網(wǎng)絡(luò)信息的信息安全問題研究

網(wǎng)絡(luò)信息的信息安全問題研究

1我國目前的網(wǎng)絡(luò)信息安全現(xiàn)狀2013年6月，美國安全局披露了“鏡像門事件、谷歌、微軟、數(shù)學(xué)、百度等數(shù)千家科技、金融和制造公司與美國安全局密切合作，提供敏感信息”。同時,美國國安局旗下設(shè)有一個部門,名為“定制入口行動辦公室”(TAO),過去近15年中一直從事侵入中國境內(nèi)電腦和通訊系統(tǒng)的網(wǎng)絡(luò)攻擊,借此獲取有關(guān)中國的有價值情報。這一事件給我國網(wǎng)絡(luò)信息安全敲響了警鐘。據(jù)統(tǒng)計,2012年我國約有2.57億人遭受網(wǎng)絡(luò)犯罪侵害,所蒙受的直接經(jīng)濟損失達人民幣2,890億元。為了保護網(wǎng)絡(luò)信息安全,保障公民、法人和其他組織的合法權(quán)益,維護國家安全和社會公共利益,全國人大常委會于2012年12月28日通過了《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》,我國首個個人信息保護國家標準也于2013年2月1日正式實施。在當(dāng)前環(huán)境下,做好網(wǎng)絡(luò)信息保護工作,實現(xiàn)我國網(wǎng)絡(luò)信息保護相關(guān)政策平穩(wěn)落地,對于保障廣大人民群眾的合法權(quán)益,促進我國網(wǎng)絡(luò)經(jīng)濟健康持續(xù)發(fā)展具有重要意義。2網(wǎng)絡(luò)信息保護概述2.1個人信息隱私權(quán)兼具人格權(quán)與財產(chǎn)權(quán)雙重屬性這里所提到的網(wǎng)絡(luò)信息,與通常所講的個人信息含義相當(dāng)。在《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》中明確規(guī)定,“國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息?！倍趥€人信息保護國家標準中,將個人信息定義為:可為信息系統(tǒng)所處理、與特定自然人相關(guān)、能夠通過與其他信息相結(jié)合識別該特定自然人的計算機數(shù)據(jù)。實際上,在法律范疇內(nèi),個人信息通常是指自然人所的在在有的,能夠直接或間接識別其本人的特定資料所反映出來的內(nèi)容,其具有人格屬性。個人信息隱私權(quán)則兼具人格權(quán)與財產(chǎn)權(quán)雙重屬性。在當(dāng)前信息時代中,個人信息也是一種財產(chǎn)類型。2.2執(zhí)行和監(jiān)管個人信息網(wǎng)絡(luò)信息保護中最核心的內(nèi)容主要包括三個方面:一是法律,個人信息涉及到隱私和財務(wù)權(quán),必須有專門的法律來參考執(zhí)行;二是監(jiān)管,在信息社會中,個人信息產(chǎn)生的糾紛大幅增加,需要專門的監(jiān)管部門來管理;三是實施,就是技術(shù)支撐體系,在網(wǎng)絡(luò)環(huán)境下,我們需要各種技術(shù)手段來保障個人信息不被竊取、盜用、冒用等,而且要在出現(xiàn)上述情況后追蹤到犯罪分子并提供相關(guān)證據(jù),當(dāng)前主要基于公鑰基礎(chǔ)基礎(chǔ)設(shè)施(PKI)相關(guān)技術(shù)體系實現(xiàn)。3中國面臨的主要問題3.1關(guān)于個人信息保護立法的啟示我國目前在網(wǎng)絡(luò)信息保護方面還未形成健全的政策法規(guī)標準體系。在法律方面,我國涉及個人信息保護的法律有近40部,法規(guī)30部,但都是零散的法律條文,《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》可以看成第一部個人信息保護立法,但如何正確使用這部法律,怎樣將這部法律與當(dāng)前法律體融合起來,從而有效解決個人信息保護中存在的問題,這都需要進一步完善。在標準體系方面,我國首個個人信息保護國家標準已正式實施,但該標準只是指導(dǎo)性技術(shù)文件,在網(wǎng)絡(luò)信息保護方面的作用有限,網(wǎng)絡(luò)信息保護相關(guān)的標準體系仍有待完善。3.2相關(guān)部門之間的交叉管理問題我國目前在網(wǎng)絡(luò)信息保護方面缺乏足夠的監(jiān)管,這也是個人信息泄露頻發(fā)的一個重要原因。首先,我國個人信息保護面臨工業(yè)和信息化部、公安部、國家保密局、國家密碼管理局、衛(wèi)生部等相關(guān)部門之間交叉管理的問題,缺少一個從整體上統(tǒng)一協(xié)調(diào)個人信息保護工作的專門機構(gòu)。其次,沒有形成對侵害公民個人信息犯罪進行治理的長效機制,2012年初公安部統(tǒng)一部署的集中治理行動取得了豐碩成果,但打擊侵害公民個人信息犯罪還沒有固化到日常工作中。最后,沒有對涉及公民個人信息的互聯(lián)網(wǎng)企業(yè)實現(xiàn)有效監(jiān)管,包括企業(yè)收集公民個人信息的流程是否合規(guī),涉及個人信息的用戶協(xié)議條款是否完善,以及企業(yè)是否具備相應(yīng)的安全級別等。3.3網(wǎng)絡(luò)身份管理體系尚需完善我國目前還沒有形成能夠全面支撐網(wǎng)絡(luò)信息保護的技術(shù)服務(wù)支撐體系。首先,尚未建立有效的網(wǎng)絡(luò)身份管理體系。從根本上講,網(wǎng)絡(luò)信息保護是為了明確各主體在網(wǎng)絡(luò)空間的權(quán)利和責(zé)任,在具體實施過程中則需要確定現(xiàn)實世界中的對應(yīng)主體,這就需要完善的網(wǎng)絡(luò)身份管理體系。其次,尚未形成覆蓋全面的網(wǎng)絡(luò)身份信任服務(wù)體系。網(wǎng)絡(luò)應(yīng)用種類繁多,網(wǎng)絡(luò)主體身份多種多樣,網(wǎng)絡(luò)身份管理體系是否能夠得到廣泛應(yīng)用,直接關(guān)系到網(wǎng)絡(luò)信息保護能夠有效實施,網(wǎng)絡(luò)身份信任服務(wù)體系必不可少。最后,網(wǎng)絡(luò)信息保護技術(shù)支撐體系有待完善。隨著互聯(lián)網(wǎng)應(yīng)用的日益深入,網(wǎng)絡(luò)上存儲和流傳的信息種類和數(shù)量不斷增多,需要嚴格保障網(wǎng)絡(luò)信息存儲和使用的安全性,并保證網(wǎng)絡(luò)信息的可追溯性,為網(wǎng)絡(luò)信息被侵害提供取證和鑒證技術(shù)支撐。4國際主要模式4.1國外個人信息保護的立法目前,世界上已經(jīng)有70多個國家和組織制定了個人信息保護相關(guān)法律法規(guī)。美國通過了一批個人信息保護相關(guān)的法律,如《隱私權(quán)法》、《信息保護和安全法》《消費者隱私保護法》、《反網(wǎng)絡(luò)欺詐法》等;歐盟先后制定了《關(guān)于涉及個人數(shù)據(jù)處理的個人保護以及此類數(shù)據(jù)自由流動的指令》、《關(guān)于個人數(shù)據(jù)自動化處理之個人保護公約》和《關(guān)于保護自動化處理過程中個人數(shù)據(jù)的條例》;英國制定了《數(shù)據(jù)保護法》;德國制定了《聯(lián)邦數(shù)據(jù)保護法》;加拿大制定了《隱私保護法》和《個人信息保護及電子文檔法案》;日本制定了《個人信息保護法》。由于互聯(lián)網(wǎng)應(yīng)用模式多種多樣,各國仍在不斷豐富自己的法律體系,以確保滿足網(wǎng)絡(luò)信息保護的具體要求。4.2嚴格的保護標準個人信息保護是政府部門的管理職責(zé),很多國家都設(shè)立了具體的機構(gòu)來負責(zé)保護消費者信息和企業(yè)信息安全的職責(zé)。歐盟在網(wǎng)絡(luò)個人隱私的保護方面訂立了非常嚴格的保護標準,并設(shè)立了特別委員會以執(zhí)行此項工作。德國創(chuàng)設(shè)了聯(lián)邦數(shù)據(jù)保護專員制度,美國、日本、澳大利亞有綜合性的機構(gòu)內(nèi)設(shè)部門或?qū)ｉT設(shè)立隱私專員(如韓國的個人信息調(diào)解委員會和澳大利亞的隱私專員)予以管理,顯示出個人信息保護的普遍性和社會性韓國由行業(yè)監(jiān)管機構(gòu)———韓國通信委員會及互聯(lián)網(wǎng)與安全局,具體執(zhí)行消費者信息保護。4.3全面推動網(wǎng)絡(luò)身份體系建設(shè)為了確保對網(wǎng)絡(luò)身份有效管理,實現(xiàn)相互信任的網(wǎng)絡(luò)環(huán)境,美歐等國家都建立了各具特色的網(wǎng)絡(luò)身份管理體系,如美國的網(wǎng)絡(luò)身份生態(tài)體系、歐盟的電子身份證等。首先,以國家力量研究網(wǎng)絡(luò)身份管理體系。歐盟于2002年的第六框架計劃開始進行身份管理相關(guān)的研究,為推廣電子身份證打下堅實的基礎(chǔ)。其次,通過國家政策全面推動網(wǎng)絡(luò)身份管理體系建設(shè)。美國政府通過發(fā)布《網(wǎng)絡(luò)空間可信身份國家戰(zhàn)略》(NSTIC),啟動對網(wǎng)絡(luò)身份生態(tài)體系的建設(shè)。歐盟則推出了電子簽名計劃,電子身份證是計劃中一項重要的試點工作。最后,構(gòu)建了較完善的基礎(chǔ)設(shè)施。各國的網(wǎng)絡(luò)身份管理體系基本上都是基于公鑰基礎(chǔ)設(shè)施(PKI),美國政府建立了完善的聯(lián)邦PKI體系,包括聯(lián)邦橋CA、聯(lián)邦通用策略框架CA、電子政務(wù)CA、公眾及商務(wù)類通用CA等。歐盟各國在推行電子身份證的過程中都建設(shè)了專門的基礎(chǔ)設(shè)施,如德國的CSCA和CVCA。4.4開展網(wǎng)絡(luò)信任服務(wù)網(wǎng)絡(luò)信任服務(wù)是在網(wǎng)絡(luò)身份管理體系基礎(chǔ)上提供的身份認證、屬性驗證等服務(wù),歐美等國通過積極推進網(wǎng)絡(luò)信任服務(wù)應(yīng)用,從而為網(wǎng)絡(luò)信息保護打造良好的環(huán)境。歐美等國都采取政府引導(dǎo),企業(yè)實施的公私合作模式,通過在特定領(lǐng)域開展試點工作等方式,積極推廣網(wǎng)絡(luò)信任服務(wù)。歐盟在數(shù)字簽名計劃框架下推出大量覆蓋歐洲的試點工作,如公民的電子身份證(STORK)、泛歐洲在線公共采購(PEPPOL)等。美國在推出NISTC戰(zhàn)略后很快就推出五項試點工作,包括在線身份系統(tǒng)、在線交易系統(tǒng)、在線醫(yī)療及教育等。這些試點工作既能推廣網(wǎng)絡(luò)信任服務(wù),又可以驗證技術(shù)體系的安全性,為建立安全可信的網(wǎng)絡(luò)打下基礎(chǔ)。5中國正在加強對網(wǎng)絡(luò)信息的保護5.1完善相關(guān)立法,為網(wǎng)絡(luò)身份保護提供依據(jù)有法可依是加強網(wǎng)絡(luò)信息保護的基礎(chǔ),應(yīng)進一步完善我國個人信息保護法律法規(guī)體系?！蛾P(guān)于加強網(wǎng)絡(luò)信息保護的決定》已經(jīng)規(guī)范了網(wǎng)絡(luò)空間主體的權(quán)利和義務(wù),明確了相關(guān)主體應(yīng)當(dāng)承擔(dān)的法律責(zé)任和義務(wù),各相關(guān)部門應(yīng)盡快建立配套的行政法規(guī)和部門規(guī)章,并出臺實施細則,為網(wǎng)絡(luò)身份保護的實施提供依據(jù)。5.2加強執(zhí)法隊伍和保障成立專門的網(wǎng)絡(luò)信息保護機構(gòu),建立跨部門、跨區(qū)域的協(xié)調(diào)機制,協(xié)調(diào)各職能部門在網(wǎng)絡(luò)身份管理、互聯(lián)網(wǎng)行業(yè)監(jiān)管等各項工作中的分工合作。加強個人信息保護執(zhí)法隊伍建設(shè),加大對非法泄露和倒賣公民個人信息行為的打擊力度。加強對涉及個人電子信息相關(guān)單位的監(jiān)管,設(shè)立專門的機構(gòu)接受網(wǎng)絡(luò)用戶申訴、投訴,建立有效的互聯(lián)網(wǎng)行業(yè)審查制度,對在業(yè)務(wù)活動中收集公民個人信息的網(wǎng)絡(luò)服務(wù)提供者和其他企事業(yè)單位進行監(jiān)督管理。5.3實現(xiàn)身份信息的開放共享借鑒歐美等國的網(wǎng)絡(luò)身份管理體系,以電子認證服務(wù)業(yè)為基礎(chǔ),建立網(wǎng)絡(luò)身份信任體系,為網(wǎng)絡(luò)信息保護提供安全可靠、隱私保護、方便快捷的網(wǎng)絡(luò)身份服務(wù)。協(xié)調(diào)公安部、人社部、教育部、銀行等部門,實現(xiàn)現(xiàn)有身份信息的有條件開放,在不改變現(xiàn)實社會身份信息管理格局的前提下,為網(wǎng)絡(luò)身份與真實身份的綁定提供權(quán)威依據(jù)?；诂F(xiàn)有電子認證服務(wù)基礎(chǔ)設(shè)施,堅持統(tǒng)一規(guī)劃、分布部署的原則,建立覆蓋全國各地的網(wǎng)絡(luò)身份管理服務(wù)網(wǎng)絡(luò)。完善網(wǎng)絡(luò)身份信任服務(wù)標準體系,制定網(wǎng)絡(luò)身份申請、核驗、管理、應(yīng)用等方面的技術(shù)標準,實現(xiàn)網(wǎng)絡(luò)身份信任服務(wù)的規(guī)范化、標準化。5.4試點應(yīng)用,逐步向全社會推廣大力推廣網(wǎng)絡(luò)信任服務(wù)應(yīng)用,為網(wǎng)絡(luò)信息保護構(gòu)建良好環(huán)境。采取政府引導(dǎo)企業(yè)主導(dǎo)的方式,從電子政務(wù)電子商務(wù)等現(xiàn)實生活中對身份要求較高的領(lǐng)域著手試點應(yīng)用,逐步向整個網(wǎng)絡(luò)空間推廣。充分利用市場化機制推廣應(yīng)用,以服務(wù)代替管理可以消除人們對“互聯(lián)網(wǎng)監(jiān)管”的疑慮,而且可以大大提高用戶的體驗,有助于應(yīng)用推廣。在重點領(lǐng)域和行業(yè)率先開展應(yīng)用試點工程,不斷深化拓展應(yīng)用,完善相關(guān)管理制度和規(guī)范,加強工程管理,及時發(fā)現(xiàn)和反饋工程實施中存在的問題,總結(jié)成功經(jīng)驗,進一步完善網(wǎng)絡(luò)信任服務(wù)體系建設(shè)。5.5加強政策法規(guī)宣傳加強個人信息保護宣傳力度,充分利用廣播、電視報刊、網(wǎng)絡(luò)等各種媒體,廣泛開展面向全社會的個人信息保護宣傳教育。采取講座、論壇、研討會等多種形式宣傳《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》、《電子簽名法》等相關(guān)政策法規(guī),進一步普及個人信息保護、電子簽名與認證電子認