还剩6页未读,继续阅读
文本内容:
信息安全的刑法保护在技术上,信息安全包括信息的保密性、完整性、可用性、可受攻击性和不确定性综合起来说,就是要保障电子信息的有效性保密性就是对抗对手的被动攻击,保证信息不泄漏给未经授权的人完整性就是对抗对手主动攻击,防止信息被未经授权的人篡改可用性就是保证信息及信息系统确实为授权使用者所用可控性就是对信息及信息系统实施安全监控从主体上讲,网络信息安全包括网络空间的国家信息安全、私人信息安全和社会信息安全从法律上讲,信息安全是指信息不被非法搜集、刺探、监听、修改、损毁或删除、滥用在网络环境下,信息安全与信息系统、信息存储空间等网络空间的安全是密切联系在一起的黑色产业链对我国信息安全的威胁病毒和木马等有害程序,一旦制作和传播开来,就会对互联网上不特定主体的人身和财产利益造成潜在的危害从我国目前的情况来看,从制作、买卖与传播各种有害程序,到利用各种恶意程序实施非法侵入和控制,进而窥视、搜集、修改及损毁信息空间里的信息,再到买卖所搜集到的信息,已经形成了一条黑色产业链这种黑色产业链问题已经对包括国家、社会和私人信息安全构成严重威胁,成为威胁我国网络和信息安全的主要问题根据中国互联网络信息中心(CNNIC)于20n年1月19日发布的第27次中国互联网络发展报告显示,2010年,在中国,遇到过病毒或木马攻击的网民比例为
45.8%,有过账号或密码被盗经历的网民占
21.8%实空间的公共安全在我国,有关网络信息安全的立法主要包括2000年全国人大关于维护网络安全的决定;现行刑法第
285、
286、287条;《治安管理处罚法》第29条;1994年的《计算机信息系统安全保护条例》;1997年的《计算机信息网络国际联网安全保护管理办法》;2000年的《互联网信息服务管理办法》等法律法规理论上,国家安全不仅包括现实空间的国家安全,也包括网络空间的国家安全换言之,法律应该对现实空间的国家安全和网络空间的国家安全同等重视,即应该把在网络空间里实施危害国家安全和公共安全的行为也同样视为危害国家安全和危害公共安全的行为但从我国现行刑法规定来看,刑法有关危害国家和危害公共安全的犯罪基本上与网络和信息安全无关从有关网络和信息安全的法律条文,如刑法第
285、286条和治安管理处罚法第29条的规定来看,非法侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的行为被视为妨害社会管理秩序罪,而不是危害国家安全罪显然,危害国家安全罪和妨害社会管理秩序罪是两种截然不同的犯罪前者是一种最为严重的违法行为,后者则是相对很轻的违法行为就公共安全而言,它是指不特定多数人的人身利益和财产利益的安全,而与主体所处的环境或场所没有直接关系因此,公共安全不仅包括现实空间的公共安全,也包括网络空间的公共安全换言之,危害公共安全的行为不仅会发生在现实空间里,也会发生在网络空间里实际上,由于制作、传播和利用具有危害性或危险性的计算机程序或代码实施网络攻击的行为所针对的是互联网上不特定多数主体的合法权益,符合刑法及其理论关于危害公共安全的犯罪的规定因此,理应将其纳入到危害公共安全犯罪行为之中予以规制但是,从刑法与治安管理处罚法等规定来看,却没有将这些危害网络空间公共安全的行为统一纳入到危害公共安全行为之中予以统一规制,而是把这些行为视为扰乱社会公共秩序的行为显然,二者是两种截然不同的违法行为从行为的性质上讲,危害公共安全行为要远比妨害社会管理秩序行为严重得多;从打击力度上讲,对危害公共安全行为的惩罚要远比对妨害社会管理秩序行为严厉得多除了上述缺陷外,现行刑法第285和第286条本身还存在缺乏可操作性的缺陷首先,按照现行刑法,除了非法侵入国家事务、国防建设及尖端科学技术领域的计算机信息系统之外,其他非法侵入行为基本上都会游离于刑法规制之外在现行刑法上,对非法制作、传播和利用具有危害性或危险性程序的行为规定主要是刑法第
285、286条其中,第285条对非法侵入行为进行了区分:对于非法侵入国家事务、国防建设及尖端科学技术领域计算机信息系统的,处三年以下有期徒刑或者拘役(第1款)而对于其他的非法侵入行为,如果要适用刑法,则仅仅侵入行为本身似乎并不能构成犯罪,同时还必须具备另外两个要件:一是要证明侵入者获取了该计算机信息系统中存储•、处理或者传输的数据,或者对该计算机信息系统实施了非法控制,二是还必须符合“情节严重”这一要件显然,如果从举证责任的分配来看,证明侵入者获取了该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施了非法控制的举证责任应该由公诉机关来举证从技术上讲,公诉机关要实现这一举证责任,基本上是不可能的,尤其是要证明侵入者获取了该计算机信息系统中存储、处理或者传输的数据,更是难上加难有鉴于此,在实际中,除了非法侵入国家事务、国防建设及尖端科学技术领域的计算机信息系统之外,其他非法侵入行为基本上都会游离于刑法规制之外其次,按照既有的法律规定,各种利用具有危害性或危险性程序非法侵入他人计算机信息系统的行为,实际上很难得到追究从刑法第285条第3款“提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的”的规定来看,绝大多数非法制作、传播具有危害性或危险性程序或代码的行为都无法作为犯罪来追究这是由该款所设定的“专门用于”、“明知”两个限制性条件所决定的显然,就既有的危险程序,比如木马程序,它们本质上是一种工具,既可以被用于好的目的,也可以被用于不法目的换言之,由于基本上很少能够找到一种专门用于侵入、非法控制计算机信息系统的程序、工具,因此,该款的规定基本上不能付诸实施尤其是针对目前广泛存在的利用木马程序非法侵入的行为,由于很难证明木马只是专门用来实施侵入、非法控制计算机信息系统的程序、工具,因此,这类行为往往也就很难被追究就该款所规定的“明知”要件来讲,由于既有的危险程序既可以被用于好的目的,也可以被用于不法目的因此,要想证明现实生活中某一主体制作、传播危险程序或代码的行为是“明知”(他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具)而适用该款规定的话,也很难成功尤其是在面临当今非常普遍的黑色产业链,如果要想证明诸如传授制作危害程序或危险程序的方法、制作危害程序或危险程序等“上游产业”行为,对于利用危害程序或危险程序实施非法侵入或控制等“下游产业”的犯罪行为属于“明知”而追究其刑事责任,会存在很大困难再次,既有的立法对于绝大部分制作、传播和买卖具有危害性或危险性程序的行为无法适用按照刑法第286条之规定,那些制作、传播具有危害性或危险性程序的行为绝大部分得不到适用这是因为该条仅仅针对的是制作、传播和利用具有破坏性程序的行为,而对于制作、传播和利用像木马等远程控制程序的非法行为基本上无法得到规制利用木马等远程控制程序本身不具有破坏性,使用者可以不对计算机系统功能进行删除、修改、增加和干扰,可以不影响计算机信息系统的正常运行,也可以不对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改和增加这样,该条规定对于既利用远程控制程序非法侵入他人计算机系统的行为无法规制,更对那些处于黑色产业链最上游的行为无法规制,如公开传授如何制作、使用各种具有危害性或危险性程序方法的各种行为而这些行为正是危害网络公共安全行为工具的来源地显然,刑法286条所谓的“计算机病毒等破坏性程序”是以上个世纪90年代技术背景为规制对象,无法适应木马等远程控制程序非法侵入行为盛行的今天即使按照刑法第285条规定,那些处于黑色产业链上游的专门传授如何制作和使用远程控制程序、专门从事买卖远程控制程序的行为等也不属于刑法上的犯罪行为同样是因为这些远程控制程序在价值上是中立的,既可以用来做好事,如远程办公,也可以用来做坏事,如非法侵入他人计算机系统并实施非法控制行为,即这种远程控制程序不是专门来做坏事的工具另外,类似的规定还可以从第九届全国人民代表大会常务委员会第十九次会议通过的《维护互联网安全的决定》(2000年12月28日)、1994年2月18日发布并施行的《中华人民共和国计算机信息系统安全保护条例》、1998年3月6日颁布实施的《计算机信息网络国际联网安全保护管理办法》等法律中得到体现也正是既有的立法采取技术特定化把危险程序仅仅局限于所谓“计算机病毒”等具有破坏性功能的程序,同时,立法仅仅规定制造和传播病毒等破坏性程序是违法的,但是对于制作、传播和利用木马等具有远程控制功能的危险程序,这些法律并不能适用这也正是目前广泛存在制作、传播和利用木马等具有远程控制功能的黑色产业的根本原因最后,即使对于那些像刑法第286条第1款和第2款所规定的行为来说,其法律规定的立法目的也基本上无法实现按照第286条第1款和第2款的规定,对计算机信息系统功能或系统中存储、处理或者传输的数据和应用程序进行删除、修改与增加的操作,后果严重的追究刑事责任,但问题是要追究这些行为,负举证责任的应该是公诉机关而不是行为人一一被告从法理上讲,要追究嫌疑人或被告人的刑事责任,公诉机关不仅要举证证明某种系统功能、数据或程序的存在,而且还应该同时证明这些系统功能、数据或程序是由嫌疑人或被告的远程控制程序所删除、修改或增加从技术上讲,公诉机关要举证成功,往往面临巨大的技术障碍,基本上是不可能的这样,该两条款的立法目的就无法实现值得一提的是,由于现行刑法所保护的对象仅限于“计算机信息系统”,而不涉及于手机内存、移动硬盘及电子邮箱等其他信息存储空间,因此,对于那些利用危险程序非法侵入这些信息存储空间的行为,既有的法律无法有效适用随着计算机网络、广播电视网络和包括移动通信网络在内的电信网络的三网融合,未来的互联网已经不再仅仅是由计算机所组成的互联网了为了法律的适用,未来立法应该采取技术中立的态度,只有这样,才能更好地维护网络空间的公共安全另外,就目前的网络安全立法来说,存在着“重刑轻民”、“重公轻私”的局面即针对危害网络公共安全的违法行为,目前存在重视刑法规制,轻视民法规范;重视刑法、行政处罚法,忽略民法等私法规制的特点刑法是社会关系的最后保障手段,行政处罚法则是动用公权力,也关乎对公民人身或自由的限制问题由于其社会成本问题,因此,除非不得已,如果能够通过民事法律解决的,一般情况下是不应该动辄付诸于刑法或行政法等公法规制的,即使需要,也只能针对严重的违法行为同时,利用刑法、行政法对违法人进行制裁并不能为受害人的损害提供应有的补救因此,如果对某一违法行为仅仅付诸于公法规范,而缺乏应有的私法一一民法规范,那么,这种立法是不全面的从民事法律的角度上讲,这些非法侵入的恶意程序或代码不仅占据了主体的私人信息存储空间,导致私人网络终端设备的运行效率下降,破坏或影响主体通信设备软硬件的使用,还可能具有搜集、损毁或删除主体信息的危害性,有的甚至还能够远程控制主体的网络通信终端设备,随时可以对主体这些终端通信设备发动攻击和破坏之所以非法侵入问题日益严重,主要是因为法律规范的缺失:一是信息存储空间不具有独立的法律地位二是信息存储空间上的私人控制信息无法获得法律保护所致在司法实践中,对于非法侵入行为来说,受害人基本上不可能举证证明自己的利益是因为某个主体的某种行为受到了侵害换言之,在立法缺失的情况下,对于非法侵入行为来说,受害人要诉诸法律,首先必须有明确的诉由,即自己的什么权益受到了侵害;其次,受害人还必须证明自己权益的损害是某个主体的侵入行为所致如前所述,鉴于非法侵入的技术性和隐蔽性,即使是公安机关,也很难举证成功,何况是一般的受害人因此,在民法上,受害人的维权成本极高,而非法侵入者又很难被追究责任,故此,其侵权行为在民法上几乎没有成本这种立法缺失的现状在客观上助长了非法侵入行为的泛滥未来的法律体系结构
1.转换观1信息空间非法侵占和破坏国家信息安全的行为属于指树立正确的网络和信息安全观念,把网络空间的安全与现实空间的安全同等看待鉴于互联网已经对各国的政治、经济、军事乃至整个社会生活产生了巨大影响,网络上的信息安全对于国家安全也具有同样重要的意义,因此,非法侵入对国家安全具有意义的信息系统和信息空间的行为同样属于危害国家安全的行为,应该像其他危害国家安全的行为意义追究行为者的法律责任由于网络空间中的各种恶意程序或代码具有传播上的迅速性、高效性及非法利用的潜在后果的复杂多样性,一旦任其随意制作、传播、买卖和利用这些程序,将会对不特定主体的计算机系统安全和其他信息存储空间安全一一网络公共安全构成巨大威胁因此,在刑法上应该把擅自传授如何制作危险程序的行为以及制作、传播或买卖、使用危险程序侵入他人计算机系统中的行为视为危害公共安全的犯罪行为,追究其相应的法律责任2技术中立的原则鉴于既有立法对互联网的界定仅限于传统的计算机网络,其将非法侵入对象仅仅限于所谓的计算机信息系统的做法也无法适应由计算机网络、移动互联网和广电网三网融合而形成的下一代互联网络安全的客观需要鉴于既有立法对非法侵入手段或工具仅限于传统的具有破坏性功能的所谓计算机病毒的做法不能适应木马等本身不具有破坏性功能的远程控制程序对网络安全的威胁鉴于刑法将“提供专门用于侵入、非法控制计算机信息系统的程序、工具……”视为犯罪的规定,忽略了木马等远程控制程序只是一种工具,它既可以被用来做诸如远程办公等正当使用,也可以用来实施侵入和非法控制他人计算机信息系统,这样,那些制作、转播或买卖具有远程控制程序的人就可以因为其程序的双重功能而非专门用于侵入、非法控制计算机信息系统而免受刑法追究因此,未来立法应该避免这种技术特定化立场,秉持技术开放和价值中立化的态度,在非法侵入手段的规范上,应该采用外延更加广泛的“危险程序或代码”的概念;在非法侵入对象的规范上要适用外延更加宽泛的“信息存储空间”这样,对于目前广泛存在的利用木马等危险程序针对各种信息存储空间实施非法侵入的行为都可以纳入到法律规制范围内
2.完善刑法的具体概念1危害国家安全的行为应将其纳入“三年以上基础”基于非法侵入国家事务、国防建设及尖端科学技术领域的网络信息存储空间的行为在本质上属于危害国家安全的行为,因此,未来立法应该考虑把这类犯罪行为纳入到危害国家安全的犯罪之中统一规范,对其处罚设定为“三年以上有期徒刑、无期徒刑、死刑”这样,就应该把刑法第285条的第1款纳入到刑法第1章危害国家安全罪中作为独立的一条予以规定2构建网络公共安全犯罪的刑法分则体在未来的立法上,对于可能会对网络安全构成威胁的各种有害危险程序或代码,都应该与传统的“危险物品”同样看待,对这些危险程序或代码的开发、制作、传播或买卖、利用等实行特殊许可的管制制度凡是未经许可擅自传授如何制作、销售或传播这些危险程序的行为都视为危害网络公共安全的违法行为,并追究其法律责任对于擅自使用各种危害或危险程序于网络公共场所,可能造成不特定主体的合法权益损害的,也同样视为危害网络公共安全的违法行为,追究其法律责任当然,如果利用有害或危险程序针对的只是特定主体,那么,对于这种行为,应该区分行为者所使用的具体程序或代码的性能和特征,做不同的对待如果所使用的程序或代码本身具有自我复制、自动传播和破坏性等特征,那么,尽管其主观上所针对的攻击对象是特定的主体,但是在客观上仍然可以属于危害网络公共安全行为按照上述思路,对于现行刑法条文可以按照两种思路做如下修改:一种思路是从场所上将危害公共安全的犯罪分为危害现实空间的公共安全犯罪和危害网络公共安全犯罪这样,可以在刑法分则中专门设立“危害网络公共安全犯罪”一节另外一种思路是仍然按照目前的刑法分则体例,从犯罪方法和具体犯罪类型上着手,将有害或危险程序或代码与传统的危险物品同样看待这样,可以把目前广泛存在的在公共网络空间放置危险或有害程序或代码的行为以及利用危险或有害的计算机程序或代码非法攻击或侵入他人网络信息存储空间的行为与刑法第114条所规定的犯罪行为合并在一起规范,都视为以危险方法危害公共安全的犯罪把违反法律规定,擅自制作、传播、买卖有害或危险程序或代码的行为与刑法第125条的犯罪行为合并处理,都视为违反国家有关危险物品安全规定的犯罪行为即把违反国家关于有害或危险程序或代码制作、传播和买卖的,情节严重的行为视为危害网络公共安全犯罪行为另外,一旦立法将危害网络公共安全的行为视为危害公共安全犯罪,那么,刑法第285条第3款、第286条第3款的行为应该从该章移植并做相应修改后纳入到本章的有关规定中予以规范3从“侵犯财产罪”到“侵犯财产罪”对于刑法第286条规定来说,由于该条所涉及的“计算机信息系统、数据、应用程序”等在本质上都具有财产属性,应该属于刑法第91条和92条所规定的财产,因此,对于非法侵入他人信息存储空间的行为以及后续的擅自删除、修改、损毁或破坏他人信息存储空间的信息、程序或硬件设备的行为,应该属于侵犯财产罪,应该纳入到刑法分则第5章“侵犯财产罪”中予以规范具体来讲,可以将第285条的第2款和第3款与第286条第1款、第2款和第3款中有关对信息系统、程序或数据进行删除、修改、损毁或破坏等行为纳入到刑法第五章侵害财产罪中予以规范可以把第285条的第2款和第3款作为一条独立的罪行一一非法侵入罪单独规定把第286条第1款、第2款和第3款中有关对信息系统、程序或数据进行删除、修改、损毁或破坏等行为合并到刑法第275条之中,以破坏财产罪论处对于刑法第286条关于非法获取信息存储空间中存储、处理或传输的数据,如果属于商业秘密,则可以按照刑法第219条侵犯商业秘密罪来规制
3.完善对非法制作、传播、使用恶意程序或代码实施的侵权行为的规范首先,物权立法应该承认主体对其信息存储空间及其空间上存储的信息享有独立的财产权益鉴于2008年刚刚通过的物权法对与互联网有关的法律问题没有任何规范,因此,未来物权法完善或民法典起草时应该把信息存储空间视为一种独立物权形态其次,侵权责任法应该禁止对包括计算机内存、硬盘、手机内存、移动硬盘及电子邮箱空间等一切可以存储信息的网络空间的非法侵入否则,不仅受害人可以要求侵入者承担相应的损害赔偿责任,同时,如果情节严重的,还可以追究其行政法乃至刑法上的法律责任如果未来的物权法把信息存储空间视为一种独立的物权形态给予保护的话,侵权责任法也应该给予相应的保护鉴于目前刚刚通过的《侵权责任法》中对于危害网络安全的非法侵入行为没有任何规制条款,因此,在未来侵权责任法修改或民法典起草时,建议把利用危险程序非法侵入到他人网络信息存储空间的行为视为侵权行为,并把其作为一种独立的侵权形态纳入到正在起草的侵权责任法中在现实生活中,制作、传播、使用恶意程序的并非总是同一个主体,更多的情况是他们分属于不同的主体鉴于恶意程序或代码具有类似于现实生活中的危险物品的性质,对于网络安全具有极大的危害作用,而危险物品的制作、运输和使用都需要严格的特许程序,否则,擅自制作、传播和使用危险物品的行为,不仅是一种公法上的违法行为,一旦这种行为对于某一特定民事主体的合法权益造成损害时,它同时也是一种民事侵权行为,应该对此承担民事法律责任因此,为了有效遏制非法制作、提供、传播和传授恶意程序或代码的危害行为,即使他们之中的某一个主体并未实际参与到某一特定的、具体的侵权行为之中,仍然有必要令其对后者的行为承担责任同时,对于许多利用恶意程序或代码实施的非法侵入行为来说,受害人往往无法找到某一直接利用恶意程序或代码实施侵权的行为人,即很难找到直接侵权者,因此,如果侵权法仅仅规制这种直接侵权行为或只要求直接侵权者承担法律责任的话,对于受害人来说,很可能由于无法查找直接侵权者而不能获得应有的赔偿因而,当这些非法制作、传播、传授恶意程序或代码的行为人与具体使用恶意程序或代码实施某一特定的侵权行为者分属于不同的主体时,有必要让前者与后者一起对受害人承担连带责任当然,危险程序或代码的制作、传播或提供者能够证明自己与损害结果的发生不存在合理性及令人信服的因果关系的,可以不承担赔偿责任最后,对于非法侵入所造成的危害问题,立法应该采取举证责任倒置和法定赔偿与实际赔偿相结合的做法如果将利用危险程序实施非法侵入纳入到侵权责任法中,对于非法侵入所造成的损害及其赔偿问题,立法应该实行过错推定原则,实行举证责任倒置和法定赔偿与实际赔偿相结合的做法。