滕達 朱娜斐 王思雨 何涇沙

摘? ?要：《中華人民共和國網(wǎng)絡(luò)安全法》（簡稱《網(wǎng)絡(luò)安全法》）的頒布與實施，在網(wǎng)絡(luò)空間安全領(lǐng)域引起了廣泛的關(guān)注與討論。這部法律的意義在于不僅填補了我國司法空白，還為網(wǎng)絡(luò)信息安全從業(yè)人員和技術(shù)領(lǐng)域提出了技術(shù)方面的要求。因此，現(xiàn)有網(wǎng)絡(luò)安全技術(shù)對《網(wǎng)絡(luò)安全法》要求的滿足程度及支撐作用，是網(wǎng)絡(luò)安全從業(yè)人員在進行技術(shù)部署時需要考慮的重要方面，也是這部法律得以真正實施的關(guān)鍵所在?，F(xiàn)有的研究主要集中在司法領(lǐng)域討論這部法律的意義和缺陷，而缺少在技術(shù)實現(xiàn)領(lǐng)域?qū)@部法律的技術(shù)支撐和分析，導(dǎo)致可能沒有使用相關(guān)技術(shù)真正實現(xiàn)法律的要求。為了從技術(shù)實現(xiàn)角度更好地理解法律的要求，文章從現(xiàn)有網(wǎng)絡(luò)安全技術(shù)角度出發(fā)，對《網(wǎng)絡(luò)安全法》的具體實現(xiàn)細節(jié)進行解析，討論現(xiàn)有技術(shù)對其的支撐現(xiàn)況，找出技術(shù)領(lǐng)域目前還應(yīng)進一步完善和研究的內(nèi)容。

關(guān)鍵詞：網(wǎng)絡(luò)安全法;信息安全技術(shù);國家標準;法律實現(xiàn)

中圖分類號：TP309? ? ? ? ? 文獻標識碼：A

Analysis of current technology support to the Cybersecurity Law

Teng Da1， Zhu Nafei1，2， Wang Siyu1， He Jingsha1，2

（1. Faculty of Information Technology， Beijing University of Technology， Beijing 100124;

2. Beijing Engineering Research Center for IoT Software and Systems， Beijing 100124）

Abstract： The promulgation and implementation of the Cybersecurity Law of the People's Republic of China has aroused wide concern and discussion. The significance of this law is not only to fill the judicial gap， but also to put forward technical constraints for network information security practitioners and fields. How the existing network security technology supports the requirements of the "Cybersecurity Law of the People's Republic of China" is an important aspect that security practitioners need to consider when implementing the technology deployment， and is also the key to the implementation of this law. However， existing researches mainly discuss the significance and defects of this law in the field of justice， and lack of comparison and analysis of this law in the field of technology implementation， which leads to the possibility that it cannot be strictly used to achieve the binding effect of technology. In order to better realize the requirements of the law in the field of technology， we analyze the specific implementation details of the law from the perspective of existing network security technology， and discuss the technical support status. We identify the parts of the technical field that should be further improved and studied at present.

Key words： cybersecurity law; information security technology; national standards; legal implementation

1 引言

互聯(lián)網(wǎng)與人們的聯(lián)系日益緊密，小到娛樂、購物、社交、出行，大到政治、國防、經(jīng)濟，網(wǎng)絡(luò)已滲入了人類社會的方方面面。目前，網(wǎng)絡(luò)信息安全成為人們不得不考慮和重視的新課題，各國都積極地在網(wǎng)絡(luò)安全立法方面做出了部署。我國頒布的《網(wǎng)絡(luò)安全法》正式生效，這部法律如何約束和監(jiān)管網(wǎng)絡(luò)行為？現(xiàn)有的網(wǎng)絡(luò)安全技術(shù)又是否能實現(xiàn)和滿足法律的要求？這關(guān)系到這部法律在實踐中的有效性和可用性，對法律的實施和未來網(wǎng)絡(luò)安全法律體系的構(gòu)建具有重要的意義。

2背景

2.1 網(wǎng)絡(luò)安全現(xiàn)狀

隨著大數(shù)據(jù)時代的到來，體量龐大而內(nèi)容繁復(fù)的數(shù)據(jù)，給網(wǎng)絡(luò)與信息安全帶來了前所未有的挑戰(zhàn)[1]。近年來，全球范圍內(nèi)網(wǎng)絡(luò)安全事件越來越多，發(fā)生頻率也越來越高，給社會造成的經(jīng)濟損失越來越大。2017年5月，WannaCry勒索病毒的爆發(fā)，使得100多個國家和地區(qū)超過10萬臺電腦遭到了攻擊，造成的經(jīng)濟損失達80億美元，影響到了全球范圍內(nèi)的金融、能源、醫(yī)療等行業(yè)。中國部分Windows操作系統(tǒng)用戶遭受感染。校園網(wǎng)首當其沖，以致大量科研數(shù)據(jù)丟失;在工業(yè)界，部分大型企業(yè)的應(yīng)用系統(tǒng)和數(shù)據(jù)庫文件被鎖定，無法正常使用。在社會層面，惡意攻擊波及范圍廣，危害性大;在個體層面，信息泄露侵犯了個人的隱私權(quán)。2018年2月，陸續(xù)有用戶發(fā)現(xiàn)個人的B站（中國知名的視頻彈幕網(wǎng)站“嗶哩嗶哩”，簡稱B站）賬號密碼，未經(jīng)授權(quán)就可登錄快視頻APP（360公司旗下的一款視頻應(yīng)用軟件），疑似B站用戶的注冊信息被竊取。2018年3月，蘋果公司的技術(shù)人員因與客戶發(fā)生口角，擅自訪問了用戶的Icloud，導(dǎo)致用戶個人信息泄露。同年3月底，劍橋分析公司被指非法獲取逾5000萬Facebook用戶數(shù)據(jù)。對此，F(xiàn)acebook公司表示將采取補救措施，限制開發(fā)者的數(shù)據(jù)訪問權(quán)限。

《網(wǎng)絡(luò)安全法》是我國第一部規(guī)范網(wǎng)絡(luò)空間安全方面的基礎(chǔ)性法律。從立法到實施，充分體現(xiàn)了我國對網(wǎng)絡(luò)信息安全以及個人信息安全的重視程度。近年來，互聯(lián)網(wǎng)產(chǎn)業(yè)的發(fā)展，使得各行各業(yè)逐漸形成了相對成熟的網(wǎng)絡(luò)安全技術(shù)與機制。隨著《網(wǎng)絡(luò)安全法》的頒布實施，這部基礎(chǔ)性法律如何落地生根引起了社會的廣泛關(guān)注。相關(guān)行業(yè)的參與者，要對《網(wǎng)絡(luò)安全法》的具體要求進行技術(shù)上的解析，進而在對系統(tǒng)進行更新和研發(fā)時，尋求滿足要求的方案進行實施?，F(xiàn)有的技術(shù)與機制如何發(fā)揮其對法律的支撐作用，是社會所關(guān)心的話題。

在對現(xiàn)有網(wǎng)絡(luò)安全技術(shù)與法律要求進行對應(yīng)時發(fā)現(xiàn)。一方面，現(xiàn)有的網(wǎng)絡(luò)安全技術(shù)還存在短板，對于部分法律要求并不能很好地用技術(shù)手段進行約束。例如，在保障用戶的知情權(quán)、拒絕權(quán)、遺忘權(quán)、更正權(quán)方面，現(xiàn)有的技術(shù)實現(xiàn)手段對用戶權(quán)益的保證遠遠不夠。另一方面，法律規(guī)定與現(xiàn)有的技術(shù)實現(xiàn)之間還存在空隙，部分由于法律條文的解析范圍較寬，對技術(shù)的要求還不太明確。

對于網(wǎng)絡(luò)環(huán)境的安全和個人信息安全來說，在技術(shù)支持上和法律法規(guī)方面未來都還有很大的發(fā)展空間。用技術(shù)來支撐法律實施，用法律來引導(dǎo)技術(shù)發(fā)展，《網(wǎng)絡(luò)安全法》將是未來中國網(wǎng)絡(luò)安全體系的開端，在不遠的未來將會有更加全面與完善的法律加入進來。

參考文獻

[1] 齊愛民. 論大數(shù)據(jù)時代數(shù)據(jù)安全法律綜合保護的完善—以《網(wǎng)絡(luò)安全法》為視角[J]. 東北師大學(xué)報（哲學(xué)）， 2017（4）：108-114.

[2] 洪延青. 評《網(wǎng)絡(luò)安全法》對數(shù)據(jù)安全保護之得與失[J]. 信息安全與通信保密， 2017（1）：66-73.

[3] 魯傳穎. 從全球網(wǎng)絡(luò)安全的角度看《網(wǎng)絡(luò)安全法》之意義[J]. 中國防偽報道， 2016（12）：43-43.

[4] H. D. Paul， P. Vagelis. The new General Data Protection Regulation： Still a sound system for the protection of individuals？[J]. Computer Law & Security Review， 2016：S0267364916300346.

[5] 丁道勤. "上天入地"，還是"度權(quán)量利"—《網(wǎng)絡(luò)安全法》（草案）述評[J]. 中國礦業(yè)大學(xué)學(xué)報（社會科學(xué)版）， 2016， 18（3）：34-41.

[6] 黃道麗. 從《網(wǎng)絡(luò)安全法（草案二次審議稿）》看安全漏洞的法律規(guī)制[J]. 中國信息安全， 2016（7）：57-58.

[7] 潘柱廷. 《網(wǎng)絡(luò)安全法》三觀之總體博弈觀[J]. 中國信息安全， 2017（6）：83-87.

[8] 徐亞文， 高一飛. 試析人權(quán)語境下的公民網(wǎng)絡(luò)信息安全保護—以我國《網(wǎng)絡(luò)安全法》頒布為背景[J]. 廣州大學(xué)學(xué)報（社會科學(xué)版）， 2017， 16（5）：26-33.

[9] 許長帥. 《網(wǎng)絡(luò)安全法》的適用： 網(wǎng)絡(luò)運營者及其主管部門的確定[J]. 通信管理與技術(shù)， 2017（5）：19-23.

[10] 黃道麗， 原浩. 《網(wǎng)絡(luò)安全法》行政執(zhí)法的若干問題分析[J]. 中國信息安全， 2017（9）：32-36.

[11] 尹麗波. 網(wǎng)絡(luò)安全法將促進國家關(guān)鍵信息基礎(chǔ)設(shè)施保護新局面[J]. 中國信息安全， 2015（8）：110-112.

[12] 劉山泉. 德國關(guān)鍵信息基礎(chǔ)設(shè)施保護制度及其對我國《網(wǎng)絡(luò)安全法》的啟示[J]. 信息安全與通信保密， 2015（9）：86-90.

[13] 葛芳菲. 論網(wǎng)絡(luò)安全技術(shù)[J]. 決策與信息旬刊， 2012（2）：77-78.

[14] 王于丁， 楊家海， 徐聰， 等. 云計算訪問控制技術(shù)研究綜述[J]. 軟件學(xué)報， 2015， 26（5）：1129-1150.

[15] 周長春， 田曉麗， 張寧， 等. 云計算中身份認證技術(shù)研究[J]. 計算機科學(xué)， 2016， 43（s1）.339-341+369.

[16] 肖亮， 李強達， 劉金亮， 等. 云存儲安全技術(shù)研究進展綜述[J]. 數(shù)據(jù)采集與處理， 2016， 31（3）：464-472.

[17] ZH. Guo， P. Zhu， Z. Xu. Research of information security technology application in enterprises[C]// International Conference on Computer Research & Development. 2011.

[18] CY. Wang， Z. Zhang， XH. Song. Research on the Information Security Technology of University Campus Network[M]// Advances in Computer Science and Information Engineering. 2012.

[19] QL. Sun. Information under the Network Environment Using Computer Information Security Technology[C]. International Conference on Intelligent Transportation. IEEE， 2016.

[20] FX. Zhang， WM. Zhang. The application and study of information security technology based on general software platform[C]. International Conference on Electrical & Control Engineering. 2011.

[21] YJ. Peng， ZL. Zou， Xi. Guo， et al. Research on Architecture and Key Technology of Information Security Emergency Response[C]. International Conference on Information Engineering & Computer Science. IEEE， 2009.

[22] 劉品新， 張藝貞. 《網(wǎng)絡(luò)安全法》立法的三原則[J]. 中國信息安全， 2014（9）：66-68.

[23] 閔婉. 《網(wǎng)絡(luò)安全法》中的個人信息保護規(guī)則評析[J]. 法制博覽， 2018（2）：69-70.

[24] 十三屆全國人大常委會立法規(guī)劃[EB/OL]. http：//www.npc.gov.cn/npc/xinwen/201809/10/content_2061041.htm

作者簡介：

滕達，（1995-），女，漢族，河北滄州人，北京工業(yè)大學(xué)，碩士;主要研究方向和關(guān)注領(lǐng)域：隱私保護、訪問控制，信息安全。

朱娜斐，（1981-），女，漢族，河南平頂山人，北京工業(yè)大學(xué)，博士，北京工業(yè)大學(xué)，講師;主要研究方向和關(guān)注領(lǐng)域：網(wǎng)絡(luò)安全、隱私保護、訪問控制。

王思雨（1994-），女，漢族，北京人，北京工業(yè)大學(xué)，碩士;主要研究方向和關(guān)注領(lǐng)域：信息安全、訪問控制、隱私保護。

何涇沙，（1961-），男，漢族，陜西咸陽人，美國馬里蘭大學(xué)，博士，北京工業(yè)大學(xué)，教授;主要研究方向和關(guān)注領(lǐng)域：網(wǎng)絡(luò)安全、隱私保護、電子取證、區(qū)塊鏈技術(shù)。