2007年12月20日省第十届人民代表大会常务委员会第三十六次会议通过了《广东省计算机信息系统安全保护条例》(以下简称《条例》),并将于2008年4月1日正式实施。《条例》适应了当前互联网发展和信息安全的新形势,结合我省实际情况对国家的有关规定作了细化和补充,对于全面加强信息系统安全保护,进一步维护人民群众的合法权益有着深远意义。
近年来,随着信息化应用的日益深化,我省互联网的普及应用突飞猛进,互联网用户约3700多万,网站数量30万多个,均居全国第一,我省已经是全国第一信息大省,信息网络已经和人民群众的生活息息相关。与此同时,一些不法分子也利用信息网络从事违法犯罪,制作、传播淫秽、色情、赌博等有害信息,攻击网络、传播计算机病毒,盗取他人网上账号,侵犯群众切身利益,人民群众反映强烈。
我国在信息系统安全保护方面先后出台了一些法规。1994年国务院发布了《中华人民共和国计算机信息系统安全保护条例》,1997年公安部发布了《计算机信息网络国际联网安全保护管理办法》。我省也于2003年出台省政府规章《广东省计算机信息系统安全保护管理规定》。这些法规规章对维护信息系统安全和促进计算机的应用发挥了积极的作用。但经过几年的发展和实践,上述法规有待进一步完善。比如国家当前正在大力推行信息安全等级保护,却缺乏明确具体的法规依据。一些单位的信息系统在安全设计、建设和评估管理不完善,没有制定相应的管理制度和落实技术防范措施,未经评估合格即投入使用造成巨大破坏,导致网络存在很多安全隐患,遭受黑客入侵、病毒破坏。又如对利用信息网络窃取他人上网账号,假冒他人名义发送信息,未经允许在网上公开他人电子邮箱地址等行为,群众深恶痛绝,但以前的法规没有规定为违法行为或者未规定处罚,使公安机关查处、打击这类行为缺乏足够的法律依据。诸如此类的法律问题都是迫切需要解决的,《条例》的出台,填补了这些法律空白,适应了形势发展的需要。
《条例》共46条,分为总则、安全管理、安全秩序、安全监督、法律责任、附则等六章,对信息系统安全等级保护、应急处置、打击违法行为等进行全面规定,对我省的信息系统保护将产生重要的推动作用。
一是全面规定了对信息系统实行分等级保护。《条例》吸收国家有关文件精神,规定信息系统的分级、备案、测评、检查、整改以及各部门分工内容。要求第二级以上计算机信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合国家规定的安全等级测评机构,依据国家规定的技术标准,对计算机信息系统安全等级状况开展等级测评,测评合格后方可投入使用。
二是建立了突发事件应急处置制度。规定了计算机信息系统运营、使用单位的报告义务、预案制度义务、协作义务以及公安机关的应急处置职权。即对计算机信息系统中发生的案件和重大安全事故,计算机信息系统的运营、使用单位应当在二十四小时内报告县级以上人民政府公安机关,并保留有关原始记录。第二级以上计算机信息系统的运营、使用单位应当制定重大突发事件应急处置预案。第二级以上计算机信息系统发生重大突发事件,有关单位应当按照应急处置预案的要求采取相应的处置措施,并服从公安机关和国家指定的专门部门的调度。地级市以上人民政府公安机关、国家安全机关为保护计算机信息系统安全,在发生重大突发事件,危及国家安全、公共安全及社会稳定的紧急情况下,可以采取二十四小时内暂时停机、暂停联网、备份数据等措施。
三是规定了对新出现的危害行为的处罚。明文禁止了非法占有、使用、窃取计算机信息系统资源,窃取、骗取、夺取计算机信息系统控制权,擅自向第三方公开他人电子邮箱地址和其他个人信息资料,窃取他人账号和密码,或者擅自向第三方公开他人账号和密码,假冒他人名义发送信息,故意制作、传播恶意软件等破坏性程序,并规定了明确的处罚,强化了对公民个人资料的保护。
四是规定了用户资料保密制度。第三十一条规定计算机信息系统安全等级测评机构等安全服务机构和从事计算机信息系统安全保护工作的人员应当保守用户秘密, 不得擅自向第三方泄露用户信息,不得非法占有、使用用户的信息资源。
五是对特种信息安全技术实行备案制度。病毒防治、远程控制、密码猜解、漏洞检测、信息群发等技术、产品和工具具有攻击性和一定程度的破坏性或危害性,虽然可用于维护网络安全,但也可能被不法分子用于突破计算机信息系统安全保障体系,从事违法犯罪,从而给社会造成损失。《条例》确立对这些技术、产品和工具的生产、销售和提供等行为实施备案制度,以便于管理机关掌握相关情况。
据了解,重庆、安徽、四川、辽宁、黑龙江、山东、山西、福建、北京、河南、天津、宁夏等省份也出台了类似的地方规章或法规。《条例》充分体现了科学保障网络安全,切实维护群众利益的立法目的。
一是强化对信息系统的安全保护。《条例》根据计算机信息系统在国家安全、经济建设、社会生活中的重要程度,计算机信息系统受到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素,将信息系统分为五级。使用单位要根据国家有关规定和标准,制定安全管理制度,落实安全管理责任制。符合国家规定的测评机构对信息系统进行测评合格后,系统才能投入使用。在信息系统的建设过程中,在出现信息系统受到攻击或病毒感染等重大事件时,使用单位要及时报警。公安、保密、密码管理等部门各司其职,加强安全管理和监察检查。公安机关要加强打击、查处危害信息系统安全的案件,指导使用单位开展应急处置工作。
二是强化对人民群众合法权益的保护。《条例》将窃取他人账号、假冒他人名义发送信息、未经允许向第三方公开他人电子邮箱地址等行为规定为违法并予以处罚,还规定了安全行 业对用户资料的保密要求,体现了尊重和保护公民隐私权的 立法指导思想。
三是强化了公安机关的服务职能。规定公安机关应当为公众提供计算机信息系统安全指导,加强安全动态分析,积极开展安全宣传,推动计算机信息系统安全保护能力的提高。
四是强化对网上突出问题的防治。规定提供电子公告、个人主页等信息服务的单位应当设立信息审查员,使违反国家规定、危害社会主义精神文明建设的有害信息不能上网,最大限度地减少网上有害信息,为青少年提供一个健康文明的网络环境。规定对制作、传播恶意程序的处罚,对病毒防治、远程控制、密码猜解、漏洞检测、信息群发等产品和工具实行备案,加强管制,最大限度降低这些 技术被不法分子用于网络攻击的可能。
《条例》的出台是我省信息系统安全保护工作的一件大事,它标志此项工作进入一个新的阶段。为了有效实施《条例》,省公安厅正在制定实施细则。公安机关作为主管部门,将以《条例》的颁布实施为契机,继续以党的十七大报告中关于落实科学发展观,全面建设小康社会的精神为指导,在各级党委、政府的领导下,进一步发挥职能作用,以“建为民公安、保南粤平安”为总体目标,继续加强与有关部门的团结协作,依法清除有害信息,严厉打击网上违法犯罪活动,维护网络安全和人民群众的合法权益,为我省信息产业的发展保驾护航。
