查看原文
其他

茶座丨谢君泽:“数据”呼唤“法”的全面呵护——从小米、携程、SSL事件谈起

2014-06-28 谢君泽 中国民商法律网

中国民商法律网系授权发布,如需转载使用,务请联系作者获取授权。

近日,小米论坛的官方数据库泄露,数百万论坛注册用户的数据面临风险。利用这些泄露的用户数据,可以通过小米云服务获得通讯录、照片等信息。而今年3月份携程也曾发生类似事件,导致大量用户银行卡信息泄露。今年4月份爆发的OpenSSL安全协议“心脏流血”事件,更被认为是本年度最严重的网络安全事件,它导致各大网银、在线支付、电商网站、门户网站、电子邮件等面临大面积泄漏帐户密码的风险。数据安全,再度刺激了技术专家与法律学者的神经。那么,数据安全是什么?数据安全如何保护呢?


所谓情人眼里出西施。在技术专家的眼里,数据安全是一个技术问题,它是指如何从技术上确保计算机系统中的数据和网络传输过程中的数据的保密性和完整性。它向上与系统安全直接相关,向下与信道安全直接相关。比如说,小米事件、携程事件就是典型的因为系统不安全而导致的数据泄漏,OpenSSL事件是典型的因为信道不安全而导致的数据泄漏。数据安全与系统安全、信道安全等共同组成技术专家眼中的“网络安全”。


法律学者对于“数据安全”或“网络安全”的理解似乎又另开生面。虽然他们并不否认技术专家所指,但是他们所认为的网络安全更多的是指不得利用网络进行恐怖活动、造谣传谣、网络诈骗等违法犯罪活动。比如说,在小米事件、携程事件之中,法律学者更多关注的是网络入侵的作案人、数据信息的披露人、数据信息的保管人及非法利用数据的人,他们是否构成犯罪。作为提供网络服务的小米和携程,他们对数据安全应当承担什么样的法律责任。可以说,法律学者眼中的“网络安全”主要是网络所导致的社会秩序安全及主体在网络活动中的权利义务关系问题。


就笔者看来,技术专家与法律学者从不同角度尽赏了“网络安全”这位妙龄女郎的朦胧之美。从实质上讲,他们的视觉差异是由观察视角不同所导致的,也可以说是职业思维使然。技术专家擅长于从“结构”的角度看“网络安全”之美,而法律学者擅长于从“立体”的角度看“网络安全”之美。角度不同,景致自然不同。


然而,不管是技术专家或是法律学者,他们对于“网络安全”急需“法”的呵护是不谋而合的。实际上,全国人大常委会已将《网络安全法》纳入2014年立法计划。这意味着“网络安全”即将迎来法律呵护的春天。


《网络安全法》如何全面呵护“网络安全”呢?笔者认为,技术专家所见的“技术性安全”与法律学者所见的“秩序性安全”,它们对于《网络安全法》是羽之双翼、车之双轮,同等重要、不可偏废。


观我国本土之法,刑法第285、286条主要保护的是网络的“技术性安全”,而刑法第287条主要保护的是网络的“秩序性安全”。再转看他山之玉,在网络安全立法最为发达的美国,2001年通过的《2001年爱国者法》(该法主要目的在于提高政府反恐能力)及2002年通过的《2002年国土安全法》第225条“网络安全加强法”(该法旨在扩大警方监视互联网的职权),它们的主要目的就是为了保护网络的“秩序性安全”。而近年审议但未获通过的《2010年网络安全法案》(该法案主要规定网络安全的人才发展、计划和职权、网络安全知识培养、公私合作)及《2010年网络安全加强法案》(该法案旨在加强网络安全的研究与发展,推进网络安全技术标准制定),它们的主要目的就是为了保护网络的“技术性安全”。


欲知平直,则必准绳;欲知方则圆,则必规矩。对于具体网络安全案件而言,既需秩序之准绳,亦需技术之规矩。对于小米事件、携程事件、SSL事件等,首先需要判断小米、携程等相关企业的系统安全、数据安全是否已经达到网络安全的技术标准,随后根据权利义务关系判定相关企业或个人所应承担的法律责任,包括是否构成犯罪等。技术标准清晰、权利义务关系明确,则各方责任方能终定。


隐约之中,“网络安全”在“法”的天空下愈加明晰。


出处:作者授权发布

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存