彩巴巴彩票官网|91彩客彩票官网
歡迎來到學術參考發表網

對于“棱鏡”折射下的網絡信息安全挑戰及其戰

發布時間:2015-12-05 14:32

  云計算、大數據等技術的興起開啟了人類信息化生活的新時代并深刻地改變著全球經濟生態。與此同時,網絡安全風險也成為21世紀各國所面臨的最嚴峻的經濟與國家安全挑戰之一。近期的“棱鏡門”事件暴露出我國網絡信息安全的脆弱,巨大的風險迫切地要求我國重新思索網絡信息安全戰略,在充分利用新技術以提升經濟效率的同時確保網絡信息安全、公民權利以及國家安全。基于此,本文試圖剖析“棱鏡門”事件背后我國網絡信息安全面臨的挑戰,旨在從法治的角度構建我國網絡信息安全戰略。

  1 “棱鏡”折射下我國網絡信息安全面臨的巨大挑戰

  1. 1 對新興科技的濫用加劇網絡安全的脆弱性

  美國著名技術史專家M.Kranzberg曾深刻地指出:“科技本身既不好也不壞,甚至不是中立的。科技進步往往對環境、社會以及人產生超越科技設備及技術本身直接。科技本目的的影響,這正是科技與社會生態的互動” 身不會對網絡安全造成威脅,對科技的濫用才是網絡安全風險的根源。“棱鏡門”事件中,無論是美國政府,還是涉事的幾大網絡巨頭,無一不利用了新技術的跨地域性、隱秘性、造成破壞的規模性及不確定性,加劇了全球網絡安全的脆弱性。了解新技術對我國網絡安全的影響,是構筑我國網絡安全戰略的必要前提。

  1.1.1“云”技術放大了數據風險“云計算”指遠程數字信息存儲技術,該技術允許用戶從接入到互聯網的任意互聯設備接觸其文件。云計算技術如同雙刃劍,在用戶運用該技術便捷地進行數據共享、備份的同時,也為新的技術風險與社會沖突開啟了方便之門。

  首先,云計算服務商可能基于監管套利“合法地侵害”我國用戶的個人隱私和安全。監管套利指互聯網環境下,某些跨國企業通過選擇適用自身偏好的法律以規避對己不利的監管。云計算的服務器可能位于不同國家,而不同國家對數據安全義務的界定、數據丟失責任、隱私保護、數據的公開政策等均存在不同規定,監管法律的差異為云服務商提供了套利空間。例如卷入“棱鏡門”的谷歌公司,雖然向我國用戶提供網絡服務,其服務器卻位于美國加州。其提供的谷歌云端硬盤(GoogleDrive)服務要求用戶同意谷歌可“依據谷歌的隱私政策使用其數據”,但谷歌有權隨時改變其隱私政策。在谷歌最新的隱私政策中規定:“如果我們確信:為了滿足適用法律、法規、法律程序的要求或強制性的政府要求的目的而有必要訪問、使用、保留或披露相關信息,我們就會與Google以外的公司、組織和個人分享用戶個人信息。”據此,谷歌有權也有義務遵守服務器所在地的美國國家安全局的要求,向其提供用戶儲存的數據。作為互聯網用戶無可避免的傳輸和儲存信息的數字中介,云計算服務商向美國政府披露用戶信息在美國雖屬“合法”,卻嚴重地損害了他國用戶的個人信息隱私和安全,甚至可能影響他國國家安全。

  其次,云計算“數據所有人與控制人分離”的模式增加了對網絡信息在物理上監管和追責的難度。在傳統模式下,數據存放在本地技術設施中,數據在邏輯上、物理上是可控的,因此風險也是可控的。在云計算模式下,由于用戶的數據不是存儲在本地計算機上,而是在防火墻之外的遠程服務器集中儲存,傳統的、借助機器或網絡物理邊界來保障信息安全的方式已經無法發揮作用。發生信息安全事件時,日志紀錄可能分散在位于不同國家的多臺主機和數據中心,因此即使是同一個云服務商部署的應用程序和托管服務,也可能難以追查紀錄,這無疑增加了取證和數據保密的難度。

  1.1.2大數據技術動搖數據保護的基本原則大數據指各類組織依托海量數據、更快的電腦以及新式分析技巧以挖掘隱藏的極有價值的關聯性、更為強大的數據挖掘方式。“棱鏡門”牽涉的所有互聯網巨頭,包括谷歌、微軟、臉譜、雅虎等均以不同形式運用了大數據技術,并將數據作為其主要資產以及價值創造來源。

  首先,大數據可能動搖數據保護規制的基石。歐盟的數據保護指令、歐盟通用數據保護條例草案,以及世界其他國家的數據保護法大多依賴于“透明度”和“同意”的要求以確保用戶能夠在知情的基礎上分享個人信息。然而大數據的性質就在于通過數據挖掘與分析尋找意料之外的聯系以及制造難以預測的結果,不僅用戶對于其同意的對象和目的缺乏認知,甚至運用數據挖掘技術的公司自身也無法事先得知通過大數據技術將發現什么,因此也就很難實現實質意義上的“同意”。

  其次,大數據技術帶來的巨大商業利潤可能誘使服務商漠視用戶隱私,進而威脅數據安全。在互聯網背景下,一方面眾多網絡信息媒介有機會接觸用戶的大數據,而大數據技術使這些信息媒介能夠以極低的成本輕易地獲取和處理這些信息;另一方面,大數據能夠產生驚人的商業利潤:據McKinsey咨詢集團的報告,大數據每年能為美國的健康行業貢獻3000億美元的價值,為歐洲的公共管理行業貢獻2500億歐元。因此,那些有機會接觸客戶龐大數據的網絡媒介有足夠的激勵,以用戶無法想象,并且常常是無法察覺的方式利用其客戶的大數據。越來越多的商業組織開始將轉賣搜集的數據視為潛在的商業機會,并且開始從中獲利。大型金融機構開始將與其客戶支付卡相關的數據進行市場推廣(例如,常消費的店鋪及購買商品)。在荷蘭,一家GPS定位服務提供商將其用戶移動的地理編碼出售給政府機構,包括警察服務,而這些數據原本用以規劃自動變速雷達陷阱的優化安裝。在面臨巨大利潤誘惑并且無人知曉、無人監管的情況下,信息媒介對信息的利用容易偏離初衷,將用戶信息置于巨大的風險中。

  1. 2 我國網絡信息安全市場信息不對稱導致市場失靈

  披露網絡安全風險的成本、技術障礙以及我國網絡信息安全立法的缺失決定我國網絡信息安全市場存在信息不對稱。由于缺乏真實反映網絡安全風險的信息,產業將無法準確決定需要供給多少網絡安全產品,這一市場失靈導致網絡信息安全風險的必然性。

  1.2.1披露網絡安全風險的技術障礙及成本決定網絡信息安全市場的信息天然不足網絡信息安全風險自身的無形性、復雜性、動態性特征決定了網絡安全風險的相關信息存在先天不足。同時,由于公布網絡安全風險事件可能損害市場份額、聲譽以及客戶群,私人企業往往缺乏激勵披露網絡安全風險事件。有研究顯示每公開披露一個安全漏洞,經銷商的股價平均下跌0.6%左右,這相當于每披露一次漏洞,就喪失大約8.6億美元的市值。網絡安全風險的信息不對稱并不意味著社會沒有對網絡安全上進行投資或投資過度,相反,它意味著“沒有以理想的比例投資正確的防范措施”。由于缺乏對威脅及防范正確的認識,用戶和企業傾向于投資萬金油式的解決方法。同時,安全企業也不會具有足夠的壓力將新科技帶入市場,以抵御實質性的威脅。

  1.2.2我國網絡信息安全立法的缺位加劇了市場失靈在公民網絡信息安全方面,我國尚未頒布專門的法律。2009年我國在刑法中設立侵犯公民個人信息罪,然而該條款的適用對象僅限于“國家機關或者金融、電信、交通、教育、醫療等單位的工作人員”,無法涵蓋網絡空間處理公民個人信息的網絡服務提供商。同時該條款由于追責情形不清、缺乏明晰的處罰標準,被批評為“可操作性,欠佳”目前鮮見因該條款被追責的案例。現有網絡安全立法散見于效力層級較低的行政法規、部門規章及地方政府規章,或是僅針對特定行業或特定信息對象,適用面狹窄。因此,即使“棱鏡門”披露某些企業涉嫌侵犯我國公民網絡信息安全,我國網絡信息安全立法缺位的現狀決定了此類事件在現階段處于“無法可依、無責可追”的尷尬局面。在立法缺乏規制的情況下,企業并無確保網絡安全及披露網絡泄露事件的法定義務,對數據泄露事件的公布反而可能引來監管機構更多的關注,從而增加企業,乃至整個行業的運作成本。這決定了企業缺乏動機進行信息安全風險披露,加劇了信息不對稱。

  1. 3 網絡軍事化趨勢引發網絡信息安全風險升級

  依據軍事革命理論(RevolutioninMilitaryAffairs),新科技和相關組織架構的創新運用將引發戰爭性質的變化。隨著數字網絡關鍵基礎設施的依賴性日漸增強以及相較于傳統武器的低成本,軍事戰場開始從傳統的水、陸、空轉向網絡空間,網絡戰工具被視為是軍事革命的自然演進。Clarke在其《網絡戰》一書中將網絡戰定義為“國家為了造成損害或干擾的目的,侵入另一國電腦或網絡的行為”    局在互聯網上對包括中國在內的多個國家10類主要信息進行監聽,該事件正是網絡戰的真實案例并已經實質性地威脅到全球網絡環境的信息安全。不僅如此,我國網絡頻頻遭受來自于海外的信息監控及網絡攻擊。據中國國家互聯網應急中心數據顯示,2012年的抽樣監測發現,境外約有7.3萬個木馬或僵尸網絡控制服務器控制我國境內1419.7萬余臺主機,其中位于美國的12891個控制服務器(占境外控制服務器的17.6%)控制我國境內1051.2萬余臺主機(占受境外控制的境內主機的74.0%),控制服務器數量和所控制的我國境內主機數量均居首位。這些事件并不是孤立的,背后是某些國家利用網絡技術對中國、歐洲乃至全球信息霸權獨享和控制的體現。網絡戰對信息安全的破壞存在如下特征。

  1.3.1網絡戰具有不可預測性和不可控性指網絡戰對他國可能帶來的破壞規模無法事先預測,其事后的衍生效應可能無法控制。信息系統在結構和互聯設置上任何微小的改動都可能導致截然不同的系統行為,針對某一系統的網絡攻擊既由系統操作人的行為和該特定系統的性質所驅動,也可能由網絡武器自身的特征所影響。網絡武器相對小而隱蔽的特征使攻擊對象難以察覺,無法作出及時的反應,進一步加劇了網絡戰后果的不可預測性。在2007年,愛沙尼亞整個國家的網絡由于黑客攻擊陷入癱瘓。具有政治動機的黑客通過制造數據過載,在長達10小時的時間里,迫使系統每6秒下載相當于整個WindowsXP操作系統規模的數據,致使整個國家的網絡陷入癱瘓。愛沙尼亞最大的銀行在此過程中損失超過100萬美元,愛沙尼亞議會成員持續四天無法登錄電子郵件系統。

  1.3.2針對關鍵基礎設施的網絡戰將導致對網絡安全破壞強度的升級關鍵基礎設施(CriticalInfrastructure)指一旦被摧毀或干擾,將對健康、安全、國家安全或公民的正常生活或政府的有效運作造成嚴重影響的、物理和信息的科技設施、網絡、服務和財產。“棱鏡”項目披露美國國家安全局曾入侵中國電訊公司以獲取手機短信信息,并持續攻擊清華大學的主干網絡以及電訊公司Pacent香港總部的計算機,該公司擁有區內最龐大的海底光纖電纜網絡。從該事件可知,網絡安全風險已經從網上蔓延至網下,網絡攻擊的間接效果已經直接地威脅我國關鍵基礎設施的安全。

  1.3.3網絡空間的軍事化缺乏國際制約機制冷戰期間各國訂立了用以限制核武器制造的條約,以控制軍備競賽可能到來的潛在風險。然而目前各國尚未就互聯網治理達成任何具有約束力的國際條約。如果互聯網不受國家間條約框架的規制,將導致更加開放和不穩定的軍事結構。國家間在網絡空間的軍備競賽會威脅數字生態的穩定性,其造成破壞的規模和結果難以預料。

  2構筑我國網絡信息安全保護方略

  “棱鏡門”事件為我國網絡信息安全敲響了警鐘,從法治的視角積極構建我國網絡信息安全保護方略不僅必要,而且迫切。在網絡信息安全保護方略中,明確網絡服務提供商的義務與責任是前提,完善網絡用戶救濟權是核心;與此雙管齊下的,是進行國際維權并推動國際談判向利我方向發展。本文將從國內和國際兩個視角分別思考。

  2.1國內視角

  構筑網絡信息安全保護戰略首先應體現在完善網絡信息處理行為的規范和追責機制,矯正市場失靈,實現政策對確保網絡安全和促進科技發展運用的最大效能。

  2.1.1出臺專門立法明確網絡服務提供商的義務與責任

  目前我國網絡信息安全領域亂象叢生,很大程度在于現行法律缺乏對網絡服務提供商在網絡信息安全方面的法律義務和責任的規定,這意味著現實生活中的用戶信息安全問題和信息安全糾紛解決常常依賴于網絡服務供應商與用戶之間的許可協議。網絡服務商往往會利用自己的優勢地位在服務協議中盡可能規避相關風險問題,不承諾對客戶個人數據丟失、數據泄密及數據被破壞等行為承擔法律責任,這無疑會侵害廣大網絡用戶的信息安全。同時,在云計算、大數據等新生科技背景下,網絡信息安全風險的跨地域性、隱秘性、造成破壞的規模性及不確定性等特點,客觀上對我國信息網絡安全立法提出了更高的要求。鑒于此,建議從以下幾點明確網絡服務提供商的法律義務與責任:

  1)確立網絡服務商持續的數據安全保護義務,即所有涉及數據處理的主體或組織都必須實施并保持合理、適當的安全流程及做法,以保護個人信息免受非法接入、丟失、破壞、使用、修改或披露的侵害。由于技術的快速革新,網絡風險的來源與形式不斷地發生調整,這就決定了數據安全保護義務不是一勞永逸的,而是持續的過程。具體而言,“合理、適當的安全措施”要求公司采取持續的、不間斷的過程以定期評估風險、識別風險并針對風險采取適當的安全措施、監控并驗證安全措施的有效實施,并確保會根據科技的發展持續地調整、更新。具體采取的安全措施應當由公司自行決定。

  2)確立數據泄密的警示義務以確保用戶的知情權。由于網絡安全風險的無形性、即時性以及連帶性,用戶可能在發生了嚴重的犯罪結果后才得知信息外泄、丟失事件。為此,為了防止信息泄密導致用戶更加嚴重的衍生后果,必須明確網絡服務商對數據泄密的公示義務,即要求所有處理敏感個人信息的企業及機構在此類信息發生泄密事件后,必須在一定時限內向受影響的用戶發出通知及警示。這里需要注意的是,該義務需要明確敏感信息的范圍,包括但不限于:身份證號碼,金融機構賬戶或信用卡號碼等;而通知的方式應以電子方式或有全國影響力的傳統媒體方式實現,以確保通知的覆蓋面及即時性;而通知的情形應為個人用戶數據的丟失、修改、破壞或者未經許可的接入的情形。

  3)明確網絡服務商的責任。對于未履行數據保護義務的網絡服務商,應承擔不同層次的責任,包括由主管部門發出違規通報、責令改正、行政罰款、撤銷經營資格等行政處罰;同時個人數據受損的用戶有權向網絡服務提供商提出民事損害賠償;刑法層面應將網絡服務提供商納入侵犯公民個人信息罪的主體范圍中,并明確“情節嚴重”的具體認定標準。

  4)建議引入歐盟的“長臂”條款約束跨境信息流動。“長臂條款”系歐盟特有的數據保護原則,該原則通過約束位于歐盟以外的數據處理人以及跨國公司集團內部的跨境數據轉移,尤其是云計算背景下的第三國數據處理人,旨在確保向歐盟以外傳輸的歐盟公民個人數據能夠獲得與歐盟內類似的保護水平,因此具有跨域適用的“長臂效應”。該原則主要過3種機制以實現對歐盟境外主體的約束:①國家保護水平評估機制,即歐盟有權評估第三國是否就數據安全提供了足夠水平的保護。如果經評估,第三國未能提供充分的保護水平,歐盟將禁止向該第三國傳輸個人數據并將與第三國協商。②約束性公司規則(BindingCorporateRules,BCR),指約束向公司集團設立于未提供充分保護水平國家的組織進行個人數據轉移的公司內部政策(包括與數據安全、質量、透明度有關的隱私原則,有效性的工具,如審計、培訓、投訴處理制度等,以及證明BCR具有約束力的要素)。草案規定跨國企業可以通過制定符合草案要求的BCR,并將BCR提交主要數據保護監管機構審批來履行充分保護義務。③標準數據保護條款或經許可的合同條款,指除了BCR,跨國企業也可以通過適用歐盟采納的標準數據保護條款來履行足夠保護義務。如果需要適用自行商議的合同條款,則該條款需要獲得監管機構的事先許可。云計算技術使一國數據可能在他國存儲或被處理,網絡風險為此可以擺脫時間和地點的限制,風險的來源地和結果地可能完全分離,這為我國監管機構在網絡安全監管、取證及追責帶來許多困難。有鑒于新技術發展的實際需要,建議引入歐盟的“長臂”條款,明確我國網絡安全的法律適用于我國以外建立的公司或組織,如果這些主體對我國用戶信息進行處理或者提供外包服務。具體的約束機制包括對其在國內的經營實體進行監管,如未在我國設立經營實體,要求本國企業與其通過合同形式履行我國網絡安全保護的義務。

  2.1.2以救濟權為核心完善網絡用戶的權利保障機制無救濟,則無權利,面臨網絡空間愈演愈烈的安全風險,完善用戶的“救濟權”是當務之急。

  1)確立保護用戶的舉證責任。在網絡服務關系中,一旦用戶選擇了某一服務提供商,該服務提供商就獲得了用戶數據的控制權,可以通過檢查用戶紀錄,掌握客戶的商業秘密和個人隱私信息,用戶在技術、信息獲取、談判用戶處于相對弱勢地位。為此,為了防止網絡服務商濫用其在網絡服務關系中的優勢地位,也考慮到個人用戶網絡取證的難度,對于網絡泄密造成的用戶損失,應規定主要由網絡服務商承擔履行數據安全保護相關義務的舉證責任。

  2)確立“一站式”的主管機構。網絡信息安全牽涉到個人隱私、商業秩序、電信設施安全、金融安全、公共安全及國家安全等社會管理的多個環節,各個環節的主管部門都涉及到部分網絡監管的職能,然而各自為政、多頭管理的體系增加了企業合規的不確定性和成本,也增大了公民維權的難度。建議設立涵蓋所有行業的網絡信息安全主管機構,考慮到網絡安全的戰略意義,該主管機構應直屬于國務院,負責制定網絡信息安全方面的政策戰略,監管全行業的網絡安全合規情況并具有相應的行政執法權,通過整合協調各個機構與網絡信息安全相關的職能,作為受理用戶與網絡信息安全相關的投訴事件的接待門戶,便利用低戶成本、高效率、一站式解決網絡安全方面的糾紛。

  3)提供多層次的救濟程序。除了傳統的司法程序,針對網絡數據保護糾紛涉及面廣、技術性強、時效性要求高的特點,建議引入調解、仲裁程序,在網絡主管機構下設專門處理個人信息糾紛的仲裁委員會,仲裁委員會由監管政府官員、網絡安全技術人員、消費者代表、互聯網服務商代表、學者等組成,在給定期限內由仲裁委員會提出調解方案供各方參考,如果各方接受,則作為具有約束力的文件履行;如果無法被接受,則進入司法程序。另外,數據泄密涉及者眾,而互聯網行業作為新興行業進行曠日持久的獨立訴訟也會造成巨大成本,建議規定數據保護集團訴訟/仲裁的程序,明確訴訟與仲裁之間的效力與程序銜接問題,引導通過集團訴訟或仲裁快速、簡便地解決糾紛。

  2.2國際視角

  構筑我國網絡信息安全保護方略不僅體現在國內立法與執法體系的完善上,也應體現在影響網絡安全國際標準未來談判和國際合作走向上。

  在網絡安全已經成為國際社會面臨的共同挑戰的今天,防范網絡安全風險已不可能完全在封閉的國內法體系中實現,而必須置于國際法框架內予以合作和解決。許多情形下,網絡安全問題已經不再是一個國家的司法內政問題,而是涉及到多個國家的司法問題,尤其是在類似于“棱鏡門”這樣影響范圍廣、涉及多國當事人的信息外泄事件,必然涉及到跨國取證、協調糾紛管轄以及明確法律適用等現實難題。目前許多國際組織,包括聯合國、經合組織、亞太經合組織、歐盟、北約、八國集團、國際電信聯盟(ITU)以及國際標準組織(ISO)都在解決信息和通訊基礎建設的問題。一些新成立的組織開始考慮制定網絡安全政策與標準,現有組織也積極地希望將職能拓展到這一領域。這些組織的協議、標準或做法將對全球產生影響。同時“棱鏡門”事件后,各國紛紛對現有網絡安全戰略進行調整,可以預見今后幾年將是推動網絡安全國際合作框架建立的關鍵期。作為最主要的網絡安全受害國與最大的發展中國家,一方面我國應進行相關研究,系統掌握各國網絡安全戰略的特征和動向,尤其是某些國家侵害他國公民網絡信息安全的證據,為我國在國際陣地維權提供保障。另一方面中國有必要主動參與網絡安全國際公約及標準的制定,充分表達本國合理的利益訴求,與各國緊密合作,借助各個國際舞臺,積極爭取我國在網絡空間中的利益。

  3結束語

  網絡信息科技如雙刃劍,既可成為一國經濟引擎的有力推手,亦可化身為控制全球信息的霸權利器。“棱鏡門”披露的僅是中國面臨網絡信息安全風險的冰山一角。有鑒于此,深入探究網絡信息安全風險的根源,構筑既符合中國產業發展、又符合中國安全利益的國家網絡安全戰略,乃當務之急。當此之時,我國網絡信息安全戰略的思路是:一方面構建以明確網絡服務提供商的義務與責任為前提,完善網絡用戶救濟權為核心的國內立法和救濟體系,以矯正市場失靈,實現政策對確保網絡安全和促進科技發展運用的最大效能;另一方面是進行國際維權并推動國際談判向利我方向發展,以維護我國在網絡空間中的利益。唯有緊緊圍繞掣肘我國網絡信息安全的枷鎖與癥結,方可在解圍之余,防患于未然。

  作者簡介: 李晶,女,1982 年生,博士生。研究方向: 科技法與知識產權法。

學術參考網:http://www.qfkih.com.cn/jsj/wl/142251.html

上一篇:現代互聯網技術在業擴服務中的管理運用的研究

下一篇:高校信息安全專業與應用型人才培養模式探討

相關標簽:
彩巴巴彩票官网 手机福彩3d软件下载 赢钱棋牌游戏平台 中国竟彩网 欢乐生肖是什么彩票 北赛车pk10直播手机版 8码滚雪球实战方法 欢乐生肖是什么彩票 云南时时规则 竞彩计算器 老时时20110601001 七星彩如何打才赚钱 时时彩计划 大乐透走势图表图新浪 黑马人工计划软件手机版 重庆时时踩开奖视频 吉林快三追号计划软件手机版