第十三章电子商务安全法.ppt

第十三章电子商务安全法,网络安全问题信息安全问题交易安全问题,13.1电子商务安全的概述,1.网络安全电子商务的网络安全主要是指计算机和网络本身存在的安全问题，也就是保障电子商务平台的可用性和安全性的问题，其内容包括计算机的物理安全、系统安全、数据库安全、网络设备安全、网络服务安全问题等。,2.信息安全问题信息安全问题是电子商务信息在网络的传递过程中面临的信息被窃取、信息被篡改、信息被假冒和信息被恶意破坏等问题。电子商务中对信息安全的要求就是要求信息传输的安全性、信息的完整性及交易者身份的确定性。,3.交易安全问题交易安全问题是指在电子商务虚拟市场交易过程中存在的交易主体真实性、资金的被盗用、合同的法律效应、交易行为被抵赖等问题。,电子商务安全的法律制度,我国目前还没有专门的电子商务安全法，在电子商务的网络安全、信息安全和交易安全三个方面出台了一些相关的法律规范。,网络及信息安全的法律规范,全国人大常委会2000年12月通过的关于维护互联网安全的决定；国务院1994年2月18日颁布的计算机信息系统安全保护条例、1996年2月1日发布1997年5月20日修正的计算机信息网络国际联网管理暂行规定；1997年2月16日批准由公安部发布的计算机信息网络国际联网安全保护管理办法；,网络及信息安全的法律规范,2000年9月25日发布的:中华人民共和国电信条例互联网信息服务管理办法1997年修订刑法，增加了第285、286、287条对电子计算机信息系统保护及利用计算机系统犯罪处罚的条文。最高人民法院的有关司法解释,交易安全的若干法律制度,（1）综合性法律，主要是民法通则和刑法中有关保护交易安全的条文；（2）规范交易主体的有关法律，如公司法、国有企业法、集体企业法、合伙企业法、私营企业法、外资企业法等；（3）规范交易行为的有关法律，包括合同法、产品质量法、财产保险法、价格法、消费者权益保护法、广告法、反不正当竞争法等；（4）监督交易行为的有关法律，如会计法、审计法、票据法、银行法等。,电子商务安全的法律责任,（1）电子商务安全的监督管理机构公安机关对计算机信息系统保护工作行使下列监督职权：1）监督、检查、指导计算机信息系统安全保护工作；2）查处危害计算机信息系统安全的违法犯罪案件；3）履行计算机信息系统安全保护工作的其他监督职责。,电子商务安全的行政责任,违反电子商务安全法律的行政责任的承担方式，按照承担责任主体的不同而有所差异。国家机关违反电子商务安全法律，主要是按照法定程序进行国家赔偿；国家公务员违反电子商务安全法律，主要是对其进行行政处分，如果给行政相对方造成了损失，在追究责任人责任的同时，仍然要进行国家赔偿；计算机信息系统的使用单位和其他危害计算机信息系统安全的主体，则主要是进行行政处罚。,行政处罚法的规定,行政处罚是国家特定行政机关依法惩戒违反行政管理秩序的个人、组织的一种行政行为，属行政制裁范畴。我国于1996年公布的行政处罚法对行政处罚的种类做出了具体规定，主要有：1）警告2）罚款3）没收违法所得4）责令停产停业5）扣押或吊销许可证、执照6）行政拘留7）法律、法规规定的其他行政处罚,电子商务安全的刑事责任-1,2000年12月28日第九届全国人民代表大会常务委员会通过维护互联网安全的决定，决定指出，为了保障互联网的运行安全，对有下列行为之一，构成犯罪的，依照刑法有关规定追究刑事责任：1）侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统；2）故意制作、传播计算机病毒等破坏性程序，攻击计算机系统及通信网络，致使计算机系统及通信网络遭受损害；3）违反国家规定，擅自中断计算机网络或者通信服务，造成计算机网络或者通信系统不能正常运行。,电子商务安全的刑事责任-2,为了维护国家安全和社会稳定，对有下列行为之一，构成犯罪的，依照刑法有关规定追究刑事责任：1）利用互联网造谣、诽谤或者发表、传播其他有害信息，煽动颠覆国家政权、推翻社会主义制度，或者煽动分裂国家、破坏国家统一；2）通过互联网窃取、泄露国家秘密、情报或者军事秘密；3）利用互联网煽动民族仇恨、民族歧视，破坏民族团结；4）利用互联网组织邪教组织、联络邪教组织成员，破坏国家法律、行政法规实施。,电子商务安全的刑事责任-3,为了维护社会主义市场经济秩序和社会管理秩序，对有下列行为之一，构成犯罪的，依照刑法有关规定追究刑事责任：1）利用互联网销售伪劣产品或者对商品、服务作虚假宣传；2）利用互联网损害他人商业信誉和商品声誉；3）利用互联网侵犯他人知识产权；4）利用互联网编造并传播影响证券、期货交易或者其他扰乱金融秩序的虚假信息；5）在互联网上建立淫秽网站、网页，提供淫秽站点链接服务，或者传播淫秽书刊、影片、音像、图片。,电子商务安全的刑事责任-4,为了保护个人、法人和其他组织的人身、财产等合法权利，对有下列行为之一，构成犯罪的，依照刑法有关规定追究刑事责任：1）利用互联网侮辱他人或者捏造事实诽谤他人；2）非法截获、篡改、删除他人电子邮件或者其他数据资料，侵犯公民通信自由和通信秘密；3）利用互联网进行盗窃、诈骗、敲诈勒索。,电子商务安全的刑事责任-5,利用互联网实施上述所列行为以外的其他行为，构成犯罪的，依照刑法有关规定追究刑事责任。利用互联网实施违法行为，违反社会治安管理，尚不构成犯罪的，由公安机关依照治安管理处罚条例予以处罚；违反其他法律、行政法规，尚不构成犯罪的，由有关行政管理部门依法给予行政处罚；对直接负责的主管人员和其他直接责任人员，依法给予行政处分或者纪律处分。,电子商务安全的民事责任,维护互联网安全的决定规定，利用互联网侵犯他人合法权益，构成民事侵权的，依法承担民事责任。目前，我国电子商务安全法律责任体系尚未完全建立，现有的法律责任重行政责任和刑事责任，轻民事责任的现象仍然存在。,13.2电子商务的网络安全,网络立法日益受到重视。美国1987年即已通过计算机安全法，1998年5月又发布“使用电子媒介作传递用途的声明”，将电子传递的文件视为与纸面文件相同。德国制定了信息和通讯服务规范法、英国拟定了监控电子邮件和移动电话法案、日本的反黑客法，规定对擅自使用他人身份及密码侵入电脑网络的，皆视为违法犯罪行为，可判处10年监禁。香港则宣布对在因特网上滥发电子邮件者实施暂停服务的惩罚，并出台了因特网供应商实务守则，加重了网络经营者的责任。,美国网络安全的管理制度,网络空间安全国家战略加强网络安全法儿童网络安全法,我国的网络安全管理规定,维护互联网安全的决定国际互联网出入信道的管理制度市场准入制度计算机病毒防治管理办法,我国网络安全管理机构及职责,（1）国际互联网出入信道的安全监督公安厅（局）应有相应机构负责国际联网的安全保护工作。公安机关计算机管理监察机构应当掌握互联单位、接入单位和用户的备案情况，建立备案档案，进行备案统计，并按照国家有关规定逐级上报。公安机关计算机管理监察机构应当督促互联单位、接入单位及有关用户建立健全安全保护管理制度。公安机关计算机管理监察机构发现含有非法内容的地址、目录或者服务器时，应当通知有关单位关闭或者删除。公安机关计算机管理监察机构应当负责追踪和查处通过计算机信息网络的违法行为和针对计算机信息网络的犯罪案件。,（2）计算机信息系统安全专用产品检测和销售许可国家对计算机信息系统安全专用产品的销售实行许可证制度：计算机信息系统安全专用产品检测和销售许可证管理办法公安部计算机管理监察部门负责销售许可证的审批颁发工作和安全专用产品安全功能检测机构（以下简称检测机构）的审批工作。,网络经营者的责任,网络经营者包括网络基础设施经营者、接入服务提供者、主机服务提供者、电子公告板系统经营者和信息搜索工具提供者。这些单位和个人负责所属互联网络的安全保护管理工作，履行安全保护职责，并接受公安机关的监管。,13.3电子商务的信息安全,1.网络信息资源的管理制度我国目前对于网络信息资源的管理制度主要有两种：分级制度和电子商务安全认证制度。这两种管理制度都是从网络信息资源的安全出发，为了保证网络信息资源的安全而制定的。分级制度是针对所有网络上的信息，而电子商务安全认证制度则在电子商务方面更有针对性。,信息分级制度,目前，我国网络信息资源根据信息的性质和重要程度划分为三级：A级是指机密信息资源，实行强制安全保护；B级是指内部信息资源，实行自主安全保护；C级是指公共信息资源，实行一般安全保护。此外，应严格区分内部网和外部网，凡涉及内部生产管理或不宜公开的网络要在物理上与公共互联网隔开，堵截黑客入侵内部网。凡涉及机密的资料按有关保密政策传递和存放，严禁与普通资料混存混传。分级制度是指对于网络信息资源，要明确其信息分类，实行等级安全管理制度。,电子商务安全认证制度,电子商务安全认证制度主要是为了满足四个方面的信息安全要求，即电子商务信息内容的保密技术要求、身份鉴别认证的技术要求、信息内容的完整性鉴别技术要求以及抗抵赖交易活动的安全技术要求。并以此来保障网络的信息安全，消除用户对网络信息安全的恐惧心理，从而放心地在网络完成各种交易的商务活动或事务活动。,网络信息的安全问题,网络信息的安全就是对信息的可靠性、完整性和可用性进行保护。在Internet上开展电子商务，在服务、成本等方面具有很多优点，但由于Internet技术本身的特点，在信息安全方面存在很大的风险，欺骗、窃听、病毒和非法入侵都在威胁着电子商务，特别是网上支付和网络银行对信息安全的要求显得更为突出。,电子商务对信息安全的要求-1,1）信息的保密性，即电子商务系统应该对主要信息进行加密处理，阻止非法用户获取和理解原始数据。2）数据的完整性，即电子商务系统应该提供对数据进行完整性验证的手段，确保能够发现数据在传输过程中是否被改动。3）用户身份的鉴别，即电子商务系统应该提供通信双方进行身份鉴别的机制。一般可以通过数字签名和数字证书相结合的方式实现用户身份的鉴别。数字证书应该由可靠的证书认证机构签发，用户申请数字证书时应提供足够的身份信息，证书认证机构在签发证书时应对用户提供的身份信息进行真实性验证。,电子商务对信息安全的要求-2,4）数据原发者鉴别，即电子商务系统应能提供对数据原发者的鉴别，确保所收到的数据确实来自原发者。这一要求可以通过数据完整性及数字签名相结合的方法来实现。5）数据原发者的不可抵赖性，即电子商务系统应能提供数据原发者的不可抵赖机制，确保数据原发者的抵赖行为不能得逞。这不仅要提供实现不可抵赖性的技术保障，也需要制定相应的法律规范。6）合法用户的安全性，即合法用户的安全性是指合法用户的权利不受到危害或侵犯，电子商务系统和电子商务的安全管理体系应该实现系统对用户身份的有效确认、对私有密钥和口令的有效保护、对非法攻击的有效防范等，以保障合法用户的安全性。,网络信息安全的法律规制,（1）计算机信息系统安全保护计算机信息系统的安全保护，应当保障计算机及其相关的和配套的设备、设施（含网络）的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行。计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法，由公安部会同有关部门制定。,计算机机房应当符合国家标准和国家有关规定。在计算机机房附近施工，不得危害计算机信息系统的安全。进行国际联网的计算机信息系统，由计算机信息系统的使用单位报省级以上人民政府公安机关备案。计算机信息系统的使用单位应当建立健全安全管理制度，负责本单位计算机信息系统的安全保护工作。计算机信息系统的安全保护工作，重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。,国际联网的安全保护-1,公安机关计算机管理监察机构应当保护计算机信息网络国际联网的公共安全，维护从事国际联网业务的单位和个人的合法权益和公众利益。任何单位和个人不得利用国际联网危害国家安全、泄露国家秘密，不得侵犯国家的、社会的、集体的利益和公民的合法权益，不得从事违法犯罪活动。,国际联网的安全保护-2,任何单位和个人不得利用国际联网制作、复制、查阅和传播下列信息：煽动抗拒、破坏宪法和法律、行政法规实施的；煽动颠覆国家政权，推翻社会主义制度的；煽动分裂国家、破坏国家统一的；煽动民族仇恨、民族歧视，破坏民族团结的；捏造或者歪曲事实，散布谣言，扰乱社会秩序的；宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪的；公然侮辱他人或者捏造事实诽谤他人的；损害国家机关信誉的；其他违反宪法和法律、行政法规的。,国际联网的安全保护-3,任何单位和个人不得从事下列危害计算机信息网络安全的活动：未经允许，进入计算机信息网络或者使用计算机信息网络资源的；未经允许，对计算机信息网络功能进行删除、修改或者增加的；未经允许，对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的；故意制作、传播计算机病毒等破坏性程序的；其他危害计算机信息网络安全的,国际联网的安全保护-4,用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律规定，利用国际联网侵犯用户的通信自由和通信秘密。,国际联网保密管理规定-1,计算机信息系统国际联网的保密管理，实行控制源头、归口管理、分级负责、突出重点、有利发展的原则。国家保密工作部门主管全国计算机信息系统国际联网的保密工作。县级以上地方各级保密工作部门，主管本行政区域内计算机信息系统国际联网的保密工作。中央国家机关在其职权范围内，主管或指导本系统计算机信息系统国际联网的保密工作。,国际联网保密管理规定-2,涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相联接，必须实行物理隔离。涉及国家秘密的信息，包括在对外交往与合作中经审查、批准与境外特定对象合法交换的国家秘密信息，不得在国际联网的计算机信息系统中存储、处理、传递。凡在网上开设电子公告系统、聊天室、网络新闻组的单位和用户，应由相应的保密工作机构审批，明确保密要求和责任。用户使用电子函件进行网上信息交流，应当遵守国家有关保密规定，不得利用电子函件传递、转发或抄送国家秘密信息。,电子公告服务的信息安全,互联网电子公告服务管理规定指出，电子公告服务，是指在互联网上以电子布告牌、电子白板、电子论坛、网络聊天室、留言板等交互形式为上网用户提供信息发布条件的行为。电子公告服务提供者开展服务活动，应当遵守法律、法规，加强行业自律，接受信息产业部及省、自治区、直辖市电信管理机构和其他有关主管部门依法实施的监督检查。,新闻业务的信息管理,互联网站从事登载新闻业务管理暂行规定，该规定指出互联网站从事登载新闻业务，必须遵守宪法和法律、法规。国家保护互联网站从事登载新闻业务的合法权益。国务院新闻办公室负责全国互联网站从事登载新闻业务的管理工作。,13.4电子商务的交易安全,（1）市场准入制度对经营者的资格、与网络建设密切相关的诸如网络连接商、信息服务提供商、数字证书认证机构、密钥管理机构等服务机构应当实行严格的审查才允许进入市场交易。（2）电子签名的安全一项完善的电子签名一般应同时满足惟一性、不可能被伪造、容易被鉴定以及不可能被拒绝