《跨境电商政策法规》课件-第八章电子商务安全法律制度

第八章

电子商务安全法律制度目录content8.18.2电子商务安全概述电子商务安全相关的法律法规8.1电子商务安全概述电子商务安全概述8.18.1.3电子商务安全隐患的类型8.1.1电子商务安全的概念8.1.2电子商务安全的基本要求电子商务安全概述电子商务安全的概念8.1.1所谓电子商务安全，是指采用一定的方法和措施，对电子商务系统进行有效的管理和控制，确保在电子商务信息数据和交易环境受到有效的保护。根据电子商务安全所涉及的不同范围和领域，可以将其大致划分为计算机安全、网络安全和交易安全三类。计算机安全、网络安全和交易安全是电子商务交易开展的重要保障。在网络诈骗、个人信息泄露、设备中病毒、账号或密码被盗日益猖獗的今天，如何构建一个安全、便捷的电子商务应用环境，保护电子商务交易主体免受黑客和病毒的攻击，是电子商务经营者和消费者、电子支付服务提供者、快递物流服务提供者以及相关监管机构必须高度重视的问题。电子商务安全的基本要求8.1.21、电子商务参与方的安全要求参与电子商务活动的主体很多，这些参与方的安全性决定了电子商务安全能否实现。比如，电子商务平台经营者、平台内经营者、消费者是否满足安全要求，电子支付服务提供者、快递物流服务提供者是否满足安全要求，为电子商务提供技术支持的服务器、网络、计算机等终端设备等是否满足安全要求。电子商务安全的基本要求8.1.22.电子商务交易信息的安全要求电子商务交易信息的安全要求包括交易信息的完整性、保密性、不可抵赖性和有效性。（1）交易信息的完整性交易信息完整性是指信息在传输过程中受到保护，没有在未经授权或偶然的情况下被更改或破坏。在电子商务中，应当防止交易信息在传输中被更改或删除，以保证交易信息的完整性。（2）交易信息的保密性所谓交易信息的保密性是指在信息在传输过程中，只有发送者和接收者知道，保证信息、不被他人截取或者即使截取了也无法知道真实内容。因此，需要对网上传输的信息加密以后才能传输。电子商务安全的基本要求8.1.22.电子商务交易信息的安全要求电子商务交易信息的安全要求包括交易信息的完整性、保密性、不可抵赖性和有效性。（3）交易信息的不可抵赖性交易信息的不可抵赖性是指在电子商务交易过程中，信息双方必须对他们发送的信息和接收到的信息进行认可，并对自己的交易行为负责任，不能予以否认。在进行了身份识别后，交易双方如果出现抵赖的情况，能提供反驳的依据。一般情况下，通过“数字签名”可以保证交易双方不可抵赖。（4）交易信息的有效性交易信息的有效性是保证交易数据在确定价格、期限、数量以及确定时刻、地点时是有效的。在电子商务中，由于电子形式取代了纸质材料。因此，必须保证电子交易信息的有效性，才能保障电子商务交易的有效性。电子商务安全隐患的类型8.1.31.计算机安全隐患计算机存在的安全隐患主要包括计算机硬件安全隐患与计算机信息系统安全隐患。（1）计算机硬件安全隐患主要包括计算机主机硬件及其环境的安全隐患。其中，环境隐患包括火灾、自然灾害、辐射、盗窃、偷窃和超负荷等。（2）计算机信息系统安全是指信息系统软件的安全隐患。根据软件类型的不同，计算机信息系统安全的隐患可以分为操作系统安全隐患和应用软件安全隐患。2.网络安全隐患网络安全隐患涉及的领域相当广泛，主要包括涉及到网络的攻击、侵入、干扰、破坏、非法使用、意外事故和网络数据的完整性、保密性、可用性的安全隐患。随着网络的普及，网络用户如果没有安全保护措施，就很容易遭到黑客攻击或计算机病毒的侵入，从而影响到电子商务交易的正常进行。电子商务安全隐患的类型8.1.33.交易安全隐患交易安全隐患主要是指在电子商务交易过程的欺诈和故意违约等影响交易实现的安全隐患。交易安全隐患与网络安全和计算机安全密不可分。如假冒或伪造合法用户或发送虚假信息欺骗其他用户；窃取交易主体的银行账号、密码以及其他的商业机密等；对交易行为的抵赖，买方发出订单或者收到货物后不承认，卖方确认订单或卖出商品后不承认等。8.2电子商务安全相关的法律法规电子商务安全相关的法律法规8.28.2.3交易安全法律法规8.2.1计算机安全法律法规8.2.2网络安全法律法规电子商务安全相关的法律法规计算机安全法律法规8.2.1我国现行法律制度对计算机安全保护表现在两个方面：一方面是对计算机系统的安全保护，另一方面是对计算机犯罪的防范打击。计算机安全法律法规8.2.11、《计算机信息系统安全保护条例》的相关规定根据《计算机信息系统安全保护条例》第十四条规定：“对计算机信息系统中发生的案件，有关使用单位应当在24小时内向当地县级以上人民政府公安机关报告。”要求有关使用单位对计算机信息系统中发生的案件向公安机关报告是根据本条例第十三条规定：“计算机信息系统的使用单位应当建立健全安全管理制度，负责本单位计算机信息系统的安全保护工作。”计算机信息系统各不相同，使用的安全技术、安全管理手段也是千差万别。将计算机信息系统安全的责任放到各单位、各部门，有利于各个使用单位按照条例的规定，高度重视计算机信息系统的安全保护工作，认真落实计算机信息系统的安全责任制，自觉做好计算机安全保护上作。而对危害计算机信息系统安全的违法犯罪进行查处，则是各地公安机关的职责。计算机案件24小时强行报告制度，是迅速、及时地侦察计算机犯罪案件的必要保障。计算机安全法律法规8.2.12.《计算机病毒防治管理办法》的相关规定对危害计算机信息系统的有害数据的防治是为了加强对计算机病毒的预防和治理，保护计算机信息系统安全，我国公安部根据《计算机信息系统安全保护条例》，于2000年4月26日发布了《计算机病毒防治管理办法》，成为我国计算机病毒防治工作的重要法律依据。计算机病毒是一种可执行程序，具有广泛的传染性、极大的潜伏性、极强的破坏性等特点。防治计算机病毒，必须加强法制建设，制定、完善相关的法律、行政法规，运用法律手段以规范人们在计算机病毒防治工作中的行为。根据《计算机病毒防治管理办法》规定，为了防止计算机病毒的制作和传播，严禁任何单位和个人从事下列行为：制作计算机病毒；故意输入计算机病毒，危害计算机信息系统安全；向他人提供含有计算机病毒的文件、软件、媒件；销售、出租、附赠含有计算机病毒的媒件；其他传播计算机病毒的行为。计算机安全法律法规8.2,13.《刑法》中涉及计算机安全的规定《刑法》第二百八十六条规定：“违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役；后果特别严重的，处五年以上有期徒刑；违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作，后果严重的，依照前款的规定处罚；故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚；单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照第一款的规定处罚。”网络安全法律法规8.2.2《网络安全法》第九条规定：“网络运营者开展经营和服务活动，必须遵守法律、行政法规，尊重社会公德，遵守商业道德，诚实信用，履行网络安全保护义务，接受政府和社会的监督，承担社会责任。”在《网络安全法》中，对网络运行安全和网络信息安全做出了更为详细的规定。1、《网络安全法》的相关规定网络安全法律法规8.2.2（1）网络运行安全①网络运行者应履行的安全保护义务《网络安全法》第二十一条规定：“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；采取数据分类、重要数据备份和加密等措施；法律、行政法规规定的其他义务。”1、《网络安全法》的相关规定网络安全法律法规8.2.2②网络产品和服务的安全要求《网络安全法》第二十二条规定：“网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序；发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。网络产品、服务的提供者应当为其产品、服务持续提供安全维护；在规定或者当事人约定的期限内，不得终止提供安全维护。网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。”1、《网络安全法》的相关规定网络安全法律法规8.2.2③国家、行业组织和网络运营者之间在网络安全领域的合作与支持《网络安全法》第二十八条规定：“网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。”第二十九条规定：“国家支持网络运营者之间在网络安全信息收集、分析、通报和应急处置等方面进行合作，提高网络运营者的安全保障能力。有关行业组织建立健全本行业的网络安全保护规范和协作机制，加强对网络安全风险的分析评估，定期向会员进行风险警示，支持、协助会员应对网络安全风险。”1、《网络安全法》的相关规定网络安全法律法规8.2.2（2）网络信息安全①网络运营者收集个人信息的法律规定《网络安全法》第四十一条规定：“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。”1、《网络安全法》的相关规定网络安全法律法规8.2.2（2）网络信息安全②网络运营者保护个人信息的法律规定《网络安全法》第四十二条规定：“网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。”1、《网络安全法》的相关规定网络安全法律法规8.2.2（2）网络信息安全③网络运营者对其用户网络信息的安全管理《网络安全法》第四十七条规定：“网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告。”第四十九条还规定：“网络运营者应当建立网络信息安全投诉、举报制度，公布投诉、举报方式等信息，及时受理并处理有关网络信息安全的投诉和举报。网络运营者对网信部门和有关部门依法实施的监督检查，应当予以配合。”1、《网络安全法》的相关规定网络安全法律法规8.2.2（2）网络信息安全④国家相关部门对网络信息安全的监督和管理《网络安全法》第五十条规定：“国家网信部门和有关部门依法履行网络信息安全监督管理职责，发现法律、行政法规禁止发布或者传输的信息的，应当要求网络运营者停止传输，采取消除等处置措施，保存有关记录；对来源于中华人民共和国境外的上述信息，应当通知有关机构采取技术措施和其他必要措施阻断传播。”1、《网络安全法》的相关规定网络安全法律法规8.2.2（1）严格的市场准入制度

和从事非经营活动的接入单位必须具备的条件：依法设立的企业法人或者事业单位；具备相应的计算机信息网络、装备以及相应的技术人员和管理人员；具备健全的安全保密管理制度和技术保护措施；符合法律和国务院规定的其他条件。2.《中华人民共和国计算机信息网络国际联网管理暂行规定》的相关规定网络安全法律法规8.2.2（2）加强国际互联网出入信道的管理我国境内的计算机互联网必须使用国家公用电信网提供的国际出入信道进行国际联网。任何单位和个人不得自行建立或者使用其他信道进行国际联网。除国际出入口局作为国家总关口外，邮电部还将中国公用计算机互联网划分为全国骨干网和各省、市、自治区接入网进行分层管理，以便对入网信息进行有效的过滤、隔离和监测。2.《中华人民共和国计算机信息网络国际联网管理暂行规定》的相关规定网络安全法律法规8.2.2（3）明确网络安全责任对各有关方面的安全责任进行了明确而又详细的划分。从事国际互联网业务的单位和个人，应当遵守国家有关法律、行政法规，严格执行安全保密制度，不得利用国际互联网从事危害国家安全、泄露国家秘密等违法犯罪活动，不得制作、查阅、复制和传播妨碍社会治安的信息和浮秽色情等信息。计算机网络系统运行管理部门必须设有安全组织或安全负责人。每个工作站和每个终端都要建立健全网络操作的各项制度，加强对内部操作人员的安全教育和监督，严格网络工作人员的操作职责，加强密码、口令和授权的管理，及时更换有关密码、口令，重视软件和数据库的管理和维护工作，加强对磁盘文件和软盘的发放和保管，禁止在网上使用非法软件、软盘。网络用户也应提高安全意识，注意保守秘密，并应对自己的资金、文件、情报等机要事宜经常检查，杜绝漏洞。2.《中华人民共和国计算机信息网络国际联网管理暂行规定》的相关规定网络安全法律法规8.2.2《电子商务法》第三十条第二款规定：“电子商务平台经营者应当制定网络安全事件应急预案，发生网络安全事件时，应当立即启动应急预案，采取相应的补救措施，并向有关主管部门报告。”该条款对电子商务平台经营者中的网络安全应对策略做出了明确规定。3.《电子商务法》中涉及网络安全的相关规定网络安全法律法规8.2.2（1）网络安全应急预案电子商务平台经营者应按照规定制定网络安全事件应急预案，该应急预案应明确组织机构与职责；确立组织范围内的预警监测、预警研判和发布、预警响应、预警解除等流程；对事件报告、应急响应、应急结束等程序作出规定；对事件调查、评估等事项作出安排；对预案演练、宣传、培训等工作进行规划；落实技术支撑队伍、专家队伍、社会资源、经费等保障措施。3.《电子商务法》中涉及网络安全的相关规定网络安全法律法规8.2.2（2）网络安全事件处理①及时报告主管部门电子商务平台经营者的员工发现可疑的安全事件时，应当及时向本单位的事件处理部门报告。当发生影响较大的网络安全事件时，应当按规定及时将事件信息报送电子商务平台安全保护工作部门，报告内容包括：事件描述、处置措施、当前态势、需要处理的外部支持等信息。②事件处理电子商务平台经营者在网络安全事件发生后应当立即启动应急预案，通过落实事件处理所需的类资源和管理支持，并与相关外部组织进行协调，能够在必要时获得外部组织的协助，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险，在关键信息基础设施信息系统遭到破坏或发生故障后，及时修复信息系统业务功能。3.《电子商务法》中涉及网络安全的相关规定网络安全法律法规8.2.2《刑法》第二百八十六条之一规定：“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，有下列情形之一的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金：①致使违法信息大量传播的；②致使用户信息泄露，造成严重后果的；③致使刑事案件证据灭失，情节严重的；④有其他严重情节的。单位犯前款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照前款的规定处罚。有前两款行为，同时构成其他犯罪的，依照处罚较重的规定定罪处罚。”4.《刑法》中涉及网络安全的相关规定交易安全法律法规8.2.3电子商务交易安全的法律制度，涉及两个基本方面：一方面，电子商务交易是不同于以往的商品交易，其安全问题应当通过专门法律加以保护；另一方面，电子商务交易是通过计算机及其网络而实现的，其安全性主要依赖于上述计算机安全和网络安全程度。为此，国务院颁布的《中华人民共和国计算机信息网络国际联网管理暂行规定》和公安部颁发的《计算机信息网络国际联网安全保护管理办法》，就是对电子商务安全具有重大影响的两项重要行政法规。值得一提的是，近年来，越来越多的涉及电子商务交易安全事件，都与消费者个人信息泄露有直接关系。为此，国家针对个人信息保护也出台了专门的法律规定。

交易安全法律法规8.2.3

1.《电子商务法》中涉及交易安全的相关规定电子商务交易安全不仅涉及电子商务各方主体的人身和财产安全，还直接影响到国家的经济安全。如果不能保障电子商务交易安全，我们将不可能享受信息化带来的便利和利益。因此，《电子商务法》明确规定，电子商务平台经营者应采取技术措施和其他必要措施保证网络安全、稳定运行，防范网络犯罪活动，有效应对网络安全事件，保障电子商务交易安全。（1）电子商务平台经营者应采取措施保障网络免受干扰、破坏或者未授权的访问，防止网络数据泄露、篡改，具体包括：①制定内部安全管理制度和操作规程。②防范计算机病毒和网络入侵。③监控网络状态并按规定留存不少于六个月的网络日志。④做好重要数据的备份和加密工作。⑤提供的产品或者服务满足相关国家标准的强制要求。⑥法律、行政法规规定的其他义务。交易安全法律法规8.2.31.《电子商务法》中涉及交易安全的相关规定（2）电子商务平台经营者符合关键信息基础设施的认定条件时，应当履行相应的保障电子商务交易安全的义务，具体包括：①确保平台具有持续运行的性能，并保证安全技术措施同步规划、同步使用。②设置安全管理机构和安全管理负责人，并定期对从业人员进行培训和考核。③对重要系统和数据库进行容灾备份。④制定网路安全事件应急预案，并定期进行演练。⑤采购网络产品和服务时应明确安全和保密义务。⑥中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院相关部门制定的办法进行安全评估。⑦自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，将评估情况和改进措施报送主管监管部门。⑧法律、行政法规规定的其他义务。交易安全法律法规8.2.32.《民法典》中涉及交易安全的相关规定《民法典》第八十六条规定：“营利法人从事经营活动，应当遵守商业道德，维护交易安全，接受政府和社会的监督，承担社会责任。”本条的交易安全是指营利法人在与他人的交易行为中，主动维护他人的交易安全。它适用于两种情形：一是如在与他人交易中造成了他人的错误信赖，营利法人应承担损害赔偿责任，或承担合同义务。二是保障对方在交易中的人身和财产安全。《民法典》第一百二十七条规定：