查看原文
其他

网络安全的技术立法——评手机病毒事件【谢君泽专栏-10】

2014-09-03 谢君泽 科技杂谈
科技杂谈keji_zatan

新谈友,请点击题目下蓝字关注我

中国通信行业影响力最大的自媒体


文 / 谢君泽,作者博客:骆驼异种(http://infolaw.fyfz.cn/)


  草际鸣蛩,惊落梧桐,正人间,天上愁浓。是年七夕,与往不同,云阶月地,病毒万重。19岁的大一学生,因为好奇,研制“神器”病毒。数百万用户被骗,数十万手机感染。如何对包括手机安全在内的网络安全进行技术立法,是一个值得思考的问题。


  手机病毒事件的技术评析


  从技术上讲,这次所谓的“手机病毒”其本身的技术含量其实并不高。它无非是利用手机用户在接收短信时点击下载手机程序的安装包,而后安装并执行恶意程序。然而,为什么这么多手机用户会中招呢?这可以归结为两个原因,一是手机用户对于开源手机系统的技术知识和安全隐患都缺少了解,二是开源手机系统的安全设计本身不够科学。


  这种安全设计,一定程度上源于开源手机系统其安全标准的缺失。所谓的开源手机系统,就是源代码全部公开的手机系统。安卓就是典型的手机开源系统。这种系统有利于系统的二次开发和应用程序的兼容安装。由于开源的技术特性,开源手机系统的程序兼容性强、程序来源很多。然而,这些手机程序的安全性、可靠性很难保证,恶意程序便有了活跃的空间。一般来说,开源系统由于安全隐患要大得多,因此应当制定更高的安全标准。


  网络安全标准制定已成当务之急


  不论是手机还是电脑,制定切实可行的安全标准已经成为当务之急。美国近些年也一直在推进网络安全技术标准的制定。《2010年网络安全加强法案》的发起人之一、美国众议院科技委员会主席戈登曾说:这个法案将推动美国加大联邦网络安全研发投入,积极参与制定形成国际网络安全技术标准。美国《2012年网络安全法案》更是直接提出私营的关键基础设施公司必须遵守由政府制定的计算机系统安全标准,虽然该法案最终由于各种原因未获通过。


  当然,制定网络安全标准不应限制各种技术的发展,而应着力于对各种服务产品所必需具备的安全功能和安全要求等进行规定。比如说,在这次手机病毒事件中,在手机短信、手机浏览器中收到apk安装文件时,如果安卓系统设置更为明显的警告,告知手机用户其中的潜在风险,可能会大大减少手机中毒的数量。这就是典型地通过设置特定的安全功能来提高安全标准。实际上,腾讯QQ聊天中曾经也有很多类似此次手机病毒的“钓鱼”事件,后来腾讯通过设置风险警告、屏蔽恶意程序等安全功能进行治理,取得了良好的效果。


  网络安全技术立法的立法定位


  从应然层面上讲,网络安全立法内容不仅包含法律性规则,也应包含技术性规范。其中,后者属于网络安全的技术立法。按照技术立法的习惯,它一般分布于法律、技术法规和强制性国家标准这三个层次之中。


  比如,在汽车领域,《道路交通安全法》规定,准予登记的机动车应当符合机动车国家安全技术标准;而1999年以来我国陆续颁布的汽车技术法规共同形成了中国汽车安全技术法规体系(ChinaMotorVehicleDesignRule,简称CMVDR);另外,目前我国还有大量的汽车安全强制性标准。


  再如,在食品领域,《食品安全法(草案)》规定,食品生产经营者应当依照食品安全标准从事生产经营活动,国务院卫生行政部门依法制定并公布食品安全国家标准;而该法专门规定“食品安全标准”一章,更是足见法律对食品安全标准的重视。当然,《食品安全法》修订通过以后,《食品安全法实施条例》等相关的行政法规、部门规章也必须对“食品安全标准”进行细化和完善。另外,我国目前在食品安全领域的国家标准也是数量众多。


  实际上,与网络安全标准相关的行政法规和部门规章,我国目前也有一些。如,国务院发布的《计算机信息系统安全保护条例》,各部委发布的《计算机信息网络国际联网安全保护管理办法》、《计算机病毒防治管理办法》、《互联网安全保护技术措施规定》、《通信网络安全防护管理办法》等。最近国家互联网信息办公室出台的《即时通信工具公众信息服务发展管理暂行规定》也是专门针对某类网络安全问题而制定的技术法规。虽然,笔者其实对国信办的立法主体资格表示怀疑。至于,网络安全的国家标准,目前则是十分欠缺的。主要有《信息安全技术路由器安全技术要求》、《信息安全技术服务器安全技术要求》、《信息安全技术操作系统安全技术要求》等。


  至于法律层面的网络安全标准规定,中国目前处于缺位状态。当仁不让,它应当由即将出台的《网络安全法》来规定。虽说,从法律地位上讲,《网络安全法》应当定性为网络的基本法,它的任务是解决现有法律体系在涉及网络领域安全问题时如何特别适用或变通适用之基本问题,解决各部门法律权利义务关系在网络安全语境下如何特别理解或变通理解之基本问题。然而,这些基本问题之中,有一个必然是如何制定网络安全的技术标准及其法律效力如何。


  最后,从立法技术上讲,《网络安全法》不可能亦不必要对具体的网络安全技术标准进行规定。然而,可以预见,在《网络安全法》出台之后,与网络安全相关的行政法规、部委规章及国家标准,都必须按照《网络安全法》的要求进行修订、完善,乃至大量增加。


  作者简介


  谢君泽,男,出生于1983年,本科毕业于通信工程专业,硕士毕业于法律硕士专业,具有信息技术与法律专业的交叉背景。现为中国人民大学物证技术鉴定中心副主任、国家司法鉴定人,中国人民大学法学院证据学研究所研究人员,中国电子学会计算机取证专家委员会专委,长期致力于计算机网络取证、电子证据司法鉴定、职务犯罪信息化侦查、网络安全法等信息与法的交叉研究,多次参加最高人民检察院、中华全国律协等部门电子证据规则的起草与论证。


  欢迎大家加入科技杂谈菁英汇,交流思想、分享信息。仅限行业商端人士参与。参与方式:点击左下方“阅读原文”填写您的加入信息,科技杂谈通过审核后,会添加入群。


本文仅代表作者观点,科技杂谈授权刊登。

转载必须注明作者与科技杂谈,侵权必究。

科技杂谈文章,均同步发布于犀牛财经网。

已入驻搜狐新闻客户端,网易阅读客户端。


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存