公安部关于互联网安全保护技术措施的规定
来源:公安部 更新时间:2012-04-14

  2005年11月24日,《互联网安全保护技术措施规定》(以下简称“规定”)已经公安部部长办公会审议通过,于12月13日正式颁布,并将于2006年3月1日起实施。

  《规定》是与《计算机信息网络国际联网安全保护管理办法》(以下简称“管理办法”)相配套的一部部门规章。《规定》从保障和促进我国互联网发展出发,根据《管理办法》的有关规定,对互联网服务单位和联网单位落实安全保护技术措施提出了明确、具体和可操作性的要求,保证了安全保护技术措施的科学、合理和有效的实施,有利于加强和规范互联网安全保护工作,提高互联网服务单位和联网单位的安全防范能力和水平,预防和制止网上违法犯罪活动。《规定》的颁布对于保障我国互联网安全将起到促进作用。

  一、制定《规定》的必要性

  随着我国互联网的发展和普及,互联网安全问题日益凸现。目前,我国互联网上网用户已经突破1亿人,成为世界上第二大互联网用户国。网上论坛、电子邮件、网上短消息、网络游戏、电子商务和搜索引擎等网上服务已经成为人民群众工作学习、生活娱乐的重要工具,互联网在经济社会发展中的作用越来越突出。与此同时,互联网上淫秽色情、赌博等有害信息传播、垃圾电子邮件和垃圾短信息泛滥,计算机病毒传播和网络攻击破坏频繁发生,网上违法犯罪活动不断增多,严重危害了上网用户的合法权益和互联网服务单位的正常运营,人民群众反映强烈,给我国互联网的发展带来严重的负面影响。据统计,2000年我国接报互联网违法犯罪案件2700起,2004年达到1.4万起,并且还保持着较快的增长态势。网上淫秽色情、赌博和诈骗活动已经成为多发性违法犯罪案件,仅今年以来公安机关就依法关闭境内淫秽色情和赌博网站1800余个。近年来,公安机关的调查表明,每年我国有半数以上的联网单位发生各种信息网络安全事件,联网用户计算机病毒的感染率持续保持在80%以上的较高水平。同时,我国也已经成为国际上互联网垃圾电子邮件接收和发送大国,据有关单位统计,国内用户平均每天收到的垃圾电子邮件达到6000余万封。

  有效防范和打击网上违法犯罪和治理各种有害垃圾信息,需要“打防结合”,动员社会各界力量开展综合治理。当前,在防范打击和治理工作中,安全技术保护措施滞后和不落实的问题比较突出。目前,我国联网单位防范网络攻击和计算机病毒传播的安全保护技术措施使用率低,大部分安全保护技术措施的使用率低于25%;同时安全保护技术措施缺乏必要的管理维护,一些措施形同虚设,使用效果很不理想。2004年,公安机关侦办的一起“僵尸网络”入侵案件中,犯罪嫌疑人利用国内联网单位安全保护技术措施不落实的漏洞,在一年时间内入侵并控制了国内6万余台联网主机,造成了很大危害。此外,因安全保护技术措施不落实造成的用户资料信息和帐号密码泄露等案(事)件频繁发生,给上网用户和互联网服务单位造成了很大损失,也严重影响了电子商务等互联网应用服务的发展。

  落实安全保护技术措施是有效防范、打击网上违法犯罪活动和治理有害垃圾信息的重要保障。经国务院批准,公安部于1997年颁布实施的《计算机信息网络国际联网安全保护管理办法》第十条明确规定,互联网服务单位和联网使用单位应当落实安全保护技术措施,保障本网络运行安全和信息安全。但是,限于当时我国互联网发展和应用水平,对互联网安全保护技术措施缺乏明确、具体的规定和要求,在实践中难以执行和落实。为了尽快改变互联网服务单位和联网单位安全保护技术措施滞后,不适应当前互联网安全保护工作要求的现状,使安全保护技术措施更加科学、合理、有效,公安部在广泛征求互联网服务单位、联网单位、相关专家和政府有关部门意见的基础上,制定、颁布了《互联网安全保护技术措施规定》。

  二、《规定》的主要内容

  《规定》包括立法宗旨、适用范围、互联网服务单位和联网使用单位及公安机关的法律责任、安全保护技术措施要求、措施落实与监督和相关名词术语解释等六个方面的内容,共19条2000余字。主要内容是:

  (一)明确了互联网安全保护技术措施是指保障互联网网络安全和信息安全、防范违法犯罪的技术设施和技术手段,并且规定了负责落实互联网安全保护技术措施的责任主体是互联网服务提供者和联网使用单位,负责实施监督管理工作的责任主体是各级公安机关公共信息网络安全监察部门。

  (二)强调了互联网服务单位和联网使用单位要建立安全保护措施管理制度,保障安全保护技术措施的实施不得侵犯用户的通信自由和通信秘密,除法律和行政法规规定外,任何单位和个人未经用户同意不得泄露和公开用户注册信息。

  (三)规定了互联网服务单位和联网使用单位应当落实的基本安全保护技术措施,并分别针对互联网接入服务单位、互联网信息服务单位、互联网数据中心服务单位和互联网上网服务单位规定了各自应当落实的安全保护技术措施。安全保护技术措施主要包括:防范计算机病毒、防范网络入侵攻击和防范有害垃圾信息传播,以及系统运行时间、用户上网登录时间和网络地址的记录留存等技术措施要求。

(四)为了保证安全保护技术措施的科学合理和统一规范,规定安全保护技术措施应当符合国家标准,没有国家标准的应当符合公共安全行业标准。为了及时发现报警和预警防范网上计算机病毒、网络攻击和有害信息传播,规定了安全保护技术措施应当具有符合公共安全行业技术标准的联网接口。

  (五)为保证安全保护技术措施的正常运行,《规定》明确了互联网服务单位和联网单位不得实施故意破坏安全保护技术措施、擅自改变措施功能和擅自删除、篡改措施运行记录等行为。同时,《规定》作为《管理办法》的完善和补充,不再设立新的罚则,对违反《规定》的行为将依照《管理办法》第二十一条的规定予以处罚。

  (六)明确了公安机关监督管理责任和规范了公安机关监督检查行为。《规定》明确公安机关应当依法对辖区内互联网服务单位和联网使用单位安全保护技术措施落实情况进行指导、监督和检查。同时规定,公安机关在依法监督检查时,监督检查人员不得少于2人,并应当出示执法身份证件,互联网服务单位、联网单位应当派人参加。

  三、认真学习、宣传和贯彻《规定》

  《规定》的颁布实施有利于加强和规范互联网安全技术防范工作,保护互联网服务单位、联网使用单位和广大网民合法权益,维护国家安全、社会秩序和公共利益,促进互联网健康有序发展。《规定》的贯彻实施需要公安机关、政府有关部门、互联网服务单位、联网使用单位和社会各界的广泛支持和参与。《规定》经公安部部长办公会审议通过后,公安部公共信息网络安全监察部门立即下发通知,要求各级公安机关网监部门认真学习贯彻,落实互联网安全监督责任,强化服务意识,指导相关单位结合本地本单位实际情况,采取科学、合理、有效的安全保护技术措施,做好网上违法犯罪和有害信息传播的报警受理和预警防范工作;要求各级公安机关网监民警要熟练掌握《规定》的具体内容,准确运用《规定》,牢固树立执法为民的思想,提高工作效率和执法水平,为促进社会信息化建设和互联网健康有序发展服务。同时,要通过广泛深入的宣传工作,使互联网服务单位和联网使用单位准确理解和把握《规定》的具体要求,加强履行法定义务和责任的自觉性,按照“谁主管谁负责、谁运营谁负责”的原则,认真落实安全保护技术措施要求,促进互联网健康有序的发展。