謝宗曉（南開大學(xué)商學(xué)院）

劉琦（河南警察學(xué)院信息安全系）

本刊特約

信息安全管理系列之二十九 《布達佩斯網(wǎng)絡(luò)犯罪公約》介紹及網(wǎng)絡(luò)犯罪行為分析

謝宗曉（南開大學(xué)商學(xué)院）

劉琦（河南警察學(xué)院信息安全系）

謝宗曉 博士

“十二五”國家重點圖書出版規(guī)劃項目《信息安全管理體系叢書》執(zhí)行主編。自 2003 年起，從事信息安全風(fēng)險評估與信息安全管理體系的咨詢與培訓(xùn)工作。目前，已發(fā)表論文 55 篇，出版專著 12 本。

《中華人民共和國刑法修正案 (九 )》1）全文可以參考中國人大網(wǎng)：http://www.npc.gov.cn/npc/xinwen/2015-08/31/content_1945587.htm。明確了網(wǎng)絡(luò)服務(wù)提供者履行網(wǎng)絡(luò)安全管理的義務(wù)，并加強了公民個人信息保護，增加了編造和傳播虛假信息犯罪等罪名。同時，隨著 2017 年 6 月 1 日《中華人民共和國網(wǎng)絡(luò)安全法》的實施，對于網(wǎng)絡(luò)犯罪越來越重視。因此，有必要對網(wǎng)絡(luò)犯罪領(lǐng)域最重要的文獻之一《布達佩斯網(wǎng)絡(luò)犯罪公約》進行必要的解讀。

謝宗曉（特約編輯）

介紹了《布達佩斯網(wǎng)絡(luò)犯罪公約》的產(chǎn)生背景以及主要內(nèi)容，并結(jié)合《中華人民共和國刑法修正案（九）》對其中的網(wǎng)絡(luò)犯罪行為進行了初步分析。

網(wǎng)絡(luò)犯罪 信息安全 網(wǎng)絡(luò)安全

1 《布達佩斯網(wǎng)絡(luò)犯罪公約》的背景

《布達佩斯網(wǎng)絡(luò)犯罪公約》（Budapest Convention on Cybercrime）簡稱《網(wǎng)絡(luò)犯罪公約》2）英文官方文檔下載地址：http://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/185，在http://www.infseclaw.net/news/html/969.html有中文翻譯版本。，有時候也被稱為《布達佩斯公約》，這是全世界范圍內(nèi)第一部關(guān)于網(wǎng)絡(luò)犯罪行為國際公約，由歐洲理事會3）歐洲理事會（Council of Europe）是致力于保護人權(quán)、民主和法治的歐洲國際組織，建立于1949年5月5日，目前有47個成員國。制定于2001 年 11 月 23 日，在 2004 年 7 月 1 日生效。2003年 1月28日，又通過了《網(wǎng)絡(luò)犯罪公約補充協(xié)定：關(guān)于通過計算機系統(tǒng)實施的種族主義和仇外情緒的犯罪化》4）英文標(biāo)題為：Additional Protocol to the Convention on Cybercrime, Concerning the Criminalisation of Acts of a Racist and Xenophobic Nature Committed through Computer Systems。。

該公約的主要目的是構(gòu)建盡量通用的犯罪策略（policy），并在此基礎(chǔ)上加強國際合作，更直接的目的是阻止對計算機系統(tǒng)、網(wǎng)絡(luò)和計算機數(shù)據(jù)等保密性、完整性和可用性的損害，或與其相關(guān)的濫用行為。以此為基礎(chǔ)，建立的架構(gòu)如圖1所示。

圖1 網(wǎng)絡(luò)空間保護框架

在圖 1 中，T-CY 是指專門負(fù)責(zé)的機構(gòu) ：網(wǎng)絡(luò)犯罪公約委員會5）Cybercrime Convention Committee（T-CY），http://www.coe.int/en/web/cybercrime/tcy。，C-PROC 是指專門的技術(shù)支持機構(gòu)：網(wǎng)絡(luò)犯罪項目辦公室6）Cybercrime Programme Office (C-PROC) ，http://www.coe.int/en/web/cybercrime/cybercrime-office-c-proc-。。

2 《網(wǎng)絡(luò)犯罪公約》的主要內(nèi)容

除了序言外，《網(wǎng)絡(luò)犯罪公約》正文共有 4章，48項條款。

其中，第一章，條款 1，給出了 4個詞匯，分別為“計算機系統(tǒng)”“計算機數(shù)據(jù)”“服務(wù)提供商”和“流量數(shù)據(jù)”。計算機系統(tǒng)詞匯現(xiàn)在已經(jīng)用得不多了，早在 GB 17859—1999《計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》中定義的就是“計算機信息系統(tǒng)”，在《關(guān)于信息安全等級保護工作的實施意見》（公通字〔2004〕66 號）中則定義了更為常見的“信息系統(tǒng)”。

這3個定義分別如下：

計算機系統(tǒng)指任何執(zhí)行程序、進行數(shù)據(jù)自動化處理的設(shè)備或一組相連的設(shè)備。

計算機信息系統(tǒng)是由計算機及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。

信息系統(tǒng)是指由計算機及其相關(guān)和配套的設(shè)備、設(shè)施構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進行存儲、傳輸、處理的系統(tǒng)或者網(wǎng)絡(luò)；信息是指在信息系統(tǒng)中存儲、傳輸、處理的數(shù)字化信息。

《網(wǎng)絡(luò)犯罪公約》中，第二章的第一節(jié)里主要界定了網(wǎng)絡(luò)犯罪行為；第二章的第二節(jié)里則討論了訴訟法（程序法）。因此，我們在下文的表 1 中條款 12雖然也列出，但是并沒有作為犯罪行為統(tǒng)計。這一部分也很重要，與刑事訴訟法不同的是，此處更多的涉及技術(shù)問題，尤其是計算機取證等內(nèi)容[1]。當(dāng)然，法律偏重于管理問題，技術(shù)則需要參考其他的資料，例如 ISO/IEC 27037《數(shù)字證據(jù)識別、收集、獲取與保護》和 ISO/IEC 27042《數(shù)字證據(jù)分析與解釋》等標(biāo)準(zhǔn)[2]。第三章為國際合作，最后一章為最終條款，介紹了簽名生效與加入公約等相關(guān)問題。

3 《網(wǎng)絡(luò)犯罪公約》中的網(wǎng)絡(luò)犯罪行為

《網(wǎng)絡(luò)犯罪公約》中，第二章的第一節(jié)中，條款2 至條款 11，描述了 5 類 10 種網(wǎng)絡(luò)犯罪行為，加上《網(wǎng)絡(luò)犯罪公約補充協(xié)定》中的條款3，可以認(rèn)為一共描述了11種網(wǎng)絡(luò)犯罪行為。具體解釋如表1所示。

表1 主要的網(wǎng)絡(luò)犯罪行為

4 小結(jié)

我國對于網(wǎng)絡(luò)犯罪行為的規(guī)定過于狹窄[4]，1997 年版的《中華人民共和國刑法》只有 3 個罪名，《中華人民共和國刑法修正案（九）》 進行了較大的改進[5]。隨著 2017 年 6 月 1 日《中華人民共和國網(wǎng)絡(luò)安全法》的實施，對于網(wǎng)絡(luò)犯罪越來越重視。但是，在整體概念理解上，依然過于狹義。

例如，《中華人民共和國網(wǎng)絡(luò)安全法》的英文標(biāo) 題 為 Cybersecurity Law of the People's Republic of China，但在其中更多的是討論 Network，并沒有很好地體現(xiàn)網(wǎng)絡(luò)空間（Cyberspace）的特點。

此外，第七十六條中，對于“網(wǎng)絡(luò)”和“網(wǎng)絡(luò)安全”的定義如下：

網(wǎng)絡(luò)，是指由計算機或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M行收集、存儲、傳輸、交換、處理的系統(tǒng)。

網(wǎng)絡(luò)安全，是指通過采取必要措施，防范對網(wǎng)絡(luò)的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網(wǎng)絡(luò)處于穩(wěn)定可靠運行的狀態(tài)，以及保障網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性、可用性的能力。

從第七十六條的定義中，我們可以看出，《中華人民共和國網(wǎng)絡(luò)安全法》更偏重物理的網(wǎng)絡(luò)安全，而不是廣義的網(wǎng)絡(luò)以及在此基礎(chǔ)上建立的虛擬空 間[6，7]。當(dāng)然，在英文版中對于 Cybersecurity 和Network Security 進行了清晰的區(qū)別，但是在中文版中并不容易分辨。

[1]皮勇.《網(wǎng)絡(luò)犯罪公約》中的證據(jù)調(diào)查制度與我國相關(guān)刑事程序法比較[J]. 中國法學(xué)，2003（04）：146-161.

[2]謝宗曉，甄杰. 信息安全管理系列之二十五 截至2016年底ISO/IEC 27000標(biāo)準(zhǔn)族的進展(下)[J]. 中國質(zhì)量與標(biāo)準(zhǔn)導(dǎo)報，2017（02）：34-38，41.

[3]于志剛. 締結(jié)和參加網(wǎng)絡(luò)犯罪國際公約的中國立場[J]. 政法論壇，2015（05）：91-108.

[4]胡紅梅，謝俊. 網(wǎng)絡(luò)犯罪的國際治理何去何從[N]. 科技日報，2014-08-29（12）.

[5]周漢華解讀《刑法修正案（九）》[EB/OL].新華網(wǎng)，http://www.xinhuanet.com/talking/20151112a/ iframe_wzsl.htm.

[6]謝宗曉. 關(guān)于網(wǎng)絡(luò)空間（cyberspace）及其相關(guān)詞匯的再解析[J]. 中國標(biāo)準(zhǔn)導(dǎo)報，2016（02）：26-28.

[7]謝宗曉. 信息安全、網(wǎng)絡(luò)安全及賽博安全相關(guān)詞匯辨析[J]. 中國標(biāo)準(zhǔn)導(dǎo)報，2015（12）：30-32.

Introduction of Budapest Convention on Cybercrime

Xie Zongxiao ( Business School, Nankai University )
Liu Qi ( Department of Information Security, Henan Police College )

This paper introduced the background and content of Budapest Convention on Cybercrime and analysis its article.

Cybercrime, Information Security, Cybersecurity