网络安全立法滞后与前瞻——从“吕科”事件谈起

沈木珠
　 人称巴蜀“网络天才”的吕科，因在河南北网信息工程公司AWE网络程序中安置逻辑炸弹及擅自取走原程序代码，而涉嫌破坏计算机信息系统被羁押46天后释放。这是因为我国刑法第二百八十六、二百七十六条规定及我国《计算机安全保护条例》（下简称《条例》）的规定，均不能适用吕科的这一特定行为，即按现行法律，吕科所为并不构成刑事犯罪；按现行法规，吕科的“破坏”也未达到受惩处的后果。其安置逻辑炸弹虽可导致北网开发的AWE软件瘫痪，然根据我国《软件产品管理暂行办法》也不能追究其责任。不过，法之不罪，并不说明吕科所为没有对计算机信息系统造成某种破坏或对信息系统的安全构成某种侵犯。我国《条例》第二条所解释的计算机信息系统保护就包括了AWE之类的开发。这里，笔者并无丝毫认为吕科已触犯刑律的意思，笔者重视这一并未犯法的“无罪”事件，完全基于该事件对我国网络安全敲起了警钟，对网络立法提供了启示。

　 我国《条例》发布于1994年，一方面由于没法预计今日网络可能发生的破坏行为，另一方面由于受到传统立法之笼统、含糊的影响，数十条文竟无一具体适用今日之网络犯罪。该条例第一章总则第七条：“任何组织或者个人，不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动，不得危害计算机信息系统的安全”，与其说是律条，不如说是一般号召。第四章法律责任第二十三———二十五条，虽有警告、罚款、刑事犯罪等说法，但没有一条能让安置逻辑炸弹的吕科对号入座。还有新刑法颁布于1997年，其中第二百七十六、二百八十六条虽有对妨碍公共信息犯罪的规定，但由于吕科的行为并未“后果严重”而不能追究其刑事责任。笔者以为，公共信息关系到我国互联网络和电子商务的发展，事属重大，故破坏计算机网络或信息系统安全的任何行为，一旦实施，则不论其造成的后果轻重，均需承担法律责任，其分别应在于是承担刑事责任还是民事责任而已。须知我国计算机网络基础建设十分薄弱，电子商务市场远未形成，鉴于国际网路和电子商务发展迅速的严峻形势，绝容不得任何国民或技术人员对网络或信息系统的任何“监守自盗”或毁灭性破坏。众多网络公司老总所说“这样的天才我们不敢用”，并非要挟，此风不刹，的确网无宁日。不难想象，如果中国的程序员都像吕科那样利用其程序设计或其他权利实施了某种破坏行为而不必承担责任，我国的网络和商务发展恐怕就要大受阻碍了。

　 其实，我国法律制裁不了吕科实施了的破坏行为，但是，社会责任、商业信用、职业道德却已对他作出了谴责。吕科受雇于北网公司，参与AWE项目开发，理应承担相应的社会责任和一定的商业信用，这是起码的职业道德。姑且不论北网并未扣发吕科参与设计AWE的奖金，就是北网真的有不兑现AWE销售后其应得资金之企图，吕科也不应在此前擅自设置时间炸弹并告知其父，成为其父后来索金25万元的要挟，而且在炸弹限定时间的2000年3月1日之前并不见吕科任何解密或坦言置弹的行动。我国法律对于这类违反商业信用和职业道德的网络破坏行为，不管其是否造成严重后果，均应作出惩戒，这就是本文认为我国网络立法滞后的原因。鉴于我国信息系统管理之薄弱，国内法律国际游戏规则与不相吻合的局面，为保障21世纪我国网络经济的发展，网络安全的前瞻性立法，已经成为当务之急。

　 网络安全的概念，包括了计算机信息系统和国际联网的安全保护，后者，公安部经国务院批准，于1997年12月发布了《计算机信息网络国际联网安全保护管理办法》，但与前者《条例》一样，偏重于一般性的行政管理、国家安全和治安处罚，两者的“法律责任”，也没有太大差别。前者危害计算机安全的事项只涉及计算机病毒，后者增加了对计算机信息网络功能进行删除、修改或增加对计算机信息网络中存储处理或传输的数据和应用程序进行删除、修改、增加的两项活动。但是，触犯以上规定的，如无违法所得，仅由公安机关给予警告。尽管末尾都有“构成犯罪的，依法追究刑事责任”的规定，但何为构成犯罪行为？无论前者还是后者都没有明确规定。新刑法第二百八十六条所指危害行为有轻重之分，法规似无厚薄之别，吕科及其事件就是在这种两者都管不着的情况下，退而按“劳资纠纷”处理的。

　 说我国网络安全立法滞后人们可能已经能够接受，但是，要求前瞻性立法，则可能备受指责，甚至认为是脱离现实的天方夜谭。的确，立法前瞻并非易事，然也不是绝无可能。美国二百多年前的宪法就颇具前瞻性，仅其关于司法的规定就使最高法院开创了美国司法进步数百年的基业。当前，网络安全立法并非瞎子摸象，而是有诸多国际立法可供参考，更有各国司法实践可供研究。笔者认为，当前网络安全法必须考虑以下三个问题：

　 首先，加强打击网络犯罪的力度。众所周知，电子商务是21世纪贸易的主导模式，以美国为代表的发达国家为了掌握国际电子商务的主动权，更在律法的制定方面采取了一系列措施，意图左右国际电子商务的立法，克林顿甚至邀请著名黑客到白宫商议网络犯罪问题。这是因为他们深知网络安全保护是一个国家电子商务发展的轴心。我国电子商务起步并不太晚，技术也非落后，但是发展却十分缓慢。以1999年为例，财政部公布的交易额仅5500万元，大约为美国的数万分之一。这除了与我国计算机普及率低，信息网络系统设施相对落后，以及网上税收、保险、合同效力等规范不到位外，电子支付与金融管理、信息系统及个人隐私保护等网络安全问题缺乏保障也是一个重要原因。而我国电子证据、电子签名效力之含糊，也无不制约着企业和个人进入电子商务的信心。兼之想到国际“黑客”、国内“黑手”随时可能侵袭计算机信息系统，年轻一代程序员之缺乏职业道德等，无不使电子商务的主体———企业和服务商望而生畏。当法律对这一切束手无策，当网络程序破坏行为只是轻微的治安警告或因有不当收入才加5000元罚款的时候，立法的滞后对电子商务发展的限制便是可以理解的了。

　 其次，建立加密解密的法律规范。随着侵入计算机信息系统及网络并导致巨额损失的事件不断发生，如何利用加密技术以保护网络和交易安全，近年已经成为世界各国关切的焦点。经济合作发展组织（OECD）为此制订了资讯系统安全准则，美国《全球电子商务框架》也提出与OECD合作建立更安全的全球资讯网络（GII）系统。然我国有关计算机信息系统和网络安全法规却至今尚未对加密解密标准和制度作出规定，而各国电子商务法尽管规定加密技术方案不一，但对于采用加密技术提高网路安全系统的认识却是基本一致，特别在以法律手段消除各种不确定因素，建立消费者信心，促进市场成长这一点上，几乎没有异议。

　 第三，加强网络个人资料隐私权保护。随着网络传输技术的发展，个人资料被窃取、泄露成为消费者或网络使用人当前最为关心的问题。特别是美国在线（AOL）公司因为不当将其订户资料透露给海军，导致一名同性恋倾向的订户遭受海军的撤职处分之后，这种关心转变为担忧。事实上消费者的担忧是有根据的，因为在网络上使用最广泛的全球资讯网中，凡使用浏览器都面临一种功能，这种功能使网站能够了解使用者的相关资料而消费者却无法拒绝，也无法删除该项功能。对此，美国除加强司法对个人稳私的保护之外，还特别发起业者自律的运动，要求网站宣示对所有到访网友个人资料严守秘密。

　 我国法律对隐私权保护迄今没有任何规定，对网络个人资料更未明确相应的保护。宪法第四十条虽规定“公民的通讯自由和通讯秘密受法律的保护”，但此项并不明确包括网络上的个人资料或隐私。因此，在网络利用日趋便捷，网络资料储存交换日渐普及的今天，消费者的个人资料如何保护，服务商对取得的个人资料应如何利用和流通，是我国网络立法必须面对的一个重要问题。但由于我国宪法中关于公民基本权利的名誉和人格尊严均不包括隐私权，网络个人资讯和隐私保护的立法所涉问题更为广泛，阻力也更大。然互联网络超越时空的特点却时刻提醒我们必须重视与国际立法趋同的取向。在这个问题上，我国台湾地区已于1995年8月订立了《电脑处理个人资料保护法》，并于次年发布施行细则，对网络个人资料的取得与利用等作出详细规定。欧洲共同市场理事会为统一规范其会员国对个人资料的保护，也于1995年10月通过了自动处理个人资料保护公约，并于11月通过欧市保护个人资料的指令。美国则早于1974年就订立了隐私法，并于1986年订立了《电子通讯隐私法案》，近年，虽没有特别针对网络个人资料保护加以规范，但通过一系列的判决和过去的立法，保护了民众的隐私权及个人资料的安全，如美国海军对该同性恋倾向官员的撤职处分就为美国法官所禁止。

　 随着科学的进步，事物的发展，网络安全立法的前瞻，应当充分顾及网络的特点。如防止信息系统作案犯罪，要考虑到网络无界无域；设立电子签名和电子支付，要考虑到计算机电子数据的无纸化交流与存储；建立电子认证与审查机制，要考虑到市场虚拟、商家信誉及国民对电子交易的忧虑等问题。如广东省制定《对外贸易实施电子数据交换暂行规定》规定了电子数据服务中心应有收到报文和被提取报文的回应和记录，以及发生争议时以该中心提供信息为准等，就是考虑网络特点和国家现状立法的一个例子。还有北京，上海等地方电子商务法规也都为提高电子交易的安全系数作出了努力。

陕西省人大


陕西省事业单位登记管理条例
陕西省人民代表大会


（1997年12月26日陕西省第八届人民代表大会常务委员会第三十一次会议通过）

第一章 总 则
第一条 为规范事业单位登记管理行为，确认事业单位的法律地位，保障其合法权益，根据有关法律、法规，结合本省实际，制定本条例。
第二条 本省行政区域内的教育、科研、文化、文物、卫生、体育、广播电视、新闻出版和其他各类事业单位的设立、变更、注销，依照本条例进行登记管理。
法律、法规对事业单位登记管理另有规定的，从其规定。
第三条 依法成立并依照本条例进行登记的事业单位，其合法权益受法律、法规保护。
第四条 县级以上人民政府各级机构编制管理部门是本级人民政府事业单位的登记主管部门（以下简称登记主管部门），按照分级登记管理的原则实施事业单位的登记管理。
国家和外省（直辖市、自治区）驻陕事业单位，由省登记主管部门登记或者备案，也可以委托事业单位所在地县级以上登记主管部门登记或者备案。
第五条 各级人民政府有关部门按照各自的职责，协助登记主管部门做好事业单位的登记管理工作。
第六条 登记主管部门对核准设立登记、变更登记和注销登记的事业单位统一向社会公告。

第二章 设立登记
第七条 申请办理事业单位法人登记，必须具备下列条件：
（一）依法成立；
（二）有规范的名称、组织机构和场所；
（三）有明确的业务范围；
（四）有相应的从业人员；
（五）有与开展业务活动相适应的经费；
（六）能够独立承担民事责任。
不具备前款第（六）项条件的事业单位，办理非法人事业单位登记。
第八条 事业单位登记的主要事项为：名称、性质、设立主体、法定代表人或者主要负责人、业务范围、经费来源、资产总额、单位住所、标识代码。
第九条 设立事业单位，必须自主管部门批准设立之日起60日内向登记主管部门申请办理设立登记。
本条例施行前设立的事业单位，应当自本条例施行之日起90日内向登记主管部门申请登记。
第十条 申请办理设立登记的事业单位，应当向登记主管部门提交下列材料：
（一）事业单位主要负责人签署和主管部门审核的《事业单位设立登记申请书》；
（二）批准设立的文件；
（三）经费来源证明；
（四）本单位法定代表人或者主要负责人的身份证明；
（五）住所的所有权或者使用权证明；
（六）其他有关材料。
第十一条 登记主管部门应当在收到事业单位设立登记申请后30日内作出是否准予登记的决定。
第十二条 登记主管部门在核准登记后，对具备法人条件的事业单位，发给《事业单位法人证书》；对非法人事业单位，发给《事业单位登记证书》。
《事业单位法人证书》和《事业单位登记证书》分为正本和副本，正本和副本具有同等法律效力。除事业单位登记主管部门外，其他任何单位和个人不得收缴、扣押。
第十三条 经登记主管部门核准登记或者备案的事业单位需要从事经营活动的，应当向工商行政管理部门申请办理营业登记。

第三章 变更登记
第十四条 已经登记设立的事业单位有列情形之一的，应当自该情形发生之日起30日内向原登记主管部门申请办理事业单位变更登记：
（一）单位名称发生变更的；
（二）业务范围发生变更的；
（三）设立主体发生变更的；
（四）法定代表人或者主要负责人发生变更的；
（五）经费来源发生变更的；
（六）住所发生变更的。
第十五条 申请办理变更登记的事业单位，应当向登记主管部门提交下列材料：
（一）法定代表人或者主要负责人签署和主管部门审核的《事业单位变更登记申请书》；
（二）主管部门批准变更的文件；
（三）其他有关材料。
第十六条 登记主管部门应当在收到变更登记申请30日内作出是否准予变更登记的决定。准予变更登记的，应当同时予以换发《事业单位法人证书》或者《事业单位登记证书》。

第四章 注销登记
第十七条 已经登记设立的事业单位有下列情形之一的，应当自该情形发生之日起30日内向原登记主管部门申请办理事业单位注销登记：
（一）审批机关决定撤销的；
（二）设立主体决定解散的；
（三）依法责令撤销或者解散的；
（四）因合并、分立而撤销或者解散的；
（五）单位性质变化不再是事业单位的。
第十八条 申请事业单位注销登记的，应当向登记主管部门提交下列材料：
（一）法定代表人或者主要负责人签署和主管部门审核的《事业单位注销登记申请书》；
（二）审核机关同意撤销的文件；
（三）设立主体决定解散的文件；
（四）依法责令撤销或者解散的法律文书、文件；
（五）清算组织出具的债权债务清理完结证明；
（六）其他有关材料。
第十九条 事业单位自登记主管部门核准注销之日起终止活动。对准予注销登记的事业单位，登记主管部门应当收缴其《事业单位法人证书》或者《事业单位登记证书》的正副本。

第五章 年度检验和证书管理
第二十条 经核准设立的事业单位，应当在每年1月1日至3月31日向发给登记证书的部门提交主管部门审核同意的年度检验报告、《事业单位法人证书》或者《事业单位登记证书》副本，接受年度检验。
登记主管部门收到报告和证书后，应当在30日内完成检验手续，对年度检验不合格的或者不履行年度检验手续的事业单位按照有关规定进行处理。
第二十一条 任何单位和个人不得伪造、涂改、出租、出借、转让《事业单位法人证书》或者《事业单位登记证书》。证书遗失的，在登记主管部门指定的报刊上声明作废以后，可以向登记主管部门申请补发。
第二十二条 《事业单位法人证书》和《事业单位登记证书》的正副本及有关文书表格，由省登记主管部门统一印制，并收取工本费。工本费收费标准由省物价、财政部门核定。

第六章 法律责任
第二十三条 对违反本条例规定的行为，由登记主管部门依照下列规定进行处理。
（一）未经登记，擅自以事业单位名义开展活动的，责令停止活动，并处以五千元以下的罚款。
（二）伪造、涂改、出租、出借、转让《事业单位法人证书》或者《事业单位登记证书》的，责令改正，没收违法所得，处以一千元以上五千元以下的罚款，情节严重的，收缴证书；构成犯罪的，由司法机关依法追究刑事责任。
（三）申请登记或者接受年度检验时隐瞒真实情况、弄虚作假或者擅自改变登记事项的，除责令改正外，视情节轻重，可处以五百元以上三千元以下的罚款。
（四）不按规定时限申请办理变更登记、注销登记、年度检验的，责令限期办理；逾期仍不办理的，处以五百元以下的罚款或者撤销登记。
第二十四条 非法收缴、扣押《事业单位法人证书》或者《事业单位登记证书》，给事业单位造成损失的，依法承担赔偿责任。
第二十五条 登记主管部门工作人员滥用职权、徇私舞弊或在规定时限内无正当理由不办理登记手续的，由主管部门根据情节轻重给予批评教育或者行政处分；构成犯罪的，由司法机关依法追究刑事责任。
第二十六条 当事人对登记主管部门作出的三千元以上罚款或者撤销登记的行政处罚决定不服的，有权要求举行听证。
第二十七条 当事人对登记主管部门作出的不予登记或者行政处罚决定不服的，可以依法申请行政复议或者提起行政诉讼。

第七章 附 则
第二十八条 具备法人条件依法不需要办理法人登记的事业单位，应当向登记主管部门备案。其证书发放、年度检验、变更和注销登记管理办法，由省人民政府按照有关规定制定。
第二十九条 本条例实施中的具体应用问题，由省机构编制管理部门负责解释。
第三十条 本条例自1998年4月1日起施行。



1997年12月26日