浙江省信息安全等级保护管理办法
浙江省人民政府
浙江省信息安全等级保护管理办法
省政府令223号
《浙江省信息安全等级保护管理办法》已经省人民政府第77次常务会议审议通过,现予公布,自2007年1月1日起施行。
省长 吕祖善
二○○六年九月三十日
浙江省信息安全等级保护管理办法
第一章总则
第一条为加强和规范信息安全等级保护管理,提高信息安全保障能力,维护国家安全、公共利益和社会稳定,促进信息化建设,根据国家有关规定,结合本省实际,制定本办法。
第二条本省行政区域内建设、运营、使用信息系统的单位,均须遵守本办法。
第三条本办法所称信息安全等级保护,是指按国家规定对需要实行安全等级保护的各类信息的存储、传输、处理的信息系统进行相应的等级保护,对信息系统中发生的信息安全突发公共事件实行分等级响应和处置的安全保障制度。
第四条本办法所称信息,是指通过信息系统进行存储、传输、处理的语言、文字、声音、图像、数字等资料。
本办法所称信息系统,是指由计算机、信息网络及其配套的设施、设备构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的运行体系。
第五条信息安全等级保护应当遵循分级实施、明确责任、确保安全的原则;重点保障基础信息网络和重要信息系统各类信息的安全性和信息处理的连续性。
信息系统应当按照信息安全等级保护的要求,实行同步建设、动态调整、谁运行谁负责的原则。
第六条县级以上人民政府应当加强对信息安全等级保护工作的领导,把信息安全等级保护纳入信息化建设规划,协调、解决有关重大问题,建立必要的资金和技术的保障机制。
第七条县级以上人民政府公安、国家安全、保密、密码、信息化等行政主管部门应当按照国家和本办法规定,履行监督管理职责。
县级以上人民政府其他相关部门,应当按照职责分工,落实信息安全等级保护管理的责任,配合做好相关工作。
第二章等级保护的分级与实施
第八条根据信息系统承载的信息的重要性、业务处理对系统的依赖性以及系统遭到破坏后对经济、社会的危害程度,确定信息系统相应的保护等级。
信息系统的保护等级分为以下五级:
(一)信息系统承载的信息涉及公民、法人和其他组织的权益,信息系统遭到破坏后,业务可以直接用其他方式替代处理,对公民、法人和其他组织的权益有一定影响,但不损害国家安全、社会秩序、经济建设和公共利益的,为一级保护,由运营单位自主保护;
(二)信息系统承载的信息直接涉及公民、法人和其他组织的权益,信息系统遭到破坏后,会影响业务的正常处理,并对国家安全、社会秩序、经济建设和公共利益造成一定损害的,为二级保护,由运营单位在信息安全等级保护工作监管部门的指导下进行保护;
(三)信息系统承载的信息涉及国家、社会和公共利益,信息系统遭到破坏后,会严重影响业务的正常处理,并对国家安全、社会秩序、经济建设和公共利益造成较大损害的,为三级保护,由运营单位在信息安全等级保护工作监管部门的监督下进行保护;
(四)信息系统承载的信息直接涉及国家、社会和公共利益,信息系统遭到破坏后,业务无法正常处理,并对国家安全、社会秩序、经济建设和公共利益造成严重损害的,为四级保护,由运营单位按照信息安全等级保护工作监管部门的强制要求进行保护;
(五)信息系统承载的信息直接关系国家安全、社会稳定、经济建设和运行,信息系统遭到破坏后,会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害的,为五级保护,由运营单位在国家指定的专门部门、专门机构的专控下进行保护。
第九条信息系统的建设、运营、使用单位,应当按照国家有关技术规范、标准和本办法第八条规定自行选定其信息系统相应的保护等级。
基础信息网络和重要信息系统的保护等级,建设单位应当在信息系统规划设计时,按照本办法第十条规定报经审定。
第十条基础信息网络和重要信息系统保护等级,实行专家评审制度。
省、设区的市信息化行政主管部门应当分别建立省、市信息系统保护等级专家评审组,并分别组织对关系全省和关系全市的基础信息网络和重要信息系统的保护等级进行审定。申报与审定的具体细则,由省信息化行政主管部门会同省公安部门制定,并报省人民政府备案。
第十一条对于包含多个子系统的信息系统,应当根据各子系统的重要程度分别确定保护等级。
第十二条信息系统建设完成后,其运营、使用单位应当按照国家有关技术规范和标准进行安全测评,符合要求的,方可投入使用。
第十三条信息系统投入运行或者系统变更之日起三十日内,运营、使用单位应当将信息系统保护等级选定或者审定情况报所在地县级以上人民政府公安部门备案。备案的具体细则由省公安部门制定。
信息系统涉及国家秘密的,运营、使用单位应当按照有关保密法律、法规、规章的规定执行。
第十四条信息系统的运营、使用单位,应当按照国家有关技术规范和标准,建立信息安全等级保护管理制度,落实安全保护责任,采取相应的安全保护措施,切实保障信息系统正常安全运行。
第十五条信息系统的运营、使用单位,应当建立信息系统安全状况日常检测工作制度,加强对信息系统的日常维护和安全管理,及时消除安全隐患,确保信息的安全和系统的正常运行。
基础信息网络和重要信息系统的运营、使用单位,应当按照国家有关技术规范和标准,每年对系统的信息安全状况进行一次全面的测评,也可以委托有相应资质的单位进行安全测评。
第十六条信息系统发生信息安全突发公共事件时,应当根据事件的可控性、地域影响范围和信息系统遭到破坏的严重程度,实行分级响应和应急处置。分级响应和应急处置按照省有关网络与信息安全应急预案的规定执行。
通信基础网络发生突发公共事件时,应当按照省有关通信保障应急预案的规定执行。
第三章监督管理
第十七条县级以上人民政府公安部门依法对运营、使用信息系统的单位的信息安全等级保护工作实施监督管理,并做好下列工作:
(一)督促、指导信息安全等级保护工作;
(二)监督、检查信息系统运营、使用单位的安全等级保护管理制度和技术措施的落实情况;
(三)受理信息系统保护等级的备案;
(四)依法查处信息系统运营、使用单位和个人的违法行为;
(五)信息安全等级保护的其他相关工作。
第十八条保密工作部门依照职责分工,依法做好下列工作:
(一)督促、指导涉及国家秘密的信息安全等级保护工作;
(二)受理涉及国家秘密的信息系统保护等级的备案;
(三)依法查处信息泄密、失密事件;
(四)信息安全等级保护中涉及国家秘密的其他相关工作。
第十九条密码管理部门应当按照职责分工依法做好相关工作,加强对涉及密码管理的信息安全等级保护工作的监督、检查和指导,查处信息安全等级保护工作中违反密码管理的行为和事件。
第二十条信息化行政主管部门应当加强对信息安全等级保护工作的指导、服务、协调和管理,并做好下列工作:
(一)指导、协调信息安全等级保护工作;
(二)组织制定信息安全等级保护工作规范;
(三)组织专家审定信息系统的保护等级;
(四)为相关单位提供信息安全等级保护的有关资讯和技术咨询;
(五)根据预案规定,组织落实信息安全突发公共事件的应急处置工作;
(六)信息安全等级保护的其他相关工作。
第二十一条信息系统建设、运营、使用单位,应当按照国家和本办法有关规定,开展信息安全等级保护工作,接受有关部门的指导、检查和监督管理。
信息系统运营、使用单位,在运营、使用中发生信息安全突发公共事件、泄密失密事件的,应当按照应急预案要求,及时采取有效措施,防止事态扩大,并立即报告有关主管部门,配合做好应急处置工作。
第四章法律责任
第二十二条违反本办法规定的行为,有关法律、法规已有行政处罚规定的,从其规定。
第二十三条信息系统运营、使用单位违反本办法规定,不建立信息系统保护等级或者自行选定的保护等级不符合国家有关技术规范和标准的,由公安部门责令限期改正,并给予警告;逾期拒不改正的,处一千元以上二千元以下罚款。
第二十四条信息系统运营、使用单位违反本办法第十二条、第十三条第一款规定的,由公安部门责令限期改正,并给予警告;逾期不改正的,处二千元罚款。
第二十五条信息系统运营、使用单位违反本办法第十四条规定,未建立信息安全等级保护管理制度、落实安全保护责任和措施的,由公安部门责令限期改正,并给予警告;
逾期拒不改正的,对经营性的处五千元以上五万元以下罚款,对非经营性的处二千元罚款。
第二十六条违反本办法第十五条第一款规定,信息系统运营、使用单位未建立信息系统安全状况日常检测工作制度的,由公安部门责令限期改正,并给予警告;逾期拒不改正的,处一千元以上二千元以下罚款。
违反本办法第十五条第二款规定,基础信息网络与重要信息系统的运营、使用单位,未定期对系统的信息安全状况进行测评的,由公安部门责令限期改正,并给予警告;逾期拒不改正的,对经营性的处二千元以上二万元以下罚款,对非经营性的处二千元罚款。
第二十七条信息系统运营、使用单位违反本办法第二十一条第二款规定的,由县级以上人民政府信息化行政主管部门责令改正,给予警告,对经营性的并处五千元以上三万元以下罚款,对非经营性的并处二千元罚款;涉及泄密、失密的,按照有关保密法律、法规、规章的规定处理。
第二十八条有关信息安全等级保护监管部门及其工作人员有下列行为之一的,由其主管部门或者监察部门对直接负责的主管人员和其他直接责任人依法给予行政或者纪律处分。
(一)未按照本办法规定履行监督管理职责的;
(二)违反国家和本办法规定审定信息系统保护等级的;
(三)违反法定程序和权限实施行政处罚的;
(四)在履行监督管理职责中,玩忽职守、滥用职权、徇私舞弊的;
(五)其他应当依法给予行政或者纪律处分的行为。
第二十九条违反本办法规定,构成犯罪的,依法追究刑事责任。
第五章附则
第三十条在本办法施行前已经建成的信息系统,运营、使用单位应当依照本办法规定建立相应的保护等级。
第三十一条本办法自2007年1月1日起施行。
【案情】
2011年4月间,被告人黄某指使被告人杨某、张某多次对被告人姚某负责的工地进行滋扰导致工地施工无法正常进行。4月28日下午,工地再次遭杨某、张某等人的阻挠,姚某遂纠集人员于次日上午至工地“站场子”。4月29日上午,被告人黄某指使杨某、张某二人纠集二十多人前往工地,结果双方发生互殴。在此过程中,张某驾驶其所用的轿车撞向对方,致一人死亡、一人轻伤。
【分歧】
本案对张某在聚众斗殴过程中的转化定罪没有争议。关键是张某驾车撞击对方的行为,在转化定罪前是否构成持械聚众斗殴,也就是汽车能否作为持械聚众斗殴中的“械”?
【评析】
运用单纯的文义解释,确实不能将汽车归于“械”的语境。《现代汉语词典》中“械”有三种解释:器械、武器以及枷和镣铐之类的刑具。按照人们通常的生活理解,械也是指刀具、棍棒、枪支等一类的器械或武器。但笔者认为,汽车在一定条件下可以作为持械聚众斗殴中的“械”进行考量。主要基于以下几点考虑:
1.实践中对“械”已经作了一定的扩大解释。全国人大法工委编纂的《刑法释义》中解释“持械聚众斗殴主要是指参加聚众斗殴的人员使用棍棒、刀具以及各种枪支武器进行斗殴”,江苏省高级人民法院、江苏省人民检察院和江苏省公安厅联合发布的《关于办理聚众斗殴案件适用法律若干问题的意见》中也将“持械聚众斗殴”中的“械”解释为“治安管制刀具以及枪支、棍棒等足以致人伤亡的工具”。《刑法释义》中的“主要”二字及《意见》中的“等”用意应该是一致的,“械”并不局限于罗列的三种工具,可以作等外解释。司法实践中,很多聚众斗殴案件中行为人手持足以致人伤亡的啤酒瓶、砖头、石块等都认定为持械,这些原本性质上不属于伤人工具的物品等都因为行为人的使用而功能上发生了转化,成为足以致人伤亡的工具,也成为了刑法意义上的“械”。
2.汽车在一定条件下的物体属性可以使之转化为足以致人伤亡的工具。首先,汽车具有坚硬的物理属性,其材质足以让人感知,高速运行时足以让人产生威慑和恐慌。其次,当汽车处于一定速度时撞击人体必定具有伤害性,极易造成严重的损伤后果。再次,汽车由人的意志操纵,其前进的方向和速度可以由人来掌握,具有人为的掌控性。因此,当行为人在斗殴中控制、驾驶车辆撞击对方时,汽车的物体属性也随之成为与一般意义上的“械”一样可以足以致人伤亡的工具。
3.把斗殴中撞人所用的汽车作为“械”来考量并非类推。首先,当汽车在斗殴中使用并撞击对方时,已经成为意在致人伤亡的工具,笔者认为这样的理解没有超出“械”本身同样作为伤人工具而可能包含的意思。其次,这样的理解符合“预测的可能性”,即没有超出一般人对刑法的预测,就是没有将本应不属于犯罪的行为解释为犯罪,或者将不应该加重处罚的行为加重处罚。再次,不能将对语境的灵活填充轻易地归结为类推。罪刑法定原则并不意味刑法解释的僵化、机械,相反应当允许刑法体系适度的开放,因为法律解释很大程度上是实践的、创造性的,这是由不断变化的法律需要所决定的,因此完全可以用对生活事实的理解去挖掘刑法词语背后的含义。
4.从刑法的保护性机能看。刑法的保护性机能在于惩罚犯罪,保护人民群众的利益不受侵害。刑法设置持械聚众斗殴为加重情节的目的在于惩处和警示在斗殴中使用工具的行为人。当汽车在斗殴中以一定的状态(包括速度、方向)作为工具使用时,其对人体生命、健康的威胁程度相对于一般意义上的刀具、棍棒等相差无几。这种情况同样需要刑法的保护性机能的发挥。反之,假设本案中没有致人死亡,仅有轻伤,而不认定持械聚众斗殴,在有期徒刑三年以下量刑,不符合刑法罪责刑相适应的原则。
综上,笔者认为在犯罪形式多样化的情势下,不应局限于本身先入为主地对“械”的文字化理解,应当挖掘文字本身的生命力,在兼顾罪刑法定原则的基础上,最大限度地体现罪责刑相适应原则。
(作者单位:江苏省常州市中级人民法院)