时间:2017-08-03 来源:研究部 责任编辑:att2014
云计算和大数据时代的网络信息安全以及个人电子信息保护相关法律问题研究
华东政法大学 唐玲
近年来,我国的安全形势日益复杂。伴随着以习近平总书记为核心的党中央成立了国家安全委员会,社会各界对于国家安全的研究热情日益高涨。2014年中央网络安全和信息化领导小组的成立,标志着国家已将网络安全和信息化问题上升到国家安全战略的高度。网络已进入大数据的时代,大数据是一把双刃剑,一方面可以带来巨大经济利益和社会效益,另一方面其安全问题会损害国家安全,经济发展和个人隐私等。故而,需要研究和制定网络安全和信息化发展问题,从而推动国家安全和相关法治建设,不断增强安全保障能力。
华东政法大学唐玲老师完成的中国法学会中国法学会2013年度部级法学研究课题的结项成果。结合信息安全已经上升到国家安全的战略高度这一研究背景,研究在大数据时代,如何建立一个有效的政府安全监督管理制度,从而保障我国网络和信息化建设,维护国家安全。同时,笔者提出大数据的安全问题是涉及到法律和计算机技术两个学科的交叉融合,需要从跨学科的角度进行综合研究,探讨如何建立一个跨学科的网络信息安全综合保障体系。
一、建立一个立体化的政府安全监管制度
近几年,由大数据引发的安全问题频发。例如:支付宝、携程旅行网、铁道部12306网站的“泄密门”事件,360等杀毒软件公司收集用户信息事件等。然而,大数据的本身要求信息开放和共享,但却缺乏统一和权威的安全监管机制,这正是大数据引发的网络安全问题层出不穷的原因所在。
(一) 总体框架
大数据时本身有事前预测,事中监控、事后分析的特点。故而利用这一自身特征,建立一个立体化的政府安全监管制度。具体可相应划分为前期预测和防御、中期监控和保障、后期分析和取证三个阶段。针对这个不同阶段的特点,建立一套立体化的安全监管机制,并成立官方安全信息发布平台,及时监管大数据的安全问题。
(二) 具体内容
(1) 前期:主动的网络信息安全防御体制的构建
针对侵犯个人隐私、舆情监控、网络谣言传播等问题。传统方法是实时监控,后发制人。但是,大数据时代网络犯罪留下的“蛛丝马迹”都以数据的形式隐藏在大数据中。可以寻根溯源,对大数据进行智能挖掘和分析,找出其风险点,科学预测。从而做到事前预测和防御,有针对性地应对信息安全威胁。针对一些公共交通、旅游景点等公众基础设施,可以通过大数据进行科学预测,制定相关应急预案,从而保障公众安全。通过大数据的前期模拟,可以由过去被动的防护变成主动的事前安全防御。
(2) 中期:动态的信息收集和组织的安全监管制度研究
大数据具有巨大经济价值,政府的有效监管机制可以有效避免因其非法泄露而因其的危害。大数据的前期预测可以为政府相关机构提供一定的参考。但是由于许多公众安全事件具有突发性的特点,传统的静态处置方案难以适应。需要建立一个基于大数据的动态的信息采集和组织机制。以上海2015年元旦的踩踏事件为例,对于这种突发的公共安全事件。在大数据时代,政府可以通过地铁,公交的监控探头和手机、微信等通信工具实时监控人流数量,动态地调整和控制人数,从而避免悲剧发生。因此需要建立一个动态、实时的、大数据的测评机制。构建跨部门合作协调机制,在各自坚持价值观和衡量标准的基础上,通力合作,求同存异,形成保障网络信息安全新途径。
2014年,中国网民数量已达6.32亿,其中手机上网使用率达83.4%,首次超越传统PC使用率,手机作为第一大上网终端设备的地位更加稳固。 针对这种新情况,需要研究手机等移动设备、第三方、大数据平台之间的数据交互、同步、共享等安全体制。对于大数据智能分析机构进行有效监督,特别是对于一些具有巨大经济价值的大数据平台,以及相关金融衍生品需要设立相应的安全保障体制。如对支付宝的安全机制和余额宝隐藏的金融风险进行安全监控。
(3) 后期:基于大数据的智能分析和电子取证制度的建立
大数据产生的安全问题可以通过智能分析和电子取证数据的取证制度得以有效解决。面对大数据产生的海量数据,现有的分析、取证工具和操作规则无法在在合理时间内进行搜寻、定位和恢复电子数据。同时,大数据所带来的虚拟性和数据同步问题更容易进行跨境犯罪。需要改进已有的取证规则,针对镜像复制、海量数据以及智能搜索和数据挖掘等新问题,研究并构建智能的驱动型安全模型,拓展安全分析的广度和深度。
二、 一个跨学科的网络信息安全综合保障体系
大数据时代,网络信息安全面临新问题,解决之道是采用法律和计算机技术相融合的方法,构建一个跨学科的网络信息安全综合保障体系。信息安全法律体系构建,电子数据司法鉴定制度,网络信息安全技术标准化建设以及信息安全产品资质认证等方面进行探讨。
(一) 主要内容
大数据要求信息开放和安全保障,涉及到国家、个人、组织等多个方面。拟从以下几点进行研究:
(1) 信息安全保护边界清晰化的规则研究
建立一个信息安全保护边界,解决其模糊化问题。设立具有中国特色的信息安全保护边界机制,并提出清晰化规则,从而使得在保障安全的前提下,网络信息可以做到合理、合法的公开和使用。
(2) 提升个人信息保护的地位
将个人信息保护纳入国家战略资源保护和规划范畴。个人信息作为大数据的元数据,具有巨大经济价值,因此要从国家层面建立个人信息保护的战略和规划,不仅是对每个社会成员的保护,更是对国家安全和社会长期持续健康发展的保护。
(3)网络信息安全技术标准与信息科学技术发展的衔接分析
通过规定行业性、强制性的技术标准来消除网络安全隐患可能造成的负面影响。信息科学技术的发展日新月异,而相关网络信息安全技术标准的制定却相对落后。为解决这一矛盾,需要研究一个合理的衔接制度,保障网络信息安全和其传播渠道的安全可靠。使得有关部门能够及时、有效地公开信息,遏制谣言传播,净化网络环境,从而保障公众的民主参与,获取公众的信任和配合。
(4)电子数据取证新规则的研究
大数据时代电子数据的取证对像和性质发生了变化。面对海量数据,现有的取证工具和操作规则无法在在合理时间内进行搜寻、定位和恢复电子数据。同时,大数据所带来的虚拟性和数据同步问题更容易进行跨境犯罪。需要改进已有的取证规则,针对镜像复制、海量数据以及智能搜索和数据挖掘等新问题,研究并构建一个智能的驱动型安全模型,拓展安全分析的广度和深度。
(5)组织和收集信息的监管制度研究
个人信息具有巨大经济价值,政府的有效监管可以避免隐私的泄露和侵害。需要建立个人信息保护的测评机制,并推动相关服务产品隐私安全国家标准的制定。探索设立第三方监管机制,鼓励和引导第三方组织参与,为其发展提供政策和资金等方面的支持。
(6)信息产品的安全标准和行业准入资质问题
“棱镜门”事件使得我们意识到,我国网络环境中的许多软、硬件核心技术不具有自主知识产权,容易被他国进行后台控制,网络信息安全存在巨大漏洞。基于安全考虑,需要对相关信息产品建立安全考核体系。针对国家、组织、个人等不同的安全需求,设立多层次、分等级、立体化的行业安全准入机制,从而可以进行灵活、有效、细致的安全保障。
(7) 细化《关于加强网络信息保护的决定》
该《决定》的通过为网络信息保护工作提供了上位法律支撑,但是本身只有十二条,需要后续细化作。例如,在一些具体的处罚力度问题以及进一步明确相关部门等指代的问题,对于网络监管部门职权划分的问题等。设立跨部门合作协调机制,保障网络信息安全。
(8) 移动设备和第三方平台的信息安全保障机制
研究手机、PAD等移动设备,以及以支付宝、微信等为代表的第三方平台之间的大数据交互、同步、共享等安全体制。由于大数据平台的技术特性,使得其安全问题存在天然缺陷,需要构建一个用户、第三方、大数据平台共同协作的安全保障体系。
(二)建议
(1) 采用法律和信息科学技术相结合的方法,进行跨学科的交叉探索。
(2) 针对个人信息安全和保护问题,探索设立第三方监管机制。
(3) 构建信息安全保障体系的跨部门合作机制。
(4) 构建主动的信息防御机制,由被动防护变成主动安全防御。
(5) 移动设备和第三方平台的信息安全保障机制。