从熊猫烧香肆虐看我国网络安全立法的现状及完善

从“熊猫烧香”肆虐看我国网络安全立法的现状及完善

曲 佳*一、我国网络安全局势日趋严峻

在短短几年的时间里，中国网民的数量飞快攀升，网络以惊人的速度深入社会生活。随着网络应用的日趋普及，各种网络安全问题也日渐突出。网络病毒以其破坏性、针对性、传播性、潜伏性、可激发性等特点，成为危害网络安全的一大杀手。大多数网民对于网络病毒并不陌生，几乎每一个使用电脑上网的人都受到过病毒和流氓软件的困扰，造成浏览器被篡改，恶意网页和广告反复弹出，上网账号被盗，甚至是电脑死机和系统瘫痪的严重后果。CIH、蠕虫、冲击波、特洛依木马等这些曾经发作过的网络病毒还让人心有余悸，这次“熊猫烧香”的泛滥又让众多网民深切感受到了网络病毒的厉害。

瑞星公司发布的《2006年度中国大陆地区电脑病毒疫情和互联网安全报告》显示，2006年被截获的新病毒共有23万之众，而“熊猫烧香”病毒被“加冕”为“毒王”。新病毒中90％以上带有明显的利益特征，有窃取个人资料、各种账号密码等行为，极大地威胁着网络用户的信息安全。随着网络应用向多领域、全方位扩展，网络病毒造成的损害也日益严重。这次“熊猫烧香”病毒就使许多企业的局域网和网站遭受重创，多数企业不得不因此业务停顿，直接和间接经济损失无法估量。

我国目前正处于网络发展的起步时期，网络经营与管理还很不成熟，特别是管理方式的松散导致网络运行与信息安全存在很大隐患。与此同时，大部分网民缺乏基本的安全防范意识和良好的上网习惯，也给病毒疫情大面积扩散带来可乘之机。在应对网络病毒方面，安装或升级杀毒软件，设立复杂密码和防火墙、采用加密技术或增加其他防范措施固然会对网络破坏行为产生遏制作用，但单纯从技术角度并不能长远、全面地保障网络安全。只有在不断更新技术手段的同时，充分利用法律的威严，加快完善网络安全立法来规范和引导网络行为，增强对网络犯罪的打击处罚力度，才能从根本上有效地保护网络用户的合法权益，为公众提供一个良好的网络环境，使网络更好地服务于社会生活。

二、网络安全立法亟待完善

*大连海事大学法学院硕士研究生。

随着“熊猫烧香”案的告破，人们发现“熊猫烧香”背后有一个制“毒”、卖“毒”、传“毒”，通过病毒盗取游戏账号及装备再倒卖牟利的黑色产业链。盗号者追寻中毒电脑系统内部文件带有的熊猫图案，利用木马等盗号软件，盗取电脑里的游戏账号和密码，取得虚拟货币及装备，再通过网上交易进行买卖。网络病毒的制造和传播已经逐渐形成了庞大的完整的集团运作，成为社会危害性更大的新兴犯罪形式。目前，我国还没有一部完善的法律来约束网络病毒的制造和传播，《刑法》也没有针对制作和传播计算机病毒并从中牟利的情形单独定罪，因此只能依照第286条破坏计算机信息系统罪的规定处理。在取证方面，网络取证对设备以及证据的真实性要求很高，而我国关于电子证据收集与保全的规定还不够具体。网络病毒源代码都是电子数据文件，不像枪击的弹道痕、血迹、脚印等可以固定或者展示，而且这些源代码很容易被修改，给警方取证带来困难。如何证明中毒电脑中的"熊猫烧香"和变种病毒为李俊编写并传播的，一度成为警方取证难题。此外，由于被盗的物品多是网络账号和游戏装备，而我国在网络虚拟财物保护方面还存在立法空白，盗窃游戏账号的行为只是作为破坏计算机信息系统罪的从重情节，没有作为一项单独的犯罪受到法律的处罚。

网络的繁荣为社会发展带来了新的契机，也不可避免地带来了现有法律无法解决的难题。对于这些虚拟空间里的网络犯罪，传统的法律法规在很多情况下难以应对，或者根本没有相关规定，或者现有规定不能很好地应用于网络环境。如果立法不能尽快地对这些新兴犯罪形式加以规范，就会导致某些人钻法律的空子恣意妄为，使公众的合法权益得不到保障。当然，网络普及的时间有限，信息技术更新又非常迅速，要在较短时期内建立十分完善的法律体系去规范网络行为并不容易。但是，认识到网络安全立法存在滞后性之后，结合网络的特点以及我国的实际情况，对现有的法律法规加以修订和完善，使其能够使适应网络的发展，却是非常必要的，也是目前应对网络违法犯罪行为、保障网络安全的最为可行且有效的方法。

三、我国网络安全立法的现状

在信息化建设稳步发展的十几年中，我国相继制定了一系列法律、行政法规、部门规章等规范性文件，为保护我国信息化建设健康有序发展提供了法律依据。目前，我国的网络安全立法体系主要由1997年前后到2004年间集中发布的法律、行政法规、部门规章以及地方性法规、地方政府规章和各类规范性文件构成，具有代表性的是以下几个（按时间先后排 列）：

1. 《中华人民共和国计算机信息系统安全保护条例》

1994年2月18日根据国务院令147号于发布的《中华人民共和国计算机信息系统安全保护条例》是我国第一部涉及计算机信息系统安全管理的行政法规，在我国网络安全立法史上具有里程碑意义。这部法规赋予公安部主管全国计算机信息系统安全保护工作的职能，为国内各级各地政府部门的信息安全规范制定提供了整体框架。

2. 《刑法》

1997年3月14日根据主席令第83号公布的修订《刑法》增加了计算机犯罪的新内容，首次把危害计算机信息系统安全的行为纳入刑罚体系。《刑法》修改后专门以“扰乱公共秩序罪”的罪名归类，第285条和第286条分别规定了非法入侵计算机信息系统罪和破坏计算机信息系统罪。刑法规范在遏制计算机犯罪方面起到了强大的震慑作用，对我国网络安全立法体系的构建起到了重要作用。

3. 《计算机信息网络国际联网安全保护管理办法》

1997年12月11日国务院批准，1997年12月30日公安部第33号令发布的《计算机信息网络国际联网安全保护管理办法》是我国第一部全面调整网络安全的行政法规。该管理办法将危害计算机信息网络安全的行为归纳为：未经允许，进入计算机信息网络或者使用计算机信息网络资源；未经允许，对计算机信息网络功能和对计算机信息网络中存储处理或传输的数据和应用程序进行删除、修改或增加；故意制作、传播计算机病毒等破坏性程序等。该规定的出台对我国互联网的初期发展起到了保障作用，也为后续有关网络安全的法规、规章提供了指导。

4. 《全国人大常委会关于维护互联网安全的决定》

2000年12月28日，第九届全国人大第十九次会议通过的《全国人大常委会关于维护互联网安全的决定》是我国针对网络安全制定的第一个法律性决定，明确了以法律手段保障网络系统安全的主旨。面对21世纪网络发展的新形势，我国认识到了维护网络安全对于社会稳定以及经济发展的重要作用。该决定分别从保障互联网的运行安全、维护国家安全和社会稳定、维护社会主义市场经济秩序和社会管理秩序、保护个人、法人和其他组织的人身、财产等合法权利等四个方面对危害网络安全的行为分别列举，明确构成犯罪的，依照刑法有关规定追究刑事责任。

此外，国务院的《中华人民共和国电信条例》、《互联网信息服务管理办法》以及公安部的《计算机病毒防治管理办法》和信息产业部的《互联网电子公告服务管理规定》、2005年8月公布的《治安管理处罚法》中也有关于网络安全保护及管理的规定。公安部门作为计算机信息系统安全保护的管理机构，信息化管理部门作为具体技术运作层面的管理机构，为加快网络安全立法进程做出了很大贡献。

从上面的分析可以看出，我国网络安全立法体系已经基本形成，从法律、行政法规、部门规章到地方性法规、地方政府规章以及各类规范性文件，包含各个效力层次，涉及网络安全保护与管理的各个方面。但是，我国的网络安全立法仍有许多不足之处，主要表现在：