随着我国电子商务的发展,网络交易方式越来越多样,然而网络支付在为消费者带来方便的同时,也存在诸多安全隐忧。2012年相继发生的“电商行业被曝4000多万用户信息遭泄露”“6000万网民网购被骗300多亿元”“安卓系统300多款应用近六成被曝泄露用户隐私”等事件,均反映出当下我国的网络交易环境还存在不少问题,亟待出台有效的监管举措。
据艾瑞咨询机构发布的《个人网络安全年度报告》显示,在2012年度针对PC终端的病毒中,有50%的主流木马程序是以获取经济利益为导向,如盗号、广告恶意推广等。2012年,70%的网民对网络安全持不乐观态度,其中有33.3%的网民对此持非常担心态度。相比2011年,2012年网民对网络危险的担心首先为“金钱损失”;其次为“隐私泄露”。“我现在网购时只敢选那些正规的电商平台,其他不知名的都不太敢相信,因为现在的钓鱼购物网站太多了,消费者很容易上当受骗。”说起大量钓鱼购物网站对消费者的网购安全造成威胁的问题,消费者禹女士表示出强烈担忧。她说:“我身边的一些朋友已经上过当了,网购确实非常方便,而且价格也实惠,但需要消费者具备一定的网络知识,否则就无法识别出钓鱼网站,并且消费者被骗后取证困难,许多钓鱼网站骗到钱后会立即‘人间蒸发’,根本找不到。”
据腾讯电脑管家的监测数据显示,2012年腾讯电脑管家共检测出钓鱼欺诈类网站125万余个,共拦截欺诈类网页地址44.8亿个,平均每日拦截恶意网址1200万人次;检测出挂马类恶意网站17万余个,共拦截挂马类网址共1.5亿个,平均每日拦截挂马类网址41万人次。在腾讯电脑管家拦截的恶意网址中,虚假购物网址占总拦截量的75%,主要包括虚假成人药品、虚假保健品、虚假二手车交易网、虚假金融网站、虚假iPhone/小米手机销售、虚假游戏点卡交易站点及各类电商仿冒网站等。
对此,北京某律师事务所主任张律师表示:“网络安全方面的立法已迫在眉睫,虽然在去年年底我国颁布了《关于加强网络信息保护的决定》,但这还不够,必须要将网络安全问题上升到法律层面,才能从根本上打击和遏制网络欺诈行为,让消费者真正放心地在网上消费。”
美国再提网络安全立法 编辑本段回目录
杨梅喜:关于完善网络安全立法的建议编辑本段回目录
一、我国互联网安全问题
目前,我国互联网安全问题呈现多样化趋势:
(一)信息泄露问题严重。2011年年底国内最大的程序员社区网站CSDN被爆出超过600万用户的注册资料遭泄露,随后有消息称,国内多家网站的用户信息也被泄露,多数网站都提醒用户,尽快修改注册密码,以防被黑客破解。这场危机引发了大量讨论,一些专家甚至认为,这场密码泄露问题严重考验着我国互联网安全。网站尤其是一些热门社交网站,大量用户信息泄露将造成很大影响,然而用户想要对此进行维权却很难。
(二)以商业利益为重。互联网安全问题的高发领域多数是由于黑客受到利益驱使,安置病毒窃取金钱。经常进行网络购物的用户对此应该不陌生,卖家发来的一个链接很可能造成买家银行卡信息泄露,并造成直接或间接的经济损失;用网络处理金融业务的人员也常常在不经意间被植入病毒,造成巨大损失。网络安全问题对网民经济利益带来很大威胁,一个小木马很有可能造成巨额损失。
(三)网络安全干扰日常生活。除了互联网以外,移动互联网也成为病毒的侵袭领域。打开朋友发来的彩信有可能就植入了病毒,造成手机功能异常;也有用户在上网过程中被植入木马,造成手机不断发送短信,直至停机。很多网民日常生活都受到网络安全困扰,且暂时没有行之有效的方法能够解决此类现象。互联网安全问题频发,安全防范至关重要。在法律制度上对于网络安全问题的处理仍不全面,网络犯罪没有健全的法律作为执法保证,黑客钻着法律漏洞侵袭互联网。
二、国外网络安全立法状况
世界各国都采取多种方式护卫网络安全。
在美国,专门用来解决网络安全问题的法律法规主要涉及以下几个领域:加强网络基础设施保护,打击网络犯罪,如:《国家信息基础设施保护法》、《计算机欺诈与滥用法》、《公共网络安全法》、《计算机安全法》、《加强计算机安全法》、《加强网络安全法》;规范网络信息收集、利用、发布和隐私权保护,如:《信息自由法》、《隐私权法》、《电子通信隐私法》、《儿童在线隐私权保护法》、《通信净化法》、《数据保密法》、《网络安全信息法》、《网络电子安全法》;确认电子签名及认证,如:《全球及全国商务电子签名法》;其他网络安全问题,如:《国土安全法》、《政府信息安全改革法》、《网络安全研究与开发法》等。而且,自2008年以来,美国国务院逐渐完善了一项名为“风险评分”的项目,美国国务院有关部门每隔一至三天就对国务院办公机构及美国在全世界的驻外机构约9.6万台计算机进行扫描,查找可能存在的安全漏洞,并将结果告知专业人员,及时处理。
俄罗斯十分重视网络安全立法工作,在《俄罗斯联邦宪法》、《国家安全法》、《国家保密法》、《电信法》等中都对国家的网络安全做出了相应的规定,并陆续制定和公布了《俄罗斯网络立法构想》、《俄罗斯联邦信息和信息化领域立法发展构想》、《信息安全学说》、《2000-2004年大众传媒立法发展构想》等纲领性文件,起草和修订《电子文件法》、《俄罗斯联邦因特网发展和利用国家政策法》、《信息权法》、《个人信息法》、《国际信息交易法》、《〈国际信息交易法〉联邦法的补充和修改法》、《信息、信息化和信息保护法》、《〈信息、信息化和信息保护法〉联邦法的补充和修改法》、《电子合同法》、《电子商务法》、《电子数字签名法》等20余部法律。
为了维护网络安全,打击网络犯罪,一些国际组织如欧洲理事会、联合国等在积极推动建立打击网络犯罪的国际司法合作机制,其中,最有影响、特别值得关注的是2004年7月1日生效的欧洲理事会《关于网络犯罪的公约》。
他山之石,可以攻玉,我国在完善网络安全立法中,应积极借鉴国外成功立法经验,了解国际网络安全的立法趋势。
三、我国网络安全立法情况
目前,我国的网络安全立法活动处在就事论事立法的阶段,没有形成系统的立法体系。我国维护网络安全的现行法规、规章主要有:1994年国务院发布的《中华人民共和国计算机信息系统安全保护条例》;1996年国务院发布的《中华人民共和国计算机信息网络国际联网管理暂行规定》 ;1997年国务院批准公安部发布的《计算机信息网络国际联网安全保护管理办法》; 1997年《刑法》的有关规定;1998年国务院信息化工作领导小组发布的《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》 ; 2000年公安部发布的《计算机病毒防治管理办法》;2000年最高人民法院发布的《关于审理扰乱电信市场管理秩序案件具体应用法律若干问题的解释》;2000年国务院发布的《中华人民共和国电信条例》;2000年信息产业部发布的《互联网电子公告服务管理规定》;2000年全国人民代表大会常务委员会通过的《全国人大常委会关于维护互联网安全的决定》;2002年国务院发布的《互联网上网服务营业场所管理条例》等。
这些规范性法律文件散见在人大、政府、部委或法律、地方的法规、规章的零星规定中,缺乏权威性、系统性和协调性,与互联网迅速发展的形势相比显得尤为滞后。有些法规、规章长时间没有修订,已无法适应当前网络安全的需要,或效力等级不高,不能有效监管网络安全,因此,加快制定和完善网络监管安全方面的法律法规,迫在眉睫。
四、完善网络安全立法,打击网络犯罪
修改《刑法》中关于网络犯罪的相关规定,为我国网络安全提供有力的刑法保护。
(一)关于第二百八十五条第一款的修改
刑法原文:
第二百八十五条 违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。
修改建议:
修改刑法第285条第一款的规定,将其修改为:“违反国家规定,侵入计算机信息系统,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,从重处罚。”
修改理由:
原非法侵入计算机信息系统罪的保护对象仅限于国家事务、国防建设、尖端科学技术领域的三类计算机信息系统,对非法侵入三类领域以外的计算机信息系统的,不构成该罪。建议扩大网络安全保护的范围,侵入任何性质的计算机系统(国家的、企业的或者个人的计算机系统)都可能构成非法侵入计算机系统罪,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统属于从重处罚情节。
建议修改后的条文:
第二百八十五条 违反国家规定,侵入计算机信息系统,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,从重处罚。
违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。
(二)关于第二百八十六条的修改
刑法原文:
第二百八十六条 违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。
违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。
故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。
修改建议:
增加非法拦截、干扰计算机数据通信罪,可以规定为刑法第286条之三,罪状可以描述为:“违反国家规定.故意拦截、获取、损坏、删除、修改存储、处理、传输中的计算机数据或者妨碍其正常使用,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。”
修改理由:
把未经授权利用技术手段故意拦截计算机网络数据非公开传输的行为规定为犯罪,以保护电子数据网络传输的安全性。我国《刑法》第252条规定,“隐匿、毁弃或者非法开拆他人信件,侵犯公民通信自由权利,情节严重的”行为构成侵犯通信自由罪,虽然可以将信件的含义扩充为普通信件和电子信件,但不能涵盖所有的电子数据通信,如网上浏览和上传计算机文件等。侵犯通信自由罪的犯罪手段是使用隐匿、毁弃或者非法开拆他人信件的方法,侵犯通信自由;非法获取计算机数据罪的犯罪手段多种多样,有侵入计算机系统直接获取资料内容,也有在计算机网络中使用电子窃听等设备间接获取计算机数据等方法,侵犯计算机网络数据安全。
建议修改后的条文:
第二百八十六条 违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。
违反国家规定.故意拦截、获取、损坏、删除、修改存储、处理、传输中的计算机数据或者妨碍其正常使用,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。
美国国会网络安全立法探析编辑本段回目录
美国是全球网络技术的发源地,掌握着网络空间的核心技术并处于绝对优势地位。美国在网络安全领域的立法也起步最早, 数量最多, 覆盖面最宽,内容最复杂。近年来,出于对“所遭受网络攻击”的担心,美国国会更是加快了网络安全的立法进程。
第111 届国会以前(1984 年—2009 年) :起支架作用的法律明确了网络安全的基本内容及政府各部门职责。
据美国国会研究部统计,1984 年至2009 年,美国通过成法、含有网络安全相关条文的法律有36 部。根据其规范的主要内容,这些相关法律大致可分为网络基础设施保护、网络泄密与数据保密、打击网络恐怖主义、网络色情等犯罪活动治理、惩治网络信息滥用与欺诈、网络知识产权保护等6 类。其中,以下9部起支架性作用的法律对有关网络安全的重要内容作出了规定。
( 一)《1984 年伪造接入设备及计算机欺诈与滥用法》:将侵入美国特定部门或专用计算机系统以窃取美国政府涉密信息、金融档案信息的行为界定为犯罪。
( 二)《1986 年电子通信隐私法》: 禁止未经授权的电子窃听,规定政府访问电子通信记录、拦截通信信号的范围和标准。
( 三)《1987 年计算机安全法》:规定美国政府在提高联邦计算机系统安全性和隐私保护方面可采取的措施,赋予国家标准与技术研究院为联邦计算机制订安全标准。
( 四)《1995 年削减公文法》:赋予白宫管理和预算办公室制定并颁布国家网络安全政策的职责。
( 五)《1996 年信息技术管理改革法》: 要求美国政府部门长官负责制定本部门的信息安全政策和程序,并在各政府部门设立“首席信息官”。
( 六)《2002 年国土安全法》:赋予国土安全部部分网络安全职责。
( 七)《2002 年网络安全研发法》: 赋予国家科学基金会和国家标准与技术研究院开展网络安全研究的职责。
( 八)《2002 年电子政务法》: 用以指导联邦信息技术管理的基础性立法,其中包含在白宫管理和预算办公室下设电子政务办公室、政府和私营部门之间开展相关专业人才交流等多项网络安全方面的内容。
( 九)《2002 年联邦信息安全管理法》: 进一步明确并加强国家标准与技术研究院在制订网络安全标准方面的职责,建立联邦计算机事故反应中心。
上述法律大致划分了美国联邦各政府部门在网络安全领域的职责,即所有联邦部门均肩负与本部门业务相关的网络安全职责,一些部门( 如运输部)还肩负着特定的“关键性基础设施”保护职责,具体为:1. 商务部下属的国家标准与技术研究院负责制订网络安全标准和指导原则,并通过白宫管理和预算办公室颁布实施;2. 国土安全部及国家科学基金会、国家标准与技术研究院负责网络安全研发;3. 司法部负责网络安全执法;4. 国家安全局为国家安全设施网络安全的主管部门;5. 国土安全部为民用设施网络安全的主管部门;6. 国防部下属的网络司令部负责指挥网络作战。
第111 届国会以来(2009 年—2013 年) :相关立法大量增多,但没有通过综合性的网络安全法律;与行政部门采取的行动相比,国会立法相对滞后。
在第111 届国会(2009 年—2010 年) 期间,共提出涉及网络安全的法案、决议案逾60 件。在第112 届国会(2011 年—2012 年) 期间逾40 件。第113 期国会自今年1 月成立以来,参院正在审议涉及网络安全的法案4 件,众院正在审议7 件。本届国会参院已就网络安全问题举行了5 次听证会,众院举行了13 次。虽然提出了许多法案,但自2002 年以来,美国国会没有通过一部综合性的网络安全法律,也没有形成网络安全立法的基本框架。
事实上,近两届美国国会并没有放弃网络安全综合性立法的努力。例如,自2011 年以来,参院一直在试图将第111 届国会期间国土安全和政府事务委员会提出的S.3480 号法案和商务、科学和运输委员会提出的S.773 号法案合并成一部综合性的网络安全法律。2012 年2 月,参院提出吸收了上述两个法案主要内容的《2012 年网络安全法案》(S.2105),并随后又提出了该法案的修正版本(S.3414) 和替代版本(S.3342),但这些法案在第112 届国会均未获通过。众院方面,博纳众议长在2011 年10 月指定12 名共和党众议员成立特别工作组,用以协调众院各委员会提出的网络安全相关法案并提出立法建议。虽然众院相关法案在第112 届国会未获通过,但融入特别工作组立法建议的《网络情报共享和保护法案》《网络安全研发法案》《2013 年推进美国网络和信息技术研发法案》《2013 年联邦信息安全修正法案》等已于今年4 月在众院获得通过( 尚需参院通过并经总统签署后成法)。
相对于国会,美国行政部门的动作明显要快得多。2008 年,小布什政府确立了“综合性国家网络安全倡议”( 机密文件)。2009 年,奥巴马政府设立白宫网络安全协调官,专门负责政府部门间网络安全事务的协调,其工作重点包括建立对联邦信息系统的自动监控、制定统一的网络安全战略、建立联邦计算机事故反应制度以及加强政府与私营部门的合作等。2010 年,奥巴马政府对“综合性国家网络安全倡议”的主要内容进行了“解密性”的说明,包括:强化联邦计算机系统的外部接入点,在计算机系统中安装外部侵入侦测设备,提高网络安全研发的相互协调和优先配置,发展“下一代”安全技术、信息共享及网络安全教育,降低来自于信息技术全球供应链的风险,进一步明确联邦在保护关键性基础设施上的作用等。2011 年4 月,白宫向国会提交了一份综合性、包含7 部分内容的立法建议,其中部分建议陆续融入到参、众两院的法案中。2013 年2 月,奥巴马政府颁布“提高关键性基础设施网络安全”的第13636号行政令,进一步拓展了政府与私营部门间的信息共享和协作,细化了“确定关键性基础设施的步骤”等诸多内容。
当前美国国会网络安全立法:解决6 个方面的重点问题,修订现有法律中网络安全相关条文。
归纳起来,近几届美国国会网络安全立法旨在推动解决以下6 个方面的重点问题。
( 一) 国土安全部在保护联邦信息系统方面的授权:近期国会的相关法案均主张增加对国土安全部在保护联邦信息系统方面的授权,但在 “度”的问题上意见不一。
( 二) 网络安全专业人员:主要涉及增加联邦政府网络安全专业人员规模、加强对“下一代”网络安全专业人员的培训、实现联邦与私营部门专业人员交流等。
( 三) 研发:《2002 年国土安全法》没有提及网络安全研发问题,但实际上国土安全部、国家安全局及其他一些联邦机构在网络安全研发方面投入了大量资金,因此,涉及网络威胁和侵入的侦测设备、身份管理、各种测试设备以及电子设备全球供应链安全的研发究竟由谁负责需通过立法进一步明确。
( 四) 修改《2002 年联邦信息安全管理法》:该法自通过之日起就因存在诸多漏洞而饱受批评,包括:所规定的网络安全标准不被广泛认可;对联邦机构相关授权的解释含混不清;过于强调个人信息系统而忽视了整个联邦信息系统;过于强调程序性的报告制度,可操作性不强;对加强联邦机构间协作缺乏明确的规定等。
( 五) 保护私有关键性基础设施:美国联邦确定的16个领域关键性基础设施(即核心制造业、核工业、化工业、国防基础工业、能源业、运输业、金融服务业、信息技术、通信设施、政府设施、商务设施、医疗和公共健康、急救、食品和农业、水资源和废水处理、水坝) 绝大多数为私有,由于担心联邦政府以网络安全为名加强对这些私有部门的管理,因此,国会在这一问题上分歧很大。
( 六) 信息共享:为有效保护信息系统,应减少或移除有关部门内部及部门间的信息共享壁垒,包括:明确信息共享的主体、规定如何共享某些机密信息、规定如何与私营部门进行信息交换、限定政府部门将共享信息用于特定目的等。
在当前的整合修订过程中,美国国会除需要重点考虑1984 年以后的36 部相关法律外,还需要研究另外20 部1984 年以前通过成法、年代久远但仍现行有效,甚至看似毫无关联但实际上其中某些条款在“根子上”与网络安全密切相关的法律。例如,美国早在1890 年通过的《反托拉斯法》禁止“任何旨在限制贸易的契约、联合或通谋行为”,有人认为,网络安全立法推动的信息共享有悖于这一原则,因此在制定新的法律时,需要研究有无对《反托拉斯法》相关条款进行修订的必要性。再如,1966 年通过的《信息自由法》限制了私营部门从联邦政府获取信息的范围和类别,因此,新的网络安全立法要推动政府和私营部门间的信息交换,也要重新审视是否与《信息自由法》的有关条款相冲突。
2010 年12月21日,美国联邦通讯委员会(FCC) 五位成员以3 票赞成对2 票反对的表决结果批准了旨在保护网络中立新的规则。这个原则要求平等地对待合法的网络通讯。图/CFP
此外,随着近两年所谓“网络盗窃”“网络间谍”问题被炒热,网络安全的外延被扩展并滋生出《阻止网络盗窃法案》《网络经济间谍责任法案》等一批新的法案。如何确保新旧法律的系统性、一致性也是美国国会网络安全立法面临的一大问题。
一点启示
当前美国国会的网络安全立法是包括整合修订旧法律、审议通过新法律在内的一项系统工程,头绪繁多、覆盖面宽、内容复杂,但脉络清晰且立法进程在加快。其主要做法和路径似可归纳为:制定网络安全国家战略;明确网络安全定义,确定保护对象,界定犯罪行为;建立权责统一、层级分明、分工协作的执行体系和应急机制;完善网络安全的硬件和软件;加强信息和情报共享;加大研发投入,加强专业人才培养和交流;根据形势发展推出新的法律、整合修订旧的法律等。
网络涉及国家安全和国计民生,在我国经济社会发展方面发挥着重要作用。截至2012 年年底,我国的互联网普及率达到42.1%,网民规模达到5.64 亿。同时,我国也是世界上黑客攻击的主要受害国。国家互联网应急中心数据显示,2012 年,我国境内1400万余台主机遭受攻击,3.8 万个网站遭受远程控制。严峻的网络安全形势需要我们加强对相关问题的研究,汲取包括美国在内的其他国家的经验,为制定和完善我国相关法律提供参考。
(作者单位:全国人大外事委办公室)
