时间:2022-09-17 17:53:07
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇检察院信息安全,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
【关键词】网络安全;检察信息化;防护
1.引言
网络安全是制约检察信息化发展的重要因素。加强网络安全建设,提高防范能力已在检察机关内部达成共识,但局部也存在忽视的问题,一些检察院因为安全投资较大而存在畏难情绪。下面,笔者就当前检察机关的网络安全发展趋势及对策,谈几点粗浅的看法。
2.网络安全威胁及其发展趋势
信息技术的飞速发展,使网络成为我们这个时代的标志。在信息网络发达的今天,综合运用各种技术手段侵入网络非法获取政治、经济利益的事情每天都在发生。随着全国检察机关信息化步伐不断加快,互联网已成为检察机关日常办公、办案的重要工具。检察信息资源特别是案件信息是检察机关的核心机密,但审批程序不严谨、管理不严、使用的安全意识淡薄都会成为失密泄密的隐患。信息网络安全必须要摆到检察安全工作的重要位置,每个检察人员都必须要有足够的防范意识。目前来看,网络安全最常见的计算机技术威胁主要有以下四种:
2.1病毒攻击。计算机病毒是指编制者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码,具有繁殖性、
传染性、潜伏性、隐蔽性、破坏性、可触发性等特点。常见的病毒有引导性病毒、文件型病毒、宏病毒、脚本病毒、蠕虫病毒。
2.2木马。它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件及密码,甚至远程操控被种者的电脑。
2.3垃圾邮件。是指未经用户许可就强行发送到用户的邮箱中的任何电子邮件,一般具有批量发送的特征。
2.4恶意软件。是指未明确提示用户或未经用户的情况下,在用户计算机或其它终端上安装运行,侵犯用户合法权益的软件。
从以上四种计算机技术威胁的发展趋势看,病毒和木马等攻击和传播速度越来越快,一般性的病毒的攻击期间以月来计算,邮件病毒的攻击期间以天来计算,混合式的病毒的攻击期间甚至以秒来计算;遭遇感染的计算机范围越来越大,超过25%的计算机用户几乎同时在受到不同形式或种类的病毒、木马的攻击;攻击的方式和途径方法越来越多,途径越来越广,适应能力更强,修复能力更顽固,被拦截后还能重复感染,与系统亲合能力更加完善,更加不好剥离。
除了应及时预防、排除以上常见技术威胁外,还需要对以下安全威胁有所认识和警惕,并提前制定措施加以解决和避免:计算机软硬件故障、物理环境威胁、管理不到位、越权或滥用、,黑客攻击技术、物理攻击等。
3.检察信息网络安全工作的对策
面对日益严峻的网络安全形势,最高人民检察院不断深化安全战略要求,将网络安全建设列为全国检察机关科技强检“五个体系”建设目标之一,并以各省为单位组织开展了信息系统分级保护和非信息系统等级保护建设工作。这两项工程具有建设周期长、技术复杂、投资大的特点,但是无论任务如何艰巨,都是需要各级检察院认真完成的。对于暂不具备建设条件或尚未列入计划的院,我认为至少应从以下几个方面做好前期准备:
3.1狠抓基础设施建设。省、市检察院专线网机房应建设屏蔽间,县级检察院专线网机房应采取屏蔽机柜装置检察专线网网络交换机和数据服务器。各级检察院专线网接入端和局域网布线应采用光纤或屏蔽线,并与其它网络线路物理隔离,并有一定间距。各级检察院机房都应具有防雷办颁发的防雷证书,搞好接地;机房与功能间要有完善管用的消防设施等等。
3.2配齐基础检察专线网安全设备。防火墙、防病毒软件、不间断电源是最基本的网络安全设备,没有的检察院至少要配齐以上3个设备。配齐的检察院也应当能够做到防火墙软硬件的升级和策略的调整,防病毒软件要及时升级并教授干警查杀病毒的办法,不间断电源要根据网络的扩大、主要设备的引进适时进行扩容。随着投入的加大,市县两级检察院还要逐步引入入侵检测、漏洞扫描等设备,为信息系统分级保护建设打下基础。
3.3完善“三铁一器”机房。尤其是县级检察院的安全保密设备,收发文件用终端设备要放置在“三铁一器”机房,要确实做到防盗、防火、防水。要加强设备安全管理,达到最高人民检察院的具体要求,特别是要有专人管理,专人操作使用,放置环境不能缺少“三铁一器”,这也是是中办机要局的要求。
3.4加强互联网的管理。据笔者的观察和理解,各级检察院在互联网使用上主要会遇到以下几个问题,一是审批不严,或不按审批程序办事,违规接入互联网的现象屡禁不止;二是由于终端来源多样化,技术信息部门又难以及时准确掌握,导致一些终端在未经许可下就私自接入互联网,有的接入后又被随机调配到专线网上,来回串用的现象比较突出;三是对于笔记本电脑的管理乏力,既上内网又上外网难以被及时监督并制止。四是移动硬盘和U盘做不到专网专用,特别是一些带有办案和统计信息文件的U盘被随意用到外网上,带来很大的安全隐患和隐患。五是访问非工作所需或非法的网站,在终端上安装未经允许的各种软件,带来了大量病毒和木马,为失密泄密留下了后门。为此,建议市县两级检察院要根据本院实际,应当建立互联网接入审批和登记制度,严格控制互联网入口数量和接入终端数量,规范上网行为;加强对计算机和U盘等移动存储介质的管理,杜绝违规接入互联网;在互联网终端上加装特殊的软件或设备,需要经本院分管领导授权;将互联网及其他公共信息网络上的数据复制到网络,应当采取病毒查杀、单向导入等防护措施。
3.5努力做到安全“五不”。通过强化技术防范,提高维护能力,努力做到 “五不”,即“进不来、拿不走、看不懂、走不脱、赖不掉,”即非合法用户不能进入系统;非授权用户看不到有关信息;重要的信息进行了加密,看到了也看不懂;在系统内进行了违规操作,就会全留下痕迹,走不脱;拿走了信息,就有相关记录,想赖也赖不掉。
3.6检察人员必须树立防范意识。安装防病毒软件并及时升级、定期定时的对服务器及终端的病毒进行查杀,对于重要的文件和数据要进行光盘等备份,建立档案,加强管理,以便自觉在使用时构建起检察信息网络安全的第一道防线,把好病毒等恶意程序的攻击入口。
关键词: 数据安全; 数据丢失; 风险投资; 应对策略
中图分类号:TP309.2 文献标志码:A 文章编号:1006-8228(2012)05-06-03
Discussion on cause of information data loss and corresponding strategy
Meng Weidong1, Zhou Xuan2
(1. The People’s Procuratorate of Quzhou, Quzhou, Zhejiang 324000, China; 2. Agricultural Bank of China Quzhouquhua Sub-Branch)
Abstract: The importance of information data security is elaborated. The cause of information data loss is analyzed. Combining with practical cases, the paper presents the corresponding strategy for avoiding information data loss. By using knowledge such as system life cycle, project management, software architecture and venture capital, the security of information data can be realized.
Key words: data security; data loss; venture capital; corresponding strategy
0 引言
分析调研机构IDC在2011年的研究报告显示,全球信息总量每过两年就会增长一倍。2011年,全球被创建和被复制的数据总量为1.8ZB。1.8ZB是一个什么概念?举例来说,1.8ZB相当于全球每个人每天都去做2.15亿次高分辨率的核磁共振检查所产生的数据总量[1]。同时IDC预测,2012年,全球被创建和被复制的数据总量比2011年增长48%,达到2.7ZB。在人类目前所拥有的全部信息中,有超过90%的信息都是非结构化的,例如:图像、视频、音乐、基于社交媒体和Web工作流文件等富媒体信息,这对于人类理解和分析信息是巨大的挑战。
如今,信息数据已经成为维系单位正常运行的重要资源,关键数据更是成为单位生存和发展的命脉。随着信息数据量惊人增长,信息数据的安全性问题显得越来越突出。如何保护信息数据的安全?如何避免自然灾害、人为灾害以及计算机系统故障所造成的信息数据丢失?解决这些信息数据的安全问题已经变得非常重要和迫切。
1 数据安全
信息数据的安全性指的是数据的保密性、完整性、可用性、真实性。保密性指数据只能给合法授权的用户使用,不能泄露给非授权访问的用户。破坏保密性的安全威胁有传输威胁、病毒威胁、非授权窃取、丢失数据威胁等。完整性指数据未经授权不能被改变。破坏完整性的安全威胁有操作系统故障、应用系统故障、硬盘故障、误操作、病毒威胁、非授权篡改等。可用性指当需要时是否能正常使用数据。破坏可用性的安全威胁有操作系统故障、应用系统故障、硬盘故障、误操作、病毒威胁等。真实性指数据的内容是否真实准确。破坏真实性的安全威胁有误操作、病毒威胁、非授权篡改等[2]。
信息数据面临的安全威胁来自于多个方面。通过对信息数据安全威胁的分析可以知道,造成信息数据丢失的原因主要有:软件系统故障(操作系统故障、应用系统故障)、硬件故障、误操作、病毒、黑客、计算机犯罪、自然灾害等等。
2 案例分析
2.1 软件系统故障
某检察院使用的一套业务应用系统软件,用于传输上下级检察院之间的电子卷宗材料。该院办案业务量呈倒三角模式,基层检察院往上级检察院传输的电子卷宗材料相对较少。某基层检察院在使用该应用系统软件一段时间后,因更换服务器,重新安装了该应用系统软件,加之积累数据较少且纸质卷宗已存档,于是重建了服务器上的数据库。当该基层检察院再次往上级检察院传输电子卷宗材料后,发现之前已经传输到上级检察院的电子卷宗材料被覆盖,相关数据已无法在上级检察院数据库中找回。
事后分析,该应用系统软件存在漏洞。举例说明:当基层检察院将电子卷宗材料传输给上级检察院后,该电子卷宗材料在基层检察院和上级检察院的数据库中均拥有一一对应的ID号(例如:330106000007代表330106“西湖区”+000007“第7号卷宗”)。当基层检察院更换服务器并重建数据库时,基层检察院的数据库ID号同时归零并重新开始计数。当ID号计数到330106000007,一旦相应电子卷宗材料上传,则上级检察院数据库中ID号为330106000007的电子卷宗材料会被基层检察院数据库中同一ID号的电子卷宗材料所覆盖,造成上级检察院数据库中ID号为330106000007的电子卷宗材料数据丢失。
2.2 硬件故障
某单位使用的存储设备采用RAID技术把多个独立的硬盘(物理磁盘)按照不同的规范组合在一起形成一个磁盘阵列系统,从而提供了比单个硬盘更高的存储性能和数据备份能力,确保了信息数据的安全。
但是,RAID技术也并非万无一失,数据仍然可能因为硬件故障而丢失。举例说明:某单位采购了甲品牌的存储设备,配置了两组共16块物理磁盘,第一组用于本地存储本单位的关键数据,第二组用于异地容灾备份下级单位的关键数据。这些存储设备采用7+1运行模式,即其中一块物理磁盘作为热备盘,一旦其他物理磁盘变成游离盘时,热备盘立即自动替换该游离盘,其余七块物理磁盘通过RAID5规范组合成一个逻辑磁盘。同时,该单位采购了乙品牌的备份软件,该软件可以按备份计划定期地将各个服务器上的关键数据自动备份到存储设备上。但该软件在版本未升级前不能将数据存储到指定的逻辑磁盘分区上,造成数据只能在存满第一个逻辑磁盘的第一个分区后,才能向第一个逻辑磁盘的第二个分区存储数据,直到存满第一个逻辑磁盘的最后一个分区后,才能向第二个逻辑磁盘的第一个分区存储数据,依此类推。于是下级单位的异地容灾数据和本单位的关键数据都混合存储在第一个逻辑磁盘上,造成第二个逻辑磁盘处于无数据存储的空转状态――鸡蛋都放在了同一个篮子里。
当第一个逻辑磁盘中有一块物理磁盘因种种原因出现硬件故障变成游离盘时,第一个逻辑磁盘中的热备盘并没有立即自动替换成功,紧接着第一个逻辑磁盘中又一块物理磁盘变成游离盘。此时,下级单位的异地容灾数据和本单位的关键数据大量丢失。
2.3 误操作
某单位服务器在操作系统和应用系统安装成功后,对该服务器的系统分区进行了克隆备份。该服务器在运行一段时间后,由于种种原因需要利用分区调整软件对系统分区和非系统分区的容量大小进行调整。某日,系统管理员发现该服务器响应速度变慢,经检查发现该服务器操作系统异常报错。于是,系统管理员对该服务器非系统分区上的关键数据进行了异地备份之后,对系统分区进行了克隆备份的还原操作。由于该服务器的系统分区和非系统分区容量大小事前已做了调整,但系统管理员未记录下调整日志,致使克隆还原后的系统分区和还原前的系统分区容量大小不一致,造成该服务器非系统分区上的数据丢失。事后只能通过异地备份来恢复关键的数据。
2.4 其他原因
计算机病毒,是指在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。计算机病毒具有一定的传染性、隐蔽性、潜伏性和破坏性。计算机感染病毒后,会导致计算机系统崩溃,软件无法正常运行,程序和数据遭受到不同程度的破坏、删除、甚至被窃取,从而造成无法弥补的损失。
人为灾害(黑客、计算机犯罪、战争)与自然灾害一样严重威胁着计算机的物理安全,造成数据丢失甚至毁灭殆尽。2005年美国发生了一起严重的信用卡资料被盗事件。为维萨、万事达、美国运通、发现等大信用卡公司服务的一个数据处理中心网络存在信息安全漏洞,被恶意黑客植入木马程序。黑客入侵该网络后,窃取了美国约4000万信用卡客户资料,这些资料包括持卡人的姓名、账户号码和有效期等,全球包括亚太地区中国在内的信用卡客户均遭受到不同程度的影响。黑客窃取这些资料后在网上“黑市”进行交易。犯罪分子利用这些资料伪造大量信用卡后大肆刷卡消费,严重损害信用卡客户的合法利益,严重扰乱金融秩序。这可能是美国有史以来最严重的一次信息安全案件[3]。
3 应对策略
针对以上信息数据丢失的情况,本文着重从系统生命周期、项目管理、软件架构、风险投资等几个方面提出应对策略。
3.1 系统生命周期和项目管理策略
每个事物都有其产生、发展、成熟和消亡的生命过程,软件系统也是如此。这个周期被称为SLC (System Life Cycle,系统生命周期)。为了有效地进行系统的开发和管理,根据系统生命周期的概念,可以将软件系统的开发划分成五个阶段,即总体规划阶段、系统分析阶段、系统设计阶段、系统实施阶段、系统运行和评价阶段[4]。每个阶段都有其明显的特征、明确的任务、专门的方法和工具,使得规模庞大、结构复杂的软件开发工作变得容易控制和管理。软件系统的开发应该从过去的小作坊模式逐步过渡到现代的信息系统项目管理模式。项目管理团队应从客户的实际需求出发,综合考虑信息系统项目的社会环境、政治环境、自然环境等因素,对信息系统项目进行可行性研究和评估,并通过项目的整体管理、范围管理、时间管理、成本管理、质量管理、人力资源管理、沟通管理、风险管理、采购管理,利用相关的工具和技术,最终把该项目的产品开发出来,使得软件系统故障率几乎为零,使客户满意。
3.2 软件架构策略
对于大规模的复杂软件系统来说,对总体的系统结构设计和规格说明比起对计算的算法和数据结构的选择显得更为重要。在此种背景下,系统、深入地研究软件架构(software architecture,软件体系结构)被认为是提高软件生产率和解决软件维护问题的新途径。软件架构研究的主要内容涉及软件架构描述、软件架构风格、软件架构评价和软件架构的形式化方法等。软件架构反映了领域中众多系统所共有的结构和语义特性,可指导如何将各个模块和子系统有效地组织成一个完整的系统。不同的软件架构有各自的优缺点,对数据的安全性要求也不同。例如:传统的二层C/S(Client/Server)架构对数据的安全性不好。因为客户端程序可以直接访问数据库服务器,那么客户端计算机上的其它程序也可以想办法访问数据库服务器,从而使数据库的安全性受到严重威胁。而在三层C/S架构中,增加了一个应用服务器,使整个应用逻辑放在应用服务器上,而只有表示层存在于客户机上。其优点是充分利用功能层有效地隔离开表示层和数据层,未授权的用户难以绕过功能层而利用数据库工具或黑客手段去非法访问数据层。这就为严格的安全管理奠定了坚实的基础,使得整个系统的管理层次也更加合理和可控[5]。
3.3 风险投资策略
生活中风险无处不在,任何时候任何地点都有可能发生意外情况而使人们的生命和财产遭受损失。所以投资界有句至理名言――“不要把鸡蛋放在同一个篮子里”。这在数学上被称为最大熵原理。熵是来自热力学的一个概念。在哲学和统计物理中熵被解释为物质系统的混乱和无序程度。信息论则认为它是信息源的状态的不确定程度。所谓熵增加原理,是指孤立系统向着微观状态最混乱的方向变化,直到熵达最大。1948年,香农(SHANNON C E)把玻尔兹曼熵的概念引入信息论并把熵作为一个随机事件的不确定性或信息量的量度。因此,信息数量的大小,可以用被消除的不确定性的多少来表示,而随机事件不确定性的大小可以用概率分布函数来描述。基于熵的定义,可知最大熵分布原理:最小偏见的概率分布是这样一种分布,使其熵在根据已知样本数据信息的一些约束条件下达到最大值[6]。
信息数据在使用过程中会存在风险――丢失、被窃取、被篡改、被破坏等。根据最大熵原理,信息数据和鸡蛋一样也不能放在同一个篮子里。例如:在只有一个物理磁盘的条件下,信息数据应该复制或者移动到不同的磁盘分区上;在有多个物理磁盘的条件下,信息数据应该复制或者移动到不同的磁盘上。也可以采用RAID(Redundant Array of Inexpensive Disks,廉价磁盘冗余阵列[7])技术把多个容量较小的廉价物理磁盘组成一个大容量的磁盘阵列系统,通过数据跨盘技术,按照不同的RAID规范把数据分别存储在磁盘阵列系统中的多个物理磁盘上。RAID技术的优势在于允许系统在多个物理磁盘上同时读取和写入数据以提高I/O数据传输速率,但也因此不可避免地增大了系统出错的概率。为了补偿可靠性方面的损失,RAID技术提供了容错功能,通过使用存储的校验信息来从错误中恢复数据,以确保信息数据安全。
除了本地分散风险以外,还可以通过异地容灾的手段来降低灾害对信息数据所产生的风险。例如:可以在单位大楼相距较远的楼层之间或者主楼与副楼之间建立主机房和副机房的存储备份系统,还可以在不同地域的上下级单位之间建立机房的存储备份系统。对保密性要求不高的单位可以向SaaS(Software as a service,软件及服务)提供商租赁数据空间,而不用操心数据备份的具体物理位置。但是在选择云存储时,需要严格评估SaaS提供商的政治条件、资质、存储速度、数据保护能力等各项指标[8]。
3.4 其他策略
在信息化网络时代,可以利用网络杀毒软件、硬件防火墙、入侵检测、访问控制、数据加密、漏洞扫描、补丁分发、日志审计、桌面安管、数字证书、数字签名、网络隔离、VLAN(Virtual Local Area Network,虚拟局域网)等各类技术来降低病毒、黑客、计算机犯罪等人为灾害对数据所造成的损失。同时,还应在国家法律法规允许的范围内,建立一套严格的数据安全管理制度,从人员思想、单位规章、保密制度和法律法规等不同层面加强对各类相关人员的管理。
4 结束语
信息技术正以空前的影响力和渗透力,不可阻挡地改变着社会的经济结构、生产方式和生活方式。在信息化网络时代,一切互联互通、信息无处不在,同时也潜伏着各种威胁,例如:敏感数据丢失、泄密等。这些威胁足以破坏信息数据的安全,影响个人的工作和生活、单位的生存和发展、甚至国家的政治、经济和国防安全。古人云:“道高一尺,魔高一丈。”如何为信息数据的安全保驾护航,已经成为信息社会里一个永恒的命题。
参考文献:
[1] IDC.从混沌中提取价值[R].数字宇宙研究报告,2011.
[2] 耿朝辉.如何保证数据安全[J].网管员世界,2010.6:80~85
[3] 新华网.黑客窃取美国4000万信用卡账户资料[EB/OL].北京:新华社,2005(2005-06-19)[2012-03-06].news.省略/weekend/2005-06/19/content_3104068.htm
[4] 罗晓沛,侯炳辉.系统分析师教程[M].清华大学出版社,2003.
[5] 张友生.系统分析师技术指南(2007版)[M].清华大学出版社,2007.
[6] 俞礼军,严海,严宝杰.最大熵原理在交通流统计分布模型中的应用[J].交通运输工程学报,2001.9:91~94
关键词 检察院 档案工作 检察工作
作者简介:崔卫荣、卢玉洁,启东市人民检察院。
检察档案是“按照有关规定立卷归档,集中保管的诉讼文书、视听资料及其它各种载体材料。检察机关各类案件的诉讼档案真实地记录着检察监督活动的始终,是国家司法档案的重要组成部分,是检察机关建设与发展及各项工作完整、准确的见证。” 随着社会法治进程的加快,检务公开的要求,检察档案将在检察工作中发挥着越来越大的作用,检察机关应突破当前档案工作发展的瓶颈,加强“规范化、信息化、多元化”机制建设,充分发挥档案的价值,为检察工作的发展提供好服务。
一、检察档案目前存在问题与不足
(一)部分人员档案意识不强,档案管理制度有待进一步健全、完善
个别办案人员归档意识不强,案件办理完结后没有及时把案卷归档,归档案卷出现较多问题,不符合归档要求,认识不到不归档、不及时归档行为均属违反《档案法》的行为。目前,一般基层检察院都制定了档案相关管理制度,但由于工作原因或者档案意识单薄,有些业务部门诉讼档案归案跨度长,易出现拖延不归档和超期不归档的情况,部分基层院没有相关制度进行制约;有的检察院虽制定及时归档等相关制度,但制度落实时不到位,缺乏一定的强制力,也造成许多案卷不及时归档的现象时有发生。
(二)档案人员配备难以满足新形势、新要求
目前,根据相关规定,各基层检察院都设置了专门档案机构,配备了专职档案人员。但受案多人少矛盾的影响,或因工作需要,个别基层院检察档案工作人员具有一定的流动性,严重影响了档案工作的稳定性和长久发展。有的档案人员缺乏系统培训,导致部分档案人员对档案工作业务不熟悉。如随着新刑诉法的实施,诉讼档案中随附的录音录像电子光盘的保存和归档问题存在争议,亟待出台相关规定进行规范。且随着案件数量增长导致档案数量的急速增长,档案工作人员相对不足与档案工作量增大之间的矛盾突出,导致档案人员只能应付完成档案管理的日常工作,对档案的信息化管理、档案编研、开发利用等工作投入精力较少。
(三) 档案库房、硬件配备不到位
档案工作除了基本的库房所需的防火、防盗、防潮等设施的基本要求,对硬件、管理也有着特殊的要求,如档案数量的扩大要求库房也随之扩大,档案装具的要求、录音录像档案等电子档案特殊管理条件、存储手段、挽救和修复档案的技术、档案开发利用和网络远程传输等都需要特殊的条件和保障。实现档案管理现代化,一方面要改善硬件设施条件,完成新型档案装具、档案数据存储服务器、保管库房等设施的升级改造,并根据档案工作实际需要,及时添置和更换高速扫描仪、防磁柜等档案专用设备,另一方面要严格落实档案管理工作要求,坚持常态清理库房,定期做好温湿度记录,及时更换维护设备,确保消防、报警、监控等装置运行良好,保证档案安全、存放整齐。
(四)档案价值没有充分开发利用
检察机关保存的档案大多数是案件卷宗,检察机关诉讼档案能够反映出刑事案件的整个诉讼活动过程的真实记录。由于保密、人手不足等多种原因,目前检察机关往往在档案开发利用上不够积极主动,或档案利用渠道单一,大部分基层院目前还是多以借阅档案为主,鉴定统计、编研开发等工作开展较少,有的检察院开展了编研工作,但编研材料的质量和深度还有待提高,使得档案没有充分开发利用,价值没有得到完全的实现。
二、基层检察院档案工作发展的几点建议
档案工作作为执法规范的基础性工作,作为检察机关创新创优发展的重要支撑,如何不断创新,推进规范化管理,加强信息化建设,如何变被动服务为主动服务,如何更好的为参考决策服务、为检察工作服务,笔者试就如何做好基层检察院档案管理工作谈几点建议。
(一) 加强规范化管理机制,促进档案工作持续发展
从制度、组织保障等各方面加强档案的规范化管理,确保档案工作有序规范开展。
一是严抓制度建设。结合检察工作实际,制定、修改、完善一系列档案制度,涉及归档范围、分类标准、立卷要求、移交手续、工作职责各个方面,形成一整套较为完整的档案规范管理工作制度,使档案管理有章可循,确保各种门类档案收集齐全,归档及时并符合规范;制定《实物档案归档管理办法》、《数码照片归档细则》等规范性文件,切实补强档案管理工作的薄弱环节。
三是抓组织培训。一方面选派专职档案管理人员参加省、市档案部门举办的培训班,提高档案管理人员的业务素质,同时注意档案人员除具备专业知识外,还要具备一定的法律业务知识和计算机操作能力,成为一专多能的检察档案人才,以适应档案工作信息化发展的新要求。另一方面,加强业务指导和工作联动,采取网上印发培训资料、制作业务课件等方法,加强档案指导工作,专职档案员积极加强对各部门档案收集与装订工作的日常指导,每年定期组织立卷归档、数字化加工培训,提高立卷归档的及时性、准确率,对归档移交的档案卷宗,由专人进行检查,对不符合要求的,督促整改,严把档案收集、评查、归档关,确保符合归档要求。 (二)加强信息化建设机制,促进档案资源信息共享
档案信息化建设是新时期档案事业发展的当务之急,要实现档案工作与信息社会的同步发展,必须加快推进档案的信息化建设,逐步改变“你查我调”的传统方法,实现档案信息的网络资源共享。
一是强化基础设施建设。对档案工作网络、专用服务器、扫描仪、视频音频信息采集设备、复印机、数码照相机、计算机、光盘刻录机、交换机等原有档案信息化设备进行补充和完善,最大化释放和发挥现有档案信息化设施功能。同时借助加密机、屏蔽柜等保密设备确保档案信息安全性。定期对档案库房和设施进行检查,确保消防、报警、监控等装置运行良好。
二是做强数据库信息建设。结合自身检察工作实际,可以邀请专业公司实施档案管理数字化,确保电子档真实、完整、有效,定期更新杀毒软件和更新防火墙数据库等安全措施,确保信息安全。构建分布式档案目录数据库,对室藏诉讼档案、文书档案进行全文扫描,建立重要数据库。每年按规定时间及时对归档卷宗进行扫描,保持数据库及时更新。
三是全面提供在线化服务。针对传统阅卷耗时费力、不利于卷宗保护等问题,在历史档案卷宗实现数字化的基础上,在严格的权限控制下,可编写一些基础数据,通过网络传输或计算机阅档室查阅提供机读目录检索和电子阅卷,向干警阅档提供便利,可较好的实现档案资源的传输网络化、服务在线化。
(三)加强多元化服务机制,促进检察工作科学发展
检察档案的开发利用是为检察工作服务的重要途径,是档案部门赖以生存和发展的基础,努力开发档案信息资源,促进档案收藏逐步从“保管型”向“参与决策型”转变,由“单一型”向“综合型”方向发展,加强多元化服务机制,促进检察工作科学发展。
一是为公正司法服务。检察档案特别是诉讼档案的卷宗资料为复查案件 、维护司法公正提供了重要依据。可充分发挥职能优势,利用档案信息资源协助办案,为控申部门复查案件事实、证据,妥善答复来信来访群众提供完整可靠证据;为侦监、公诉部门办理疑难案件提供参考和珍贵经验;协助预防部门分类整理法院作出生效判决的行贿、受贿案件,完善扩充行贿犯罪档案查询系统。
一、深化检察档案工作机制建设
建立、健全档案工作领导小组,形成由主管检察长领导,办公室分管主任负责,档案员统一管理与具体指导,各部门协调配合的档案管理工作格局。要把提高档案工作管理水平作为规范执法、促进检察业务工作发展的一项重要内容,及时解决档案工作中存在问题,及时制定、修订各类档案收集、整理、归档、移交、鉴定、借阅、销毁等工作制度。加大监管和服务力度,提高质量。严格执行归档制度,加强对重点工作、重大活动、重大建设项目的收集与整理,确保归档文件、案件材料齐全、归档及时。加大档案监管力度,强化档案“收、管、用”各个环节重点任务,切实提升档案管理水平。
二、深化档案队伍素质能力建设
坚持党要管党、从严治党,推进党建统领的新常态。巩固教育实践活动成果,严格履行档案队伍责任意识和履职能力,定期开展理论和业务培训学习。积极营造健康向上、务实清廉的工作氛围。一是提升基层档案队伍业务水平。加大教育培训力度,通过举办专题培训、开展观摩交流等形式增强档案人员的职业素养和职业精神的培养,积极营造团结进取档案队伍。二是培养档案人员爱岗敬业、求真务实、埋头苦干、甘于奉献的敬业精神,把教育培训经常化、系统化、制度化来抓,不断提高档案人员的业务技能和理论水平。三是定期组织档案知识学习培训,不断更新知识、更新理念、更新观点、提高认识,确保档案工作保持良好发展局面。 四是加强档案系统业务交流学习、学术研讨活动,提高档案人员综合素养,以“讲能力、转作风、树形象、求实效”为主题,全面提升档案人员职业道德水平,服务大局的良好工作氛围。
三、深化检察档案管理体系建设
随着司法改革的推进和社会档案意识的增强,依法管理诉讼档案工作的地位将更加凸显,诉讼档案的法制建设也将受到更多的关注。档案资源是一切工作开展的基础,是深化管理手段、挖掘信息价值,从而换发档案工作的生机和活力。检察档案记载着检察事业的发展历程,更主要反映着检察工作民主法制进程和重大司法改革的原貌。
(一)依法管档,法律先行
作为档案守护者、执行者,必须练就一身过硬的本领,熟知相关法律法规以及规章制度,时刻保持清醒的头脑,及时更新、补充知识,扩大自己的知识面,严格按照《档案法》规定和标准管理档案事业,任何人都不能凌驾法律之上,凡是违反档案法律法规的行为,都必须依法追究法律责任。 作为档案工作者只有熟悉法条,依法办事,才能赢得社会的理解和尊重,才能为档案事业法制化建设添砖加瓦。
(二)依法管档,从源头抓起
档案接收工作是档案管理工作的起点,接收工作的质量直接影响到档案管理与档案利用,因此,对待接收工作不能丝毫懈怠,更不能马马虎虎碍于情面,对不符合要求卷宗材料坚决退回整改。
(三)依法管档,抓好档案入口关
在诉讼档案归档时,档案机构应按照《人民检察院诉讼档案管理办法》对诉讼档案进行分类管理,人民检察院诉讼档案的编号应以本单位诉讼档案保管期限划分为前提,将不同保管期限永久、长期、短期的案卷每年各编一个顺序号。并对诉讼卷宗的编号、案件来源、嫌疑人姓名、申诉人姓名、举报人姓名、案由、处理结果、收案日期、结案日期、承办人、归档日期、盖章情况以及卷宗目录进行全面审查,以确保归档的诉讼卷宗材料完整、真实、合法、有序,全面提高档案归档质量。
(四)依法管档,建立信息采集制度
加强与各部门的沟通,建立信息采集制度,信息采集是电子文件(档案)备份中心系统的基础,没有丰富的电子数据支撑,电子文件备份中心就成为无源之水、无本之木。因此,信息采集制度的建立需要各部门的参与、支持、配合,明确采集范围、内容及保密措施。 四、深化检察档案安全保密体系建设
保障档案实体安全和信息安全是档案工作的基本要求。应当构筑人防、物防、技防相结合的综合防范体系,加强内部管理,把安全责任、安全制度、保障措施落实到实处。一是加大档案基础设施和安全设施建设投入,逐步实现纸质档案库房、音像档案库房、实物档案库房、阅览室“四分开”。二是加大档案库房配备监控报警设备、温湿度控制调节设备、气体灭火设备、驱虫杀菌设备,配齐音像检测和播放设备、数字化扫描、存储、备份设备、档案管理软件及专用服务器,切实提高综合保障能力。三是加大档案信息系统安全保障。按照国家规定建立档案信息管理系统安全保密防护体系, 严格执行档案安全保密管理制度,严防把档案传输到非网络,加强对档案管理软件、档案专用计算机、档案专用服务器和其他档案存储介质的安全保密管理,确保数字档案室建设和运行的安全。四是坚持定期自查和档案安全巡查。定期清点库存档案,检查借阅制度落实情况,加大互查力度,细化考核标准,确保制度落实到实处。
五、深化检察档案利用服务能力
随着社会不断发展与进步,人们对档案利用的
要求越来越高,档案提供利用服务,就是最大限度的满足档案利用需求,发挥档案的凭证作用。档案利用是档案工作发挥价值的集中体现,实现档案利用服务的拓展与增值,充分发挥各类档案的作用,实现档案的价值。 (一)严格借阅档案审批制度,确保档案利用安全
结合档案利用多的情况下,制定严格的档案审批程序,制定档案利用审批表,由档案利用人签名,填写借阅事项、借阅目的和借阅时间,经处室兼职档案员签名,报处室正、副处长审批,再报主管检察长批准。文书档案属于我院机密档案,一般不外借,如外单位利用我院文书档案时,需经主管检察长批准,方可办理借阅手续,并限期规档。
(二)严格借阅登记手续,确保证件齐全
档案利用人办理完档案借阅审批手续后,需到档案室填写档案利用登记卡,由档案部门专职档案员签字确认其身份后方可借出。归还卷宗时,由借阅人填写归还卷宗册数和归还时间,方可确认归还卷宗。上级检察院和同级法院、公安局、安全局,因工作需要借阅卷宗的,除上述程序外,还需持有单位介绍信、工作证经我院办公室主任和主管检察长审批方可到档案室办理借阅手续。其他单位一般不外借,因特殊情况需要借阅时,需经主管检察长批准,并限期归还。
(三)借阅卷宗催还制度,确保卷宗完整
关键词:防火墙;入侵检测;PKI;数字签名
中图分类号:TP309 文献标识码:A 文章编号:1009-3044(2010)01-45-03
A Construction Method about the Security System of the Prosecutorial Organization
LIU Lian-hao1, LUO Wei1,2
(1.Central-South University College of Information Science and Engineering, Changsha 410083, China; 2.Hunan Provincial People's Procuratorate, Changsha 410001, China)
Abstract: In recent years, with the popularity of the network, the network information system security incidents break out frequent in large companies and government agencies. This paper analyzes the general types of security incidents, as well as common security technology, based on a more elaborated a complete information security system should have the function, combined with the actual prosecutorial work, put forward a construction method about the security system of the prosecutorial organization.
Key words: firewall; intrusion detection; PKI; digital signature
近年来,随着网络的普及,各大公司企业以及政府机构都建成了网络信息系统,大量信息开始在网络上传输,不少数据都属于内部信息。大量网络信息系统的建成使得网络安全保障体系的建设显得极为紧迫。1999年至2008年,国家出台了一系列的规章与标准,逐步开始重视信息安全保障体系的建设。2007年6月四部委联合出台了《信息安全等级保护管理办法》(公通字 [2007]43号),明确了信息安全等级保护制度的基本内容、流程及工作要求,明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务;2007年7月,四部委又联合下发了《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号),就定级范围、定级工作主要内容、定级工作要求等事项进行了通知。随着全国各级检察机关基础网络平台建设的基本完成,信息化为检察机关提升司法水平、增强法律监督能力提供了很大的帮助。与此同时,信息安全也日益成为各级检察机关非常关注的问题,建设一个可靠的检察系统信息安全保障体系显得日益重要。
1 威胁信息系统的主要方法
在对信息系统的安全威胁中,某些方法被经常和大量使用,因为这些方法具有易学性和易传播性。这些方法的某一实现或某几个实现的组合,会直接导致基本威胁演变为成功的攻击案例。通常黑客常用的方法有以下几种[1]:
1.1 身份欺骗
某个未授权的实体(人或系统)假装成另一个不同的实体,使其相信它是一个合法的用户(比如攻击者截收有效信息甚至是密文,以后在攻击时重放这些消息,达到假冒合法用户的目的),进而非法获取系统访问权利或得到额外的特权。冒充通常与某些别的主动攻击形式一起使用,特别是消息的重放与篡改。攻击者可以假冒管理者命令和调阅密件,或者假冒主机欺骗合法主机及合法用户,然后套取或修改使用权限、口令、密钥等信息,越权使用网络设备和资源甚至接管合法用户欺骗系统,占用或支配合法用户资源。
1.2 破坏信息的完整性
一般网络黑客可以从三方面破坏信息的完整性,即改变信息流的次序、时序、流向、内容和形式,删除消息全部或其一部分,或是在消息中插入一些无意义或有害消息。
1.3 破坏系统的可用性
攻击者可以通过使合法用户不能正常访问网络资源、使有严格时间要求的服务不能及时得到响应等方法破坏信息系统的可用性,直至使整个系统瘫痪。
1.4 截收和辐射值测
攻击者通过搭线窃听和对电磁辐射探测等方法截获机密信息,或者从流量、流向、通信总量和长度等参数分析出有用信息。
1.5 后门程序
在某个(硬件或软件)系统或某个文件中设置的“机关”,使得当提供特定的输入条件(或某一信号,或某一信息)时,允许违反安全策略而产生非授权的影响。一个典型的例子是口令的有效性可能被修改,使得除了其正常效力之外也使攻击者的口令生效。例如,一个登录处理子系统允许处理一个特定的用户识别号,可以绕过通常的口令检查。“后门”一般是在程序或系统设计时插入的一小段程序,用来测试这个模块或者将来为程序员提供一些方便。通常在程序或系统开发后期会去掉这些“后门”,但是由于种种原因,“后门”也可能被保留下来,一旦被人利用,将会带来严重的安全后果。利用“后门”可以在程序中建立隐蔽通道,植入一些隐蔽的病毒程序,还可以使原来相互隔离的网络信息形成某种隐蔽的关联,进而可以非法访问网络,达到窃取、更改、伪造和破坏信息资料的目的,甚至可能造成系统的大面积瘫痪。
1.6 特洛伊木马
特洛伊木马指的是一类恶意的妨害安全的计算机程序或者攻击手段。它是指一个应用程序表面上在执行一个任务,实际上却在执行另一个任务。同一般应用程序一样,能实现任何软件的任何功能,例如拷贝、删除文件、格式化硬盘,甚至发电子邮件,而实际上往往会导致意想不到的后果,如用户名和密码的泄露等。例如,它有时在用户合法登录前伪造一登录现场,提示用户输入账户和口令,然后将账户和口令保存至一个文件中,显示登录错误,退出特洛伊木马程序。用户还以为自己错了,再试一次时,已经是正常的登录了,用户也就不会有怀疑,其实,特洛伊木马已完成用户登录信息的窃取,更为恶性的特洛伊木马则会对系统进行全面破坏。
1.7 抵赖
抵赖行为并非来自于攻击者,而是来自于网络的通信双方,即通信双方中的某一方出于某种目的而否认自己曾经做过的动作,比如发信者事后否认曾经发送过某些消息或收信者事后否认曾经接收过某些消息等。
2 目前安全保障体系中信息安全常用技术
通常我们建设安全保障体系的时候,会从两个方面去进行考虑,即以防火墙、入侵检测技术为代表的网络访问控制技术和以PKI体系、数字签名技术为代表的身份认证技术。
2.1 防火墙技术
防火墙用于对网络之间交换的信息流进行过滤,执行每个网络的访问控制策略。防火墙常常保护内部的“可信”网络,使之免遭“不可信”的外来者的攻击。它是信息的唯一出入口,能根据安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。防火墙实现网与网之间的访问隔离,以保护整个网络抵御来自其它网络的入侵者。防火墙按实现的技术手段总的来说可以分为以下几种类型:
1)包过滤防火墙
通过检查数据流中每一个数据包的源地址、目的地址、所用端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。其特点是:速度快、费用低,并且对用户透明,但是对网络的保护很有限,因为它只检查地址和端口,对网络更高协议层的信息无理解能力。
2)应用级防火墙
工作在应用层,又称为应用级网关,它此时也起到一个网关的作用。应用级防火墙检查进出的数据包,通过自身(网关)复制传递数据,防止在受信主机与非受信主机间直接建立联系。其特点是:访问控制能力强,但对每种应用协议都需提供相应的程序,同时网络性能比较低。
3)混合型防火墙
既具有包过滤防火墙以及应用级防火墙的特点,同时增加了一些其它功能,如具有状态检测技术、应用、NAT、VPN等功能。无论何种类型防火墙,从总体上看,都应具有以下基本功能:过滤进、出网络的数据;管理进、出网络的访问行为;封堵某些禁止的业务和端口;网络地址转换;记录通过防火墙的信息内容和活动;对网络攻击的检测和告警[2]。
2.2 入侵检测技术
利用防火墙并经过严格配置,可以阻止各种不安全访问通过防火墙,从而降低安全风险。但是,网络安全不可能完全依靠防火墙单一产品来实现,网络安全是个整体的,必须配相应的安全产品,作为防火墙的必要补充,入侵检测系统就是最好的安全产品。入侵检测系统是根据已有的、最新的攻击手段的信息代码对进出网段的所有操作行为进行实时监控、记录,并按制定的策略实行响应(阻断、报警、发送E-mail),从而防止针对网络的攻击与犯罪行为。入侵检测系统通过监控来自网络内部的用户活动,侦察系统中存在的现有和潜在的威胁,对与安全活动相关的信息进行识别、记录、存储和分析[3]。入侵检测系统可以对突发事件进行报警和响应,通过对计算机网络或计算机系统中的若干关键信息的收集和分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象;通过对安全事件的不断收集、积累、加以分析后,可有选择性地对其中的某些特定站点或用户进行详细跟踪,为发现或防止破坏网络或系统安全的行为提供有力的安全决策依据。入侵检测系统一般包括控制台和探测器(网络引擎)。控制台用于制定及管理所有探测器(网络引擎)。探测器(网络引擎)用于监听进出网络的访问行为,根据控制台的指令执行相应行为。由于探测器采取的是监听不是过滤数据包,因此入侵检测系统的应用不会对网络系统性能造成多大影响,根据检测业务流量的多少可选用千兆或百兆入侵监测系统。
2.3 PKI/CA技术
公钥基础设施(PKI)是利用公钥密码理论和技术建立的提供安全服务的基础设施。PKI的简单定义是指一系列基础服务,这些服务主要用来支持以公开密钥为基础的数字签名和加密技术的广泛应用。PKI以公钥加密技术为基本技术手段来实现安全性,它将公钥密码和对称密码结合起来,希望从技术上解决身份认证、信息的完整性和不可抵赖性等安全问题,为网络应用提供可靠的安全服务。PKI最基本的元素是数字证书,所有的操作都是通过证书来实现的。一个完整的PKI/CA体系包括签署数字证书的认证中心CA(Certificate Authority),登记和批正证书签署的登记机构RA(Registration Authority),数字证书库CR(Certificate Repository),密钥备份及恢复系统,证书作废系统,应用接口等基本构成部分。其中,认证中心CA和数字证书是PKI/CA体系的核心。CA是数字证书的申请及签发机关,它是PKI/CA的核心执行机构,主要是标识和验证证书的身份,保证了交易的安全性;数字证书是一个经CA数字签名的、包含证书申请人信息及公开密钥的电子文件,可以保证信息在传输过程中不被除发送方和接收方以外的其他人窃取和篡改[4]。
基于PKI的数字签名技术类似于现实中的签名或印章,保证了传输数据的真实性、完整性和不可否认性。其签名和验证过程如下(假设签名方是A,验证方是B):
步骤1:A使用对称密钥将文件加密生成密文,然后使用单向散列函数得到待签名文件的散列值1;
步骤2:A用自己的私钥将此散列值1转换成数字签名,同时用B的公钥加密对称密钥算法中的密钥;
步骤3:A将密文、数字签名、加密密钥和时间戳放置到数字信封,发送给B;
步骤4:B使用自己的私钥解密A发送的加密文件的对称密钥;再用A的公钥解密A发送的数字签名得到文件的散列值1;
步骤5:B用获得的对称密钥解密文件,并使用相同的单向散列函数生成散列值2,若该值与A发送的散列值1相等,则签名得到验证。
该签名方法可在很大的可信PKI域中进行相互认证(或交叉认证),扩展了隶属于不同CA的实体间的认证范围。
3 完善的检察信息安全保障系统的构成
目前,我国的检察系统已经建成了一套覆盖全国各级检察院的信息网络体系,同时,检察业务对信息系统的依赖性也越来越强,在检察系统信息网络体系中存在着较多的敏感信息,而这些信息通常是控制在一定范围内的人员才可查看的(如办案干警、主管领导等),因此对系统的保密性要求很高,一旦对数据库中的数据进行非法访问与操作,会造成很大的影响。应用系统中的数据信息将决定业务工作能否顺利开展,例如案卡信息等数据一旦被篡改会,将会对办案干警的工作造成重大影响,甚至可能出现错案,因此对应用系统的数据完整性要求也很高。结合检察系统的工作实际,检察系统信息安全保障体系应由以下几个方面共同组建而成,其构成如下:
3.1 身份认证系统
全国检察系统应建立一套基于PKI/CA技术的统一身份认证系统,结合目前检察系统信息系统中开展的各项应用,严格定义和识别信息系统内每个用户的访问权限,及时发现并阻止非法用户的越权限访问。
3.2 防火墙和入侵检测系统
各级检察院应在其本院网络对外的接口处部署防火墙以及入侵检测系统,利用防火墙用来阻止非法用户进入内部网络系统,入侵检测系统则是利用审计跟踪数据监视入侵活动。
3.3 安全的操作系统
针对检察干警普遍使用微软操作系统的实际情况,应在全国检察信息系统中部署一套微软操作系统补丁分发系统,为各类服务器提供安全运行的平台,保障操作系统本身是无漏洞的。
3.4 容灾备份系统
针对服务器系统可能崩溃以及硬件可能发生损坏等情况,建立容灾备份相当有必要,容灾备份系统要能够把数据恢复到损坏发生前的状态。较为安全的容灾系统应在相隔较远的异地建立多套功能相同的系统,进行监视和功能切换。数据容灾是信息安全战略中非常重要的一个环节。
3.5 防病毒系统
针对目前网络上病毒泛滥的实际情况,给整个体系中的所有服务器及客户终端安装病毒防护软件相当的有必要。
4 结束语
该文着重介绍了两个方面的安全保障技术以及检察信息安全保障体系在技术上需要达到的一些基本要求,但要真正建立起一个完善的安全保障系统,只从技术手段方面着手是远远不够的,只有拥有安全的运行环境、规范化的管理、高素质的人员配备再辅以完善的技术,才能真正建立起一套完整的安全保障体系。
参考文献:
[1] 严伟.成都市保密专用网络安全设计[D].四川:四川大学,2003.
[2] 朱革娟,周传华,赵保华.网络安全与新型防火墙技术[J].计算机工程与技术,2001,1(22):16-19.
各州、市、县、区招生考试机构,初中毕业生信息确认点,中职、五年制高职院校:
云南省2018年高中阶段学校招生第一阶段录取工作已经完成。目前,部分五年制高职院校、普通中专、职业高中、技工学校等院校尚有剩余计划,根据《云南省招生考试院关于做好2018年全省中等职业学校五年制高职院校招生录取工作的通知》(云招考院﹝2018﹞92号)规定,省招生考试院将在全省范围组织2018年中职、五年制高职院校第一次征集志愿工作。现将有关事宜通知如下:
一、征集志愿时间
2018年8月15日8:00开始至8月17日18:00结束。
二、考生征集志愿条件
(一)未被任何高中阶段学校录取,录取状态处于自由的考生。考生录取情况可在“云南省招考频道”首页使用考号(13位信息采集编号)和身份证号码登录查询。
(二)征集志愿成绩要求:五年制高职文化成绩200分以上,艺术、体育类考生还需专业成绩60分以上,符合条件考生均可进行五年制高职院校征集志愿;普通中专、职业高中、技工学校等中职学校文化成绩不设最低控制线。
(三)参加征集志愿的考生,可填报20个学校志愿。
三、考生征集志愿方法
(一)符合征集条件的考生,可进入“云南省招考频道”(网址:ynzs.cn),登录“云南省招生考试工作网”参加征集志愿,填入确认信息时注册的账号(或13位信息采集编号)和自己设定的登录密码,用户类型选择“初中毕业生”,进入考生个人页面。选择“考生征集志愿”,进行志愿征集,填报完毕点击“保存”后,再到原报名学校(信息确认点)确认,并打印《确认表》签字。考生要特别注意,未经确认的征集志愿无效。
(二)对于不方便回原报名确认点进行征集志愿确认的考生,可以到拟就读的学校参加征集志愿。
(三)征集志愿期间严禁各院校进行已录考生退档工作。
四、征集志愿录取方法
征集志愿结束后,省招生考试院以“初中学业水平考试”成绩为依据,按照平行志愿投档规则进行投档。投档成绩相同则按各科成绩逐项比较排序,即按照语文、数学、外语、思想品德、化学、物理、信息技术各项成绩依次、逐项比较。
根据《云南省招生考试院关于做好2018年全省中等职业学校五年制高职院校招生录取工作的通知》(云招考院﹝2018﹞92号)文件规定,中职学校投档比例为缺额计划的1:1.5;五年制高职院校投档比例为缺额计划的1:1.2,各院校可根据学校具体情况,经招生考试机构审批后在以上范围内录取学生。
五、工作要求
(一)各级招生考试机构、报名确认点、中职五年制高职院校要安排专人做好征集志愿宣传和考生志愿确认工作,确保考生征集志愿的信息及时准确进入系统,为征集志愿录取工作顺利开展打好基础。
为抓好全年档案工作的统一部署,我局及时向全局干部职工传达了市局《关于印发〈2014年年度县区档案工作目标管理考评内容与评分细则〉的通知》精神,对抓好今年档案工作进行了专题研究和具体安排。结合工作实际,今年我局提出了“两加强、两服务”的工作重点,即加强档案的收集和利用,加强档案规范化管理;服务机关企事业单位、服务广大群众,进一步明确了工作方向,为促进并推动全县档案事业的发展打下良好的基础。
围绕“两服务、两加强”的工作重点,我局不断拓展档案工作交流平台,创新工作方法,通过创建全县档案业务交流QQ群,建立档案查阅登记、电话查询登记、档案复印登记等统计台账,实行工作日午休时间、双休日预约查档服务,实行工作人员首问责任、限时服务、文明办公服务承诺等措施,进一步丰富了各单位之间的交流方式,提高了档案业务沟通效率,提升了档案利用率,推进了档案工作规范化发展。
今年以来,我局不断加大档案征集接收力度,有效地丰富了馆藏,改善了结构。
1、整理并接收县检察院到期文书档案662卷、县社保局到期文书档案60卷、县妇联到期文书档案134卷进馆;接收县民政局婚姻档案327卷进馆;接收县纪委案件档案13卷进馆;接收重大活动档案5卷69件进馆,进一步充实了档案馆馆藏内容。
2、接待查阅利用者200余人次,提供档案查阅240卷,摘抄复制页500余张,为查阅利用者提供了优质高效的服务,使查阅者满意而归。
3、根据《档案法》关于“国家档案馆保管的档案,一般应形成之日起满30年向社会开放”的规定,经过鉴定审批,4月份向社会开放第十批到期档案,即1983年原区委办、区政府办等14个单位的档案共计144卷(617件),进一步扩大了档案查阅范围。
4、及时做好了现行文件和政府公开信息的接收、收集、征集工作,并及时归档,共收集现行文件268件,并在档案专网上公开了现行文件目录。
5、对接收进馆的文件均制定了馆藏档案《全宗名册》,内容包括全宗名称、起止时间和馆藏档案数量、起止时间。
1、组织全局干部认真开展业务知识学习。通过认真学习国家《档案法》、《江西省档案管理条例》有关条款、保密守则,有效提升了单位干部职工档案管理水平,促进了档案工作规范化发展。
2、加大档案法制宣传力度。结合《档案法》颁布27周年纪念日,我局印发了《关于开展纪念《档案法》颁布27周年宣传活动的通知》,积极组织相关单位采取多种形式开展《档案法》颁布27周年纪念日暨《江西省档案管理条例》施行13周年宣传工作。
3、组织开展档案法律法规竞赛。6月份,我局组织全县行政事业单位档案工作者参加了市局开展的档案法律法规知识有奖竞赛活动,其中县农工部、县科技局分别获得了第二名、第三名的好成绩,在有效提高全县档案工作者对档案工作的重视时,也广泛普及了档案法制观念,提升了各机关单位对档案法规的了解。
1、今年10月份开展了全县档案年度检查工作,进一步了解了各单位档案管理情况,对档案整理不到位的单位进行了通报并要求及时归档,促进了全县各单位档案管理规范化。
2、加强与民营企业联系,积极争取企业对档案管理的重视,并与__县宏明食品
公司档案管理负责人一同参加了市局组织的民营企业档案工作现场交流会。
3、加强对重点建设项目的档案指导工作,收集了我县23家重点企业的档案管理情况,引导我县重点建设项目档案管理逐步走向规范化。
4、对照《江西省机关档案工作规范化管理标准》,结合我县机关档案工作实际,今年我局指导县妇联、县环保局、县检察院开展了档案工作规范化管理评估,目前县妇联被评为省三级规范化管理评估单位,县环保局被评为省二级规范化管理评估单位,县检察院被评为省一级规范化管理评估单位。今年6月份对2008年全县档案工作规范化管理已获等级的县公安局、县消防大队、县供电公司三家单位进行了复查评估,及时指出了以上单位在档案管理过程中存在的问题,并要求改进,促进了复检单位档案规范化管理。
5、积极开展执法调研。为规范地方档案工作,今年上半年,我局与市人大、市档案局、县人大办一同对县计生委等单位的档案工作情况开展了执法调研,通过听汇报、现场看、查资料等方式详细了解了地方档案管理工作情况,进一步规范了地方档案管理。
1、我局积极向国家、省、市、县各级媒体投搞,截至目前,在国家级档案网刊登信息22篇,江西档案信息网刊登信息22篇,萍乡档案信息网刊载信息26篇,萍乡日报发表动态15篇,进一步加强了我县档案工作宣传力度,扩大了档案工作影响力。同时,我局也荣获了2013-2014年度全省档案宣传通联工作先进单位、全市档案报刊宣传先进单位的称号。此外,我局积极发动各单位参加2014年档案工作者年会征文活动,并且向中国档案学会、市档案局选送优质论文4篇。
2、“6﹒9国际档案日”宣传活动中,我局向各机关企事业单位发送档案宣传短信300余条,提升了广大干部群众的档案意识;在普法宣传长廊内以喜闻乐见、通俗易懂的漫画形式,图文并茂地介绍了档案管理职责和法制建设机制,使强化档案管理的观念深入人心。
3、为深入学习贯彻党的十八届四中全会精神,弘扬宪法精神,推进档案法制建设,12月4日,我局积极参加了司法部门牵头组织的以“弘扬宪法精神,建设法治__”为主题的宣传教育活动,在大地红广场开设了档案宣传专栏,悬挂宣传标语,设立咨询台为群众现场解答对档案法的相关问题100余人次,散发宣传资料500余份。同时,我局还组织局机关全体干部认真学习了《关于认真学习贯彻落实党的十八届四中全会精神深入开展法制宣传教育的意见》,引导干部职工加强宪法意识,树立法制观念。
我局坚持每年对机关、企事业单位专兼职档案人员进行业务培训,同时将归档文件的整理作为一项重要的授课内容。5月上旬举办了一期全县档案人员业务培训班,通过理论讲解、实际操作等形式有效提升了全县档案工作者的业务水平,学员反映良好。今年,我局还积极组织档案业务人员参加省局、市局举办的业务培训班,进一步提升自身档案业务水平。
1、加强档案系统管理。配备了一台与互联网完全隔离的电脑操作电子档案管理系统,并由专人负责,形成专人专机专网管理,定期对电脑进行杀毒,严格按照信息安全管理规定实施数据交换,确保档案管理系统安全运行。
2、加强档案保存环境管理。为确保馆藏档案的安全,按照“八防”(防盗、防火、防潮、防尘、防虫、防高温、防强光、防腐)的要求,年初对库房进行了1次彻底清扫,4月初做了一次投放防虫药工作,日常做好库内温、湿度监测记录、调节,各项规章制度建立健全,落实到位,提高了安全防范能力,确保了档案资源的完整安全与有效保护。
1、按照市局统一安排,对有条件的单位逐步应用标准化档案管理软件来保管档案。今年县环保局、县检察院分别申请档案规范化管理省二级、省一级单位,并购买了珠海档案管理软件进行档案数字化管理,聘请专人将案卷级、文件级目录全部进行著录。
2、信息资源数据库建设档案目录的数字化是档案信息化建设的基础工作之一,也是数字化档案馆建设的必备条件。目前我馆馆藏档案完成了案卷级、文件级数据库建设,现录有建国后案卷目录14914条,以卷为单位文件级目录80826条,以件为单位文件级目录27132条。
3、为更好的宣传及让社会各界了解__档案,2006年建成了“__县档案网站”,在网上公布和开放馆藏档案,积极开展档案信息的网络化服务和网上档案宣传。同时严格按照省市局要求,建设档案专网,不断丰富网站内容,及时档案工作动态和各类政策性、服务性的文件信息,有效拓展了档案服务功能。
(一)继续推进依法治档。不断提高档案工作法制化管理水平,注重抓好新领域档案工作,加强对民营企业档案工作的业务指导。
(二)抓好重大建设项目档案工作。充分履行对重点工程建设项目档案工作的业务指导和监督指导职能。
(三)抓好档案信息资源的开发利用。全方位为基层群众提供原始依据服务。
(四)搞好档案收集、征集、开发和编研工作。全方位收集重大活动档案,征集__特色档案,做好重点项目、重大事件、著名人物、著名企业档案的收集工作,不断丰实馆藏,并充分利用馆藏资料编写文件汇编。
(五)严格档案保管标准,提高档案保管质量。做到档案的及时收集、著录、保存等。明确档案管理程序,完善使用登记制度,禁止无登记、无审批私自取档现象的发生。
一、为了保障互联网的运行安全,对有下列行为之一,构成犯罪的,依照刑法有关规定追究刑事责任:
(一)侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统;
(二)故意制作、传播计算机病毒等破坏性程序,攻击计算机系统及通信网络,致使计算机系统及通信网络遭受损害;
(三)违反国家规定,擅自中断计算机网络或者通信服务,造成计算机网络或者通信系统不能正常运行。
二、为了维护国家安全和社会稳定,对有下列行为之一,构成犯罪的,依照刑法有关规定追究刑事责任:
(一)利用互联网造谣、诽谤或者发表、传播其他有害信息,煽动颠覆国家政权、社会主义制度,或者煽动分裂国家、破坏国家统一;
(二)通过互联网窃取、泄露国家秘密、情报或者军事秘密;
(三)利用互联网煽动民族仇恨、民族歧视,破坏民族团结;
(四)利用互联网组织组织、联络组织成员,破坏国家法律、行政法规实施。
三、为了维护社会主义市场经济秩序和社会管理秩序,对有下列行为之一,构成犯罪的,依照刑法有关规定追究刑事责任:(一)利用互联网销售伪劣产品或者对商品、服务作虚假宣传;
(二)利用互联网损害他人商业信誉和商品声誉;
(三)利用互联网侵犯他人知识产权;
(四)利用互联网编造并传播影响证券、期货交易或者其他扰乱金融秩序的虚假信息;
(五)在互联网上建立网站、网页,提供站点链接服务,或者传播书刊、影片、音像、图片。
四、为了保护个人、法人和其他组织的人身、财产等合法权利,对有下列行为之一,构成犯罪的,依照刑法有关规定追究刑事责任:
(一)利用互联网侮辱他人或者捏造事实诽谤他人;
(二)非法截获、篡改、删除他人电子邮件或者其他数据资料,侵犯公民通信自由和通信秘密;
(三)利用互联网进行盗窃、诈骗、敲诈勒索。
五、利用互联网实施本决定第一条、第二条、第三条、第四条所列行为以外的其他行为,构成犯罪的,依照刑法有关规定追究刑事责任。
六、利用互联网实施违法行为,违治安管理,尚不构成犯罪的,由公安机关依照《治安管理处罚条例》予以处罚;违反其他法律、行政法规,尚不构成犯罪的,由有关行政管理部门依法给予行政处罚;对直接负责的主管人员和其他直接责任人员,依法给予行政处分或者纪律处分。
论文关键词 冒用身份证 信用卡管理 社会问题
我国《刑法》第一百七十七条规定,使用虚假的身份证明骗领信用卡的,构成妨害信用卡管理罪。豍2013年,北京市丰台区人民检察院办理以冒用他人居民身份证骗领信用卡为主要手段的妨害信用卡管理类犯罪案件8件18人,暴露出四个方面社会管理问题,应当引起高度重视。
一、身份证信息管理系统存在不足
研究案情发现,犯罪嫌疑人办理信用卡时冒用的身份证几乎都是他人遗失的真实身份证,且多数身份证主人已经对该身份证做挂失补办处理。在这种情况下,身份证之所以会被犯罪分子冒用,是因为我国身份证和户籍管理系统存在“先天性缺陷”,即二代身份证挂失补办后,原身份证中的信息不能随之注销,新旧身份证都可以照常使用。这就为犯罪分子冒用他人身份证提供了可乘之机,导致身份证主人在毫不知情的情况下被人冒名实施犯罪。此类案件中,多数犯罪嫌疑人均利用了身份证信息系统的这一漏洞,如,2013年5月,犯罪嫌疑人孙某、王某涉嫌妨害信用卡管理罪一案中,孙某、王某随身携带的444张身份证被警方查获后,经依法查验,其中443张均为他人真实身份证,且已能够确认其中部分身份证主人已经按照正当程序对该身份证进行挂失处理。
二、网络信息安全存在监管漏洞
经统计发现,犯罪嫌疑人通过网络途径招募“马仔”实施犯罪的案件共计4件6人。办案中发现,在赶集网、1010网等知名网站上,招募办卡人员的兼职信息随处可见,往往对学历、年龄、特长等硬性条件都无限制,且报酬较为优厚,对法律意识低的人群诱惑力极大。另外,在百度、淘宝等网站的搜索引擎上输入“身份证”字样,就会出现大量办理、出售身份证的信息,MSN、微信、QQ等网络聊天工具中有专门收购身份证、教授犯罪方法、发展组织成员的聊天群。可见,各大网站、网络平台对自身的信息安全缺乏有效的管理,网络信息监管部门的监督检查工作存在漏洞,网络环境混乱无序,为犯罪分子实施此类犯罪提供了极大方便。
三、银行办理信用卡业务时审核不严
在司法实践中,通过冒用他人身份证骗领信用卡行为往往由银行工作人员察觉办卡人员存在异常而及时被警方发现。同一个人持同一证件,在有些银行可以顺利办理银行卡,而在有些银行却被识破,反映出银行工作人员完全是可以通过更细致、审慎地审查,防止信用卡遭冒领的。但事实上,大部分的银行工作人员对信息的审查仍不够细致,因此出现了犯罪嫌疑人多次冒用他人身份证办理银行卡而未被发现的情况,暴露出银行工作人员在“人证一致性”方面审核不严,或片面追求办卡数而疏于查验比对、放松监管。如,2013年4月,犯罪嫌疑人周某到北京市丰台区民生银行某支行办理开户业务时未被发现人证不一致,随后该嫌疑人在北京市丰台区工商银行某支行再次办理开户业务时,被工作人员发觉并报警。
四、对制卡机等特殊设备的买卖监管不力
按规定,制卡机、刷卡机、空白银行卡等特殊设备的买卖需要有关部门特许经营,否则将可能触犯非法经营罪等法律。但事实上,犯罪分子往往可以通过低廉的价格在互联网上轻松购买上述设备,体现出工商部门等有关行政管理机构在执法活动中存在不足,对特种买卖活动的监管仍需规范化,尤其是对网络空间中的非法买卖行为亟待进一步加强监督查处力度。如,2013年4月,犯罪嫌疑人王某先是冒用他人身份证办理大量银行卡,后通过网络途径购买了制卡机和空白银行卡,并将已经办理的银行卡成功复制,企图将银行卡原卡出售后,再利用复制的银行卡进行信用卡套现。
针对以上问题,有关部门应着力从几个方面强化社会管理:
一是加大宣传力度,警醒广大群众加强自我保护。司法机关要充分运用电视、报刊、广播、网络等新闻媒体,加大宣传报道力度,教育和提醒广大群众切实增强信用卡风险防范意识,注意保护自己的身份信息,一旦丢失个人身份证,要及时到公安户籍部门挂失补办,以防被不法分子窃取后用于非法活动;要提高对陌生电话、短信的警觉性,如果涉及钱财交易,一定要仔细核实验证,谨防上当受骗。发案银行发现信用卡诈骗行为的要尽早向公安机关报案,为公安机关赢得破案时机,提供更多、有价值的破案线索。物流从业员要增强工作责任心,对于通过邮局投递的信用卡,若非收件人本人领取的,要认真查验并登记代领人的身份证件,为公安机关日后破案提供线索。
二是要加快完善身份证信息管理系统。目前,加快推进身份证植入指纹信息工作,提高身份证的识别度,从根本上解决二代身份证挂失后信息无法注销问题已成为降低冒用他人身份证实施违法犯罪行为的当务之急。公安部于2013年8月13日《将加快推进身份证登记指纹信息》的消息,这是公安部首次正面回应身份证挂失的“缺陷”问题。豎公安部表示,将继续加大打击买卖、冒用他人身份证违法犯罪活动的力度,加快推进居民身份证登记指纹信息工作,进一步加强宣传引导,督促相关用证单位切实落实身份证核验责任。同时,公安部正在推动建立全国居民身份证挂失申报系统,可能在居民身份证挂失后对挂失人员重新进行摄影,将新的照片录入身份证信息库,或者在居民身份证信息库中对已挂失的居民身份证进行标示,对加强居民身份管理、有效打击违法犯罪具有重大意义。
三是商业银行应加强风险控制与管理。首先,明确不得在商业银行营业网点以外的其他场所受理信用卡申请,并要求信用卡申请人本人到场申请办卡,严禁他人代办信用卡。其次,对申请人填写的信用卡申请书,商业银行应见证申请人本人签章后,在申请书上加注“已见证申请人本人签章”并由商业银行经办人签章。对申请人提交的居民身份证,发卡机构应通过联网核查公民身份信息系统进行核查,核查结果由核查人在复印件上登记、签章。另外,建议银行尽快建立健全联网核查公民身份信息系统,确保申请人开户资料真实、完整、合规,对联网核查公民身份信息系统运行前开立的银行卡存量账户要逐步进行联网核查,对已在银行大量开户或申卡的持卡人申请办卡,要从严审查,加强风险防控。
有的法科学生在当地司法局报考司法考试后,会在近半年乃至更久时间内持续受到司考培训机构的电话和短信广告骚扰;人们到电信服务公司实名办理手机卡后,往往会莫名受到各种公司或机构的电话和短信骚扰……面对各种信息诈骗案件层出不穷的现状,只有完善现有责任追究机制,才能恰当地赔偿受害消费者,精准地惩处有关责任方,有效地威慑潜在加害者。而确定相关责任主体的范围,则是启动责任追究机制的第一步。
现有法规将责任主体限定于诈骗行为实施者,难以起到抑制信息诈骗、保护信息安全、维护消费者权益的作用。那么,信息泄露到底应该责归何方呢?
应将有关行政机关和企业作为连带责任人
有关行政机关以国家、社会安全为由,要求公民在众多涉及行政管理的事项中提供个人信息;有关企业以安全监管和便利服务为由,要求消费者提供个人信息,甚至网络服务运营商通过相应格式合同条款默认消费者同意将有关个人信息供其“使用”。这些掌握个人信息的源头,却出于获取不当利益的动机向他人提供本应由其保护的个人信息,这是造成个人信息遭到泄露并滥用的根本因素。因此,在立法和执法时,对于此种泄露个人信息的行为应当加大处罚、惩处力度,并制定详尽的个人救济制度以便利公民寻求司法救济或者自力救济。
有人可能会说,这些行政机关或公司收集个人信息的出发点是好的,只不过是因为内部工作人员泄露或者他人通过不法途径盗用了信息,因此这些行政机关或公司不应承担主要责任。无可否认,他们可能是基于合法目的或者正当理由收集了公民的个人信息,但若他们不付出相应的代价对这些信息进行保护,进而加大内部工作人员或他人泄露、获取信息的成本,则违背了他们收集个人信息的最初目的或者理由(维护国家社会安全、服务公民或消费者),因为他们的“不作为”或者“少作为”使得公民信息、合法权益和公共利益遭到了损害。
人们基于信任向这些行政机关和公司提供信息,或者辜负了人们的信任,不仅违背了基本的契约精神,而且破坏了诚信社会赖以构建的秩序基础。所谓“能力所在,职责所在”,意味着有能力收集信息者,也不要推诿于其他原因而不承担相应的职责,而只享受获得个人信息带来的单方面便利。
因此,不论是依据现有法律,还是在未来的立法过程中,都应当加重有关行政部门和企业保护个人信息的义务,对于未尽相应义务者应当施加更为严厉的处罚。此外,受害者在主张寻求救济时,应当默认地将有关行政机关和企业作为连带责任人,并进行举证责任倒置,而由后者主张其已尽了合理的注意义务。相对于普通个人和消费者而言,这些行政机关在人力、专业程度、财力上都处于强势地位,应当在现代社会承当与其能力相应的责任。
信息诈骗的追责范围
除了前述有关行政机关和公司外,实施电信骚扰、诈骗的主体形形。其中,有组织程度完善的专门公司,有偶尔为之的个人,也有以之为业的专职人员。然而,公安机关仅在面对徐玉玉案等重大案件时积极作为是不够的,司法机关和征信部门应当联合构建防御机制,尽可能地避免这些人类“病毒”侵害个人和社会秩序。
举例而言,公安机关、检察院和法院以及金融、交通、海关等部门应当建立相关的信息共享机制,将由某部门处罚的涉案企业或人员列入“黑名单”后,其他部门即对其进行重点监控。由于我国某些行政机关和企业在侵害个人信息案件中扮演了源头的角色,司法、立法和党政机关应当对这些行政机关和企业加紧监督和管制,以免一小撮分子破坏了党和政府的威信和可信度。对于侵害个人信息的企业或个人,应当加重处罚力度;对于侵害个人信息的有关行政机关,不仅应让该机关和主要负责人承担法律责任,还应就其对党和政府形象的抹黑让其承担相应的政治责任。
此外,中央也应当在“顶层设计”层面对侵害个人信息问题予以关注和回应,并进行相应的“顶层设计”,以免违法乱纪分子混杂于良善人民之中为非作歹。
反思“技术中立”抗辩事由
信息泄露事件发生后,电信、网络服务商往往会以“技术中立”为由抗辩追责主张,认为自己不过是通信、网络技术提供方,不应对技术服务以外的他人诈骗行为承担责任。这种说法于理于法都站不住脚。当我们将目光从现实社会转向信息空间时,电信通信、互联网不仅是中立的技术,还是资源/能力、权力/责任的角逐场域,“技术中立”的内涵也应有相应的调整。
电子通信、互联网技术发展至今,服务提供方和使用方的认知、技术、资源方面的差距越来越大,普通人凭一己之力通常难以越过这道鸿沟。在服务提供商、消费者和潜在加害人三方构成的场域中,除了潜在加害人自我克制之外,服务提供商有丰富的技术经验、专业人员和行业知识管控信息泄露风险,而消费者在依照同服务商订立的协议提交个人信息之后,对该信息的保管和流向无能为力。这种情况下,“能力越大,责任越大”的原则自然应当发挥作用,让风险控制责任归于控制成本更少者。
在前数字化时代,电信、邮政、交通、民政、公安等有关部门掌握的个人信息往往保存于纸质载体,他人获得这些信息费时费力;如今,有关部门通常会把个人信息数字化而储存在电脑服务器中,手指大小的U盘即可装下整个图书馆的信息,他人通过黑客技术更能在瞬间窃取这些信息。此时,有关部门信息储存成本下降,信息安全保障责任增加,这不仅是由于它们有着更多的资源和能力控制信息泄露的风险,还因为它们是百姓信任的权威主管机关,有受人民委托服务公共利益的义务。
让服务提供商甚至有关行政部门就信息泄露事实对电信诈骗承担连带责任,没有而是调整了“技术中立”抗辩,使得它更能适应信息泄露风险猛增的大数据时代。信息技术不过是方便人们交流沟通的工具,可程序代码是一系列人机互动的协议,网络运行也离不开服务提供商所雇程序员对代码序列的编写。
一、案例简介
案例一:2000年,宁波大学应届毕业生俞某应聘到宁波森木公司担任外销员。3年后,凭借出色的业绩和良好的人际关系,他被公司提拔为出口部经理。2004年年底,俞某以其妻姚某的名义,在香港注册成立了杰胜公司,然后利用其所掌握的客户资料、产品价格等商业秘密,将公司3家国外客户的业务全部介绍给杰胜公司,转移了部分业务给自己经营。至2007年4月,杰胜公司与它们的业务总额已达2000多万元,
2005年2月,森木公司与俞某签订保密协议。同年年底,由于国外订单异常,森木公司觉察到了公司内部存在商业秘密泄密行为。经过两年多的调查取证,2007年3月14日,森木公司向宁波市中级人民法院提起民事诉讼,要求俞某等四被告连带赔偿经济损失600万元。6月,经法院调解,森木公司获赔90万元结案。
案例二:台州山河公司是一家外贸出口企业,国外订单很多。2003年,应届毕业生徐某应聘来到公司,并被重点培养为业务经理。2007年,公司的节日灯销售额约为3300万元。2008年开始出现问题,销售迅速萎缩到2000万元。2009年初,公司觉察到了徐某“吃里扒外”的飞单行为。自2009年2月起的一个月内,徐某等10名山河公司核心人员相继辞职,集体跳槽至临海鼎威公司,带走了所有的经营信息资料、技术资料。3月23日,山河公司报案。11月,临海鼎威被责令停止商业秘密侵权行为,受到了行政处罚。在商业秘密泄密与侵权的影响下,山河公司2009年的节日灯销售遭到毁灭性打击,全年订单额仅有100万元。2010年1月,公安机关侦查结束后,将相关材料移交至检察院。然而,临海市检察院至今没有提出公诉。
二、案例分析
两个案例都是明显的商业秘密侵权行为,都祸起萧墙,前者主要是飞单,后者则是另立山头。两个涉案公司均损失惨重,苦不堪言。由此可知外贸企业保护商业秘密的困难、困境和困惑,分别阐述如下:
1. 泄密风险大、侵权威胁大、损失代价大
外贸企业的核心商业秘密就是客户、订单和出口售价。它的商业价值极大,是企业最宝贵的无形资产,是企业利润和核心竞争力的源泉,关系到企业的生死存亡、兴衰成败。也正是因为这个原因,它也面临着巨大的泄密风险和侵权威胁。它一旦泄露,就难以补救和挽回,带来巨大损失,结果往往是灾难性的。
在上述案例中,两人均从毫无经验的应届毕业生成长为外贸业务精英,受到了公司的重视或优待。俞某在公司做到第5年的时候,年收入就达到了50万元,可谓待遇丰厚。徐某则一直受到公司的极度信任和重视。但是,他们都在巨大利益的诱惑下,侵犯了公司的商业秘密利益,导致了无法弥补的巨大损失。森木公司经过两年的调查取证,维权,最后仅获赔90万元;山河公司的节日灯销售额则损失了97%,10名核心员工集体跳槽,基本上失去了原有市场。
微观而言,商战激烈,商业间谍“无间道”窃密风险防不胜防,时刻存在;宏观而言,社会诚信环境差,商业伦理和道德水平低,不正当竞争之恶劣风气盛行,加剧了泄密和侵权风险。宁波市民营外贸企业商会2009年对宁波400家中等以上规模企业进行调查,发现100%的企业都有过商业经营秘密被侵害的遭遇,经济损失在50万元以上的占1/3。调查还显示,80%的商业秘密在职工跳槽时被带走,这些跳槽者大多是企业的业务骨干和核心秘密的掌握者,对企业内部情况了如指掌。2010年9月,《浙商》杂志向100家样本企业发放了调查问卷发现,被窃取过商业机密的企业占比高达41.6%。
2. 司法救济和惩戒不力、维权护密难
没有专门的《商业秘密保护法》,相关的法律法规较分散,部分条款规定模糊、立案办案难,可操作性差,法律保护不到位,维权护密存在着“发现难、取证难、难、判决难、执行难”的现实困境。
在上述案例中,森木公司察觉到泄密行为时,不法飞单行为已经进行了一年;调查取证了两年之后,才得以;以和解和赔偿90万元告终,泄密者没有承担更多的民事赔偿,没有被追究刑事责任。山河公司的泄密行为,也是在一年之后才被发现;员工集体跳槽后过了两年,该案也没有被立案公诉;侵权者仅仅是被行政处罚,其侵权行为没有得到足够的惩戒。
出现这种司法救济不力的局面,可主要归咎于如下三个原因:
第一,发现难,取证难,计算经济损失难,经济赔偿责任水平低。首先,员工私下里向外泄密,非常隐蔽,公司如何察觉、发现和举证?其次,要,首先得举证客户是自己的,客户不会、也不可能与他人交易。这个“客户界定”取证过程无疑是非常艰难的,因为客户完全可以同时与他人发生交易。最后,在现实中,商业秘密侵权导致的经济损失往往难以计算和估量,依据《反不正当竞争法》第20条,此时的侵权赔偿仅为侵权者所得利润,该金额很可能远远无法弥补权利人的经济损失。
第二,难、立案难。因为取证难,所以难以和立案。侵犯商业秘密罪的构成要件之一是“造成重大损失”,最高法和最高检2004年将“重大损失”解释为经济损失50万元以上,而如下问题仍然模糊不清:重大损失包括间接经济损失吗?对经济损失认定存在争议怎么办?而且,这个入罪门槛显然太高,很多案件都无法立案。据江苏法制报2010年9月3日报道,近三年来,南京未批捕、一起侵犯商业秘密刑事案件。
第三,判刑难、执行难。《刑法》的相关规定模糊,入罪门槛高,惩戒力度轻。一般侵犯商业秘密罪的最高刑期只有3年,刑期偏短,起不到广泛有力的震慑和惩戒作用。另外,因过失而泄露商业秘密、造成特别重大损失的,是否构成过失泄露商业秘密罪?此时,无法可依。至于执行难,一直是我国司法实践中众所周知的难题,难以解决。
3. 企业保密意识弱、保密措施执行不力、保密效果差
许多外贸企业未能设立专门的商业秘密防护部门、聘用专业的保护人才,保护意识淡漠,保护制度匮乏、滞后,保护措施不完善、执行不力,信息安全水平低,难以抵御无孔不入、惟利是图的商业间谍、窃密者和泄密者。在上述案例中,公司的保密工作显然存在如下不足:
第一,企业的保密意识差,没有专门从事商业秘密保护的机构或专业人员,没有制定系统完善的保密规章制度,甚至缺乏最基本的竞业限制协议。森木公司在俞某从事外贸工作5年之后,才与之签订了保密协议,可谓姗姗来迟;两个公司均未与业务经理签署竞业限制协议,纵容了他们日后的同业竞争行为。07年4月-12月,森木公司财务负责人的邮箱密码被俞某破解,业务邮件被多次浏览和恶意删除,这反映了公司和员工对信息安全的重视程度不够,系统漏洞多,容易遭遇木马病毒、黑客攻击等网络犯罪。
第二,企业的现有商业秘密保护措施措施执行不力,保密效果差。山河公司虽然早在2000年就制定了商业秘密保护制度,并与公司的高层人员签署了保密协议,但是执行不力,保密效果差。因为,再好的制度,再完善的措施,最终也要靠人来执行。人性天然有弱点,比如疏忽大意、自私、贪婪、虚荣、嫉妒,自制力差,难抵诱惑。在现实中,公司员工面对窃密者的威逼利诱,私下里对外联系、泄密,公司很难察觉、发现和举证。即使发现了,也为时已晚。
另外,外贸企业经营不当、管理不善,也会诱发商业秘密泄密,影响保密效果。比如,在经营方面,企业与对手进行恶性竞争,互挖墙脚,谍战激烈;在管理方面,公司内斗不止,决策不当,机制僵硬,管理混乱,员工的薪酬待遇低,晋升发展难,凝聚力不强,员工频频离职、跳槽、另立山头。
4. 职业道德和社会诚信环境差、保密难度大
成熟市场经济应该有一个基本的商业道德底线共识,比如员工忠诚、企业诚信经营、社会公平竞争和公正交易等。但是,由于我国当前的市场经济不够成熟和规范,信用建设水平低。三鹿的“三聚氰胺”、双汇的“瘦肉精”、阿里巴巴的“欺诈门”、紫金矿业的“污染门”、力拓“间谍门”,还有其他层出不穷的欺诈、造假、贿赂事件,说明当今的社会诚信环境差,职业道德和商业伦理水平低,急功近利,唯利是图,不择手段,容易诱发商业秘密泄密和窃密行为。据商务部统计,我国企业每年因信用缺失导致的经济损失高达6000亿元。在征信成本太高而失信又几乎没什么成本的情况下,违约、造假、欺诈几乎每天都在上演。
在上述两个案例中,公司将俞某、徐某一步步培养成了外贸业务精英,恩重如山,到头来换来的却是他俩的背叛和欺诈,毫无职业道德可言。因此,员工没本事―公司不满意,员工有本事―公司怕跳槽,左右为难。在这样一个缺乏诚信的商业环境里,许多企业常常担心被泄密、被盗版或山寨、被侵权,不得不投入巨资进行商业秘密防护,保密成本高、难度大。
三、几点启示
商业秘密泄密与侵权问题,始终是外贸企业的心腹大患。就宏观而言,外贸企业应该加强行业诚信和行业自律,倡导商业伦理和职业道德建设,呼吁完善和加强司法保护和惩戒力度,像保护专利、商标一样保护商业秘密。就微观而言,反思泄密困境,外贸企业应该获得以下几点启示:
1. 外贸企业保护商业秘密,重在预防和自我保护,而不是泄密后的维权和司法救济。一旦泄密,亡羊补牢,为时已晚。即使选择了诉讼维权,也是耗时耗力、成本高昂、胜诉艰难。既有的司法打击和法院判例多指向明目张胆的、显而易见的商业秘密侵权行为。然而,狡猾的泄密者和窃密者会采取非常隐蔽的侵权行为,难以发现、取证和。此时,受害者有苦难言,无可奈何,往往选择了沉默和不作为。因此,要有完善的保密措施和严格的保密制度,重在预防和自我保护。
2. 内乱大于外侵,员工安心工作,商业秘密安全才有保障。选拔员工的基本标准是“德才兼备、以德为先”。重用有才无德的人,就是养虎为患。外贸企业应该用公平合理的薪酬待遇激励人,用以人为本的企业文化凝聚人,真正做到“事业留人、感情留人、待遇留人”。
3. 灵活采用“捆绑”策略和“分割”策略,可有效降低商业秘密泄密风险。外贸企业可实行“捆绑”策略,将企业与员工、客户有效捆绑在一起,成为牢固的利益共同体,做到“一条绳、一颗心、一股劲”。可用员工持股制、股票期权激励制、终生员工制捆绑员工,可用相互持股制、合资合作经营捆绑供货工厂和国外客户。另外,将企业的核心商业秘密分割开来,委托给不同的人掌管,可分散单一个体的泄密风险。
4. 加强品牌建设,进行产业链延伸,可从商业秘密泄密困境中彻底突围。为了从泄密困境中彻底突围,外贸企业应该加强自主品牌建设,进行产业链延伸,向前延伸至供货工厂,向后延伸至国外客户,打通并控制整个产业链渠道。即使员工跳槽或离职,也带不走企业的品牌,带不走整个产业链渠道。
参考文献:
[1] 章以省 吴欣宇.订单急剧减少 背后谁在潜伏―关于浙江台州企业商业秘密外泄情况的调查[N].中国工商报,2010-10-23(A02).
【摘要】通过电子邮件来作为法定证据,它有其自己的弊病,所以本文对其证据效力,证据类型及认证都有了很好的阐述。
【关键词】电子邮件证据法律效力
一、电子邮件的证据效力
目前我国尚无电子邮件作为法定证据的规定或解释,但电子邮件已被现代社会所广泛运用,实际上,司法实践中也已将电子邮件作为重要的证据。在对电子邮件等证据的法律定位过程中,我国学者一般是在继续沿用传统的证据分类的前提下提出了以下具代表性的观点。
1.视听资料说
这种观点目前在一定程度上为我国立法机关与司法机关采纳。主要表现在一些法规和司法解释中,其中视听资料的范围包含了一部分电子证据的形式。如最高人民检察院1996年12月32日的《检察机关贯彻刑事诉论法若干问题的意见》第3条第1款规定“:视听资料是指以图像和声音形式证明案件真实情况的证据。包括与案件事实、犯罪嫌疑人以及犯罪嫌疑人实施反侦查行为有关的录音、录像、照片、胶片、声卡、视盘、电子计算机内存信息资料等。”持这种主张的学者通常认为:视听资料是指可视、可听的录音带、录像带之类的资料,电子邮件可显示为“可读形式”,因而也是“可视的”;视听资料与电子邮件在存在形式上有相似之处,都是以电磁或其他形式而非文字符号形式储存在非纸质的介质上;存储的视听资料及电子邮件均需借助一定的工具或以一定的手段转化为其他形式后才能被人们直接感知;两者的正本与复本均没有区别;把电子邮件证据归于视听资料最能反映综合的证据价值等。
2.书证说
一些学者把电子邮件等证据归入书证的理由主要有以下几点。
(1)普通的书证是将某一内容以文字符号等方式记录在纸上,电子邮件则只是以不同的方式(电磁、光等物理方式)将同样的内容记载在非纸式的存储介质上,两者的记录方式不同、记载内容的介质也不同,但却具有相同的功能,即均能记录完全相同的内容。
(2)电子邮件通常也是以其代表的内容来说明案件中的某一问题,且必须输出、打印到纸上(当然也可显示在屏幕上),形成计算机打印材料之类的书面材料后,才能被人们看见、利用,因而具有书证的特点。
(3)《中华人民共和国合同法》第11条规定:“书面形式是指合同书、信件及数据电文(包括电报、电传、传真、电子数据交换和电子邮件)等可以有形地表现所载内容的形式”,据此也可以推断出电子合同证据系书证的一种。
二、电子邮件作为证据的类型
当电子邮件作为证据形式时,有以下两种情况。
1.双方无异议的电子邮件
在司法实践中,如果双方对电子邮件的内容及收发人无异议,一般认为可以作为证据认定。当事人双方的承认性陈述本身就可以作为证据认定,而这种承认性陈述又可以与电子邮件的内容相互印证,所以,应当被法庭所认定。
2.双方有争议的电子邮件
(1)对收发人有异议。在诉讼中,如果当事人对电子邮件的收发人产生异议,在这种情况下,审查电子邮件的内容已无意义,因为如果当事人否认是电子邮件的收发人,实际上就已经否认了邮件的内容。笔者认为,首先需要查清的是电子邮件的地址是否是收发件人的,其是否拥有合法用户名、账号、密码等,因为每个注册用户均对应一个电子信箱,合法的用户的上述资料及个人资料在网络服务提供商(ISP)处均有备案,如果使用人的个人资料与ISP的备案一致,则可以确认该信箱是使用人的,在该用户的信箱密码未被他人盗用的情况下,以该信箱收发信件的作者即为该信箱的拥有者。
(2)对电子邮件内容有异议。这是在诉讼中不易认定的部分。在确定了收发件人后,就要对电子邮件的内容进行审查,对于一般人员来说,直接在Internetmail的收件箱中删改纯电子邮件信件亦非易事,因收件箱中的电子邮件是只读文件,拒绝删改。其另存方式也只是改变文件的位置,文件的属性并未改变,仍是email文件。从外观上看,纯电子邮件信件的信头上均带有收发件人、收发件人的网址、收发件时间等详细资料。故对这类文件只要上述信息清楚即可以作为证据认定,如还有疑问,可直接到举证人的计算机上查阅原始信息。在此应当指出的是附有电子签名的或附加其他适当安全程序保障的电子邮件,推定其具有真实性,一般应予以采纳。就目前的情况来看,电子签名或其他安全程序有口令、密码、数字加密、生物特征识别等。随着计算机技术不断发展,新的电子签名或其他安全措施的形式还会层出不穷。按照《联合国电子商务示范法》确定的“功能等同法”,电子签名或其他安全程序同传统签名至少在以下两个方面的功能上应是一致的:一是表明签署者是谁,二是表明此人承认、证明或核准了所签署的文件内容。根据第二项功能,不难得出如下结论:对于附有电子签名或附加其它适当安全程序保障的电子邮件,在没有相反证据的情况下,推定其为真。
三、对电子邮件的认证
电子邮件作为证据被采用,并不必然被采信,必须经过法官的认证后才能用作定案的根据。所谓认证,即法官对案件中涉及的证据加以审查认定,以确
定其证明力或证据力大小,从而判断是否作为定案证据的一种诉讼活动。法官在认证时应注意:它是以电磁或光信号等物理形式存在于各种存储介质上。这一特点决定了电子邮件可以被轻易地改变或删除,并且往往不留痕迹。电子邮件还能够无限制地、快速地复制。也正是由于这一特点,人们会对电子邮件及其电脑输出的书面材料所载信息的真实性提出疑问,电子邮件的证明力与其真实、可靠性密切相关。法官在认证时应审查以下几个方面:1.电子邮件的生成。2.电子邮件的存储。3.电子邮件的传送。4.电子邮件的收集。5.电子邮件是否被删改。最难判断的是电子邮件的保存,即是否被删节、修改过。对此法官不能仅凭自己的内心确信来评断,而应依据专业的技术鉴定综合衡量是否予以认定。
四、结语
电子邮件由于其形成技术较为复杂、技术含量高,并具有易伪造性、易修改性、依附性等弊病,所以我们应在电子邮件证据方面采用电子签名和邮件加密技术手段、完善电子签名法、电子邮件采用网络实名制等途径,来解决电子邮件真实性及其作为诉讼证据的效力问题,最终推动我国电子邮件证据的健康发展。
参考文献:
