第七节 禁止从事危害网络安全的活动
适用要点
1.危害网络安全活动的类型
2.危害网络安全活动的相关法律衔接
3.危害网络安全活动的责任认定
对危害网络安全的活动予以打击,是各国在行政执法和刑事司法领域的重要实践,也是国家维护网络安全的通行做法。《网络安全法》第二十七条规定,任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。《网络安全法》第二十七条与《刑法》相衔接,描述了危害网络安全活动的三大种类,与《网络安全法》第四十六条规定的危害网络信息安全共同构成了网络安全行政法层面“危害网络安全活动”的打击对象。
一、危害网络安全活动的种类
依照《网络安全法》第二十七条的规定,任何个人和组织不得从事:(1)非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;(2)提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;(3)明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。该条的责任主体是“任何个人和组织”,不论个人的身份地位、职务职称、家庭情况等,只要从事了本条禁止的危害网络安全的行为,都属于本条规定的责任主体。任何组织则包括法人、政府机构、非法人组织等。这样的主体在其他法律中也多次出现,是涵盖范围最广的主体,体现了法律对危害网络安全活动的严厉惩罚。该条将危害网络安全运行的行为分为三大类,包括:危害网络安全的活动;提供危害活动的程序及工具的帮助行为;提供技术支持、广告推广、支付结算的帮助。危害网络安全的活动又细分为非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等活动。
“侵入”是指通过各种非授权访问的方式进入网络、系统,直接危害网络运行和网络数据的保密性、完整性;“干扰他人网络正常功能”是指对网络功能进行删除、修改、增加、干扰,造成系统不能正常运行,直接危害网络运行和系统的完整性、可用性;“窃取网络数据”是指未经授权,采用技术手段,获取网络中存储、传输、处理的数据,窃取网络数据的行为通常发生在侵入行为之后,主要危害网络数据的保密性和可用性。随着实施危害活动的程序和工具的能力强化,某一危害行为均可能同时危害保密性、完整性和可用性,并在行为和危害后果上难以截然区分。例如,利用勒索软件实施的攻击行为。
依据《最高人民法院 最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》的规定,“从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具”是指具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权获取计算机信息系统数据的功能的;具有避开或者突破计算机信息系统安全保护措施,未经授权或者超越授权对计算机信息系统实施控制的功能的;其他专门设计用于侵入、非法控制计算机信息系统、非法获取计算机信息系统数据的程序、工具。值得注意的是,执法实践中对于是否属于此类程序和工具难以确定的,也可以依据前述解释,由执法部门“委托省级以上负责计算机信息系统安全保护管理工作的部门检验。司法机关根据检验结论,并结合案件具体情况认定”。
“技术支持”是指为从事危害网络安全的行为提供互联网接入、服务器托管、网络存储、通信传输等技术方面的帮助。“广告推广”是指为从事危害网络安全的行为进行广告宣传或推广,帮助其扩大影响或获得收入来源。“支付结算”是指为从事危害网络安全的行为或行为人提供收款、转账、取款、付款等服务,为行为人获得资金支持提供便利。《网络安全法》第二十七条中提供技术支持、广告推广、支付结算的帮助行为明确指出行为人应为故意,即“明知”。
二、危害网络安全活动的相关法律衔接
危害网络安全的活动具备专业性、技术性等特点,针对任何单一或部分行为的治理无法实现对“产业链”的全方位覆盖,我国《刑法》作为制裁社会违法行为的最后一道防线,将危害网络安全的活动纳入刑事制裁。《刑法》第二百八十五条规定了非法侵入计算机信息系统罪,非法获取计算机信息系统数据、非法控制计算机信息系统罪,提供侵入、非法控制计算机信息系统程序、工具罪;第二百八十六条规定了破坏计算机信息系统罪,网络服务渎职罪;第二百八十七条规定了利用计算机实施犯罪的提示性规定;此外,《刑法修正案(九)》针对《刑法》第二百八十五条的规定增加了单位犯罪的情形,在《刑法》第二百八十六条中增加了拒不履行信息网络安全管理义务罪和前款的单位犯罪的情形;在《刑法》第二百八十七条后增加了非法利用信息网络罪,帮助信息网络犯罪活动罪及单位犯罪的情形,进一步加强网络空间活动的监管,加大对危害网络安全行为的惩处力度,维护网络空间安全运行。
《网络安全法》作为从预防、控制到惩治的综合性立法,亦适时提出了多方参与、综合治理的构想。《网络安全法》第二十七条与《刑法》第二百八十五条、第二百八十六条和第二百八十七条之二相衔接,旨在打击危害网络安全活动的行为和支持、协助危害网络安全活动的帮助行为。值得注意的是,《网络安全法》在细节描述上有所不同,在危害网络安全活动的程序、工具方面,《刑法》列明是“用于侵入、非法控制”,而《网络安全法》则列明“用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具”,隐含了“非法控制”这一类。所以《网络安全法》第二十七条规定的从事非法侵入他人网络、干扰他人网络正常功能等行为,直接与《刑法》第二百八十五条规定的非法侵入计算机信息系统罪和第二百八十六条规定的破坏计算机信息系统罪相衔接,“等”字隐含衔接了非法控制计算机信息系统罪;《网络安全法》第二十七条规定的从事危害网络安全的活动中的窃取网络数据,提供专门用于从事危害网络安全活动的程序、工具的行为,与《刑法》第二百八十五条规定的非法获取计算机信息系统数据罪,提供侵入、非法控制计算机信息系统程序、工具罪相衔接;《网络安全法》第二十七条规定的为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助,与《刑法》第二百八十七条之二中规定的帮助信息网络犯罪活动罪相链接。《刑法》第二百八十七条之二规定:“明知他人利用信息网络实施犯罪,为其犯罪提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照第一款的规定处罚。有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。”
除《刑法》之外,《治安管理处罚法》《电信条例》等都规定了危害网络安全的违法犯罪行为。《治安管理处罚法》第二十九条规定了实施危害网络安全行为的治安管理处罚:“有下列行为之一的,处五日以下拘留;情节较重的,处五日以上十日以下拘留:(一)违反国家规定,侵入计算机信息系统,造成危害的;(二)违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行的;(三)违反国家规定,对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的;(四)故意制作、传播计算机病毒等破坏性程序,影响计算机信息系统正常运行的。”《网络安全法》第二十七条补充完善了《治安管理处罚法》中有关危害网络安全行为的规定。根据《电信条例》的规定:任何组织或者个人不得有下列危害电信网络安全和信息安全的行为:对电信网的功能或者存储、处理、传输的数据和应用程序进行删除或者修改;利用电信网从事窃取或者破坏他人信息、损害他人合法权益的活动;故意制作、复制、传播计算机病毒或者以其他方式攻击他人电信网络等电信设施;危害电信网络安全和信息安全的其他行为;违反以上规定,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,由公安机关、国家安全机关依照有关法律、行政法规的规定予以处罚。
总的来说,《网络安全法》第二十七条丰富了《刑法》《治安管理处罚法》《电信条例》等法律法规中对侵入系统、窃取数据等罪名的行为规定,是新旧立法的有效衔接,对预防和惩罚网络违法行为有着不可替代的意义。
三、危害网络安全活动的责任认定
责任认定是指对因违法行为、违约行为或法律规定而引起的法律责任,进行判断、认定、追究、归结以及减缓和免除的活动。《网络安全法》第六十三条进一步明确了个人和组织从事第二十七条所禁止行为的法律责任,规定了没收违法所得、拘留、罚款和限制从业资格(职业禁入)等行政处罚,明确处罚机关是公安机关。
《网络安全法》第六十三条第一款区分不同情节对违反第二十七条规定,从事三大类危害网络安全活动的行为,尚不构成犯罪的行为的法律责任作了规定:由公安机关没收违法所得,处五日以下拘留,可以并处五万元以上五十万元以下罚款;情节较重的,处五日以上十五日以下拘留,可以并处十万元以上一百万元以下罚款。情节较重的认定,由公安机关结合上述违法行为的次数、所造成的危害后果、非法获利的数额等情况综合确定。
《网络安全法》第六十三条第二款规定了单位实施危害网络安全行为应承担的法律责任:对单位,由公安机关没收违法所得,处十万元以上一百万元以下罚款;对直接负责的主管人员和其他直接责任人员依照第一款的规定处罚,即由公安机关没收违法所得,处五日以下拘留,可以并处五万元以上五十万元以下罚款;情节较重的,处五日以上十五日以下拘留,可以并处十万元以上一百万元以下罚款。
《网络安全法》第六十三条第三款规定对从事危害网络安全行为的人员规定了从业禁止措施,属于新型的准行政处罚,具体分为两种情形:一是受到治安管理处罚的人员,五年内不得从事网络安全管理和网络运营关键岗位的工作;二是受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。从业禁止规定是在《网络安全法(草案二次审议稿)》中新增,原本对故意从事危害网络安全的活动受到治安管理处罚或者刑事处罚的人员,均要求终身不得从事网络安全管理和网络运营关键岗位的工作,社会公众和企业建议区分情况规定从业禁止,因此,《网络安全法(草案三次审议稿)》根据建议改为以上两种情形。
法条链接目录
1.中华人民共和国网络安全法
2.中华人民共和国刑法
3.中华人民共和国刑法修正案(九)
4.最高人民法院 最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释
5.中华人民共和国电信条例