《国盟信息安全通报2017年03月13日第140期.pdf》由会员分享，可在线阅读，更多相关《国盟信息安全通报2017年03月13日第140期.pdf（44页珍藏版）》请在文库网上搜索。

1、国盟信息安全通报（2017 年 03 月 13 日第 140 期） 国际信息安全学习联盟主办 1 http:/ 2017 年 03 月 13 日第 140 期 国盟信息安全通报（2017 年 03 月 13 日第 140 期） 国际信息安全学习联盟主办 2 http:/ 国盟信息安全通报 （第第 140 期期） 国家信息安全漏洞共享平台（以下简称 CNVD）本周共收集、整理信息安全漏洞 229 个，其中高危漏洞 115 个、中危漏洞 101 个、低危漏洞13 个。漏洞平均分值为 6.28。本周收录的漏洞中，涉及 0day 漏洞 73个 （占 32%） 。 其中互联网上出现 “NetgearDG

2、N2201 dnslookup.cgi 远程命令执行漏洞、 WordPress Kama插件Click CounterSQL注入漏洞”等零日代码攻击漏洞，请使用相关产品的用户注意加强防范。 国际国际信息安全信息安全学习联学习联盟盟 2017 年年 03 月月 13 日日 国盟信息安全通报（2017 年 03 月 13 日第 140 期） 国际信息安全学习联盟主办 3 http:/ 主要内容主要内容 一、概述一、概述 . 4 二、安全漏洞增长数量及种类分布情况二、安全漏洞增长数量及种类分布情况 . 4 漏洞产生原因（2017 年 02 月 27 日2017 年 03 月 13 日）. 4 漏洞引

3、发的威胁（2017 年 02 月 27 日2017 年 03 月 13 日）. 5 漏洞影响对象类型（2017 年 02 月 27 日2017 年 03 月 13 日）. 5 三、安全产业动态三、安全产业动态 . 6 网络空间国际合作战略六大目标九大计划只为一个愿望. 6 为保护个人信息安全再筑“高墙”. 9 关于办理电信网络诈骗等刑事案件适用法律若干问题的意见六大亮点 12 评网络安全法对数据安全保护之得与失. 16 四、政府之声四、政府之声 . 23 全国信息安全标准化技术委员会召开全体会议. 23 工信部要求互联网企业加强安全防范. 24 多部委印发“互联网+”招标采购行动方案 . 25

“维基揭秘”曝光中情局入侵全球智能装备 . 32 50 亿条公民信息泄露原因曝光京东内鬼被抓. 34 新加坡国防部 I-net 系统遭攻击 850 名用户信息被盗. 35 纽约机场泄漏超过 750GB 邮件密码和政府文件.

5、36 离职女客服卧底窃密:58 同城系公司遭索赔 2000 万. 39 非法获取万余条学生信息宁波两教育培训机构被罚. 42 注：本报根据中国国家信息安全漏洞库（CNNVD）和各大信息安全网站整理分析而成。 国盟信息安全通报（2017 年 03 月 13 日第 140 期） 国际信息安全学习联盟主办 4 http:/ 一、一、 概述概述 国盟信息安全通报是根据国家信息安全漏洞共享平台（以下简称 CNVD）本周共收集、整理信息安全漏洞 229 个，其中高危漏洞 115 个、中危漏洞 101 个、低危漏洞 13 个。漏洞平均分值为 6.28。本周收录的漏洞中，涉及 0day 漏洞 73个（占 32

6、%） 。其中互联网上出现“NetgearDGN2201 dnslookup.cgi 远程命令执行漏洞、WordPress Kama 插件 Click CounterSQL 注入漏洞”等零日代码攻击漏洞，请使用相关产品的用户注意加强防范。 二、二、 安全漏洞增长数量及种类分布情况安全漏洞增长数量及种类分布情况 漏洞产生原因（漏洞产生原因（ 年年 0 02 2 月月

三、三、 安全产业动态安全产业动态 网络空间国际合作战网络空间国际合作战略六大目标九大计划略六大目标九大计划只为一个愿望只为一个愿望 编者按：编者按： 2017 年 3 月 1 日，中国网络空间国际合作战略 （下

8、称战略 ）发布。全文分为序言、机遇与挑战、基本原则、战略目标、行动计划、结束语 6 部分。与国家网络空间安全战略一脉相承，传承了习近平总书记在第二届世界互联网大会演讲的精神实质，具体刻画出了构建网络空间命运共同体的中国方案。 正如战略文本所言， “ 网络空间国际合作战略全面宣示中国在网络空间相关国际问题上的政策立场， 系统阐释中国开展网络领域对外工作的基本原则、 战略目标和行动要点，旨在指导中国今后一个时期参与网络空间国际交流与合作， 推动国际社会携手努力， 加强对话合作，共同构建和平、安全、开放、合作、有序的网络空间，建立多边、民主、透明的全球互联网治理体系。 ”整个战略展示中国胸怀，凝聚合

9、作力量，既为中国谋，更为世界谋，目的是通过“和平发展、合作共赢、主权平等、普惠共享、共建共治” ，构建网络空间命运共同体。 战略体现出“撸起袖子加油干”的务实作风，可以概括为网络空间国际合作的中国认识、中国态度、中国原则、中国目标、中国计划和中国愿景。 中国认识：构建网络空间命运共同体的基础中国认识：构建网络空间命运共同体的基础 引言部分，直接以习近平主席的重要论述开篇， “网络空间是人类共同的活动空间，网络空间前途命运应由世界各国共同掌握。各国应该加强沟通、扩大共识、深化合作，共同构国盟信息安全通报（2017 年 03 月 13 日第 140 期） 国际信息安全学习联盟主办 7 http:/

10、 建网络空间命运共同体。 ” 这个开宗明义的论述，涵盖了“三个认识” ：一是对网络空间本质的认识， “当今世界，以互联网为代表的信息技术日新月异，引领了社会生产新变革，创造了人类生活新空间，拓展了国家治理新领域，极大提高了人类认识世界、改造世界的能力。 ”二是对网络空间作用的认识， “作为人类社会的共同财富，互联网让世界变成了 地球村 。各国在网络空间互联互通，利益交融，休戚与共。 ”三是对网络空间合作的认识， “维护网络空间和平与安全，促进开放与合作，共同构建网络空间命运共同体，符合国际社会的共同利益，也是国际社会的共同责任。 ”在此基础上，顺理成章地推出构建网络空间命运共同体的中国方案。

11、中国态度：网络空间国际合作不可或缺中国态度：网络空间国际合作不可或缺 机遇与挑战部分，首先在世界多极化、经济全球化、文化多样化深入发展，全球治理体系深刻变革的背景下， 认识信息网络革命。 并剖析网络空间作为人类社会生产生活的新空间，越来越成为信息传播的新渠道、 经济发展的新引擎、 文化繁荣的新载体、 社会治理的新平台、交流合作的新纽带、国家主权的新疆域。 之后从网络空间的安全与稳定成为攸关各国主权、安全和发展利益的全球关切的视角，审视面临的“七大挑战” ：互联网领域发展不平衡、规则不健全、秩序不合理等问题日益凸显。国家和地区间的“数字鸿沟”不断拉大。关键信息基础设施存在较大风险隐患。全球互联网

12、基础资源管理体系难以反映大多数国家意愿和利益。 网络恐怖主义成为全球公害， 网络犯罪呈蔓延之势。滥用信息通信技术干涉别国内政、从事大规模网络监控等活动时有发生。网络空间缺乏普遍有效规范各方行为的国际规则，自身发展受到制约。 最后部分表明了中国态度： “面对问题和挑战，任何国家都难以独善其身，国际社会应本着相互尊重、 互谅互让的精神， 开展对话与合作， 以规则为基础实现网络空间全球治理。 ” 中国原则：始终坚持“和平、主权、共治、普惠”中国原则：始终坚持“和平、主权、共治、普惠” 基本原则部分，基于“三个基础” ，提出了“和平、主权、共治、普惠”作为网络空间国际交流与合作的基本原则。这“三个基础

13、”就是，中国始终是世界和平的建设者、全球发展的贡献者、国际秩序的维护者；中国坚定不移走和平发展道路，坚持正确义利观，推动建立合作共赢的新型国际关系； 中国网络空间国际合作以和平发展为主题， 以合作共赢为核心。 这“三个基础”是一个层层递进的有机整体，进而自然而然推出中国原则。 （一）和平原则。从坚守稳定繁荣、遵守已有成果、明确基本准则、摒弃固有弊端、应对新的威胁等层面表述。 （二）主权原则。从联合国宪章确立的主权平等，国家网络空间治理的自主等方面阐释。 （三）共治原则。从多国共建共治、多方参与治理、形成机制规则、实现公平合国盟信息安全通报（2017 年 03 月 13 日第 140 期） 国际

14、信息安全学习联盟主办 8 http:/ 作等四个层面表述。 （四）普惠原则。一是表述网络效益悄然发生的普惠效果。二是强调国际合作的普惠潜力。三是善于利用已有合作的普惠价值。 中国目标：聚焦“六大战略目标”中国目标：聚焦“六大战略目标” 早在第二届世界互联网大会上，习近平主席就强调，我们的目标，就是要让互联网发展成果惠及 13 亿多中国人民，更好造福各国人民。这个中国目标，具体可以分解为（一）维护主权与安全。 （二）构建国际规则体系。 （三）促进互联网公平治理。 （四）保护公民合法权益。 （五）促进数字经济合作。 （六）打造网上文化交流平台“六大战略目标” 。尤为主要的是，在维护主权与安全原则中

15、，特别表述了维护主权与安全的国防力量，为中国军队建设提出了明确的战略任务。 中国国防和军队现代化建设必须聚焦网络国防， 网络国防力量是国家安全、社会稳定、人民幸福的根本保障。 战略指出， “网络空间国防力量建设是中国国防和军队现代化建设的重要内容，遵循一贯的积极防御军事战略方针。 中国将发挥军队在维护国家网络空间主权、 安全和发展利益中的重要作用，加快网络空间力量建设，提高网络空间态势感知、网络防御、支援国家网络空间行动和参与国际合作的能力，遏控网络空间重大危机，保障国家网络安全，维护国家安全和社会稳定。 ” 中国计划：推动“九大行动计划”中国计划：推动“九大行动计划” 行动计划部分，主要表明

16、中国积极参与网络领域相关国际进程，加强双边、地区及国际对话与合作，增进国际互信，谋求共同发展，携手应对威胁： （一）倡导和促进网络空间和平与稳定。（二） 推动构建以规则为基础的网络空间秩序。（三） 不断拓展网络空间伙伴关系。（四）积极推进全球互联网治理体系改革。 （五）深化打击网络恐怖主义和网络犯罪国际合作。 （六）倡导对隐私权等公民权益的保护。 （七）推动数字经济发展和数字红利普惠共享。（八）加强全球信息基础设施建设和保护。 （九）促进网络文化交流互鉴。 推出“九大行动计划” ，关键在于多层次、多角度、多方面推动国际合作， “以期最终达成各方普遍接受的网络空间国际规则，构建公正合理的全球网络

17、空间治理体系。 ” 中国愿望：同心打造人类命运共同体中国愿望：同心打造人类命运共同体 结束语部分，特别强调了网络空间国际合作的中国愿望。这个愿景实现的则包括“三个背景” ：一是时代背景。网络空间国际合作起步于 21 世纪这个网络和信息化时代，最重要的特征显然就是网络安全和信息化。 二是历史背景。 中国网络强国宏伟目标根植于新的历史起点。这就是中国“四个全面”战略布局、 “两个一百年”奋斗目标和中华民族伟大复兴中国梦。三是中国背景。中国始终是网络空间的建设者、维护者和贡献者。中国网信事业的发展国盟信息安全通报（2017 年 03 月 13 日第 140 期） 国际信息安全学习联盟主办 9 htt

18、p:/ 不仅将造福中国人民，也将是对全球互联网安全和发展的贡献。 最后，在这“三个背景”之下，强调实现网络空间国际合作的中国愿望，必须兼顾网络强国的国内部署和国际合作，也就是我们常说的兼顾国际国内两个大局的具体化，即“在推进建设网络强国战略部署的同时， 将秉持以合作共赢为核心的新型国际关系理念， 致力于与国际社会携起手来，加强沟通交流，深化互利合作，构建合作新伙伴。 ”进而实现“同心打造人类命运共同体，为建设一个安全、稳定、繁荣的网络空间作出更大贡献”的美好愿景。（来源：澎湃新闻） 网络空间国际合作战略网络空间国际合作战略 全文阅读: http:/ 为保护个人信息安全再筑“高墙”为保护个人信息

19、安全再筑“高墙” 2017 年 3 月 8 日，提请十二届全国人大五次会议审议的民法总则草案规定，自然人的个人信息受法律保护。任何组织和个人应当确保依法取得的个人信息安全，不得非法收集、使用、加工、传输个人信息, 不得非法买卖、提供或者公开个人信息。近年来，侵害公民个人信息类违法犯罪日益突出，互联网上非法买卖公民个人信息泛滥，社会危害严重，群众反应强烈。草案中的这一规定，无疑将为保护个人信息安全再筑“高墙” 。 依法保护个人信息刻不容缓依法保护个人信息刻不容缓 国盟信息安全通报（2017 年 03 月 13 日第 140 期） 国际信息安全学习联盟主办 10 http:/ “买房时在开发商那里

20、留下了电话号码， 此后就不断接到房产中介的推销电话， 不堪其扰。 ”谈起个人信息泄露问题，全国人大代表、福建漳州农村商业银行股份有限公司董事长滕秀兰显得很无奈。 “像这样新鲜的信息价值不菲，每条可以卖到 20 至 30 元。 ”厦门市公安局刑侦支队民警陈鸿告诉记者，刚买车的车主、刚订机票的旅客、刚下单的网购者等个人信息最受诈骗分子“青睐” 。 记者从公安部了解到，2016 年公安机关相关部门共侦破侵犯个人信息犯罪案件 1800 余起，抓获犯罪嫌疑人 4200 余人，查获各类公民个人信息 300 余亿条；其中，抓获涉及 40 余个行业和部门的内部人员 390 余人、黑客近百人。 在信息社会，个人

21、信息保护尤其重要。2016 年 10 月 31 日，受到社会广泛关注的民法总则草案二审稿提请十二届全国人大常委会第二十四次会议审议。 二审稿在广泛征求社会各界意见的基础上，明确了个人信息受法律保护。 “民法总则草案中加入自然人的个人信息受法律保护，体现了现代社会生活的需要。 ”全国人大代表、 中国社科院法学所研究员孙宪忠说， 在现代社会， 人们需要将信息交给社会，但这样做可能会出现信息被滥用或被违法犯罪分子利用的问题， 民法总则草案提出保护个人信息，是对重大民事利益的阐释，值得肯定。 防止个人信息“跑冒滴漏”防止个人信息“跑冒滴漏” 国盟信息安全通报（2017 年 03 月 13 日第 140

22、 期） 国际信息安全学习联盟主办 11 http:/ 广受社会关注的山东临沂高考录取新生徐玉玉被诈骗案中， 犯罪嫌疑人杜某利用技术手段攻击了“山东省 2016 高考网上报名信息系统”并在网站植入木马病毒，获取网站后台登录权限，盗取了包括徐玉玉在内的大量考生报名信息。 全国政协委员、重庆静昇律师事务所主任律师彭静认为，犯罪分子能够屡屡得手，最重要的原因，就是实施了“精准诈骗” ，其在获得详细的个人信息后，有针对性地对特定人群定制诈骗方案。 记者在采访中了解到，个人信息泄露途径日益多样化，搜集、贩卖公民个人信息形成了黑色产业链。从泄露源头看，有的是公民个人不注重信息保护，无意中泄露；有的是少数掌握

23、公民个人信息的工作人员“监守自盗” ；还有一些不法分子利用黑客程序入侵有关机构信息数据系统，批量获取。 “个人信息在各类机构和平台的使用当中，给我们提供了个性化的、便利的商业服务，这是从公开信息中享受到的好处。 ”全国人大代表、重庆市律师协会会长韩德云说，但一定要将正当使用和非法使用区别开来， 并且严格界定使用的途径， 遵循合理使用与安全使用的原则。 守护个人信息安全要从源头抓起守护个人信息安全要从源头抓起 互联网时代，技术手段不断提高，通过技术非法获取公民个人信息的情况屡见不鲜，给消费者权益造成损害。 “民法总则发挥着奠基石的作用。从保护公民权利的角度来看，个人信息安全本身与公民的人身权、财

24、产权息息相关。 ”全国人大代表杨亚达说，一方面需要界定信息安全的标准，另一方面要明确信息安全责任人，谁该对信息泄露负责。同时加强源头治理，多管齐下，对于信息安全保障可以专门立法。 从源头治理个人信息泄露问题是一个系统性工程，它既依赖于法律制度的进一步完善，也依赖于多部门的联动与配合。 “从立法完善层面上来讲，必须建立民事责任、行政责任和刑事责任三个相互递进、系统完善的法律责任追究体系。 ”彭静建议，基于当前个人信息保护的严峻形势，有必要优化执法职能，破除条块分割。可考虑整合个人信息保护中的相关执法职能，设立跨部门的个人信息保护机构，统筹个人信息保护的预防、监管、违法责任追究等职责，更加有效地保

25、护个人信息。(来源：新华网） 国盟信息安全通报（2017 年 03 月 13 日第 140 期） 国际信息安全学习联盟主办 12 http:/ 关于办理电信网络诈骗等刑事关于办理电信网络诈骗等刑事案件适用法律若干问题的意见案件适用法律若干问题的意见六大亮点六大亮点 中央高度重视打击防范电信网络诈骗违法犯罪活动， 专门建立了国务院打击治理电信网络新型违法犯罪工作部际联席会议制度，要求惩防并举，重拳出击，深入开展打击治理电信网络新型违法犯罪专项行动。 六部门通告 提出了一系列源头防范的举措和打击目标， 要求公安机关、 人民检察院、人民法院要依法快侦、 快捕、 快诉、 快审、 快判， 坚决遏制电信网

26、络诈骗犯罪发展蔓延势头。六部门通告指出，电信网络诈骗犯罪是严重影响人民群众合法权益、破坏社会和谐稳定的社会公害，必须坚决依法严惩。凡是实施电信网络诈骗犯罪的人员，必须立即停止一切违法犯罪活动。 鉴于六部门通告属于规范性文件，未就该类新型网络诈骗犯罪如何适用法律等问题做出具体规定，缺乏强制的法律执行力。为此，最高人民法院、最高人民检察院、公安部针对该类新型犯罪特点，在进行深入调查研究和广泛征求各行业的意见的基础上，依照刑法、刑诉法和相关司法解释的规定， 联合制定了 关于办理电信网络诈骗等刑事案件适用法律若干问题的意见 （下称： 意见 ） ，并于 2016 年 12 月 20

27、见的及时出台，将对打击通讯信息诈骗违法犯罪起到巨大的震慑作用。 下面就“两高一部” 意见中的六大亮点作如下解析：下面就“两高一部” 意见中的六大亮点作如下解析： 国盟信息安全通报（2017 年 03 月 13 日第 140 期） 国际信息安全学习联盟主办 13 http:/ 一、 意见规定了十项“从重处罚”情节一、 意见规定了十项“从重处罚”情节 刑法上的 “从重处罚” 是指在刑法法定处罚种类和幅度内对行为人适用较重种类或者较高幅度的处罚。 从重处罚表明犯罪行为人实施的犯罪行为是比较严重的， 要在量刑幅度内选择比较重的刑罚。 意见第二条规定了十项电信网络诈骗从重处罚的情节：1.造成被害人或其近

28、亲属自杀、 死亡或者精神失常等严重后果的； 2.冒充司法机关等国家机关工作人员实施诈骗的；3.组织、指挥电信网络诈骗犯罪团伙的；4.在境外实施电信网络诈骗的；5.曾因电信网络诈骗犯罪受过刑事处罚或者二年内曾因电信网络诈骗受过行政处罚的； 6.诈骗残疾人、老年人、未成年人、在校学生、丧失劳动能力人的财物，或者诈骗重病患者及其亲属财物的；7.诈骗救灾、抢险、防汛、优抚、扶贫、移民、救济、医疗等款物的；8.以赈灾、募捐等社会公益、 慈善名义实施诈骗的； 9.利用电话追呼系统等技术手段严重干扰公安机关等部门工作的；10.利用“钓鱼网站”链接、 “木马”程序链接、网络渗透等隐蔽技术手段实施诈骗的。 我国

29、刑法中的 “从重处罚” 必须以 “从重处罚情节” 为依据， 如果没有 “从重处罚情节” ，不得对犯罪分子进行从重量刑。从意见确定的十类从重处罚情节看，电信网络诈骗除了构成诈骗本罪之外， 该类新型犯罪还将引发系列犯罪并导致严重的社会危害后果， 因此必须加大该类犯罪人刑事责任的成本。 二、 意见进一步确定了诈骗“数额巨大”和“数额特别巨大”的标准二、 意见进一步确定了诈骗“数额巨大”和“数额特别巨大”的标准 意见根据最高人民法院、最高人民检察院关于办理诈骗刑事案件具体应用法律若干问题的解释第一条的规定，利用电信网络技术手段实施诈骗，诈骗公私财物价值三千元以上、三万元以上、五十万元以上的，应当分别认

30、定为刑法第二百六十六条规定的“数额较大” 、 “数额巨大” 、 “数额特别巨大” 。 意见同时规定，二年内多次实施电信网络诈骗未经处理，诈骗数额累计计算构成犯罪的，也应当依法定罪处罚。 如果实施电信网络诈骗犯罪，诈骗数额“接近”上述“数额巨大”或“数额特别巨大”的标准，同时具有以上十项“从重处罚”情形之一的，应当分别认定为刑法第二百六十六条规定的“其他严重情节”或“其他特别严重情节” 。这里的“接近” ，一般应掌握在相应数额标准的 80%以上。 三、 意见采取了数额标准和数量标准并行的定罪方式三、 意见采取了数额标准和数量标准并行的定罪方式 目前， 诈骗分子使用现代通讯工具和互联网技术实施通讯

31、信息诈骗犯罪， 具有极大的隐蔽性，加大了侦查和取证的难度，因此实践中很难确定所涉及的诈骗数额。 意见充分注意到这一情况， 采取了数额标准和数量标准并行的定罪方式， 即可根据犯罪分子的诈骗数额，国盟信息安全通报（2017 年 03 月 13 日第 140 期） 国际信息安全学习联盟主办 14 http:/ 也可根据其实际拨打诈骗电话、发送诈骗信息的数量来定罪量刑。 电信网络诈骗犯罪能确定数额的应当以诈骗罪(既遂)定罪处罚，刑法中的“犯罪既遂”是指故意犯罪的完成形态；如不能确定数额的应当按照数量标准以诈骗罪(未遂)定罪处罚，如发送诈骗信息五千条以上或者拨打诈骗电话五百人次以上，以及在互联网上发布诈

32、骗信息， 页面浏览量累计五千次以上， 应当认定为刑法第二百六十六条规定的 “其他严重情节” ，以诈骗罪(未遂)定罪处罚。按照我国刑法的规定，犯罪未遂是指已经着手实行犯罪，由于犯罪分子意志以外的原因而未得逞的情形，因此“犯罪未遂”也是犯罪，可以比照既遂犯从轻或者减轻处罚。 意见的此项规定体现了刑法中的“罪责刑相适应”原则。 四、 意见坚持了全面惩处关联犯罪的原则四、 意见坚持了全面惩处关联犯罪的原则 电信网络诈骗通常是多人共同犯罪，其采用分工负责、拆分责任的作案方式，并进行公司化、 专门化管理， 具有犯罪隐蔽性强， 跨地域犯罪， 成本低、 收益大， 科技含量高等特点，方法也在不断升级，已经形成了

33、较为完整的犯罪产业链。该类新型诈骗犯罪在实施过程中，还涉及侵犯公民个人信息，使用“伪基站” 、 “黑广播”扰乱无线电通讯管理秩序，掩饰、隐瞒犯罪所得和犯罪所得收益， 非法持有他人信用卡， 冒充国家机关工作人员实施诈骗犯罪以及为该类诈骗犯罪提供犯罪工具、设备和技术支持等上下游关联的犯罪情形。对此意见针对电信网络诈骗犯罪链衍生出的六类犯罪情形做出了定罪量刑标准： 1.非法使用“伪基站”和“黑广播” ，干扰无线电通讯秩序，符合刑法第二百八十八条规定的，以扰乱无线电通讯管理秩序罪追究刑事责任；如果同时构成诈骗罪的，依照处罚较重的规定定罪处罚； 2.向他人出售或者提供公民个人信息， 窃取或者以其他方法非

34、法获取公民个人信息， 符合刑法第二百五十三条之一规定的， 以侵犯公民个人信息罪追究刑事责任。 使用非法获取的公民个人信息，同时实施电信网络诈骗犯罪行为，将实行“数罪并罚” 。 3.冒充国家机关工作人员实施电信网络诈骗犯罪的，将同时构成诈骗罪和招摇撞骗罪，依照处罚较重的规定定罪处罚。 4.非法持有他人信用卡， 即使没有证据证明从事电信网络诈骗犯罪活动， 如果符合刑法第一百七十七条之一第一款第(二)项规定的，以妨害信用卡管理罪追究刑事责任。 5.明知是电信网络诈骗犯罪所得及其产生的收益，以予以转账、套现、取现的，依照刑法第三百一十二条第一款的规定，以掩饰、隐瞒犯罪所得、犯罪所得收益罪追究刑事责任。

35、 意见 作出了比刑法第三百一十二条第一款字面含义更为广泛的解释， 列举了五种应追究刑事责任的情形：一是通过使用销售点终端机具(POS 机)刷卡套现等非法途径，协助转国盟信息安全通报（2017 年 03 月 13 日第 140 期） 国际信息安全学习联盟主办 15 http:/ 换或者转移财物的； 二是帮助他人将巨额现金散存于多个银行账户， 或在不同银行账户之间频繁划转的； 三是多次使用或者使用多个非本人身份证明开设的信用卡、 资金支付结算账户或者多次采用遮蔽摄像头、伪装等异常手段，帮助他人转账、套现、取现的；四是为他人提供非本人身份证明开设的信用卡、资金支付结算账户后，又帮助他人转账、套现、取

36、现的；五是以明显异于市场的价格，通过手机充值、交易游戏点卡等方式套现的。 意见规定，实施上述行为，如果事前有通谋的，将以共同犯罪论处。 6.网络服务提供者不履行法律、 行政法规规定的信息网络安全管理义务， 经监管部门责令采取改正措施而拒不改正，致使诈骗信息大量传播，或者用户信息泄露造成严重后果的，依照刑法第二百八十六条之一的规定，将以拒不履行信息网络安全管理义务罪追究刑事责任。 刑法修正案（九）明确规定，网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，有下列情形之一的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金： （一）致使违法信息大

37、量传播的； （二）致使用户信息泄露，造成严重后果的； （三）致使刑事案件证据灭失，情节严重的； （四）有其他严重情节的。 意见专门针对金融机构、网络服务提供者、电信业务经营者等在经营活动中，违反国家有关规定，被电信网络诈骗犯罪分子利用，使他人遭受财产损失的，应依法承担相应的法律责任做出了规定。 五、 意见依法明确了案件的管辖五、 意见依法明确了案件的管辖 由于该类犯罪区域的无限性和犯罪地域管辖的有限性， 司法机关在追诉、 惩罚此类犯罪过程中面临的一个经常性的困惑是如何确定案件管辖权。对此， 意见规定了八类电信网络诈骗犯罪案件的管辖原则， 即除一般情况由犯罪地公安机关立案侦查， 或由犯罪嫌疑人居

38、住地公安机关立案侦查外， 对因网络交易、 技术支持、 资金支付结算等关系形成多层级链条、跨区域的电信网络诈骗等犯罪案件的管辖， 多个公安机关都有权立案侦查， 并对在境外实施的电信网络诈骗等犯罪案件的管辖以及公安机关立案、 并案侦查， 或因有争议案件的管辖等问题做出了详细的规定。 意见明确规定，犯罪行为发生地和犯罪结果发生地均属于犯罪地，前者包括用于电信网络诈骗犯罪的网站服务器所在地，网站建立者、管理者所在地，被侵害的计算机信息系统或其管理者所在地，犯罪嫌疑人、被害人使用的计算机信息系统所在地，诈骗电话、短信息、电子邮件等的拨打地、发送地、到达地、接受地，以及诈骗行为持续发生的实施地、预国盟信息

39、安全通报（2017 年 03 月 13 日第 140 期） 国际信息安全学习联盟主办 16 http:/ 备地、开始地、途经地、结束地；后者包括被害人被骗时所在地，以及诈骗所得财物的实际取得地、藏匿地、转移地、使用地、销售地等。 为了联合应对和打击重大疑难复杂案件和境外案件， 意见要求公安机关应在指定立案侦查前，应向同级人民检察院、人民法院通报。 六、 意见明确了赃款和赃物的处理规则六、 意见明确了赃款和赃物的处理规则 为了及时挽回由于电信网络诈骗给受害者造成的财产损失， 意见明确了涉案赃款和涉案赃物的三项处理规则： 首先，公安机关侦办电信网络诈骗案件，必须随案移送涉案赃款赃物，并附清单。人民

40、检察院提起公诉时， 应当一并移交受理案件的人民法院， 同时就涉案赃款赃物的处理提出意见； 其次， 涉案银行账户或者涉案第三方支付账户内的款项， 对权属明确的被害人的合法财产，必须及时返还。确因客观原因无法查实全部被害人，但有证据证明该账户系用于电信网络诈骗犯罪，且被告人无法说明款项合法来源的，根据刑法第六十四条的规定，应认定为违法所得，也予以追缴； 再次， 如果被告人已将诈骗财物用于清偿债务或者转让给他人， 但属于以下四种情形中的任何一种，均应当依法追缴：1.对方明知是诈骗财物而收取的；2.对方无偿取得诈骗财物的； 3.对方以明显低于市场的价格取得诈骗财物的； 4.对方取得诈骗财物系源于非法债

41、务或者违法犯罪活动的。 “两高一部”的意见属于司法解释，其不仅涉及刑法实体法的适用，也涉及刑事程序法的适用，其中意见中涉及的公安机关在行使刑诉法相关权力时，不是行政主体，而属于司法机关。 意见 具有法律效力，每个公民及司法机关、 金融机构、 网络服务提供者、电信业务经营者均必须给予高度重视， 认真学习与领会， 并努力在实际工作中加以贯彻执行。（本文来源: 中国信息安全 2017 年第 2 期 ） 评网络安全法对数据安全保护之得与失评网络安全法对数据安全保护之得与失 引言引言: :近年来，我国政府高度重视数据在新常态中推动国家现代化建设的基础性、战略性作用。2015 年 9 月国务院印发的促进大

42、数据发展行动纲要指出， “数据已成为国家基础性战略资源，大数据正日益对全球生产、流通、分配、消费活动以及经济运行机制、社会国盟信息安全通报（2017 年 03 月 13 日第 140 期） 国际信息安全学习联盟主办 17 http:/ 生活方式和国家治理能力产生重要影响。 ”2016 年 3 月发布的“十三五规划纲要”还专章提出“实施国家大数据战略” ，明确我国将“把大数据作为基础性战略资源，全面实施促进大数据发展行动，加快推动数据资源共享开放和开发应用，助力产业转型升级和社会治理创新。 ” 2016 年 11 月 7 日， 网络安全法正式对外颁布。如果说网络空间存在两大基本命题网络安全和信息

43、化的说法成立， 网络安全法无疑具备我国网络空间“基本大法”的地位。回到文章开头，既然数据已被认定为“国家基础性战略资源” ，那么网络安全法是否对数据（或大数据）做出了与其地位相匹配的安全保护规定，以实现“安全和发展要同步推进”的总体要求？对上述问题的探讨，构成了本文的主要内容。本文将首先提出一理论框架，勾勒出数据安全保护的三个层次，随后通过此理论框架检视网络安全法关于数据的主要规定，以此得出网络安全法在数据安全保护方面的可取之处以及不足。 总的来说， 网络安全法对数据安全和个人数据保护给予了足够的关注，但从“数据作为国家基础性战略资源”这个层面来看，该法缺乏对保护“国家基础性战略资源”的清醒意

44、识，也就遑论制度设计上做到通盘考虑。此方面，当属网络安全法对数据安全保护的最大缺憾。 数据安全保护的三个层次数据安全保护的三个层次 在网络安全法通过之际的新闻发布会上，全国人大法工委向外界表明： “制定网络安全法是落实国家总体安全观的重要举措” 。纵观国家安全法和网络安全法 ，主要保护的对象是整体层面（包括国家和社会）的安全利益和个人层面的安全利益。两部法律共同预设是，纯粹单个企业或组织的安全利益，无需国家直接运用公权力出面保护，现有的刑法、民商法等已经提供了足够的法律手段。沿着这样的思路出发，并结合国家安全法对数据提出的核心要求安全可控， 可以构建出数据安全保护的三个阶梯式层次： 首先是最基

45、础的数据安全，其次是个人数据的保护，最高层次是国家层面的数据保护。 数据安全（数据安全（data securitydata security） 数据安全可以认同为传统所说的信息安全（information security） 。信息安全主要追求三性， 即所谓的 CIA： 保密性 （confidentiality） ， 指信息不被泄露给未经授权者的特性。完整性（integrity） ，指信息在存储或传输过程中保持未经授权不能改变的特性。可用性（availability） ，指信息可被授权者访问并使用的特性。也就是说，数据安全保障的是信息或信息系统免受未经授权的访问、使用、披露、破坏、修改、销毁等

46、。如果用公式表示的话，数据安全=保密性 +完整性 +可用性。 国盟信息安全通报（2017 年 03 月 13 日第 140 期） 国际信息安全学习联盟主办 18 http:/ 个人数据保护（个人数据保护（data protectiondata protection） 回顾欧美在个人数据保护方面的立法和理论， 最先出现的是隐私权的概念。 隐私权可简单理解为“别管我” （leave me alone） ，即个人私生活不被打扰的权利“惟我独自享有的他人不得侵犯、干扰、触及的个人生活秘密、宁静的权利” 。这是隐私权首次被提出时的经典理解。可以看出，隐私权是个人用于抵抗外界对其私人领域、私密信息窥探、侵

47、犯的一种对内防御性机制。 随着信息技术的不断发展，人们不断认识到技术运用可能对个人带来各种风险。 “个人数据自决理论”应运而生。该理论认为，为保障人格的自由发展，个人应当能自由地决定以何种方式实现人格发展；人格的形成，主要是在人与外界，特别是人与人的交往过程中实现， 因此个体需要掌控对外自我披露或表现的程度， 以便合理地维持自身与他人之间的人际关系，所以个人应当能自由、自主地决定如何使用个人数据。 也就是说， 个人数据保护赋予个人有权控制个人数据出于何种目的， 面向何种对象范围，通过何种途径扩散和披露， 亦即 “个人依照法律控制自己的个人信息并决定是否被收集和利用的权利。 ” 与单纯的、被动的

48、防御性隐私权不同，以个人数据自决理论为基础的个人数据保护，是一种管理信息扩散和披露的机制，是一种面向外部的控制。如今，欧美在个人数据保护方面的立法，基本都超越了原先隐私权相对狭窄的内涵，转而以个人数据自决为理论基础。 因此，个人数据保护主要在于“保护对个人数据的自主使用，要求他人不得以违反本人意愿的方式对个人数据进行处理。 这是因为非经本人同意的数据处理会在社会中造成超出本人预期的结果， 并对本人的人格发展造成不可预料的影响， 使得本人人格塑造的结果偏离原本的预期。 ” 行文至此，数据安全和个人数据保护的区别应当比较明显了。首先，没有数据安全，肯定没有个人数据保护，因为信息系统被攻破，数据遭到

49、泄露，那数据保护要求的授权和控制扩散的机制就无从谈起。其次，即便实现了数据安全，并非一定做到了个人数据保护，例如数据很安全地存储在组织机构的信息系统中，但如果没有根据个人授权的范围来处理数据，那就违背了个人的数据保护权利。 这也是为什么在各国的个人数据保护立法中， 数据安全部分的规定独立成章， 但篇幅不大。以欧盟通用数据保护条例为例，立法的重心在于规定个人数据处理的基本原则 、数据主体的权利、数据控制者和处理者的义务配置等。 保障数据安全仅仅是数据控制者和处理者众多义务之一， 其更重要的义务是在数据的收集、存储、使用、共享、公开、跨境传输等环节中提供各种机制，使得数据主体得以行使其国盟信息安全

50、通报（2017 年 03 月 13 日第 140 期） 国际信息安全学习联盟主办 19 http:/ 个人数据的“自决权” 。例如充满争议的被遗忘权，是 GDPR 的一大创新。显然被遗忘权无关乎数据安全，而是赋予个人在特定情况下删除与其相关的个人数据的权利。 如果用公式来表达数据保护与数据安全之间的关系： 个人数据保护=数据安全+个人数据自决权利+数据控制者等相关方满足个人数据自决权利的义务。 国家层面的数据保护国家层面的数据保护 先看三个例子：据阿里巴巴 2016 年 11 月 2 日公布的 2016 年 9 月底的季度业绩显示，淘宝中国平台活跃买家高达 4.39 亿户。 根据淘宝的隐私权政