信息安全法律法规

一、信息保护相关法律法规

我国信息安全法治建设的发展历程

1、保护国家秘密相关法律法规

◆保护国家秘密相关法律
◆《保守国家秘密法》、《刑法》、《全国人民代表大会常务委员会关于维护互联网安全的决定》等
《保守国家秘密法》
◆主旨（总则）
◆目的：保守国家秘密，维加国家安全和利益
◆国家秘密受法律保护，一切单位和公民都有保守国家秘密的义务
◆国家保密行政管理部门主管全国的保密工作
◆保密工作责任制：健全保密管理制度，完善保密防护措施开展保密宣传教育，加强保密检查
◆主要内容
◆对我国国家秘密的定密程序、解密制度和保密期限等作出了明确规定
◆明确了国家秘密相关的保密制度
◆明确了国家秘密的监督管理部门
◆明确了对危害国家秘密安全的行为要追充的法律责任
◆国家秘密

国家密码的基本范围
◆主要包括产生于政治、国防军事、外交外事、经济、科技和政法等领的秘密事项
◆国家事务重大决策中的秘密事项
◆国防建设和武装力量活动中的秘密事项
◆外交和外事活动中的秘密事项以及对外承担保密义务的秘密事项
◆国民经济和社会发展中的秘密事项
◆科学技术中的秘密事项
◆维护国家安全活动和追査刑事犯罪中的秘密事
◆党政秘密中符合上述各项内容的事项
◆其他经国家保密行政管理部门确定的秘密事项
国家秘密的保密期限
◆国家秘密的保密期限，除另有规定外
◆绝密级不超过三十年
◆机密级不超过二十年
◆秘密级不超过十年
◆另有规定
◆主要是指在保密事项范围中明确规定某类国家秘密事项保密期限为“长期”的情況
◆这些国家秘密事项长期关系国家安全和利益即使定为三十年的最长保密期限，也难以满足保密需求
◆不能确定保密期限的国家秘密，应当确定解密条件
国家秘密的密级划分

危害国家秘密安全的行为
◆(1)严重违反保密规定行为
◆违反涉密信息系统和信息设备保密管理规定的行为
◆违反国家秘密载体管理规定的行为
◆违反国家秘密信息管理规定的行为
◆(2)定密不当行为
◆(3)公共信息网络运营商、服务商不履行保密义务的行为
◆(4)保密行政管理部门工作人员的违法行为
危害国家秘密安全的犯罪行为
◆(1)危害国家安全的犯罪行为
◆(2)妨碍社会管理秩序的犯罪行为
◆(3)渎职的犯罪行为
◆(4)军人违反职责的犯罪行为
危害国家秘密安全的行为，必须依法承担法律责任，包括相应的刑事责任、行政责任和成其他处分。2010年10月1日起正式施行的新《保密法》从四个方面明确了危害国家秘密安全的行为的法律责任，使查处泄密违法行为有据可依、有章可循。
危害国家秘密安全的行为的法律责任
◆(1)严重违反保密规定的法律责任
◆(2)机关、单位发生重大泄密案件和定密不当的法律责任
◆(3)互联网及其他公共信息网络运营商、服务商的有关法律责任
◆(4)保密行政管理部门工作人员在履行保密管理职责中的法律责任

2、保护商业秘密相关法律法规

◆保护商业秘密相关法律
◆《反不正当竞争法》、《合同法》、《劳动法》、《刑事诉讼法》、《民事诉讼法》等
◆商业秘密
◆不为公众所知悉、能为权利人带来经济利益、具有实用性并经权利人采取保密措施的技术信息和经营信息
◆技术信息类商业秘密
◆未公开的设计、程序、产品配方、制作工艺等
◆完整的技术方案、开发过程中的阶段性技术成果以及取得的有价值的技术数据
◆针对技术问题的技术诀窍
◆经营信息类商业秘密
◆经策略、产销策略、管理诀窍、客户名单、货源情招投标中的标底及标书内容等信息
保护商业秘密相关法律(1)
◆《反不正当竞争法》
◆认定了侵犯商业秘密的不正当竞争行为，并对经营者侵犯商业秘密的行为进行了禁止
◆《合同法》和《劳动合同法》
◆有对商业秘密技术秘密进行保护的条款
◆**《合同法》**
◆技术合同的内容应包括“技术情报和资料的保密”相关条款
◆技术秘密转让合同的让与人和受让人均应承担
保护商业秘密相关法律(2)
◆《劳动合同法》
◆用人单位与劳动者可以在劳动合同中约定保守
◆用人单位的商业秘密和知识产权相关的保密事项
◆《刑事诉讼法》
◆涉及商业秘密的案件，当事人申请不公开审理的，可以不公开审理
◆《民事诉讼法》
◆对涉及商业秘密的证据应当保密，需要在法庭出示的，不得在公开并庭时出示
◆人民法院审理民事案件，涉及商业秘密的案件，当事人申请不公开审理的，可以不公开审理

3、保护个人信息相关法律法规

◆保护个人信息相关法律
◆《宪法》、《居民身份证法》、《护照法》、《民法通则》《全国人民代表大会常务委员会关于维护互联网安全的決定》《全国人民代表大会常务委员会关于加强网络信息保护的決定》
《中华人民共和国宪法》
◆《完法》第二章公民的基本权利和义务第40条
◆公民的通信自由和通信秘密受法律的保护
◆除因国家安全或者追查刑事犯罪的需要，由公安机关或者检察机关依照法律规定的程序对通信进行检查外，任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密
《电信和互联网用户个人信息保护规定》
第二章信息收集和使用规范相关规定
◆第八条电信业务经营者、互联网信息服务提供者应当制定用户个人信息收集、使用规则，并在其经营或者服务场所、网站等予以公布。
◆第九条未经用户同意，电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。
◆第十条电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息应当严格保密，不得泄露、篡改或者毁损，不得出售或者非法向他人提供
◆第十一条电信业务经营者、互联网信息服务提供者委托他人代理市场销售和技术服务等直接面向用户的服务性工作，涉及收集、使用用户个人信息的，应当对代理人的用户个人信息保护工作进行监督和管理，不得委托不符合本规定有关用户个人信息保护要求的代理人代办相关服务。
◆第十二条电信业务经营者、互联网信息服务提供者应当建立用户投诉处理机制，公布有效的联系方式，接受与用户个人信息保护有关的投诉，并自接到投诉之日起十五日内答复投诉人。
◆第十三条
◆电信业务经营者、互联网信息服务提供者应当采取以下措施防止用户个人信息泄露、毁损、篡改或者丢失：
◆（一）确定各部门、岗位和分支机构的用户个人信息安全理责任
◆（二）建立用户个人信息收集、使用及其相关活动的工作流程和安全管理制度
◆（三）对工作人员及代理人实行权限管理，对批量导出、复制、销毁信息实行审查，并采取防泄密措施
◆（四）妥普保管记录用户个人信息的纸介质、光介质、电磁介质等载体并采取相应的安全储存措施
◆（五）对储存用户个人信息的信息系统实行接入审查，并采取防入侵、防病毒等措施；
◆（六）记录对用户个人信息进行操作的人员、时间、地点、事项等信息
◆（七）按照电信管理机构的规定开展通信网络安全防护工作
◆（八）电信管理机构规定的其他必要措施
◆第十四条 电信业务经营者、互联网信息服务提供者保管的用户个人信息发生或者可能发生泄露、毁损、丢失的，应当立即采取补救措施：造成或者可能造成严重后果的，应当立即向准予其许可或者备案的电信管理机构报告，配合相关部门进行的调査处理
◆第十五条 电信业务经营者、互联网信息服务提供者应当对其工作人员进行用户个人信息保护相关知识、技能和安全责任培训。
◆第十六条 电信业务经营者、互联网信息服务提供者应当对用户个人信息保护情况每年至少进行一次自査记录自查情况，及时消除自査中发现的安全隐患。
个人信息处理原则
◆安全保障原则
◆采取必要的管理措施和技术手段，保护个人信息安全，防止未经授权检索、公开及丢失、泄露、损毁和篡改个人信息。
◆合理处置原则
◆处理个人信息的方式合理，不采用非法、隐蔽、间接等方式收集个人信息，在达到既定目标后不再继续处理个人信
◆知情同意原则
◆未经个人信息主体同意，不处理个人信息。在个人信息处理的过程中，为个人信息主体保障其权利提供必要的信息、途径和手段
◆责任落实原则
◆明确个人信息处理过程中的责任，采取必要的措施落实相关责任。
个人信息主体的权利

◆保密权
◆个人信息主体有权利要求个人信息管理者采取必要的措施和手段，保护担个人信息不为处理目的之外的任何自然人或法人所知。
◆知情权
◆个人信息管理者对个人信息主体应尽到告知、说明和警示的义务。
个人信息主体有权请求个人信息管理者如实告知之如下事项：
◆——是否拥有或正在处理其个人信息
◆一一拥有其个人信息的内容
◆——获得其个人信息的渠道
◆——处理其个人信息的目的和使用范围
◆——保护其个人信息的政策和措施
◆——披露或向其他机构提供其个人信息的范围
◆——个人信息管理者的相关信息等
◆选择权
◆个人信息主体有权利选择同意或拒绝，信息管理者应为个人信息主体的选择权的行使提供条件，并履行通知、说明和警示的义务
◆更正权
◆个人信息主体有权利要求个人信息管理者维护其信息的完整性和准确性，对错误的信息有权利要求个人信息管理者予以及时更正。
◆禁止权
◆个人信息主体有权利要求个人信息管理者停止对其个人信息当前的处理行为，有权利要求个人信息管理者屏蔽、删除其个人信息。
非法使用滥用个人信息
◆非法使用/滥用个人信息、侵犯个人隐私的行为
◆未经他人同意，擅自公布他人的隐私材料
◆以书面、口头形式宣扬他人隐私
◆窃取或者以其他非法方式获取公民个人电子信息
◆出售或者非法向他人提供公民个人电子信息
◆网络服务提供者和其他企业事业单位在业务活动中未经被收集者同意就收集、使用公民个人电子信息
◆对在业务活动中经被收集者同意收集的公民个人电子信息没有采取必要的保密措施
◆医疗机构及其医务人员泄露患者隐私或者未经患者同意公开其病历资料、健康体检报告等行为

二、打击网络违法犯罪相关法律法规

◆网络违法犯罪
◆狭义
◆指以计算机网络为违法犯罪对象而实施的危害网络空间的行为
◆广义
◆是以计算机网络为违法犯罪工具或者为违法犯罪对象而实施的危害网络空间的行为，应当包括违反国家规定，直接危害网络安全及网络正常秩序的各种违法/犯罪行为
◆相关法律
◆《关于维护互联网安全的決定》
◆《治安管理处罚法》
◆《刑法》
《中华人民共和国刑法》
◆第六章妨碍社会管理秩序罪
◆第一节扰乱公共秩序罪第285条
◆非法侵入计算机信息系统罪；非法获取计算机信息系统数据；非法控制计算机信息系统罪；提供侵入、非法控制计算机信息系统程序、工具罪。
◆违反国家规定，侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的，处三年以下有期徒刑或者拘役。
◆违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特別严重的，处三年以上七年以下有期徒刑，并处罚金。
◆提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。
◆第六章 妨碍社会管理秩序罪第一节扰乱公共秩序罪 第286条破坏计算机信息系统罪。
违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处五年以下有期徒刑或者拘役：后果特别严重的，处五年以上有期徒刑。
◆违反国家规定，对计算机信息系统中存储、处理或者传输的数据和应用程序进行除、修改、增加的操作，后果严重的，依照前款的规定处罚。
◆故意制作、传播计算机病毒等破坏性程序，影响计算机系统正常运行，后果严重的，依照第一款的规定处罚。
◆第六章 妨碍社会管理秩序罪第一节扰乱公共秩序罪 第287条破坏利用计算机实施犯罪的提示性规定
◆利用计算机实施金融诈骗、盗窃、贪污、那用公款、窃取国家秘密或者其他犯罪的，依照本法有关規定定罪处罚。
网络违法犯罪行为
◆网络违法/犯罪行为
◆破坏互联网运行安全的行为
◆破坏国家安全和社会稳定的行为
◆破坏社会主义市场经济秩序和社会管理秩序的行为
◆侵犯个人、法人和其他组织的人身、财产等合法权利的行为
◆利用互联网实施以上四类所列行为以外的违法/犯罪行为

三、信息安全管理相关法律法规

信息安全相关行政法规
◆《计算机信息系统安全保护条例》
◆《商用密码管理条例》
◆其他
◆《中华人民共和国计算机信息网络国际联网管理暂行规定》
◆《中华人民共和国电信条例》
◆《互联网信息服务管理办法》
◆《互联网上网服务营业场所管理条例》
◆《信息网络传播权保护条例》
◆…
信息安全相关部门规章
◆**《计算机信息系统安全专用产品检测和销售许可证管理办法》
◆《计算机信息系统保密管理暂行规定》
◆《国家电子政务工程建设项目管理暂行办法》**
《计算机信息系统安全保护条例》
◆国务院令第147号，1994年2月18日发布施行
◆安全保护
・保障计算机及其相关的和配套的设备、设施（含网络）的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行
◆主管部门
・公安部主管全国计算机信息系统安全保护工作（含安全监督职权）
・国家安全部、国家保密局和国务院其他有关部门，在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作
◆安全保护制度
・计算机信息系统实行安全等级保护
・使用单位应当建立健全安全管理制度
・安全专用产品(硬件、软件)的销售实行许可制度
《商用密码管理条例》
◆国务院令第273号，1999年10月7日发布施行
◆商用密码
・是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品
・商用密码技术属于国家秘密
◆主管部门
・国家密码管理委员会及其办公室主管全国的商用密码管理工作
・国家对商用密码产品的科研、生产、销售和使用实行专控管理
◆管理要点
・商密产品销售单位应先获得《商用密码产品销售许可证》
・任何单位或者个人不得销售境外的密码产品
・不得使用自行研制的或者境外生产的密码产品
・不得转让其使用商用密码产品(含故障维修、报废销毁)
《计算机信息系统安全专用产品检测和销售许可证管理办法》
◆公安部令第32号，1997年12月12日施行
◆两个必须
・安全专用产品在进入市场销售之前，必须申领《计算机信息系统安全专用产品销售许可证》
・申领销售许可证时，必须对产品进行安全功能检测和认定
◆检测（机构）
・检测机构对产品（样品）的安全功能和性能进行检测
・检测机构应保守检測产品的技术秘密，并不得非法占有他人科技成果，不得从事与检测产品有关的开发和对外咨询业务
◆销售许可证（主管部门）
・由公安部计算机管理监察部门颁发安全专用产品销售许可证（两年内有效）、“销售许可”标记
・安全专用产品的检测通告和经安全功能确认的安全专用产品目录，由公安部计算机管理监察部门发布
《计算机信息系统保密管理暂行规定》
◆国家保密局，国保发[1998]1号，1998年2月26日发布施行
◆适用范围
・适用于采集、存储、处理、传递、输出国家秘密信息的计算机信息系统
◆主管部门
・国家保密局主管全国计算机信息系统的保密工作
◆管理要点
・涉密系统一一保密设施、保密措施、访问控制、数据保护等
・涉密信息一一密级标识、物理隔离等
・涉密媒体一一各类计算机媒体（含打印输出等）
・涉密场所一一控制区、防电磁信息泄漏、其他物理安全等
・系统管理——领导负责制、管理制度、保密检查、人员培训和考核等
《国家电子政务工程建设项目管理暂行办法》
◆国家发改委令[200]第55号，2007年9月1日起施行
◆项目建议书、可行性研究报告、初步设计方案
・在“项建和可研”的项目建设方案中应包含“安全系统建设方案”
・在“初设”的项目设计方案中应包含“安全系统设计”
◆验收评价管理
・项目建设单位应在完成项目建设任务后的半年内，组织完成建设项目的信息安全风险评估和初步验收工作
◆运行管理
・项目建设单位或其委托的专业机构应按照风险评估的相关规定，对建成项目进行信息安全风险评估，检验其网络和信息系统对安全环境变化的适应性及安全措施的有效性，保障信息安全目标的实现
地方法规
◆《北京市信息化促进条例》
◆2007年9月14日公布，自2007年12月1日起施行
◆适用于北京市信息化工程建设、信息资源开发利用、信息技术推广应用、信息安全保障以及相关管理活动
◆《上海市公共信息系统安全测评管理办法》
◆2006年5月7日公布，2006年7月1日起施行
◆适用于上海市行政区域内的公共信息系统安全测评管理活动，具体规定涉及測评的管理部门、责任制度、测评年度计划、新建系统的测评、测评机构、测评协议、测评要求、安全事项告知与协助义务、测评报告、安全整改，对测评机构违法行为的处理等方面
◆《辽宁省计算机信息系统安全管理条例》
◆《重庆市计算机信息系统安全保护条例》
◆…
地方规章
◆《北京市微博客发展管理若干规定》(2011年12月16日公布并施行)
◆《北京市公共服务网络与信息系统安全管理规定》
◆《北京市党政机关计算机网络与信息安全管理办法》
◆《上海市公共信息系统安全测评管理办法》
◆《天津市公共计算机信息网络安全保护规定》
◆《黑龙江省计算机信息系统安全管理规定》
◆《辽宁省计算机信息保密管理规定》
◆《大连市人民政府公共信息网络管理暂行规定》
◆《四川省计算机信息系统安全保护管理办法》
◆《山西省计算机安全管理规定》
◆《山东省计算机信息系统安全管理办法》
◆《安徽省计算机信息系统安全保护办法》
◆《河南计算机信息系统安全保护暂行办法》
◆《广东省计算机信息系统安全保护管理规定》
◆《广东省电子政务信息安全管理暂行办法》
◆《广东省互联网上网服务营业场所管理办法》
◆《广东省计算机信息系统安全保护管理规定实施细则（试行）》
◆《广东省通信短信息服务管理办法（试行）》
◆《深圳经济特区计算机信息系统公共安全管理规定》
◆《福建省互联网上网服务营业场所管理规定》
◆《江苏省互联网网络与信息安全管理暂行规定》
◆《云南省网络与信息系统安全监察管理规定》
◆《江西省计算机信息系统安全保护办法》
◆《杭州市计算机信息系统安全保护管理办法》
◆…
行业规定
◆中国银监会
◆《电子银行业务管理办法》
◆《电子银行安全评估指引》
◆《银行业金融机构信息系统风险管理指引》
◆中国证监会
◆《网上证券委托暂行管理办法》
◆《证券期货业信息安全保障管理暂行办法》
◆《证券公司集中交易安全管理技术指引》
◆《期货公司信息公示管理规定》(自2009年11月16日起施行)
◆《深圳证券交易所交易异常情况处理实施细则（试行）》
◆《上海证券交易所交易异常情况处理实施细则（试行）》
◆…
我国信息安全保障工作总体文件
◆《国家信息化领导小组关于加强信息安全保障工作的意见》
◆中办发[2003]27号
◆明确了我国信息安全保障工作的方针和总体要求
◆加强信息安全保障工作的主要原则
◆需要重点加强的信息安全保障工作
◆27号文的发布具有重大意义
◆它标志着我国信息安全保障工作有了总体纲领
◆我国最近十余年的信息安全保障工作都是固绕此政策性文件来展开和推进的
◆促进了我国信息安全保障建设的各项工作
《国家信息化领导小组关于加强信息安全保障工作的意见》
◆总体方针和要求
◆坚持积极防御、综合防范的方针
◆全面提高信息安全防护能力
◆重点保障基础信息网络和重要信息系统安全
◆创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全
◆主要原则
◆立足国情，以我为主，坚持技术与管理并重
◆正确处理安全和发展的关系，以安全保发展，在发展中求安全
◆统等规划，突出重点，强化基础工作
◆明确国家、企业、个人的责任和义务，充分发挥各方面的积极共同构筑国家信息安全保障体系
◆主要任务（重点加强的安全保障工作）
◆实行信息安全等级保护
◆加强以密码技术为基础的信息保护和网络信任体系建设
◆建设和完善信息安全监控体系
◆重视信息安全应急处理工作
◆加强信息安全技术研究开发，推进信息安全产业发展
◆加强信息安全法制建设和标准化建设
◆加快信息安全人オ培养，增强全民信息安全意识
◆保证信息安全资金
◆加强对信息安全保障工作的领导，建立健全信息安全管理责
任制
我国信息安全政策的初步成效、后续展望
◆初步成效
◆依托2003年的27号文（总体纲领），明确了信息安全保障工作的总体要求、工作原则和重点工作内容
◆围绕信息安全保障体系，广度结合深度，制定、发布并落实了一些典型的信息安全政策(风险评估、等级保护、电子政务类、应急预案等)
◆其他领域：灾难备份、管理体系、监控、应急、信任体系、产品和服务认证、人员培训和认证等
◆后续展望
◆“十ー五”期间发布的各项政策均将进入落实期
◆由电子政务领域向其他领域拓展
◆尽快形成“统一的”信息安全服务资质管理体制
・基于信息安全服务类的标准(政策带动标准，标准支撑政策)
・统一安全服务行业的企业资质和人员资质
◆由“狭义信息安全”向“广义信息安全”延伸
・IT服务（外包）的信息安全保障
・新技术、新应用下的信息安全保障