那些威脅到網(wǎng)絡(luò)安全的行為�����,越來越難以辨認,國家行為與黑客自發(fā)組織的界限變得模糊���。
將來��,網(wǎng)絡(luò)數(shù)據(jù)安全將在用戶��、企業(yè)平臺和政府三者的互動中取得動態(tài)平衡�,逐漸取得最優(yōu)解。
網(wǎng)絡(luò)安全已經(jīng)融入人類生活的每個細節(jié)����,而信任是共建網(wǎng)絡(luò)安全的基礎(chǔ)�����。但令人遺憾的是�����,無論是國家之間還是企業(yè)與個人之間���,目前都沒有達成應有的信任���,從而給網(wǎng)絡(luò)安全帶來了巨大的挑戰(zhàn)。真正的網(wǎng)絡(luò)安全的達成����,需要所有人共同的努力�����。
網(wǎng)絡(luò)安全與“數(shù)字主權(quán)”
“互聯(lián)網(wǎng)安全的核心問題是數(shù)據(jù)安全�,而數(shù)據(jù)安全又與國家安全息息相關(guān)���。”談及當前世界的網(wǎng)絡(luò)安全形勢��,上海社會科學院互聯(lián)網(wǎng)研究中心主任�、研究員惠志斌如此表示����。
近年來,技術(shù)的發(fā)展讓網(wǎng)絡(luò)安全面臨更為復雜的現(xiàn)狀:虛擬與現(xiàn)實的融合更加緊密���,這必將讓二者之間的風險也融合在一起��。例如�����,可穿戴設(shè)備�����、無人駕駛等技術(shù)逐漸廣泛應用�����,讓網(wǎng)絡(luò)與人的生命安全有了直接聯(lián)系��。如果這種場景的網(wǎng)絡(luò)安全無法得到保證���,那么“無人化戰(zhàn)爭”的執(zhí)行者可能就不只是戰(zhàn)場上的無人機這樣的武器了。在這種情況下���,“國家安全”的范圍隨之擴大�。
數(shù)字化浪潮席卷全球��,大國之間在網(wǎng)絡(luò)安全上的競爭其實并不只在網(wǎng)絡(luò)層面����,背后是其擔心喪失數(shù)字時代的發(fā)展主導權(quán)。然而��,目前各大國家與地區(qū)在網(wǎng)絡(luò)安全的諸多重大議題上并未達成一致�,而是充滿了不信任。
拜登政府上臺后�����,這種不信任和打壓仍未停止。2021年4月8日�����,美國參議院提出《2021年戰(zhàn)略競爭法案》�,要求拜登政府采取與中國“戰(zhàn)略競爭”的政策,以保護和促進美國“重要利益和價值觀”�,該法案重點是與中國在全球供應鏈和科學技術(shù)上開展全面競爭。美國參議院外交關(guān)系委員會主席發(fā)布聲明表示:這代表了“前所未有”的兩黨合作�,將動員美國所有戰(zhàn)略、經(jīng)濟和外交工具���,抗衡中國日益崛起的全球力量�����。
4月14日�,美國參議院外交委員會表決通過了該法案��。次日���,中國商務部新聞發(fā)言人高峰對此回應表示:全球產(chǎn)業(yè)鏈供應鏈具有公共產(chǎn)品屬性����,維護全球產(chǎn)業(yè)鏈供應鏈安全符合中方利益,符合美方利益����,符合全世界的利益。
而歐盟提出“數(shù)字主權(quán)”概念�,全力維護自身在數(shù)字領(lǐng)域的利益。2020年2月�����,歐盟委員會發(fā)布《塑造歐洲的數(shù)字未來》《歐洲數(shù)據(jù)戰(zhàn)略》和《人工智能白皮書》三份文件���,涵蓋網(wǎng)絡(luò)安全、關(guān)鍵基礎(chǔ)設(shè)施����、數(shù)字教育和單一數(shù)據(jù)市場等各個方面,形成了歐洲新的數(shù)字轉(zhuǎn)型戰(zhàn)略����。7月,數(shù)字轉(zhuǎn)型成為“歐盟下一代復興計劃”的重要組成部分。歐洲議會發(fā)布《歐洲數(shù)字主權(quán)》報告����,從構(gòu)建數(shù)據(jù)框架、促進可信環(huán)境�����、建立競爭和監(jiān)管規(guī)則三個路徑提出了進一步倡議�。12月,歐盟推出“數(shù)字歐洲計劃”�,宣布歐洲將在未來七年內(nèi)提供76億歐元建立和擴展歐洲的數(shù)字能力,加強歐洲的數(shù)字主權(quán)�。
為了給自身在數(shù)字領(lǐng)域的發(fā)展撐起足夠空間,歐盟加強了對世界數(shù)字巨頭的監(jiān)管����。2020年12月,歐盟委員會提交了兩部新數(shù)字法案:《數(shù)字服務法》和《數(shù)字市場法》��,對在歐盟境內(nèi)運行的社交媒體�����、在線市場和其他在線平臺進行監(jiān)管���。歐盟委員會稱:這兩部法案是其制定歐洲數(shù)字十年計劃的核心��。
在歐盟看來�,美國屬于“數(shù)據(jù)保護不完全國家”,歐盟對該國互聯(lián)網(wǎng)巨頭的監(jiān)管是重要的工作����。這些公司一旦被歐盟認定為通過損害競爭對手為自己謀利,可能將被迫出售在歐洲的業(yè)務并支付數(shù)十億美元的罰款�����。此外����,歐盟還公布了為美國微軟和谷歌等公司制定的搜索排名方面的規(guī)則,要求它們增強該項業(yè)務的透明度����。
惠志斌向《新民周刊》記者表示:現(xiàn)有的網(wǎng)絡(luò)空間治理的國際體系存在很多不足����。西方基于政治同盟治理與政治的意識形態(tài)的綁定,實際上在網(wǎng)絡(luò)空間往往是無效的�,有大量的議題超越傳統(tǒng)政治的壁壘而產(chǎn)生�����。同時���,新興力量的崛起,包括發(fā)展中國家在內(nèi)的新興力量希望參與到全球網(wǎng)絡(luò)空間治理中�����,但目前來看����,他們還沒有足夠的力量這樣做。
他提出����,在當前的新形勢下,網(wǎng)絡(luò)安全治理有如下幾個重點議題:
首先是人工智能�,這是未來網(wǎng)絡(luò)空間中,基于智能化算法的話題�����。在經(jīng)濟���、生活����、社會、政治�����、軍事等背景下��,如何出臺對人工智能安全倫理系列的研究����,將共同推動治理方面的工作。
其次是物���,關(guān)鍵基礎(chǔ)設(shè)施的保障����,這是基于智能化的關(guān)鍵基礎(chǔ)設(shè)施�����。目前�����,關(guān)鍵基礎(chǔ)設(shè)施物聯(lián)網(wǎng)的體系面臨巨大的威脅���,我們?nèi)绾瓮ㄟ^全球國家間�、企業(yè)間等各方協(xié)同的治理���,保障人類共同依賴的關(guān)鍵基礎(chǔ)設(shè)施����,是治理中非常嚴峻的問題�。
然后是國際網(wǎng)絡(luò)安全面臨的“兩進兩出”與“長臂管轄”的挑戰(zhàn)。
“兩進”是禁止外國的網(wǎng)絡(luò)安全相關(guān)產(chǎn)品進入本國市場��,同時禁止相關(guān)的外國資本進入���。而隨著智能網(wǎng)絡(luò)空間時代來臨���,只有互聯(lián)網(wǎng)技術(shù)產(chǎn)品在確保安全時相互滲透才更有利于網(wǎng)絡(luò)空間的發(fā)展。
“兩出”是禁止本國的互聯(lián)網(wǎng)核心技術(shù)出口���,禁止本國數(shù)據(jù)出境�。數(shù)據(jù)是最有效的資源,各個國家爭奪資源時���,如何在保障國家��、企業(yè)和個人多個層面的隱私和安全的前提下有效促進數(shù)據(jù)的流動���,而不是一禁了之,這也是重要的議題�����。
以美國為代表的“長臂管轄”模式則希望在他國的數(shù)字世界建立起有利于自身的壁壘�����,改變“數(shù)字地緣”��。
在惠志斌看來�,各國通過各自建立網(wǎng)絡(luò)安全領(lǐng)域的法律法規(guī)體系來與對方博弈,這種難以達成共識的現(xiàn)狀可能需要較長的時間才能改變�。以上的議題,需要以建設(shè)人類命運共同體的理念來逐漸解決����。
而對于跨國互聯(lián)網(wǎng)企業(yè)而言��,如何在各國網(wǎng)絡(luò)安全監(jiān)管政策不一致的情況下合法合規(guī)地經(jīng)營,這是它們面臨的最大挑戰(zhàn)���。
個人信息如何保證安全�?
當下��,用戶在享受數(shù)字化便利的同時��,也要將自身大量的數(shù)據(jù)提供給互聯(lián)網(wǎng)平臺����,擁有大量用戶信息的平臺就擁有了核心競爭優(yōu)勢。在互聯(lián)網(wǎng)發(fā)展早期�����,用戶數(shù)據(jù)僅僅包括瀏覽記錄����、行動軌跡、發(fā)布內(nèi)容等較為分散和籠統(tǒng)的信息�。隨著移動互聯(lián)網(wǎng)的發(fā)展,智能終端的個性化定制服務開始普及,用戶似乎不得不提供更多的數(shù)據(jù)以換取更加智能化的便捷服務����,其中不少是涉及個人網(wǎng)絡(luò)安全的隱私信息。
問題是�����,用戶對讓渡自身的隱私權(quán)益來換取相對個性化的平臺定制服務的這類操作���,是經(jīng)歷規(guī)范的知情同意流程還是實質(zhì)上“被同意”了呢���?
遺憾的是,大多數(shù)用戶的感知都是后者��。例如�����,用戶剛在某電商平臺App購買了一款商品�,幾分鐘后打開短視頻App就收到了同類商品的視頻廣告推送;但是�,用戶從未感覺到自己曾授權(quán)過這兩個App可以收集這方面的信息,并進行數(shù)據(jù)交換�、營銷推送。許多人認為:這實際上是互聯(lián)網(wǎng)企業(yè)擅自收集用戶信息用以謀利的行為,不僅帶給用戶“不安全”的體驗��,更有泄露隱私的風險�����。畢竟�,不是所有人都愿意在刷短視頻時被旁人瞄到自己的購物興趣���。
在國外的實踐中�����,有些互聯(lián)網(wǎng)企業(yè)會為用戶提供個人信息的“儀表盤”設(shè)置界面���。在這個界面里,用戶可以看到企業(yè)要獲取哪些個人信息�����,并自行決定把哪些提供給企業(yè)��、提供多長時間��,隨時可以取消授權(quán)。在惠志斌看來����,這種“儀表盤”在我國的互聯(lián)網(wǎng)企業(yè)運用可能還需要一定的時間。
互聯(lián)網(wǎng)企業(yè)涉嫌侵犯用戶個人信息的行為����,不可能靠其自律而停止。個人信息的安全�����,必須靠立法來保障��。
對于立法保障用戶網(wǎng)絡(luò)安全�����,惠志斌說:在中文里都可以翻譯為“安全”���,但個人用戶希望感覺到的是“safety”�����,而實際上企業(yè)應該保證用戶數(shù)據(jù)的“security”�。“過去評估網(wǎng)絡(luò)安全依靠用戶自己感知的安全系數(shù),立法則可以明確風險����,規(guī)定網(wǎng)絡(luò)安全保障;過去的安全主要取決于用戶是否信任平臺�,而真正的安全其實在于法律和平臺的保護。”
《網(wǎng)絡(luò)安全法》自2017年6月1日起施行�,這是我國在網(wǎng)絡(luò)安全領(lǐng)域的一部基礎(chǔ)法律。2021年6月10日�����,十全國人大常委會第二十九次會議通過了《數(shù)據(jù)安全法》�。這是專門針對數(shù)據(jù)安全領(lǐng)域的法律����,也是國家安全領(lǐng)域的一部重要法律,旨在規(guī)范數(shù)據(jù)處理活動�,保障數(shù)據(jù)安全,促進數(shù)據(jù)開發(fā)利用���,保護個人�、組織的合法權(quán)益�,維護國家主權(quán)�����、安全和發(fā)展利益�����?!稊?shù)據(jù)安全法》將于2021年9月1日起施行���。
同時����,《個人信息保護法》正在立法進程中���,目前已經(jīng)進入草案二次審議稿�����。這對個人信息做出了專門的保護��。
該法草案的《二次審議稿》第五十七條增設(shè)規(guī)定了提供基礎(chǔ)性互聯(lián)網(wǎng)平臺服務����、用戶數(shù)量巨大、業(yè)務類型復雜的個人信息處理者的特定義務����,也就是對用戶俗稱的“互聯(lián)網(wǎng)大廠”提出了新的要求。
例如��,要求互聯(lián)網(wǎng)企業(yè)成立主要由外部成員組成的獨立機構(gòu)����,對個人信息處理活動進行監(jiān)督。這一制度設(shè)定�,強化了外部監(jiān)督力量的介入。立法者認為:由于互聯(lián)網(wǎng)企業(yè)擁有的個人信息具有非常巨大的利用價值��,企業(yè)自身的內(nèi)部控制制度���、數(shù)據(jù)合規(guī)制度,在執(zhí)行過程中����,是否能夠真正落到實處,僅憑內(nèi)部管理還不夠���,需要引入外部力量進行必要的監(jiān)督��。
該條款還規(guī)定:互聯(lián)網(wǎng)平臺應定期發(fā)布個人信息保護社會責任報告���,接受社會監(jiān)督�����。按照這一原則��,個人信息處理不僅僅是平臺與個人信息主體之間的關(guān)系�,更是平臺社會責任的體現(xiàn)�。
從《網(wǎng)絡(luò)安全法》到《數(shù)據(jù)安全法》再到《個人信息保護法》,我國對網(wǎng)絡(luò)安全保護的法律框架正逐漸完善細化����。惠志斌告訴《新民周刊》記者:接下來的一段時間將會是網(wǎng)絡(luò)安全相關(guān)制度制定出臺的密集期���,除了法律�����,還會有與之配套的行政法規(guī)����、部門規(guī)章、地方立法以及行業(yè)標準等��。
“個人用戶在網(wǎng)絡(luò)安全上對企業(yè)的不信任歸根結(jié)底是由于保障制度的不明確���。上述法律法規(guī)等規(guī)范性文件的落地過程中�����,對大眾進行法律的普及和解釋的工作�����,任重道遠����。”惠志斌表示��。
他提出:在法律體系之下�,其實在用戶個人的數(shù)據(jù)安全管理方面����,人們對擁有龐大的用戶信息資源的互聯(lián)網(wǎng)大企業(yè)是不用過于擔心的,因為他們需要確保“數(shù)據(jù)合規(guī)”來建設(shè)自己的核心競爭力��。也就是說,法律法規(guī)相當于明確了紅線���,使得企業(yè)與個人之間的數(shù)據(jù)活動有了可遵循的章法�,這對于規(guī)范整個行業(yè)的安全�����、保護用戶個人信息來說是顯著利好的�����。
來自政府層面的監(jiān)管對于個人和企業(yè)而言當然是必須的��,但并非“一管就靈”的妙藥��。因為在數(shù)據(jù)爆炸的當下����,不可能把所有監(jiān)管都交給政府來做,那樣必然讓政府不堪重負���;互聯(lián)網(wǎng)平臺也要承擔部分類似政府的監(jiān)管責任��。例如����,《個人信息保護法》草案二次審議稿就提出:互聯(lián)網(wǎng)平臺對嚴重違反法律、行政法規(guī)處理個人信息的平臺內(nèi)的產(chǎn)品或者服務提供者����,停止提供服務。這一規(guī)定����,與《電子商務法》中規(guī)定的平臺經(jīng)營者對平臺內(nèi)電子商務經(jīng)營者相關(guān)產(chǎn)品質(zhì)量、知識產(chǎn)權(quán)����、消費者保護的監(jiān)督責任類似。
將來����,網(wǎng)絡(luò)數(shù)據(jù)安全將在用戶、企業(yè)平臺和政府三者的互動中取得動態(tài)平衡�����,逐漸取得最優(yōu)解��。
網(wǎng)絡(luò)安全人才的培養(yǎng)
在“數(shù)字主權(quán)”意識興起�、“數(shù)據(jù)安全”成為熱點話題之外,攻防對抗依然是網(wǎng)絡(luò)安全中非常關(guān)鍵的一部分�����。公安部第三研究所主要從事網(wǎng)絡(luò)安全與智慧警務科研創(chuàng)新與技術(shù)支撐����,專攻網(wǎng)絡(luò)攻防、網(wǎng)絡(luò)偵查�����、技術(shù)偵查����、國產(chǎn)密碼、電子取證�����、等級保護��、大數(shù)據(jù)分析等領(lǐng)域���。該研究所下屬的公安部國家級專業(yè)技術(shù)人員繼續(xù)教育基地(簡稱“教育基地”)副主任黃鎮(zhèn)告訴《新民周刊》記者:當前全球范圍內(nèi)網(wǎng)絡(luò)安全的攻防對抗仍然十分激烈�。
他表示:趨利性增強是近年來網(wǎng)絡(luò)攻擊的一大特點。“以前我們遇到的‘黑客’發(fā)動網(wǎng)絡(luò)攻擊有不少是為了證明自己的技術(shù)水平�,是一種‘炫技’;或者是為了發(fā)泄某種情緒而有所行動��,并不涉及經(jīng)濟利益的訴求�����。但是�����,當前為了經(jīng)濟利益而發(fā)動的網(wǎng)絡(luò)攻擊越來越多�����,而且攻擊者背后存在團伙體系�����,形成了網(wǎng)絡(luò)攻擊的利益鏈���。”
勒索病毒就是這種網(wǎng)絡(luò)攻擊的代表����。感染該病毒的電腦會連接至黑客的服務器,上傳本機信息并下載加密所用的密鑰�,之后將本機所有關(guān)鍵的數(shù)據(jù)文件加密����,讓用戶無法打開。勒索病毒還會在桌面壁紙�、彈窗等位置生成提示,要求用戶交納高額贖金����,才可恢復文件。黑客選擇了比特幣等虛擬貨幣收款方式��,使得其賬戶無法被追蹤����。實際上,交納贖金也并不能保證數(shù)據(jù)文件得到恢復�。
2017年5月12日,一種名為“想哭”的勒索病毒襲擊全球150多個國家和地區(qū)�����,影響領(lǐng)域包括政府部門、醫(yī)療服務�、公共交通、郵政����、通信和汽車制造業(yè)。這是近年來勒索病毒流行的開端���。之后的幾年里�����,各種不同的勒索病毒在全球范圍內(nèi)不時出現(xiàn)�。
不幸感染勒索病毒也并不意味著只能向黑客屈服�����,但此時再尋求破解黑客的加密手段����,難度確實比較大。黃鎮(zhèn)打了一個比方:防勒索病毒就像防止壞人對倉庫大門的控制����。我們在平時就要把門鎖加固���、在門口安裝監(jiān)控和警報等裝置、多加巡視檢查��,并且主動了解壞人最新的攻擊方式���。如果這些工作在之前沒有做好����,就容易讓壞人把我們的門加上他的鎖����。此時���,我們又想進倉庫拿貨物����,又不想把大門以及與大門緊連的貨物破壞�,就很難了。當然����,如果我們之前把同樣的貨物備在別的倉庫里了�����,此時就可以應急�。
實際上�����,不僅是應對勒索病毒���,面臨當前日益復雜的網(wǎng)絡(luò)安全現(xiàn)狀挑戰(zhàn)���,所有組織都有必要增強日常的網(wǎng)絡(luò)防范意識。黃鎮(zhèn)說����,在他所經(jīng)歷的很多網(wǎng)絡(luò)安全攻防實際案例中,用戶就是因為安全防范意識薄弱�����,沒有提前打上安全補丁��,被攻擊者利用�,結(jié)果“中招”�����。“被黑客成功攻擊��,并不一定意味著對方的技術(shù)有多高明����;而很可能是因為我們本可以采取的預防措施沒有做到位�����。”
要落實這樣的防范措施�,就需要專業(yè)的網(wǎng)絡(luò)安全人才�。公安部第三研究所教育基地多年來對來自社會不同機構(gòu)的人員開展網(wǎng)絡(luò)安全技術(shù)培訓,并參與了“網(wǎng)絡(luò)與信息安全管理員”這一職業(yè)的標準制定��。2015年7月�����,新修訂的《中華人民共和國職業(yè)分類大典》公布�,該職業(yè)名列其中,成為受到國家認可的新的職業(yè)分類���,2020年11月�,該職業(yè)技能標準由人力資源社會保障部、公安部頒布�,將面向社會從業(yè)人員開展職業(yè)技能等級認定工作。
教育基地還是中國參加世界技能大賽的“國家隊”選手培訓基地����。2019年8月,在該基地接受培訓的上海交通大學碩士生“雙子星”團隊奪得第45屆世界技能大賽網(wǎng)絡(luò)安全項目的銀牌����。世界技能大賽規(guī)定:除了少數(shù)需要特別豐富經(jīng)驗的項目可以把年齡限制放寬到25歲以外,絕大多數(shù)項目的參賽者年齡都不得超過22歲����。這樣的成績,展現(xiàn)了中國年輕一代在網(wǎng)絡(luò)安全領(lǐng)域的實力���。
黃鎮(zhèn)表示:全球范圍內(nèi)的網(wǎng)絡(luò)安全核心技術(shù)體系是由國外首創(chuàng)的�����,將來無論從軟件還是硬件領(lǐng)域�����,我們有必要在不斷開展科研攻關(guān)的基礎(chǔ)上��,建立中國自己的體系��。
在他看來�����,掌握軟硬件技術(shù)固然是對網(wǎng)絡(luò)安全人員的基礎(chǔ)要求����,但更為重要的是此類人員的守法意識和道德品質(zhì)。“因為在這些人面前���,組織機構(gòu)的核心數(shù)據(jù)���、敏感數(shù)據(jù)幾乎是透明的���,如果他們想要破壞或者泄露這些數(shù)據(jù)��,造成的結(jié)果將是災難性的��。”
除了從業(yè)單位對人員加強法律和道德培訓�����、增強從業(yè)人員的自律外�,黃鎮(zhèn)還建議:人社部將來可以將“網(wǎng)絡(luò)與信息安全管理員”納入“準入類”國家職業(yè)資格目錄。按照相關(guān)規(guī)定����,準入類職業(yè)資格關(guān)系到公共利益或涉及國家安全、公共安全���、人身健康�、生命財產(chǎn)安全���,而網(wǎng)絡(luò)與信息安全管理員正符合這些特點�����。如果納入“準入類”職業(yè)資格��,相關(guān)機構(gòu)就會對資格申請人的生活背景和過往從業(yè)經(jīng)歷等進行審查���,并在其從業(yè)后開展定期的后續(xù)審查����。這樣的保證程序�,對于網(wǎng)絡(luò)安全領(lǐng)域非常關(guān)鍵。
