大数据、个人征信、物联网、移动金融……越来越多的新兴业态正在互联网上发酵,但相应的制度规制却并未完善,尤其是处于顶层设计的法律体系。
十八届四中全会《决定》提出加强互联网领域立法。接近立法决策层人士告诉21世纪经济报道记者,互联网立法相关规划亦已具雏形。但“互联网+”战略的提出,使互联网立法面临向“互联网+”立法前瞻。
21世纪经济报道记者采访业内人士及专家发现,人脸识别、大数据、移动金融等新兴“互联网+”领域的立法,与互联网立法有着共同的面向,即保护网络安全和个人信息。
互联网立法规划:5部法律和2部法规
“十八届四中全会《决定》中明确提出加强互联网领域立法,那么在哪些领域进行立法?我觉得主要体现在完善网络信息服务、信息安全、网络管理和依法规范网络行为等方面。”一位接近立法决策层人士告诉21世纪经济报道记者。
早在几年前,相关立法决策部门曾提出了一份互联网立法规划,业内普遍认为应包括5部法律和2部行政法规。5部法律为网络安全法、电子商务法、电信法、互联网信息服务法和个人信息保护法,2部法规为电子政务条例和未成年人网络保护条例。
目前,多部法律法规已进入立法程序,网络安全法被列入十二届人大五年立法规划,电子商务法已完成4部立法大纲。《中国青年报》2014年11月报道,未成年人网络保护条例也已被列入国务院2014年立法计划。
“网络安全立法是国家安全体系的重要组成部分,是针对网络安全全产业链的立法,其对象可能包括网络服务提供商、互联网接入服务提供商、互联网信息服务提供商、设备制造商、核心技术芯片提供商等。”中国信息通信研究院互联网法律研究中心主任李海英说。
而对个人信息保护的规定已散见于200多部法律、法规、地方性法规之中。
2000年和2012年,全国人大常委会分别通过了《关于维护互联网安全的决定》和《关于加强网络信息保护的决定》,这两部法律性质的文件对网络安全和个人信息保护作出了顶层设计。
“但法律规定过于抽象,比如《关于加强网络信息保护的决定》中首次提出了对个人信息搜集、使用的‘合法性、正当性和必要性’三个原则,可是却没有任何下位法对其有明确的具体化。”中国政法大学传播法研究中心研究员朱巍认为。
“电子签名”不可抵赖
《21世纪》:随着人脸识别的应用,远程开户如果成为现实,移动互联网金融将对传统银行业带来很大冲击,但也存在无法回避的安全问题,你如何看待?
季小杰(中国金融认证中心总经理):基于生物特征的身份识别技术,存在一旦被盗用,将无法吊销的问题。生物识别技术具有使用便捷的优点,但是也存在两个问题:一是人脸识别、指纹识别等技术都无法达到100%的准确率;二是人的生物特征是不能改变的,但是泄露生物特征的途径有很多,一旦泄露被伪造后将无法吊销。导致目前仅依赖生物识别技术进行身份认证还不适用于大范围的金融业务。
《21世纪》:今年是《电子签名法》施行10周年,电子签名在金融领域有哪些应用?
季小杰:电子签名在金融领域的应用十分广泛,就拿网上银行来说,目前大部分银行都是采取电子签名,也就是我们常说的U盾的方式来认证用户身份及保障用户的网上操作安全。近两年,由于互联网金融的快速发展,电子签名在P2P等互联网金融企业也有大量应用。
电子签名具有机密性、完整性、鉴别与授权、不可抵赖性,还广泛应用在电子政务、电子商务、网上招投标等领域。可以说,无论哪个行业,只要在互联网上进行信息交流和商务活动,那么电子签名都可以作为可靠身份证明的有效手段,解决网络信任问题。
《电子签名法》的实施,解决了电子发票、电子合同等电子交易的完整性、真实性和抗抵赖性。对APP进行电子签名,还能保障它的安全性和可追溯性。
我认为,在金融领域,远程开户、移动营销等新业务将是电子签名新的应用方向;在非金融领域,随着“互联网+”理念的提出以及我国网络基础设施的加快建设,更多的行业、企业将更加重视电子签名的使用。此外,在签名设备上,由于移动互联网的发展,无线签名设备将会是未来的发展趋势。
隐私权保护必不可少
《21世纪》:物联网是否面临与互联网一样的个人隐私保护问题?
李欲晓(北京邮电大学互联网治理与法律研究中心主任、教授):通过RFID(射频识别技术)侵犯个人隐私是物联网的一个重要法律问题,RFID系统即射频识别系统,它由电子标签、读写器、天线和计算机系统几个部分组成,利用无线射频方式在读写器和电子标签之间进行非接触双向数据传输,以达到目标识别和数据交换的目的。
其对个人隐私的威胁主要基于: 第一,电子标签本身存在较大隐私风险。电子标签的信息存储容量较大,且具有较高的数据处理效率,这就使人们把更多信息存储在标签中变为可能。然而,将更多的信息集中在一个嵌有电子标签的设备上,使人们可以同时用一个设备购物、上班、停车、加油、看病、上学、吃饭等,将导致各种信息(包括隐私信息)过于集中,一旦泄露,个人隐私将可能被和盘托出。
第二,电子标签中的隐私信息可被第三方读写器非法读取,不法分子也可通过RFID技术对个人进行监控和跟踪,由于目前RFID安全机制尚不够完善,不法分子完全可以通过第三方读写器直接与标签进行通信,读取、修改或删除其中隐私信息。同时,不法分子还可以通过在多处设置读写器,对电子标签携带者的行踪轨迹和位置进行记录,以实现监视跟踪的目的。
《21世纪》:《个人信息保护法》在我国呼吁多年,但短期内仍无出台迹象,《网络安全法》也被部分立法系统人士认为是一部相对抽象、原则的法律,你认为有无必要出台一部针对RFID的专门的法律法规?
李欲晓:RFID技术是物联网的关键核心技术,它事关物联网中目标识别和数据采集。目前我国并没有强制性的RFID安全标准,也没有相应的RFID法律规范。也就是说,只要条件允许,任何人可以在任何时间、任何地点,对任何电子标签进行读取。而这将对个人隐私和信息安全带来严重威胁。
我认为有必要出台一部专项的RFID法规。在该法规中,应至少包含以下内容:明确RFID设备生产和服务企业的准入门槛;明确电子标签和读写器的使用规范;要求企业对收集到的数据进行加密,并将数据加密作为一项最基本要求;明确个人的权利,包括有权要对电子标签中的内容进行查询、修改、删除操作,有权对标签进行销毁,有权获知电子标签被读取情况;建立认证制度,对RFID相关设备进行认证,确保其安全性;明确滥用、非法使用RFID技术所应承担的法律后果等。
“大数据是未来新石油”
《21世纪》:尽管互联网在国内兴起已几十年,但大数据直到近年才开始市场化运用,应该如何看待大数据的属性和价值?
李海英(中国信息通信研究院互联网法律研究中心主任):首先,数据具有资产性,需要保护数据背后的利益方,包括企业利益、公民个人利益。某种意义上说,这也是在保护国家利益,因为整个数据所构成的公共资源是一个国家信息资源的重要组成部分。
另外,数据也是可使用的。为了促进发展,应该破除企业之间使用数据的不合理壁垒,这要求法律要不断完善。当然,对数据的使用也是有限制的,要符合目的,也就是要有一定的原则。
《21世纪》:你认为大数据产业对法律带来了哪些冲击?
李海英:我认为冲击主要体现在两个方面,一个是网络安全,一个是个人隐私保护。一家国际咨询公司近期作出的第三方报告提出了管理全球数据风险的问题,这个报告对全球47个国家进行了调查,发现其中94%的国家都对数据跨境流动进行了限制。
建立全方位的安全审查制度,是网络安全立法重要的关注点。我认为其内容应包括针对主体的安全审查、针对产品的安全审查、配合政府采购制度的安全审查等。
《21世纪》:最近一段时间,在网络安全的其他领域,比如硬件制造业,已经有声音表示出对国家安全和行业发展之间矛盾的担忧,你如何看待这个问题?
李海英:信息资源日益成为重要的生产要素,成为国家竞争力的重要标志,大数据可以驱动整个社会的创新,释放整个经济发展的活力。我们从国家层面已经对信息资源有了一个非常高的认识。为了促进发展,应该鼓励数据尤其是政府数据的全面开放,从2009年开始,全球很多国家都在开展数据政府开放运动,有些国家已经制定了相关立法。
但另一方面,我们还看到对信息资源和网络安全管控的趋势,这需要在立法中进行平衡。数据的价值可以说是未来的新石油,各国都在加强对信息资源的控制和争夺,这提出一个问题,在全球化时代,是推进跨境数据资源共享,还是进行跨境数据流动的限制?
立法当中,还要平衡数据使用和隐私保护。在获取数据时,过去我们的个人信息保护立法都是以告知为原则。但在大数据时代,这种告知很难实现,因为数据分析者可能在他使用数据以前,都很难知道他要用这些数据做什么,他自己也不一定知道会产生什么结果。
大数据还会在其他方面给法律带来冲击,比如数据的权属确定、数据价值怎样衡量、会不会产生数据垄断等。
|