摘要 网络与信息安全及其立法问题是当前我国亟待解决的重要课题。本文分析了欧盟《关于信息安全决议》、《关于计算机犯罪的协定》、《关于打击信息系统犯罪的框架决议》和《关于建立欧洲网络和信息安全机构的规则》等4个有关网络与信息安全的立法文件,总结了欧盟网络和信息安全法律规制的特点及其所取得的经验,对于我国网络与信息安全的立法、执法有着很好的借鉴作用。
网络与信息安全是关系国家安全、国民经济发展、人民利益和社会稳定的重大问题,如何通过法治及其实施方案来维护网络与信息安全,是当前必须面对的关系国计民生的亟待解决的重要课题。从上世纪90年代至今,欧盟发布了4个关于网络和信息安全的法律规制的立法文件,即《关于信息安全决议》、《关于计算机犯罪的协定》、《关于打击信息系统犯罪的框架决议》和《关于建立欧洲网络和信息安全机构的规则》,对欧盟的网络建设与信息安全发挥了重要作用。
1、《信息安全框架决议》
欧盟高度重视利用计算机技术给信息安全带来的危害,为了加强欧盟各国打击此类犯罪的司法合作,欧洲理事会于1992年3月31日做出了有关信息安全的决议。该决议的目标是为了给一般用户、行政管理部门和工商业界存储电子信息提供有效的切实的安全保护,使之不危及公众的利益。为了实现上述目标和保障决议的执行,该决议还同时决定建立一个由高级官员组成的信息安全委员会。该委员会主要职责是为欧洲理事会在信息安全方面采取的行动和已经采用的一个两年期行动计划提供咨询。欧盟为这个两年期的行动计划拨付了大约1200万欧元的预算。该行动计划的内容包括:发展信息安全战略框架;分析信息安全需求;确定某些优先需求的解决方案;确认信息安全的规范和标准化;在总的战略之下信息安全的科技和操作的综合化发展;综合信息系统的一些安全功能。这个行动计划的细节列在该决议的附件之中。欧洲理事会定期就信息安全事宜,特别在制定信息安全战略和工作程序方面,向信息安全委员会寻求咨询[1]。
2、《关于计算机犯罪的协定》
1999年5月27日,欧盟委员会在欧盟条约第34款的基础上,起草了关于打击计算机犯罪协议的共同宣言(1999/364/JHA),规定各成员国必需承担的义务包括:在协议所定义的犯罪范围内建立适当的权限;支持建立预防犯罪的合作,包括相互援助;支持采纳关于高科技犯罪数据存储的规定;为了调查严重的刑事犯罪,支持跨国界的计算机搜索,并遵从欧盟关于接触和使用业务资料的有关规定[2]。此协议已于2001年11月在各成员国征集签署。
3、《打击信息系统犯罪的框架决议》
2002年4月,《打击信息系统犯罪的框架决议》的建议送往欧洲议会征求意见,同年8月欧盟正式公布《关于打击信息系统犯罪的欧盟委员会框架决议》的提议,要求至2004年12月31日向欧洲议会和委员会呈交一个关于申请应用这个法律框架决议的报告。经过两年半的讨论,于2005年2月24日,欧洲理事会通过了该框架决议,并于2005年3月16日开始实施[3]。
框架决议规定的应受到惩罚的犯罪包括3类:非法接触信息系统;非法进行系统干扰(即通过输入、传输、损害、删除、恶化、改变、抑制或者翻译描写不可接触的计算机数据等手段,故意严重阻扰或打断一个信息系统的功能);非法进行数据干扰。所有的这些犯罪行为都必须是蓄意图谋的,此外,从事鼓动、帮助、教唆和试图实施上述任何犯罪行为的,也要负法律责任。成员国必须通过有效的、成比例的、劝诫的犯罪处罚来对上述犯罪行为的惩罚作出规定。如果这种犯罪是在欧盟定义的犯罪组织背景下实施的,并导致了实质性的损害或影响了受害者基本的利益,这将被认为是恶性案件。如果这个犯罪所造成的损害较小,司法机关可以做出减轻处罚的决定。
4、《建立欧洲网络和信息安全机构的规则》
2004年3月10日,欧洲议会和欧盟委员会颁布了《建立欧洲网络和信息安全机构的规则》。建立这个机构的首要目标就是加强欧共体各成员国和工商企业应对网络和信息安全问题的能力;在有关网络和信息安全方面向理事会和各成员国提供帮助和建议;为公共部门和私人操作者之间的联系提供便利条件,并加强他们之间的合作,努力使各成员国的安全提高到一个新的水平。该机构也要为欧洲理事会在网络和信息安全领域更新和发展欧共体法律提供技术准备方面的帮助。
4.1 欧洲网络和信息安全机构的任务
(1)收集适当的信息,分析当前和正在显现的互联网和信息安全危机方面存在的问题,并把分析结果提供给各成员国和欧洲理事会。
(2)为欧洲议会、欧洲理事会和其他相关的团体提供目标范围内的建议和帮助。
(3)加强不同部门之间的合作(比如在企业和高校之间牵线搭桥,组织咨询),推动欧洲理事会和各成员国之间在预防安全问题、共同发展方面的合作。
(4)通过促进交换实践经验,包括向用户发出警告信号的方法提高所有用户的安全意识,提高网络信息的可靠性和可利用性。
(5)协助欧盟理事会和各成员国与从事研究和生产信息安全硬件和软件产品的产业展开对话。
(6)跟踪安全产品和服务标准的发展,并推动危机评估活动。
(7)为欧共体努力加强与第三世界国家和国际机构合作,寻求网络和信息安全问题的全球共同的解决途径。
4.2 欧洲网络和信息安全机构的组织结构
该机构的组织结构是:由各成员国和欧盟理事会的代表组成的管理委员会;由管理委员会在欧洲理事会建议的候选人名单中批准任命执行主任:由执行主任建立一个长期的专家组,该专家组由各行业专家、消费者、学术专家所组成,这个专家组将为该机构提供最新的可用于对付挑战网络安全的信息。
4.3 有关规定
(1)关于提出请求的规定
向该机构的执行主任递交需获得建议和帮助的请求,同时要附上该请求所需解决问题的背景信息。请求可以由欧洲议会、欧洲理事会或任何被成员国任命的相关团体来提出。
(2)有关独立性的规定
个人、公共管理机构和工商企业是否接受该机构的建议和意见取决于一种独立性模式的建立。管理委员会的各成员以及执行主任和参加特别工作组的来自外部的专家,被责成声明正处理中的问题与其没有任何利害关系,以保持处理网络和信息安全问题的独立性,且不受任何利益的干扰。
(3)有关透明度的规定
该机构必需确保给予公众和任何一个利益相关当事人客观的、可信赖的和容易理解的信息,尤其是关于工作结果的信息。
(4)有关对该机构评估的规定
该规则规定在该机构建立的3年之内,欧洲理事会将对该机构进行评估。评估的内容包括:决定该机构的执行期限是否应该延长(最初规定运行4年);评估该机构的实际工作和影响;评估目标的实现和已建立的机制;如果必要,欧盟则根据制度和法律的发展,在更广泛的特殊安全问题上,考虑政策、规定的适当修改问题[4]。
当前,我国在网络和信息安全立法、执法等方面都存在许多亟待解决的问题。欧盟有关网络和信息安全法律的制定和实施,在法律规制的实施、目标的制定、相关组织的构建等方面积累了经验,为我国网络与信息安全法律规制的建立和完善必将有着重要的借鉴作用。
参考文献
1 欧盟网站.http://www.eu.int/scadplus/leg/en/lvb/124121.htm
2 欧盟网站.http://www.eu.int/scadplus/leg/en/lvb/133164.htm
3 Council Framework Decision 2005/222/JHA of 24 February 2005 on attacks against information systems.
4 欧盟网站http://www.eu.int/scadplus/leg/en/lvb/124153.htm