□文│鄭海江 李義杰

論云出版中數(shù)字身份安全與版權(quán)保護(hù)

□文│鄭海江 李義杰

信息安全和版權(quán)保護(hù)是云出版面臨的兩個重要而又密切相關(guān)的問題，用戶數(shù)字身份安全又是其中的一個焦點。當(dāng)前云出版面臨數(shù)字身份安全危機，對其保護(hù)過程中也存在諸多問題。問題的解決需要提升數(shù)字身份保護(hù)的技術(shù)標(biāo)準(zhǔn)、完善法規(guī)和管理、發(fā)揮市場機制作用，培養(yǎng)用戶的信息安全意識，堅持用戶中心、告知原則等。

云出版 數(shù)字身份 版權(quán)保護(hù)

云出版作為數(shù)字出版發(fā)展的新階段，在革新傳統(tǒng)出版方式的同時，也面臨更嚴(yán)峻的信息安全危機及版權(quán)保護(hù)問題，如出版商、作者、讀者、運營企業(yè)等信息及資源內(nèi)容的泄露。尤其是不同主體的數(shù)字身份信息安全是一個敏感而又關(guān)鍵的問題，它不僅關(guān)系到個人或組織隱私，還關(guān)系到網(wǎng)絡(luò)出版版權(quán)保護(hù)成敗及數(shù)字出版產(chǎn)業(yè)（市場）的健康發(fā)展。有學(xué)者認(rèn)為，“數(shù)字身份”技術(shù)是網(wǎng)絡(luò)安全、信息安全中的焦點之焦點，[1]完善的身份認(rèn)證和管理系統(tǒng)對保障云計算環(huán)境下用戶信息安全具有重要的作用。[2]因此，探討云出版中數(shù)字身份問題有助于我們更好地理解云出版的特點及其版權(quán)保護(hù)的著力點，并為其發(fā)展提供思路。

一、關(guān)于云端的數(shù)字身份

數(shù)字身份是指以數(shù)字形式進(jìn)行存儲和轉(zhuǎn)換的身份信息，通常指存儲于數(shù)據(jù)云端上關(guān)涉?zhèn)€人身份的信息，這些身份信息包括姓名、性別、出生日期以及職業(yè)信息等。[3]數(shù)字身份是一個網(wǎng)絡(luò)空間中的概念，用于描述在網(wǎng)絡(luò)空間中一個人或事物的一組數(shù)據(jù)或信息之總和，也是一種網(wǎng)絡(luò)身份。[4]數(shù)字身份的主體包括個人、組織，乃至其他電子設(shè)備等應(yīng)用工具，并且這些不同的主體在不同的網(wǎng)絡(luò)空間可能擁有不止一個數(shù)字身份。通常數(shù)字身份的屬性是可以變更、可以隱藏，甚至是可以廢棄的。因此，數(shù)字身份的驗證和批準(zhǔn)措施對于確保網(wǎng)絡(luò)及其基礎(chǔ)設(shè)施安全性來說，是至關(guān)重要的。[4]

在數(shù)字網(wǎng)絡(luò)的環(huán)境中，一個自然人必須通過他的數(shù)字身份進(jìn)行日?；顒?。在此背景下，數(shù)字身份構(gòu)成了云端數(shù)據(jù)的重要組成部分。隨著這些數(shù)字身份信息的商業(yè)價值及法律重要性的日益提升，如何對用戶的數(shù)字身份進(jìn)行保護(hù)也日顯突出和必要。

二、云出版中的數(shù)字身份危機

數(shù)字身份問題其實也是一個網(wǎng)絡(luò)安全、信息安全問題，目前在全球被政治、經(jīng)濟(jì)及社會組織機構(gòu)所重視，尤其是全球各地的政府部門，不過其在云出版這一新的領(lǐng)域顯得比較特殊和重要。一方面它涉及個人或組織隱私或保密信息，另一方面關(guān)系到云端儲存、出版內(nèi)容版權(quán)問題。一旦因為個人或組織數(shù)字身份信息的泄露，導(dǎo)致云端內(nèi)容及個人隱私的泄露、侵權(quán)，就會對云出版產(chǎn)業(yè)鏈中多方主體造成巨大損失，進(jìn)而影響云出版行業(yè)的良性發(fā)展。因此，在云出版中，數(shù)字身份安全問題是一個事關(guān)版權(quán)保護(hù)、行業(yè)發(fā)展的基礎(chǔ)性環(huán)節(jié)。當(dāng)前在云出版領(lǐng)域數(shù)字身份信息安全面臨著更大的風(fēng)險和挑戰(zhàn)。

首先，云出版中數(shù)字身份信息泄露風(fēng)險增大。云出版的重要技術(shù)基礎(chǔ)或特點是對云計算、云技術(shù)的應(yīng)用，可以將大量的數(shù)據(jù)內(nèi)容、不同的應(yīng)用設(shè)備及個人信息儲存在云端，并聯(lián)接打通作者、出版商、運營商、讀者等產(chǎn)業(yè)鏈的不同主體，使用戶隨時隨地存取數(shù)據(jù)。但同時，這種網(wǎng)絡(luò)空間互聯(lián)互通的存取應(yīng)用模式也使信息安全風(fēng)險增加，主要體現(xiàn)在這種相對更加開放的云端網(wǎng)絡(luò)應(yīng)用提供了更多信息泄露的渠道和可能性。如智能移動等不同存儲數(shù)據(jù)終端、社交網(wǎng)絡(luò)、引擎搜索、大數(shù)據(jù)對個人信息的挖掘以及蓄意截取信息的黑客或組織等。在云出版中安全機制不太完善的情況下，云端的儲存信息安全風(fēng)險顯著增加，如數(shù)字身份的公開特性可能導(dǎo)致在交易中有些信息被泄露。云計算技術(shù)使這些信息處于一種更加不安全的狀態(tài)，因為數(shù)據(jù)存儲于云端，就存在一些無法預(yù)測的錯誤。但是到目前為止還未發(fā)現(xiàn)一些有效的安全措施能防止由于這些錯誤所導(dǎo)致的信息泄露隱患。這些錯誤可能包括系統(tǒng)故障（例如系統(tǒng)無法識別這些數(shù)字身份信息）、軟件癱瘓、部分或全部數(shù)字身份信息被其他人有意或無意地錯誤使用。一旦個人的數(shù)字身份信息被泄露，將會直接影響當(dāng)事人的切身利益。另外，很多數(shù)據(jù)分享的應(yīng)用程序可能導(dǎo)致用戶在分享過程中信息被泄露，這些信息可能包括一些敏感信息，例如個人住址、收入、信用卡密碼等。

其次，數(shù)字身份信息保護(hù)難度加大。這和云出版網(wǎng)絡(luò)版權(quán)保護(hù)難度加大是一致的。一是云出版中涉及的用戶主體類型復(fù)雜、數(shù)量巨大，且需求活動具有個性化、及時性等諸多不確定性，從而對用戶數(shù)字身份的認(rèn)證及保護(hù)提出更高的技術(shù)要求。目前云服務(wù)面臨著用戶身份屬性泄漏的安全威脅已是一個普遍的問題，盡管很多研究提出了不同的技術(shù)手段，但是，機構(gòu)用戶的多樣性使屬性安全防范具有更多的不確定性，因此云安全聯(lián)盟仍然把用戶身份安全列為重要的云安全威脅之一。[5]二是侵權(quán)之后取證難度加大。在云端網(wǎng)絡(luò)環(huán)境下，空間的虛擬性、侵權(quán)痕跡的易消性以及相關(guān)法律的不健全等原因，使調(diào)查取證困難，且成本高，專業(yè)技術(shù)性強，這些都加大了用戶數(shù)字身份以及版權(quán)保護(hù)的難度。

三、云出版中數(shù)字身份保護(hù)現(xiàn)狀及存在的主要問題

由于云出版主要基于云計算技術(shù)，因此，其數(shù)字身份安全問題也是云計算本身面臨的數(shù)據(jù)安全和隱私問題。目前對于這一問題的解決主要從技術(shù)和管理兩個方面著手。從技術(shù)角度來講，針對云環(huán)境中的用戶身份安全問題，現(xiàn)有方案主要從兩個角度考慮，一是身份管理基礎(chǔ)設(shè)施，二是擴(kuò)展數(shù)字身份管理系統(tǒng)框架，并且這些方案僅對認(rèn)證用戶提供服務(wù)?；谶@兩個方面，云環(huán)境中身份安全問題逐步演變?yōu)閮蓚€方向：基于實體的認(rèn)證系統(tǒng)和基于證書的認(rèn)證系統(tǒng)。[6]從目前的研究文獻(xiàn)來看，對數(shù)字身份的技術(shù)解決方案是關(guān)注的熱點。如谷科[7]、陳愛群[8]、陳玲玲[9]等的研究。

從管理角度來講，主要是在云端平臺建立數(shù)字身份管理系統(tǒng)，即運用技術(shù)、經(jīng)濟(jì)、法律、行政、自律等多種手段和規(guī)則來幫助網(wǎng)絡(luò)空間活動主題相互識別。網(wǎng)絡(luò)實名制即是上網(wǎng)者網(wǎng)絡(luò)空間的身份和其真實身份相互對應(yīng)的一種制度。有學(xué)者專門提出基于“數(shù)字身份”的網(wǎng)絡(luò)安全監(jiān)督管理支撐服務(wù)平臺。[10]2014年我國出臺的《信息安全技術(shù)云計算服務(wù)安全指南》（國家標(biāo)準(zhǔn)GB/T 31167-2014），體現(xiàn)了我國對云計算中信息安全的重視。這一文件的出臺針對云計算帶來的信息安全問題，關(guān)注云計算服務(wù)的安全管理，是云計算服務(wù)安全審查的系列標(biāo)準(zhǔn)之一。

但目前云出版中數(shù)字身份安全仍面臨一些問題。主要包括：①云出版作為一個新興領(lǐng)域，對數(shù)字身份安全認(rèn)識還不夠，這包括個人用戶以及企業(yè)用戶等。目前業(yè)界和學(xué)界針對云出版領(lǐng)域的數(shù)字身份安全問題關(guān)注也不多。②相關(guān)的法律法規(guī)欠缺，這也是整個云出版目前面臨的問題。法規(guī)滯后于云出版發(fā)展。[11]③針對云出版的網(wǎng)絡(luò)軟件安全技術(shù)滯后，包括版權(quán)保護(hù)技術(shù)等。先進(jìn)的身份認(rèn)證、軟件識別、加密技術(shù)在云出版領(lǐng)域應(yīng)用還不夠普遍。④對用戶可用數(shù)據(jù)的保護(hù)關(guān)注較多，對云存儲環(huán)境中個人數(shù)據(jù)安全保護(hù)研究關(guān)注不夠。[12]

四、云出版中數(shù)字身份保護(hù)的路徑

提升數(shù)字身份保護(hù)技術(shù)標(biāo)準(zhǔn)。提升云出版中信息安全技術(shù)標(biāo)準(zhǔn)，可以有效增加數(shù)字身份信息安全系數(shù)，減少信息的泄露和侵權(quán)行為。重點圍繞實體認(rèn)證系統(tǒng)和證書認(rèn)證系統(tǒng)進(jìn)行技術(shù)創(chuàng)新。此外，云出版的可靠性、完整性還需要其他科技尤其是先進(jìn)通訊技術(shù)的支持，如光纖入戶、新一代移動通信技術(shù)、微型通信技術(shù)、物聯(lián)網(wǎng)技術(shù)等。[13]

完善數(shù)字身份法規(guī)和管理機制。云出版中數(shù)字身份安全的保障需要技術(shù)的支撐，但有效的法律法規(guī)的建立也必不可少。這是云出版目前面臨的比較迫切的問題，滯后的、不完善的數(shù)字信息保護(hù)法律框架和執(zhí)行機制，將嚴(yán)重影響云出版產(chǎn)業(yè)的發(fā)展。[14,15]這其中個人信息的保護(hù)是數(shù)字身份管理面臨的最為主要的挑戰(zhàn)。[16]為此可建立三個平臺機制：①云平臺系統(tǒng)安全機制，這是云存儲平臺安全的首要保障，以及解決身份認(rèn)證和訪問控制問題的重要手段；②云存儲安全管理機制，解決云服務(wù)器端安全存儲問題，提升網(wǎng)絡(luò)管理員水平；③云存儲應(yīng)用安全機制，主要包括對數(shù)據(jù)存儲、備份、交換加密以及身份認(rèn)證等。[17]

充分發(fā)揮市場機制作用。對于數(shù)字身份安全的管理，除了政府層面的立法和基礎(chǔ)設(shè)施建設(shè)的支持引導(dǎo)，還要發(fā)揮市場的作用。畢竟隨著網(wǎng)絡(luò)云服務(wù)及相關(guān)信息安全需求的擴(kuò)大，僅靠政府力量畢竟有限。美國網(wǎng)絡(luò)身份戰(zhàn)略就是將身份認(rèn)證界定為一種市場服務(wù)活動，存在著用戶對于網(wǎng)絡(luò)安全與隱私保護(hù)的需求及供給。[18]

培養(yǎng)提升用戶數(shù)字身份保護(hù)意識。除了由政府或相關(guān)組織專門的宣傳、培訓(xùn)，在云端服務(wù)應(yīng)用中，應(yīng)對用戶做有關(guān)數(shù)字身份使用的提示說明，提醒告知用戶相關(guān)的使用情況及泄露的危害。

在不同的數(shù)字身份保護(hù)路徑當(dāng)中，還應(yīng)注意以下幾方面原則：第一，用戶中心原則。從用戶需求出發(fā)，以用戶為中心提供友好數(shù)字身份管理界面，并堅持用戶自愿、用戶便利原則。第二，告知原則。個人應(yīng)該被告知他們的數(shù)字身份信息被收集了，并且被告知這些信息將如何被使用，包括場合、目的、方式等，并且必須在征求當(dāng)事人的同意后這些信息才可以被使用。第三，可選擇原則。個人必須能夠在被收集的數(shù)字身份信息中選擇一些用于第三方用途。第四，可轉(zhuǎn)發(fā)原則。個人可以將數(shù)字身份信息轉(zhuǎn)發(fā)給第三方，并在此基礎(chǔ)上尋求更多的保護(hù)。第五，安全原則。對個人數(shù)字身份信息進(jìn)行收集和使用的部門必須給予當(dāng)事人切實可行的承諾，采取有效的措施來確保這些數(shù)據(jù)的安全。第六，可進(jìn)入原則。個人必須能夠進(jìn)入自己的數(shù)字身份信息的存儲終端，并且在信息發(fā)生錯誤時，能夠?qū)ζ溥M(jìn)行更改或刪除。第七，強制執(zhí)行原則。必須制定有力的措施來確保以上規(guī)則得以執(zhí)行。

（作者單位：寧波市委宣傳部 浙江大學(xué)寧波理工學(xué)院）

[1]鐘紅山.數(shù)字身份的法律效力及其應(yīng)用[J].商時代, 2004(17): 56-57

[2]閆娟.云計算環(huán)境下用戶信息安全策略研究[J].才智，2015（5）：326

[3] Yu Tian，Jingliang Chen (2010).A Research on Architecture of Digital Publishing Management System. Computer and Information Science.

[4]黃雯，翟曉梅.數(shù)字身份與數(shù)字裂溝的倫理分析和管理研究[J].中國醫(yī)學(xué)倫理學(xué), 2014(1):15-17

[5][6]李拴保.云環(huán)境下基于環(huán)簽密的用戶身份屬性保護(hù)方案[J].通信學(xué)報, 2014(9): 99-111

[7]谷科.標(biāo)準(zhǔn)模型下基于身份的數(shù)字簽名方案研究[D].中南大學(xué)，2012:161

[8]陳愛群.一種基于橢圓曲線數(shù)字簽名的身份認(rèn)證方案[C].全國第十五屆計算機科學(xué)與技術(shù)應(yīng)用學(xué)術(shù)會議，2003：5

[9]陳玲玲.基于身份數(shù)字簽名方案的研究[D].中南大學(xué),2008

[10]陳小龍.基于“數(shù)字身份”的網(wǎng)絡(luò)安全監(jiān)督管理支撐服務(wù)平臺[J].信息網(wǎng)絡(luò)安全, 2006

[11][13][17]汪全莉，徐志武.我國云出版:發(fā)展與問題[J].出版發(fā)行研究，2013(1):81-84

[12]吳慧玲，趙卓.基于云計算的個人信息安全保護(hù)研究[J].信息網(wǎng)絡(luò)安全，2015（4）:72

[14]張秀芹.“云出版”時代數(shù)字版權(quán)保護(hù)面臨的新挑戰(zhàn)及對策[J].前沿, 2013(15):82-84

[15]樓婕.論滯后的版權(quán)保護(hù)對“云出版”的桎梏[J].科技通報,2014(3):234-238

[16][18]王融.數(shù)字身份管理——網(wǎng)絡(luò)時代的身份證[J].中國新通信，2011(14):44-49