Tag: <span>信息安全</span>

银监会:关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见

  中国银监会、国家发展改革委、科技部、工业和信息化部

关于应用安全可控信息技术加强银行业网络安全和信息化建设的指导意见
 
银监发[2014]39号
 
各银监局、各省(自治区、直辖市及计划单列市)发展改革委、科技厅(委、局)、工业和信息化主管部门、各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司、储蓄银行、各省级农村信用联社,银监会直接监管的信托公司、企业集团财务公司、金融租赁公司:
 
为进一步贯彻落实创新驱动发展战略,提升银行业网络安全保障能力和信息化建设水平,推动银行业深化改革、发展转型,促进战略新兴产业发展,现就应用安全可控信息技术加强银行业网络安全和信息化建设提出以下指导意见。
 

中国征信业管理法律法规

 中国征信业管理法律法规(来自人民银行征信管理局网站)

http://www.pbc.gov.cn/publish/zhengxinguanliju/692/index.html

法律法规
     
 
• 征信业管理条例(国务院令 第631号) 2013-03-05
• 中华人民共和国物权法 2012-07-06
 
人行规章
     
 
• 征信机构管理办法 2013-12-03
• 应收账款质押登记办法 2012-07-06
• 个人信用信息基础数据库管理暂行办法 2012-07-06
• 银行信贷登记咨询管理办法(试行) 2012-07-06
 
规范性文件
     
 
• 个人信用信息基础数据库数据报送管理规程(暂行) 2012-07-06
• 个人信用信息基础数据库数据金融机构用户管理办法(暂行) 2012-07-06
• 中国人民银行征信管理局关于加强银行间债券市场信用评级管理的通知 2011-08-25
• 中国人民银行 中国银行业监督管理委员会关于印发《融资性担保公… 2011-08-25
 
征信标准
     
 
• 中国人民银行关于发布《征信数据元 信用评级数据元》和《征信数… 2011-08-25
• 中国人民银行关于发布《征信数据元 数据元设计与管理》等五项行… 2011-08-25
• 我国征信行业标准简介 2010-10-25
• 征信数据元注册与管理办法 2009-06-12

征信业管理条例2013

 中华人民共和国国务院令

第631号
 
    《征信业管理条例》已经2012年12月26日国务院第228次常务会议通过,现予公布,自2013年3月15日起施行。
 
 
                                                     总理   温家宝
                              2013年1月21日
 
 
征信业管理条例
 
第一章 总  则
 
    
    第一条  为了规范征信活动,保护当事人合法权益,引导、促进征信业健康发展,推进社会信用体系建设,制定本条例。
    第二条  在中国境内从事征信业务及相关活动,适用本条例。
    本条例所称征信业务,是指对企业、事业单位等组织(以下统称企业)的信用信息和个人的信用信息进行采集、整理、保存、加工,并向信息使用者提供的活动。
    国家设立的金融信用信息基础数据库进行信息的采集、整理、保存、加工和提供,适用本条例第五章规定。
    国家机关以及法律、法规授权的具有管理公共事务职能的组织依照法律、行政法规和国务院的规定,为履行职责进行的企业和个人信息的采集、整理、保存、加工和公布,不适用本条例。
    第三条  从事征信业务及相关活动,应当遵守法律法规,诚实守信,不得危害国家秘密,不得侵犯商业秘密和个人隐私。
    第四条  中国人民银行(以下称国务院征信业监督管理部门)及其派出机构依法对征信业进行监督管理。
    县级以上地方人民政府和国务院有关部门依法推进本地区、本行业的社会信用体系建设,培育征信市场,推动征信业发展。
 
 
第二章  征信机构
 
 
    第五条  本条例所称征信机构,是指依法设立,主要经营征信业务的机构。
    第六条  设立经营个人征信业务的征信机构,应当符合《中华人民共和国公司法》规定的公司设立条件和下列条件,并经国务院征信业监督管理部门批准:
    (一)主要股东信誉良好,最近3年无重大违法违规记录;
    (二)注册资本不少于人民币5000万元;
    (三)有符合国务院征信业监督管理部门规定的保障信息安全的设施、设备和制度、措施;
    (四)拟任董事、监事和高级管理人员符合本条例第八条规定的任职条件;
    (五)国务院征信业监督管理部门规定的其他审慎性条件。
    第七条  申请设立经营个人征信业务的征信机构,应当向国务院征信业监督管理部门提交申请书和证明其符合本条例第六条规定条件的材料。
    国务院征信业监督管理部门应当依法进行审查,自受理申请之日起60日内作出批准或者不予批准的决定。决定批准的,颁发个人征信业务经营许可证;不予批准的,应当书面说明理由。
    经批准设立的经营个人征信业务的征信机构,凭个人征信业务经营许可证向公司登记机关办理登记。
    未经国务院征信业监督管理部门批准,任何单位和个人不得经营个人征信业务。
    第八条  经营个人征信业务的征信机构的董事、监事和高级管理人员,应当熟悉与征信业务相关的法律法规,具有履行职责所需的征信业从业经验和管理能力,最近3年无重大违法违规记录,并取得国务院征信业监督管理部门核准的任职资格
    第九条  经营个人征信业务的征信机构设立分支机构、合并或者分立、变更注册资本、变更出资额占公司资本总额5%以上或者持股占公司股份5%以上的股东的,应当经国务院征信业监督管理部门批准
    经营个人征信业务的征信机构变更名称的,应当向国务院征信业监督管理部门办理备案。
    第十条  设立经营企业征信业务的征信机构,应当符合《中华人民共和国公司法》规定的设立条件,并自公司登记机关准予登记之日起30日内向所在地的国务院征信业监督管理部门派出机构办理备案,并提供下列材料:
    (一)营业执照;
    (二)股权结构、组织机构说明;
    (三)业务范围、业务规则、业务系统的基本情况;
    (四)信息安全和风险防范措施
    备案事项发生变更的,应当自变更之日起30日内向原备案机构办理变更备案。
    第十一条  征信机构应当按照国务院征信业监督管理部门的规定,报告上一年度开展征信业务的情况。
    国务院征信业监督管理部门应当向社会公告经营个人征信业务和企业征信业务的征信机构名单,并及时更新。
    第十二条  征信机构解散或者被依法宣告破产的,应当向国务院征信业监督管理部门报告,并按照下列方式处理信息数据库:
    (一)与其他征信机构约定并经国务院征信业监督管理部门同意,转让给其他征信机构;
    (二)不能依照前项规定转让的,移交给国务院征信业监督管理部门指定的征信机构;
    (三)不能依照前两项规定转让、移交的,在国务院征信业监督管理部门的监督下销毁。
    经营个人征信业务的征信机构解散或者被依法宣告破产的,还应当在国务院征信业监督管理部门指定的媒体上公告,并将个人征信业务经营许可证交国务院征信业监督管理部门注销。
 
 
第三章  征信业务规则
 
 
    第十三条  采集个人信息应当经信息主体本人同意,未经本人同意不得采集。但是,依照法律、行政法规规定公开的信息除外
    企业的董事、监事、高级管理人员与其履行职务相关的信息,不作为个人信息。
    第十四条  禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息。
    征信机构不得采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息。但是,征信机构明确告知信息主体提供该信息可能产生的不利后果,并取得其书面同意的除外
    第十五条  信息提供者向征信机构提供个人不良信息,应当事先告知信息主体本人。但是,依照法律、行政法规规定公开的不良信息除外
    第十六条  征信机构对个人不良信息的保存期限,自不良行为或者事件终止之日起为5年;超过5年的,应当予以删除
    在不良信息保存期限内,信息主体可以对不良信息作出说明,征信机构应当予以记载。
    第十七条  信息主体可以向征信机构查询自身信息。个人信息主体有权每年两次免费获取本人的信用报告。
    第十八条  向征信机构查询个人信息的,应当取得信息主体本人的书面同意并约定用途。但是,法律规定可以不经同意查询的除外
    征信机构不得违反前款规定提供个人信息。
    第十九条  征信机构或者信息提供者、信息使用者采用格式合同条款取得个人信息主体同意的,应当在合同中作出足以引起信息主体注意的提示,并按照信息主体的要求作出明确说明。
    第二十条  信息使用者应当按照与个人信息主体约定的用途使用个人信息,不得用作约定以外的用途,不得未经个人信息主体同意向第三方提供
    第二十一条  征信机构可以通过信息主体、企业交易对方、行业协会提供信息,政府有关部门依法已公开的信息,人民法院依法公布的判决、裁定等渠道,采集企业信息
    征信机构不得采集法律、行政法规禁止采集的企业信息
    第二十二条  征信机构应当按照国务院征信业监督管理部门的规定,建立健全和严格执行保障信息安全的规章制度,并采取有效技术措施保障信息安全。
    经营个人征信业务的征信机构应当对其工作人员查询个人信息的权限和程序作出明确规定,对工作人员查询个人信息的情况进行登记,如实记载查询工作人员的姓名,查询的时间、内容及用途。工作人员不得违反规定的权限和程序查询信息,不得泄露工作中获取的信息。
    第二十三条  征信机构应当采取合理措施,保障其提供信息的准确性。
    征信机构提供的信息供信息使用者参考。
    第二十四条  征信机构在中国境内采集的信息的整理、保存和加工,应当在中国境内进行。
    征信机构向境外组织或者个人提供信息,应当遵守法律、行政法规和国务院征信业监督管理部门的有关规定
 
 
第四章  异议和投诉
 
 
    第二十五条  信息主体认为征信机构采集、保存、提供的信息存在错误、遗漏的,有权向征信机构或者信息提供者提出异议,要求更正。
    征信机构或者信息提供者收到异议,应当按照国务院征信业监督管理部门的规定对相关信息作出存在异议的标注,自收到异议之日起20日内进行核查和处理,并将结果书面答复异议人
    经核查,确认相关信息确有错误、遗漏的,信息提供者、征信机构应当予以更正;确认不存在错误、遗漏的,应当取消异议标注;经核查仍不能确认的,对核查情况和异议内容应当予以记载。
    第二十六条  信息主体认为征信机构或者信息提供者、信息使用者侵害其合法权益的,可以向所在地的国务院征信业监督管理部门派出机构投诉。
    受理投诉的机构应当及时进行核查和处理,自受理之日起30日内书面答复投诉人。
    信息主体认为征信机构或者信息提供者、信息使用者侵害其合法权益的,可以直接向人民法院起诉
 
 
第五章  金融信用信息基础数据库
 
 
    第二十七条  国家设立金融信用信息基础数据库,为防范金融风险、促进金融业发展提供相关信息服务。
    金融信用信息基础数据库由专业运行机构建设、运行和维护。该运行机构不以营利为目的,由国务院征信业监督管理部门监督管理
    第二十八条  金融信用信息基础数据库接收从事信贷业务的机构按照规定提供的信贷信息。
    金融信用信息基础数据库为信息主体和取得信息主体本人书面同意的信息使用者提供查询服务。国家机关可以依法查询金融信用信息基础数据库的信息。
    第二十九条  从事信贷业务的机构应当按照规定向金融信用信息基础数据库提供信贷信息
    从事信贷业务的机构向金融信用信息基础数据库或者其他主体提供信贷信息,应当事先取得信息主体的书面同意,并适用本条例关于信息提供者的规定。
    第三十条  不从事信贷业务的金融机构向金融信用信息基础数据库提供、查询信用信息以及金融信用信息基础数据库接收其提供的信用信息的具体办法,由国务院征信业监督管理部门会同国务院有关金融监督管理机构依法制定。
    第三十一条  金融信用信息基础数据库运行机构可以按照补偿成本原则收取查询服务费用,收费标准由国务院价格主管部门规定。
    第三十二条  本条例第十四条、第十六条、第十七条、第十八条、第二十二条、第二十三条、第二十四条、第二十五条、第二十六条适用于金融信用信息基础数据库运行机构。
 
 
第六章  监督管理
 
 
    第三十三条  国务院征信业监督管理部门及其派出机构依照法律、行政法规和国务院的规定,履行对征信业和金融信用信息基础数据库运行机构的监督管理职责,可以采取下列监督检查措施:
    (一)进入征信机构、金融信用信息基础数据库运行机构进行现场检查,对向金融信用信息基础数据库提供或者查询信息的机构遵守本条例有关规定的情况进行检查;
    (二)询问当事人和与被调查事件有关的单位和个人,要求其对与被调查事件有关的事项作出说明;
    (三)查阅、复制与被调查事件有关的文件、资料,对可能被转移、销毁、隐匿或者篡改的文件、资料予以封存;
    (四)检查相关信息系统。
    进行现场检查或者调查的人员不得少于2人,并应当出示合法证件和检查、调查通知书。
    被检查、调查的单位和个人应当配合,如实提供有关文件、资料,不得隐瞒、拒绝和阻碍。
    第三十四条  经营个人征信业务的征信机构、金融信用信息基础数据库、向金融信用信息基础数据库提供或者查询信息的机构发生重大信息泄露等事件的,国务院征信业监督管理部门可以采取临时接管相关信息系统等必要措施,避免损害扩大。
    第三十五条  国务院征信业监督管理部门及其派出机构的工作人员对在工作中知悉的国家秘密和信息主体的信息,应当依法保密。
 
 
第七章  法律责任
 
 
    第三十六条  未经国务院征信业监督管理部门批准,擅自设立经营个人征信业务的征信机构或者从事个人征信业务活动的,由国务院征信业监督管理部门予以取缔,没收违法所得,并处5万元以上50万元以下的罚款;构成犯罪的,依法追究刑事责任。
    第三十七条  经营个人征信业务的征信机构违反本条例第九条规定的,由国务院征信业监督管理部门责令限期改正,对单位处2万元以上20万元以下的罚款;对直接负责的主管人员和其他直接责任人员给予警告,处1万元以下的罚款。
    经营企业征信业务的征信机构未按照本条例第十条规定办理备案的,由其所在地的国务院征信业监督管理部门派出机构责令限期改正;逾期不改正的,依照前款规定处罚。
    第三十八条  征信机构、金融信用信息基础数据库运行机构违反本条例规定,有下列行为之一的,由国务院征信业监督管理部门或者其派出机构责令限期改正,对单位处5万元以上50万元以下的罚款;对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下的罚款;有违法所得的,没收违法所得。给信息主体造成损失的,依法承担民事责任;构成犯罪的,依法追究刑事责任:
    (一)窃取或者以其他方式非法获取信息;
    (二)采集禁止采集的个人信息或者未经同意采集个人信息;
    (三)违法提供或者出售信息;
    (四)因过失泄露信息;
    (五)逾期不删除个人不良信息;
    (六)未按照规定对异议信息进行核查和处理;
    (七)拒绝、阻碍国务院征信业监督管理部门或者其派出机构检查、调查或者不如实提供有关文件、资料;
    (八)违反征信业务规则,侵害信息主体合法权益的其他行为
    经营个人征信业务的征信机构有前款所列行为之一,情节严重或者造成严重后果的,由国务院征信业监督管理部门吊销其个人征信业务经营许可证。
    第三十九条  征信机构违反本条例规定,未按照规定报告其上一年度开展征信业务情况的,由国务院征信业监督管理部门或者其派出机构责令限期改正;逾期不改正的,对单位处2万元以上10万元以下的罚款;对直接负责的主管人员和其他直接责任人员给予警告,处1万元以下的罚款。
    第四十条  向金融信用信息基础数据库提供或者查询信息的机构违反本条例规定,有下列行为之一的,由国务院征信业监督管理部门或者其派出机构责令限期改正,对单位处5万元以上50万元以下的罚款;对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下的罚款;有违法所得的,没收违法所得。给信息主体造成损失的,依法承担民事责任;构成犯罪的,依法追究刑事责任:
    (一)违法提供或者出售信息;
    (二)因过失泄露信息;
    (三)未经同意查询个人信息或者企业的信贷信息;
    (四)未按照规定处理异议或者对确有错误、遗漏的信息不予更正;
    (五)拒绝、阻碍国务院征信业监督管理部门或者其派出机构检查、调查或者不如实提供有关文件、资料。
    第四十一条  信息提供者违反本条例规定,向征信机构、金融信用信息基础数据库提供非依法公开的个人不良信息,未事先告知信息主体本人,情节严重或者造成严重后果的,由国务院征信业监督管理部门或者其派出机构对单位处2万元以上20万元以下的罚款;对个人处1万元以上5万元以下的罚款。
    第四十二条  信息使用者违反本条例规定,未按照与个人信息主体约定的用途使用个人信息或者未经个人信息主体同意向第三方提供个人信息,情节严重或者造成严重后果的,由国务院征信业监督管理部门或者其派出机构对单位处2万元以上20万元以下的罚款;对个人处1万元以上5万元以下的罚款;有违法所得的,没收违法所得。给信息主体造成损失的,依法承担民事责任;构成犯罪的,依法追究刑事责任。
    第四十三条  国务院征信业监督管理部门及其派出机构的工作人员滥用职权、玩忽职守、徇私舞弊,不依法履行监督管理职责,或者泄露国家秘密、信息主体信息的,依法给予处分。给信息主体造成损失的,依法承担民事责任;构成犯罪的,依法追究刑事责任。
 
 
第八章  附则
 
 
    第四十四条  本条例下列用语的含义:
    (一)信息提供者,是指向征信机构提供信息的单位和个人,以及向金融信用信息基础数据库提供信息的单位。
    (二)信息使用者,是指从征信机构和金融信用信息基础数据库获取信息的单位和个人。
    (三)不良信息,是指对信息主体信用状况构成负面影响的下列信息:信息主体在借贷、赊购、担保、租赁、保险、使用信用卡等活动中未按照合同履行义务的信息,对信息主体的行政处罚信息,人民法院判决或者裁定信息主体履行义务以及强制执行的信息,以及国务院征信业监督管理部门规定的其他不良信息
    第四十五条  外商投资征信机构的设立条件,由国务院征信业监督管理部门会同国务院有关部门制定,报国务院批准。
    境外征信机构在境内经营征信业务,应当经国务院征信业监督管理部门批准。
    第四十六条  本条例施行前已经经营个人征信业务的机构,应当自本条例施行之日起6个月内,依照本条例的规定申请个人征信业务经营许可证。
    本条例施行前已经经营企业征信业务的机构,应当自本条例施行之日起3个月内,依照本条例的规定办理备案。
    第四十七条  本条例自2013年3月15日起施行。

全国人民代表大会常务委员会关于加强网络信息保护的决定2012

  全国人民代表大会常务委员会关于加强网络信息保护的决定

 
(2012年12月28日第十一届全国人民代表大会常务委员会第三十次会议通过)
 
    为了保护网络信息安全,保障公民、法人和其他组织的合法权益,维护国家安全和社会公共利益,特作如下决定:
 
    一、国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。
 
    任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息不得出售或者非法向他人提供公民个人电子信息。
 
    二、网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则明示收集、使用信息的目的、方式和范围并经被收集者同意不得违反法律、法规的规定和双方的约定收集、使用信息。
 
    网络服务提供者和其他企业事业单位收集、使用公民个人电子信息,应当公开其收集、使用规则
 
    三、网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供
 
    四、网络服务提供者和其他企业事业单位应当采取技术措施其他必要措施,确保信息安全,防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施。
 
    五、网络服务提供者应当加强对其用户发布的信息的管理,发现法律、法规禁止发布或者传输的信息的,应当立即停止传输该信息采取消除等处置措施保存有关记录并向有关主管部门报告
 
    六、网络服务提供者为用户办理网站接入服务,办理固定电话移动电话入网手续,或者为用户提供信息发布服务应当在与用户签订协议或者确认提供服务时,要求用户提供真实身份信息
 
    七、任何组织和个人未经电子信息接收者同意或者请求或者电子信息接收者明确表示拒绝的,不得向其固定电话、移动电话或者个人电子邮箱发送商业性电子信息
 
    八、公民发现泄露个人身份散布个人隐私等侵害其合法权益的网络信息,或者受到商业性电子信息侵扰的,有权要求网络服务提供者删除有关信息或者采取其他必要措施予以制止
 
    九、任何组织和个人对窃取或者以其他非法方式获取、出售或者非法向他人提供公民个人电子信息的违法犯罪行为以及其他网络信息违法犯罪行为,有权向有关主管部门举报、控告;接到举报、控告的部门应当依法及时处理。被侵权人可以依法提起诉讼。
 
    十、有关主管部门应当在各自职权范围内依法履行职责,采取技术措施和其他必要措施,防范、制止和查处窃取或者以其他非法方式获取、出售或者非法向他人提供公民个人电子信息的违法犯罪行为以及其他网络信息违法犯罪行为。有关主管部门依法履行职责时,网络服务提供者应当予以配合,提供技术支持。
 
    国家机关及其工作人员对在履行职责中知悉的公民个人电子信息应当予以保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供
 
    十一、对有违反本决定行为的,依法给予警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚记入社会信用档案并予以公布;构成违反治安管理行为的,依法给予治安管理处罚。构成犯罪的,依法追究刑事责任。侵害他人民事权益的,依法承担民事责任。
 
十二、本决定自公布之日起施行。

《北京市信息化促进条例》促进了什么?

  《北京市信息化促进条例》于2007年9月14日通过,2007年12月1日通过。对“信息化工程建设”、“信息资源开发利用”、“信息技术推广应用”、“信息安全保障”、“监督管理”等方面进行了规定,同时还规定了“法律责任”。

  关于“信息化工程建设”,尽管专章规定,但最基本的什么是“信息化工程建设”,则没有作出定义。装个软件算不算工程建设?装八个软件算不算?装了软件再买台电脑作服务器算不算?买了电脑再把电脑连起来算不算?连起来后再放到一间房间里算不算?这间房间是老的房间还是新修的房间?拉跟网线算不算?拉十根算不算?这样的模糊词汇,只会使法律规定变得极不确定——这是中国各种立法的老毛病了,表面原因在于没有法律专业人才参与立法,有也不能决定,能决定也学得不好;深层原因在于立法过程完全缺乏利益相关者的公开参与。无论如何,综合该章各条款,似乎这种“工程建设”包括“使用使用政府投资”的和“不使用政府投资”的。对于使用政府投资的“信息化工程建设”,建设单位在报发展改革部门或者其他有关部门立项审批前,应当通过同级信息化主管部门的审查(第十三条),对于不使用政府投资的,则不需要。对于所谓“信息化工程建设”,该条例强制性规定保修制度,但不使用政府投资的,保修的内容没有限制,使用政府投资的,则保修期自工程竣工验收合格之日起不得少于两年(第十五条)。

  关于信息资源开发利用。这一章总的来讲,似乎是希望解决各个部门各自为政的情况,建立统一的数据库并共享,这一点值得称赞。同时还要求教育、医疗卫生、供水、供气、供热、公共交通、环保等公共企事业单位将服务承诺、收费标准、办事过程通过网站公开。这一强制性规范如果真的得以执行,意味着所有涉及到的企业和事业单位网站将进行一次全面的升级。这个地方,是该条例中不多的“促进”信息化的实质性举措之一。

  关于信息技术推广应用。这一章从名字上看,让人以为规定的是对“技术”的推广,但内容则超越了这个层面,还包括对“利用信息技术推广“商业”的活动”的规范。或者换句话说,是对电子商务活动的规范。其要点在第二十六条:“……利用互联网从事经营活动的单位和个人应当依法取得营业执照,并在网站主页面上公开经营主体信息、已取得相应许可或者备案的证明、服务规则和服务流程等相应信息。”

“国家信息安全战略” = “信息网络安全法律体系”?

  任何讨论的前提是弄清楚定义。定义清楚了,才能继续接下来的讨论。在过去的文章中,我们已经对信息网络安全的法学定义进行过阐述。此外,我们还对社会现实中可能存在的“多元的安全观”进行过描述——什么是“多元的安全观”?简单地讲,就是“屁股决定脑袋”:你是企业的老板,你的所谓“信息安全”要维护的是你企业的利益;我是企业的雇员,我的所谓“信息安全”要维护的是我的利益;他是政权统治者,他的所谓“信息安全”是要维护他的政权稳固。

  还是因为屁股决定脑袋,因为我们都是中国人,所以我们所期待的“信息安全”中,都至少会有一部分目标是共同的:保障整个国家的安全,以达到保了大家,成全了小家的目的——这一部分目标,就是所谓的“国家信息安全”,所谓“国家信息安全战略”,讲的就主要是这块内容。

信息网络安全的法学定义研究

 

信息网络安全的法学定义研究——从技术视角向法律思维的转换

董皓、张楚*

———————————–

本文引用方式:董皓、张楚:“信息网络安全的法学定义研究——从技术视角向法律思维的转换”,载《信息网络安全》2006年第2期(总第62 期),第12-15页。

————————————

陷阱”(Entrapment)[2]到震惊世界的黑客米特尼克(Mitnick)[3],从各式各样的软硬件防火墙到数字签名技术,“信息网络安全”似乎已经成为二十一世纪最吸引眼球的关键词之一。这个词汇产生了巨大的引力,拉近了计算机工程师和法官这两种原本并不相干的职业的距离,进而让各国立法者们忙碌起来,纷纷开始草拟有关“网络安全”或者“信息安全”的法律条文——事情好像已经变得非常简单,只要我们手中有一本标明了条款序号的小册子,信息网络安全就和“国家安全”、“财产安全”或者“交易安全”一样,成为法官和行政执法者当然的口号和定争止纷的利器,我们的法律体系也就成功地迈入所谓“信息网络时代”了。
但是,在探讨与信息网络安全有关的法律问题乃至谋求制订诸如“信息网络安全法”一类立法之前,我们同样必须首先回答以下一些看似简单的问题:什么样的信息网络才是“安全”的?在不同的法域和法律文化中,“信息网络安全”是否相同?而这些问题的核心在于“信息网络安全”这一词汇的定义——如果说日常生活中,我们可以采用模糊概念的话,那么在一个(至少是追求)逻辑自足的法律体系中,“信息网络安全”则必须有明确的定义——只有这样,才能使立法条文前后一致、表述清晰,也才能为相关的探讨建立起统一的语境,从而为更深入的分析研究铺平道路。

商用密码管理条例 1999

商用密码管理条例  Regulations on the Commercial Passwords 
 
中华人民共和国国务院令第273号现发布《商用密码管理条例》,自发布之日起实施。总理*1999年10月7日  1999-10-07Promulgated by the State Council of the People’s Republic of China 
 
第一章总则  Chapter 1 General Principles 
 
第一条 为了加强商用密码管理,保护信息安全,保护公民和组织的合法权益,维护国家的安全和利益,制定本条例。  Article 1 In order to strengthen the administration of the commercial passwords, safeguard the information security and the lawful rights and interests of the citizens and organizations and maintain the security and interest of the state, these Regulations are hereby issued. 
 
第二条 本条例所称商用密码,是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。  Article 2 The commercial passwords referred to herein shall mean the password techniques and products used in the encryption protection and security certification to the information does not involve the state secrets. 
 
第三条 商用密码技术属于国家秘密。国家对商用密码产品的科研、生产、销售和使用实行专控管理。  Article 3 The commercial password techniques shall belong to the state secrets. The scientific research, production, selling and use of the commercial password products shall be under the special control and administration of the state. 
 
第四条 国家密码管理委员会及其办公室(以下简称国家密码管理机构)主管全国的商用密码管理工作。  Article 4 The State Password Administration Committee and its offices (hereinafter referred to as the State Password Administration Institution) shall be in charge of the administration of the commercial passwords nationwide.  
省、自治区、直辖市负责密码管理的机构根据国家密码管理机构的委托,承担商用密码的有关管理工作。  The institutions in charge of the administration of the commercial passwords in the provinces, autonomous regions and municipalities shall, in accordance with the entrustment of the State Password Administration Institution, be responsible for the relevant administration of the commercial passwords. 
 
第二章 科研、生产管理  Chapter 2 The Administration of the Scientific Research and Production 
 
第五条 商用密码的科研任务由国家密码管理机构指定的单位承担。  Article 5 The scientific research of the commercial passwords shall be undertaken by the units designated by the State Password Administration Institution.  
商用密码指定科研单位必须具有相应的技术力量和设备,能够采用先进的编码理论和技术,编制的商用密码算法具有较高的保密强度和抗攻击能力。  The designated scientific research units of the commercial passwords shall have the corresponding techniques and equipments and be able to adopt advanced theories and techniques of coding and the arithmetic of the commercial passwords programmed shall have high secrecy intensity and ability against the attack. 
 
第六条 商用密码的科研成果,由国家密码管理机构组织专家按照商用密码技术标准和技术规范审查、鉴定。  Article 6 The scientific research results of the commercial passwords shall, in accordance with the standards and criterion of the commercial password techniques, be examined and appraised by the specialists organized by the State Password Administration Institution. 
 
第七条 商用密码产品由国家密码管理机构指定的单位生产。未经指定,任何单位或者个人不得生产商用密码产品。  Article 7 The commercial password products shall be produced by the units designated by the State Password Administration Institution. Any corporation or individual without the designation shall not produce the commercial password products.  
商用密码产品指定生产单位必须具有与生产商用密码产品相适应的技术力量以及确保商用密码产品质量的设备、生产工艺和质量保证体系。  The designated production units of the commercial password products shall have the techniques competent for the production of the commercial products and the equipments, produce arts and crafts and the quality guarantee system insuring the quality of the commercial password products.
 
第八条 商用密码产品指定生产单位生产的商用密码产品的品种和型号,必须经国家密码管理机构批准,并不得超过批准范围生产商用密码产品。  Article 8 The varieties and types of the commercial password products produced by the designated production units shall be approved by the State Password Administration Institution and the designated production units of the commercial password products shall not produce the commercial password products exceeding the production scope approved. 
 
第九条 商用密码产品,必须经国家密码管理机构指定的产品质量检测机构检测合格。  Article 9 Commercial password products must be qualified by the product quality inspection institutions designated by the State Password Administration Institution. 
 
第三章 销售管理  Chapter 3 The Administration of Sales 
 
第十条 商用密码产品由国家密码管理机构许可的单位销售。未经许可,任何单位或者个人不得销售商用密码产品。 Article 10 The commercial password products shall be sold by the units licensed by the State Password Administration Institution. Any corporation or individual without the license shall not sell the commercial password products. 
 
第十一条 销售商用密码产品,应当向国家密码管理机构提出申请,并应当具备下列条件:  Article 11 To sell the commercial password products, the units shall apply to the State Password Administration Institution with the following conditions:  
(一)有熟悉商用密码产品知识和承担售后服务的人员;  (1) Having the personnel who know the knowledge of the commercial password products and bear the after services;  
(二)有完善的销售服务和安全管理规章制度;  (2) Having the consummate selling services and security administration rules and regulations; and  
(三)有独立的法人资格。  (3) Having the independent corporate capacity.  
经审查合格的单位,由国家密码管理机构发给《商用密码产品销售许可证》。  The units examined to be qualified shall be issued with a Selling License of the Commercial Password products by the State Password Administration Institution. 
 
第十二条 销售商用密码产品,必须如实登记直接使用商用密码产品的用户的名称(姓名)、地址(住址)、组织机构代码(居民身份证号码)以及每台商用密码产品的用途,并将登记情况报国家密码管理机构备案。  Article 12 To sell the commercial password products, the units shall accurately register the title (or name), address or (residence) and the code of the organization (or the Identity Card number of the citizen) of the consumer directly using the commercial password products and the purpose of every commercial password product. In addition, the registration shall be submitted to the State Password Administration Institution for records. 
 
第十三条 进口密码产品以及含有密码技术的设备或者出口商用密码产品,必须经国家密码管理机构批准。  Article 13 To import the password products and the equipments containing the password techniques or to export the commercial password products shall be submitted to the State Password Administration Institution for approval.  
任何单位或者个人不得销售境外的密码产品。  Any corporation or individual shall not sell the password products produced overseas. 
 
第四章 使用管理  Chapter 4 The Administration of Use 
 
第十四条任何单位或者个人只能使用经国家密码管理机构认可的商用密码产品,不得使用自行研制的或者境外生产的密码产品。 Article 14 Any corporation or individual can only use the commercial password products approved by the State Password Administration Institution and shall not use the password products produced by itself or oneself or produced beyond the borders. 
 
第十五条 境外组织或者个人在中国境内使用密码产品或者含有密码技术的设备,必须报经国家密码管理机构批准;但是,外国驻华外交代表机构、领事机构除外。 Article 15 The corporation or individual beyond the borders using the password products or the equipments containing the password techniques within the boundaries of the People’s Republic of China shall be approved by the State Password Administration Institution; however, the foreign representative diplomatic institutions and the consular institutions stationed in the People’s Republic of China shall be excluded. 
 
第十六条 商用密码产品的用户不得转让其使用的商用密码产品。商用密码产品发生故障,必须由国家密码管理机构指定的单位维修。报废、销售商用密码产品,应当向国家密码管理机构备案。  Article 16 The consumer of the commercial password products shall not transfer the commercial password products he/it is using. The malfunction of the commercial password products shall be repaired by the units designated by the State Password Administration Institution. To disuse or destroy the commercial password products shall be submitted to the State Password Administration Institution for records. 
 
第五章 安全、保密管理  Chapter 5 The Administration of the Security and Secrecy 
 
第十七条 商用密码产品的科研、生产,应当在符合安全、保密要求的环境中进行。销售、运输、保管商用密码产品,应当采取相应的安全措施。  Article 17 The scientific research and production of the commercial password products shall be conducted under the circumstances competent for the demands of security and secrecy. Relevant security measures shall be taken to sell, transport and store the commercial password products.  
从事商用密码产品的科研、生产和销售以及使用商用密码产品的单位和人员,必须对所接触和掌握的商用密码技术承担保密义务。  The corporation or personnel involved in the scientific research and production of the commercial password products and using the commercial password products shall bear the responsibility of keeping secret to the techniques of the commercial password products touched or mastered. 
 
第十八条 宣传、公开展览商用密码产品,必须事先报国家密码管理机构批准。  Article 18 To propagandize or openly exhibit the commercial password products shall be submitted to the State Password Administration Institution for approval. 
 
第十九条 任何单位和个人不得非法攻击商用密码,不得利用商用密码危害国家的安全和利益、危害社会治安或者进行其他违法犯罪活动。  Article 19 Any corporation or individual shall not illegally attack the commercial passwords, impair the security and interests of the state or the public security of the society or conduct any other activities of violating the law or committing a crime with the commercial passwords. 
 
第六章 罚则  Chapter 6 Penalty Provisions 
 
第二十条有下列行为之一的,由国家密码管理机构根据不同情况分别会同工商行政管理、海关等部门没收密码产品,有违法所得的,没收违法所得;  Article 20 Anyone who commits any of the following acts shall be confiscated of his password products and the illegal gains, if any, by the State Password Administration Institution jointly with the administrative departments of industry and commerce and the customs according to the different situation;  
 
情节严重的,可以并处违法所得1至3倍的罚款;  if the circumstances are serious, he shall be concurrently fined not less than 1 time, but not more than 3 times the amount of the illegal gains:  
 
(一)未经指定,擅自生产商用密码产品的,或者商用密码产品指定生产单位超过批准范围生产商用密码产品的;  (1) To produce the commercial password products without any designation, or the designated units produce the commercial password products exceeding the scope approved;  
 
(二)未经许可,擅自销售商用密码产品的; (2) To sell the commercial password products without any licenses; and  
 
(三)未经批准,擅自进口密码产品以及含有密码技术的设备、出口商用密码产品或者销售境外的密码产品的。  (3) To import the password products and the equipments containing the password techniques, to export the commercial password products or to sell the password products produced overseas without permit.  
 
经许可销售商用密码产品的单位未按照规定销售商用密码产品的,由国家密码管理机构会同工商行政管理部门给予警告,责令改正。  The units licensed to sell the commercial password products not selling the commercial password products according to the relevant provisions shall be given a warning and be ordered to revise by the State Password Administration Institution jointly with the administration department of industry and commerce. 
 
第二十一条 有下列行为之一的,由国家密码管理机构根据不同情况分别会同公安、国家安全机关给予警告,责令立即改正:  Article 21 Any one commits any of the following acts shall be given a warn and be ordered to make corrections immediately by the State Password Administration Institution jointly with the public security organ and the state security organ:  
(一)在商用密码产品的科研、生产过程中违反安全、保密规定的;  (1) To violate the provisions of security and secrecy in the course of the scientific research and production of the commercial password products;  
(二)销售、运输、保管商用密码产品,未采取相应的安全措施的;  (2) To sell, transport and store the commercial password products without corresponding security measures;  
(三)未经批准,宣传、公开展览商用密码产品的;  (3) To propagandize or openly exhibit the commercial password products without any approval; and  
(四)擅自转让商用密码产品或者不到国家密码管理机构指定的单位维修商用密码产品的。(4) To presumptuously transfer the commercial password products or not to repair the commercial password products in the units designated by the State Password Administration Institution.  
使用自行研制的或者境外生产的密码产品,转让商用密码产品,或者不到国家密码管理机构指定的单位维修商用密码产品,情节严重的,由国家密码管理机构根据不同情况分别会同公安、国家安全机关没收其密码产品。  The password products produced by itself or oneself or produced overseas, the commercial password products transferred or the commercial password products not being repaired in the units designated by the State Password Administration Institution, in the serious cases, shall be confiscated by the State Password Administration Institution jointly with the organs of public security and the state security. 
 
第二十二条商用密码产品的科研、生产、销售单位有本条例第二十条、第二十一条第一款第(一)、(二)、(三)项所列行为,造成严重后果的,由国家密码管理机构撤销其指定科研、生产单位资格,吊销《商用密码产品销售许可证》。  Article 22 If the scientific research, production and selling units of the commercial password products commit the acts referred to in Article 20 and Paragraph 1, 2 and 3 in Article 21 and cause serious results, their qualification of scientific research and production shall be canceled and the Selling License of the Commercial Password products shall be withdrawn by the State Password Administration Institution. 
 
第二十三条泄露商用密码技术秘密、非法攻击商用密码或者利用商用密码从事危害国家的安全和利益的活动,情节严重,构成犯罪的,依法追究刑事责任。  Article 23 The acts that divulge the secret of commercial password techniques, unlawfully attack the commercial passwords or conduct the activities impairing the security and interest of the state with commercial passwords and constitute a crime in serious cases shall be legally investigated into the criminal responsibility. 
有前款所列行为尚不构成犯罪的,由国家密码管理机构根据不同情况分别会同国家安全机关或者保密部门没收其使用的商用密码产品,对有危害国家安全行为的,由国家安全机关依法处以行政拘留;属于国家工作人员的,并依法给予行政处分。  The acts referred to in previous paragraph that do not constitute a crime shall have the commercial password products confiscated by the State Password Administration Institution jointly with the organs of state security and secrecy according to different situation; the acts impairing the security of the state shall be legally punished with an administrative detention by the organ of state security; the state personnel involved shall be concurrently subject to administrative penalty. 
 
第二十四条境外组织或者个人未经批准,擅自使用密码产品或者含有密码技术的设备的,由国家密码管理机构会同公安机关给予警告,责令改正,可以并处没收密码产品或者含有密码技术的设备。  Article 24 The corporation or individual beyond the borders presumptuously use the password products or the equipments containing the password techniques without any approval, shall be given a warn, ordered to revise and concurrently punished with a confiscation of the password products or the equipments containing the password techniques by the State Password Administration Institution jointly with the organ of public security. 
 
第二十五条商用密码管理机构的工作人员滥用职权、玩忽职守、徇私舞弊,构成犯罪的,依法追究刑事责任; Article 25 The staff members of the State Password Administration Institution, who abuse their power, neglect their duty, and commit irregularities for personal gains, which constitutes a crime, shall be prosecuted in accordance with the law;  
尚不构成犯罪的,依法给予行政处分。 if the offence does not constitute a crime, they shall be subject to the administrative sanctions in accordance with the law. 
 
第七章附则 Chapter 7 Supplementary Rules 
 
第二十六条国家密码管理委员会可以依据本条例制定有关的管理规定。 Article 26 The State Password Administration Committee may, in accordance with these Regulations, stipulate the corresponding provisions. 
第二十七条本条例自发布之日起施行。 Article 27 These Regulations shall take effect as of the promulgation.