中国信息安全保障法律制度

1、,中国信息安全保障法律制度,天马行空官方博客： ;QQ:1318241189,主 要 内 容,一、信息规范：法律、政策、伦理 二、信息安全立法的背景 三、信息安全保障体系 四、我国信息安全立法框架 五、智能卡相关法律问题思考,天马行空官方博客： ;QQ:1318241189,一、信息规范,信息政策 信息法律 信息伦理,二、信息安全立法的背景,信息政治 信息民主 信息知识,信息安全与我们有多远？,中新社北京十二月二十七日电(记者 刘育英)二十六日晚南海海域发生地震后，多条海底通信光缆中断，附近国家和地区通信和访问国际互联网受到严重影响。中国电信已表示，正在积极疏通业务，以尽快恢复，但由于受余震影

2、响，预计影响还将持续一段时间。, 信息危害,窃听(Eavesdropping),窃取(Spoofing),利用操作系统漏洞(Bugs) 盗用密码(Codes) 木马(Trojan horse)、病毒(Virus)、后门(Backdoor), 计算机病毒,计算机病毒是如何传播的,2006年全国信息网络安全状况与计算机病毒疫情调查分析报告,计算机病毒的危害,2006年全国信息网络安全状况与计算机病毒疫情调查分析报告,三、信息安全保障体系,法律政策体系 人才培养体系 产业支撑体系 技术保障体系 组织管理体系,信息安全立法,信息立法体系,1）电子政务类 2）电子商务类 3）信息安全类 4）信息产业类

3、5）信息技术类 6）信息标准类,商业秘密保护法 政务信息保护法 科学技术保密法 个人隐私保护法 信息系统及网络安全法,国外信息立法现状与发展趋势,美国,保护美国关键基础设施 信息保障技术框架 保卫美国计算机空间保护信息系统的国家计划,国外信息立法现状与发展趋势,俄罗斯,联邦信息、信息化和信息保护法 俄罗斯国家安全构想 国家信息安全学说,国外信息立法现状与发展趋势,日本,21世纪信息通信构想 信息通信产业技术战略 信息通信网络安全可靠性基准 IT安全政策指南,四、我国信息安全立法框架,我国信息安全立法体系分为四个层面： 法律 行政法规 部门规章、地方性法规、地方规章 规范性文件,我国的立法体系,

4、法律、行政法规、地方法法规、规章的备案、报批、改变、撤销示意图,法律：是指由全国人民代表大会及其常委会通过的法律规范。,我国信息安全立法框架,我国与信息安全相关的法律主要有： 宪法 电子签名法 、全国人大常委会关于维护互联网安全的决定 刑法 、刑事诉讼法 、人民警察法 治安管理处罚法、国家安全法、 保守国家秘密法 、行政处罚法、 行政诉讼法、 行政复议法 国家赔偿法 、海关法、邮政法 商标法、专利法、著作权法、反不正当竞争法,我国信息安全立法框架,法 律,我国信息安全立法框架,1、宪法 第35条 中华人民共和国公民有言论、出版、集会、结社、游行、示威的自由。 第38条 中华人民共和国公民的人格

5、尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。 第40条 中华人民共和国公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要，由公安机关或者检察机关依照法律规定的程序对通信进行检查外，任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。,法 律,我国信息安全立法框架,2、全国人大常委会关于维护互联网安全的决定（2000年12月28日） 这是我国第一部关于互联网安全的法律。该法分别从 （1）保障互联网的运行安全； （2）维护国家安全和社会稳定； （3）维护社会主义市场经济秩序和社会管理秩序； （4）保护个人、法人和其他组织的人身、财产等合法权利等四个方面

6、，共15款，明确规定了对构成犯罪的行为，依照刑法有关规定追究刑事责任。,法 律,我国信息安全立法框架,3、电子签名法（2004年8月28日） 确立电子签名的法律效力； 规范电子签名的行为； 明确认证机构的法律地位及认证程序； 规定电子签名的安全保障措施。 电子签名适用于电子政务的问题：第35条规定，国务院或者国务院规定的部门可以依据本法制定政务活动和其他社会活动中使用电子签名、数据电文的具体办法,法 律,我国信息安全立法框架,4、刑法（1997年3月14日修订，六部刑法修正案） 根据刑法规定，除了分则规定的大多数犯罪罪种（包括危害国家安全罪，危害公共安全罪、破坏社会主义市场经济秩序罪，侵犯公民

7、人身权利、民主权利罪、侵犯财产罪，妨害社会管理秩序罪）都适用于利用计算机网络实施的犯罪以外，还专门在第285条和第286条分别规定了非法入侵计算机信息系统罪和破坏计算机信息系统罪，共两条四款。,法 律,计算机犯罪的防范和打击,第285条 违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。,中华人民共和国刑法,计算机犯罪的防范和打击,第286条 违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑。 违反国家规定，对计算机信息系统中存储、处理或者传播的数据和应用程序进行删除

8、、修改、增加的操作，后果严重的，依照前款处罚。 故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款处罚。,中华人民共和国刑法,计算机犯罪的种类及特征,计算机犯罪的防范和打击,5、全国人民代表大会常务委员会关于维护互联网安全的决定 (2000年12月28日第九届全国人民代表大会常务委员会第十九次会议通过),我国信息安全立法框架,一、为了保障互联网的运行安全，对有下列行为之一，构成犯罪的，依照刑法有关规定追究刑事责任： （一）侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统； （二）故意制作、传播计算机病毒等破坏性程序，攻击计算机系统及通信网络，致使计算机

9、系统及通信网络遭受损害； （三）违反国家规定，擅自中断计算机网络或者通信服务，造成计算机网络或者通信系统不能正常运行。 二、为了维护国家安全和社会稳定，对有下列行为之一，构成犯罪的，依照刑法有关规定追究刑事责任： （一）利用互联网造谣、诽谤或者发表、传播其他有害信息，煽动颠覆国家政权、推翻社会主义制度，或者煽动分裂国家、破坏国家统一； （二）通过互联网窃取、泄露国家秘密、情报或者军事秘密； （三）利用互联网煽动民族仇恨、民族歧视，破坏民族团结； （四）利用互联网组织邪教组织、联络邪教组织成员，破坏国家法律、行政法规实施。,我国信息安全立法框架,三、为了维护社会主义市场经济秩序和社会管理秩序，对

10、有下列行为之一，构成犯罪的，依照刑法有关规定追究刑事责任： （一）利用互联网销售伪劣产品或者对商品、服务作虚假宣传； （二）利用互联网损坏他人商业信誉和商品声誉； （三）利用互联网侵犯他人知识产权； （四）利用互联网编造并传播影响证券、期货交易或者其他扰乱金融秩序的虚假信息； （五）在互联网上建立淫秽网站、网页，提供淫秽站点链接服务，或者传播淫秽书刊、影片、音像、图片。 四、为了保护个人、法人和其他组织的人身、财产等合法权利，对有下列行为之一，构成犯罪的，依照刑法有关规定追究刑事责任： （一）利用互联网侮辱他人或者捏造事实诽谤他人； （二）非法截获、篡改、删除他人电子邮件或者其他数据资料，侵犯

11、公民通信自由和通信秘密； （三）利用互联网进行盗窃、诈骗、敲诈勒索。,我国信息安全立法框架,五、利用互联网实施本决定第一条、第二条、第三条、第四条所列行为以外的其他行为，构成犯罪的，依照刑法有关规定追究刑事责任。 六、利用互联网实施违法行为，违反社会治安管理，尚不构成犯罪的，由公安机关依照治安管理处罚条例予以处罚；违反其他法律、行政法规，尚不构成犯罪的，由有关行政管理部门依法给予行政处罚；对直接负责的主管人员和其他直接责任人员，依法给予行政处分或者纪律处分。 利用互联网侵犯他人合法权益，构成民事侵权的，依法承担民事责任。,我国信息安全立法框架,我国信息安全立法框架,行政法规：是指国务院为执行宪

12、法和法律而制定的法律规范,行 政 法 规,我国信息安全立法框架,与信息安全有关的行政法规主要有(一)： 国务院令147号：计算机信息系统安全保护条例 国务院令195号：计算机信息网络国际联网管理暂行规定 国务院令273号：商用密码管理条例,行 政 法 规,我国信息安全立法框架,与信息安全有关的行政法规主要有（二）： 国务院令291号：中华人民共和国电信条例 国务院令292号：互联网信息服务管理办法 国务院令339号：计算机软件保护条例 国务院令468号：信息网络传播权保护条例等,行 政 法 规,我国信息安全立法框架,1、计算机信息系统安全保护条例（1994年2月18日） 这是我国第一部涉及计算

13、机信息系统安全的行政法规。 条例赋予“公安部主管全国计算机信息系统安全保护工作”的职能（包括监督、检查、指导权；计算机违法犯罪案件查处权；其他监督职权； 条例要求国家安全部、国家保密局和国务院其他有关部门，在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。,行 政 法 规,我国信息安全立法框架,2、计算机信息网络国际联网管理暂行规定 计算机信息网络进行国际联网的原则： 必须使用邮电部国家公用电信网提供的国际出入口信道。 接入网络必须通过互联网络进行国际联网。 用户的计算机或计算机信息网络必须通过接入网络进行国际联网。 规定对互联网接入单位实行国际联网经营许可证制度（经营性）和审批制

14、度（非经营性），限定了接入单位的资质条件、服务能力及其法律责任。,行 政 法 规,我国信息安全立法框架,3、计算机软件保护条例 2002年1月1日起施行 主要修订之处: 软件著作权的保护期由过去的25年提高到50年； 增加出租权； 增加网络传播侵权的行为的认定； 明确并加大了对侵权的法定赔偿的数额； 完善软件著作权登记制度； 界定了用户使用未经允许的软件的法律性质问题,行 政 法 规,我国信息安全立法框架,3、计算机软件保护条例 2002年1月1日起施行 主要修订之处: 软件著作权的保护期由过去的25年提高到50年； 增加出租权； 增加网络传播侵权的行为的认定； 明确并加大了对侵权的法定赔偿的

15、数额； 完善软件著作权登记制度； 界定了用户使用未经允许的软件的法律性质问题,行 政 法 规,我国信息安全立法框架,4、信息网络传播权保护条例 2006年7月1日起施行 2000年，最高人民法院制定了关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释； 2001年，全国人大常委会修订了著作权法； 2002年，国务院颁布了著作权法实施条例； 2003年，最高人民法院修订了关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释； 2005年，国家版权局和信息产业部联合发布了互联网著作权行政保护办法等。,行 政 法 规,我国信息安全立法框架,保护措施 保护信息网络传播权 保护为保护权利人

16、信息网络传播权采取的技术措施 保护用来说明作品权利归属或者使用条件的权利管理电子信息 建立处理侵权纠纷的“通知与删除”简便程序,行 政 法 规,我国信息安全立法框架,四种免除赔偿责任的情形 网络服务提供者提供网络自动接入服务、自动传输服务，只按照服务对象的指令提供服务，不对传输的作品、表演、录音录像制品进行修改，不向规定对象以外的人传输作品、表演、录音录像制品。 网络服务提供者为了提高网络传输效率，自动存储从其他网络服务提供者获得的作品、表演、录音录像制品，根据技术安排自动向服务对象提供，不作任何改变，不影响提供该作品的网站对使用该作品、表演、录音录像制品的监控，并根据该网站对作品的处置而做相

17、应的处置。 向互联网内容提供者提供信息存储空间服务的，只要标明是提供服务，不改变存储的作品、表演、录音录像制品，没有从侵权行为中直接获得利益，接到著作权人通知书后立即删除侵权作品。 网络服务提供者提供搜索、链接服务的，在接到著作权人通知书后立即断开与侵权作品、表演、录音录像制品的链接。但是，如果明知或者应知作品侵权仍链接的，应承担共同侵权责任。,行 政 法 规,我国信息安全立法框架,条例没有区分网络内容提供者(ICP)与单纯网络服务提供者(ISP)。严格来说，除条例另有规定外，只有网络内容提供者向公众提供网络内容，才需要经权利人许可并支付报酬。条例第20条、第21条、第22条、第23条提到的四

18、种网络服务提供者，通常只提供网络技术服务，不提供网络内容服务，所以不因网络内容提供者侵权而承担连带赔偿责任。,我国信息安全立法框架,规章：是指国务院各部、委根据法律和国务院行政法规，在本部门的权限范围内制定的法律规范，以及省、自治区、直辖市和较大的市的人民政府根据法律、行政法规和本省、自治区、直辖市的地方性法规制定的法律规范。,规范性文件：俗称“红头文件”,部门规章及规范性文件,我国信息安全立法框架,与信息安全相关的部门规章和规范性文件,计算机信息网络国际联网安全保护管理办法 计算机信息系统安全专用产品检测和销售许可证管理办法 计算机病毒防治管理办法 金融机构计算机信息系统安全保护工作暂行规定

19、 关于开展计算机安全员培训工作的通知 等。,公安部,行 政 法 规,我国信息安全立法框架,计算机信息网络国际联网安全保护管理办法 （公安部令33号） 1997年12月11日国务院批准、1997年12月30日公安部第33号令发布，是我国第一部全面调整互联网络安全的行政法规，不仅对我国互联网的初期发展起到了重要的保障作用，而且为后续有关信息网络安全的法规、规章的出台起到了重要的指导作用。,四条禁则：,（1）任何单位和个人不得利用国际联网危害国家安 全、泄露国家秘密， 不得侵犯国家的、社会 的、集体的利益和公民的合法权益，不得从事 违法犯罪活动。 （2）任何单位和个人不得利用国际联网制作、复 制、查

20、阅和传播有害信息。 （3）任何单位和个人不得从事危害计算机信息网 络安全的活动 。 （4）任何单位和个人不得违反法律规定，利用国际 联网侵犯用户的通信自由和通信秘密。,部门规章及规范性文件,我国信息安全立法框架,与信息安全相关的部门规章和规范性文件,互联网电子邮件服务管理办法（信息产业部令第38号） 互联网新闻信息服务管理规定（国务院新闻办公室 信息产业部令第37号） 电信服务规范（信息产业部令第36号） 电子认证服务管理办法（信息产业部令第35号） 互联网IP地址备案管理办法（信息产业部令第34号） 非经营性互联网信息服务备案管理办法（信息产业部令第33号） 军工电子装备科研生产许可证管理办

21、法（信息产业部令第32号）,信息产业部（一）,部门规章及规范性文件,我国信息安全立法框架,与信息安全相关的部门规章和规范性文件,中国互联网络域名管理办法（信息产业部令第30号） 国际通信设施建设管理规定（信息产业部令第23号） 国际通信出入口局管理办法（信息产业部令第22号） 电信网间互联争议处理办（信息产业部令第15号） 软件产品管理办法（信息产业部令第5号） 互联网电子公告服务管理规定（信息产业部令第3号） 通信建设项目招标投标管理暂行规定（信息产业部令第2号）,信息产业部（二）,部门规章及规范性文件,我国信息安全立法框架,与信息安全相关的部门规章和规范性文件,互联网站从事登载新闻业务管理

22、暂行规定，互联网新闻信息服务管理规定（与信息产业部2005年9月25日联合发布）,国务院新闻办,中国教育和科研计算机网暂行管理办法 教育网站和网校暂行管理办法,教育部,电子出版物管理规定,新闻出版署,部门规章及规范性文件,我国信息安全立法框架,与信息安全相关的部门规章和规范性文件,计算机信息系统保密管理暂行规定 计算机信息系统国际联网保密管理规定 涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法 涉密计算机信息系统建设资质审查和管理暂行办法 关于加强政府上网信息保密管理的通知,国家保密局,部门规章及规范性文件,我国信息安全立法框架,与信息安全相关的部门规章和规范性文件,网上证券委托暂

23、行管理办法,中国证监会,关于加强通过信息网络向公众传播广播电影电视类节目管理的通告,国家广播电影电视总局,互联网药品信息服务管理暂行规定,国家药品监督管理局,部门规章及规范性文件,我国信息安全立法框架,与信息安全相关的部门规章和规范性文件,中国金桥信息网公众多媒体信息服务管理办法 计算机信息网络国际联网出入口信道管理办法 中国公用计算机互联网络国际联网管理办法 中国公众多媒体通信管理办法 专用网与公用网联通的暂行规定,邮电部（原电子部）,地方法规、规章及规范性文件,我国信息安全立法框架,与信息安全相关的地方规章和规范性文件,河北省,邯郸市,五、智能卡相关法律问题思考,（一）智能卡的相关法律文件

24、 （二）智能卡的法律关系问题 （三）智能卡的隐私保护问题 （四）智能卡的电子签名问题,（一）智能卡的相关法律文件,国家鼓励集成电路产业发展的政策 集成电路的知识产权保护 集成电路卡的标准 集成电路卡的收费及管理 集成电路企业、产品及税费,1.国家集成电路产业政策,国办函200151号：国务院办公厅关于进一步完善软件产业和集成电路产业发展政策有关问题的复函(20010920) 国办发199722号：国务院办公厅关于加强集成电路卡管理有关问题的通知(19970702) 国发200018号：国务院关于印发鼓励软件产业和集成电路产业发展的若干政策的通知 (20000624) 国权20011号：国家版权

25、局关于贯彻落实国务院关于鼓励软件产业和集成电路产业发展的若干政策的意见 人发200160号：人事部关于软件和集成电路技术人员进入国家扶持的软件园区工作有关问题的通知(20010622) 财建2005132号：财政部、信息产业部、国家发展改革委关于印发集成电路产业研究与开发专项资金管理暂行办法的通知 (20050323),2.集成电路的知识产权保护,主席令第58号:著作权法(20011027修正) 国务院令第359号：著作权法实施条例（20020802） 国务院令第300号 ：集成电路布图设计保护条例(20010402) 知识产权局第11号：集成电路布图设计保护条例实施细则(20010918)

26、知识产权局第17号：集成电路布图设计行政执法办法(20011128),法发200124号：最高人民法院关于开展涉及集成电路布图设计案件审判工作的通知,司法解释,知识产权局第88号:集成电路布图设计收费项目和收费标准(20030516) 发改价格200385号：国家发展改革委、财政部关于集成电路布图设计登记费等收费标准及有关事项的通知(20030415),知识产权收费,2.集成电路的知识产权保护,3.集成电路卡的标准,建设部公告第446号：建设事业集成电路（IC）卡应用技术(CJ/T166-2006)(20060626) 建科函2003242号：建设事业IC卡五年发展规划(20031105),建

27、设部,中国金融集成电路(IC)卡规范(版本1.0)(19980119),中国人民银行,主席令第11号：标准化法(19981228),4.集成电路卡的收费及管理,国办发199722号：国务院办公厅关于加强集成电路卡管理有关问题的通知 (19970702) 国家金卡工程协调领导小组：集成电路卡注册管理办法(20010809) 主席令第92号：价格法(19971229) 计价格19991980号七部委：关于清理整顿集成电路卡（卡）收费等有关问题的通知(19991111) 计价格20011928号四部委：集成电路卡应用和收费管理办法 工商办字2000第54号：国家工商行政管理局关于进一步加强集成电路卡（卡）应用管理工作的通知 (20000323),5.集成电路企业、产品及税费,信部联产200286号：集成电路设计企业及产品认定管理办法(20020307)