网络安全立法滞后与前瞻——从“吕科”事件谈起
或许由 分享更新时间:
投诉
网络安全立法滞后与前瞻——从“吕科”事件谈起
沈木珠 人称巴蜀“网络天才”的吕科,因在河南北网信息工程公司AWE网络程序中安置逻辑炸弹及擅自取走原程序代码,而涉嫌破坏计算机信息系统被羁押46天后释放。这是因为我国刑法第二百八十六、二百七十六条规定及我国《计算机安全保护条例》(下简称《条例》)的规定,均不能适用吕科的这一特定行为,即按现行法律,吕科所为并不构成刑事犯罪;按现行法规,吕科的“破坏”也未达到受惩处的后果。其安置逻辑炸弹虽可导致北网开发的AWE软件瘫痪,然根据我国《软件产品管理暂行办法》也不能追究其责任。不过,法之不罪,并不说明吕科所为没有对计算机信息系统造成某种破坏或对信息系统的安全构成某种侵犯。我国《条例》第二条所解释的计算机信息系统保护就包括了AWE之类的开发。这里,笔者并无丝毫认为吕科已触犯刑律的意思,笔者重视这一并未犯法的“无罪”事件,完全基于该事件对我国网络安全敲起了警钟,对网络立法提供了启示。 我国《条例》发布于1994年,一方面由于没法预计今日网络可能发生的破坏行为,另一方面由于受到传统立法之笼统、含糊的影响,数十条文竟无一具体适用今日之网络犯罪。该条例第一章总则第七条:“任何组织或者个人,不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统的安全”,与其说是律条,不如说是一般号召。第四章法律责任第二十三———二十五条,虽有警告、罚款、刑事犯罪等说法,但没有一条能让安置逻辑炸弹的吕科对号入座。还有新刑法颁布于1997年,其中第二百七十六、二百八十六条虽有对妨碍公共信息犯罪的规定,但由于吕科的行为并未“后果严重”而不能追究其刑事责任。笔者以为,公共信息关系到我国互联网络和电子商务的发展,事属重大,故破坏计算机网络或信息系统安全的任何行为,一旦实施,则不论其造成的后果轻重,均需承担法律责任,其分别应在于是承担刑事责任还是民事责任而已。须知我国计算机网络基础建设十分薄弱,电子商务市场远未形成,鉴于国际网路和电子商务发展迅速的严峻形势,绝容不得任何国民或技术人员对网络或信息系统的任何“监守自盗”或毁灭性破坏。众多网络公司老总所说“这样的天才我们不敢用”,并非要挟,此风不刹,的确网无宁日。不难想象,如果中国的程序员都像吕科那样利用其程序设计或其他权利实施了某种破坏行为而不必承担责任,我国的网络和商务发展恐怕就要大受阻碍了。 其实,我国法律制裁不了吕科实施了的破坏行为,但是,社会责任、商业信用、职业道德却已对他作出了谴责。吕科受雇于北网公司,参与AWE项目开发,理应承担相应的社会责任和一定的商业信用,这是起码的职业道德。姑且不论北网并未扣发吕科参与设计AWE的奖金,就是北网真的有不兑现AWE销售后其应得资金之企图,吕科也不应在此前擅自设置时间炸弹并告知其父,成为其父后来索金25万元的要挟,而且在炸弹限定时间的2000年3月1日之前并不见吕科任何解密或坦言置弹的行动。我国法律对于这类违反商业信用和职业道德的网络破坏行为,不管其是否造成严重后果,均应作出惩戒,这就是本文认为我国网络立法滞后的原因。鉴于我国信息系统管理之薄弱,国内法律国际游戏规则与不相吻合的局面,为保障21世纪我国网络经济的发展,网络安全的前瞻性立法,已经成为当务之急。 网络安全的概念,包括了计算机信息系统和国际联网的安全保护,后者,公安部经国务院批准,于1997年12月发布了《计算机信息网络国际联网安全保护管理办法》,但与前者《条例》一样,偏重于一般性的行政管理、国家安全和治安处罚,两者的“法律责任”,也没有太大差别。前者危害计算机安全的事项只涉及计算机病毒,后者增加了对计算机信息网络功能进行删除、修改或增加对计算机信息网络中存储处理或传输的数据和应用程序进行删除、修改、增加的两项活动。但是,触犯以上规定的,如无违法所得,仅由公安机关给予警告。尽管末尾都有“构成犯罪的,依法追究刑事责任”的规定,但何为构成犯罪行为?无论前者还是后者都没有明确规定。新刑法第二百八十六条所指危害行为有轻重之分,法规似无厚薄之别,吕科及其事件就是在这种两者都管不着的情况下,退而按“劳资纠纷”处理的。 说我国网络安全立法滞后人们可能已经能够接受,但是,要求前瞻性立法,则可能备受指责,甚至认为是脱离现实的天方夜谭。的确,立法前瞻并非易事,然也不是绝无可能。美国二百多年前的宪法就颇具前瞻性,仅其关于司法的规定就使最高法院开创了美国司法进步数百年的基业。当前,网络安全立法并非瞎子摸象,而是有诸多国际立法可供参考,更有各国司法实践可供研究。笔者认为,当前网络安全法必须考虑以下三个问题: 首先,加强打击网络犯罪的力度。众所周知,电子商务是21世纪贸易的主导模式,以美国为代表的发达国家为了掌握国际电子商务的主动权,更在律法的制定方面采取了一系列措施,意图左右国际电子商务的立法,克林顿甚至邀请著名黑客到白宫商议网络犯罪问题。这是因为他们深知网络安全保护是一个国家电子商务发展的轴心。我国电子商务起步并不太晚,技术也非落后,但是发展却十分缓慢。以1999年为例,财政部公布的交易额仅5500万元,大约为美国的数万分之一。这除了与我国计算机普及率低,信息网络系统设施相对落后,以及网上税收、保险、合同效力等规范不到位外,电子支付与金融管理、信息系统及个人隐私保护等网络安全问题缺乏保障也是一个重要原因。而我国电子证据、电子签名效力之含糊,也无不制约着企业和个人进入电子商务的信心。兼之想到国际“黑客”、国内“黑手”随时可能侵袭计算机信息系统,年轻一代程序员之缺乏职业道德等,无不使电子商务的主体———企业和服务商望而生畏。当法律对这一切束手无策,当网络程序破坏行为只是轻微的治安警告或因有不当收入才加5000元罚款的时候,立法的滞后对电子商务发展的限制便是可以理解的了。 其次,建立加密解密的法律规范。随着侵入计算机信息系统及网络并导致巨额损失的事件不断发生,如何利用加密技术以保护网络和交易安全,近年已经成为世界各国关切的焦点。经济合作发展组织(OECD)为此制订了资讯系统安全准则,美国《全球电子商务框架》也提出与OECD合作建立更安全的全球资讯网络(GII)系统。然我国有关计算机信息系统和网络安全法规却至今尚未对加密解密标准和制度作出规定,而各国电子商务法尽管规定加密技术方案不一,但对于采用加密技术提高网路安全系统的认识却是基本一致,特别在以法律手段消除各种不确定因素,建立消费者信心,促进市场成长这一点上,几乎没有异议。 第三,加强网络个人资料隐私权保护。随着网络传输技术的发展,个人资料被窃取、泄露成为消费者或网络使用人当前最为关心的问题。特别是美国在线(AOL)公司因为不当将其订户资料透露给海军,导致一名同性恋倾向的订户遭受海军的撤职处分之后,这种关心转变为担忧。事实上消费者的担忧是有根据的,因为在网络上使用最广泛的全球资讯网中,凡使用浏览器都面临一种功能,这种功能使网站能够了解使用者的相关资料而消费者却无法拒绝,也无法删除该项功能。对此,美国除加强司法对个人稳私的保护之外,还特别发起业者自律的运动,要求网站宣示对所有到访网友个人资料严守秘密。 我国法律对隐私权保护迄今没有任何规定,对网络个人资料更未明确相应的.保护。宪法第四十条虽规定“公民的通讯自由和通讯秘密受法律的保护”,但此项并不明确包括网络上的个人资料或隐私。因此,在网络利用日趋便捷,网络资料储存交换日渐普及的今天,消费者的个人资料如何保护,服务商对取得的个人资料应如何利用和流通,是我国网络立法必须面对的一个重要问题。但由于我国宪法中关于公民基本权利的名誉和人格尊严均不包括隐私权,网络个人资讯和隐私保护的立法所涉问题更为广泛,阻力也更大。然互联网络超越时空的特点却时刻提醒我们必须重视与国际立法趋同的取向。在这个问题上,我国台湾地区已于1995年8月订立了《电脑处理个人资料保护法》,并于次年发布施行细则,对网络个人资料的取得与利用等作出详细规定。欧洲共同市场理事会为统一规范其会员国对个人资料的保护,也于1995年10月通过了自动处理个人资料保护公约,并于11月通过欧市保护个人资料的指令。美国则早于1974年就订立了隐私法,并于1986年订立了《电子通讯隐私法案》,近年,虽没有特别针对网络个人资料保护加以规范,但通过一系列的判决和过去的立法,保护了民众的隐私权及个人资料的安全,如美国海军对该同性恋倾向官员的撤职处分就为美国法官所禁止。 随着科学的进步,事物的发展,网络安全立法的前瞻,应当充分顾及网络的特点。如防止信息系统作案犯罪,要考虑到网络无界无域;设立电子签名和电子支付,要考虑到计算机电子数据的无纸化交流与存储;建立电子认证与审查机制,要考虑到市场虚拟、商家信誉及国民对电子交易的忧虑等问题。如广东省制定《对外贸易实施电子数据交换暂行规定》规定了电子数据服务中心应有收到报文和被提取报文的回应和记录,以及发生争议时以该中心提供信息为准等,就是考虑网络特点和国家现状立法的一个例子。还有北京,上海等地方电子商务法规也都为提高电子交易的安全系数作出了努力。