中国电子政务网信息安全是指一个国家的社会信息化状态、信息技术体系不受威胁与侵害。 在电子政务中,信息安全实质是由于计算机信息系统作为国家政务的载体和工具而引发的安全问题,它成为当前电子政务建设中的重中之重。电子政务中的信息安全也是的重要内容,是保障国家信息安全所不可或缺的组成部分。
我国立法把信息安全界定为“保障计算机及其相关的和配套的设备、设施的安全,运行环境的安全,保障信息安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行”。 从这一法律规定看,电子政务环境下,信息安全主要体现为计算机信息系统安全,它大致包括:
(2)数据安全。数据安全是指防止信息被故意的或偶然的非法授权泄漏、更改、破坏或使信息被非法系统辨识、控制,即确保信息的保密性、完整性、可用性、可控性。针对计算机信息系统中信息存在形式和运行特点,数据安全包括输入/输出数据安全、进入识别、控制、加密、审计跟踪、备份与恢复等方面。
真实性是指用户的身份是真实的。在电子政务系统中,如何防范冒充、伪造用户身份的不法行为,是真实性需要解决的问题。
完整性是指信息在存储或传输过程中保持不被偶然或者蓄意地添加、删除、修改、乱序、重放等破坏和丢失的特性。完整性要求信息保持原样,确保信息的正确生成、正确存储、正确传输。影响信息完整性的主要因素有:设备故障、误码、人为攻击、计算机病毒等。
可靠性是指系统能在规定的条件和规定的时间内完成规定的功能的特性。它包括三方面:一是抗毁性,即系统在人为破坏下的可靠性。增强抗毁性可以有效地避免因各种灾害(如战争、地震)造成的大面积瘫痪事件。二是生存性,即系统在随机破坏下的可靠性。随机性破坏是指系统部件因为自然老化等造成的自然失效。三是有效性,它主要反映在网络信息系统的部件失效情况下,满足业务性能的可靠性。
不可否认性是指在网络信息系统的信息交互过程中,确信参与者的真实同一性,所有参与者都不可能否认或抵赖曾经完成的操作和承诺。数字签名技术是解决不可否认性的手段之一。
可控性是对网络信息的传播及内容具有控制能力的特性。对于电子政务系统而言,可控性是十分重要的特点,所有需要公开发布的信息必须通过审核后才能发布。
威胁不仅来自于外部,也来自于内部。不仅间谍、罪犯可能对电子政务系统进行攻击,各种人员、机构出于各自的目的也可能对电子政务系统进行攻击。与传统政务不同,电子政务对信息技术有很大的依赖性,因此,信息系统自身存在的漏洞和缺陷会对政务机关业务的开展和连续运行造成安全隐患。
② 技术上的局限性。信息技术可能存在的漏洞和缺陷,如系统、硬件、软件的设计漏洞,配置漏洞等。信息系统的高度复杂性和技术的高速发展变化,使得信息系统的技术漏洞问题越来越被重视。
① 非恶意威胁,指行为人没有破坏政务信息系统的故意,但其行为对政务信息系统实际造成了威胁,如内部人员因经验不足、培训不足而进行的错误操作。错误操作的后果可能将敏感数据、文件泄露,也可能造成数据的严重损坏,破坏系统的正常运行。
② 恶意威胁,指出于各种目的对政务系统实施的攻击。人为的恶意威胁根据行为的方式不同,可以分为:
B.恶意建立未授权的网络连接,如拨号连接。非法的网络连接除了会造成信息泄露外,还可能被人用来攻击政务信息系统。
②被动攻击。这类攻击主要包括监视、接收、记录开放的通信信道上的信息传递,行为人主要是了解所传递的信息,一般不易被发现。典型的例子如:
③接近攻击。在政务信息系统中,接近攻击容易发生在保安措施不到位的地方,攻击者在地理上尽量接近被攻击的网络、系统和设备,目的是收集、修改信息,或者破坏系统。接近可以是秘密的,也可以是公开的。接近攻击的典型例子如:
④分发攻击。是指攻击者在政务系统软件、硬件的开发、生产、运输和安装阶段,恶意修改设计、配置的行为。
有调查表明,我国大部分的政府网站目前还没有设置防火墙。国家有关部门通过模拟攻击,对650个政府上网单位的信息安全工作进行了检查,发现其中80%的网站没有安全措施,有的甚至被黑客攻击之后也不向有关部门报告。我们不清楚这些网站后面有多少政府部门内部的办公系统和存储秘密信息的数据库相连,所以无法准确判断多少政务信息面临被泄露、修改、删除的危险。 在黑客技术十分发达的,这种现状对电子政务信息安全是个极大的威胁。总的说来,我国电子政务面临的信息安全问题主要表现在:
一是政府信息网络安全存在隐患。网络非常脆弱,各种安全隐患普遍存在。掌握了一定技术的人可以轻易获取网络服务器上的用户账号信息和口令文件,并可进入系统修改、删除重要数据文件。一旦这些系统被非法侵入和破坏,将不能正常工作,甚至全部瘫痪。
二是网络犯罪活动日益增多。近年来,金融机构内部利用计算机犯罪案件大幅度上升;在互联网上泄露国家秘密的案件屡有发生;另外,境内外黑客攻击破坏网络的问题十分严重。他们通常采用非法侵入重要信息系统,修改或破坏系统功能或数据等手段,造成数据丢失或系统瘫痪,给国家造成重大影响和经济损失。
三是管理体制不完善。管理问题主要体现在以下几个方面:组织管理不完善, 安全管理任务没有办法落实到人, 没有明确责权;管理规范未建立, 制度不完善; 技术管理不到位, 大多数只考虑防火墙、防病毒等基本技术安全措施, 并没有提高到管理程度;日常管理存在很多漏洞,计算机的日常使用, 信息保存、流转、归档都存在不同程度的漏洞。
由此可见,我国电子政务信息安全不仅是技术的问题,还有人员意识问题、管理问题等。为了保证电子政务的安全性,政府必须从不同方面做好防范措施。
首先,在电子政务投入使用之前,必须设立电子认证机构,由认证机构通过密码技术来确认本人的身份以及电子邮件是否来自本人或政府机关;
第三,必须在法律上逐步建立和完善相关的法案,给予电子签名与手写签名、盖章相同的法律保障,制定出规范电子政务安全性的法规,例如“禁止非法入侵网络法”、“电子银行法”、“网络信息保”等等;
第四,必须在政府各部门建立安全管理体系,包括安全检测、运行安全、信息安全、计算机安全、人员管理、计算机网络管理以及网络公共秩序安全等等;
第五,必须不断完善密码技术,充分利用与电子政务相适应的电子安全技术,(包括用户身份的验证、网络的安全、主机的安全、内容的安全、系统的安全、通讯线路的安全等等),以便对系统的安全运行提供保障。
二十世纪七十年代以来,随着计算机在政府机关的广泛运用,大量重要机密的信息通过计算机处理,计算机系统也因此成为犯罪行为侵犯的目标。我国电子政务起步较晚,但面临的问题却是与世界同步。当计算机由单机应用发展到计算机网络,信息尚须通过线路传输,这使网络受到攻击的部位增多。为此,针对网络安全保护,出现了强制性控制机制、完善的鉴别机制和可靠的数据加密传输措施。
除了上述技术防范机制外,从法律上对危害信息安全的行为进行立法规范,其威慑力可使有犯罪企图的人产生畏惧心理,从而减少犯罪的可能。1978年出现了世界上第一部计算机犯罪法——佛罗里达计算机犯罪法,而在此之前,对偷取信息、篡改信息是否有罪尚无法律依据。
维护电子政务的信息安全,很重要的一项工作就是要打击针对政务信息系统的网络犯罪。网络犯罪,在这里特指通过网络侵犯计算机信息系统安全的犯罪。它受到两个方面的限制,第一,并不是所有通过网络进行的危害社会的行为都是网络犯罪;第二,法律没有明确规定为网络犯罪的,就不能追究其法律责任。关于网络犯罪的刑事立法,我国刑法典有三个条文的规定。
条文:“违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。”
条文第1款:“违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。”
第2款:“违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。”
第3款:“故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。”
条文:“利用计算机实施金融、盗窃、贪污、挪用、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。”
以上三个条文均适用于电子政务领域,其中第285条、第286条是针对信息安全所作的规定,而第287条并不是完全针对信息安全的,只有当行为人利用计算机实施的犯罪危及信息安全时,才是本文要探讨的内容。
《刑法》第96条规定:“本法所称违反国家规定,是指违反全国人民代表大会及其常务委员会制定的法律和决定,国务院制定的行政法规、规定的行政措施、发布的决定和命令。”具体而言,包括:《全国人民代表大会常务委员会关于维护互联网安全的决定》、《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《中华人民共和国保守国家秘密法》等法律、法规。
国务院相关部委以及各级地方政府颁布实施的网络管理、信息安全的规章制度,如发布的《计算机信息网络国际联网安全保护管理办法》,不包含在规定之中。
在此,主要是讨论单位能否构成非法侵入计算机信息系统罪和破坏计算机信息系统罪的主体。至于单位能否构成利用计算机网络进行的其他犯罪的主体,则根据刑法有关各罪的规定来确定。
① 一种观点认为可以构成两罪的主体。依据是:根据《中华人民共和国计算机信息系统保护条例》第七条规定,“任何组织或者个人,不得利用计算机系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机系统的安全。”在这里,“任何组织”包括单位,因此,单位可以构成犯罪主体。
② 另一种观点认为,两罪的主体只能是自然人。依据是:《刑法》第30条规定,“公司、企业、事业单位、机关、团体实施的危害社会的行为,法律规定为单位犯罪的,应当负刑事责任。”根据这条规定,只有法律明文规定单位可以构成犯罪的,单位才能成为犯罪的主体。《刑法》第285、286条均没有规定单位可以构成犯罪的主体,因而,两罪的主体只能是自然人。
以上两种观点,后一种更有说服力。因为《中华人民共和国计算机信息系统保护条例》只是行政法规,其效力等级不能用来确定犯罪与刑罚。因此,单位不能构成上述两罪的主体。但在实践中,单位可以实施非法侵入计算机信息系统、破坏计算机信息系统的行为,若要打击这类行为,宜修改现行刑法。
即便承认单位可构成上述两罪的主体,在司法实践中,也存在例外情形。根据最高人民法院1999年6月18日《关于审理单位犯罪案件具体应用法律有关问题的解释》,个人为进行违法犯罪活动而设立公司、事业单位实施犯罪的,或者公司、企业、事业单位设立后,以实施犯罪为主要活动的,不得以单位犯罪论处,而以自然人犯罪定罪处罚。
过失能否构成侵入计算机信息系统罪,不能一概而论。本文认为,如果电子政务的信息系统没有采取保护措施,行为人侵入该系统,可能涉及行为人对对象的认识错误问题,在这种情况下,也有可能构成意外事件。但如果电子政务系统采取了诸如设置密码之类的保护措施,行为人如果通过破解保护措施来侵入该系统,则不能认定为过失。
根据《刑法》第398条的规定,泄露国家秘密行为的主观方面不论是故意还是过失,都可以构成犯罪,只不过罪名不同。故意泄露国家秘密罪与过失泄露国家秘密罪适用的法定刑幅完全相同,这在《刑法》上是极为少见的。因此,如果电子政务中涉及国家秘密泄露问题,则过失也可构成犯罪。
从实践中来看,这个客体范围明显过小。计算机已经普及到社会各领域,每个领域均有需保护的重要信息,如受到非法侵入,其社会危害性并不亚于上述三种信息被非法侵害所造成的危害,因此,本罪规定三类信息系统为犯罪对象过于狭窄,建议对该条进行修改,将范围适当放宽。
“侵入”是指擅自以非法解密等手段进入有关重要的计算机信息系统。主要方法有:冒充、技术攻击等。如果侵入后,行为人实施了拷贝行为,则又可能构成非法获取国家秘密罪。如果行为人非法获取该秘密后又泄露给他人,则又可能构成泄露国家秘密罪。
刑法典第8条规定,外国人在中国领域外对我国和我国公民犯罪,可以适用我国刑法,但有严格的限制。其限制条件有:
根据刑法典第285条的规定,非法侵入计算机信息系统罪的刑幅是“处三年以下有期徒刑或拘役”,因此,外国人在中国领域外侵入中国的国家事务、国防建设、尖端科学技术领域的计算机信息系统,并不适用我国的刑法。这可能会造成法律漏洞。
刑法典第7条第一款规定,中国公民在中国领域外犯罪的,如果我国刑法规定的最高刑为三年以下有期徒刑的,可以不予追究。非法侵入计算机信息系统罪符合此规定。“可以不予追究”,具体而言,包括:
“可以不予追究”,指的是可以不追究,也可以追究;可以不追究的是刑事责任,不影响其他法律责任的承担。
根据刑法典第7条第二款的规定,国家工作人员和军人在中国领域外犯罪的,必须按我国刑法来定罪量刑,这是对特定犯罪主体的特别规定。
行为人利用计算机实施金融、盗窃、贪污、挪用、窃取国家秘密等犯罪行为,不构成真正意义上的计算机犯罪。刑法之所以作了第287条的规定,正是考虑到不少犯罪把计算机网络作为一种新的犯罪工具,即在犯罪手段上有的变化,但其社会危害性以及犯罪构成与传统的犯罪在实质上没有什么区别,所以,没有必要把利用计算机实施的犯罪都规定为新的犯罪。因此,该条规定依照所实施的具体犯罪行为定罪处罚。
在分析非法侵入计算机信息系统罪时,已经列明了外国人在中国领域外对我国和我国公民犯罪适用我国刑法的限制条件,根据这些条件,如果外国人在中国领域外犯罪,即使我国刑法规定最低刑为三年以上有期徒刑,但按其犯罪地的法律不受处罚的话,那么不能适用我国刑法。这方面在国外已有先例。1997年克罗地亚三名中学生在英特网上利用计算机破译了美国国防部五角大楼的计算机系统密码口令,侵入美事计算机系统,将美国战略战术导弹部署、军事卫星用途等高级机密文件资料饱览一通后从容退出。事后美国向克罗地亚提出引渡这三名中学生到美国受审的要求,遭到克罗地亚的拒绝,因克罗地亚的刑法不承认计算机入侵为犯罪。
为了保障互联网的运行安全和信息安全,2000年12月28日第九届全国常务委员会第十九次会议通过了《关于维护互联网安全的决定》,根据该《决定》第1条的规定,下列行为构成犯罪的,依照刑法有关规定追究刑事责任:
(2)故意制作、传播计算机病毒等破坏性程序,攻击计算机系统及通信网络,致使计算机系统及通信网络遭受损害。
(3)违反国家规定,擅自中断计算机网络或者通信服务,造成计算机网络或者通信系统不能正常运行。
这个条款是针对网络犯罪的规定,它与刑法典的规定比较相似,如把“侵入”限定在国家事务、国防建设、尖端科学技术领域,只要侵入这三类信息系统,即构成犯罪既遂,这可以说是对刑法典规定内容的重申。《决定》所说的“依照刑法有关规定”,主要就是依照刑法第285、286、287条的规定。
1994年2月18日,我国颁布了《中华人民共和国计算机信息系统安全保护条例》(以下简称《条例》),这是我国第一个计算机安全法规,它完全能够适用于电子政务领域。它以法规的形式,在立法上确立了我国计算机信息系统安全保护的八项制度。《条例》主要规定了行政责任的方式来制裁危害计算机信息系统安全的行为。
根据《条例》第9条的规定,计算机信息系统实行安全等级保护,等级的划分标准和保护的具体办法,由会同有关部门制定。
之所以把安全划分不同的等级,目的是避免平均用力,在人力、物力、财力等方面,按安全等级的不同需要,有针对性地投入。因此,安全等级不同,采取的安全保护措施也会有明显的差别。
违反计算机信息系统安全等级保护制度,危害计算机信息系统安全的,由公安机关处以警告或者停机整顿(《条例》第二十条第一项规定)。
根据《条例》第10条的规定,计算机机房应当符合国家标准和国家有关规定,在机房附近施工,不得危害计算机信息系统的安全。
计算机机房不符合国家标准和国家其他有关规定的,或者在计算机机房附近施工危害计算机信息系统安全的,由公安机关会同有关单位进行处理(《条例》第二十一条规定)。
根据《条例》第11条的规定,进行国际联网的计算机信息系统,由该系统的使用单位报省级以上人民政府公安机关备案。这项规定旨在保障跨境数据流的安全,是保障联网单位信息系统安全的重要措施。
违反计算机信息系统国际联网备案制度的,由公安机关处以警告或者停机整顿(《条例》第二十条第二项规定)。
有关国际联网的制度,在《中华人民共和国计算机信息网络国际联网管理暂行规定》(以下简称《暂行规定》)有比较具体的规范。该法规第二条明确规定:“中华人民共和国境内的计算机信息网络进行国际联网,应当依照本规定办理。”因此,我国电子政务中进行国际联网同样要遵守这些规定。这些规定与电子政务相关的主要内容有:
① 国务院信息化工作领导小组负责协调、解决有关国际联网工作中的重大问题。领导小组办公室制定具体管理办法,明确国际出入口信道提供单位、互联单位、接入单位和用户的权利、义务和责任,并负责对国际联网工作的检查监督。
② 计算机信息网络直接进行国际联网,必须使用邮电部国家公用电信网提供的国际出入口信道。任何单位和个人不得自行建立或者使用其他信道进行国际联网。
③ 接入网络必须通过互联网进行国际联网。接入单位拟从事非经营活动的,应当报经有权受理从事非经营活动申请的互联单位主管部门或者主管单位审批;未经批准的,不得接入互联网络进行国际联网。
④ 从事国际互联网业务的各单位和个人,应当遵守国家有关法律、行政法规,严格执行安全保密制度,不得利用国际联网从事危害、泄露国家秘密等违法犯罪活动。
⑤ 《暂行规定》关于法律责任规定:违反《暂行规定》的,由公安机关责令停止联网,给予警告,可以并处15000元以下罚款;有违法所得的,没收违法所得。同时触犯其他有关法律、行政法规的,依照有关法律、行政法规的规定予以处罚;构成犯罪的,依法追究刑事责任。
根据《条例》第12条的规定,运输、携带、邮寄计算机信息媒体进出境的,应当如实向海关申报。一张极普通的软盘,可以存储相当多的信息,携带方便,这就使得向海关如实申报进出境的计算机信息媒体,显得十分必要,这项制度有助于维护信息安全。
运输、携带、邮寄计算机信息媒体进出境,不如实向海关申报的,由海关依照《中华人民共和国海关法》和《条例》以及其他有关法律、法规的规定处理(《条例》第二十二条规定)。
根据《条例》第13条的规定,计算机信息系统的使用单位应当建立健全安全管理制度,负责本单位信息系统的安全保护工作。这项规定把安全责任放到各单位、各部门,有利于提高它们对计算机信息系统安全保护工作重要性的认识,有效落实安全责任制度。
使用单位接到公安机关要求改进安全状况的通知后,在限期内不改进的,由公安机关处以警告或者停机整顿(《条例》第二十条第四项规定)。
根据《条例》第14条的规定,对计算机信息系统中发生的案件,有关使用单位应当在24小时内向当地县级以上人民政府公安机关报告。
查处危害计算机信息系统安全的违法犯罪案件,是各地公安机关的职责,实行24小时强行报告制度,有助于迅速及时地侦破计算机犯罪案件。
根据《条例》第15条的规定,对计算机病毒和危害社会公共安全的其他有害数据的防治研究工作,由归口管理。
《条例》对“计算机病毒”作了定义:是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
“有害数据”,根据1996年5月9日对《条例》中涉及的“有害数据”问题作出的批复,是指计算机信息系统及其存储介质中存在、出现的,以计算机程序、图像、文字、声音等多种形式表示的,含有攻击人民、社会主义制度,攻击党和国家,破坏民族团结等危害内容的信息;含有宣扬封建迷信、淫秽、凶杀、教唆犯罪等危害社会治安秩序内容的信息,以及危害计算机信息系统运行和功能发挥,应用软件、数据可靠性、完整性和保密性,用于违法活动的计算机程序。
故意输入计算机病毒以及其他有害数据危害计算机信息系统安全的,由公安机关处以警告或者对个人处以5000元以下的罚款、对单位处以15000元以下的罚款;有违法所得的,除予以没收外,可以处以违法所得1至3倍的罚款(《条例》第二十三条规定)。
根据《条例》第16条的规定,国家对计算机信息系统安全专用产品的销售实行许可证制度,具体办法由会同有关部门制定。
《条例》对“计算机信息系统安全专用产品”作了定义:是指用于保护计算机信息系统安全的专用硬件和软件产品。
未经许可出售计算机信息系统安全专用产品的,由公安机关处以警告或者对个人处以5000元以下的罚款、对单位处以15000元以下的罚款;有违法所得的,除予以没收外,可以处以违法所得1至3倍的罚款(《条例》第二十三条规定)。
前面在论述计算机信息系统安全保护八项制度时,已经提到《条例》规定了比较具体的行政责任承担方式,但行政责任并不是唯一的责任方式,如果危害计算机信息系统的行为同时触犯其他有关法律、行政法规的,依照有关法律、行政法规的规定予以处罚;构成犯罪的,依法追究刑事责任。《条例》对此也作了明确的规定:
① 违反《条例》的规定,构成违反治安管理行为的,依照《中华人民共和国治安管理处罚条例》的有关规定处罚。构成犯罪的,依法追究刑事责任。
② 任何组织或者个人违反《条例》的规定,给国家、集体或者他人财产造成损失的,应当依法承担民事责任。
③ 当事人对公安机关依照《条例》所作出的具体行政行为不服的,可以依法申请行政复议或者提起行政诉讼。
近年来,我国出台了一些有关信息安全的重要法律法规,初步构建了电子政务信息安全保护的法律框架。第一类是宪法、法、国家保密法、对有关信息活动涉及的权利和义务进行规范和提出法律约束;第二类是直接约束计算机安全、网络安全的法规;第三类是对信息内容、信息安全技术、信息安全产品的授权审批的规定;第四类是对信息犯罪的惩罚处理。但是,有关“信息化”的立法,特别是信息安全的立法,我国还处在起步阶段。
在国外,为保障政府信息化发展,许多国家均制定并颁布了专门的法律、法规和行政命令。美国有《政府信息公开法》、《个人隐私权保》、《美国联邦信息资源管理法》等一系列法律、法规,德国有《信息和通讯服务规范法》,俄罗斯有《联邦信息、信息化和信息保》,英国有《政府信息公开法》,等等。这些法律对电子政务的发展起着重要的保障和规范的作用。事实上涉及政府信息的立法,范围十分广泛,它涉及:政府信息公开方面的法律制度,如政府信息公开法、政府公报法、行政程序法。政府信息保护方面的法律制度,如个人资料、隐私保、国家保密法、商业秘密法。政府信息存贮管理与内部传递方面的法律,如统计法、档案法。政府信息获取方面的法律,主要涉及政府因行使管理权力取得的相关信息的法律制度。
电子政务健康、有序的发展离不开一个完整、统一的法律和制度框架。制定和完善保障网络与信息安全的法律、法规,可对各类计算机信息网络提出相应的安全要求,对安全技术标准的采用,安全产品的生产和选择,网络管理机构和网络安全机构的权利、义务与责任,安全管理制度的建立与执行做出规定;把行之有效的采用安全技术和实施安全管理的原则规范化,并强制性地执行。不贯彻执行就要追究法律责任,通过法律的约束,充分发挥安全技术和安全管理应有的作用。我国政府应该做到把网络技术与网络法律法规努力结合在一起,这样才能成为电子政务有利保障,同时做到重视政府系统的信息安全。 当我国针对信息安全形成一个具备完整性、适用性、针对性的法律体系时,我国电子政务才有线、网络对传统司法的挑战
网络空间与现实空间有一个很大的不同,就是它没有确定的、清晰的边界,网络空间的活动可以遍及全球,因而这种活动必然涉及各国对电子空间的管辖权的冲突,也涉及到国内司法的地域管辖冲突。
刑事管辖权的行使,原则上各国都会主张对犯罪行为具有审判权和管辖权,不会因为犯罪人有无使用网络而有所不同。就电子政务信息安全而言,对于国内网络犯罪刑事案件的管辖并不特殊,仍旧采用犯罪地和被告人居住地法院管辖的原则,诉讼于“网络空间”与“现实空间”不会产生重大的差别。但涉外刑事诉讼则有所不同,它可以例外地采用属人主义和保护主义的规定,如我国刑法典第7条和第8条的规定。相应地,我国刑事诉讼法第16条规定了涉外刑事案件适用我国刑事诉讼程序法的原则。
网络行政纠纷的地域管辖比较容易确定,即一般由最初作出具体行政行为的行政机关所在地的人民法院管辖。地域管辖中的特殊管辖,也同现实空间的情况相同,如:经复议的案件,复议机关改变原具体行政行为的,也可以由复议机关所在地人民法院管辖。由于计算机信息网络行业处在发展时期,各种法律和法规不健全,涉外的网络行政诉讼并不是突出的问题。但是,我国加入世界贸易组织后,外国投资者针对我国行政主管机关的管理行为可能出现的争议,在信息安全方面,也可能引发纠纷,这方面的管辖将会得到进一步重视。
电子政务信息安全中,如果发生诉讼,则会产生如何认识电子证据的问题。电子证据由计算机内特定的二进制编码来表示,非常容易被修改且不留痕迹。一般认为,在计算机内储存的数据可以人为地或非人为地被销毁、改变而不留下痕迹,各种加密技术都有解密的可能。又由于数字信号是非连续性的,因此如果有人故意或因为差错对电子证据进行截收、、、删节、剪接,从技术上很难查清。而且计算机操作人员的差错或供电系统、通信网络的故障等环境和技术方面的原因都会使电子证据无法反映真实的情况。
我国在《刑事诉讼法》、《民事诉讼法》中各列出七种证据种类,两部诉讼法中都未直接将电子证据归入某种证据种类之中,是不合适的。电子证据的可采性,电子证据的提取、保存及验证,都是有待规范的问题。
如果政务信息系统被犯罪行为侵害bd半岛官网,其取证、认证十分困难。网络行为具有“数字化”或“虚拟化”的特点,尽管受害的单位、部门或某种机构能够提供一叠叠的电脑报表,说明有入侵、破坏的经过,但总是缺乏明确的证据,难以确定谁是犯罪。
还有一些问题值得我们思考,尽管这些问题已经超出了现行法律规定的范畴。如:侵入政务信息系统而并没有对计算机或系统本身造成任何损害,这种行为可以被接受吗?如果把黑客的入侵行为归咎于系统的建立人和管理人未能提供有效的安全措施,是否有一定的合理性?如果入侵者未满18岁,他是一个少年犯还是一个神童?如果黑客通过侵入政务信息系统来暴露网络安全系统中的缺陷,这是否是一种犯罪行为,还是他们从事的是一种公共服务?也许只有把这些相关的问题理清了,才能更全面、更深刻地理解我国电子政务中信息安全的法律问题。
