“数据”呼唤“法”的全面呵护——从小米、携程、SSL事件谈起【谢君泽专栏-6】
文 / 谢君泽,作者博客:骆驼异种(http://infolaw.fyfz.cn/),本文写作于2014年5月
近日,小米论坛的官方数据库泄露,数百万论坛注册用户的数据面临风险。利用这些泄露的用户数据,可以通过小米云服务获得通讯录、照片等信息。而今年3月份携程也曾发生类似事件,导致大量用户银行卡信息泄露。今年4月份爆发的OpenSSL安全协议“心脏流血”事件,更被认为是本年度最严重的网络安全事件,它导致各大网银、在线支付、电商网站、门户网站、电子邮件等面临大面积泄漏帐户密码的风险。数据安全,再度刺激了技术专家与法律学者的神经。那么,数据安全是什么?数据安全如何保护呢?
所谓“横看成岭侧成峰”。在技术专家的眼里,数据安全是一个技术问题,它是指如何从技术上确保计算机系统中的数据和网络传输过程中的数据的保密性和完整性。它向上与系统安全直接相关,向下与信道安全直接相关。比如说,小米事件、携程事件就是典型的因为系统不安全而导致的数据泄漏,OpenSSL事件是典型的因为信道不安全而导致的数据泄漏。数据安全与系统安全、信道安全等共同组成技术专家眼中的“网络安全”。
法律学者对于“数据安全”或“网络安全”的理解似乎又别开生面。虽然他们并不否认技术专家所指,但是他们所认为的网络安全更多的是指不得利用网络进行恐怖活动、造谣传谣、网络诈骗等违法犯罪活动。比如说,在小米事件、携程事件之中,法律学者更多关注的是网络入侵的作案人、数据信息的披露人、数据信息的保管人及非法利用数据的人,他们是否构成犯罪。作为提供网络服务的小米和携程,他们对数据安全应当承担什么样的法律责任。可以说,法律学者眼中的“网络安全”主要是网络所导致的社会秩序安全及社会主体在网络活动中的权利义务关系问题。
就笔者看来,技术专家与法律学者从不同角度尽赏了“网络安全”这位妙龄女郎的朦胧之美。从实质上讲,他们的视觉差异是由观察视角不同所导致的,也可以说是职业思维使然。技术专家擅长于从“结构”的角度看待“网络安全”,而法律学者擅长于从“立体”的角度看待“网络安全”。角度不同,景致自然不同。
然而,不管是技术专家或是法律学者,他们对于“网络安全”急需“法”的呵护是不谋而合的。实际上,全国人大常委会已将《网络安全法》纳入2014年立法计划。这意味着“网络安全”即将迎来法律呵护的春天。
《网络安全法》如何全面呵护“网络安全”呢?笔者认为,技术专家所见的“技术性安全”与法律学者所见的“秩序性安全”,它们对于《网络安全法》是羽之双翼、车之双轮,同等重要、不可偏废。
观我国本土之法,刑法第285条规定的“非法侵入计算机信息系统罪”、“非法获取计算机信息系统数据、非法控制计算机信息系统罪”、“提供侵入、非法控制计算机信息系统程序、工具罪”及第286条规定的“破坏计算机信息系统罪”主要保护的是网络的“技术性安全”,而刑法第287条规定的“利用计算机实施犯罪的提示性规定”主要保护的是网络的“秩序性安全”。再转看他山之石,在网络安全立法最为发达的美国,2001年通过的《2001年爱国者法》(该法主要目的在于提高政府反恐能力)及2002年通过的《2002年国土安全法》第225条“网络安全加强法”(该法旨在扩大警方监视互联网的职权),它们的主要目的就是为了保护网络的“秩序性安全”。而近年审议但未获通过的《2010年网络安全法案》(该法案主要规定网络安全的人才发展、计划和职权、网络安全知识培养、公私合作)及《2010年网络安全加强法案》(该法案旨在加强网络安全的研究与发展,推进网络安全技术标准制定),它们的主要目的就是为了保护网络的“技术性安全”。
欲知平直,则必准绳;欲知方圆,则必规矩。对于具体网络安全案件而言,既需秩序之准绳,亦需技术之规矩。对于小米事件、携程事件、SSL事件等,首先需要判断小米、携程等相关企业的系统安全、数据安全是否已经达到网络安全的技术标准,随后根据权利义务关系判定相关企业或个人所应承担的法律责任,包括是否构成犯罪等。技术标准清晰、权利义务关系明确,则各方责任方能终定。
隐约之中,“网络安全”在“法”的天空下愈加明晰。
作者简介
谢君泽,男,出生于1983年,本科毕业于通信工程专业,硕士毕业于法律硕士专业,具有信息技术与法律专业的交叉背景。现为中国人民大学法学院证据学研究所研究人员,中国人民大学物证技术鉴定中心副主任、国家司法鉴定人,中国电子学会计算机取证专家委员会专委,长期致力于计算机网络取证、电子证据司法鉴定、职务犯罪侦查等研究,多次参加最高人民检察院、中华全国律协等部门电子证据规则的起草与论证。
欢迎大家加入科技杂谈菁英汇,交流思想、分享信息。仅限行业商端人士参与。参与方式:点击左下方“阅读原文”填写您的加入信息,科技杂谈通过审核后,会添加入群。
本文仅代表作者观点,科技杂谈授权刊登。
转载必须注明作者与科技杂谈,侵权必究。
科技杂谈文章,均同步发布于犀牛财经网。
已入驻搜狐新闻客户端,网易阅读客户端。