第八章信息安全法律法规8.1信息保护相关法律法规◆国家秘密◇包括国家领土完整、主权独立不受侵犯;国家经济秩序、社会秩序不受破坏;◇公民生命、生活不受侵害;民族文化价值和传统不受破坏等;◇产生于政治、国防军事、外交外事、经济、科技和政法等领域的秘密事项。◆国家秘密的密级◇绝密—最重要的国家秘密—使国家安全和利益遭受特别严重的损害—破坏国家主权和领土完整,威胁国家政权巩固,使国家政治、经济遭受巨大损失—全局性、战略性◇机密—重要的国家秘密—使国家安全和利益遭受严重的损失—某一领域内的国家安全和利益遭受重大损失—较大范围◇秘密—一般的国家秘密—使国家安全和利益遭到损害—某一方面的国家安全利益遭受损失—局部性◆危害国家秘密安全的行为◇严重违反保密规定行为1.违反涉密信息系统和信息设备保密管理规定的行为;2.违反国家秘密载体管理规定的行为;3.违反国家秘密信息管理规定的行为。◇定密不当行为1.定密不当包括对应当定密的事项不定密,或者对不应当定密的事项定密;2.对应当定密的事项不定密,可能导致国家秘密失去保护,造成泄密;3.对不应当定密的事项定密,会严重影响信息资源合理利用,可能造成较大的负面影响。◇公共信息网络运营商、服务商不履行保密义务的行为1.互联网及其他公共信息网络运营商、服务商没有履行配合公安机关、国家安全机关、检察机关对泄密案件进行调查的义务;2.发现发布的信息涉及泄露国家秘密,没有立即停止传输和保存客户发布信息的内容及有关情况记录,并及时向公安机关、国家安全机关、保密行政管理部门报告;3.没有按照公安机关、国家安全机关、保密行政管理部门要求,及时对互联网或公共信息网上发布的涉密消息予以删除,致使涉密信息继续扩散。◇保密行政管理部门工作人员的违法行为1.保密行政管理部门的工作人员在履行保密管理职责时滥用职权、玩忽职守、徇私舞弊;2.滥用职权是指保密行政管理部门工作人员超越职权范围或者违背法律授权的宗旨、违反法律程序行使职权的行为;3.玩忽职守是指保密行政管理部门工作人员严重不负责任,不履行或不正确履行职责的行为;4.徇私舞弊是指保密行政管理部门工作人员在履行职责过程中,利用职务之便,弄虚作假、徇私舞弊的行为。◆危害国家秘密安全的犯罪行为◇危害国家安全的犯罪行为1.掌握国家秘密的国家工作人员在履行公务期间,擅离岗位,叛逃境外或者在境外叛逃;2.参加间谍组织或者接受间谍组织及其代理人的任务;3.为敌人指示轰击目标,为境外的机构、组织、人员窃取、刺探、收买、非法提供国家秘密或者情报。◇妨碍社会管理秩序的犯罪行为1.以窃取、刺探、收买方法,非法获取国家秘密;2.非法持有属于国家绝密、机密的文件、资料或者其他物品,拒不说明来源与用途。◇渎职的犯罪行为1.国家机关工作人员、非国家机关工作人员违反保守国家秘密法的规定,故意泄露国家秘密;2.国家机关工作人员、非国家机关工作人员违反保守国家秘密法的规定,过失泄露国家秘密。◇军人违反职责的犯罪行为1.以窃取、刺探、收买方法,非法获取军事秘密;2.为境外的机构、组织、人员窃取、刺探、收买、非法提供军事秘密;3.违反保守国家秘密法规,故意泄露军事秘密(战时有此行为会受到从重处罚);4.违反保守国家秘密法规,过失泄露军事机密(战时有此行为会受到从重处罚)。◆保护国家秘密相关法律◇《保密法》2010年10月1日起正式施行的新《保密法》从四个方面明确了危害国家秘密安全的行为的法律责任,使查处泄密违法行为有据可依、有章可循。◇严重违反保密规定的法律责任《中华人民共和国公务员法》、《中华人民共和国行政监察法》、《行政机关公务员处分条例》◇互联网及其他公共信息网络运营商、服务商的有关法律责任《中华人民共和国治安管理处罚法》、《中华人民共和国电信条例》、《计算机信息网络国际联网安全保护管理办法》、《互联网信息服务管理办法》◆商业秘密不为公众所知悉、能为权利人带来经济利益、具有实用性并由权利人采取保密措施的技术信息和经营信息。技术信息商业秘密包括由单位研制开发或者以其他合法方式掌握的、未公开的设计、程序、产品配方、制作工艺、制作方法等信息,以及完整的技术方案、开发过程中的阶段性技术成果以及取得的有价值的技术数据,包括但不限于设计图纸(含草图),试验结果和试验记录、样品、数据等,也包括针对技术问题的技术诀窍。经营信息类商业秘密包括经营策略、产品策略、管理诀窍、客户名单、货源情报、招投标中的标底及标书内容等信息。◆侵犯商业秘密的行为◇以盗窃、利诱、胁迫或者其他不正当手段获取权利人的商业秘密◇披露、使用或者允许他人使用上述手段获取权利人的商业秘密◇违反约定或者违反权利人有关保守商业秘密的要求,披露、使用或者允许他人使用其所掌握的商业秘密权利人:是指商业秘密的所有人和经商业秘密所有人许可的商业秘密使用人◆保护商业秘密相关法律法规◇《中华人民共和国刑法》◇《中华人民共和国不正当竞争法》◇《中华人民共和国合同法》◇《中华人民共和国劳动合同法》◆侵犯个人隐私信息行为1.未经他人同意,擅自公布他人的隐私资料,或者以书面、口头形式宣扬他人隐私2.窃取或者以其他非法方式获取公民个人电子信息3.出售或者非法向他人提供公民个人电子信息4.网络服务提供者和其他企业事业单位在业务活动中未经被收集者同意就收集、使用公民个人电子信息5.对在业务活动中经被收集者同意收集公民个人电子信息没有采取必要的保密措施6.医疗机构及其医务人员泄露患者隐私或者未经患者同意,公开其病历资料、健康体检报告等行为◆侵犯个人隐私信息犯罪行为1.隐匿、毁弃或者非法开拆他人信件,侵犯公民通信自由权利,情节严重的;2.邮政工作人员私自开拆或者隐匿、毁弃邮件、电报的;3.国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的;4.窃取或者以其他方法非法获取公民个人信息,情节严重的;5.非法截获、篡改、删除他人电子邮件或者其他数据资料,情节严重的;6.人民警察泄露因制作、发放、查验、扣押居民身份证而知悉公民个人信息,情节严重的。8.2打击网络违法犯罪相关法律法规◆网络违法犯罪行为◇破坏互联网运行安全的行为1.侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统;2.违反国家规定,侵入计算机系统,造成危害;3.故意制作、传播计算机病毒等破坏程序,攻击计算机系统及通信网络,致使计算机系统及通信网络遭到损害;4.违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行;5.违反国家规定,对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加。◇破坏国家安全和社会稳定的行为1.利用互联网造谣、诽谤或者发表、传播其他有害信息,煽动颠覆国家政权、推翻社会主义制度,或者煽动分裂国家、破坏国家统一;2.通过互联网窃取、泄露国家秘密、情报或者军事秘密;3.利用互联网煽动民族仇恨、民族歧视,破坏民族团结;4.利用互联网组织邪教组织、联络邪教组织成员,破坏国家法律、行政法规实施。◇破坏市场经济秩序和社会管理秩序的行为1.利用互联网销售伪劣产品或者对商品、服务作虚假宣传;2.利用互联网损坏他人商业信誉和商品声誉;3.利用互联网侵犯他人知识产权;4.利用互联网编造并传播影响证券、期货交易或者其他扰乱金融秩序的虚假信息;5.在互联网上建立淫秽网站、网页,提供淫秽站点链接服务,或者传播淫秽书刊、影片、音像、图片。◇侵犯个人、法人和其他组织的人身、财产等合法权利的行为1.利用互联网侮辱他人或者捏造事实诽谤他人;2.非法截获、篡改、删除他人电子邮件或者其他数据资料,侵犯公民通信自由和通信秘密;3.利用互联网进行盗窃、诈骗、敲诈勒索,利用网络写恐吓信或者以其他方法威胁他人人身安全的;4.利用网络捏造事实诬告陷害他人,企图使他人受到刑事追究或者受到治安管理处罚;5.利用网络对证人及其近亲属进行威胁、侮辱或者打击报复;6.利用网络多次发送淫秽、侮辱、恐吓或者其他信息,干扰他人正常生活;7.利用网络偷窥、偷拍、窃听、散步他人隐私;8.利用网络煽动民族仇恨、民族歧视,或者在网络中刊载民族歧视、侮辱内容。◇利用互联网实施以上四类所列行为以外的违法/犯罪行为◆相关法律◇《刑法》◇《关于维护互联网安全的决定》◇《治安管理处罚法》8.3信息安全管理相关法律法规◆案例◇电子签名第一案◆相关法律条例◇《中华人民共和国保守国家秘密法》在保护国家秘密方面,在第一章“总则”第五条、第六条,对保密工作的监督进行了明确授权,由国家保密行政管理部门主管全国的保密工作:▽县级以上地方各级保密行政管理部门主管本行政区域的保密工作;▽国家机关和涉及国家秘密的单位管理本机关和本单位的保密工作;▽中央国家机关在其职权范围内,管理或者指导本系统的保密工作;▽国家保密行政管理部门的最高机构是国家保密局。在第四章“监督管理”第四十一条。第四十二条中规定:▽国家保密行政管理部门依照法律、行政法规的规定,制定保密规章和国家保密标准;▽保密行政管理部门依法组织开展保密宣传教育、保密检查、保密技术防护和泄密案件查处工作,对机关、单位的保密工作进行指导和监督。◇《中国人民共和国警察法》在维护公共安全方面,《中国人民共和国人民警察法》进行了相应规定。《中华人民共和国人民警察法》第二章“职权”第六条规定,公安机关的人民警察按照职责分工,依法履行下列职责:预防、制止和侦查违法犯罪活动;维护社会治安秩序,制止危害社会治安秩序的行为;监督管理计算机信息系统的安全保护工作。◇《中华人民共和国电子签名法》2004年8月28日通过并公布的《中华人民共和国电子签名法》在第三章“电子签名与认证”中,对电子认证服务提供者的监管进行了授权。在第十六条、第十八条中规定,电子签名需要第三方认证的,由依法设立的电子认证服务提供者提供认证服务;从事电子认证服务,应当向国务院信息产业主管部门提出申请,并提交符合规定条件的相关材料、国务院信息产业主管部门接到申请后经依法审查、征求国务院商务主管部门等有关部门的意见后,自接到申请之日起四十五日内作出许可或不予许可的决定。予以许可的,颁发电子认证许可证;不予许可的,应当书面通知申请人并告知理由。申请人应当持电子认证许可证书依法向工商行政管理部门办理企业登记手续,取得认证资格的电子认证服务提供者,应当按照国务院信息产业主管部门的规定在互联网上公布其名、许可证号等信息。