信息安全管理系列之二十九 《布达佩斯网络犯罪公约》介绍及网络犯罪行为分析

谢宗晓（南开大学商学院）

刘琦（河南警察学院信息安全系）

本刊特约

信息安全管理系列之二十九 《布达佩斯网络犯罪公约》介绍及网络犯罪行为分析

谢宗晓（南开大学商学院）

刘琦（河南警察学院信息安全系）

谢宗晓 博士

“十二五”国家重点图书出版规划项目《信息安全管理体系丛书》执行主编。自 2003 年起，从事信息安全风险评估与信息安全管理体系的咨询与培训工作。目前，已发表论文 55 篇，出版专著 12 本。

《中华人民共和国刑法修正案 (九 )》1）全文可以参考中国人大网：http://www.npc.gov.cn/npc/xinwen/2015-08/31/content_1945587.htm。明确了网络服务提供者履行网络安全管理的义务，并加强了公民个人信息保护，增加了编造和传播虚假信息犯罪等罪名。同时，随着 2017 年 6 月 1 日《中华人民共和国网络安全法》的实施，对于网络犯罪越来越重视。因此，有必要对网络犯罪领域最重要的文献之一《布达佩斯网络犯罪公约》进行必要的解读。

谢宗晓（特约编辑）

介绍了《布达佩斯网络犯罪公约》的产生背景以及主要内容，并结合《中华人民共和国刑法修正案（九）》对其中的网络犯罪行为进行了初步分析。

网络犯罪 信息安全 网络安全

1 《布达佩斯网络犯罪公约》的背景

《布达佩斯网络犯罪公约》（Budapest Convention on Cybercrime）简称《网络犯罪公约》2）英文官方文档下载地址：http://www.coe.int/en/web/conventions/full-list/-/conventions/treaty/185，在http://www.infseclaw.net/news/html/969.html有中文翻译版本。，有时候也被称为《布达佩斯公约》，这是全世界范围内第一部关于网络犯罪行为国际公约，由欧洲理事会3）欧洲理事会（Council of Europe）是致力于保护人权、民主和法治的欧洲国际组织，建立于1949年5月5日，目前有47个成员国。制定于2001 年 11 月 23 日，在 2004 年 7 月 1 日生效。2003年 1月28日，又通过了《网络犯罪公约补充协定：关于通过计算机系统实施的种族主义和仇外情绪的犯罪化》4）英文标题为：Additional Protocol to the Convention on Cybercrime, Concerning the Criminalisation of Acts of a Racist and Xenophobic Nature Committed through Computer Systems。。

该公约的主要目的是构建尽量通用的犯罪策略（policy），并在此基础上加强国际合作，更直接的目的是阻止对计算机系统、网络和计算机数据等保密性、完整性和可用性的损害，或与其相关的滥用行为。以此为基础，建立的架构如图1所示。

图1 网络空间保护框架

在图 1 中，T-CY 是指专门负责的机构 ：网络犯罪公约委员会5）Cybercrime Convention Committee（T-CY），http://www.coe.int/en/web/cybercrime/tcy。，C-PROC 是指专门的技术支持机构：网络犯罪项目办公室6）Cybercrime Programme Office (C-PROC) ，http://www.coe.int/en/web/cybercrime/cybercrime-office-c-proc-。。

2 《网络犯罪公约》的主要内容

除了序言外，《网络犯罪公约》正文共有 4章，48项条款。

其中，第一章，条款 1，给出了 4个词汇，分别为“计算机系统”“计算机数据”“服务提供商”和“流量数据”。计算机系统词汇现在已经用得不多了，早在 GB 17859—1999《计算机信息系统安全保护等级划分准则》中定义的就是“计算机信息系统”，在《关于信息安全等级保护工作的实施意见》（公通字〔2004〕66 号）中则定义了更为常见的“信息系统”。

这3个定义分别如下：

计算机系统指任何执行程序、进行数据自动化处理的设备或一组相连的设备。

计算机信息系统是由计算机及其相关的和配套的设备、设施（含网络）构成的，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。

信息系统是指由计算机及其相关和配套的设备、设施构成的，按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络；信息是指在信息系统中存储、传输、处理的数字化信息。

《网络犯罪公约》中，第二章的第一节里主要界定了网络犯罪行为；第二章的第二节里则讨论了诉讼法（程序法）。因此，我们在下文的表 1 中条款 12虽然也列出，但是并没有作为犯罪行为统计。这一部分也很重要，与刑事诉讼法不同的是，此处更多的涉及技术问题，尤其是计算机取证等内容[1]。当然，法律偏重于管理问题，技术则需要参考其他的资料，例如 ISO/IEC 27037《数字证据识别、收集、获取与保护》和 ISO/IEC 27042《数字证据分析与解释》等标准[2]。第三章为国际合作，最后一章为最终条款，介绍了签名生效与加入公约等相关问题。

3 《网络犯罪公约》中的网络犯罪行为

《网络犯罪公约》中，第二章的第一节中，条款2 至条款 11，描述了 5 类 10 种网络犯罪行为，加上《网络犯罪公约补充协定》中的条款3，可以认为一共描述了11种网络犯罪行为。具体解释如表1所示。

表1 主要的网络犯罪行为

4 小结

我国对于网络犯罪行为的规定过于狭窄[4]，1997 年版的《中华人民共和国刑法》只有 3 个罪名，《中华人民共和国刑法修正案（九）》 进行了较大的改进[5]。随着 2017 年 6 月 1 日《中华人民共和国网络安全法》的实施，对于网络犯罪越来越重视。但是，在整体概念理解上，依然过于狭义。

例如，《中华人民共和国网络安全法》的英文标 题 为 Cybersecurity Law of the People's Republic of China，但在其中更多的是讨论 Network，并没有很好地体现网络空间（Cyberspace）的特点。

此外，第七十六条中，对于“网络”和“网络安全”的定义如下：

网络，是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。

网络安全，是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。

从第七十六条的定义中，我们可以看出，《中华人民共和国网络安全法》更偏重物理的网络安全，而不是广义的网络以及在此基础上建立的虚拟空 间[6，7]。当然，在英文版中对于 Cybersecurity 和Network Security 进行了清晰的区别，但是在中文版中并不容易分辨。

[1]皮勇.《网络犯罪公约》中的证据调查制度与我国相关刑事程序法比较[J]. 中国法学，2003（04）：146-161.

[2]谢宗晓，甄杰. 信息安全管理系列之二十五 截至2016年底ISO/IEC 27000标准族的进展(下)[J]. 中国质量与标准导报，2017（02）：34-38，41.

[3]于志刚. 缔结和参加网络犯罪国际公约的中国立场[J]. 政法论坛，2015（05）：91-108.

[4]胡红梅，谢俊. 网络犯罪的国际治理何去何从[N]. 科技日报，2014-08-29（12）.

[5]周汉华解读《刑法修正案（九）》[EB/OL].新华网，http://www.xinhuanet.com/talking/20151112a/ iframe_wzsl.htm.

[6]谢宗晓. 关于网络空间（cyberspace）及其相关词汇的再解析[J]. 中国标准导报，2016（02）：26-28.

[7]谢宗晓. 信息安全、网络安全及赛博安全相关词汇辨析[J]. 中国标准导报，2015（12）：30-32.

Introduction of Budapest Convention on Cybercrime

Xie Zongxiao ( Business School, Nankai University )
Liu Qi ( Department of Information Security, Henan Police College )

This paper introduced the background and content of Budapest Convention on Cybercrime and analysis its article.

Cybercrime, Information Security, Cybersecurity