视点调查——宁夏首部计算机信息安保条例的幕后故事
宁夏首部计算机信息系统安保条例的施行进入倒计时状态———再过一个多月,也就是10月1日,这部引起“网络社会”关注的条例将正式实施。
之所以备受关注,是因为条例明确规定了21条“不能触碰”的“高压线”,曾在“网络江湖”兴风作浪的11种行为———提供侵入、非法控制他人计算机信息系统的程序或者工具;窃取他人账号和密码;假冒他人名义发布、发送信息,或者以其他方式进行网络诈骗;擅自公开他人的信息资料等,皆被囊括在内。
更难得的是,对于违反上述规定的行为,条例的责任追究堪称“严厉”:“将处5000元以下罚款,对单位并处以5000元以上1.5万元以下罚款”,“情节严重的,可以给予6个月以内的停止联网、停机整顿的处罚”。
在我国信息安全立法尚显滞后的大背景下,地处西北的宁夏为何率先制定了这样一部地方法规?这不仅是宁夏网民,也是全国网民乃至全社会“好奇”的问题。为此,记者近日走访了相关部门,试图了解这部地方性法规面世的台前幕后故事。
涉及计算机安全案件频发
在宁夏公安信息网络安全监察总队,相关工作人员了解到记者的采访意图后,给记者讲述了这样两起典型的案件。
2008年9月,宁夏中卫市公安局接到河南省商丘市公安机关关于一起网上购物账户被盗案的协查通报。经过6个月的缜密侦查,中卫市警方打掉了一个专门从事网上盗窃的团伙,涉案嫌疑人多达9人,涉案金额达50多万元,追回赃款10多万元。这起案件是宁夏第一起也是最大的一起网络盗窃案。
经查,自2008年4月以来,以陈某为首的网上盗窃团伙,利用一家交易网站破解他人账号密码,盗取现金,得手后立刻利用盗窃所得购买Q币、游戏卡等,并转至其同伙“小文”名下进行销赃,作案120起以上。该团伙成员有时结伙作案,有时单独作案,作案后利用网络异地销赃。他们先后流窜到银川、甘肃景泰、陕西西安等地的网吧,利用假身份证登记上网,或到旅馆利用自带的笔记本电脑破解密码,盗窃他人资金。
另外一起案例是,今年4月15日,公安部通报,有一大型淫秽色情网站拥有注册会员55633人,网站设有19个板块、129个栏目,其中大部分板块粘贴有大量的淫秽色情信息,涉及全国十几个省市80多名管理员,其中一名网站行政主管在宁夏。
接到通报后,宁夏警方立即展开侦查,确定了犯罪嫌疑人经常上网的网吧和时间。4月21日21时许,宁夏自治区公安厅网安总队、银川市网安支队及永宁县刑警队民警在永宁县一网吧抓获了犯罪嫌疑人。
经查,犯罪嫌疑人吕某先后在该色情网站上传各类图片视频500多次。目前,犯罪嫌疑人吕某已被移送起诉。
宁夏自治区公安厅副厅长刘德中在接受记者采访时说,网络与信息系统的基础性、全局性作用日益增强,同时,信息网络安全问题也越来越突出。一些不法分子利用信息网络从事违法犯罪活动,制作、传播淫秽、色情、赌博等有害信息,进行网络攻击、网络诈骗、网络盗窃、病毒传播、盗取他人网上账号,侵犯了群众切身利益,成为社会反映强烈的问题。
宁夏百万网民面临五大“地雷”
据有关部门统计,宁夏的计算机系统正以前所未有的速度广泛应用到社会生活的各个领域。最新的数据显示,目前,宁夏全区有网民102万人,占全区总人口的16.1%,有网站3730个、网页2000万个,重要计算机信息系统502个,提供互联网接入服务的单位有7家,网吧698家,发展速度居全国前列。
然而,计算机信息技术的迅猛发展,也带来了许多亟待解决的新情况、新问题。宁夏自治区人大常委会法制工作委员会主任陈胜利在接受记者采访时,将这些情况和问题归结为五大类:
计算机信息系统运营、使用单位的信息安全保护、保密观念淡薄,一些信息系统不设防或者不按照要求落实保护、保密技术措施的情况依然存在;
计算机信息系统信息安全保护制度不健全,责任不落实,监管不到位,致使网络有害信息、淫秽色情图片传播迅速,网络诈骗、网络盗窃、病毒传播、违禁品销售等违法行为时有发生;
信息安全保护基础设施建设薄弱,网络与信息系统整体防护水平不高,致使信息泄密、信息系统受黑客、病毒攻击的现象时有发生;
一些单位的涉密计算机违规连接互联网、非涉密计算机违规储存、处理和传输涉密信息,在涉密与非涉密计算机之间交叉使用移动存储介质等现象仍然存在,对国家安全构成了威胁;
一些单位计算机使用、管理专业化程度不高,行为不规范,还不能有效应对和防范突发安全事件。
这五大问题,像五颗“地雷”,时时威胁着宁夏全区计算机信息系统的安全。
“这些新情况、新问题,急需通过立法来解决。”刘德中说。
在这样的背景下,经过反复研究、论证、修改,《宁夏计算机信息系统安全保护条例》终于应运而生。
“网络社会”法定义务浮出水面
“条例明确规定,任何单位或者个人不得利用计算机信息系统非法截取、篡改、删除他人电子邮件或者其他数据资料,不得擅自公开他人的信息资料。”陈胜利说,之所以这样规定,主要是考虑到信息系统用户资源和个人信息的安全保护。由于网络使用人员的素质、职业等差异,一些违法行为不断发生,加上网络信息传播速度快、传播范围极广等特点,给计算机信息系统安全保护带来一定的困难。在这样的情况下,如果只靠监管部门的监督检查是不能保障信息系统安全的,因此,必须对信息系统运营、使用单位及个人使用信息网络的行为进行规范,使之成为必须遵守的法定义务,促成监管部门与使用者相互协作,互为配合,共同防范,才能真正实现信息的安全保护。
陈胜利说,条例的40条内容中,有21条是涉及计算机信息系统安全秩序、安全保护、安全管理的内容,体现了信息经济时代对信息安全保护重要性的迫切需要,也顺应了信息网络的飞速发展迫切需要相应的法律法规作为保障的形势。
“增强可操作性”是条例的一大亮点。据介绍,计算机信息安全保护的监管职责涉及公安、保密、国家安全、密码部门及各行业主管部门等多个主体。如何避免多头管理所带来的弊端,实现科学管理,保障计算机信息的安全和健康发展,条例的规定很好地解决了这一问题。
陈胜利说,条例还体现了立法的创新,主要体现在政府应制定计算机信息系统安全保护规划和突发事件应急预案、保护个人信息、服务器托管和虚拟空间出租的管理等方面。其中,条例特别规定,发生危及国家安全、公共安全及社会稳定的重大信息网络安全事故,计算机信息系统运营、使用单位应当立即报告公安机关和国家安全机关,并启动应急预案。公安机关可以对运营、使用单位采取24小时内停机检查、暂停联网、备份数据等应急措施。
“《宁夏回族自治区计算机信息系统安全保护条例》即将正式实施,它适应了互联网发展和信息安全的新形势,为宁夏全区计算机信息系统安全保护工作提供了有力的法律保障,对于进一步加强信息系统安全保护、维护人民群众的合法权益,提高全民信息网络安全保护意识、落实安全责任有着深远意义。”采访的最后,陈胜利说。
法制网银川8月11日电
编辑手记
随着科学技术的迅猛发展和信息技术的广泛应用,信息安全已成为国家安全的重要组成部分。有关行政部门通过颁布一系列的法规和规章制度来加强信息安全管理,协调缓解因信息安全问题而带来的矛盾;法律界的有关人士、国家立法层面也开始讨论信息安全立法的意义和可行性———由此可见,通过立法手段解决网络信息安全问题已成为社会共识。
法律是一种制度保障和行为约束,加快网络方面的立法能够从制度上保障网络信息的安全,这比只从技术上提升网络防范风险的能力更为有效。
来源: 法制网——法制日报