16条规定的义务的,由省、自治区、直辖市电信管理机构责
令改正;情节严重的,对经营性互联网信息服务提供者,并由发证机关吊销经营许可证,对非
经营性互联网信息服务提供者,并由备案机关责令关闭网站。
第二十四条互联网信息服务提供者在其业务活动中,违反其他法律、法规的,由新阐出
版、教育、卫生、药品监督管理和工商行政管理等有关主管部门依照有关法律、法规的规定处
罚。
第二十五条电信管理机构和其他有关主管部门及其工作人员,玩忽职守、滥用职权、徇
私舞弊,疏于对互联网信息服务的监督管理,造成严重后果,构成犯罪的,依法追究刑事责
任;尚不构成犯罪的,对直接负责的主管人员和其他直接责任人员依法给予降级、撤职直至开
除的行政处分。
第二十大条在本办法公布前从事互联网信息服务的,应当自本办法公布之日起六十日内
依照本办法的有关规定补办有关手续。
第二十七条本办法自公布之日起施行。
八:《商用密码管理条例》
第一条为了加强商用密码管理,保护信息安全,保护公民和组织的合法权益,维护国家
的安全和利益,制定本条例。
229246
第二条本条例所称商用密码,是指对不涉及国家秘密内容的信息进行加密保护或者安全
认证所使用的密码技术和密码产品。
第三条商用密码技术属于国家秘密。国家对商用密码产品的科研、生产、销售和使用实
行专控管理。
第四条国家密码管理委员会及其办公室(以下简称国家密码管理机构)主管全国的商用
密码管理工作。
省、自治区、直辖市负责密码管理的机构根据国家密码管理机构的委托,承担商用密码的
有关管理工作。
第二章科研、生产管理
第五条商用密码的科研任务由国家密码管理机构指定的单位承担。
商用密码指定科研单位必须具有相应的技术力量和设备,能够采用先进的编码理论和技
术,编制的商用密码算法具有较高的保密强度和抗攻击能力。
第六条商用密码的科研成果,由国家密码管理机构组织专家按照商用密码技术标准和技
术规范审查、鉴定。
第七条商用密码产品由国家密码管理机构指定的单位生产。未经指定,任何单位或者个
人不得生产商用密码产品。商用密码产品指定生产单位必须具有与生产商用密码产品相适应的
技术力量以及确保商用密码产品质量的设备、生产工艺和质量保证体系。
第八条商用密码产品指定生产单位生产的商用密码产品的品种和型号,必须经国家密码
管理机构批准,并不得超过批准范围生产商用密码产品。
第九条商用密码产品,必须经国家密码管理机构指定的产品质量检测机构检测合格。
第三章销售管理
第十条商用密码产品由国家密码管理机构许可的单位销售。未经许可,任何单位或者个
人不得销售商用密码产品。
第十一条销售商用密码产品,应当向国家密码管理机构提出申请,并应当具备下列条
件:
(一)有熟悉商用密码产品知识和承担售后服务的人员;
(二)有完善的销售服务和安全管理规章制度;
(三)有独立的法人资格。
经审查合格的单位,由国家密码管理机构发给《商用密码产品销售许可证》。
第十二条销售商用密码产品,必须如实登记直接使用商用密码产品的用户的名称(姓
名)、地址(住址)、组织机构代码(居民身份证号码)以及每台商用密码产品的用途,并将登
记情况报国家密码管理机构备案。
第十三条进口密码产品以及含有密码技术的设备或者出口商用密码产品,必须报经国家
密码管理机构批准。任何单位或者个人不得销售境外的密码产品。
第四章使用管理
第十四条任何单位或者个人只能使用经国家密码管理机构认可的商用密码产品,不得使
用自行研制的或者境外生产的密码产品。
第十五条境外组织或者个人在中国境内使用密码产品或者含有密码技术的设备,必须报
经国家密码管理机构批准;但是,外国驻华外交代表机构、领事机构除外。
第十六条商用密码产品的用户不得转让其使用的商用密码产品。商用密码产品发生故
障,必须由国家密码管理机构指定的单位维修。报废、销毁商用密码产品,应当向国家密码管
230247
理机构备案。
第五章安全、保密管理
第十七条商用密码产品的科研、生产,应当在符合安全、保密要求的环境中进行。销
售、运输、保管商用密码产品,应当采取相应的安全措施。
销售以及使用商用密码产品的单位和人员,必须对所接触和掌握的商用密码技术承担保密
义务。
第十八条宣传、公开展览商用密码产品,必须事先报国家密码管理机构批准。
第十九条任何单位和个人不得非法攻击商用密码,不得利用商用密码危害国家的安全和
利益、危害社会治安或者进行其他违法犯罪活动。
第六章罚则
第二十条有下列行为之一的,由国家密码管理机构根据不同情况分别会同工商行政管
理、海关等部门没收密码产品,有违法所得的,没收违法所得;情节严重的,可以并处违法所
得1至3倍的罚款:
(一)未经指定,擅自生产商用密码产品的,或者商用密码产品指定生产单位超过批准范
围生产商用密码产品的;
(二)未经许可,擅自销售商用密码产品的;
(三)未经批准,擅自进口密码产品以及含有密码技术的设备、出口商用密码产品或者销
售境外的密码产品的。
经许可销售商用密码产品的单位未按照规定销售商用密码产品的,由国家密码管理机构会
同工商行政管理部门给予警告,责令改正。
第二十一条有下列行为之一的,由国家密码管理机构根据不同情况分别会同公安、国家
安全机关给予警告,责令立即改正:
(一)在商用密码产品的科研、生产过程中违反安全、保密规定的;
(二)销售、运输、保管商用密码产品,未采取相应的安全措施的;
(三)未经批准,宣传、公开展览商用密码产品的;
(四)擅自转让商用密码产品或者不到国家密码管理机构指定的单位维修商用密码产品的。
使用自行研制的或者境外生产的密码产品,转让商用密码产品,或者不到国家密码管理机
构指定的单位维修商用密码产品,情节严重的,由国家密码管理机构根据不同情况分别会同公
安、国家安全机关没收其密码产品。
第二十二条商用密码产品的科研、生产、销售单位有本条例第20条、第21条第1款第
(一)、(二)、(三)项所列行为,造成严重后果的,由国家密码管理机构撤销其指定科研、生
产单位资格,吊销《商用密码产品销售许可证》。
第二十三条泄露商用密码技术秘密、非法攻击商用密码或者利用商用密码从事危害国家
的安全和利益的活动,情节严重,构成犯罪的,依法迫究刑事责任。
有前款所列行为尚不构成犯罪的,由国家密码管理机构根据不同情况分别会同国家安全机
关或者保密部门没收其使用的商用密码产品,对有危害国家安全行为的,由国家安全机关依法
处以行政拘留;属于国家工作人员的,并依法给予行政处分。
第二十四条境外组织或者个人未经批准,擅自使用密码产品或者含有密码技术的设备
的,由国家密码管理机构会同公安机关给予警告,责令改正,可以并处没收密码产品或者含有
密码技术的设备。
第二十五条商用密码管理机构的工作人员滥用职权、玩忽职守、徇私舞弊,构成犯罪
231248
的,依法追究刑事责任;尚不构成犯罪的,依法给予行政处分。
第二十六条国家密码管理委员会可以依据本条例制定有关的管理规定。
第二十七条本条例自发布之日起施行。
九:《计算机信息系统安全保护
等级划分准则》(GB17859-1)
(公安部提出并组织制定,1999年9月13日国家技术监督局发布,2001年1月1日实施。)
1范围
本标准规定了计算机系统安全保护能力的五个等级,即:
第一级:用户自主保护级;
第二级:系统审计保护级;
第三级:安全标记保护级;
第四级:结构化保护级;
第五级:访问验证保护级。
本标准适用计算机信息系统安全保护技术能力等级的划分。计算机信息系统安全保护能力
随着安全保护等级的增高,逐渐增强。
2引用标准
下列标准所包含的条文,通过在本标准中引用而构成本标准的条文。本标准出版时,所示
版本均为有效。所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的可能
性。
3定义
除本章定义外,其他未列出的定义见GB/T5271。
3.1计算机信息系统(ComputerInfomationSystem)
的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
3.2计算机信息系统可信计算基(TrustedComputingBaseafComputerInformationSystem)
计算机系统内保护装置的总体,包括硬件、固件、软件和负责执行安全策略的组合体。它
建立了一个基本的保护环境并提供一个可信计算系统所要求的附加用户服务。
3.3客体(Object)
信息的载体。
3.4主体(Subhject)
引起信息在客体之间流动的人、进程或设备等。
3.5敏感标记(SensitivityLabel)
表示客体安全级别并描述客体数据敏感性的一组信息,可信计算基中把敏感标记作为强制
访问控制决策的依据。
3.6安全策略(SecurityPolicy)
有关管理、保护和发布敏感信息的法律、规定和实施细则。
232249
3.7信道(Channel)
系统内的信息传输路径。
3.8隐蔽信道(CovertChannel)
允许进程以危害系统安全策略的方式传输信息的通信信道。
3.9访问监控器(ReferenceMonitor)
4等级划分准则
4.1第一级用户自主保护级
本级的计算机信息系统可信计算基通过隔离用户与数据,使用户具备自主安全保护的能
力。它具有多种形式的控制能力,对用户实施访问控制,即为用户提供可行的手段,保护用户
和用户组信息,避免其他用户对数据的非法读写与破坏。
4.1.1自主访问控制
计算机信息系统可信计算基定义和控制系统中命名用户对命名客体的访问。实施机制(例
如:访问控制表)允许命名用户以用户和(或)用户组的身份规定并控制客体的共享;阻止非
4.1.2身份鉴别
计算机信息系统可信计算基初始执行时,首先要求用户标识自己的身份,并使用保护机制
4.1.3数据完整性
4.2第二级系统审计保护级
与用户自主保护级相比,本级的计算机信息系统可信计算基实施了粒度更细的自主访问控
4.2.1自主访问控制
用户指定对客体的访问权。
4.2.2身份鉴别
惟一标识、计算机信息系统可信计算基能够使用户对自己的行为负责。计算机信息系统可信计
4.2.3客体重用
在计算机信息系统可信计算基的空闲存储客体空间中,对客体初始指定、分配或再分配一
时,当前主体不能获得原主体活动所产生的任何信息。
4.2.4审计
计算机信息系统可信计算基能创建和维护受保护客体的访问审计跟踪记录,并能阻止非授
权的用户对它访问或破坏。
233250
计算机信息系统可信计算基能记录下述事件:使用身份鉴别机制;将客体引入用户地址空
间(例如:打开文件、程序初始化);刑除客体;由操作员、系统管理员或(和)系统安全管
理员实施的动作,以及其他与系统安全有关的事件。对于每一事件,其审计记录包括:事件的
如:终端标识符);对于客体引入用户地址空间的事件及客体删除事件,审计记录包含客体名。
对不能由计算机信息系统可信计算基独立分辨的审计事件,审计机制提供审计记录接口,
4.2.5数据完整性
4.3第三级安全标记保护级
本级的计算机信息系统可信计算基具有系统审计保护级所有功能。此外,还提供有关安全
策略模型、数据标记以及主体对客体强制访问控制的非形式化描述;具有准确地标记输出信息
的能力;消除通过测试发现的任何错误。
4.3.1自主访问控制
4.3.2强制访问控制
计算机信息系统可信计算基对所有主体及其所控制的客体(例如:进程、文件、段、设
备)实施强制访问控制。为这些主体及客体指定敏感标记,这些标记是等级分类和非等级类别
的组合,它们是实施强制访问控制的依据。计算机信息系统可信计算基支持两种或两种以上成
分组成的安全级。计算机信息系统可信计算基控制的所有主体对客体的访问应满足:仅当主体
安全级中的等级分类高于或等于客体安全级中的等级分类,且主体安全级中的非等级类别包含
了客体安全级中的全部非等级类别,主体才能读客体;仅当主体安全级中的等级分类低于或等
于客体安全级中的等级分类,且主体安全级中的非等级类别包含了客体安全级中的非等级类
别,主体才能写一个客体。计算机信息系统可信计算基使用身份和鉴别数据,鉴别用户的身
4.3.3标记
计算机信息系统可信计算基应维护与主体及其控制的存储客体(例如:进程、文件、段、
可信计算基审计。
4.3.4身份鉴别
计算机信息系统可信计算基初始执行时,首先要求用户标识自己的身份,而且,计算机信
计算基使用这些数据鉴别用户身份,并使用保护机制(例如;口令)来鉴别用户的身份;阻止
够使用户对自己的行为负责。计算机信息系统可信计算基还具备将身份标识与该用户所有可审