2019年7月29日,由中國電子學(xué)會、四川省經(jīng)濟(jì)和信息化廳、四川省互聯(lián)網(wǎng)信息辦公室、四川省科學(xué)技術(shù)協(xié)會、四川省貿(mào)促會共同主辦的第四屆中國網(wǎng)絡(luò)與信息安全大會在成都隆重召開。
深圳法大大網(wǎng)絡(luò)科技有限公司高級副總裁兼CTO蘇紅超在大會現(xiàn)場發(fā)表了《信息安全與法律科技的融合與創(chuàng)新》的演講,以下是現(xiàn)場演講實(shí)錄。
國內(nèi)外信息安全監(jiān)管發(fā)展與合規(guī)解讀
各位嘉賓、專家早上好,我今天分享的主題是《信息安全與法律科技的融合與創(chuàng)新》,主要是商用環(huán)境下信息安全與法律科技的融合實(shí)踐。
首先我會給大家分享一下國內(nèi)外對于信息安全監(jiān)管的發(fā)展情況與合規(guī)解讀,談一些心得體會。
作為電子合同領(lǐng)域的公司,我們對于企業(yè)及個(gè)人的隱私數(shù)據(jù)是非常關(guān)注的,信息安全也是我們關(guān)注的重點(diǎn)。我國在信息安全的法律法規(guī)方面,也呈現(xiàn)了多維度立體化的特點(diǎn)??偨Y(jié)起來有這么幾條:
一是依法,這里說的主要是我們的《網(wǎng)絡(luò)安全法》;
二是制度,這個(gè)制度主要是我們等級保護(hù)制度,并且在今年5月份頒布最新的《網(wǎng)絡(luò)安全等級保護(hù)制度2.0標(biāo)準(zhǔn)》;
三是規(guī)范,我們國家對于個(gè)人信息安全保護(hù)雖然還屬于立法推進(jìn)的過程當(dāng)中,但已經(jīng)形成了一定的安全規(guī)范。
各位對網(wǎng)絡(luò)安全等級保護(hù)制度就比較熟悉了,作為一家商業(yè)運(yùn)作的互聯(lián)網(wǎng)公司,我們認(rèn)為等保2.0與1.0相比,最大的提升有兩點(diǎn):
第一是它把個(gè)人信息納入到等保的約束范圍內(nèi),第二是信息保障體系由之前的被動防御轉(zhuǎn)變成了全方位的主動防御。
國內(nèi)對于信息安全相關(guān)的法律法規(guī)其實(shí)是比較健全,也是立體全方位的,整體趨勢更是日趨嚴(yán)格,這和國際上對于企業(yè)信息及個(gè)人隱私保護(hù)方面的立法方向也是一致的。
△國內(nèi)信息安全相關(guān)法律法規(guī)
我們的電子合同業(yè)務(wù)涉及到國內(nèi)和海外的一些業(yè)務(wù),下面我跟大家分享一下對于海外信息安全法律和政策法規(guī)的解讀。
歐盟GDPR是在2018年正式發(fā)布的,GDPR可以說是全世界對于個(gè)人信息保護(hù)最為嚴(yán)格的法律法規(guī)??偨Y(jié)下來,其核心是三點(diǎn):
第一是使用范圍非常廣,無論是通過屬地管轄和屬人管轄,基本上都把涉及個(gè)人的方方面面都包括在內(nèi)。
第二是遵從數(shù)據(jù)的基本原則,這個(gè)是非常嚴(yán)格的,無論是從數(shù)據(jù)收集,還是數(shù)據(jù)存儲和數(shù)據(jù)使用的方方面面,GDPR都做了約束和規(guī)定。
GDPR的核心是個(gè)人隱私數(shù)據(jù)保護(hù),所以對于用戶主體權(quán)益的保護(hù)是非常非常大的,無論是對個(gè)體的知情權(quán)、數(shù)據(jù)管理權(quán)限及數(shù)據(jù)權(quán)限處置的個(gè)人意愿都做了嚴(yán)格的管理。
在美國,在國家整體層面上來看,它不像歐盟地區(qū)一樣,有統(tǒng)一的法律法規(guī)來保護(hù)個(gè)人信息安全,它的特點(diǎn)是分行業(yè)、分散立法來進(jìn)行一些政策法規(guī)的制定,比如說在金融、醫(yī)療、教育等領(lǐng)域都制定了一些相關(guān)的個(gè)人隱私保護(hù)條例。
美國還有一個(gè)特點(diǎn)就是州立法,作為一個(gè)聯(lián)邦制的國家,美國每個(gè)州都有自己的一些獨(dú)立立法和司法權(quán)限,比如加州就單獨(dú)制定了CCPA個(gè)人隱私保護(hù)條例。
還有一個(gè)從全球范圍來看比較典型的國家就是日本。日本更多是借鑒和模仿西方國家的做法,也比較早對個(gè)人信息保護(hù)進(jìn)行立法,它的特點(diǎn)是3年更新一次,更新的依據(jù)是什么呢?剛才提到它更多的是借鑒歐美個(gè)人隱私保護(hù)的條例,日本會在每三年修訂法案時(shí),將歐美最新的立法動態(tài)和外部環(huán)境的發(fā)展情況納入進(jìn)去。
其實(shí)日本和新加坡、美國一樣,是區(qū)塊鏈發(fā)展非常迅速的國家,他們在最近的一次修訂計(jì)劃中,也會把區(qū)塊鏈相關(guān)的信息保護(hù)政策納入到個(gè)人信息保護(hù)法中。
△國內(nèi)外信息安全立法對比
法律科技發(fā)展與信息安全關(guān)注點(diǎn)
整體對比來看,包括我們國家在內(nèi)的每個(gè)國家和地區(qū)都有一些鮮明的特點(diǎn)。我國在個(gè)人信息保護(hù)立法方面,相關(guān)部門也在持續(xù)推進(jìn)。對于法律科技這個(gè)領(lǐng)域和信息安全之間的一些融合,下面我給大家簡單地匯報(bào)一下。
法律科技是隨著整個(gè)互聯(lián)網(wǎng)的發(fā)展而不斷發(fā)展的,起步也是在2000年左右。隨著我們整個(gè)互聯(lián)網(wǎng)的蓬勃發(fā)展,法律科技這個(gè)概念被正式提出來。隨著我國電商環(huán)境的不斷發(fā)展,也出現(xiàn)了針對法律行業(yè)、法律科技方面的電商熱潮,他們更多的是提供一些法律服務(wù)。
2014年是一個(gè)重要的分水嶺,法律科技布局初顯,國家相關(guān)部門以及各個(gè)互聯(lián)網(wǎng)巨頭入場,投資基金在這個(gè)時(shí)候不斷涌入。而法律科技在海外,也差不多是在2013、2014年蓬勃發(fā)展起來的。
法律科技目前的最新發(fā)展趨勢,第一個(gè)就是大數(shù)據(jù)和AI,通過AI、機(jī)器學(xué)習(xí)、深度學(xué)習(xí),可以快速地把一些法律文本,尤其是合同范本進(jìn)行智能糾錯(cuò),甚至是智能起草、智能仲裁。第二個(gè)就是區(qū)塊鏈,區(qū)塊鏈的特點(diǎn)就是公正公開透明,而且是可以追溯源頭的,這個(gè)恰恰是我們電子證據(jù)可以利用的重要技術(shù)手段,所以區(qū)塊鏈在電子數(shù)據(jù)的存證方面有天然的優(yōu)勢。
這里列舉了一下整個(gè)法律科技的各種應(yīng)用,包括智慧法庭、智能法院,以及我們所從事的電子簽章、電子合同。作為法律科技從業(yè)者,最關(guān)注的還是信息安全。信息安全有三個(gè)重點(diǎn):一是機(jī)密性,二是完整性,三是可用性。我們通過多維度、多層次的立體防護(hù),保證法律科技領(lǐng)域的信息安全。
△國內(nèi)法律科技應(yīng)用領(lǐng)域列舉
法大大信息安全實(shí)踐與創(chuàng)新
下面給大家匯報(bào)一下我們法大大在整個(gè)法律科技領(lǐng)域以及信息安全領(lǐng)域的最佳實(shí)踐。
法大大提供了電子簽章和電子合同的整體解決方案,我們會通過PAAS中臺把一些底層能力集成起來,包括我們的密碼技術(shù)、區(qū)塊鏈技術(shù)、機(jī)器學(xué)習(xí)技術(shù),形成一個(gè)多維度PAAS平臺。
再往上是我們公司產(chǎn)品的應(yīng)用層,在這個(gè)應(yīng)用層上我們會提供多種模式,比如SAAS、公有云、混合云,包括本地部署的SDK模式。
第三個(gè)就是我們給企業(yè)提供的垂直行業(yè)解決方案,包括傳統(tǒng)金融、地產(chǎn)、游戲等等。當(dāng)然物聯(lián)網(wǎng)我們也會涉及,我們在簽署電子合同時(shí)的某些功能,像身份認(rèn)證其實(shí)就會借助物聯(lián)網(wǎng)、5G技術(shù)的賦能。
右邊兩個(gè)部分,一個(gè)是大數(shù)據(jù)中心,一個(gè)是AI處理中心,它們是兩個(gè)是相輔相成的。對于一些法律文本,我們可以對其做深度脫敏之后進(jìn)行聚合處理,并且通過機(jī)器學(xué)習(xí)使得我們的工作效率進(jìn)一步提升。
△電子簽章整體解決方案
整體來說我們會涵蓋合同的整個(gè)生命周期,包括合同起草、合同簽署,在合同產(chǎn)生糾紛之后我們可以一鍵發(fā)起網(wǎng)絡(luò)仲裁。
合同是非常機(jī)密的,通過合同來連接了企業(yè)和個(gè)人,涉及到相關(guān)方的隱私信息,針對這一點(diǎn),我們通過六個(gè)維度,把整個(gè)信息安全體系管理起來。
剛剛王小云院士也提到我們國家頒布了《電子簽名法》,它涉及到了企業(yè)和個(gè)人的認(rèn)證,對簽署雙方或者多方的身份要做嚴(yán)格的實(shí)名認(rèn)證。后面我會展開講一下,如何通過數(shù)字證書技術(shù)、密碼學(xué)習(xí)技術(shù)來確認(rèn)簽約主體的合法性和有效性。
另一個(gè)重點(diǎn)就是意愿簽署,合同最關(guān)鍵的是確保簽署各方意愿,現(xiàn)在有很多不合規(guī)的平臺,消費(fèi)者在上面可能莫名其妙地就簽署合同,進(jìn)行了消費(fèi)貸。其實(shí)這是非常不合規(guī)的,其中的隱患也是非常巨大的。
我們通過這樣的一個(gè)流程,會不斷地優(yōu)化我們在法律合規(guī)性,以及個(gè)人隱私保護(hù)上的工作,通過對標(biāo)分析、差距評估、合規(guī)方案的選定,最終不斷整改推動我們整個(gè)信息安全水平的提升。
當(dāng)然這個(gè)流程我們是會不斷地演進(jìn),而非把它固定下來的,我們會隨時(shí)根據(jù)外部環(huán)境,以及實(shí)際的演進(jìn)情況往前推進(jìn)。在這個(gè)過程中,我們也得到了很多信息安全相關(guān)的資質(zhì)認(rèn)定。
電子合同簽署技術(shù)要求,概括來說就是3W,我們會對文件內(nèi)容、簽約主體和簽約時(shí)間,分別通過數(shù)字簽名,數(shù)字證書和可信時(shí)間戳來進(jìn)行運(yùn)算,最終植入到電子合同中,電子合同最終承載的實(shí)體在我們國內(nèi)更多使用OFD格式,整個(gè)國際上通用的是PDF,我們會把這些數(shù)據(jù)格式寫入到整個(gè)電子合同中去。
△安全電子合同的技術(shù)要求
數(shù)字簽名、數(shù)字證書、可信時(shí)間戳是大家比較關(guān)注的三個(gè)點(diǎn),數(shù)字證書更多的是鑒別企業(yè)及個(gè)人的身份,可信時(shí)間戳則是合同簽署時(shí)間防抵賴的一種措施。
證書安全,這里有幾點(diǎn)是專家們比較熟悉的。我們通過一些密碼學(xué)算法上的支撐,對手機(jī)盾等硬件進(jìn)行物理保護(hù),在云端我們也會通過硬件設(shè)施來保證這些證書的安全。
關(guān)于文件安全,因?yàn)殡娮雍贤欠浅C舾械碾娮游募?,為此我們通過自己獨(dú)有的數(shù)據(jù)文件切片技術(shù),將原始文件分割后儲存到多個(gè)公有云及私有云上,進(jìn)行分布式的部署,這樣即便是有不法分子攻擊這些公有云,他獲取到的也只是文件碎片,而無法擁有電子合同的完整文本。
文印安全對國有大型企業(yè)、銀行是比較有作用的,我們通過自研的防偽墨水、防偽打印機(jī),以及防偽鑒證儀來保證紙質(zhì)合同不被篡改、可跟蹤、可溯源。
這個(gè)是電子證據(jù)保全,我們更多的與互聯(lián)網(wǎng)法院及仲裁委合作,將包括簽證、電子合同文件本身以及合同相關(guān)行為的哈希值保存到聯(lián)盟區(qū)塊鏈上。這些區(qū)塊鏈跟公檢法都是打通的,所以在產(chǎn)生糾紛的時(shí)候,我們能提供強(qiáng)司法屬性的出證服務(wù)。這是對于區(qū)塊鏈證據(jù)保全做了一些展開,更多是通過存證API接受令來進(jìn)行廣播上鏈,這一塊是具有強(qiáng)司法屬性的,我們可以在一鍵發(fā)起網(wǎng)絡(luò)仲裁,甚至一鍵進(jìn)行線上裁判。
△電子證據(jù)保全
接下來的是我們整個(gè)平臺為了確保信息安全而做的一些保障,我們是融合了多家公有云,包括阿里云、騰訊云等云服務(wù)商合作,來保障整個(gè)業(yè)務(wù)的連續(xù)性和高可用性。我們也會在運(yùn)維安全方面做合規(guī)審計(jì),包括的堡壘機(jī)、日志智能審計(jì)、數(shù)據(jù)庫審計(jì)、數(shù)據(jù)庫安全運(yùn)維系統(tǒng)等等。
最后跟大家說一下,上面所有的技術(shù)手段,包括運(yùn)維安全手段,很大程度是為了控制好我們企業(yè)和個(gè)人的信息安全。法大大電子合同是和各地的公檢法系統(tǒng)及互聯(lián)網(wǎng)法院打通的,具備強(qiáng)司法效力,現(xiàn)在已經(jīng)有超過一千次判決認(rèn)可了我們的電子合同。我們已經(jīng)出具了上千份的電子合同技術(shù)報(bào)告,對接多家公證處和司法鑒定機(jī)構(gòu)進(jìn)行數(shù)據(jù)證據(jù)保全。
我的匯報(bào)就到這里,謝謝大家!
蘇紅超 法大大高級總裁兼CTO
電子科技大學(xué)本科畢業(yè),十余年互聯(lián)網(wǎng)一線技術(shù)研發(fā)與管理經(jīng)驗(yàn),國內(nèi)最早研發(fā)實(shí)施SaaS/PaaS平臺的實(shí)踐者,對云原生(Cloud Native)體系和生態(tài)有豐富的實(shí)踐及落地經(jīng)驗(yàn),深耕區(qū)塊鏈應(yīng)用研發(fā),擁有多項(xiàng)技術(shù)發(fā)明專利。在企業(yè)級電子簽章/電子印章以及安全證書等領(lǐng)域有多年實(shí)踐經(jīng)驗(yàn)。
GITC全球互聯(lián)網(wǎng)技術(shù)大會專家顧問,微軟最有價(jià)值專家MVP。出版及翻譯了《ASP.NET深入解析》、《ASP.NET 4高級程序設(shè)計(jì)(第4版)》、《ASP.NET 3.5 高級程序設(shè)計(jì):第2版》等多本計(jì)算機(jī)程序設(shè)計(jì)教材。
申請創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!