我國網絡信息保護面臨的挑戰及應對措施

王闖+++馮偉

【摘要】近年來，我國網絡信息面臨的安全風險不斷加大，個人信息泄露事件頻發，各種新型網絡攻擊不斷出現，造成的影響日益嚴重。本文首先介紹了我國網絡信息保護面臨的嚴峻形勢，分析了我國在網絡信息保護方面存在的問題，結合世界各國在網絡信息保護方面的做法，提出我國應采取的措施建議。

【關鍵詞】信息安全；網絡信息保護；電子身份證；措施建議

【中圖分類號】O242； F830.9【文獻標識碼】A

1引言

2013年6月份，美國國家安全局被曝出“棱鏡門”事件，谷歌、微軟、思科、Facebook等數千家科技、金融以及制造公司與美國國家安全局密切合作，為其提供敏感信息。同時，美國國安局旗下設有一個部門，名為“定制入口行動辦公室”（TAO），過去近15年中一直從事侵入中國境內電腦和通訊系統的網絡攻擊，借此獲取有關中國的有價值情報。這一事件給我國網絡信息安全敲響了警鐘。

據統計，2012年我國約有2.57億人遭受網絡犯罪侵害，所蒙受的直接經濟損失達人民幣2，890億元。

為了保護網絡信息安全，保障公民、法人和其他組織的合法權益，維護國家安全和社會公共利益，全國人大常委會于2012年12月28日通過了《關于加強網絡信息保護的決定》，我國首個個人信息保護國家標準也于2013年2月1日正式實施。在當前環境下，做好網絡信息保護工作，實現我國網絡信息保護相關政策平穩落地，對于保障廣大人民群眾的合法權益，促進我國網絡經濟健康持續發展具有重要意義。

2網絡信息保護概述

2.1基本概念

這里所提到的網絡信息，與通常所講的個人信息含義相當。在《關于加強網絡信息保護的決定》中明確規定，“國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息。”而在個人信息保護國家標準中，將個人信息定義為：可為信息系統所處理、與特定自然人相關、能夠通過與其他信息相結合識別該特定自然人的計算機數據。

實際上，在法律范疇內，個人信息通常是指自然人所的在在有的，能夠直接或間接識別其本人的特定資料所反映出來的內容，其具有人格屬性。個人信息隱私權則兼具人格權與財產權雙重屬性。在當前信息時代中，個人信息也是一種財產類型。

2.2核心問題

網絡信息保護中最核心的內容主要包括三個方面：一是法律，個人信息涉及到隱私和財務權，必須有專門的法律來參考執行；二是監管，在信息社會中，個人信息產生的糾紛大幅增加，需要專門的監管部門來管理；三是實施，就是技術支撐體系，在網絡環境下，我們需要各種技術手段來保障個人信息不被竊取、盜用、冒用等，而且要在出現上述情況后追蹤到犯罪分子并提供相關證據，當前主要基于公鑰基礎基礎設施（PKI）相關技術體系實現。

3我國面臨的主要問題

3.1政策法規標準體系尚不健全

我國目前在網絡信息保護方面還未形成健全的政策法規標準體系。在法律方面，我國涉及個人信息保護的法律有近40部，法規30部，但都是零散的法律條文，《關于加強網絡信息保護的決定》可以看成第一部個人信息保護立法，但如何正確使用這部法律，怎樣將這部法律與當前法律體融合起來，從而有效解決個人信息保護中存在的問題，這都需要進一步完善。在標準體系方面，我國首個個人信息保護國家標準已正式實施，但該標準只是指導性技術文件，在網絡信息保護方面的作用有限，網絡信息保護相關的標準體系仍有待完善。

3.2網絡信息保護監管有待加強

我國目前在網絡信息保護方面缺乏足夠的監管，這也是個人信息泄露頻發的一個重要原因。首先，我國個人信息保護面臨工業和信息化部、公安部、國家保密局、國家密碼管理局、衛生部等相關部門之間交叉管理的問題，缺少一個從整體上統一協調個人信息保護工作的專門機構。其次，沒有形成對侵害公民個人信息犯罪進行治理的長效機制，2012年初公安部統一部署的集中治理行動取得了豐碩成果，但打擊侵害公民個人信息犯罪還沒有固化到日常工作中。最后，沒有對涉及公民個人信息的互聯網企業實現有效監管，包括企業收集公民個人信息的流程是否合規，涉及個人信息的用戶協議條款是否完善，以及企業是否具備相應的安全級別等。

3.3技術服務支撐體系亟待建設

我國目前還沒有形成能夠全面支撐網絡信息保護的技術服務支撐體系。首先，尚未建立有效的網絡身份管理體系。從根本上講，網絡信息保護是為了明確各主體在網絡空間的權利和責任，在具體實施過程中則需要確定現實世界中的對應主體，這就需要完善的網絡身份管理體系。其次，尚未形成覆蓋全面的網絡身份信任服務體系。網絡應用種類繁多，網絡主體身份多種多樣，網絡身份管理體系是否能夠得到廣泛應用，直接關系到網絡信息保護能夠有效實施，網絡身份信任服務體系必不可少。最后，網絡信息保護技術支撐體系有待完善。隨著互聯網應用的日益深入，網絡上存儲和流傳的信息種類和數量不斷增多，需要嚴格保障網絡信息存儲和使用的安全性，并保證網絡信息的可追溯性，為網絡信息被侵害提供取證和鑒證技術支撐。

4國際上的主要做法

4.1建立完善的個人信息保護法律體系

目前，世界上已經有70多個國家和組織制定了個人信息保護相關法律法規。美國通過了一批個人信息保護相關的法律，如《隱私權法》、《信息保護和安全法》、《消費者隱私保護法》、《反網絡欺詐法》等；歐盟先后制定了《關于涉及個人數據處理的個人保護以及此類數據自由流動的指令》、《關于個人數據自動化處理之個人保護公約》和《關于保護自動化處理過程中個人數據的條例》；英國制定了《數據保護法》；德國制定了《聯邦數據保護法》；加拿大制定了《隱私保護法》和《個人信息保護及電子文檔法案》；日本制定了《個人信息保護法》。由于互聯網應用模式多種多樣，各國仍在不斷豐富自己的法律體系，以確保滿足網絡信息保護的具體要求。endprint

4.2成立專門的個人信息保護監管機構

個人信息保護是政府部門的管理職責，很多國家都設立了具體的機構來負責保護消費者信息和企業信息安全的職責。歐盟在網絡個人隱私的保護方面訂立了非常嚴格的保護標準，并設立了特別委員會以執行此項工作。德國創設了聯邦數據保護專員制度，美國、日本、澳大利亞有綜合性的機構內設部門或專門設立隱私專員（如韓國的個人信息調解委員會和澳大利亞的隱私專員）予以管理，顯示出個人信息保護的普遍性和社會性。韓國由行業監管機構——韓國通信委員會及互聯網與安全局，具體執行消費者信息保護。

4.3啟動有效的網絡身份管理體系建設

為了確保對網絡身份有效管理，實現相互信任的網絡環境，美歐等國家都建立了各具特色的網絡身份管理體系，如美國的網絡身份生態體系、歐盟的電子身份證等。首先，以國家力量研究網絡身份管理體系。歐盟于2002年的第六框架計劃開始進行身份管理相關的研究，為推廣電子身份證打下堅實的基礎。其次，通過國家政策全面推動網絡身份管理體系建設。美國政府通過發布《網絡空間可信身份國家戰略》（NSTIC），啟動對網絡身份生態體系的建設。歐盟則推出了電子簽名計劃，電子身份證是計劃中一項重要的試點工作。最后，構建了較完善的基礎設施。各國的網絡身份管理體系基本上都是基于公鑰基礎設施（PKI），美國政府建立了完善的聯邦PKI體系，包括聯邦橋CA、聯邦通用策略框架CA、電子政務CA、公眾及商務類通用CA等。歐盟各國在推行電子身份證的過程中都建設了專門的基礎設施，如德國的CSCA和CVCA。

4.4啟動針對性網絡信任服務應用推廣

網絡信任服務是在網絡身份管理體系基礎上提供的身份認證、屬性驗證等服務，歐美等國通過積極推進網絡信任服務應用，從而為網絡信息保護打造良好的環境。歐美等國都采取政府引導，企業實施的公私合作模式，通過在特定領域開展試點工作等方式，積極推廣網絡信任服務。歐盟在數字簽名計劃框架下推出大量覆蓋歐洲的試點工作，如公民的電子身份證（STORK）、泛歐洲在線公共采購（PEPPOL）等。美國在推出NISTC戰略后很快就推出五項試點工作，包括在線身份系統、在線交易系統、在線醫療及教育等。這些試點工作既能推廣網絡信任服務，又可以驗證技術體系的安全性，為建立安全可信的網絡打下基礎。

5我國加強網絡信息保護的措施建議

5.1完善法律法規體系

有法可依是加強網絡信息保護的基礎，應進一步完善我國個人信息保護法律法規體系。《關于加強網絡信息保護的決定》已經規范了網絡空間主體的權利和義務，明確了相關主體應當承擔的法律責任和義務，各相關部門應盡快建立配套的行政法規和部門規章，并出臺實施細則，為網絡身份保護的實施提供依據。

5.2加大行業監管力度

成立專門的網絡信息保護機構，建立跨部門、跨區域的協調機制，協調各職能部門在網絡身份管理、互聯網行業監管等各項工作中的分工合作。加強個人信息保護執法隊伍建設，加大對非法泄露和倒賣公民個人信息行為的打擊力度。加強對涉及個人電子信息相關單位的監管，設立專門的機構接受網絡用戶申訴、投訴，建立有效的互聯網行業審查制度，對在業務活動中收集公民個人信息的網絡服務提供者和其他企事業單位進行監督管理。

5.3打造網絡信任體系

借鑒歐美等國的網絡身份管理體系，以電子認證服務業為基礎，建立網絡身份信任體系，為網絡信息保護提供安全可靠、隱私保護、方便快捷的網絡身份服務。協調公安部、人社部、教育部、銀行等部門，實現現有身份信息的有條件開放，在不改變現實社會身份信息管理格局的前提下，為網絡身份與真實身份的綁定提供權威依據。基于現有電子認證服務基礎設施，堅持統一規劃、分布部署的原則，建立覆蓋全國各地的網絡身份管理服務網絡。完善網絡身份信任服務標準體系，制定網絡身份申請、核驗、管理、應用等方面的技術標準，實現網絡身份信任服務的規范化、標準化。

5.4積極推廣示范應用

大力推廣網絡信任服務應用，為網絡信息保護構建良好環境。采取政府引導企業主導的方式，從電子政務、電子商務等現實生活中對身份要求較高的領域著手試點應用，逐步向整個網絡空間推廣。充分利用市場化機制推廣應用，以服務代替管理可以消除人們對“互聯網監管”的疑慮，而且可以大大提高用戶的體驗，有助于應用推廣。在重點領域和行業率先開展應用試點工程，不斷深化拓展應用，完善相關管理制度和規范，加強工程管理，及時發現和反饋工程實施中存在的問題，總結成功經驗，進一步完善網絡信任服務體系建設。

5.5營造良好社會氛圍

加強個人信息保護宣傳力度，充分利用廣播、電視、報刊、網絡等各種媒體，廣泛開展面向全社會的個人信息保護宣傳教育。采取講座、論壇、研討會等多種形式宣傳《關于加強網絡信息保護的決定》、《電子簽名法》等相關政策法規，進一步普及個人信息保護、電子簽名與認證電子認證相關知識。大力宣傳網絡身份信任服務，提高社會公眾利用網絡主體身份認證服務、網絡主體屬性認證服務保護自身權益的意識和能力，營造有利于網絡身份信任體系建設的良好氛圍。

6結束語

面對日益嚴峻的網絡信息保護形勢，我國應采取針對性措施，實現網絡信息保護的真正落地。本文介紹了網絡信息保護的背景和相關概念，分析了我國網絡信息保護所面臨的挑戰和問題，通過研究世界各國在網絡信息保護方面的具體做法，提出了我國加強網絡信息保護的措施建議。

參考文獻

[1] GB/Z 28828-2012，信息安全技術 公共及商用服務信息系統個人信息保護指南[S].2012.

[2] 陳玉蓮，沈旸，雷子君.個人信息保護機制的構建[J].河北公安警察職業學院學報，2009，第9卷（第1期）.

[3] 洪海林.個人信息財產化及其法律規制研究[J].四川大學學報，2006年，第5期.

[4] 張春生.中國電子認證服務業發展藍皮書[M].北京：中央文獻出版社，2013.

[5] 芳芳. 國外PKI/CA體系發展狀況的研究[J].計算機安全，2001年，第9期.

基金項目：

本課題得到國家高技術研究發展計劃（863計劃）No.2012AA01A403支持。

作者簡介：

王闖（1984-），男，博士，助理研究員，工業和信息化部賽迪智庫信息安全研究所工作，主要從事計算機應用技術、電子認證、信息安全戰略、信息安全產業等領域的研究工作。

馮偉，男，博士，工業和信息化部賽迪智庫信息安全研究所工作，主要從事通信、電子認證、信息安全、工業控制信息安全等領域工作。endprint