1、信息网络安全法律法规计算机信息系统安全保护条例福建省公安厅网安总队林世科10.2 计算机信息系统安全保护条例1994 年 2 月 18 日, 中华人民共和国计算机信息系统安全保护条例 (以下简称条例)的颁布实施(国务院令第 147 号,即日起施行 ) ,为我国计算机信息系统安全管理走上规范化、法制化和科学化的轨道,揭开了历史性的序幕。条例共 5 章 31 条,分别是第一章“总则” ,第二章“安全保护制度” ,第三章“安全监督” ,第四章“法律责任” ,第五章“附则” 。10.2.1.1 总则第一条 为了保护计算机信息系统的安全, 促进计算机的应用和发展,保障社会主义现代化建设的顺利进行,制定本
2、条例。第二条 本条例所称的计算机信息系统, 是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。第三条 计算机信息系统的安全保护,应当保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。第四条 计算机信息系统的安全保护工作,重点维护国家事务、 经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。 第五条 中华人民共和国境内的计算机信息系统的安全保护,适用本条例。 未联网的微型计算机的安全保护办法,另行制
3、定。第六条 公安部主管全国计算机信息系统安全保护工作。国家安全部、国家保密局和国务院其他有关部门,在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。第七条 任何组织或者个人,不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机 信息系统的安全。10.2.1.2 内容解读条例第一章内容解读(一)对“计算机信息系统”作了较为科学的界定制定这个条例,其中最关键的问题之一就是回答什么是计算机信息系统。计算机信息科学技术属高新技术领域,且不断发展变化,人们对它的认识和界定难以统一,还需不断深化。在广泛听取有关专家、学者的意见,分析多种学说、主张的基础上,条例对
4、“计算机信息系统”的界定作了这样的规定:“本条例所称的计算机信息系统,是指由计算机及相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统” 。见条例第二条。我们认为这一概念包括了以下几个要点:1、计算机信息系统的构成要素。计算机信息系统的基础是计算机,离开了计算机就无所谓计算机信息系统,故在概念中首先强调了计算机信息系统的构成基础是“计算机”。计算机信息系统的硬件部分除了计算机本身外,从结构上看,还必须包括其相关的和配套的设备、设施,有时还包括网络、系统运行规则等,离开这些,计算机就无法运转工作,也就构不成计算机信息系统。因此
5、,概念中包括了相关的和配套的设备、设施(含网络)。2、“信息”是计算机信息系统的重要组成部分。从静态看是系统的组成部分;以动态看,它又是系统的处理对象,并且系统的功能和工作过程是“对信息进行采集、加工、存储、传输、检索等”。因此,在概念中,我们将其概括为“对信息进行采集、加工、存储、传输、检索等处理的人机系统”。3、计算机信息系统的建立和应用的目也是概念中不可缺少的一部分,具体地说是“为有关人员和部门提供信息或者辅助决策等服务” 。因此,在概念中,我们将其概括为“按照一定的应用目标和规则”对信息进行处理。4、计算机信息系统的运行和信息处理过程都离不开人,必须由人操作和管理。因此,我们在概念中称
6、之为“人机系统” 。以对“计算机信息系统”的界定为基础, 条例第三条和第四条规定了安全保护的范围和内容,即(第三条) “计算机信息系统的安全保护,应当保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。 ”(第四条保护工作重点)“计算机信息系统安全保护工作,重点维护国家事务、经济建设、国防建设,尖端科学技术等重要领域的计算机信息系统的安全”。与此联系,还对条例的适用范围作了这样的规定:“中华人民共和国境内的计算机信息系统的安全保护,适用本条例。未联网的微型计算机的安全保护办法,另行规定”。(二)首次明
7、确将计算机信息系统的安全保护工作纳入社会公共安全的视角。条例的第六条第一款规定,“公安部主管全国计算机信息系统安全保护工作。”这就是从社会公共安全的角度,加强计算机信息系统的安全保护工作的思想的体现。计算机信息系统的安全保护,不仅是一个技术问题,更重要的是,它对社会各方面已发生了重大影响,它的安全问题,已影响到整个社会的各个重要方面,成为一个社会公共安全问题。随着计算机应用的普及与发展,以及计算机信息系统安全问题的日益凸显,国家必然要运用行政管理杠杆,进行有效管理,维护社会的稳定与发展。从计算机信息系统安全问题的社会性、重要性和管理的有效性考虑,由公安机关来承担这一工作是比较恰当的、必要的。同
8、时,在整个条例的规定中,也都贯彻了这一思想。比如,对第二章安全保护制度、第三章安全监督的规定等等。从计算机信息系统安全问题的社会性、重要性和管理的有效性考虑,由公安机关来承担这一工作是比较恰当的、必要的。同时,在整个条例的规定中,也都贯彻了这一思想。比如,对第二章安全保护制度、第三章安全监督的规定等等。10.2.2 第二部分10.2.2.1 安全保护制度(一)第二章 安全保护制度(9 条)第八条 计算机信息系统的建设和应用,应当遵守法律、行政法规和国家其他有关规定。第九条 计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。第十条 计算机机房应
9、当符合国家标淮和国家有关规定。在计算机机房附近施工,不得危害计算机信息系统的安全。第十一条 进行国际联网的计算机信息系统,由计算机信息系统的使用单位报省级以上人民政府公安机关备案。第十二条 运输、携带、邮寄计算机信息媒体进出境的,应当如实向海关申报。第十三条 计算机信息系统的使用单位应当建立健全安全管理 制度,负责本单位计算机信息系统的安全保护工作。第十四条 对计算机信息系统中发生的案件,有关使用单位应当在 24 小时内向当地县级以上人民政府公安机关报告。第十五条 对计算机病毒和危害社会公共安全的其他有害数据的防治研究工作,由公安部归口管理。第十六条 国家对计算机信息系统安全专用产品的销售实行
10、许可证制度。具体办法由公安部会同有关部门制定。10.2.2.2 内容解读总结我国近些年的计算机安全保护监督工作的经验和实际工作情况,借鉴国外的成功做法, 条例规定了诸如:计算机信息系统安全等级保护制度、计算机信息媒体进出境申报制度、使用单位的管理制度、计算机病毒和其他有害数据的防治研究制度、计算机信息系统安全专用产品的销售许可证制度等。我国对计算机信息系统安全主要是采取制度性的保护措施。计算机信息人机系统安全的目标是着力于实体安全、运行安全、信息安全和人员安全。安全保护的直接对象是计算机信息系统,实现安全保护的关键因素是人。在计算机信息系统安全保护的综合治理中,无论是安全法规贯彻落实,还是安全
11、技术的得当有效,都离不开妥善周到的安全管理。安全管理是计算机安全综合治理的枢纽环节,制度化管理是安全管理落到实处的必由之路,也是安全管理规范化、法治化的集中体现。条例的核心内容,就是严谨有序的、模块化、系列化、可扩充的计算机信息系统安全保护制度。条例规定了九大制度。包括:10.2.2.3 九大制度(一)计算机信息系统的建设和应用,应当遵纪守法第例第八条:“计算机信息系统的建设和应用,应当遵守法律、行政法规和国家其他有关规定。”无论是对新建、改建的计算机信息系统,还是对计算机信息系统设计、施工、验收以及计算机信息系统的运行,我国都颁布了一系列的法律、行政法规和有关规定。我们要在建设和应用过程中严
12、格贯彻执行,这是对计算机信息系统建设和应用进行法制化和规范化管理的重要前提。计算机信息系统的建设和应用是一个崭新的科学领域,尽管我国已经制定和颁布了有关的法律和规范,但随着新的问题不断涌现,需要及时颁布新的法律和规范进行制约。如1996 年 2 月 1 日以中华人民共和国国务院 195 号令发布了中华人民共和国计算机信息网络国际联网管理暂行规定,由于出现新的急需问题,仅在发布后的 15 个月,即进行了修订,并以国务院条 218 号令于 1997 年 5 月 20 日重新颁布。(二)计算机信息系统安全等级保护制度1.信息网络安全等级保护制度概述。任何系统及其环境的安全性质都是相对的,在其内容、时
13、间、空间等等方面,都有着领域、范畴的局限。在安全逻辑空间存在着一条安全边界,边界以内完全是相对于边界以外而言的,是动态地、相对地相互转化的。不同应用目的的信息网络,有着不同的安全需要;同一系统的各种资源,也有着不同的安全性质;同一个系统、资源,在不同的时间、空间等范围内,其安全性质显然也是不同的。 (举例:大学的校园网络:教学内网外部校园网;基础教学网科研网;科研项目国家级和普通级;是否过保密期限的)安全等级是对安全的重要性及其相应要求的量化性安全边界,该安全边界的实质是,当由安全边界以外,企图越过边界时,对这些越界行为所进行的一系列验证、鉴别和控制的方法规则或准则。安全边界以内的,是与系统及
14、其运行安全相关的,是需要刻意保护的;边界以外的,是与系统及其运行安全无关的,是不可信的,是需要着意甄别和控制的。2、信息网络安全等级保护的基本内容,就是这些不同安全等级的安全边界的确立和实施。将计算机信息系统的安全划分为不同等级,才能对计算机信息系统进行“恰如其分”的保护,所谓恰如其分就是对需要保护的计算机信息系统在人力、物力和财力等诸多方面按其等级进行适应的投入,对不需要保护的部分决不投入多余的力量。计算机信息系统的安全保护措施,随着等级的变化,有明显的差别,可不毫不夸大的讲:没有计算机安全等级的划分,就没有计算机信息系统安全保护。2007 年 6 月 22 日公安部以公通字200743 号
15、通过了信息安全等级保护管理办法,专门就信息安全等级保护工作进行详细规定。信息安全等级保护管理办法(试行)(公通字20067 号)同时废止。(三)计算机机房安全管理制度条例第十条:“计算机机房应当符合国家标准和国家有关规定。在计算机机房附近施工,不得危害计算机信息系统的安全。”计算机机房是安装计算机信息系统主体的关键场所,是计算机安全保护工作的重点,所以对计算机机房要加强安全管理。对计算机机房的技术条件及设计、施工、验收,我国制定了一系列的标准,对计算机机房的场地及环境条件也提出了完整的安全要求,计算机机房应当符合这些标准和规定。“在计算机机房附近施工,不得危害计算机信息系统的安全。 ”该款规定
16、不单对计算机机房的所在单位提出要求,而且也对其相邻单位的提出了安全要求,相邻单位也有不得危害计算机信息系统安全的责任和义务,要在用电、预防干扰及信息安全等诸方面保障计算机信息系统的安全。(四)计算机信息系统国际联网备案制度条例第十一条:“进行国际联网的计算机信息系统,由计算机信息系统的使用单位报省级以上人民政府公安机关备案。”计算机信息系统国际联网备案制度是保障联网单位信息系统安全的首要措施,是保障跨越国境数据流安全的强有力的手段,目前,许多的发展中国家和发达国家对跨越国境数据流都有相应的规定。计算机信息系统国际联网备案,仅是一种手段,不是目的。1997 年 12 月 16 日以公安部 33
17、号令发布的,经国务院批准的计算机信息系统网络国际联网安全管理办法明确提出:“公安机关计算机管理监察机构应当掌握互联单位,接入单位和用户的备案情况,建立备案档案,进行备案统计,并按照国家有关规定逐级上报。 ”公安机关依此做好国际联网的安全保护管理工作。(五)计算机信息媒体进出境申报制度条例第十二条:“运输、携带、邮寄计算机信息媒体进出境的,应当如实向海关申报。”计算机信息媒体进出境向海关如实申报,这是我国主权的一种表征。作为重要信息载体的计算机信息媒体的使用已经越来越普遍,记录的信息容量越来越浩瀚,一张极普通 U盘可以轻而易举的大量信息。计算机信息媒体进出境申报制度是在一定的历史条件下保护我国的
18、政治、经济秘密的一项措施。(六)计算机信息系统使用单位安全负责制度条例第十三条:“计算机信息系统的使用单位应当建立健全安全管理制度,负责本单位计算机信息系统的安全保护工作。”该规定将计算机信息系统安全的责任放到各单位、各系统,落实了计算机信息系统的安全责任制。计算机信息系统各不相同,使用的安全技术、安全管理手段也是千差万别,这就要求使用单位高度重视计算机信息系统的安全,自觉认真地做好计算机安全保护工作。安全机关计算机管理监察部门,检查,指导各(七)计算机案件报告制度条例第十四条:“对计算机信息系统中发生的案件,有关使用单位应当在 24 小时内向当地县级以上人民政府公安机关报告。”查处危害计算机
19、信息系统安全的违法犯罪案件,是各地公安机关的职责。计算机案件24 小时强行报告制度,是迅速及时侦破计算机犯罪案件重要保障。计算机案件报告制度也是吸取了国外的经验及教训而制定的,根据国外几十年对付计算机犯罪经验,计算机犯罪与传统的盗窃、抢动等相比,犯罪行为有很大的隐蔽性,不易觉查,不易侦查,只有迅速报案才能有利于保护现场,查找线索。只有报告每一起案件,才能归纳分析每一时期的计算机犯罪的特点,有针对性的采取预先防范和及时打击的措施。(八)计算机病毒及其有害数据管理制度条例第十五条:“对计算机病毒和危害社会公共安全的其他有害数据的防治研究工作,由公安部归口管理。”计算机病毒和危害社会公共安全的其他有
20、害数据要由公安部归口管理。一、计算机病毒,它所破坏的是计算机信息系统健康的“肌体”。二、有害数据则是指,含有攻击人民民主专政、社会主义制度、攻击党和国家领导人、破坏民族团结等危害国家安全内容的信息;含有宣传封建迷信、淫秽色情、凶杀、教唆犯罪等危害社会会治安秩序的内容;或者是危害计算机信息系统运行和功能发,以及应用软件、数据的完整性、可用性和保密性,用于违法活动的包括计算机病毒在内的计算机程序。(九)计算机信息系统安全专用产品销售许可制度条例第十六条:“国家对计算机信息系统安全专用产品的销售实行许可证制度。具体办法由公安部会同有关部门制定。”用来保护计算机信息系统安全的专用的硬件和软件产品,就是
21、计算机信息系统安全专用产品。计算机信息系统安全专用产品是保护计算机信息系统的“保险柜”、“警报器”;是防止非法进入计算机信息系统的“防盗门”、“防撬锁”;是维护计算机信息系统安全的“监视器”和 “保健医生”。10.2.3 第三部分10.2.3.1 安全监督条例第三章“安全监督”内容解读条例第十七条明确规定:“公安机关对计算机信息系统安全保护工作先例下列监督职权:1、监督、检查、指导计算机信息系统安全保护工作;2、查处危害计算机信息系统安全的违法犯罪案件;3、履行计算机信息系统安全保护工作的其他监督职责。” 这是公安机关开展计算机信息系统和信息网络安全监察工作的主要职能和法律依据。10.2.3.
22、2 内容解读信息网络安全保护以预防为主,条例第十八条规定公安机关可就信息网络的安全问题向使用单位发放“隐患通知”。信息网络的安全问题是有时影响面大,扩展迅速,为了及时遏止事态的蔓延,条例第十九条赋予公安部就涉及信息网络安全的项颁布发“专项通令”的权力。10.2.4 第四部分第四章 法律责任第五章 附则10.2.4.1 内容解读条例第四章、第五章内容解读关于法律责任的规定,既是法律强制性的体现,也具有针对违反本条例,危害计算机信息系统的安全而特设的处罚措施。任何组织或个人违反本条例的规定,给国家、集体或他人财产造成损失的,还要依法承担民事责任。此外,违反本条例的规定,构成违反治安管理行为的,依照
23、中华人民共和国治安管理处罚法的有关规定处罚,构成犯罪的,依法追究刑事责任。这些规定,可以说是编织了一张严密的法网,使危害计算机信息系统安全的违法犯罪分子难逃其应负的责任。10.2.4.2 行政法律责任1、行政法律责任。违反计算机信息系统安全行政法规规定,主要是指违反有关计算机信息系统安全保护的法律、行政法规,以及地方性行政法规所规定的应负行政法律责任的内容。条例的第四章专门设定了法律责任,这是对计算机信息系统安全保护工作的原则性要求,是公安机关实施安全监督的依据,也是了解行政法律责任内容的典型例子。(1)条例第二十条规定,违反本条例规定,有下列行为之一的,由公安机关处以警告或者停机整顿:1.
24、违反计算机信息系统安全等级保护制度,危害计算机信息系统安全的; 2. 违反计算机信息系统国际联网备案制度的; 3. 不按照规定时间报告计算机信息系统中发生的案件的; 4. 接到公安机关要求改进安全状况的通知后,在限期内拒不改进的; 5. 有危害计算机信息系统安全的其他行为的。 本条对违反计算机信息系统安全保护条例规定的,可以处以警告、停机整顿。(2) 条例第二十一条规定,计算机机房不符合国家标准和国家其他有关规定的,或者在计算机机房附近施工危害计算机信息系统安全的,由公安机关会同有关单位进行处理。(3) 条例第二十二条规定,运输、携带、邮寄计算机信息媒体进出境,不如实向海关申报的,由海关依照中
25、华人民共和国海关法和本条例以及其他有关法律、法规的规定处理。(4) 条例第二十三条规定,故意输入计算机病毒以及其他有害数据危害计算机信息系统安全的,或者未经许可出售计算机信息系统安全专用产品的,由公安机关处以警告或者对个人处以 5000 元以下的罚款、对单位处以 15000 以下的罚款;有违法所得的,除予以没收外,可以处以违法所得 1 至 3 倍的罚款。10.2.4.3 其他约束性条款2、其他约束性条款(1)与治安管理处罚法衔接的规定。信息网络安全保护和国家社会治安是密切相关的。中华人民共和国治安管理处罚法对于扰乱社会治安,妨害公共安全,侵犯公民人身权利,侵犯公私财产等,尚不构成刑事处罚的违法
26、行为作了较为详细的规定,为了便于与治安管理处罚法衔接,条例第二十四条规定,违反本规定,构成违反治安管理行为的,依据中华人民共和国治安管理处罚法的有关规定处罚;构成犯罪的,依法追究刑事责任。(2)民事责任规定。信息网络的安全保护涉及到许多民事方面的问题需要进行调整,为便于和民法方面的法律问题进行衔接, 条例第二十五条规定,任何组织个人违反本条例的规定,给国家、集体或者他人造成损失的,应当依法承担民事责任。(3)计算机信息系统安全保护条例执行中的行政复议、行政诉讼和行政处分。在行政法律关系中发生行政争议时, 条例第二十六条规定:“当事人对公安机关依照本条例所作出的具体行政行为不能的,可以依法申请行政复议或者提起行政诉讼。 ” 条例的第二十七条还规定:“执行本条例的国家公务员利用职权,索取、收受贿赂或者有其他违法、失职行为,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,给予行政处分。 ”
