明港酉铝信用担保有限公司

[ 沈木珠 ]——(2000-11-19) / 已閱13452次

網(wǎng)絡(luò)安全立法滯后與前瞻——從“呂科”事件談起

沈木珠
　 人稱巴蜀“網(wǎng)絡(luò)天才”的呂科，因在河南北網(wǎng)信息工程公司AWE網(wǎng)絡(luò)程序中安置邏輯炸彈及擅自取走原程序代碼，而涉嫌破壞計算機信息系統(tǒng)被羈押46天后釋放。這是因為我國刑法第二百八十六、二百七十六條規(guī)定及我國《計算機安全保護條例》（下簡稱《條例》）的規(guī)定，均不能適用呂科的這一特定行為，即按現(xiàn)行法律，呂科所為并不構(gòu)成刑事犯罪；按現(xiàn)行法規(guī)，呂科的“破壞”也未達到受懲處的后果。其安置邏輯炸彈雖可導致北網(wǎng)開發(fā)的AWE軟件癱瘓，然根據(jù)我國《軟件產(chǎn)品管理暫行辦法》也不能追究其責任。不過，法之不罪，并不說明呂科所為沒有對計算機信息系統(tǒng)造成某種破壞或?qū)π畔⑾到y(tǒng)的安全構(gòu)成某種侵犯。我國《條例》第二條所解釋的計算機信息系統(tǒng)保護就包括了AWE之類的開發(fā)。這里，筆者并無絲毫認為呂科已觸犯刑律的意思，筆者重視這一并未犯法的“無罪”事件，完全基于該事件對我國網(wǎng)絡(luò)安全敲起了警鐘，對網(wǎng)絡(luò)立法提供了啟示。

　 我國《條例》發(fā)布于1994年，一方面由于沒法預(yù)計今日網(wǎng)絡(luò)可能發(fā)生的破壞行為，另一方面由于受到傳統(tǒng)立法之籠統(tǒng)、含糊的影響，數(shù)十條文竟無一具體適用今日之網(wǎng)絡(luò)犯罪。該條例第一章總則第七條：“任何組織或者個人，不得利用計算機信息系統(tǒng)從事危害國家利益、集體利益和公民合法利益的活動，不得危害計算機信息系統(tǒng)的安全”，與其說是律條，不如說是一般號召。第四章法律責任第二十三———二十五條，雖有警告、罰款、刑事犯罪等說法，但沒有一條能讓安置邏輯炸彈的呂科對號入座。還有新刑法頒布于1997年，其中第二百七十六、二百八十六條雖有對妨礙公共信息犯罪的規(guī)定，但由于呂科的行為并未“后果嚴重”而不能追究其刑事責任。筆者以為，公共信息關(guān)系到我國互聯(lián)網(wǎng)絡(luò)和電子商務(wù)的發(fā)展，事屬重大，故破壞計算機網(wǎng)絡(luò)或信息系統(tǒng)安全的任何行為，一旦實施，則不論其造成的后果輕重，均需承擔法律責任，其分別應(yīng)在于是承擔刑事責任還是民事責任而已。須知我國計算機網(wǎng)絡(luò)基礎(chǔ)建設(shè)十分薄弱，電子商務(wù)市場遠未形成，鑒于國際網(wǎng)路和電子商務(wù)發(fā)展迅速的嚴峻形勢，絕容不得任何國民或技術(shù)人員對網(wǎng)絡(luò)或信息系統(tǒng)的任何“監(jiān)守自盜”或毀滅性破壞。眾多網(wǎng)絡(luò)公司老總所說“這樣的天才我們不敢用”，并非要挾，此風不剎，的確網(wǎng)無寧日。不難想象，如果中國的程序員都像呂科那樣利用其程序設(shè)計或其他權(quán)利實施了某種破壞行為而不必承擔責任，我國的網(wǎng)絡(luò)和商務(wù)發(fā)展恐怕就要大受阻礙了。

　 其實，我國法律制裁不了呂科實施了的破壞行為，但是，社會責任、商業(yè)信用、職業(yè)道德卻已對他作出了譴責。呂科受雇于北網(wǎng)公司，參與AWE項目開發(fā)，理應(yīng)承擔相應(yīng)的社會責任和一定的商業(yè)信用，這是起碼的職業(yè)道德。姑且不論北網(wǎng)并未扣發(fā)呂科參與設(shè)計AWE的獎金，就是北網(wǎng)真的有不兌現(xiàn)AWE銷售后其應(yīng)得資金之企圖，呂科也不應(yīng)在此前擅自設(shè)置時間炸彈并告知其父，成為其父后來索金25萬元的要挾，而且在炸彈限定時間的2000年3月1日之前并不見呂科任何解密或坦言置彈的行動。我國法律對于這類違反商業(yè)信用和職業(yè)道德的網(wǎng)絡(luò)破壞行為，不管其是否造成嚴重后果，均應(yīng)作出懲戒，這就是本文認為我國網(wǎng)絡(luò)立法滯后的原因。鑒于我國信息系統(tǒng)管理之薄弱，國內(nèi)法律國際游戲規(guī)則與不相吻合的局面，為保障21世紀我國網(wǎng)絡(luò)經(jīng)濟的發(fā)展，網(wǎng)絡(luò)安全的前瞻性立法，已經(jīng)成為當務(wù)之急。

　 網(wǎng)絡(luò)安全的概念，包括了計算機信息系統(tǒng)和國際聯(lián)網(wǎng)的安全保護，后者，公安部經(jīng)國務(wù)院批準，于1997年12月發(fā)布了《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》，但與前者《條例》一樣，偏重于一般性的行政管理、國家安全和治安處罰，兩者的“法律責任”，也沒有太大差別。前者危害計算機安全的事項只涉及計算機病毒，后者增加了對計算機信息網(wǎng)絡(luò)功能進行刪除、修改或增加對計算機信息網(wǎng)絡(luò)中存儲處理或傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進行刪除、修改、增加的兩項活動。但是，觸犯以上規(guī)定的，如無違法所得，僅由公安機關(guān)給予警告。盡管末尾都有“構(gòu)成犯罪的，依法追究刑事責任”的規(guī)定，但何為構(gòu)成犯罪行為？無論前者還是后者都沒有明確規(guī)定。新刑法第二百八十六條所指危害行為有輕重之分，法規(guī)似無厚薄之別，呂科及其事件就是在這種兩者都管不著的情況下，退而按“勞資糾紛”處理的。

　 說我國網(wǎng)絡(luò)安全立法滯后人們可能已經(jīng)能夠接受，但是，要求前瞻性立法，則可能備受指責，甚至認為是脫離現(xiàn)實的天方夜譚。的確，立法前瞻并非易事，然也不是絕無可能。美國二百多年前的憲法就頗具前瞻性，僅其關(guān)于司法的規(guī)定就使最高法院開創(chuàng)了美國司法進步數(shù)百年的基業(yè)。當前，網(wǎng)絡(luò)安全立法并非瞎子摸象，而是有諸多國際立法可供參考，更有各國司法實踐可供研究。筆者認為，當前網(wǎng)絡(luò)安全法必須考慮以下三個問題：

　 首先，加強打擊網(wǎng)絡(luò)犯罪的力度。眾所周知，電子商務(wù)是21世紀貿(mào)易的主導模式，以美國為代表的發(fā)達國家為了掌握國際電子商務(wù)的主動權(quán)，更在律法的制定方面采取了一系列措施，意圖左右國際電子商務(wù)的立法，克林頓甚至邀請著名黑客到白宮商議網(wǎng)絡(luò)犯罪問題。這是因為他們深知網(wǎng)絡(luò)安全保護是一個國家電子商務(wù)發(fā)展的軸心。我國電子商務(wù)起步并不太晚，技術(shù)也非落后，但是發(fā)展卻十分緩慢。以1999年為例，財政部公布的交易額僅5500萬元，大約為美國的數(shù)萬分之一。這除了與我國計算機普及率低，信息網(wǎng)絡(luò)系統(tǒng)設(shè)施相對落后，以及網(wǎng)上稅收、保險、合同效力等規(guī)范不到位外，電子支付與金融管理、信息系統(tǒng)及個人隱私保護等網(wǎng)絡(luò)安全問題缺乏保障也是一個重要原因。而我國電子證據(jù)、電子簽名效力之含糊，也無不制約著企業(yè)和個人進入電子商務(wù)的信心。兼之想到國際“黑客”、國內(nèi)“黑手”隨時可能侵襲計算機信息系統(tǒng)，年輕一代程序員之缺乏職業(yè)道德等，無不使電子商務(wù)的主體———企業(yè)和服務(wù)商望而生畏。當法律對這一切束手無策，當網(wǎng)絡(luò)程序破壞行為只是輕微的治安警告或因有不當收入才加5000元罰款的時候，立法的滯后對電子商務(wù)發(fā)展的限制便是可以理解的了。

　 其次，建立加密解密的法律規(guī)范。隨著侵入計算機信息系統(tǒng)及網(wǎng)絡(luò)并導致巨額損失的事件不斷發(fā)生，如何利用加密技術(shù)以保護網(wǎng)絡(luò)和交易安全，近年已經(jīng)成為世界各國關(guān)切的焦點。經(jīng)濟合作發(fā)展組織（OECD）為此制訂了資訊系統(tǒng)安全準則，美國《全球電子商務(wù)框架》也提出與OECD合作建立更安全的全球資訊網(wǎng)絡(luò)（GII）系統(tǒng)。然我國有關(guān)計算機信息系統(tǒng)和網(wǎng)絡(luò)安全法規(guī)卻至今尚未對加密解密標準和制度作出規(guī)定，而各國電子商務(wù)法盡管規(guī)定加密技術(shù)方案不一，但對于采用加密技術(shù)提高網(wǎng)路安全系統(tǒng)的認識卻是基本一致，特別在以法律手段消除各種不確定因素，建立消費者信心，促進市場成長這一點上，幾乎沒有異議。

　 第三，加強網(wǎng)絡(luò)個人資料隱私權(quán)保護。隨著網(wǎng)絡(luò)傳輸技術(shù)的發(fā)展，個人資料被竊取、泄露成為消費者或網(wǎng)絡(luò)使用人當前最為關(guān)心的問題。特別是美國在線（AOL）公司因為不當將其訂戶資料透露給海軍，導致一名同性戀傾向的訂戶遭受海軍的撤職處分之后，這種關(guān)心轉(zhuǎn)變?yōu)閾鷳n。事實上消費者的擔憂是有根據(jù)的，因為在網(wǎng)絡(luò)上使用最廣泛的全球資訊網(wǎng)中，凡使用瀏覽器都面臨一種功能，這種功能使網(wǎng)站能夠了解使用者的相關(guān)資料而消費者卻無法拒絕，也無法刪除該項功能。對此，美國除加強司法對個人穩(wěn)私的保護之外，還特別發(fā)起業(yè)者自律的運動，要求網(wǎng)站宣示對所有到訪網(wǎng)友個人資料嚴守秘密。

　 我國法律對隱私權(quán)保護迄今沒有任何規(guī)定，對網(wǎng)絡(luò)個人資料更未明確相應(yīng)的保護。憲法第四十條雖規(guī)定“公民的通訊自由和通訊秘密受法律的保護”，但此項并不明確包括網(wǎng)絡(luò)上的個人資料或隱私。因此，在網(wǎng)絡(luò)利用日趨便捷，網(wǎng)絡(luò)資料儲存交換日漸普及的今天，消費者的個人資料如何保護，服務(wù)商對取得的個人資料應(yīng)如何利用和流通，是我國網(wǎng)絡(luò)立法必須面對的一個重要問題。但由于我國憲法中關(guān)于公民基本權(quán)利的名譽和人格尊嚴均不包括隱私權(quán)，網(wǎng)絡(luò)個人資訊和隱私保護的立法所涉問題更為廣泛，阻力也更大。然互聯(lián)網(wǎng)絡(luò)超越時空的特點卻時刻提醒我們必須重視與國際立法趨同的取向。在這個問題上，我國臺灣地區(qū)已于1995年8月訂立了《電腦處理個人資料保護法》，并于次年發(fā)布施行細則，對網(wǎng)絡(luò)個人資料的取得與利用等作出詳細規(guī)定。歐洲共同市場理事會為統(tǒng)一規(guī)范其會員國對個人資料的保護，也于1995年10月通過了自動處理個人資料保護公約，并于11月通過歐市保護個人資料的指令。美國則早于1974年就訂立了隱私法，并于1986年訂立了《電子通訊隱私法案》，近年，雖沒有特別針對網(wǎng)絡(luò)個人資料保護加以規(guī)范，但通過一系列的判決和過去的立法，保護了民眾的隱私權(quán)及個人資料的安全，如美國海軍對該同性戀傾向官員的撤職處分就為美國法官所禁止。

　 隨著科學的進步，事物的發(fā)展，網(wǎng)絡(luò)安全立法的前瞻，應(yīng)當充分顧及網(wǎng)絡(luò)的特點。如防止信息系統(tǒng)作案犯罪，要考慮到網(wǎng)絡(luò)無界無域；設(shè)立電子簽名和電子支付，要考慮到計算機電子數(shù)據(jù)的無紙化交流與存儲；建立電子認證與審查機制，要考慮到市場虛擬、商家信譽及國民對電子交易的憂慮等問題。如廣東省制定《對外貿(mào)易實施電子數(shù)據(jù)交換暫行規(guī)定》規(guī)定了電子數(shù)據(jù)服務(wù)中心應(yīng)有收到報文和被提取報文的回應(yīng)和記錄，以及發(fā)生爭議時以該中心提供信息為準等，就是考慮網(wǎng)絡(luò)特點和國家現(xiàn)狀立法的一個例子。還有北京，上海等地方電子商務(wù)法規(guī)也都為提高電子交易的安全系數(shù)作出了努力。