网络安全事件不断 个人信息保护立法迫在眉睫
中国IDC圈4月11日报道,近十年来,随着互联网和计算机、手机使用的进一步普及,网络安全威胁从有关机构和专家的视线中延伸到普通的网络用户、IT用户。如今,类似蠕虫、网络钓鱼、分布式拒绝攻击等新的网络攻击手段防不胜防,各种安全漏洞层出不穷。
OpenSSL出现严重漏洞事件,只是漫长的网络安全攻防站中的一个插曲。
著名网络信息安全专家、北京邮电大学教授杨义先定义,网络安全典型的表现形式包括:通过网络窃取信息、破坏网络上信息、非授权网络访问和网络服务破坏等。随着网络应用增加,网络安全问题又增加了许多新的变种,其中包括对基础设施的攻击,比如网络中的核心服务器以及路由器、交换机等设备都存在不同程度的安全问题;还有网络应用造成的安全威胁,例如对网络服务的使用不当、不安全的用户账号和口令以及管理上的安全问题。
在法律层面,我国已对互联网安全问题进行了一定的部署。互联网法律专家、中国政法大学传播法中心研究员朱巍向记者介绍,在刑事立法上,我国已经制定了《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》,修订了刑法第285条和第286条,以达到震慑黑客的效果;在民事立法上,全国人大常委会出台了《关于加强网络电子信息保护的决定》,最高人民法院出台了网络侵权司法解释等,加强网络服务提供者的责任;此外,中国互联网协会等自律机构也出台了很多相关自律准则。
在具体的安全问题上,以网络漏洞预防和应对为例,朱巍介绍,我国从三个方面进行了部署:“一是国家层面会发布重大漏洞预警并组织应对;二是从网络服务提供者层面不断自查、更新和提供预警或补丁;三是专业安全软件公司从提升防卫技术层面应对。”
然而,这些措施并不能保障万无一失,类似OpenSSL漏洞事件依然会不断发生。
对此,朱巍认为仍有多项工作亟待加强,以进一步保障互联网信息安全。
“最基本的就是要加强网站商业伦理建设。网站不能过度搜集和保存用户信息,尤其是在用户并不知情的情况下,将用户敏感信息长期存放在商业网站中是极不安全的。前段时间,携程网漏洞门事件就再次说明了这一点。”朱巍提出,即便在大数据时代,网站也不得以大数据分析作为过度采集用户资料的理由。
此外,他认为应保持对黑客打击的高压势态。黑客攻击是造成网络经济不安全因素的罪魁祸首,尽管两高已经出台相关司法解释,不过,打击力度和侦破手段仍需提高。
在立法层面,朱巍强调,应加强个人信息保护立法:“我国目前还没有一部个人数据保护法,这就给随意搜集使用个人信息的行为开了绿灯,也给了黑客生存的空间。在大数据时代中,数据的安全和数据的价值同样重要,如果有所偏废,将得不偿失。”