电信企业互联网信息安全概述

第一节　电信企业互联网信息安全概述

一、互联网发展历史

当1945年第一台电子计算机ENIAC在美国诞生以后，由于当时计算机的价格昂贵、机体庞大，为了充分利用每台计算机的计算处理能力，逐步出现了一台计算机通过通信线路与若干台计算机或终端设备互联，即早期局域网的雏形。

到20世纪70年代，美国国防部高级研究计划局建立了基于TCP/IP的ARPAnet，也就是今天互联网（INTERNET）的前身，此后国际标准化组织（ISO）在1984年正式颁布了“开放系统互连基本参考模型”的国际标准，使计算机网络体系结构实现了标准化，从之前的军用网络、研究网络发展到能够无缝连接全世界的信息交换共享的网络平台——国际互联网，也就是我们常说的互联网。

中国加入互联网的正式发展是从1986年开始，如同互联网在美国初期发展历程相识，也是从学术研究网起步，当时的北京市计算机应用技术研究所与德国卡尔斯鲁厄大学启动中国学术网的国际联网建设项目。次年9月，该项目建立了中国第一个国际互联网电子邮件节点，并且在同月14日，全世界受到了来自中国第一封电子邮件：“Across the Great Wall we can reach every corner in the world.（越过长城，走向世界）”。

从此，中国的互联网事业取得了举世瞩目的发展成绩。20世纪90年代中期，为响应和实现国家建设公用经济信息通信网的政策，Chinanet、CERnet、CSTnet、Chinagbnet等多个项目在全国范围相继启动并成功接入互联网；20世纪90年代末，在建设Chinanet骨干网二期工程的同时，还开始下一代IP协议（IPv6）试验网的研究建设；2000年召开的第十五届中央委员会第五次全体会议在《中共中央关于制定国民经济和社会发展第十个五年计划的建议》中规定：“大力推进国民经济和社会信息化，是覆盖现代化建设全局的战略举措。以信息化带动工业化，发挥后发优势，实现社会生产力的跨越式发展”，将信息化上升到国家战略高度；次年时任国家主席的江泽民同志强调：“要抓住机遇，加快发展中国的信息技术和网络技术”，“既要积极推进信息网络基础设施的发展，又要大力加强管理方面的建设，推动信息网络化迅速而又健康地向前发展。”

到今天，中国互联网建设不仅仅只是取得了网络技术层面的巨大成绩，更是在信息内容层面的有着全面的进步：中国移动拥有全球最多的移动用户和全球最大规模的移动通信网络；中国电信拥有全球最大的固定电话网络和中文信息网；腾讯公司在线用户突破1亿，市值位列全球互联网企业第三名。

二、中国互联网立法史

1996年中国公用计算机互联网（Chinanet）全国骨干网正式开通，可以为全国的公用计算机提供互联网接入服务，也就开始了中国互联网的立法历程。

一般而言，中国互联网立法历程一般可以划分成三个阶段。

（一）划清职责、架构体系阶段（1996～2000年）

该阶段的互联网作为一个新型业务还处于大规模基础建设阶段，所以立法工作也主要表现在先行分析互联网的特征，划分不同的管理内容，明确管理机构，架构互联网法律监管的框架性体系。

在1996年，国务院发布了涉及互联网法律监管的行政法规——《中华人民共和国计算机信息网络国际联网管理暂行规定》，此规定后在1997年进行了修订。目前97修订版依然现行有效。该规定的主要内容有三：首先，规定了互联网事务的领导机构，为国务院信息化工作领导小组，该小组负责协调、解决有关国际联网工作中的重大问题，包括明确国际出入口信道提供单位、互联单位、接入单位和用户的权利、义务和责任，并负责对国际联网工作的检查监督等；其次，规定了计算机如果要进行国际联网，即接入互联网，必须使用当时邮电部国家公用电信网提供的国际出入口信道；其他的任何单位和个人不得自行建立或者使用其他信道进行国际联网；最后，明确了互联网接入单位和互联网经营单位所需要的资质。

为配合细化落实《中华人民共和国计算机信息网络国际联网管理暂行规定》中关于邮电部国家公用电信网的接入、明确接入要求，原邮电部发布了部门规章《中国公用计算机互联网国际联网管理办法》，该管理办法规定通过计算机接入的网络为中国公用计算机互联网（即Chinanet），该网络将面向公众提供计算机国际联网服务，并由原中国邮电电信总局承担普遍服务义务的互联网络的建设、运营和管理。值得一提的是，该管理办法同时对使用计算机接入网络的单位和个人提出了内容方面的规定，要求他们遵守国家法律、法规，加强信息安全教育，严格执行国家保密制度，并对所提供的信息内容负责。任何组织或个人，不得利用计算机国际联网从事危害国家安全、泄露国家秘密等犯罪活动；不得利用计算机国际联网查阅、复制、制造和传播危害国家安全、妨碍社会治安和淫秽色情的信息；同时不得利用计算机国际联网从事危害他人信息系统和网络安全、侵犯他人合法权益的活动。

此时，不少单位和用户就不再满足于仅仅只接入互联网、通过互联网访问获取信息的模式，更期待能够建设自身的网站，与不同地区、不同国家进行信息的互通交流。于是为规范网络的域名管理、安全管理、许可管理和保密管理，国务院信息化工作领导小组办公室公布了《中国互联网络域名注册暂行管理办法》，明确了国务院信息化工作领导小组办公室是我国互联网络域名系统的管理机构，中国互联网络信息中心协助国务院信息化工作领导小组办公室管理我国互联网络域名系统，并根据其授权根据制定《中国互联网络域名注册实施细则》、管理和运行中国顶级域名CN。同时明确了我国域名管理的两大原则，首先是域名管理三级模式，首级即所谓的顶级域名，是我国在国际互联网络信息中心正式注册并运行的CN域名。第二级域名分为“类别域名”和“行政区域名”两类。“类别域名”根据网站性质划分，一共有6个，如AC是指适用于科研机构，COM是指适用于工、商、金融等企业，EDU是适用于教育机构，GOV适用于政府部门，NET适用于互联网络等；“行政区域名”是指根据网站所在地划分，如在北京，则为BJ。第三级域名则为网站具体名称，如www.sina.com.cn中的sina则为第三级。其次是域名的先申请先注册原则，即不受理域名预留。

网络安全管理则反映在由公安部制定的《计算机信息网络国际联网安全保护管理办法》中，其规定公安部的计算机管理监察机构负责计算机信息网络国际联网的安全保护管理工作。应当保护计算机信息网络国际联网的公共安全，维护从事国际联网业务的单位和个人的合法权益和公众利益。且任何单位和个人不得利用国际联网危害国家安全、泄露国家秘密，不得侵犯国家的、社会的、集体的利益和公民的合法权益，不得从事违法犯罪活动。

网络许可管理是指对于国际联网经营活动的接入单位，实行国际联网经营许可证制度。《中华人民共和国计算机信息网络国际联网管理》将当时的已经建立的中国公用计算机互联网、中国金桥信息网、中国教育和科研计算机网、中国科学技术网等四个网络，分别由邮电部、电子工业部、国家教育委员会和中国科学院负责管理。其中中国公用计算机互联网、中国金桥信息网为经营性互联网络；中国教育和科研计算机网、中国科学技术网属于公益性互联网络。并规定经营许可证由经营性互联单位主管部门颁发，同时需要报国务院信息化工作领导小组办公室备案。

随着接入互联网的单位越来越多，面临着这些单位的保密问题，为规范特殊行业的单位接入互联网，国家保密局制定了《计算机信息系统国际联网保密管理规定》，奉行“谁上网谁负责”的原则，要求涉及国家秘密的信息，包括在对外交往与合作中经审查、批准与境外特定对象合法交换的国家秘密信息，不得在国际联网的计算机信息系统中存储、处理、传递。并且如果向国际联网的站点提供或发布信息，需要经过保密审查批准。保密审批实行部门管理，有关单位应当根据国家保密法规，建立健全上网信息保密审批领导责任制。提供信息的单位应当按照一定的工作程序，健全信息保密审批制度。

到2000年，国务院发布了第一部规范电信业的《中华人民共和国电信条例》，将互联网及其他公共数据传送业务列入基础电信业务；将互联网接入服务和互联网信息服务列入增值电信业务。并且依据《互联网信息服务管理办法》的规定，将互联网信息服务分为经营性和非经营性两类。其中经营性互联网信息服务，是指通过互联网向上网用户有偿提供信息或者网页制作等服务活动；而非经营性互联网信息服务，是指通过互联网向上网用户无偿提供具有公开性、共享性信息的服务活动。不同的信息服务对应着不同的管理制度，对经营性互联网信息服务实行许可制度，对非经营性互联网信息服务实行备案制度。

对于所有的信息服务提供商而言，如果从事的是类似新闻、出版、教育、医疗保健、药品和医疗器械等互联网信息服务，在申请经营许可或者履行备案手续前，还应当经相关主管部门审核同意。如果从事互联网信息服务，打算开办电子公告服务（BBS或是论坛），应当在申请经营性互联网信息服务许可或者办理非经营性互联网信息服务备案时，提出专项申请或者专项备案。同时互联网信息服务提供商还应当在其网站主页的显著位置标明其经营许可证编号或者备案编号。

（二）革旧迎新、全面发展阶段（2001～2006年）

在经过数年的互联网法律体系建设后，对于涉及互联网的各种业务，如互联网数据传输、互联网接入和互联网信息等的法律管制都趋于相对完善，初步能够适应当时互联网的发展需要。但在2001～2006年间，我国的上网计算机增加了4 686万台，上网用户数更是剧增了1.04亿，注册的域名增加了约398万个，网站数也增加了约56万个^[2]。面对互联网的日新月异，很多老规定并不能完全适应新形势下的互联网发展，因此，此阶段的立法工作主要是出台新规定，废止旧规定，同时进一步加强对互联网接入和互联网信息的立法，做到革旧迎新、全面发展。

在这五年之中，一共有六部主要的部门规章，或者是部门规范性文件，因为其规定不能适应当时的发展需求而被废止，分别是1997年的《中国互联网域名注册实施细则》；2000年的《中文域名争议解决办法（试行）》；2001年的《互联网上网服务营业场所管理办法》；2002年的《中国互联网络域名管理办法》、《关于加强网络文化市场管理的通知》、《域名争议解决办法》。

同时，这五年也推进了对互联网接入和信息服务的立法，以法律《电子签名法》和行政法规《信息网络传播权保护条例》为主线，分别涉及到网络域名管理、上网场所管理、网络文化管理、电子认证管理、网络新闻管理和网络出版管理等领域，其代表性的规定分别是：《中国互联网域名管理办法》（2004）、《互联网上网服务营业场所管理条例》、《互联网文化管理暂行规定》、《电子认证服务管理办法》、《互联网信息服务管理规定》和《互联网出版管理暂行规定》。

以上规定标志着我国的互联网立法工作全面展开，从前一阶段重视网络传输和网络接入立法，到加强网络内容立法，实现整个互联网的法律监管意义上的全面融合发展。针对互联网的内容，特别是网络文化、网络新闻和网络出版，该阶段的立法特点继承了网络接入的主要特征，即设置准入许可或备案制度。

对网络文化的准入条件，如果申请设立经营性互联网文化单位，应当向所在地的省级人民政府文化行政部门提出申请，由省级人民政府文化行政部门初审同意后，报文化部审批。如果申请设立非经营性互联网文化单位，应当向所在地省级人民政府文化行政部门提出申请，由省级人民政府文化行政部门审核批准，并报文化部备案。

在网络新闻的准入方面，如果是新闻单位设立的，登载超出本单位已刊登播发的新闻信息、提供时政类电子公告服务、向公众发送时政类通讯信息的互联网新闻信息服务单位，或非新闻单位设立的，转载新闻信息、提供时政类电子公告服务、向公众发送时政类通讯信息的互联网新闻信息服务单位，应当经国务院新闻办公室审批。如果是新闻单位设立的，登载本单位已刊登播发的新闻信息的互联网新闻信息服务单位，则不用国务院新闻办公室审批，而需要向国务院新闻办公室或者省、自治区、直辖市人民政府新闻办公室备案。

在网络出版方面的准入，应当由网络出版的主办者向所在地省级新闻出版行政部门提出申请，经省级新闻出版行政部门审核同意后，报新闻出版总署审批。

（三）服务创新、与时俱进阶段（2007年至今）

从2007年开始，大规模互联网立法工作初告一段落，转而是深入研究在互联网中出现的服务或经营问题、人民关心的互联网权益问题等，与时俱进的就这些新型问题展开立法工作，以期能指导互联网中新行业的健康发展，主要体现在对网络游戏和网络交易方面。

1.网络游戏

所谓网络游戏，是指由软件程序和信息数据构成，通过互联网、移动通信网等信息网络提供的游戏产品和服务，其表现形式主要包括以客户端、网页浏览器及其他终端形式运行的各种网络游戏。按照有关机构统计，从网络游戏的市场规模来看，2009年中国网络游戏市场规模（仅包括面向玩家的游戏运营收入，不包括海外出口收入和通过其他盈利模式获得收入）为258亿元人民币，同比增长39.5%。其中国产网络游戏市场规模达到157.8亿元人民币，同比增长41.9%，占总体市场规模的61.2%。从海外出口来看，2009年中国网络游戏海外出口收入达到1.06亿美元，较2008年增长47.2%，而2008年海外出口收入同比增速仅为30.9%^[3]。

面对发展迅猛的网络游戏业，为了规范行业秩序，确保行业发展，尽管新闻出版总署在2005年的时候就曾经发布过《关于禁止利用网络游戏从事赌博活动的通知》，可是对网络游戏的立法工作全面开展始于2007年。在2007年2月，文化部、公安部及信息产业部等14部委联合发布了《关于进一步加强网吧及网络游戏管理工作的通知》，该通知中明确规定“加快完善网络游戏管理的政策法规，大力调整网络游戏产品结构，在研发和运营等环节对容易导致成瘾的网络游戏规则予以限制和改造。积极推动网络游戏防沉迷系统的开发应用，运用科技手段解决青少年沉迷网络游戏问题”。

从此，网络游戏就进入了一个产业发展和立法摸索双步进行，双管齐下的发展环境，到2009年6月，文化部与商务部联合下发了《关于网络游戏虚拟货币交易管理工作》，所谓网络游戏虚拟货币，是指由网络游戏运营企业发行，游戏用户适用法定货币按一定比例直接或间接购买，存在于游戏程序之外，以电磁记录方式存储于网络游戏运营企业提供的服务器内，并以特定数字单位表现的一种虚拟兑换工具。网络游戏虚拟货币仅用于兑换发行企业所提供的指定范围、指定时间内的网络游戏服务，表现为网络游戏的预付充值卡、预付金额或点数等形式，但不能包括游戏活动中获得的游戏道具、游戏金币等网络游戏虚拟物。

同时，面对由于使用网络游戏虚拟货币可能出现的各种风险，《关于网络游戏虚拟货币交易管理工作》还规范了发行和交易行为和加强市场监管的要求，如同一企业不得同时经营网游虚拟货币的发行与交易业务；虚拟货币的适用范围仅限于兑换发行企业自身所提供的虚拟服务，不得用以支付、购买实物产品或兑换其他企业的任何产品和服务；在游戏终止服务时，对于用户已经购买但尚未使用的虚拟货币，企业必须以法定货币方式或用户接受的其他方式给予退还等规定。

2009年9月，为了进一步明确网络游戏的监管职责，中央编办下发了《关于印发〈中央编办对文化部、广电总局、新闻出版总署“三定”规定中有关动漫、网络游戏和文化市场综合执法的部分条文的解释〉的通知》，该通知中规定文化部是网络游戏的主管部门，在文化部的统一管理下，新闻出版总署负责“网络游戏的网上出版前置审批”。一旦网络游戏上网出版发行使用，则完全由文化部管理。对经新闻出版总署前置审批过的网络游戏，文化部应允许上网，不再重复审查，并在管理中严格按新闻出版总署前置审批的内容管理；网络游戏出版物未经新闻出版总署前置审批擅自上网的，由文化部负责指导文化市场执法队伍进行查处，新闻出版总署不直接对上网的网络游戏进行处理。

2010年6月，文化部发布了《网络游戏管理暂行办法》，该办法将网络游戏研发生产行为、网络游戏上网运营行为、网络游戏虚拟货币发行行为和网络游戏虚拟货币交易服务行为等经营活动进行了区分，并就相应的经营行为进行了规范；同时该办法还明确国务院文化行政部门是网络游戏的主管部门，负责网络游戏内容审查和监管执法。

尽管网络游戏立法工作已经取得了相当的成绩，但是存在部分问题依然需要法律进一步明确和落实，如对网络游戏中虚拟物（虚拟金币、虚拟装备、虚拟动植物及虚拟人物等）^[4]的法律性质认定及保护措施；如网络游戏中外挂行为的法律性质认定及处罚手段和力度等问题。这些问题都是在网络游戏产业发展过程中至关重要且尚未明确的法律问题，也需要在后继的立法工作进一步补充和完善。

2.网络交易

所谓网络交易，是指从事网络商品交易及服务交易的行为。依据中国B2B研究中心的调查数据显示，截止到2009年6月份，国内使用第三方电子商务平台的中小企业用户规模已经突破1 000万，且中国网购用户的规模已经突破1亿人^[5]。如此庞大且日益增长的市场，其主要规范性文件有两部，一是工商总局在2010年发布的《网络商品交易及有关服务行为管理暂行办法》，另一是中国人民银行在同年发布的《非金融机构支付服务管理办法》。

《网络商品交易及有关服务行为管理暂行办法》结合了目前国内网络交易的特点，分别针对网络交易经营者（网络商品经营者和网络服务经营者），以及提供网络交易平台服务的经营者的经营行为，规定了相应经营行为的法定义务和规范；同时还规定了网络商品交易监督管理的主体，即县级或县级以上的工商行政管理部门。

《非金融机构支付服务管理办法》主要是针对网络交易中的网络支付进行立法规范，其主要规定非金融机构如果从事网络支付业务，必须中国人民银行申请支付业务许可证；同时中国人民银行及其各地分支机构对非金融机构网络交易中网络支付行为进行监督管理。然而因为网络交易行为的多样化和复杂化，目前的网络交易立法工作仅处于起步阶段。关于网络交易合同形式及效力、网络交易过程中网络交易经营者和网络交易平台服务的经营者的法定责任分担、网络交易安全和网络交易税收等问题，均需要展开全方位的调查和研究，以指导期后的立法工作，引导网络交易健康有序的发展。