王闖+++馮偉

【摘要】近年來，我國網(wǎng)絡(luò)信息面臨的安全風(fēng)險(xiǎn)不斷加大，個(gè)人信息泄露事件頻發(fā)，各種新型網(wǎng)絡(luò)攻擊不斷出現(xiàn)，造成的影響日益嚴(yán)重。本文首先介紹了我國網(wǎng)絡(luò)信息保護(hù)面臨的嚴(yán)峻形勢，分析了我國在網(wǎng)絡(luò)信息保護(hù)方面存在的問題，結(jié)合世界各國在網(wǎng)絡(luò)信息保護(hù)方面的做法，提出我國應(yīng)采取的措施建議。

【關(guān)鍵詞】信息安全；網(wǎng)絡(luò)信息保護(hù)；電子身份證；措施建議

【中圖分類號(hào)】O242； F830.9【文獻(xiàn)標(biāo)識(shí)碼】A

1引言

2013年6月份，美國國家安全局被曝出“棱鏡門”事件，谷歌、微軟、思科、Facebook等數(shù)千家科技、金融以及制造公司與美國國家安全局密切合作，為其提供敏感信息。同時(shí)，美國國安局旗下設(shè)有一個(gè)部門，名為“定制入口行動(dòng)辦公室”（TAO），過去近15年中一直從事侵入中國境內(nèi)電腦和通訊系統(tǒng)的網(wǎng)絡(luò)攻擊，借此獲取有關(guān)中國的有價(jià)值情報(bào)。這一事件給我國網(wǎng)絡(luò)信息安全敲響了警鐘。

據(jù)統(tǒng)計(jì)，2012年我國約有2.57億人遭受網(wǎng)絡(luò)犯罪侵害，所蒙受的直接經(jīng)濟(jì)損失達(dá)人民幣2，890億元。

為了保護(hù)網(wǎng)絡(luò)信息安全，保障公民、法人和其他組織的合法權(quán)益，維護(hù)國家安全和社會(huì)公共利益，全國人大常委會(huì)于2012年12月28日通過了《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》，我國首個(gè)個(gè)人信息保護(hù)國家標(biāo)準(zhǔn)也于2013年2月1日正式實(shí)施。在當(dāng)前環(huán)境下，做好網(wǎng)絡(luò)信息保護(hù)工作，實(shí)現(xiàn)我國網(wǎng)絡(luò)信息保護(hù)相關(guān)政策平穩(wěn)落地，對(duì)于保障廣大人民群眾的合法權(quán)益，促進(jìn)我國網(wǎng)絡(luò)經(jīng)濟(jì)健康持續(xù)發(fā)展具有重要意義。

2網(wǎng)絡(luò)信息保護(hù)概述

2.1基本概念

這里所提到的網(wǎng)絡(luò)信息，與通常所講的個(gè)人信息含義相當(dāng)。在《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》中明確規(guī)定，“國家保護(hù)能夠識(shí)別公民個(gè)人身份和涉及公民個(gè)人隱私的電子信息。”而在個(gè)人信息保護(hù)國家標(biāo)準(zhǔn)中，將個(gè)人信息定義為：可為信息系統(tǒng)所處理、與特定自然人相關(guān)、能夠通過與其他信息相結(jié)合識(shí)別該特定自然人的計(jì)算機(jī)數(shù)據(jù)。

實(shí)際上，在法律范疇內(nèi)，個(gè)人信息通常是指自然人所的在在有的，能夠直接或間接識(shí)別其本人的特定資料所反映出來的內(nèi)容，其具有人格屬性。個(gè)人信息隱私權(quán)則兼具人格權(quán)與財(cái)產(chǎn)權(quán)雙重屬性。在當(dāng)前信息時(shí)代中，個(gè)人信息也是一種財(cái)產(chǎn)類型。

2.2核心問題

網(wǎng)絡(luò)信息保護(hù)中最核心的內(nèi)容主要包括三個(gè)方面：一是法律，個(gè)人信息涉及到隱私和財(cái)務(wù)權(quán)，必須有專門的法律來參考執(zhí)行；二是監(jiān)管，在信息社會(huì)中，個(gè)人信息產(chǎn)生的糾紛大幅增加，需要專門的監(jiān)管部門來管理；三是實(shí)施，就是技術(shù)支撐體系，在網(wǎng)絡(luò)環(huán)境下，我們需要各種技術(shù)手段來保障個(gè)人信息不被竊取、盜用、冒用等，而且要在出現(xiàn)上述情況后追蹤到犯罪分子并提供相關(guān)證據(jù)，當(dāng)前主要基于公鑰基礎(chǔ)基礎(chǔ)設(shè)施（PKI）相關(guān)技術(shù)體系實(shí)現(xiàn)。

3我國面臨的主要問題

3.1政策法規(guī)標(biāo)準(zhǔn)體系尚不健全

我國目前在網(wǎng)絡(luò)信息保護(hù)方面還未形成健全的政策法規(guī)標(biāo)準(zhǔn)體系。在法律方面，我國涉及個(gè)人信息保護(hù)的法律有近40部，法規(guī)30部，但都是零散的法律條文，《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》可以看成第一部個(gè)人信息保護(hù)立法，但如何正確使用這部法律，怎樣將這部法律與當(dāng)前法律體融合起來，從而有效解決個(gè)人信息保護(hù)中存在的問題，這都需要進(jìn)一步完善。在標(biāo)準(zhǔn)體系方面，我國首個(gè)個(gè)人信息保護(hù)國家標(biāo)準(zhǔn)已正式實(shí)施，但該標(biāo)準(zhǔn)只是指導(dǎo)性技術(shù)文件，在網(wǎng)絡(luò)信息保護(hù)方面的作用有限，網(wǎng)絡(luò)信息保護(hù)相關(guān)的標(biāo)準(zhǔn)體系仍有待完善。

3.2網(wǎng)絡(luò)信息保護(hù)監(jiān)管有待加強(qiáng)

我國目前在網(wǎng)絡(luò)信息保護(hù)方面缺乏足夠的監(jiān)管，這也是個(gè)人信息泄露頻發(fā)的一個(gè)重要原因。首先，我國個(gè)人信息保護(hù)面臨工業(yè)和信息化部、公安部、國家保密局、國家密碼管理局、衛(wèi)生部等相關(guān)部門之間交叉管理的問題，缺少一個(gè)從整體上統(tǒng)一協(xié)調(diào)個(gè)人信息保護(hù)工作的專門機(jī)構(gòu)。其次，沒有形成對(duì)侵害公民個(gè)人信息犯罪進(jìn)行治理的長效機(jī)制，2012年初公安部統(tǒng)一部署的集中治理行動(dòng)取得了豐碩成果，但打擊侵害公民個(gè)人信息犯罪還沒有固化到日常工作中。最后，沒有對(duì)涉及公民個(gè)人信息的互聯(lián)網(wǎng)企業(yè)實(shí)現(xiàn)有效監(jiān)管，包括企業(yè)收集公民個(gè)人信息的流程是否合規(guī)，涉及個(gè)人信息的用戶協(xié)議條款是否完善，以及企業(yè)是否具備相應(yīng)的安全級(jí)別等。

3.3技術(shù)服務(wù)支撐體系亟待建設(shè)

我國目前還沒有形成能夠全面支撐網(wǎng)絡(luò)信息保護(hù)的技術(shù)服務(wù)支撐體系。首先，尚未建立有效的網(wǎng)絡(luò)身份管理體系。從根本上講，網(wǎng)絡(luò)信息保護(hù)是為了明確各主體在網(wǎng)絡(luò)空間的權(quán)利和責(zé)任，在具體實(shí)施過程中則需要確定現(xiàn)實(shí)世界中的對(duì)應(yīng)主體，這就需要完善的網(wǎng)絡(luò)身份管理體系。其次，尚未形成覆蓋全面的網(wǎng)絡(luò)身份信任服務(wù)體系。網(wǎng)絡(luò)應(yīng)用種類繁多，網(wǎng)絡(luò)主體身份多種多樣，網(wǎng)絡(luò)身份管理體系是否能夠得到廣泛應(yīng)用，直接關(guān)系到網(wǎng)絡(luò)信息保護(hù)能夠有效實(shí)施，網(wǎng)絡(luò)身份信任服務(wù)體系必不可少。最后，網(wǎng)絡(luò)信息保護(hù)技術(shù)支撐體系有待完善。隨著互聯(lián)網(wǎng)應(yīng)用的日益深入，網(wǎng)絡(luò)上存儲(chǔ)和流傳的信息種類和數(shù)量不斷增多，需要嚴(yán)格保障網(wǎng)絡(luò)信息存儲(chǔ)和使用的安全性，并保證網(wǎng)絡(luò)信息的可追溯性，為網(wǎng)絡(luò)信息被侵害提供取證和鑒證技術(shù)支撐。

4國際上的主要做法

4.1建立完善的個(gè)人信息保護(hù)法律體系

目前，世界上已經(jīng)有70多個(gè)國家和組織制定了個(gè)人信息保護(hù)相關(guān)法律法規(guī)。美國通過了一批個(gè)人信息保護(hù)相關(guān)的法律，如《隱私權(quán)法》、《信息保護(hù)和安全法》、《消費(fèi)者隱私保護(hù)法》、《反網(wǎng)絡(luò)欺詐法》等；歐盟先后制定了《關(guān)于涉及個(gè)人數(shù)據(jù)處理的個(gè)人保護(hù)以及此類數(shù)據(jù)自由流動(dòng)的指令》、《關(guān)于個(gè)人數(shù)據(jù)自動(dòng)化處理之個(gè)人保護(hù)公約》和《關(guān)于保護(hù)自動(dòng)化處理過程中個(gè)人數(shù)據(jù)的條例》；英國制定了《數(shù)據(jù)保護(hù)法》；德國制定了《聯(lián)邦數(shù)據(jù)保護(hù)法》；加拿大制定了《隱私保護(hù)法》和《個(gè)人信息保護(hù)及電子文檔法案》；日本制定了《個(gè)人信息保護(hù)法》。由于互聯(lián)網(wǎng)應(yīng)用模式多種多樣，各國仍在不斷豐富自己的法律體系，以確保滿足網(wǎng)絡(luò)信息保護(hù)的具體要求。endprint

4.2成立專門的個(gè)人信息保護(hù)監(jiān)管機(jī)構(gòu)

個(gè)人信息保護(hù)是政府部門的管理職責(zé)，很多國家都設(shè)立了具體的機(jī)構(gòu)來負(fù)責(zé)保護(hù)消費(fèi)者信息和企業(yè)信息安全的職責(zé)。歐盟在網(wǎng)絡(luò)個(gè)人隱私的保護(hù)方面訂立了非常嚴(yán)格的保護(hù)標(biāo)準(zhǔn)，并設(shè)立了特別委員會(huì)以執(zhí)行此項(xiàng)工作。德國創(chuàng)設(shè)了聯(lián)邦數(shù)據(jù)保護(hù)專員制度，美國、日本、澳大利亞有綜合性的機(jī)構(gòu)內(nèi)設(shè)部門或?qū)ｉT設(shè)立隱私專員（如韓國的個(gè)人信息調(diào)解委員會(huì)和澳大利亞的隱私專員）予以管理，顯示出個(gè)人信息保護(hù)的普遍性和社會(huì)性。韓國由行業(yè)監(jiān)管機(jī)構(gòu)——韓國通信委員會(huì)及互聯(lián)網(wǎng)與安全局，具體執(zhí)行消費(fèi)者信息保護(hù)。

4.3啟動(dòng)有效的網(wǎng)絡(luò)身份管理體系建設(shè)

為了確保對(duì)網(wǎng)絡(luò)身份有效管理，實(shí)現(xiàn)相互信任的網(wǎng)絡(luò)環(huán)境，美歐等國家都建立了各具特色的網(wǎng)絡(luò)身份管理體系，如美國的網(wǎng)絡(luò)身份生態(tài)體系、歐盟的電子身份證等。首先，以國家力量研究網(wǎng)絡(luò)身份管理體系。歐盟于2002年的第六框架計(jì)劃開始進(jìn)行身份管理相關(guān)的研究，為推廣電子身份證打下堅(jiān)實(shí)的基礎(chǔ)。其次，通過國家政策全面推動(dòng)網(wǎng)絡(luò)身份管理體系建設(shè)。美國政府通過發(fā)布《網(wǎng)絡(luò)空間可信身份國家戰(zhàn)略》（NSTIC），啟動(dòng)對(duì)網(wǎng)絡(luò)身份生態(tài)體系的建設(shè)。歐盟則推出了電子簽名計(jì)劃，電子身份證是計(jì)劃中一項(xiàng)重要的試點(diǎn)工作。最后，構(gòu)建了較完善的基礎(chǔ)設(shè)施。各國的網(wǎng)絡(luò)身份管理體系基本上都是基于公鑰基礎(chǔ)設(shè)施（PKI），美國政府建立了完善的聯(lián)邦PKI體系，包括聯(lián)邦橋CA、聯(lián)邦通用策略框架CA、電子政務(wù)CA、公眾及商務(wù)類通用CA等。歐盟各國在推行電子身份證的過程中都建設(shè)了專門的基礎(chǔ)設(shè)施，如德國的CSCA和CVCA。

4.4啟動(dòng)針對(duì)性網(wǎng)絡(luò)信任服務(wù)應(yīng)用推廣

網(wǎng)絡(luò)信任服務(wù)是在網(wǎng)絡(luò)身份管理體系基礎(chǔ)上提供的身份認(rèn)證、屬性驗(yàn)證等服務(wù)，歐美等國通過積極推進(jìn)網(wǎng)絡(luò)信任服務(wù)應(yīng)用，從而為網(wǎng)絡(luò)信息保護(hù)打造良好的環(huán)境。歐美等國都采取政府引導(dǎo)，企業(yè)實(shí)施的公私合作模式，通過在特定領(lǐng)域開展試點(diǎn)工作等方式，積極推廣網(wǎng)絡(luò)信任服務(wù)。歐盟在數(shù)字簽名計(jì)劃框架下推出大量覆蓋歐洲的試點(diǎn)工作，如公民的電子身份證（STORK）、泛歐洲在線公共采購（PEPPOL）等。美國在推出NISTC戰(zhàn)略后很快就推出五項(xiàng)試點(diǎn)工作，包括在線身份系統(tǒng)、在線交易系統(tǒng)、在線醫(yī)療及教育等。這些試點(diǎn)工作既能推廣網(wǎng)絡(luò)信任服務(wù)，又可以驗(yàn)證技術(shù)體系的安全性，為建立安全可信的網(wǎng)絡(luò)打下基礎(chǔ)。

5我國加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的措施建議

5.1完善法律法規(guī)體系

有法可依是加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的基礎(chǔ)，應(yīng)進(jìn)一步完善我國個(gè)人信息保護(hù)法律法規(guī)體系。《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》已經(jīng)規(guī)范了網(wǎng)絡(luò)空間主體的權(quán)利和義務(wù)，明確了相關(guān)主體應(yīng)當(dāng)承擔(dān)的法律責(zé)任和義務(wù)，各相關(guān)部門應(yīng)盡快建立配套的行政法規(guī)和部門規(guī)章，并出臺(tái)實(shí)施細(xì)則，為網(wǎng)絡(luò)身份保護(hù)的實(shí)施提供依據(jù)。

5.2加大行業(yè)監(jiān)管力度

成立專門的網(wǎng)絡(luò)信息保護(hù)機(jī)構(gòu)，建立跨部門、跨區(qū)域的協(xié)調(diào)機(jī)制，協(xié)調(diào)各職能部門在網(wǎng)絡(luò)身份管理、互聯(lián)網(wǎng)行業(yè)監(jiān)管等各項(xiàng)工作中的分工合作。加強(qiáng)個(gè)人信息保護(hù)執(zhí)法隊(duì)伍建設(shè)，加大對(duì)非法泄露和倒賣公民個(gè)人信息行為的打擊力度。加強(qiáng)對(duì)涉及個(gè)人電子信息相關(guān)單位的監(jiān)管，設(shè)立專門的機(jī)構(gòu)接受網(wǎng)絡(luò)用戶申訴、投訴，建立有效的互聯(lián)網(wǎng)行業(yè)審查制度，對(duì)在業(yè)務(wù)活動(dòng)中收集公民個(gè)人信息的網(wǎng)絡(luò)服務(wù)提供者和其他企事業(yè)單位進(jìn)行監(jiān)督管理。

5.3打造網(wǎng)絡(luò)信任體系

借鑒歐美等國的網(wǎng)絡(luò)身份管理體系，以電子認(rèn)證服務(wù)業(yè)為基礎(chǔ)，建立網(wǎng)絡(luò)身份信任體系，為網(wǎng)絡(luò)信息保護(hù)提供安全可靠、隱私保護(hù)、方便快捷的網(wǎng)絡(luò)身份服務(wù)。協(xié)調(diào)公安部、人社部、教育部、銀行等部門，實(shí)現(xiàn)現(xiàn)有身份信息的有條件開放，在不改變現(xiàn)實(shí)社會(huì)身份信息管理格局的前提下，為網(wǎng)絡(luò)身份與真實(shí)身份的綁定提供權(quán)威依據(jù)?；诂F(xiàn)有電子認(rèn)證服務(wù)基礎(chǔ)設(shè)施，堅(jiān)持統(tǒng)一規(guī)劃、分布部署的原則，建立覆蓋全國各地的網(wǎng)絡(luò)身份管理服務(wù)網(wǎng)絡(luò)。完善網(wǎng)絡(luò)身份信任服務(wù)標(biāo)準(zhǔn)體系，制定網(wǎng)絡(luò)身份申請、核驗(yàn)、管理、應(yīng)用等方面的技術(shù)標(biāo)準(zhǔn)，實(shí)現(xiàn)網(wǎng)絡(luò)身份信任服務(wù)的規(guī)范化、標(biāo)準(zhǔn)化。

5.4積極推廣示范應(yīng)用

大力推廣網(wǎng)絡(luò)信任服務(wù)應(yīng)用，為網(wǎng)絡(luò)信息保護(hù)構(gòu)建良好環(huán)境。采取政府引導(dǎo)企業(yè)主導(dǎo)的方式，從電子政務(wù)、電子商務(wù)等現(xiàn)實(shí)生活中對(duì)身份要求較高的領(lǐng)域著手試點(diǎn)應(yīng)用，逐步向整個(gè)網(wǎng)絡(luò)空間推廣。充分利用市場化機(jī)制推廣應(yīng)用，以服務(wù)代替管理可以消除人們對(duì)“互聯(lián)網(wǎng)監(jiān)管”的疑慮，而且可以大大提高用戶的體驗(yàn)，有助于應(yīng)用推廣。在重點(diǎn)領(lǐng)域和行業(yè)率先開展應(yīng)用試點(diǎn)工程，不斷深化拓展應(yīng)用，完善相關(guān)管理制度和規(guī)范，加強(qiáng)工程管理，及時(shí)發(fā)現(xiàn)和反饋工程實(shí)施中存在的問題，總結(jié)成功經(jīng)驗(yàn)，進(jìn)一步完善網(wǎng)絡(luò)信任服務(wù)體系建設(shè)。

5.5營造良好社會(huì)氛圍

加強(qiáng)個(gè)人信息保護(hù)宣傳力度，充分利用廣播、電視、報(bào)刊、網(wǎng)絡(luò)等各種媒體，廣泛開展面向全社會(huì)的個(gè)人信息保護(hù)宣傳教育。采取講座、論壇、研討會(huì)等多種形式宣傳《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》、《電子簽名法》等相關(guān)政策法規(guī)，進(jìn)一步普及個(gè)人信息保護(hù)、電子簽名與認(rèn)證電子認(rèn)證相關(guān)知識(shí)。大力宣傳網(wǎng)絡(luò)身份信任服務(wù)，提高社會(huì)公眾利用網(wǎng)絡(luò)主體身份認(rèn)證服務(wù)、網(wǎng)絡(luò)主體屬性認(rèn)證服務(wù)保護(hù)自身權(quán)益的意識(shí)和能力，營造有利于網(wǎng)絡(luò)身份信任體系建設(shè)的良好氛圍。

6結(jié)束語

面對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)信息保護(hù)形勢，我國應(yīng)采取針對(duì)性措施，實(shí)現(xiàn)網(wǎng)絡(luò)信息保護(hù)的真正落地。本文介紹了網(wǎng)絡(luò)信息保護(hù)的背景和相關(guān)概念，分析了我國網(wǎng)絡(luò)信息保護(hù)所面臨的挑戰(zhàn)和問題，通過研究世界各國在網(wǎng)絡(luò)信息保護(hù)方面的具體做法，提出了我國加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的措施建議。

參考文獻(xiàn)

[1] GB/Z 28828-2012，信息安全技術(shù) 公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南[S].2012.

[2] 陳玉蓮，沈旸，雷子君.個(gè)人信息保護(hù)機(jī)制的構(gòu)建[J].河北公安警察職業(yè)學(xué)院學(xué)報(bào)，2009，第9卷（第1期）.

[3] 洪海林.個(gè)人信息財(cái)產(chǎn)化及其法律規(guī)制研究[J].四川大學(xué)學(xué)報(bào)，2006年，第5期.

[4] 張春生.中國電子認(rèn)證服務(wù)業(yè)發(fā)展藍(lán)皮書[M].北京：中央文獻(xiàn)出版社，2013.

[5] 芳芳. 國外PKI/CA體系發(fā)展?fàn)顩r的研究[J].計(jì)算機(jī)安全，2001年，第9期.

基金項(xiàng)目：

本課題得到國家高技術(shù)研究發(fā)展計(jì)劃（863計(jì)劃）No.2012AA01A403支持。

作者簡介：

王闖（1984-），男，博士，助理研究員，工業(yè)和信息化部賽迪智庫信息安全研究所工作，主要從事計(jì)算機(jī)應(yīng)用技術(shù)、電子認(rèn)證、信息安全戰(zhàn)略、信息安全產(chǎn)業(yè)等領(lǐng)域的研究工作。

馮偉，男，博士，工業(yè)和信息化部賽迪智庫信息安全研究所工作，主要從事通信、電子認(rèn)證、信息安全、工業(yè)控制信息安全等領(lǐng)域工作。endprint