关于《杭州市计算机信息网络安全保护管理条例(草案)》的说明

 
关于《杭州市计算机信息网络安全保护管理条例(草案)》的说明

杭州市人民政府法制办公室

  一、制定《条例(草案)》的必要性
  近年来,我市计算机信息网络产业发展迅猛,与人民生活日趋紧密,对社会影响愈益深刻。目前我市有互联网网站30余万个,其中具有一定规模的网站已达万余家,网吧1100余家,市区户籍人口近70%的家庭接入了宽带,网民总数超过500万人,而且仍在以较大幅度增长。电子商务已经成为我市经济发展的重要组成部分。早在2004年我市就出台了《杭州市计算机信息系统安全保护管理办法》(以下简称《办法》),对计算机信息系统使用单位安全管理、计算机信息系统安全检测、计算机信息网络公共秩序管理等方面作了规定。原《办法》在施行三年多以来,发挥了积极的作用,大大加强了我市计算机信息系统安全保护管理,但也暴露出了一些问题,特别是由于计算机信息网络发展飞速,实践中出现了一系列新情况,原《办法》无法有效应对。随着网上交易方式的普及,网络交流方式的盛行,网民、网吧数量的快速增长,以及宾馆、咖啡馆等提供公共上网服务的场所日益增多,计算机信息网络安全问题日益突出,在上位法不完善的情况下,迫切需要出台一部地方性法规,从以下几个方面加强计算机信息网络安全的保护和管理:
  (一)实行计算机信息系统安全等级保护制度,全面加强计算机信息系统安全保护工作。
  原《办法》主要通过确定重点安全保护单位的范围及其安全保护职责来实施对计算机信息系统的安全保护管理。而信息系统安全等级保护制度是近年来国家在信息安全领域推行的一项基本制度,即国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理。推行信息系统安全等级保护已成为公安机关履行信息系统安全保护职责的一项基础性工作。相比之下,原《办法》规定的重点安全保护单位安全管理制度已不适应形势的要求。而公安部等国家部委近年出台的《信息安全等级保护管理办法》等规范性文件,明确了信息系统安全等级备案和测评的具体要求,但对计算机信息系统运营、使用单位应当落实的安全保护制度和安全保护技术措施未做系统规定,对违反信息安全等级保护管理规定的行为也未设定相关法律责任,效力不高,操作性也不强。因此,有必要通过地方立法予以规范,以确保该项工作的有效推进。
  (二)实行互联网服务提供者安全保护责任制度,切实加强计算机信息网络公共秩序管理。
  互联网服务提供者分为互联网接入服务提供者、主机托管、租赁和虚拟空间租用等互联网数据中心服务提供者、互联网信息服务提供者、互联网上网服务提供单位等不同类型。以互联网上网服务提供单位为例,实践中还出现了非经营性互联网上网服务提供单位日益增多的趋势。原《办法》对从事计算机信息网络经营、服务的单位和个人的安全保护责任作了笼统规定。而随着互联网的迅速发展,各类网络违法犯罪案件呈高发态势,网上传播的有害信息显著增多,有必要对互联网服务提供者进行分类管理,根据其业务特点规定具体的安全保护责任。
  (三)规范上网用户言行,有效打击危害计算机信息网络安全和秩序的违法活动。
  互联网以其交互性、时空性和开放性,成为继报纸、广播、电视之后的第四大媒体。杭州目前有网民500万以上,网站、论坛数十万,任何网民都可以自由开办网站、论坛、博客,网络舆论主体泛化、分散的特点导致有害信息极易在网上广泛传播。同时,破坏他人计算机信息系统,窃取、盗用他人网络资源,发送垃圾短信干扰他人正常生活秩序或者网络秩序的违法行为时有发生。近两年来,该类案件大幅增长。而原《办法》在规范上网用户言行方面的规定尚不完善,因此,有必要在地方立法中对用户的言行加以规范,并根据近几年网络发展出现的新情况、新问题进一步加以完善。
  此外,原《办法》还存在法律效力较低、设定的法律责任偏轻等问题。因此,市人大常委会、市政府将《杭州市计算机信息网络安全保护管理条例(草案)》(以下简称《条例(草案)》)列为2008年的立法计划项目,以适应我市计算机信息网络产业迅速发展的需要。

  二、《条例(草案)》起草依据及过程:
  (一)        起草依据
  1、《中华人民共和国治安管理处罚法》
  2、《全国人大常委会关于维护互联网安全的决定》
  3、国务院《计算机信息系统安全保护条例》
  4、国务院《计算机信息网络国际联网管理暂行规定》
  (二)起草过程
  自《条例(草案)》被列为2008年的正式立法计划项目以来,我办会同市公安局进行了《条例(草案)》的立法调研工作,多次听取基层单位的意见,并赴广东等地考察学习其他省市的立法经验。市公安局将《条例(草案)》正式上报后,我办进行了全面审核修改,送发市人大常委会法制工作委员会、市政协社会法制和港澳台侨委员会、市政府各部门及各区、县(市)人民政府征求意见,并在市政府网站上公布,公开征求社会各界意见。为增强立法的科学性和民主性,我办先后多次在城区召集相关政府部门、各区人民政府和部分管理相对人征求其对《条例(草案)》的意见,并赴建德等地听取意见。根据《杭州市人民政府关于进一步完善全市经济和社会发展重大事项行政决策规则和程序的通知》(杭政[2007]6号)的要求,我办又专门召开座谈会听取从事计算机信息网络、法律方面工作的市人大代表、政协委员对《条例(草案)》的意见,并邀请市政府立法咨询委员会委员对《条例(草案)》的有关问题进行论证。在广泛征求意见的基础上,经过反复修改和论证,形成《条例(草案)》(市政府常务会议审议稿)。

  三、《条例(草案)》主要内容
  《条例(草案)》分为总则、安全保护和管理、公共秩序管理、监督管理、法律责任五章,共四十五条,现将主要内容说明如下:
  (一)关于定义和适用范围
  《条例(草案)》第二条对"计算机信息网络"作了定义。目前,国务院《计算机信息网络国际联网管理暂行规定》等行政法规和有关部门规章已使用"计算机信息网络"的概念,但未对其做明确定义。《条例(草案)》参考国务院《计算机信息系统安全保护条例》中有关"计算机信息系统"的定义对"计算机信息网络"的概念作了界定,即计算机信息网络是指由计算机及其相关的和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统和运行体系。计算机信息网络的安全包括计算机信息系统及互联网络的运行安全和信息内容的安全。
  《条例(草案)》第三条对适用范围作了规定。网络没有地域性,具有互联互通的特点,因此,该条规定"杭州市行政区域内的计算机信息网络安全保护与管理活动,适用本条例",将适用范围扩展到本地方性法规所能适用的全部区域。
  (二)关于执法主体资格
  《条例(草案)》第五条对各级公安机关的职责作了规定,即市公安局主管全市计算机信息网络安全保护管理工作;市公安局公共信息网络安全监察分局具体负责全市计算机信息网络安全保护管理工作;各县(市)公安局和萧山区、余杭区公安分局负责本行政区域范围内计算机信息网络安全保护管理工作。第四十条据此对本条例规定的由公安机关作出的行政处罚的实施主体作了规定,即由市公安局公共信息网络安全监察分局负责实施,各县(市)和萧山区、余杭区范围内可以由各县(市)公安局和萧山区、余杭区公安分局各自负责实施。与原《办法》的规定基本相同,仅仅是根据计算机信息网络发展的形势需要,将市公安局公共信息网络安全监察分局的管理权限及处罚范围扩展到全市。
  关于市公安局公共信息网络安全监察分局的管理职权和执法主体资格,有部门建议不予具体规定。我办认为,计算机信息网络违法犯罪案件具有不同于传统案件的新特点,需要专门的机构来承办。市公安局公共信息网络安全监察分局作为市公安局直属单位,根据"三定"规定,具有指导并组织实施全市公共信息网络的安全监察工作、承办危害公共信息网络安全和涉及计算机信息系统的违法犯罪案件等职责。在原《办法》的授权规定下,近年来,市公安局公共信息网络安全监察分局充分发挥具备独立执法主体资格、办案灵活的特点,高效能地完成了各项工作,案件由分局一办到底的办案机制被公安部网监局作为先进经验在全国推广。杭州市作为省会城市,信息化程度非常高,尤其是电子商务处在亚洲最前沿,互联网安全保障工作任务仍然非常艰巨,迫切需要提高公安机关在网上的"见警率、管事率"。因此《条例(草案)》不宜取消该规定。至于授权处罚范围,《条例(草案)》也仅将其限于"本条例规定的由公安机关作出的行政处罚"。属违反治安管理行为的,仍然依照《中华人民共和国治安管理处罚法》的规定给予处罚。因此,《条例(草案)》并不违反《中华人民共和国治安管理处罚法》关于"县级以上地方各级人民政府公安机关负责本行政区域内的治安管理工作"和"治安管理处罚由县级以上人民政府公安机关决定"的规定。
  (三)关于安全等级保护制度
  《条例(草案)》第二章第七条至第十二条对计算机信息系统安全等级保护制度作了全面规定。原《办法》制定时,国家尚未全面推行该制度,因此原《办法》侧重对重点安全保护单位的安全管理。近年来公安部和省政府都出台了相关规定,对计算机信息系统安全等级保护制度作了详细规定并要求全面推行。《条例(草案)》据此对计算机信息系统的安全保护等级、责任主体、等级确定时间、备案期限作了规定,并要求计算机信息系统运营、使用单位按照对应安全保护等级的要求进行日常检测,开展等级测评和自查,落实相应的安全保护制度和安全保护技术措施。
  (四)关于互联网服务提供者的安全保护责任
  《条例(草案)》依据公安部《互联网安全保护技术措施规定》将互联网服务提供者分为互联网接入服务提供者、互联网数据中心服务提供者、互联网信息服务提供者、互联网上网服务提供单位,在第十八条至第二十一条分别规定了其安全保护责任。其中,第十八条规定了互联网接入服务提供者和互联网数据中心服务提供者应当如实登记用户基本情况并每月报所在地公安机关备案,发现传输的内容明显属于《条例(草案)》第二十三条规定情形的,则应当立即停止传输并向所在地公安机关报告;第十九条规定了互联网信息服务提供者的信息审核责任,并针对其提供的各类不同信息服务规定了安全保护技术措施所应具有的功能;第二十条、第二十一条对互联网上网服务提供单位规定了强有力的管理手段并明确了其安全保护责任。网吧作为上网服务营业场所,经营单位应当申请信息网络安全审核,《条例(草案)》依据上位法将其作为申领《网络文化经营许可证》的一个环节,并未创设新的许可事项。对于宾馆、咖啡馆等目前日益增多的非经营性互联网上网服务提供单位,《条例(草案)》规定了备案义务并针对其大多提供无线接入服务的情况,要求其记录并留存用户的信息及对应的计算机信息。这些制度的规定,大大提高了对上述单位日常管理的可操作性。
  (五)关于互联网用户的言行禁则
  《条例(草案)》第二十二条针对目前危害计算机信息网络安全和秩序的现象比较突出的现状,通过规定互联网用户的行为禁则,对计算机信息网络及其数据、功能、运行环境、设备设施、网络资源作了保护,对利用计算机信息网络从事干扰他人正常生活秩序或者网络秩序的行为作了禁止性规定。同时,计算机信息网络上传播的内容具有可复制性强、流传范围广、影响力大的特点,因此必须禁止互联网用户利用计算机信息网络制作、下载、复制、查阅、发布、传播或者以其他方式使用有害信息。《条例(草案)》第二十三条对有害信息的内容依据上位法作了列举,并根据实践中存在利用网络买卖枪支、炸药等危险物品的情况增加了相应规定。
  (六)关于监管职责和法律责任
  《条例(草案)》对各相关政府部门的监督管理职责和违反《条例(草案)》规定应当承担的法律责任分别设专章作了规定。第二十四条至第二十六条对公安机关的计算机信息网络安全保护监管职责作了具体规定,并赋予其可以在特定情形下实施委托测评、采取紧急措施的管理手段。第二十七条至第二十九条分别对保密工作部门、密码管理部门和信息化行政主管部门的计算机信息网络安全保护监管职责作了相应的规定。第三十条至第四十二条对违反《条例(草案)》规定的行为设定了相应的法律责任。为了更符合实际情况的需要,对某些违法行为设定了较部门规章和省政府规章更严厉的法律责任。

  四、征求意见情况
  《条例(草案)》在起草过程中 广泛征求了社会各界的意见,并根据征求意见情况进行了反复修改论证,先后四易其稿,形成市政府常务会议审议稿。在提交市政府常务会议审议之前,我们又书面征求了市公安局、信息办、国家安全局、保密局、市委机要局等单位的意见。其中合理的反馈意见都已经吸收,目前主要的分歧在于部门监督管理职责的表述上。市保密局、市委机要局要求将其自身职责在《条例(草案)》中作全面规定,我办认为本《条例》是关于计算机信息网络安全保护管理的地方性法规,其中涉及的部门监督管理职责应限于与计算机信息网络安全保护管理密切相关的职责,而不是部门的全部职责。另外,市保密局要求在第二十五条中赋予其与公安机关、国家安全机关同等的采取紧急措施的权力。我办认为,二十四小时内暂时停机、暂停联网、数据备份等紧急措施是公安机关、国家安全机关在发生重大突发事件,危及国家安全、公共安全及社会稳定的紧急情况下,为保护计算机信息网络安全,才能对计算机信息系统运营、使用单位采取的措施,对管理相对人的合法权益影响很大,地方性法规应当谨慎授权。在市保密局认为有必要的情况下,可以要求公安机关、国家安全机关采取相应的紧急措施。
  以上说明和《条例(草案)》,请予审议。

没有评论: