网络信息安全的刑法控制_信息安全论文

网络信息安全的刑法控制_信息安全论文

网络信息安全问题的刑法控制,本文主要内容关键词为:刑法论文,信息安全论文,网络论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。

中图分类号 G250.73 文献标识码 A 文章编号 1007-7634(2003)01-0089-04

国内外的许多事例已经表明,随着Interne的迅猛发展, 由比特构成的信息比“原子”值钱得多,进而使得人类的许多活动或多或少的与网络信息的生产、流通、传播或利用相关联。由于Internet的互连性,使得社会信息共享的程度进一步提高。而信息共享和信息安全是一对矛盾,因而在网络信息空间中的信息安全问题也日益突出,它已成为网络信息问题中最为敏感的问题之一。虽然我们可以通过采取降低信息共享程度的方法来达到控制网络信息安全问题的目的,但这是因噎废食,显然是不可取的。最佳的解决方法是主动构筑包括刑事法律控制在内的面向网络环境的信息安全保障体系来控制网络信息安全问题。

1 关于网络信息安全问题

计算机网络特别是因特网将是新世纪知识经济社会运行的必要条件。同时,网络与信息安全问题正在成为一个国家政治、军事、经济以及社会生活正常运行的基础,与我国的经济安全、社会安全和国家安全紧密相连,是社会信息化进程中具有重大战略意义的问题,也是一个国家综合实力的重要体现。互联网络是以统一的TCP/IP协议为规则运作的,是一个对全世界所有国家开放的网络,任何团体或个人都可以在网上方便地传送和获取各种各样的信息。网络信息既有存储于网络节点上信息资源,即静态信息,又有传播于网络节点间的信息,即动态信息。而这些静态信息和动态信息中有些是开放的,如广告、公共信息等;有些是保密的,如:私人间的通信,政府及军事部门、商业秘密等。

网络在为人们提供便利、带来效益的同时,也使人类面临着信息安全方面的巨大挑战。实际上,安全问题早已警钟频频:网络非法入侵、重要资料失窃、网络系统瘫痪等恶性事件接连发生,让诸多政府机构、企业在蒙受重大经济损失的同时,社会形象也荡然无存。据有关数据说明,在全球平均每20秒就发生一次网上入侵事件,有近80%的公司至少每周在网上要被大规模的入侵一次。美国联邦调查局的报告表明,计算机安全犯罪使美国每年有大约75%的公司蒙受损失。一名俄罗斯黑客通过安装在地下室的简单设备入侵层层设防的美国花旗银行,使其损失1600万美元现金。黑客入侵美国中央情报局主页,将中央情报局更为中央笨蛋局,等等。以上事件均造成重大政治影响。近年来,利用网络进行意识形态与文化观念的渗透以及从事违反法律、道德的活动等问题日益突出,各类计算机犯罪及“黑客”攻击网络事件屡有发生,手段也越来越高技术化,从而对各国的主权、安全和社会稳定构成了威胁。

在新世纪到来之初,就有两条新闻进一步向人们敲起了警钟。第一条是2001年1月20日前后黑客大规模袭击美、英、澳政府网站。 具体是英国、澳大利亚和美国三个国家的政府网站在一次大规模黑客袭击中未能幸免于难,这些网站的主页分别被黑客组织的标语置换,且瘫痪长达15分钟以上。据报道,全世界共有26个网站未能躲过此次袭击。美国被袭网站有加利福尼亚立法机构和内务部在阿拉斯加办公室的网站。据来自Pentaguard网站的信息说,这次行动是“向政府和军队网站发起的规模最大的一次袭击”。另一条是黑客成功侵入世界经济论坛的计算机系统。日内瓦当地时间二月四日,正在瑞士达活斯举行的世界经济论坛年会传来消息,无孔不入的网上“黑客”于上周成功地侵入了论坛年会的计算机系统,这使得人们对日益敏感的网络安全问题又多了一层担忧。参加本届世界经济论坛年会的名人颇多,比如微软公司的创始人比尔·盖茨、日本首相森喜朗等等。世界经济论坛组委会发言人表示,他们目前还不清楚“黑客”是如何得到参加世界经济论坛年会的贵宾们的信用卡信息的,也不知道“黑客”来自何方。但有一点是肯定的,“黑客”的这种作法是一种犯罪行为。

诸如此类的事例不胜枚举,在我国也程度不同地存在,有些方面还相当突出。据了解,目前中国信息基础设施的网络、硬件和软件等产品几乎完全建立在外国的核心技术之上。在微型机和公用网络设备、技术等方面,中国国内的厂商只在非核心的较低端领域拥有局部的市场数量优势。在关键的中央处理单元和操作系统,也几乎是清一色的外国公司产品。中国使用的电脑,它的所有核心部件几乎都是OEM (原始设备制造商)的,一旦核心部件制造商停止供货,中国的电脑制造业有面临瘫痪的危险。在软件方面,美国微软公司经过多年的苦心经营,其WINDOWS操作系统和办公软件已在中国占据了百分之九十的市场份额。长期缺乏自有技术,还导致中国目前在互联网的核心控制水平上,没有起码的自卫能力,即所谓的“制网权”。我国的《国家信息安全报告》就曾指出:我国IT产业关键部分受制于人。

或许人们会说,中国的信息化程度所能够导致的不安全目前还不会对中国构成危害和影响。而事实上,就一个信息系统来看不管其复杂性如何,只要其芯片和逻辑都是别人设计制造的,就没有安全可言。随着我国的进一步对外开放,各方面的国际交流日益增多,我们在网络信息安全方面将面临更大的压力和挑战。我们可以从中国互联网信息中心(CNNIC )近几年连续发布的七次《中国互联网络发展状况统计报告》中不难看出、互联网在我国正以超“摩尔定理”的速度发展,上网的部门和企业也越来越多,随之而来的安全问题也显得十分突出了。

信息产业部部长吴基传为《国家信息安全报告》(国家信息安全报告课题组撰写)一书作序时,强调指出了中国在临近WTO的形势下, 强化国家信息安全体系的战略意义。他说,计算机互联网络涉及社会经济生活各个领域,并直接与世界相联,可以说是国家的一个政治“关口”,一条经济“命脉”。我国政府已看到了网络的发展趋势,在网络安全方面也加大了投入和管理的力度,一些政策法规已相继制定和出台,网络信息安全将会被引向一个法制化的管理方式。

国内普遍有一种说法,即“如果说1999年是政府上网年,2000年是企业上网年,那么2001年应该是网络安全年。网络安全年里,怎样规范网上行为,保障网络信息安全,控制“制网权”,将成为每一个国家所极力关注的一个问题,也将成为一个国际性行为。吴基传对加强国家信息安全建设提出建议的首条中就指出:要加快信息安全立法,逐步建立信息安全法律体系,以充分发挥法律在打击网络犯罪、维护信息安全方面的作用。还应努力倡导建立公正、公平的国际信息安全体系,在国际社会的范围内为我国信息安全争得一个有利的外部环境。

2 网络信息安全最大的危害:计算机犯罪

讨论与研究网络信息安全问题时,不可避免地提及到计算机犯罪问题。由于网络技术所具有的渗透性的特点,使之相当多的危及信息安全的行为,如黑客对计算机系统的侵入而造成国家信息安全的破坏,或通过传播计算机病毒而使计算机信息系统不能正常运行,造成的后果可能非常大,实际上这些行为已经属于一种刑事犯罪行为,这就是人们通常所说的计算机犯罪问题。由于计算机犯罪不仅严重危害计算机及网络数据和信息的安全,它所造成的经济损失、社会危害是传统犯罪所不可比拟的,它已成为世界各国共同面临的重大“信息问题”。因此,国外有的犯罪学家认为,未来信息化社会犯罪的形式将主要是计算机犯罪。我国有专家曾经在“新千年中国刑法问题研讨会”上预言,计算机犯罪将是21世纪的主要犯罪形态。

关于计算机犯罪问题的研究,虽然研究的起步较晚,但包括我国在内的许多国家均取得了一定的成果。本论文并不把该问题作为探讨的重点,仅仅把它作为一个极端的或者危害最大的网络信息安全问题来加以提出,其目的是使人们更加全面地认识网络信息安全问题以及进一步认识刑事法律控制的必要性。

阐明计算机犯罪问题,首先明确计算机犯罪的概念。我们不必再一一赘述关于计算机犯罪的概念,国内外政府以及学者众说纷坛,莫衷一是。关于对于计算机犯罪的概念,归纳起来不外是广义说和狭义说两种观点:

(1)广义说。这里的广义说也有人称工具加对象说。 持这种观点的学者认为,计算机犯罪是指行为人以计算机为犯罪工具,或者以计算机资产为攻击对象的犯罪的总称。如有学者认为:以计算机为工具的犯罪是指以计算机为工具而实施的,被刑事法律规定为犯罪的各种行为,比如网上诈骗犯罪等。以计算机资产为对象的犯罪是指对计算机资产的非法占有、利用与破坏,达到了一定的社会危害程度即构成犯罪。计算机资产包括计算机信息系统资源和由系统处理、存储、传输的电子信息资源。计算机在计算机犯罪中因情况不同可以说扮演了两个不同的角色。当犯罪行为人利用计算机进行犯罪时,计算机成为行为人进行犯罪之“工具”;当犯罪行为人针对计算机进行犯罪时,计算机却又成为行为人攻击之对象。所以,就计算机犯罪与一般犯罪相比较而言,二者并无本质上的不同,也即除杀人、伤害等与人身侵害有关的犯罪无法通过计算机直接进行以外,其它犯罪,尤其是经济犯罪则毫无例外地可以通过计算机来实施,因此计算机犯罪实质上是所有涉及计算机的犯罪。

(2)狭义说。这种观点认为, 计算机犯罪只能指现行《刑法》第285条及第286条所规定的犯罪。其特点是:一方面其犯罪对象是计算机信息系统(包括内存的数据与程序),因而其它涉及计算机的普通犯罪均被排除在外;另一方面是危害计算机信息系统安全的行为,只能是通过非法操作计算机来加以实施,以其它方法(如间接方法)达到此类犯罪结果的,不属于真正意义上的计算机犯罪。此类犯罪也就是人们通常所称的危及网络信息安全的犯罪,又有学者将这类犯罪称之为纯粹的计算机犯罪,并认为这类犯罪在犯罪的社会危害性还是犯罪后果的严重性等方面都远远大于涉及计算机的犯罪的发展,并呈愈演愈烈之势。

近几年来,随着网络技术的不断发展,出现了一个与计算机犯罪相近的概念,即“网络犯罪”,并对此作了定义或解释,如有学者认为:网络犯罪指的是行为人未经许可对他人电脑系统或资料库的攻击和破坏,或利用网络进行经济、刑事等犯罪。有学者认为:网络犯罪是指犯罪分子利用其编程、加密、解码技术或工具,或利用其居于互联网服务供应商(ISP)、互联网信息供应商(ICP)、应用服务供应商(ASP )等特殊地位或其它方法,在因特网上实施触犯刑法的严重危害社会的行为。就象信息学界关于信息、知识、情报关系的讨论中存在着种种认识一样,关于计算机犯罪与网络犯罪关系,也产生了几种看法,比较典型的是两者不是并列关系,而是包含关系。有学者指出:网络犯罪是危害性极大、破获性极强的一类高科技犯罪活动,但应注意不要将网络犯罪与计算机犯罪相混淆;但也有学者认为:从当前的计算机犯罪的载体来看,主要涉及到单机犯罪和网络犯罪两种形式。单机犯罪是指针对单机实施的制作、传播病毒的行为;网络犯罪是指通过计算机网络实施侵入国家事务、国防建设、尖端科学技术等计算机信息系统,或者利用各种技术手段对计算机信息系统的功能、有关数据、应用程序等进行破坏和故意制作以及传播计算机病毒的行为。

目前,网络犯罪可以在任何一台与网络相连的计算机上进行操作,就可以破坏主机或其它站点,甚至造成整个网络系统的瘫痪,而这种操作行为也不易被发现或控制,所以与单机犯罪相比,人们似乎更倾向于在网络上犯罪,网络犯罪更为普遍。可以说,上述前一种观点是为了强调网络犯罪的普遍性,将网络犯罪从计算机犯罪中分离出来而与计算机犯罪相并列,是有一定的合理性的。但无论何种网络犯罪,操作方式都是以各种计算机能识别并能执行的命令对计算机信息系统进行干预或破坏,而且均是通过键盘、软驱、光驱等输入和输出设备来实施犯罪行为,因此第二种观点将网络犯罪纳入至计算机犯罪范畴中,也是可以接受的。如果从国内外学者研究发展以及许多国家的立法来看,更倾向于后一种观点,仅仅把网络犯罪看成是计算机犯罪的一种形式或是所处的一个阶段,而且就目前来看,是主要的犯罪形式或是当代犯罪阶段。所以,在本论文中也采用计算机犯罪这一概念,但实际上所讨论的主要是网络环境中的计算机犯罪问题,即上述中提到的网络犯罪问题。

3 网络信息安全问题的刑法控制

从1994年以后,我国已先后颁布和实施了一系列的行政法规和部门规章。如国务院于1994年2月18 日发布的《计算机信息系统安全保护条例》、1996年2月1日发布的《计算机信息网络国际联网管理暂行规定》,公安部、中国人民银行于1998年8月31 日联合发布的《金融机构计算机信息系统安全保护工作暂行规定》。各地近年来结合本地工作实际,相继制定了一系列地方法规或规章,如《辽宁省计算机信息系统安全管理条例》、《山东省计算机信息系统安全管理办法》等。应该说,我国已基本建立了较为完备的、与网络信息安全问题相关的行政法规体系。这些法规是可以对信息安全问题起到一定的或者初步的控制作用。我们知道,危及国家、企业和个人信息安全的因素很多,但计算机犯罪危害最甚,它们是信息安全的最大杀手。虽然,在相关的行政法规中也出现了类似于“构成犯罪的,依法追究刑事责任”等字句,但主要的法律责任条款主要集中在行政处罚上,这样就使得现有的法律、法规经常在计算机犯罪面前显得软弱无力。所以,对于网络信息安全问题的法律控制,我们不能仅仅限于行政法律法规的控制,还要借助于刑法的控制,否则就不能适应控制日益猖獗的计算机犯罪的需要。

一般说来,刑法作为一种规范性的手段,它的运用具有滞后性的特点,即它通常总是在某一危害社会的行为已经不为其它法律所调整或者不足以调整的情形下,作为一种更为强制性的调整手段出现。由于刑法采用的是刑罚手段,所以对网络信息安全问题,尤其对计算机犯罪问题来说,刑法控制是最具强制性、最为严厉的手段,它在整个法律控制体系中起到一种保障和后盾的作用。

在我国,八届人大五次会议于1997年3月14日通过,同年10月1日正式实施的新修订的《刑法》增加了三个法律条款:非法侵入计算机系统罪(第285条),破坏计算机信息系统功能、 破坏计算机信息系统数据或应用程序罪,制作、传播计算机病毒等破坏计算机程序罪(第286条)以及属于广义计算机犯罪范畴的利用计算机实施的犯罪(第287条)等。这对预防和打击计算机违法犯罪起到了积极的作用,但由于这三个条款只作了较原则性的规定,且具有较强的专业性,因此对有关计算机犯罪的定罪量刑尺度把握较难。在此,论文就目前刑事立法中存在的某些问题作一些初步的、简略的分析。

(1)现有罪名中存在的不足。如第285条规定的非法侵入计算机系统罪的范围过窄。目前在我国的刑法中,虽然规定了“非法侵入计算机系统罪”的罪名和量刑幅度,但仅仅是将侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的行为定为非法侵入计算机系统罪,对于计算机信息系统的限制过于狭窄。目前绝大部分的计算机信息系统都有自己的安全系统,有自己的授权范围;未授权人对于计算机信息系统是没有权限去进入的,除了国家事务、国防建设、尖端科学技术领域的计算机信息系统外,国家金融机构、电子商务认证机构、公司或个人的计算机信息系统应该都是不准许未授权人进入的。比如非法侵入电子商务认证机构的计算机信息系统,即使行为人没有删除、修改其中的应用程序和数据或破坏系统安全防护措施,但是非法入侵以及对于秘密信息的窃用,都会导致整个电子商务秩序的混乱,从而给国家电子商务的稳定发展和交易各方造成严重损害;又如第286条第三款对故意制作、传播计算机病毒等破坏性程序的犯罪,只规定其直接侵害对象为“影响计算机系统正常运行”,范围过窄。在系统中植入病毒,计算机系统的运行可能不会中止或瘫痪,但其处理的数据可能被更改、删除或受到干扰;再如第285、286条都是指故意犯罪,其实有的计算机信息系统关系到国计民生、国家安全的大事,过失犯罪可能给国家、社会造成不可估量的损失。事实上,非法侵入计算机信息系统,破坏计算机信息系统功能、数据或应用程序,以及制作、传播计算机病毒等破坏计算机程序等都有“过失”的可能。

(2)现有量刑幅度和刑罚种类的不足。按照现行刑法第285条、286条的规定对计算机犯罪定罪量刑,量刑相对较轻。例如第285条规定的侵入计算机信息系统罪,处3年以下有期徒刑或者拘役。 而从目前黑客给国家或社会所造成的严重危害性来看,应当加重量刑,甚至为生命刑;又由于计算机犯罪的主体往往对此种方法相当迷恋,因而仅仅是事后性的惩罚并不能完全达到阻止他们再次犯罪的目的。所以有学者赞同对刑罚种类进行创新,即引入资格刑;也有学者建议广泛地适用财产刑和资格刑,即没收与犯罪有关的一切物品、设备,剥夺犯罪人从事某种职业、某类活动的资格,作为一种附加刑,其期限的长短,可考虑比照现有资格刑中关于剥夺政治权利的规定来确定。例如禁止任何ISP接纳犯罪分子或者禁止犯罪分子从事与计算机系统有直接相关的职业等。

(3)行为人低龄化与目前刑事责任年龄制度之间的冲突。 我国现有的刑法中规定了完全负刑事责任年龄阶段和相对负刑事责任年龄阶段,即已满16周岁的人犯罪,应负刑事责任;已满14周岁不满16周岁的人,犯故意杀人、故意伤害致人重伤或者死亡、强奸、抢劫、贩卖毒品、放火、爆炸、投毒罪的,应负刑事责任。在计算机犯罪中,低龄化的趋势已经显现,即青少年的比例比较大,如2001年3月有媒体报道, 美国密歇根州的一名15岁少年被控闯入至少3个美国航空航天局(NASA )的电脑系统,并修改了他们的网页。他们虽然可能没有成年人计算机犯罪的商业动机或者政治目的,但是侵入国家事务、国防建设、尖端科学技术领域的计算机系统或者破坏计算机系统功能、数据或者应用程序以及制作、传播计算机病毒等破坏计算机程序所造成的社会危害一样严重,但是由于年龄偏低而无法惩处,因此在国外已成为一个刺激少年人实施同类行为的一个因素。所以不妨可以考虑对未成年人的此类犯罪,在主体责任年龄上作适当降低。

(4)刑事管辖面临的难题。网络无国界, 使计算机犯罪分子轻易地就可以实施跨国界的犯罪。随着互联网的不断发展,跨国犯罪在所有的计算机犯罪中所占的比例越来越高,由此带来了刑事管辖的难题。如1997年7 月导致我国哈尔滨市和上海市计算机网络遭破坏的入侵就是国外不法分子造成的,其操作计算机的行为地点可能远在美国的得克萨斯,但犯罪结果发生地却在中国。据我国刑法第6条第3款的规定(犯罪的行为或结果有一项发生在中华人民共和国领域内,就认为是在中华人民共和国领域内犯罪),此类行为似乎应当由我国行使刑事管辖权,但很遗憾我国与美国没有引渡条约;即使按引渡的国际惯例也不行,因符合引渡条件之一是罪犯所犯罪的最低刑是三年以上有期徒刑,而我国刑法第285条及286条的规定,法定最低刑均是三年以下有期徒刑或者拘役。这表明我国刑法在目前很难对境外从事针对我国的计算机网络犯罪产生效力,因此加强国际间司法管辖权的协调就显得十分必要。

(5)单位犯罪的处理问题。根据我国刑法中的规定, 单位实施危害社会的行为,只有法律规定为单位犯罪的,才应当负刑事责任。刑法中关于计算机犯罪中,并未提到单位犯罪的内容,而单位在某些情况下却可能实施计算机犯罪,如通过黑客行为或者传播计算机病毒的方法来达到攻击竞争对手的目的。鉴于此,有学者认为,虽然对待单位犯罪是可以对危害行为的直接实施者、参与者以及主管人员等个人犯罪依法追究刑事责任,但是此种处理方式毕竟不是久远之计,因而完善刑事立法,从立法上明确规定单位可以构成计算机犯罪是解决这一问题的最佳选择。

为了进一步防范和制止利用互联网进行的计算机犯罪的活动,为互联网的健康发展创造良好的社会环境。2000年12月28日第九届全国人民代表大会常务委员会第十九次会议通过了《维护互联网安全的决定》,该决定从维护国家安全和社会稳定,保障网络安全,维护社会主义市场经济秩序和社会管理秩序,保护公民、法人和其它组织的合法权益4 个方面,列明具体行为,明确规定“构成犯罪的,依照刑法有关规定追究刑事责任”。该决定中列举的犯罪行为含盖了广义的计算机犯罪的范围,既包括了原先刑法中所列举的计算机犯罪行为,也包括了计算机化的传统犯罪,即利用计算机从事的犯罪行为。如利用互联网煽动民族仇恨、民族歧视,破坏民族团结;利用互联网组织邪教组织、联络邪教组织成员,破坏国家法律、行政法规实施;利用互联网进行盗窃、诈骗、敲诈勒索等。即使是狭义的计算机犯罪行为,与刑法中的第285条和286条相比较也有所拓展,如第286 条第三款规定的故意制作、传播计算机病毒等破坏性程序的犯罪,规定的直接侵害对象为“影响计算机系统正常运行”,而决定中则规定为“攻击计算机系统及通信网络,致使计算机系统及通信网络遭受损害”;另有增添了一种犯罪行为,即“违反国家规定,擅自中断计算机网络或者通信服务,造成计算机网络或者通信系统不能正常运行”的行为。可以说,《维护互联网安全的决定》是我国至今最有针对性的关于计算机犯罪的专门立法,它进一步明确了对利用互联网犯罪予以惩处的刑法适用问题,所以被许多媒体称为是我国的“网络刑法”。

标签:;  ;  ;  ;  ;  ;  ;  ;  ;  

网络信息安全的刑法控制_信息安全论文
下载Doc文档

猜你喜欢