欧盟理事会关于攻击信息系统的第2005/222/JHA号框架决定[1]
欧盟理事会考虑到欧盟条约的规定,特别是规定中的第29条、第30条第l款第1项、第31条第1款第5项和第34条第2款第2项以及欧盟委员会的建议和欧洲议会的意见,鉴于以下因素考虑特通过本框架决定:
(1)由于本框架决定的目的在于:利用成员国刑法中关于攻击信息系统方面的相关规定,来促进司法机构以及包括成员国警察和其他法律执行机构在内的相关权力机关之间的合作。
(2)有证据能够显示存在对信息系统的攻击,特别是存在可能导致集团犯罪和正在上升的针对成员国基础设施信息系统潜在的恐怖袭击之危险。这构成对一个完全的更加安全的信息社会和一个地区的自由、安全和公平的威胁,因此要求得到全联盟的响应。
(3)如同强调电子欧洲行动计划,对那些威胁的有效响应,要求按照欧盟委员会关于“网络与信息安全:欧洲政策取向建议”的通讯以及欧盟理事会于2002年l月28日作出的、关于网络信息安全领域通用方法和特别行动的决议的描述,以实现全面的网络信息安全。
(4)2001年9月5日的欧盟议会决议上,已经强调增加对信息安全问题的注意和提供实际协助的需要。
(5)成员国之间的法律在本领域的重大分歧有可能阻碍打击集团犯罪和恐怖主义,并且使在攻击信息系统领域的方针与司法合作变得复杂。现代信息系统的跨国性和无国界性意味着对信息系统的攻击也是无国界的,因此,对此领域相关刑法采取进一步行动是亟须的。
(6)欧盟理事会和欧盟委员会在关于如何贯彻区域内自由、安全和公平的《阿姆斯特丹条约》、1999年10月15日至16日的坦佩雷欧盟参议会、2000年6月19日至20日的吉桑德欧盟讨论会、欧盟委员会的会议记录和2000年5月19日的欧盟议会决议的规定中提出并号召:包括常规定义、控告和制裁高技术犯罪立法的行动。
(7)关于履行促进相关刑事法律和八国集团(G8)在欧盟范围内的针对高科技犯罪的国际间共同合作的国际组织的工作应当得到完善。这一要求在欧盟委员会提交至欧盟理事会、欧盟议会、经济社会理事会和区域委员会的关于通过改善通信基础设施安全和打击计算机相关犯罪、创建安全信息社会的通讯中有详细表述。
(8)涉及攻击信息系统的相关刑事法律应当最大限度地确保警察和司法机关在打击攻击信息系统刑事犯罪和打击集团犯罪和恐怖主义方面的合作。
(9)各成员国都批准了欧洲理事会1981年1月28日关于保护个人数据自动化进程中的个人的协定。本决议中的个人数据保护与欧洲协定中的原则相一致。
(10)信息系统和计算机数据的标准定义是保证本决议一致适用的重要方式。
(11)需要通过规定非法访问信息系统、非法干扰系统和非法干扰数据这些普通犯罪,达成关于刑事犯罪要素的共同认知。
(12)基于打击计算机相关犯罪的共同利益,各成员国应当确保在打击第2、3、4、5条中所规定的犯罪类型方面的有效司法合作。
(13)除了具有刑事豁免权的人之外,在处理未成年人案件时也应当避免过度刑事化。
(14)成员国还应当对攻击信息系统的行为作出刑事处罚的规定。这些处罚必须是有效、适当且有劝诫性的。
(15)当该攻击是在1998年12月21日关于在欧盟成员国内打击刑事犯罪的第98/733JHA号联合行动中所界定的犯罪组织的形式下进行的,则各成员国适合作出更为严厉的处罚。当这种攻击造成了严重破坏或者损害到根本利益时,也应当作出更为严厉的处罚。
(16)为了确保成员国在打击信息系统攻击的行动中有效合作,也应当预知一些措施。因此,各成员国应当利用现有的涉及欧盟理事会2001年6月25日关于接触点的建议的网络接触点,为保证信息交流、打击高技术犯罪提供24小时服务。
(17)由于这一决议的目的是保证成员国对攻击信息系统的犯罪规定有效、适当和有劝诫性的刑事处罚,并且消除潜在的复杂因素以促进和鼓励各成员国在司法上合作,但各成员国无法完全实现这一目标,因为规则必须是共同一致的,因此为了能更好地在欧盟层面上实现,欧盟采用符合《欧盟条约》第5条所规定的补充原则的措施。根据条约中的相关原则,本决议不能超越为实现这些目标所需要的范围。
(18)本框架协议决定尊重基本权利,并且遵守《欧盟条约》第6条所规定的原则。这些已反映在《欧盟基本权利宪章》的相关章节中,尤其是第二章和第四章。
第1条 定义
为了本框架决定之目的,应适用以下定义:
(1)“信息系统”是指能够依照程序进行自动处理计算机数据,又能够以对其操作、使用、保护和维护的目的,对计算机中的数据进行的存储、加工、恢复或传输的任何装置或内部相连的相关装置的组合;
(2)“计算机数据”是指任何适用于信息系统处理的事实、信息和概念,其中包括能够使信息系统执行某种功能的程序;
(3)“法人”是指根据适用的法律拥有该地位的任何实体。国家或者包括国家机关和国际公共组织在内的其他公共团体不包括在内;
(4)“无权”是指非经该系统的所有者或其他权利人或部分系统的权利人的授权或国家立法的允许而进入或干扰信息系统。
第2条 非法访问信息系统
1.至少在非未成年人案件中,各成员国应当采取必要措施,以确保故意未经授权而访问全部或部分信息系统作为一种刑事犯罪,具有可罚性。
2.各成员国可以规定第1款所规定的犯罪只有在破坏了某种安全措施时才被起诉。
第3条 非法系统干扰
至少在非未成年人的案件中,各成员国应采取必要的措施,以确保通过进入、传输、破坏、删除、损毁、篡改、抑制或改变不可访问的计算机数据而对任何信息系统功能造成严重妨碍或中断的具有故意的行为成为一种具有可罚性的刑事犯罪。
第4条 非法数据干扰
至少在非未成年人的案件中,各成员国应采取必要的措施,以确保故意破坏、删除、损毁、篡改、抑制或改变不可访问的信息系统中的计算机数据的行为成为一种具有可罚性的刑事犯罪。
第5条 教唆、帮助、煽动和未遂
1.各成员国应规定帮助和煽动实施本决定中第2条、第3条、第4条规定的犯罪的教唆行为作为刑事犯罪,具有可罚性。
2.各成员国应规定对实施本决定中第2条、第3条、第4条规定的未遂犯作为刑事犯罪,具有可罚性。
3.各成员国可以自行决定是否对第2条提及的犯罪适用本条第2款。
第6条 处罚
1.各成员国应当采取必要措施,以确保本决定中第2条、第3条、第4条、第5条所规定的犯罪行为人受到有效、适当且具有劝诫性的刑事处罚。
2.各成员国应采取必要的措施,以确保对本决定中第3条、第4条提及的犯罪行为人处以l到3年有期徒刑的刑事处罚。
第7条 加重情形
1.各成员国应采取必要措施,以确保对在98/733/JHA号联合行动中所规定的犯罪组织的形式下实施本决定第2条第2款、第3条、第4条所规定的犯罪行为人处以2到5年有期徒刑,即使这些行为未达到98/733/JHA号联合行动规定中的处罚标准。
2.各成员国也可以将本条第1款的规定适用于造成了重大破坏或影响基本利益的犯罪行为。
第8条 法人责任
1.各成员国应采取必要的措施,以确保在法人组织中居于领导地位的任何人或组织为了法人的利益实施本决议第2条、第3条、第4条、第5条所规定的犯罪行为的,法人应当承当相应责任,由于:
(1)代表法人的权力;或
(2)出于法人的利益作出决定的权威;或
(3)在法人内部实施控制的权威。
2.除了第1款所规定的情况,各成员国应确保当第1款所规定的个人为了法人的利益,利用其权力使实施本决定第2条、第3条、第4条、第5条规定的犯罪行为成为可能时,法人应对其缺乏监管或控制的部分负责。
3.本条第1款、第2款中对法人责任的规定,不免除对作为第2条、第3条、第4条、第5条所规定的实行犯、教唆犯或从犯的自然人的起诉。
第9条 法人的处罚
1.各成员国应采取必要的措施,以确保根据第8条第1款的规定,法人接受有效、适当且具有劝诫性的刑事处罚,这些处罚除了包括刑事的和非刑事的罚款外,还包括一些其他处罚,如:
(1)不可享受公共福利和公共援助;
(2)临时性或永久性被剥夺从事商业活动的资格;
(3)司法监督下的处置;或
(4)终止营业的司法指令。
2.各成员国应采取必要的措施,以确保根据第8条第2款的规定,法人受到有效、适当并有劝诫性的刑事处罚。
第10条 管辖权
1.各成员国将依据发生地来确定本决议第2条、第3条、第4条、第5条规定的犯罪的管辖:
(1)案件全部或部分的发生在本国领土内;
(2)案件发生国中的一个;
(3)因犯罪行为而受益的法人的主要办公机构所在的成员国。
2.当根据本条第1款第1项确定管辖权时,各成员国确保这一管辖权是:
(1)犯罪行为人的犯罪行为发生地,无论受攻击的信息系统是否在本国领土内;
(2)犯罪行为所攻击的信息系统在本国领土内,无论犯罪行为发生地是否在本国领土。
3.当犯罪发生在成员国领土以外的地方时,依国内法规定尚未引渡或交出其国民的成员国应当采取必要的措施,在适当的情况下确定起诉第2条、第3条、第4条、第5条提及的案件。
4.当犯罪行为可以被一个以上的成员国基于同一事实管辖时,各成员国应协商确定管辖权,尽量由一个成员国管辖。此外,成员国可以向欧盟的任何组织或机构求助,以促进各国司法机关合作和协调各国司法机关行动。管辖顺序由以下因素决定:
该成员国应当是根据本条第1款第1项、第2款所确定的犯罪所发生地;
犯罪行为人应为成员国公民;
犯罪行为人被捕所在的成员国。
5.各成员国可以自行决定不适用或只在特定情况下适用第1款第2、3项规定的管辖权。
6.在特定案件或适当情形下,各成员国决定适用本条第5款的规定时,应当通知欧盟理事会秘书处及欧盟委员会。
第11条 信息交换
1.为了交流关于本决定第2条、第3条、第4条、第5条规定的犯罪相关信息,根据数据保护规则,各成员国应保证使用现有的全天候的网络操作点。
2.各成员国应通知欧盟理事会秘书处及欧盟委员会他们使用的节点,以便交流攻击信息系统相关犯罪的信息。秘书处应当把这些信息发送至其他成员国。
第12条 执行
1.各成员国应在2007年3月17日前采取必要的措施以实现本框架决定的规定。
2.截至2007年3月17日,各成员国应向欧盟理事会秘书及欧盟委员会提交国内法的规定的文本,这是规定的各成员国的义务。截止2007年9月17日,根据欧盟委员会的信息和编写的书面报告,欧盟理事会应评估各成员国对本框架决定的执行情况。
第13条 生效
本框架决定自公布于《欧盟官方公报》之日起生效。
2005年2月24日于布鲁塞尔签订。
[1]Council Framework Decision 2005/222/JHA of 24 February 2005 on attacks against information systems.