杨梅喜：关于完善网络安全立法的建议

　　近年来，随着互联网使用的逐渐普及，网络安全问题日见突出，互联网安全的保护难度也越来越大，网络安全事件及由网络诱发和借助网络进行的各类违法犯罪活动时有发生，不断困扰着全世界的互联网用户。针对当前网络安全的严峻形势，急需相关部门加强立法规范。

　　一、我国互联网安全问题

　　据媒体报道，360安全中心近日对外发布《2011年度互联网网站安全报告》，数据显示，据网站安全检测平台对随机抽取的93233个国内网站分析发现，存在高危漏洞的网站比例达36%，存在中危漏洞的网站则有16%，两者合计比例高达52%。QQ电脑管家与艾瑞咨询也于近日联合发布《2011下半年个人网络安全报告》称，2012年个人网络安全情况依然严峻。

　　目前，我国互联网安全问题呈现多样化趋势：

　　（一）信息泄露问题严重。2011年年底国内最大的程序员社区网站CSDN被爆出超过600万用户的注册资料遭泄露，随后有消息称，国内多家网站的用户信息也被泄露，多数网站都提醒用户，尽快修改注册密码，以防被黑客破解。这场危机引发了大量讨论，一些专家甚至认为，这场密码泄露问题严重考验着我国互联网安全。网站尤其是一些热门社交网站，大量用户信息泄露将造成很大影响，然而用户想要对此进行维权却很难。

　　（二）以商业利益为重。互联网安全问题的高发领域多数是由于黑客受到利益驱使，安置病毒窃取金钱。经常进行网络购物的用户对此应该不陌生，卖家发来的一个链接很可能造成买家银行卡信息泄露，并造成直接或间接的经济损失；用网络处理金融业务的人员也常常在不经意间被植入病毒，造成巨大损失。网络安全问题对网民经济利益带来很大威胁，一个小木马很有可能造成巨额损失。

　　（三）网络安全干扰日常生活。除了互联网以外，移动互联网也成为病毒的侵袭领域。打开朋友发来的彩信有可能就植入了病毒，造成手机功能异常；也有用户在上网过程中被植入木马，造成手机不断发送短信，直至停机。很多网民日常生活都受到网络安全困扰，且暂时没有行之有效的方法能够解决此类现象。互联网安全问题频发，安全防范至关重要。在法律制度上对于网络安全问题的处理仍不全面，网络犯罪没有健全的法律作为执法保证，黑客钻着法律漏洞侵袭互联网。

　　二、国外网络安全立法状况

　　世界各国都采取多种方式护卫网络安全。

　　在美国，专门用来解决网络安全问题的法律法规主要涉及以下几个领域：加强网络基础设施保护，打击网络犯罪，如：《国家信息基础设施保护法》、《计算机欺诈与滥用法》、《公共网络安全法》、《计算机安全法》、《加强计算机安全法》、《加强网络安全法》；规范网络信息收集、利用、发布和隐私权保护，如：《信息自由法》、《隐私权法》、《电子通信隐私法》、《儿童在线隐私权保护法》、《通信净化法》、《数据保密法》、《网络安全信息法》、《网络电子安全法》；确认电子签名及认证，如：《全球及全国商务电子签名法》；其他网络安全问题，如：《国土安全法》、《政府信息安全改革法》、《网络安全研究与开发法》等。而且，自2008年以来，美国国务院逐渐完善了一项名为“风险评分”的项目，美国国务院有关部门每隔一至三天就对国务院办公机构及美国在全世界的驻外机构约9.6万台计算机进行扫描，查找可能存在的安全漏洞，并将结果告知专业人员，及时处理。

　　俄罗斯十分重视网络安全立法工作，在《俄罗斯联邦宪法》、《国家安全法》、《国家保密法》、《电信法》等中都对国家的网络安全做出了相应的规定，并陆续制定和公布了《俄罗斯网络立法构想》、《俄罗斯联邦信息和信息化领域立法发展构想》、《信息安全学说》、《2000-2004年大众传媒立法发展构想》等纲领性文件，起草和修订《电子文件法》、《俄罗斯联邦因特网发展和利用国家政策法》、《信息权法》、《个人信息法》、《国际信息交易法》、《〈国际信息交易法〉联邦法的补充和修改法》、《信息、信息化和信息保护法》、《〈信息、信息化和信息保护法〉联邦法的补充和修改法》、《电子合同法》、《电子商务法》、《电子数字签名法》等20余部法律。

　　为了维护网络安全，打击网络犯罪，一些国际组织如欧洲理事会、联合国等在积极推动建立打击网络犯罪的国际司法合作机制，其中，最有影响、特别值得关注的是2004年7月1日生效的欧洲理事会《关于网络犯罪的公约》。

　　他山之石，可以攻玉，我国在完善网络安全立法中，应积极借鉴国外成功立法经验，了解国际网络安全的立法趋势。

　　三、我国网络安全立法情况

　　目前，我国的网络安全立法活动处在就事论事立法的阶段，没有形成系统的立法体系。我国维护网络安全的现行法规、规章主要有：1994年国务院发布的《中华人民共和国计算机信息系统安全保护条例》；1996年国务院发布的《中华人民共和国计算机信息网络国际联网管理暂行规定》 ；1997年国务院批准公安部发布的《计算机信息网络国际联网安全保护管理办法》； 1997年《刑法》的有关规定；1998年国务院信息化工作领导小组发布的《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》 ； 2000年公安部发布的《计算机病毒防治管理办法》；2000年最高人民法院发布的《关于审理扰乱电信市场管理秩序案件具体应用法律若干问题的解释》；2000年国务院发布的《中华人民共和国电信条例》；2000年信息产业部发布的《互联网电子公告服务管理规定》；2000年全国人民代表大会常务委员会通过的《全国人大常委会关于维护互联网安全的决定》；2002年国务院发布的《互联网上网服务营业场所管理条例》等。

　　这些规范性法律文件散见在人大、政府、部委或法律、地方的法规、规章的零星规定中，缺乏权威性、系统性和协调性，与互联网迅速发展的形势相比显得尤为滞后。有些法规、规章长时间没有修订，已无法适应当前网络安全的需要，或效力等级不高，不能有效监管网络安全，因此，加快制定和完善网络监管安全方面的法律法规，迫在眉睫。

　　四、完善网络安全立法，打击网络犯罪

　　修改《刑法》中关于网络犯罪的相关规定，为我国网络安全提供有力的刑法保护。

　　（一）关于第二百八十五条第一款的修改

　　刑法原文：

　　第二百八十五条违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。

　　违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

　　提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。

　　修改建议：

　　修改刑法第285条第一款的规定，将其修改为：“违反国家规定，侵入计算机信息系统，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，从重处罚。”

　　修改理由：

　　原非法侵入计算机信息系统罪的保护对象仅限于国家事务、国防建设、尖端科学技术领域的三类计算机信息系统，对非法侵入三类领域以外的计算机信息系统的，不构成该罪。建议扩大网络安全保护的范围，侵入任何性质的计算机系统（国家的、企业的或者个人的计算机系统）都可能构成非法侵入计算机系统罪，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统属于从重处罚情节。

　　建议修改后的条文：

　　第二百八十五条违反国家规定，侵入计算机信息系统，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，从重处罚。

　　违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

　　提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。

　　（二）关于第二百八十六条的修改

　　刑法原文：

　　第二百八十六条违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。

　　违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。

　　故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。

　　修改建议：

　　增加非法拦截、干扰计算机数据通信罪，可以规定为刑法第286条之三，罪状可以描述为：“违反国家规定.故意拦截、获取、损坏、删除、修改存储、处理、传输中的计算机数据或者妨碍其正常使用，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。”

　　修改理由：

　　把未经授权利用技术手段故意拦截计算机网络数据非公开传输的行为规定为犯罪，以保护电子数据网络传输的安全性。我国《刑法》第252条规定，“隐匿、毁弃或者非法开拆他人信件，侵犯公民通信自由权利，情节严重的”行为构成侵犯通信自由罪，虽然可以将信件的含义扩充为普通信件和电子信件，但不能涵盖所有的电子数据通信，如网上浏览和上传计算机文件等。侵犯通信自由罪的犯罪手段是使用隐匿、毁弃或者非法开拆他人信件的方法，侵犯通信自由；非法获取计算机数据罪的犯罪手段多种多样，有侵入计算机系统直接获取资料内容，也有在计算机网络中使用电子窃听等设备间接获取计算机数据等方法，侵犯计算机网络数据安全。

　　建议修改后的条文：

　　第二百八十六条违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。

　　违反国家规定.故意拦截、获取、损坏、删除、修改存储、处理、传输中的计算机数据或者妨碍其正常使用，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

　　故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。