2.1.3 我国主要法律法规简介
1.国家法律
(1)《中华人民共和国宪法》 第四十条:公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要,由公安机关或者检察机关依照法律规定的程序对通信进行检查外,任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。
(2)《中华人民共和国保守国家秘密法》 国家秘密是关系国家安全和利益,依照法定程序确定,在一定时间内只限一定范围的人员知悉的事项。国家秘密的密级分为绝密、机密、秘密。国家秘密受法律保护。一切国家机关、武装力量、政党、社会团体、企业事业单位和公民都有保守国家秘密的义务。
(3)《中华人民共和国国家安全法》 第十条:国家安全机关因侦察危害国家安全行为的需要,根据国家有关规定,经过严格的批准手续,可以采取技术侦察措施。第十一条:国家安全机关为维护国家安全的需要,可以查验组织和个人的电子通信工具、器材等设备、设施。
(4)《中华人民共和国电子签名法》
1)数据电文:指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。
2)电子签名:指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。可靠电子签名的四个要件如下:
①电子签名制作数据用于电子签名时,属于电子签名人专有。
②签署时电子签名制作数据仅由电子签名人控制。
③签署后对电子签名的任何改动能够被发现。
④签署后对数据电文内容和形式的任何改动能够被发现。
电子签名需要第三方认证的,由依法设立的电子认证服务提供者提供认证服务。电子认证服务提供者签发的电子签名认证证书内容如下:
1)电子认证服务提供者名称。
2)证书持有人名称。
3)证书序列号。
4)证书有效期。
5)证书持有人的电子签名验证数据。
6)电子认证服务提供者的电子签名。
(5)《中华人民共和国治安管理处罚法》 第三章“违反治安管理的行为和处罚”,第一节“扰乱公共秩序的行为和处罚”,第二十九条,有下列行为之一的,处五日以下拘留;情节较重的,处五日以上十日以下拘留:
1)违反国家规定,侵入计算机信息系统,造成危害的。
2)违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行的。
3)违反国家规定,对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的。
4)故意制作、传播计算机病毒等破坏性程序,影响计算机信息系统正常运行的。
2.行政法规
(1)《商用密码管理条例》 商用密码是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。商用密码技术属于国家秘密。国家密码管理委员会及其办公室主管全国的商用密码管理工作;国家对商用密码产品的科研、生产、销售和使用实行专控管理。
商业密码管理要点:
1)商密产品由国家密码管理机构分别指定单位进行科研、生产和检测。
2)商密产品销售单位应有国家密码管理机构颁发的《商用密码产品销售许可证》。
3)必须如实登记备案直接使用商用密码产品的用户信息和产品用途。
4)不得使用自行研制的或者境外生产的密码产品。
5)不得转让其使用的商用密码产品(含故障维修、报废销毁)。
(2)《中华人民共和国计算机信息系统安全保护条例》 计算机信息系统是指由计算机及与其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。计算机信息系统的安全保护是指保障计算机及与其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。
主管部门:公安部主管全国计算机信息系统安全保护工作(含安全监督职权);国家安全部、国家保密局和国务院其他有关部门,在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。
计算机信息系统安全保护要点:
1)计算机信息系统实行安全等级保护。
2)使用单位应当建立健全安全管理制度。
3)安全专用产品(硬件、软件)的销售实行许可证制度。
(3)《互联网信息服务管理办法》 互联网信息服务分为经营性和非经营性两类。经营性互联网信息服务,是指通过互联网向上网用户有偿提供信息或者网页制作等服务活动;非经营性互联网消息服务,是指通过互联网向上网用户无偿提出具有公开性、共享性信息的服务活动。互联网消息服务提供者不得制作、复制、发布、传播含有下列内容的信息:
1)反对宪法所确定的基本原则的。
2)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的。
3)损害国家荣誉和利益的。
4)煽动民族仇恨、民族歧视,破坏民族团结的。
5)破坏国家宗教政策,宣扬邪教和封建迷信的。
6)散布谣言,扰乱社会秩序,破坏社会稳定的。
7)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的。
8)侮辱或者诽谤他人,侵害他人合法权益的。
9)含有法律、行政法规禁止的其他内容。
3.部门规章及规范性文件
(1)《计算机病毒防治管理办法》 计算机病毒是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
主管部门:公安部公共信息网络安全监察部门主管全国的计算机病毒防治管理工作;地方各级公安机关具体负责本行政区域内的计算机病毒防治工作。
计算机信息系统的使用单位在计算机病毒防治工作中应当履行下列职责:
1)建立本单位的计算机病毒防治管理制度。
2)采取计算机病毒安全技术防治措施。
3)对本单位计算机信息系统使用人员进行计算机病毒防治教育和培训。
4)及时检测、清除计算机信息系统中的计算机病毒,并备有检测、清除记录。
5)使用具有计算机信息系统安全专用产品销售许可证的计算机病毒防治产品。
6)对因计算机病毒引起的计算机信息系统瘫痪、程序和数据严重破坏等重大事故及时向公安机关报告,并保护现场。
(2)《互联网站从事登载新闻业务管理暂行规定》 互联网站从事登载新闻业务,必须遵守宪法、法律和法规。互联网站登载的新闻不得含有《互联网信息服务管理办法》中禁止的相关内容。互联网站登载的新闻含有违规内容,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,由公安机关或者国家安全机关依照有关法律、行政法规的规定给予行政处罚。
(3)《中国公用计算机互联网国际联网管理办法》 中国公用计算机互联网,是指由中国邮电电信总局负责建设、运营和管理,面向公众提供计算机国际互联网服务,并承担普遍服务义务的互联网络。任何组织或者个人,不得利用计算机国际互联网从事危害他人信息系统和网络安全、侵犯他人合法权益的活动。
(4)银行信息安全政策与立法 包括银行电子凭证法规、数字签名法规、数字货币法规、银行信息安全产品管理规定、银行账户的个人隐私法规、银行信息安全保护条例、银行计算机犯罪刑法等。
4.地方性法规
《北京市信息化促进条例》第五章“信息安全保障”规定:
1)按照国家和本市有关规定实行安全等级保护制度。
2)按照等级保护管理规范和技术标准,开展网络与信息系统的安全建设(改建)、测评和保障。
3)制定网络与信息安全事件应急预案,定期进行演练。
4)组建公共服务网络与信息系统信息安全应急救援服务体系。
5)任何单位和个人不得利用网络与信息系统从事危害国家安全,扰乱公共秩序,损害公民、法人和其他组织的合法权益,危害网络与信息系统安全以及散布、传播违法信息等活动。
6)涉及国家秘密的信息化工程的管理,按照国家保密有关规定执行。