信息安全法律法规1-概述.2016版

信息安全法律和法规(第一讲）,北京信息科技大学刘凯liukai,课程安排,总课时：32课时第一章信息安全法概述4学时第二章纯正的计算机犯罪4学时第三章不纯正的计算机犯罪4学时第四章电子证据及计算机取证4学时第五章与信息安全相关的热点问题12学时第六章计算机安全与道德规范2学时第七章计算机犯罪对策2学时biti_statute口令：12345678,教材及参考书,教材：信息安全法教程麦永浩袁翔珠著武汉大学出版社2010.6月第二版参考书：信息法研究娄耀雄著人民法院出版社2004.8信息安全法研究马民虎主编陕西人民出版社2004.11网络法学张楚主编高等教育出版2003.5法律基础教育部社科司组编高等教育出版社2003.7,组织管理,为什么要学习这门课？,一个体系、六个要素,技术保障,信息安全基础设施,产业支撑,人材教育和培养,法规与标准,国家信息安全保障体系,行政管理体制技术管理体制信息系统安全管理准则（ISO17799）,基础类：风险控制、有效评估等关键类：密码、安全基、内容安全、IDS、VPN等系统类：PKI、网络预警、集成管理等应用类：EC、EG等物理与环境类：TEMPST、物理识别前瞻性：免疫、量子等,基于数字证书的信任体系PKI/CA）信息安全测评与认证体系C/TCSEC）网上信息内容安全监控体系网络犯罪监察与防范体系,学历教育高级人材培养职业和技能培训信息安全意识提升网上教育信息安全出版物,推动安全产业发展，支撑安全保障体系建设掌握安全产品的自主权、自控权建设信息安全产品基地形成信息安全产品配套的产业链,加强信息安全标准化技术委员会工作积极参予国际信息安全标准制订活动注意采用国际与国外先进标准电子文档与数字签章类数据保密与公开类网络信息内容安全监管类网络信息犯罪与惩治类,信息安全法律法规与其它要素间的关系？,信息安全保障体系，需要强有力的法律保障；信息网络的相关法制建设，也是信息网络及其安全技术发展的规范和依据。,信息安全法律法规,培养教育,技术保障,产业支撑,组织管理,基础设施,与其它要素之间的关系,第四届中国信息安全法律大会关注问题1:,信息安全政策法律基础问题信息安全法的基础理论信息安全法律规范和保障国家信息安全战略中国信息安全法律体系互联网虚拟社会治理法制理念太空信息安全政策法律商用密码管理制度的改革公司信息安全治理的法律框架,第四届中国信息安全法律大会关注问题2:,网络社会隐私法律问题大数据时代的个人数据保护智能手机监控应用的隐私保护搜索引擎服务商的个人数据保护义务浏览器安全的隐私政策法律研究企业隐私保护政策研究隐私与信息安全治理路径研究,第四届中国信息安全法律大会关注问题3:,网络安全监管法律与执法棱镜计划对中国网络安全监管制度的影响网络通信拦截的法律问题政府数据存取的法律问题密钥托管制度与中国商用密码法律制度的创新与发展网络安全防卫权与国际网络安全准则紧急状态下的网络管制,第四届中国信息安全法律大会关注问题4:,可信网络空间的法制保障IT供应链国家信息安全审查制度中国云计算安全的政策与法律大数据时代信息数据主权和国家竞争力关键信息基础设施保护的政策与法律智能终端与在线软件商店的安全管理可信供应链与信息安全的政策法律个人数据安全和跨国公司合规遵从,第五届中国信息安全法律大会关注问题1:,信息安全法律与战略基础理论网络社会治理法制理念网络与信息安全法的基础理论网络与信息安全立法网络与信息安全国家战略框架,第五届中国信息安全法律大会关注问题2:,国家网络与信息主权国家信息安全审查制度信息主权网络安全防卫权与国际网络安全准则,第五届中国信息安全法律大会关注问题3:,个人权利与企业信息安全保障义务大数据时代的个人信息权利与隐私保护个人数据安全和跨国公司合规遵从物联网安全与隐私保护法律问题企业信息安全保障义务研究,第五届中国信息安全法律大会关注问题4:,移动互联网安全与治理移动互联网信息安全威胁与漏洞法律治理智能终端监控应用的隐私保护智能轿车信息安全法律问题,第五届中国信息安全法律大会关注问题5:,网络安全监管、执法与司法网络通信拦截的法律问题政府数据存取的法律问题数字取证及其相关技术开源软件信息安全的政策法律,第五届中国信息安全法律大会关注问题6:,可信网络空间的法律保障关键信息基础设施保护的政策与法律智能终端与在线软件商店的安全管理可信供应链与信息安全的政策法律,第一章信息安全法概述,由于计算机的普及、互联网的发展，使得信息安全问题特别突出，信息安全的重要性已得到人们的普遍认同。法律应该涉及信息安全，特别是网络信息安全，然而现有立法还有相当大的差距。而这种法律知识是建立在对多学科知识、多种技术的了解和积累之上的。只有这样我们才能更好地了解和掌握信息安全方面的法律法规，懂得用这方面的法律来保护信息安全。,主要内容,信息安全和信息安全法的概念信息安全的法律渊源,1.1信息安全的概念1.1.1关于信息1.1.2关于安全1.1.3从技术角度定义信息安全1.1.4从法学角度定义信息安全1.1.5信息安全的分类1.2关于信息规范与信息法1.3关于信息安全法,课时安排,1.3.1信息安全法的定义1.3.2信息安全法的调整范围1.3.3我国信息安全法律渊源1.3.4信息安全法的划分1.3.5国内立法和趋势1.3.6结构和主要内容1.3.7信息安全法的相关法律法规,1.1信息安全的概念,1.1.1,关于信息,Development,普遍性、无限性、相对性、传递性、变换性、有序性、动态性、转化性,信息是事物的状态和状态变化的方式，因此只要有事物存在和事物的运动，就存在着信息。,宇宙时空中的事物是无限丰富的，因此其产生的信息也是无限的；即使在有限的空间中，比如在地球上，事物也是无限多样的。,对于同一个事物，不同的观察者所能获得的信息量可能不同。,信息可以在时间上或空间中从一点传到另一点。在时间上的传递称为存储；在空间中的传递称为通信。,信息可以由不同的载体用不同的方法来载荷。,信息可以用来消除系统的不定性，增加系统的有序性。获得了信息，就可以消除认识主体对于事物运动的状态和方式的不定性。,事物本身在不断的变化，信息也会随之变化。,信息在一定的条件下可以转化为物质、能量、时间及其它。其前提是信息必须被人们有效地应用。,1.1.2,关于安全,1.1信息安全的概念,Development,使人的生命价值和劳动价值免受侵犯的因素。使人们在客观上不存在威胁，主观上不存在恐惧。,地相对性广泛性深度性动态性,安全不直接产生价值。相反的，它和易用性，性能，生产力等都是相冲突的。讲安全，一定程度上说，一定会带来易用性的问题。所以，它非常讲究平衡，在各个因素之间，要考虑到各个方面。总的原则是，在尽量不影响易用性和生产力的情况，尽可能地提供安全。,平衡性,1.1.2,关于安全,1.1信息安全的概念,Development,使人的生命价值和劳动价值免受侵犯的因素。使人们在客观上不存在威胁，主观上不存在恐惧。,平衡性广泛性深度性动态性,世界上没有绝对的安全。正如完美是不存在的，但却是可以接近的。做事的时候，可以力求完美，但要明白，完美只是理想。安全是一个需要不断完善的过程。,相对性,1.1.2,关于安全,1.1信息安全的概念,Development,使人的生命价值和劳动价值免受侵犯的因素。使人们在客观上不存在威胁，主观上不存在恐惧。,平衡性相对性深度性动态性,安全牵涉的层次，方面和领域太多。即有不同领域的安全，如环境安全、金融安全、食品安全、能源安全和网络安全等等；还有不同层次的安全，如网络安全中的网络层，主机层，物理层和人员管理等等。,广泛性,1.1.2,关于安全,1.1信息安全的概念,Development,使人的生命价值和劳动价值免受侵犯的因素。使人们在客观上不存在威胁，主观上不存在恐惧。,平衡性相对性广泛性动态性,广泛并不意味着肤浅。在我们所要做的各种工作中，安全无疑是最具挑战性的的。你不但要懂得多，还要懂得深。,深度性,1.1.2,关于安全,1.1信息安全的概念,Development,使人的生命价值和劳动价值免受侵犯的因素。使人们在客观上不存在威胁，主观上不存在恐惧。,平衡性相对性广泛性深度性,新事物总是层出不穷的，不断变化的。安全的状况也是不断变化的。所以要适应变化。有人说，在当今这个世界里，你只需要掌握两种能力：学习的能力和学习变化的能力。,动态性,1.1.3,从技术角度定义信息安全,1.1信息安全的概念,Development,通讯保密，需要解决机密性问题,计算机安全，需要解决机密性和访问控制问题,信息安全，需要解决机密性、完整性、可用性问题,信息保障，需要解决信息空间的正常秩序，建立攻、防、测、控、管、评综合信息保障体系,1.1.3,从技术角度定义信息安全,1.1信息安全的概念,Development,信息资产的状态不受外来的威胁与侵害，信息技术体系不受外来的威胁与侵害,信息安全是指在客观上杜绝对信息资产的完整性、可用性、机密性造成的威胁,完整性：信息资产没有遭到未授权的篡改和破坏可用性：信息资产的访问和使用没有遭到未授权的剥夺机密性：信息资产不暴露于未授权的人员可控性：授权机构可以随时控制信息的机密性,1.1.4,从法律的角度定义信息安全,1.1信息安全的概念,Development,信息主体的信息权利和信息资产不存在威胁和侵害。当受到侵害时，在法律上能得到救济，以排除这种威胁和侵害，使信息主体在主观上不存在恐惧,包括国家、政府，自然人、法人或其它组织,能带来利益并为人所用的信息（信息资产）,通过信息安全相关的民事责任、行政责任和刑事责任制度来调整对信息主体的安全保护,1.1.5,信息安全的分类,1.1信息安全的概念,Development,危害国家安全危害社会安全危害市场或企业危害个人安全,监控查验、犯罪起诉,技术管理安全、行政管理安全、应急管理安全,实体安全、软件安全、数据安全、运行安全,政策、法律是否完备,信息安全宣传与普及教育,1.2关于信息规范与信息法,信息自由与信息管制的矛盾信息不足与信息过滥的矛盾信息社会公益性和个体营利性的矛盾信息保密与信息公开的矛盾,信息规范是调整、控制和规定信息活动准则与行为的各类信息信息管理措施和手段的总称，信息规范的主要形式包括信息政策、信息法律和信息伦理等。,信息法是调整人类在信息的采集、加工、存储、传播和利用等活动中发生的各种社会关系的法律规范的总称。,客体具有无形财产性；信息权利与义务的多元性；信息法律规范渊源的广泛性；信息法的技术性。,1.3关于信息安全法,1.3.1,信息安全法的定义,复合性:由信息安全关系的复杂性所决定技术性:技术规范的演变开放性:适应信息技术的不断发展兼容性:不同的法律规范被包容进信息安全法中国际性:突破了传统法律的空间效力,1.3关于信息安全法,1.3.2,不同时代的信息安全法的调整范围,不同时代人们对信息安全法的调整范围的需求和认识有所不同,计算机安全急需解决的是确保信息系统中硬件、软件及正在处理、存储、传输的信息的机密性、完整性和可用性。这一时期，针对个人隐私权的保护，世界各国开始了第一次计算机信息系统安全立法潮流,英国和德国的数据保护法具有一定代表性,1.3关于信息安全法,对安全性有了新产需求，即可控性，对信息及信息系统实施安全监控管理；不可否认性，保证行为人不能否认自己的行为。立法急需解决网络入侵、病毒破坏、计算机犯罪等问题。世界各国（主要是发达国家）都适时地对刑法作出了修改。国际性的立法浪潮始于1985年。,1987年美国再次修订了计算机犯罪法，确立了计算机欺诈法等,1.3.2,不同时代的信息安全法的调整范围,1.3关于信息安全法,信息安全的概念已不再局限于对信息的保护，提出了信息安全保障的概念。强调了系统整个生命周期的防御和恢复。为适应信息保障的要求，立法以信息安全监督管理为核心。明确政府机构和商业机构负责人的安全责任。,美国的关键基础设施保护、联邦信息技术等,1.3.2,不同时代的信息安全法的调整范围,1.3关于信息安全法,“911”后，各国的网络与信息安全工作几乎都是围绕着“反恐展开的。特别在美国，为了避免“数字珍珠港”事件的上演，立法重点从对信息基础设施的保护到对国家关键基础设施保护的转移，强调应急响应、检测预警，重视监控。,信息时代的关键基础设施保护、爱国者法案、网络安全国家战略等,1.3.2,不同时代的信息安全法的调整范围,1.3关于信息安全法,1.3.3,信息安全法律渊源,指法的具体表现形式。我国现行法律渊源主要表现为有立法权的国家机关制定的规范性法律文件，即制定法。判例不是我国的法律渊源,刑法中规定的信息犯罪，1997年修订。保守国家秘密法88年颁布，89年实施。关于互联网安全的决定2006年颁布实施。电子签名法2005年4月1日起实施。还散见于著作权法、民法通则、证券法等等,1.3关于信息安全法,1.3.3,信息安全法律渊源,指法的具体表现形式。我国现行法律渊源主要表现为有立法权的国家机关制定的规范性法律文件，即判定法。判例不是我国的法律渊源。,计算机信息系统安全保护条例1994年计算机信息网络国际联网管理暂行规定1996年互联网信息服务管理办法，2000年计算机软件保护条例，2002年电信条例，2000年,1.3关于信息安全法,1.3.3,信息安全法律渊源,指法的具体表现形式。我国现行法律渊源主要表现为有立法权的国家机关制定的规范性法律文件，即判定法。判例不是我国的法律渊源。,计算机病毒防治管理办法，2000年，公安部计算机信息网络国际联网安全保护管理办法1997年，公安部计算机信息系统安全专用产品检测和销售许可证管理办法，1997年，公安部计算机信息系统保密管理暂行规定，1997年，国家保密局,1.3关于信息安全法,政府信息安全的法律法规规定民事主体信息安全的法律法规规定,1.3.4,信息安全法的划分,电信信息安全法律法规非电信信息安全法律法规,信息安全的刑事责任信息安全的民事责任信息安全的行政责任,1.3关于信息安全法,20世纪80年代中期就已开展计算机安全立法工作。94年颁布计算机信息系统安全保护条例97年将计算机犯罪纳入刑事立法体系。其它陆续出台各项法律法规,1.3.5,信息安全法的国内立法和趋势,理论研究滞后，缺乏总体思路对技术发展趋势估计不足行业监管与安全监管范围交叉，责任不明,1.3关于信息安全法,1.3.6,信息安全法的结构和主要内容,应该从以下六个方面加以立法,1.3关于信息安全法,1.3.7,相关信息安全法律法规,第六章妨害社会管理秩序罪：第285条、第286条、第287条。第285条定义了非法侵入计算机信息系统罪。第286条定义了破坏计算机信息系统功能罪。第287条定义了利用计算机实施的犯罪。,第285条保护范围过窄。没有规定窃用计算机服务罪。没有规定盗窃计算机软件和数据罪。罪名归属不当，放在危害公共安全罪中比较合适。第30，285，286条，单位不能成为犯罪主体。,1.3关于信息安全法,1.3.7,相关信息安全法律法规,进一步扩充了保护对象的内涵和外延，分六个部分：,为了保障互联网的运用安全：三条为了维护国家安全和社会稳定：四条为了维护社会市场经济秩序和社会管理秩序：五条为了保护个人、法人和其它组织的人身、财产等合法权利：三条。利用互联网实施本决定上述所列行为以外的其它行为，构成犯罪的，依刑法有关规定追求刑事责任。对不构成犯罪的违法行为规定了依照治安管理处罚条例或其它法律、行政法规进行处罚，追究行政责任。对构成民事侵权的行为，规定了依法承担民事责任。,1.3关于信息安全法,1.3.7,相关信息安全法律法规,中华人民共和国计算机信息系统安全保护条例计算机信息网络国际联网管理暂行规定实施办法商用密码管理条例中华人民共和国电信条例,是我国第一部保护计算机信息系统安全的专门条例规定了相关计算机术语，“计算机信息系统”、“计算机病毒”条例规定了计算机信息系统的保护对象。条例规定了计算机信息系统实行安全等级保护。条例规定了各有关部门的职责范围。条例规定了国家对信息系统安全专用产品的销售实行许可证制度。条例规定了相应的法律责任：警告；停机整顿；罚款；,1.3关于信息安全法,1.3.7,相关信息安全法律法规,规定了一些法律意义上的计算机术语：“国际联网”、“接入网络”、“国际出入口信道”、“用户”、“专用计算机信息网络”、“企业计算机信息网络”。指出国家对国际联网的建设布局、资源利用进行统筹规划。国际联网采用国家统一制定的技术标准、安全标准、资费政策。国际出入口信道提供单位、互联单位和接入单位必须建立网络管理中心，健全管理制度，做好网络信息安全管理工作。,1.3关于信息安全法,1.3.7,相关信息安全法律法规,对信息安全，特别是电信安全提供了安全保护方法。条例对“电信”定义为：指利用有线、无线的电磁系统或者光电系统，传送、发射或者接收语音、文字、数据、图像及其它任何形式信息的活动。,规定国家密码办主管全国商用密码管理工作。国家对商用密码产品科研、生产、销售和使用实行专控管理。任何单位不得非法攻击商用密码。,1.3关于信息安全法,1.3.7,相关信息安全法律法规,计算机信息网络国际联网安全保护管理办法计算机信息系统安全专用产品检测和销售许可证管理办法网吧安全管理软件检测规范计算机病毒防治管理办法金融机构计算机信息系统安全保护工作暂行规定公安部关于对破坏未联网的微型计算机信息系统是否适用鞋刑法第条的请示的批复关于规范“网吧”经营行为加强安全管理的通知,1.3关于信息安全法,1.3.7,相关信息安全法律法规,农业部计算机信息网络系统安全保密管理暂行规定教育部教育网站和网校暂行管理办法铁道部铁路计算机系统安全管理暂行办法邮电部中国公用计算机互联网国际联网管理办法信息产业部互联网电子公告服务管理规定信息产业部互联网上网服务营业场所管理办法国家保密局计算机信息系统国际联网保密管理规定,1.3关于信息安全法,1.3.7,相关信息安全法律法规,办法规定公安部计算机管理监察机构负责计算机信息网络的安全保护管理工作。任何单位和个人不得利用国际联网制作、复制、查阅和传播下列信息：共列出9条互联单位、接入单位及使单位和组织的相关安全职责：共列出7条。用户的通信自由和通信秘密受法律保护，规定了相应的法律责任。,1.3关于信息安全法,1.3.7,相关信息安全法律法规,信息产业部、公安部、文化部、工商局的各自的工作职责和权力、分工与合作。申请开办互联网上网服务营业场所，应具备的条件：8条。经营者应当履行的义务：8条。经营者和上网用户禁止的行为：9条。对有失职、渎职行为的审批管理部门直接负责人和直接责任人，依法给予行政处分或追究刑事责任。,1.3关于信息安全法,1.3.7,相关信息安全法律法规,安全专用产品的生产者必须申请许可证。公安部负责许可证的审批和颁发及相关产品检测机构的审批工作。检测机构应履行的职责：6条。生产者应向检测机构提交的材料：7条。生产者向公安部计算机管理监察部门提交：三条。生产单位被视为未经许可出售安全专用产品的情形：7条。,小结,信息安全法的定义信息安全法的渊源,附件1.1CC中的信息安全定义,安全要素及关系图,机密性(Confidentiality)：信息资产不暴露于未授权的人员。完整性(Integrity)：信息资产没有遭到未授权的篡改和破坏。可用性(Availability)：信息资产的访问和使用没有遭到未授权的剥夺。,返回,附件1.2信息安全分类,附件1.2信息安全分类,返回,附件1.3信息安全威胁来源,内因：人们的认识能力和实践能力的局限性、系统规模大外因：,附件1.4信息安全技术手段,访问控制：防止对资源的未授权使用。鉴别与认证：用保护机制鉴别用户身份。加密：使用数学方法重新组织数据。防火墙：隔离和控制被保护对象。VPN：在公共网上建立专用安全通道。扫描器：检测系统的安全性弱点。入侵检测：检测内、外部的入侵行为。安全审计：记录系统发生的有关安全的事件。,附件1.5安全事件不断增加,附件1.6攻击工具的变化,附件1.7PPDR模型,P2DR模型PPDR模型：在安全策略的指导下，运用防护机制、检测机制、响应机制使风险降至可接受水平。tp:攻击时间；tD:检测时间;tR:响应时间；tE:暴露时间；入侵检测可以看作是实现P2DR模型的一个重要环节。,图2.1PPDR模型示意图,二个重要的公式：tPtD+tR(2.1)tE=(tD+tR)-tP(2.2),返回,附件2.1有关信息安全刑法部分,第六章妨害社会管理秩序罪第一节扰乱公共秩序罪第二百八十五条违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。第二百八十六条违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑。违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。第二百八十七条利用计算机实施金融诈骗、盗窃、贪污、挪用公款、窃取国家秘密或者其他犯罪的，依照本法有关规定定罪处罚。,返回,附件2.2关于维护互联网安全的决定,(2000年12月28日第九届全国人民代表大会常务委员会第十九次会议通过)我国的互联网，在国家大力倡导和积极推动下，在经济建设和各项事业中得到日益广泛的应用，使人们的生产、工作、学习和生活方式已经开始并将继续发生深刻的变化，对于加快我国国民经济、科学技术的发展和社会服务信息化进程具有重要作用。同时，如何保障互联网的运行安全和信息安全问题已经引起全社会的普遍关注。为了兴利除弊，促进我国互联网的健康发展，维护国家安全和社会公共利益，保护个人、法人和其他组织的合法权益，特作如下决定：一、为了保障互联网的运行安全，对有下列行为之一，构成犯罪的，依照刑法有关规定追究刑事责任：(一)侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统；(二)故意制作、传播计算机病毒等破坏性程序，攻击计算机系统及通信网络，致使计算机系统及通信网络遭受损害；(三)违反国家规定，擅自中断计算机网络或者通信服务，造成计算机网络或者通信系统不能正常运行。二、为了维护国家安全和社会稳定，对有下列行为之一，构成犯罪的，依照刑法有关规定追究刑事责任：(一)利用互联网造谣、诽谤或者发表、传播其他有害信息，煽动颠覆国家政权、推翻社会主义制度，或者煽动分裂国家、破坏国家统一；(二)通过互联网窃取、泄露国家秘密、情报或者军事秘密；(三)利用互联网煽动民族仇恨、民族歧视，破坏民族团结；(四)利用互联网组织邪教组织、联络邪教组织成员，破坏国家法律、行政法规实施。三、为了维护社会主义市场经济秩序和社会管理秩序，对有下列行为之一，构成犯罪的，依照刑法有关规定追究刑事责任：(一)利用互联网销售伪劣产品或者对商品、服务作虚假宣传；(二)利用互联网损害他人商业信誉和商品声誉；(三)利用互联网侵犯他人知识产权；(四)利用互联网编造并传播影响证券、期货交易或者其他扰乱金融秩序的虚假信息；(五)在互联网上建立淫秽网站、网页，提供淫秽站点链接服务，或者传播淫秽书刊、影片、音像、图片。,返回,附件2.2关于维护互联网安全的决定,四、为了保护个人、法人和其他组织的人身、财产等合法权利，对有下列行为之一，构成犯罪的，依照刑法有关规定追究刑事责任：(一)利用互联网侮辱他人或者捏造事实诽谤他人；(二)非法截获、篡改、删除他人电子邮件或者其他数据资料，侵犯公民通信自由和通信秘密；(三)利用互联网进行盗窃、诈骗、敲诈勒索。五、利用互联网实施本决定第一条、第二条、第三条、第四条所列行为以外的其他行为，构成犯罪的，依照刑法有关规定追究刑事责任。六、利用互联网实施违法行为，违反社会治安管理，尚不构成犯罪的，由公安机关依照治安管理处罚条例予以处罚；违反其他法律、行政法规，尚不构成犯罪的，由有关行政管理部门依法给予行政处罚；对直接负责的主管人员和其他直接责任人员，依法给予行政处分或者纪律处分。利用互联网侵犯他人合法权益，构成民事侵权的，依法承担民事责任。七、各级人民政府及有关部门要采取积极措施，在促进互联网的应用和网络技术的普及过程中，重视和支持对网络安全技术的研究和开发，增强网络的安全防护能力。有关主管部门要加强对互联网的运行安全和信息安全的宣传教育，依法实施有效的监督管理，防范和制止利用互联网进行的各种违法活动，为互联网的健康发展创造良好的社会环境。从事互联网业务的单位要依法开展活动，发现互联网上出现违法犯罪行为和有害信息时，要采取措施，停止传输有害信息，并及时向有关机关报告。任何单位和个人在利用互联网时，都要遵纪守法，抵制各种违法犯罪行为和有害信息。人民法院、人民检察院、公安机关、国家安全机关要各司其职，密切配合，依法严厉打击利用互联网实施的各种犯罪活动。要动员全社会的力量，依靠全社会的共同努力，保障互联网的运行安全与信息安全，促进社会主义精神文明和物质文明建设。,返回,附件2.3,返回,附件2.3,返回,附件2.3,返回,附件2.3,返回,附件2.4暂行规定实施办法,中华人民共和国计算机信息网络国际联网暂行规定实施办法(1997年12月8日国务院信息化工作领导小组审定)第一条为了加强对计算机信息网络国际联网的管理，保障国际计算机信息交流的健康发展，根据中华人民共和国计算机信息网络国际联网管理暂行规定（以下简称暂行规定），制定本办法。第二条中华人民共和国境内的计算机信息网络进行国际联网,依照本办法办理。第三条本办法下列用语的含义是：1.国际联网，是指中华人民共和国境内的计算机互联网络、专业计算机信息网络、企业计算机信息网络,以及其他通过专线进行国际联网的计算机信息网络同外国的计算机信息网络相联接。2.接入网络，是指通过接入互联网络进行国际联网的计算机信息网络；接入网络可以是多级联接的网络。3.国际出入口信道，是指国际联网所使用的物理信道。4.用户，是指通过接入网络进行国际联网的个人、法人和其他组织；个人用户是指具有联网帐号的个人。5.专业计算机信息网络，是指为行业服务的专用计算机信息网络。6.企业计算机信息网络，是指企业内部自用的计算机信息网络。第四条国家对国际联网的建设布局、资源利用进行统筹规划。际联网采用国家统一制定的技术标准、安全标准、资费政策，以利于提高服务质量和水平。国际联网实行分级管理，即：对互联单位、接入单位、用户实行逐级管理，对国际出入口信道统一管理。国家鼓励在国际联网服务中公平、有序地竞争，提倡资源共享，促进健康发展。第五条国务院信息化工作领导小组办公室负责组织、协调有关部门制定国际联网的安全、经营、资费、服务等规定和标准的工作，并对执行情况进行检查监督。第六条中国互联网络信息中心提供互联网络地址、域名、网络资源目录管理和有关的信息服务。,附件2.4暂行规定实施办法,第七条我国境内的计算机信息网络直接进行国际联网，必须使用邮电部国家公用电信网提供的国际出入口信道。任何单位和个人不得自行建立或者使用其他信道进行国际联网。第八条已经建立的中国公用计算机互联网、中国金桥信息网、中国教育和科研计算机网、中国科学技术网等四个互联网络，分别由邮电部、电子工业部、国家教育委员会和中国科学院管理。中国公用计算机互联网、中国金桥信息网为经营性互联网络；中国教育和科研计算机网、中国科学技术网为公益性互联网络。经营性互联网络应当享受同等的资费政策和技术支撑条件。公益性互联网络是指为社会提供公益服务的，不以盈利为目的的互联网络。公益性互联网络所使用信道的资费应当享受优惠政策。第九条新建互联网络，必须经部(委)级行政主管部门批准后，向国务院信息化工作领导小组提交互联单位申请书和互联网络可行性报告，由国务院信息化工作领导小组审议提出意见并报国务院批准。互联网络可行性报告的主要内容应当包括：网络服务性质和范围、网络技术方案、经济分析、管理办法和安全措施等。第十条接入网络必须通过互联网络进行国际联网，不得以其他方式进行国际联网。接入单位必须具备暂行规定第九条规定的条件，并向互联单位主管部门或者主管单位提交接入单位申请书和接入网络可行性报告。互联单位主管部门或者主管单位应当在收到接入单位申请书后20个工作日内，将审批意见以书面形式通知申请单位。接入网络可行性报告的主要内容应当包括：网络服务性质和范围、网络技术方案、经济分析、管理制度和安全措施等。第十一条对从事国际联网经营活动的接入单位（以下简称经营性接入单位）实行国际联网经营许可证（以下简称经营许可证）制度。经营许可证的格式由国务院信息化工作领导小组统一制定。经营许可证由经营性互联单位主管部门颁发，报国务院信息化工作领导小组办公室备案。互联单位主管部门对经营性接入单位实行年检制度。跨省（区）、市经营的接入单位应当向经营性互联单位主管部门申请领取国际联网经营许可证。在本省（区）、市内经营的接入单位应当向经营性互联单位主管部门或者经其授权的省级主管部门申请领取国际联网经营许可证。经营性接入单位凭经营许可证到国家工商行政管理机关办理登记注册手续，向提供电信服务的企业办理所需通信线路手续。提供电信服务的企业应当在30个工作日内为接入单位提供通信线路和相关服务。,返回,附件2.4暂行规定实施办法,第十二条个人、法人和其他组织用户使用的计算机或者计算机信息网络必须通过接入网络进行国际联网，不得以其他方式进行国际联网。第十三条用户向接入单位申请国际联网时，应当提供有效身份证明或者其他证明文件，并填写用户登记表。接入单位应当在收到用户申请后5个工作日内，以书面形式答复用户。第十四条邮电部根据暂行规定和本办法制定国际联网出入口信道管理办法，报国务院信息化工作领导小组备案。各互联单位主管部门或者主管单位根据暂行规定和本办法制定互联网络管理办法，报国务院信息化工作领导小组备案。第十五条接入单位申请书、用户登记表的格式由互联单位主管部门按照本办法的要求统一制定。第十六条国际出入口信道提供单位有责任向互联单位提供所需的国际出入口信道和公平、优质、安全的服务，并定期收取信道使用费。互联单位开通或扩充国际出入口信道，应当到国际出入口信道提供单位办理有关信道开通或扩充手续，并报国务院信息化工作领导小组办公室备案。国际出入口信道提供单位在接到互联单位的申请后，应当在100个工作日内为互联单位开通所需的国际出入口信道。国际出入口信道提供单位与互联单位应当签定相应的协议，严格履行各自的责任和义务。第十七条国际出入口信道提供单位、互联单位和接入单位必须建立网络管理中心，健全管理制度，做好网络信息安全管理工作。互联单位应当与接入单位签订协议，加强对本网络和接入网络的管理；负责接入单位有关国际联网的技术培训和管理教育工作；为接入单位提供公平、优质、安全的服务；按照国家有关规定向接入单位收取联网接入费用。接入单位应当服从互联单位和上级接入单位的管理；与下级接入单位签定协议，与用户签定用户守则，加强对下级接入单位和用户的管理；负责下级接入单位和用户的管理教育、技术咨询和培训工作；为下级接入单位和用户提供公平、优质、安全的服务；按照国家有关规定向下级接入单位和用户收取费用。第十八条用户应当服从接入单位的管理，遵守用户守则；不得擅自进入未经许可的计算机系统，篡改他人信息；不得在网络上散发恶意信息，冒用他人名义发出信息，侵犯他人隐私；不得制造、传播计算机病毒及从事其它侵犯网络和他人合法权益的活动。用户有权获得接入单位提供的各项服务；有义务交纳费用。第十九条国际出入口信道提供单位、互联单位和接入单位应当保存与其服务相关的所有信息资料；在国务院信息化工作领导小组办公室和有关主管部门进行检查时，应当及时提供有关信息资料。国际出入口信道提供单位、互联单位每年二月份向国务院信息化工作领导小组办公室提交上一年度有关网络运行、业务发展、组织管理的报告。,返回,附件2.4暂行规定实施办法,第二十条互联单位、接入单位和用户应当遵守国家有关法律、行政法规,严格执行国家安全保密制度；不得利用国际联网从事危害国家安全、泄露国家秘密等违法犯罪活动，不得制作、查阅、复制和传播妨碍社会治安和淫秽色情等有害信息；发现有害信息应当及时向有关主管部门报告，并采取有效措施，不得使其扩散。第二十一条进行国际联网的专业计算机信息网络不得经营国际互联网络业务。企业计算机信息网络和其他通过专线进行国际联网的计算机信息网络，只限于内部使用。负责专业计算机信息网络、企业计算机信息网络和其他通过专线进行国际联网的计算机信息网络运行的单位，应当参照本办法建立网络管理中心，健全管理制度，做好网络信息安全管理工作。第二十二条违反本办法第七条和第十条第一款规定的，由公安机关责令停止联网，可以并处15000元以下罚款；有违法所得的，没收违法所得。违反本办法第十一条规定的，未领取国际联网经营许可证从事国际联网经营活动的，由公安机关给予警告，限期办理经营许可证；在限期内不办理经营许可证的，责令停止联网；有违法所得的，没收违法所得。违反本办法第十二条规定的，对个人由公安机关处5000元以下的罚款；对法人和其他组织用户由公安机关给予警告，可以并处15000元以下的罚款。违反本办法第十八条第一款规定的，由公安机关根据有关法规予以处罚。违反本办法第二十一条第一款规定的，由公安机关给予警告,可以并处15000元以下的罚款；有违法所得的，没收违法所得。违反本办法第二十一条第二款规定的，由公安机关给予警告，可以并处15000元以下的罚款；有违法所得的，没收违法所得。第二十三条违反暂行规定及本办法，同时触犯其他有关法律、行政法规的，依照有关法律、行政法规的规定予以处罚；构成犯罪的，依法追究刑事责任。第二十四条与香港特别行政区和台湾、澳门地区的计算机信息网络的联网，参照本办法执行。第二十五条本办法自颁布之日起施行。,返回,附件2.5中华人民共和国电信条例（二年九月二十五日）,第一章总则第一条为了规范电信市场秩序，维护电信用户和电信业务经营者的合法权益，保障电信网络和信息的安全，促进电信业的健康发展，制定本条例。第二条在中华人民共和国境内从事电信活动或者与电信有关的活动，必须遵守本条例。本条例所称电信，是指利用有线、无线的电磁系统或者光电系统，传送、发射或者接收语音、文字、数据、图像以及其他任何形式信息的活动。第三条国务院信息产业主管部门依照本条例的规定对全国电信业实施监督管理。省、自治区、直辖市电信管理机构在国务院信息产业主管部门的领导下，依照本条例的规定对本行政区域内的电信业实施监督管理。第四条电信监督管理遵循政企分开、破除垄断、鼓励竞争、促进发展和公开、公平、公正的原则。电信业务经营者应当依法经营，遵守商业道德，接受依法实施的监督检查。第五条电信业务经营者应当为电信用户提供迅速、准确、安全、方便和价格合理的电信服务。第六条电信网络和信息的安全受法律保护。任何组织或者个人不得利用电信网络从事危害国家安全、社会公共利益或者他人合法权益的活动。,返回,附件2.5中华人民共和国电信条例（二年九月二十五日）,第二章电信市场第一节电信业务许可第七条国家对电信业务经营按照电信业务分类，实行许可制度。经营电信业务，必须依照本条例的规定取得国务院信息产业主管部门或者省、自治区、直辖市电信管理机构颁发的电信业务经营许可证。未取得电信业务经营许可证，任何组织或者个人不得从事电信业务经营活动。第八条电信业务分为基础电信业务和增值电信业务。基础电信业务，是指提供公共网络基础设施、公共数据传送和基本话音通信服务的业务。增值电信业务，是指利用公共网络基础设施提供的电信与信息服务的业务。电信业务分类的具体划分在本条例所附的电信业务分类目录中列出。国务院信息产业主管部门根据实际情况，可以对目录所列电信业务分类项目作局部调整，重新公布。第九条经营基础电信业务，须经国务院信息产业主管部门审查批准，取得基础电信业务经营许可证。经营增值电信业务，业务覆盖范围在两个以上省、自治区、直辖市的，须经国务院信息产业主管部门审查批准，取得跨地区增值电信业务经营许可证；业务覆盖范围在一个省、自治区、直辖市行政区域内的，须经省、自治区、直辖市电信管理机构审查批准，取得增值电信业务经营许可证。运用新技术试办电信业务分类目录未列出的新型电信业务的，应当向省、自治区、直辖市电信管理机构备案。,返回,附件2.6商用密码管理条例,第一章总则第一条为了加强商用密码管理，保护信息安全，保护公民和组织的合法权益，维护国家的安全和利益，制定本条例。第二条本条例所称商用密码，是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。第三条商用密码技术属于国家秘密。国家对商用密码产品的科研、生产、销售和使用实行专控管理。第四条国家密码管理委员会及其办公室（以下简称国家密码管理机构）主管全国的商用密码管理工作。省、自治区、直辖市负责密码管理的机构根据国家密码管理机构的委托，承担商用密码的有关管理工作。第二章科研、生产管理第五条商用密码的科研任务由国家密码管理机构指定的单位承担。商用密码指定科研单位必须具有相应的技术力量和设备，能够采用先进的编码理论和技术，编制的商用密码算法具有较高的保密强度和抗攻击能力。第六条商用密码的科研成果，由国家密码管理机构组织专家按照商用密码技术标准和技术规范审查、鉴定。第七条商用密码产品由国家密码管理机构指定的单位生产。未经指定，任何单位或者个人不得生产商用密码产品。商用密码产品指定生产单位必须具有与生产商用密码产品相适应的技术力量以及确保商用密码产品质量的设备、生产工艺和质量保证体系。第八条商用密码产品指定生产单位生产的商用密码产品的品种和型号，必须经国家密码管理机构批准，并不得超过批准范围生产商用密码产品。第九条商用密码产品，必须经国家密码管理机构指定的产品质量检测机构检测合格。,返回,附件2.6商用密码管理条例,第三章销售管理第十条商用密码产品由国家密码管理机构许可的单位销售。未经许可，任何单位或者个人不得销售商用密码产品。第十一条销售商用密码产品，应当向国家密码管理机构提出申请，并应当具备下列条件：（一）有熟悉商用密码产品知识和承担售后服务的人员；（二）有完善的销售服务和安全管理规章制度；（三）有独立的法人资格。经审查合格的单位，由国家密码管理机构发给商用密码产品销售许可证。第十二条销售商用密码产品，必须如实登记直接使用商用密码产品的用户的名称（姓名）、地址（住址）、组织机构代码（居民身份证号码）以及每台商用密码产品的用途，并将登记情况报国家密码管理机构备案。第十三条进口密码产品以及含有密码技术的设备或者出口商用密码产品，必须报经国家密码管理机构批准。任何单位或者个人不得销售境外的密码产品。第四章使用管理第十四条任何单位或者个人只能使用经国家密码管理机构认可的商用密码产品，不得使用自行研制的或者境外生产的密码产品。第十五条境外组织或者个人在中国境内使用密码产品或者含有密码技术的设备，必须报经国家密码管理机构批准；但是，外国驻华外交代表机构、领事机构除外。第十六条商用密码产品的用户不得转让其使用的商用密码产品。商用密码产品发生故障，必须由国家密码管理机构指定的单位维修。报废、销毁商用密码产品，应当向国家密码管理机构备案。,返回,附件2.6商用密码管理条例,第五章安全、保密管理第十七条商用密码产品的科研、生产，应当在符合安全、保密要求的环境中进行。销售、运输、保管商用密码产品，应采取相应的安全措施。从事商用密码产品的科研、生产和销售以及使用商用密码产品的单位和人员，必须对所接触和掌握的商用密码技术承担保密义务。第十八条宣传、公开展览商用密码产品，必须事先报国家密码管理机构批准。第十九条任何单位和个人不得非法攻击商用密码，不得利用商用密码危害国家的安全和利益、危害社会治安或者进行其他违法犯罪活动。第六章罚则第二十条有下列行为之一的，由国家密码管理机构根据不同情况分别会同工商行政管理、海关等部门没收密码产品，有违法所得的，没收违法所得；情节严重的，可以并处违法所得1至3倍的罚款：（一）未经指定，擅自生产商用密码产品的，或者商用密码产品指定生产单位超过批准范围生产商用密码产品的；（二）未经许可，擅自销售商用密码产品的；（三）未经批准，擅自进口密码产品以及含有密码技术的设备、出口商用密码产品或者销售境外的密码产品的。经许可销售商用密码产品的单位未按照规定销售商用密码产品的，由国家密码管理机构会同工商行政管理部门给予警告，责令改正。第二十一条有下列行为之一的，由国家密码管理机构根据不同情况分别会同公安、国家安全机关给予警告，责令立即改正：（一）在商用密码产品的科研、生产过程中违反安全、保密规定的；（二）销售、运输、保管商用密码产品，未采取相应的安全措施的；（三）未经批准，宣传、公开展览商用密码产品的；（四）擅自转让商用密码产品或者不到国家密码管理机构指定的单位维修商用密码产品的。使用自行研制的或者境外生产的密码产品，转让商用密码品，或者不到国家密码管理机构指定的单位维修商用密码产品，情节严重的，由国家密码管理机构根据不同情况分别会同公安、国家安全机关没收其密码产品。第二十二条商用密码产品的科研、生产、销售单位有本条例第二十条、第二十一条第一款第（一）、二）、（三）项所列行为，造成严重后果的，由国家密码管理机构撤销其指定科研、生产单位资格，吊销商用密码产品销售许可证。第二十三条泄露商用密码技术秘密、非法攻击商用密码或者利用商用密码从事危害国家的安全和利益的活动，情节严重，构成犯罪的，依法追究刑事责任。,返回,附件2.6商用密码管理条例,有前款所列行为尚不构成犯罪的，由国家密码管理机构根据不同情况分别会同国家安全机关或者保密部门没收其使用的商用密码产品，对有危害国家安全行为的，由国家安全机关依法处以行政拘留；属于国家工作人员的，并依法给予行政处分。第二十四条境外组织或者个人未经批准，擅自使用密码产品或者含有密码技术的设备的，由国家密码管理机构会同公安机关给予警告，责令改正，可以并处没收密码产品或者含有密码技术的设备。第二十五条商用密码管理机构的工作人员滥用职权、玩忽职守、徇私舞弊，构成犯罪的，依法追究刑事责任；尚不构成犯罪的，依法给予行政处分。第七章附则第二十六条国家密码管理委员会可以依据本条例制定有关的管理规定。第二十七条本条例自发布之日起施行。,返回,附件2.7计算机信息网络国际联网安全保护管理办法,（1997年12月11日国务院批准1997年12月30日公安部发布）第一章总则第一条为了加强对计算机信息网络国际联网的安全保护，维护公共秩序和社会稳定，根据中华人民共和国计算机信息系统安全保护条例、中华人民共和国计算机信息网络国际联网管理暂行规定和其他法