信息安全管理系列之二十九 《布達佩斯網絡犯罪公約》介紹及網絡犯罪行為分析

謝宗曉（南開大學商學院）

劉琦（河南警察學院信息安全系）

本刊特約

信息安全管理系列之二十九 《布達佩斯網絡犯罪公約》介紹及網絡犯罪行為分析

謝宗曉（南開大學商學院）

劉琦（河南警察學院信息安全系）

謝宗曉 博士

“十二五”國家重點圖書出版規劃項目《信息安全管理體系叢書》執行主編。自 2003 年起，從事信息安全風險評估與信息安全管理體系的咨詢與培訓工作。目前，已發表論文 55 篇，出版專著 12 本。

《中華人民共和國刑法修正案 (九 )》1）全文可以參考中國人大網：http://www.npc.gov.cn/npc/xinwen/2015-08/31/content_1945587.htm。明確了網絡服務提供者履行網絡安全管理的義務，并加強了公民個人信息保護，增加了編造和傳播虛假信息犯罪等罪名。同時，隨著 2017 年 6 月 1 日《中華人民共和國網絡安全法》的實施，對于網絡犯罪越來越重視。因此，有必要對網絡犯罪領域最重要的文獻之一《布達佩斯網絡犯罪公約》進行必要的解讀。

謝宗曉（特約編輯）

介紹了《布達佩斯網絡犯罪公約》的產生背景以及主要內容，并結合《中華人民共和國刑法修正案（九）》對其中的網絡犯罪行為進行了初步分析。

網絡犯罪 信息安全 網絡安全

1 《布達佩斯網絡犯罪公約》的背景

《布達佩斯網絡犯罪公約》（Budapest Convention on Cybercrime）簡稱《網絡犯罪公約》2）英文官方文檔下載地址：http://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/185，在http://www.infseclaw.net/news/html/969.html有中文翻譯版本。，有時候也被稱為《布達佩斯公約》，這是全世界范圍內第一部關于網絡犯罪行為國際公約，由歐洲理事會3）歐洲理事會（Council of Europe）是致力于保護人權、民主和法治的歐洲國際組織，建立于1949年5月5日，目前有47個成員國。制定于2001 年 11 月 23 日，在 2004 年 7 月 1 日生效。2003年 1月28日，又通過了《網絡犯罪公約補充協定：關于通過計算機系統實施的種族主義和仇外情緒的犯罪化》4）英文標題為：Additional Protocol to the Convention on Cybercrime, Concerning the Criminalisation of Acts of a Racist and Xenophobic Nature Committed through Computer Systems。。

該公約的主要目的是構建盡量通用的犯罪策略（policy），并在此基礎上加強國際合作，更直接的目的是阻止對計算機系統、網絡和計算機數據等保密性、完整性和可用性的損害，或與其相關的濫用行為。以此為基礎，建立的架構如圖1所示。

圖1 網絡空間保護框架

在圖 1 中，T-CY 是指專門負責的機構 ：網絡犯罪公約委員會5）Cybercrime Convention Committee（T-CY），http://www.coe.int/en/web/cybercrime/tcy。，C-PROC 是指專門的技術支持機構：網絡犯罪項目辦公室6）Cybercrime Programme Office (C-PROC) ，http://www.coe.int/en/web/cybercrime/cybercrime-office-c-proc-。。

2 《網絡犯罪公約》的主要內容

除了序言外，《網絡犯罪公約》正文共有 4章，48項條款。

其中，第一章，條款 1，給出了 4個詞匯，分別為“計算機系統”“計算機數據”“服務提供商”和“流量數據”。計算機系統詞匯現在已經用得不多了，早在 GB 17859—1999《計算機信息系統安全保護等級劃分準則》中定義的就是“計算機信息系統”，在《關于信息安全等級保護工作的實施意見》（公通字〔2004〕66 號）中則定義了更為常見的“信息系統”。

這3個定義分別如下：

計算機系統指任何執行程序、進行數據自動化處理的設備或一組相連的設備。

計算機信息系統是由計算機及其相關的和配套的設備、設施（含網絡）構成的，按照一定的應用目標和規則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統。

信息系統是指由計算機及其相關和配套的設備、設施構成的，按照一定的應用目標和規則對信息進行存儲、傳輸、處理的系統或者網絡；信息是指在信息系統中存儲、傳輸、處理的數字化信息。

《網絡犯罪公約》中，第二章的第一節里主要界定了網絡犯罪行為；第二章的第二節里則討論了訴訟法（程序法）。因此，我們在下文的表 1 中條款 12雖然也列出，但是并沒有作為犯罪行為統計。這一部分也很重要，與刑事訴訟法不同的是，此處更多的涉及技術問題，尤其是計算機取證等內容[1]。當然，法律偏重于管理問題，技術則需要參考其他的資料，例如 ISO/IEC 27037《數字證據識別、收集、獲取與保護》和 ISO/IEC 27042《數字證據分析與解釋》等標準[2]。第三章為國際合作，最后一章為最終條款，介紹了簽名生效與加入公約等相關問題。

3 《網絡犯罪公約》中的網絡犯罪行為

《網絡犯罪公約》中，第二章的第一節中，條款2 至條款 11，描述了 5 類 10 種網絡犯罪行為，加上《網絡犯罪公約補充協定》中的條款3，可以認為一共描述了11種網絡犯罪行為。具體解釋如表1所示。

表1 主要的網絡犯罪行為

4 小結

我國對于網絡犯罪行為的規定過于狹窄[4]，1997 年版的《中華人民共和國刑法》只有 3 個罪名，《中華人民共和國刑法修正案（九）》 進行了較大的改進[5]。隨著 2017 年 6 月 1 日《中華人民共和國網絡安全法》的實施，對于網絡犯罪越來越重視。但是，在整體概念理解上，依然過于狹義。

例如，《中華人民共和國網絡安全法》的英文標 題 為 Cybersecurity Law of the People's Republic of China，但在其中更多的是討論 Network，并沒有很好地體現網絡空間（Cyberspace）的特點。

此外，第七十六條中，對于“網絡”和“網絡安全”的定義如下：

網絡，是指由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統。

網絡安全，是指通過采取必要措施，防范對網絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網絡處于穩定可靠運行的狀態，以及保障網絡數據的完整性、保密性、可用性的能力。

從第七十六條的定義中，我們可以看出，《中華人民共和國網絡安全法》更偏重物理的網絡安全，而不是廣義的網絡以及在此基礎上建立的虛擬空 間[6，7]。當然，在英文版中對于 Cybersecurity 和Network Security 進行了清晰的區別，但是在中文版中并不容易分辨。

[1]皮勇.《網絡犯罪公約》中的證據調查制度與我國相關刑事程序法比較[J]. 中國法學，2003（04）：146-161.

[2]謝宗曉，甄杰. 信息安全管理系列之二十五 截至2016年底ISO/IEC 27000標準族的進展(下)[J]. 中國質量與標準導報，2017（02）：34-38，41.

[3]于志剛. 締結和參加網絡犯罪國際公約的中國立場[J]. 政法論壇，2015（05）：91-108.

[4]胡紅梅，謝俊. 網絡犯罪的國際治理何去何從[N]. 科技日報，2014-08-29（12）.

[5]周漢華解讀《刑法修正案（九）》[EB/OL].新華網，http://www.xinhuanet.com/talking/20151112a/ iframe_wzsl.htm.

[6]謝宗曉. 關于網絡空間（cyberspace）及其相關詞匯的再解析[J]. 中國標準導報，2016（02）：26-28.

[7]謝宗曉. 信息安全、網絡安全及賽博安全相關詞匯辨析[J]. 中國標準導報，2015（12）：30-32.

Introduction of Budapest Convention on Cybercrime

Xie Zongxiao ( Business School, Nankai University )
Liu Qi ( Department of Information Security, Henan Police College )

This paper introduced the background and content of Budapest Convention on Cybercrime and analysis its article.

Cybercrime, Information Security, Cybersecurity