书城计算机网络信息安全
49287800000024

第24章 信息安全领域的国际合作(2)

联合国是探讨解决信息安全问题的适当场所。2005年信息安全政府专家组虽未能取得实质性成果,但各国专家就信息安全各方面问题深入交换了意见,提出不少宝贵建议,为国际社会今后继续探讨、解决信息安全问题打下了良好基础。

中方支持联合国于2009年再次设立政府专家组,全面、深入研究信息安全领域面临的威胁和挑战,探讨各项应对之策。中国将一如既往地支持和参与处理信息安全问题的国际努力。

信息社会世界峰会文件。

信息社会世界首脑会议是一次各国领导人最高级别的会议,是一个真正广泛接纳利益相关方参与的进程,其中包括政府、政府间和非政府组织、私营部门和民间团体。首脑会议的目标是“建设一个以人为本、具有包容性和面向发展的信息社会。在这样一个社会中,人人可以创造、获取、使用和分享信息和知识,使个人、社区和各国人民均能充分发挥各自的潜力,促进实现可持续发展并提高生活质量。”

根据联合国大会第56/183号决议,信息社会世界首脑会议分两个阶段召开,即2003年12月10日—12日的日内瓦阶段会议和2005年11月16日—18日的突尼斯阶段会议。突尼斯会议上,对互联网治理达成了若干意见(本小节节选了与安全有关的部分):我们重申2003年12月信息社会世界高峰会议日内瓦阶段会议阐述的原则,即互联网已发展成为面向公众的全球性设施,其治理应成为信息社会日程的核心议题。互联网的国际管理必须是多边的、透明和民主的,并有政府、私营部门、民间团体和国际组织的充分参与。它应确保资源的公平分配、促进普遍接入,并保证互联网的稳定和安全运行,同时考虑到语言的多样性。

有关互联网治理的工作定义是由政府、私营部门和民间团体通过发挥各自的作用制定和应用的,它们秉承统一的原则、规范、规则、决策程序和计划,为互联网确定了演进和使用形式。

我们重申互联网的管理包含技术和公共政策两个方面的问题,并应有所有利益相关方和相关政府间和国际组织的参与。

会议就此认为:就涉及互联网的公共政策问题的决策权属国家主权。各国有权利和责任处理与国际互联网相关的公共政策问题。

我们努力强化信任框架,以提高使用ICT的信心和安全性。我们重申必须与所有利益相关方合作,进一步促进、营造并实施联大第57/239号决议提出的全球性的网络安全文化和其他相关的区域性框架。这种文化需要各国采取行动和增进国际合作才能提高安全性,并加强对个人信息、隐私和数据的保护。不断发展的网络安全文化应该使接入能力和贸易量得到提高,还必须考虑到各国的社会和经济发展水平,并尊重信息社会以发展为导向的方面。

我们强调惩治网络犯罪的重要意义,包括惩治在一个司法辖区实施、但对另一辖区产生影响的网络犯罪。我们进一步强调必须在国家和国际的两个层次采用实用高效的工具和机制,重点促进网络犯罪执法部门间的国际合作。我们呼吁各国政府与其他利益相关方合作,制定查处网络犯罪的立法,并注意现有的法律框架,例如有关“打击违法滥用信息技术”的联大第55/63和56/121号决议以及欧洲理事会的《网络犯罪公约》。

我们重申我们致力于自由地寻求、接收、分享和使用信息,重点用于知识的创建、积累和传播。我们确认所采取的旨在确保互联网的稳定性和安全性、打击网络犯罪和反垃圾邮件的措施,必须保护和尊重《世界人权宣言》和日内瓦《原则宣言》相关部分中有关隐私和言论自由的规定。

我们强调互联网安全性、连续性和稳定性的重要意义,以及保护互联网及其他信息通信技术网络免受威胁与攻击的必要性。我们重申,必须在国家和国际层面就互联网安全问题达成共识并加强合作,以推进与安全相关信息的推广、采集和传播以及所有利益相关方就抵御安全威胁的最佳做法开展的交流。

二《网络犯罪公约》:国际合作的突出成果

当前,信息安全领域国际合作的主题,除传统的技术交流与合作外,主要集中于打击跨国网络犯罪和信息恐怖主义、加强应急响应合作、全球互联网治理、保护互联网知识产权等方面。这其中,最具代表性的是欧盟制定的《网络犯罪公约》,这是迄今为止在信息安全领域加强国际合作的最突出成果。

为有效遏制网络犯罪,许多国家和国家组织如联合国、经济合作与发展组织、欧盟和八国集团等,在积极寻求打击网络犯罪的国际理解和合作,其中最有成效的是欧洲理事会的工作。早在20世纪80年代,欧洲理事会已在呼吁国际社会更多地关注黑客行为和其他计算机相关犯罪所造成的威胁,1989年欧洲理事会提出一项研究报告,建议各成员国考虑制定将通过计算机网络实施的某些行为规定为犯罪的新实体法,1995年又发表第二份研究报告,提出了网络犯罪刑事程序立法的基本原则。在以上两份报告的基础上,1997年欧洲理事会建立了网络犯罪专家委员会,开始起草涵盖刑事实体法、程序法和国际协作的《网络犯罪公约》。该公约自1997年4月至2001年11月,中间历经27稿,终于在2001年11月8日获欧洲理事会部长委员会通过,并于同月23日向欧洲理事会成员国和观察员国(加拿大、日本、南非和美国)开放签署,目前已签署的国家有40余个。

《网络犯罪公约》是针对网络犯罪的第一个国际公约,其主要目标是寻求打击网络犯罪的共同的刑事政策,特别是建立适应网络犯罪的法律体系和国际协助。《公约》除序言外,正文分为四章,共计48个条文。

序言除了规定公约的功能、目标外,特别规定了网络犯罪的内涵,即“危害计算机系统、网络和资料的保密性、完整性和可用性以及滥用这些系统、网络和资料的行为”,主要指那些通过国际互联网和其他计算机网络实施的犯罪,特别是利用互联网实施的侵犯著作权犯罪、计算机相关诈骗犯罪、儿童色情犯罪和侵犯信息网络安全的犯罪行为。

《公约》第一章“术语的使用”定义了网络犯罪涉及的主要术语,包括计算机系统、计算机资料、服务提供商和通信资料,但它只规定了这些术语的基本内涵,缔约国可以在保障该公约的执行和与公约基本原则一致的前提下,在本国内法律中具体定义这些概念。

《公约》第二章“国家层面上的措施”和第三章“国际合作”的规定,是该公约的核心内容。第二章“国家层面上的措施”包括三个部分,即“刑事实体法”、“刑事程序法”和“管辖权”,从第2条到第22条,共计21个条款。

《公约》第三章“国际合作”包括两个部分,即“一般原则”和“特殊规定”,从第23条到第35条,共计13个条款。

《公约》第四章“最后条款”包括13个条款,主要规定公约的签署、生效、加入、区域应用、公约的效力、声明、联邦条款、保留、保留的法律地位和撤回、修订、争端处理、缔约方大会、公约的退出和通告等事项。

另外,与《公约》一起同日获欧洲理事会部长委员会通过的,还有《公约》的解释报告,该解释报告不是解释公约的官方法律文件,但能帮助缔约国适用公约的规定。

《公约》第二章“国家层面上的措施”的第一部分“刑事实体法”包括12个条款(从第2条至第13条),规定了网络犯罪及其相关的刑事条款。该部分首先把网络犯罪分为4类9种犯罪,然后规定了附属犯罪如未遂犯、帮助犯、教唆犯、法人犯罪和以上犯罪的处罚,该部分的目标是通过缔约国一致认同的网络犯罪的最低标准,来消除缔约国之间法律上的冲突,促进缔约国打击网络犯罪经验的交流和国际合作的发展,增强预防和制止网络犯罪的力量。从《公约》第2~10条规定的内容可以看出,以上条文没有完整、明确地规定网络犯罪的罪状,只建立了犯罪的基本模型,缔约国可以在此基础上作进一步规定。同样,《公约》规定的未遂犯、帮助犯、教唆犯、法人犯罪和刑事责任也只规定指导性模型。如公约第11条规定,“各缔约方应在国内法律中把故意帮助、教唆第2~10条规定犯罪,意图以上犯罪被实施的行为规定为犯罪”,公约第13条规定,“缔约方应制定必要的国内法或者其他规定,保证对触犯公约第2~11条的犯罪人处以有效、相称、劝诫作用的刑罚,包括对自由的剥夺。”

《公约》规定罪行模型的功能有二:

第一,《公约》规定的是最低要求的网络犯罪的罪刑模型。缔约国相关国内刑事立法应与《公约》规定相一致,同时,可以在此基础上将更多的与互联网相关的严重违法行为规定为犯罪。

第二,《公约》允许缔约方在限制情况下,按照《公约》第40条、第42条的规定,对上述犯罪中一部分规定全部或者部分保留适用。因此,研究《公约》规定的网络犯罪的罪行模型,有助于了解网络犯罪国际立法趋势和缔约国相关刑事立法,对我国借鉴国际网络犯罪立法的成功经验,完善我国网络犯罪刑事立法具有积极作用。

《公约》提出的9种网络犯罪的规定具有三个共同特点:第一,对罪状的描述保持技术中立。尽管这9种犯罪与信息技术密切相关,《公约》考虑到未来信息技术可能的新发展,在各罪的罪状描述上保持技术中立,这样相关条款规定能够涵盖目前和未来的犯罪中所使用的技术。

第二,犯罪行为是未经授权的行为。经授权实施以上罪状描述行为的不构成犯罪。《解释》允许对“授权”作广义理解,不仅包括传统法律中的基于同意、自卫等情况,还包括基于立法、行政命令、管理、司法、合约等情况,甚至还可以扩展到依据缔约国法律确定的其他情况。“授权”的内容留待缔约国国内立法确定。《公约》解释特别强调,合法的、常见的与网络设计相关的行为、管理行为或者商业运作,不应视作犯罪行为。

第三,主观上是故意。《公约》规定9种犯罪都必须是故意实施的,其中有些犯罪要求有特殊的犯罪目的。例如《公约》第8条规定的与计算机相关的诈骗罪,除了要求犯罪人主观上有犯罪故意外,还必须有非法获取他人经济利益的意图。

三共建全球网络安全文化是大势所趋

2006年5月17日,时任联合国秘书长的安南提出了共建全球网络安全文化的倡议,代表了各国的共同呼声,揭示了信息安全国际合作的方向和趋势。

安南认为,在这个日益网络化、互相连成一体的世界里,至为重要的是,既要保障我们各种不可或缺的系统和基础设施不受到网络罪犯的袭击,又要建立对在线交易的信心,以促进贸易、商务、银行业务、远程医疗、电子政务和许多其他电子用途。这要求每一个联网的国家、企业和个人都采取安全做法,因此,我们需要形成一种全球网络安全文化。

“所以,我敦促所有会员国和利益攸关者帮助提高全球对网络安全的认识,建立一个提出倡议和采取基于信息和通信技术的反措施的国际网络,以加强信息及通信技术使用上的安全和建立信任。这对我们各国经济的持续增长和发展至关重要,对发展中国家尤其重要。”“在这第一个世界信息社会日,让我们大家一起作出承诺:把现在尚未连接上的都连接起来,建立一个自由、安全的信息社会,推动全世界人民的发展。”