2025年03月13日
星期四
時間:2017-08-03 來源:研究部 責任編輯:att2014
云計算和大數據時代的網絡信息安全以及個人電子信息保護相關法律問題研究
華東政法大學 唐玲
近年來,我國的安全形勢日益復雜。伴隨著以習近平總書記為核心的黨中央成立了國家安全委員會,社會各界對于國家安全的研究熱情日益高漲。2014年中央網絡安全和信息化領導小組的成立,標志著國家已將網絡安全和信息化問題上升到國家安全戰略的高度。網絡已進入大數據的時代,大數據是一把雙刃劍,一方面可以帶來巨大經濟利益和社會效益,另一方面其安全問題會損害國家安全,經濟發展和個人隱私等。故而,需要研究和制定網絡安全和信息化發展問題,從而推動國家安全和相關法治建設,不斷增強安全保障能力。
華東政法大學唐玲老師完成的中國法學會中國法學會2013年度部級法學研究課題的結項成果。結合信息安全已經上升到國家安全的戰略高度這一研究背景,研究在大數據時代,如何建立一個有效的政府安全監督管理制度,從而保障我國網絡和信息化建設,維護國家安全。同時,筆者提出大數據的安全問題是涉及到法律和計算機技術兩個學科的交叉融合,需要從跨學科的角度進行綜合研究,探討如何建立一個跨學科的網絡信息安全綜合保障體系。
一、建立一個立體化的政府安全監管制度
近幾年,由大數據引發的安全問題頻發。例如:支付寶、攜程旅行網、鐵道部12306網站的“泄密門”事件,360等殺毒軟件公司收集用戶信息事件等。然而,大數據的本身要求信息開放和共享,但卻缺乏統一和權威的安全監管機制,這正是大數據引發的網絡安全問題層出不窮的原因所在。
(一) 總體框架
大數據時本身有事前預測,事中監控、事后分析的特點。故而利用這一自身特征,建立一個立體化的政府安全監管制度。具體可相應劃分為前期預測和防御、中期監控和保障、后期分析和取證三個階段。針對這個不同階段的特點,建立一套立體化的安全監管機制,并成立官方安全信息發布平臺,及時監管大數據的安全問題。
(二) 具體內容
(1) 前期:主動的網絡信息安全防御體制的構建
針對侵犯個人隱私、輿情監控、網絡謠言傳播等問題。傳統方法是實時監控,后發制人。但是,大數據時代網絡犯罪留下的“蛛絲馬跡”都以數據的形式隱藏在大數據中。可以尋根溯源,對大數據進行智能挖掘和分析,找出其風險點,科學預測。從而做到事前預測和防御,有針對性地應對信息安全威脅。針對一些公共交通、旅游景點等公眾基礎設施,可以通過大數據進行科學預測,制定相關應急預案,從而保障公眾安全。通過大數據的前期模擬,可以由過去被動的防護變成主動的事前安全防御。
(2) 中期:動態的信息收集和組織的安全監管制度研究
大數據具有巨大經濟價值,政府的有效監管機制可以有效避免因其非法泄露而因其的危害。大數據的前期預測可以為政府相關機構提供一定的參考。但是由于許多公眾安全事件具有突發性的特點,傳統的靜態處置方案難以適應。需要建立一個基于大數據的動態的信息采集和組織機制。以上海2015年元旦的踩踏事件為例,對于這種突發的公共安全事件。在大數據時代,政府可以通過地鐵,公交的監控探頭和手機、微信等通信工具實時監控人流數量,動態地調整和控制人數,從而避免悲劇發生。因此需要建立一個動態、實時的、大數據的測評機制。構建跨部門合作協調機制,在各自堅持價值觀和衡量標準的基礎上,通力合作,求同存異,形成保障網絡信息安全新途徑。
2014年,中國網民數量已達6.32億,其中手機上網使用率達83.4%,首次超越傳統PC使用率,手機作為第一大上網終端設備的地位更加穩固。 針對這種新情況,需要研究手機等移動設備、第三方、大數據平臺之間的數據交互、同步、共享等安全體制。對于大數據智能分析機構進行有效監督,特別是對于一些具有巨大經濟價值的大數據平臺,以及相關金融衍生品需要設立相應的安全保障體制。如對支付寶的安全機制和余額寶隱藏的金融風險進行安全監控。
(3) 后期:基于大數據的智能分析和電子取證制度的建立
大數據產生的安全問題可以通過智能分析和電子取證數據的取證制度得以有效解決。面對大數據產生的海量數據,現有的分析、取證工具和操作規則無法在在合理時間內進行搜尋、定位和恢復電子數據。同時,大數據所帶來的虛擬性和數據同步問題更容易進行跨境犯罪。需要改進已有的取證規則,針對鏡像復制、海量數據以及智能搜索和數據挖掘等新問題,研究并構建智能的驅動型安全模型,拓展安全分析的廣度和深度。
二、 一個跨學科的網絡信息安全綜合保障體系
大數據時代,網絡信息安全面臨新問題,解決之道是采用法律和計算機技術相融合的方法,構建一個跨學科的網絡信息安全綜合保障體系。信息安全法律體系構建,電子數據司法鑒定制度,網絡信息安全技術標準化建設以及信息安全產品資質認證等方面進行探討。
(一) 主要內容
大數據要求信息開放和安全保障,涉及到國家、個人、組織等多個方面。擬從以下幾點進行研究:
(1) 信息安全保護邊界清晰化的規則研究
建立一個信息安全保護邊界,解決其模糊化問題。設立具有中國特色的信息安全保護邊界機制,并提出清晰化規則,從而使得在保障安全的前提下,網絡信息可以做到合理、合法的公開和使用。
(2) 提升個人信息保護的地位
將個人信息保護納入國家戰略資源保護和規劃范疇。個人信息作為大數據的元數據,具有巨大經濟價值,因此要從國家層面建立個人信息保護的戰略和規劃,不僅是對每個社會成員的保護,更是對國家安全和社會長期持續健康發展的保護。
(3)網絡信息安全技術標準與信息科學技術發展的銜接分析
通過規定行業性、強制性的技術標準來消除網絡安全隱患可能造成的負面影響。信息科學技術的發展日新月異,而相關網絡信息安全技術標準的制定卻相對落后。為解決這一矛盾,需要研究一個合理的銜接制度,保障網絡信息安全和其傳播渠道的安全可靠。使得有關部門能夠及時、有效地公開信息,遏制謠言傳播,凈化網絡環境,從而保障公眾的民主參與,獲取公眾的信任和配合。
(4)電子數據取證新規則的研究
大數據時代電子數據的取證對像和性質發生了變化。面對海量數據,現有的取證工具和操作規則無法在在合理時間內進行搜尋、定位和恢復電子數據。同時,大數據所帶來的虛擬性和數據同步問題更容易進行跨境犯罪。需要改進已有的取證規則,針對鏡像復制、海量數據以及智能搜索和數據挖掘等新問題,研究并構建一個智能的驅動型安全模型,拓展安全分析的廣度和深度。
(5)組織和收集信息的監管制度研究
個人信息具有巨大經濟價值,政府的有效監管可以避免隱私的泄露和侵害。需要建立個人信息保護的測評機制,并推動相關服務產品隱私安全國家標準的制定。探索設立第三方監管機制,鼓勵和引導第三方組織參與,為其發展提供政策和資金等方面的支持。
(6)信息產品的安全標準和行業準入資質問題
“棱鏡門”事件使得我們意識到,我國網絡環境中的許多軟、硬件核心技術不具有自主知識產權,容易被他國進行后臺控制,網絡信息安全存在巨大漏洞。基于安全考慮,需要對相關信息產品建立安全考核體系。針對國家、組織、個人等不同的安全需求,設立多層次、分等級、立體化的行業安全準入機制,從而可以進行靈活、有效、細致的安全保障。
(7) 細化《關于加強網絡信息保護的決定》
該《決定》的通過為網絡信息保護工作提供了上位法律支撐,但是本身只有十二條,需要后續細化作。例如,在一些具體的處罰力度問題以及進一步明確相關部門等指代的問題,對于網絡監管部門職權劃分的問題等。設立跨部門合作協調機制,保障網絡信息安全。
(8) 移動設備和第三方平臺的信息安全保障機制
研究手機、PAD等移動設備,以及以支付寶、微信等為代表的第三方平臺之間的大數據交互、同步、共享等安全體制。由于大數據平臺的技術特性,使得其安全問題存在天然缺陷,需要構建一個用戶、第三方、大數據平臺共同協作的安全保障體系。
(二)建議
(1) 采用法律和信息科學技術相結合的方法,進行跨學科的交叉探索。
(2) 針對個人信息安全和保護問題,探索設立第三方監管機制。
(3) 構建信息安全保障體系的跨部門合作機制。
(4) 構建主動的信息防御機制,由被動防護變成主動安全防御。
(5) 移動設備和第三方平臺的信息安全保障機制。
關注官方微信
關注官方微博
