前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇云安全的必要性范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
“安全标准化”本身属安全生产的管理责任机制范畴,其对象集中于企业各个生产环节、工作环节,通过制定操作规范内容、处理办法等,在对危险源展开综合排查以及专业监控的基础上,创建起即及时性、综合性、有效性为一体的预防机制,并对工作人员各项行为展开约束,确保人员、环境、设备以及物资等始终处于安全环境下,从而推动企业日常经营活动顺利展开。基于油田企业,由于其运输任务较重,同时运输对象表现出特殊性,因此在日常运输工作中,需以“安全标准化”为基本原则及出发点,进一步保障运输工作效率及其安全性。
二、企业日常运输影响因素
油田企业日常运输工作中,其运输对象涉及钻井设备、钻井服务物资等,风险性普遍较高,一旦任何环节存在风险,都可能对企业人力、财力以及物力带来严重损失,甚至影响到国家财产的整体安全性,所以要优化油田企业日常运输工作,并且建立、健全安全标准化,以确保运输工作顺利展开。一般而言,油田企业展开日常运输工作时,多种因素都可能会对其安全性带来不利影响,具体涉及道路因素、人员因素、物资因素等:
道路因素。道路因素本身属客观影响因素类型,具体涉及:道路路面条件、道路坡地、道路数量以及道路宽度等方面;人员因素。运输工作中,运输人员实践能力、安全意识、风险应对能力以及实践经验等,都直接影响着安全事件发生概率。一般而言,如果运输人员存在超速行驶、违章驾驶或者是疲劳驾驶等现象,或者是缺乏安全意识,都可能会引起事故;物资因素。物体质量往往会对其惯性造成影响,所以运载大宗型物资时,一旦紧急制动,其惯性力会明显增加,以至于物资发生后倾问题或者是前倾问题,影响其安全性。不仅如此,在运送化学品时,如果车辆出现震动,导致物品外包装被严重损坏,就可能有泄露现象发生,导致爆炸事故、中毒事件等出现。
三、落实安全标准化体现出的必要性
安全标准化目标的制定,除了能提升油田企业日常运输工作中的安全性外,对于推动企业经营项目持续发展也起到促进作用,而落实安全标准化体现出的必要性具体呈现于:
第一,“安全标准化”强调油田企业日常经营活动中,提前制定符合企业发展需求的安全目标。以制定安全目标为主要手段,对运输人员工作行为全面约束,除了能提升安全管理工作严谨性以及针对性以外,还能提升其有效性以及方向性。同时,通过深入落实各项安全规则,并以此为标准,对运输人员工作质量展开评估,可促使其不断优化自身工作程序,进而确保运输工作整体安全性。
第二,“安全标准化”强调油田企业日常经营活动中,建立、健全安全责任机制。安全标准化进程中,除了要求企业内部创建起岗位责任机制、岗位安全机制以外,还要求各运输人员严格遵照既定机制展开工作,通过从理论层面、实践层面约束运输人员工作行为,以提升其安全意识,有助于规避人员因素出现。
第三,“安全标准化”强调油田企业日常经营活动中,加强安全管理费用整体投入力度。为实现“安全标准化”管理目标,油田企业展开日常经营项目时,需针对该项目投入专项资金,用作运输车辆维修、运输车辆保养等环节,且禁止任何人以随意挪用这笔资金,在规避车辆不良因素的基础上,提升车辆安全性。
关键词:云计算;个人信息;安全风险
一、云计算及其潜在风险概述
云计算是继分布式计算、网格计算、对等计算之后的一种新型计算方式,通过互联网上异构、自治的服务,为用户提供定制化的计算。云计算是将网络储存技术、虚拟化技术、网格计算技术、并行处理技术、分布式处理技术等软硬件技术融合发展的集大成者,也是集合了网络、服务器、计算、储存、应用软件等资源并提供快速便捷、即需即取服务的共享平台。云计算具有按需服务、广泛的网络接入、资源池化、快速弹性以及按使用量计费等5个特点;涵盖私有云、社区云、公有云、混合云等4种开发模式]。云计算有3大优势:
一是具有强大的存储和计算能力,能提供即需即取的服务。最大的云计算平台的服务器数量达到百万级别,一般的云计算企业的服务器数量在几十万台,比较小的企业私有云服务器数量也要数百上千台。另外,云计算还能够弹性配置、动态伸缩,以满足用户规模和计算量增长的需要。二是具有开放性,能实现资源共享。云计算将虚拟化技术、分布式计算技术、效用计算技术和定制、计量、租用的商业模式相结合,最大效率地利用了随时连接、随时访问、分布存取的各个服务器,实现了资源的共享。三是具有管理成本最小化以及与服务供应商的交互最小化的优势,能降低使用成本。云计算具有规模效应和网络效应,在硬件成本、管理成本、电力成本、资源利用率方面都有极大的成本优势,企业和个人也省去了服务器的磨损、闲置和管理成本,只需按需要使用相应功能、按服务量支付费用。云计算潜在的安全风险与云计算的技术优势和经济效益总是如影随形。用户对于个人信息安全的担忧是云计算服务推广应用的首要障碍,云计算的理念是开放和共享,而个人信息安全注重封闭和私权,两者之间存在一定的矛盾。个人信息是指个人姓名、住址、出生日期、身份证号码、医疗记录、人事记录、照片等单独或与其他信息对照可识别特定个人的信息[5]。个人信息涉及用户的人身自由、人格尊严、财产权利等基本权利,事关重大,一般具有极高的敏感性。用户在决定是否使用云计算之前会对云计算的安全风险加以衡量。使用云计算功能在线存储的文档、图片、视频等文件大量涉及个人信息,一旦云计算的安全体系被攻破,则可能发生个人信息泄露、贩卖等事件,严重危及用户的人身财产安全,甚至会造成社会恐慌。与传统的互联网技术相比,云计算环境下保护个人信息的必要性更加突出。一是因为云计算下个人信息脱离了用户的控制范围,一旦云计算服务商的数据中心发生事故,用户无法知悉,也无法及时采取措施,只能被动挨打。
二是因为云计算的交互式、参与性、网络化的特点,用户几乎将所有个人信息被动或者主动地全部暴露在云计算服务商平台上,存在信息不对称和能力不对称的问题,一旦发生侵权事件,用户损失巨大,而且难以维权。
三是因云计算的普及性和规模性,小的漏洞都会造成巨大的破坏,损害具有连锁反应。比如,2011年亚马逊的EC2业务由于出现一点小的漏洞,整个云计算数据中心出现全范围宕机;2012年微软的WindowsAzure平台由于个人服务的设置问题,导致所有集群的功能不能使用。目前,研究云计算时代个人信息安全保护的学者大多从国家立法、行业立规的角度展开。针对个人信息保护的建章立法固然重要,特别是构建规制云计算环境下个人信息保护问题的法律规范和行业标准正当其时,法律的具体执行,特别是建立个人信息安全风险的防控机制和措施更是迫在眉睫,本文拟从这一角度进行探析。
二、云计算中的个人信息安全体系与技术风险
云计算架构分为基础设施层、平台层和软件服务层3个层次,分别对应简称IaaS、PaaS和SaaS3个服务类型。IaaS是由政府或者企业建立的大规模服务器和网络传输连接装置等基础设施,同时采用虚拟技术将分散到各个数据中心的服务器集中起来。PaaS包括基本硬件、基础软件、储存设备等,起到应用支持的作用。SaaS的作用是制定一系列标准和协议,构建公共平台,提供最终的应用服务。分层是横向的、纵向的管理系统将这些资源进行统一的配置和统一运行,实现一站式的服务。不同的云计算服务模式意味着不同的个人信息安全体系,目前大多数个人信息安全体系就是基于云计算服务模型构建的。
(一)IaaS层的个人信息安全体系与技术风险IaaS服务提供商将基础设施,包括服务器、储存、网络等IT设施进行组合,形成不同规模、不同用途的服务产品,大到集网络、数据计算、数据处理于一体的应用系统,小到一台处理简单业务的服务器,然后以套餐的形式提供给用户。用户可以像在麦当劳点餐一样,租用产品目录上的IT基础设施服务套餐,将自己的应用部署在上面,开展各种业务。使用IaaS服务的信息安全风险比较大,无论是物理设施、虚拟化技术、接口设施、还是应用程序,如果发生自然灾害或者操作错误,将会对信息安全造成釜底抽薪般的巨大影响。其中,虚拟化安全风险是防范重点。一方面是虚拟机自身存在的安全风险,包括可能面临用户劫持、脆弱的防火墙等;另一方面是虚拟化软件带来的安全风险,包括未经授权的访问、非法删除、非法添加等[6]。在传统计算机技术下,对于个人信息的保护已经有比较成熟的技术,包括加密和密钥管理、身份识别和访问控制、安全事件管理等。云计算环境更加复杂,更加开放。云计算环境下的IaaS个人信息安全体系的关键是将这些技术进行融合,按照一定的技术标准,形成兼容的、完备的安全闭环,确保物理安全、网络安全、虚拟化安全、接口安全。一是要加入安全防护技术,利用防火墙、病毒防护墙等对整个IaaS进行防护;二是要加入访问控制技术,利用加密和解密管理、身份识别等技术为用户提供用户登录管理、用户认证、数字签名等安全管理服务;三是要加入审计技术,对用户的登录和使用情况进行统计分析,按照不同的风险级别区分不同的安全域,实施不同等级的安全干预[7]。
(二)PaaS层的个人信息安全体系与技术风险
PaaS层处在云计算的中间层,具有承上启下的作用,其对于个人信息的整体安全具有重要作用。PaaS服务商提供的是应用基础设施服务,即中间件服务。PaaS用户可以将其应用系统布置到PaaS平台上,应用系统服务器、网络、操作系统、信息管理等应用系统运行的环境,由PaaS服务商提供保障。所有PaaS服务商不仅提供平台,还提供安全服务。他们的职责是提供安全可靠的运行环境,保证用户的信息安全。PaaS个人信息安全体系要求数据处理符合国家法律法规的要求,主要包括:数据存放位置、数据删除或持久性、数据备份和恢复重建、数据发现;同时禁止一些不当的个人信息处理行为,比如:不同客户数据的混合、数据聚合和推理。PaaS个人信息安全体系重点在于对价值较高的个人信息的保护,尤其是防范对个人信息的交叉查询。
(三)SaaS层的个人信息安全体系与技术风险
与等软件服务模式类似。在SaaS平台上,用户不用购买软件,也不用维护管理,只需要按照服务类型和服务时间支付费用,就可以选择使用符合自己需求的软件。SaaS服务商不仅要管理维护自身的软件,而且要将用户的个人信息储存在自己的服务器上,以便用户随时随地可以接着使用软件。个人信息违法犯罪的概率总是与管理权限成正比。特别是在SaaS层下,存在一个基本的矛盾,一方面,SaaS需要将用户的个人信息进行备份,保存在多个不同位置的服务器上,防止数据丢失、数据删除,提供及时的数据恢复服务;另一方面,SaaS可能涉嫌秘密保存和永久保存用户的个人信息,在用户不知情或者已经删除软件上的个人信息的情况下,仍然保留电子痕迹并随时可以恢复数据。所以SaaS应该提供给用户透明的个人信息储存、删除和保护方案。当然,由于SaaS的共享性,用户的个人信息安全风险主要来自第三方的攻击、窃取和篡改等。SaaS层的个人信息安全体系应该包括以下4个方面内容:
一是应用的安全,软件运行的环境安全可靠,软件能够及时更新换代,确保没有漏洞;
二是个人信息数据库的安全,数据库与应用软件数据应该隔离分开,多个服务器进行分别储存,并使用防火墙、密钥管理等技术进行数据库的保护;
三是个人信息的传输安全,采用加密的传输协议,确保用户在客户端和云计算服务器之间传输个人信息时不被截留;四是访问控制机制,由于多个用户共用云计算服务器,需要对个人信息进行分块隔离,采用身份识别、数字签名和访问控制技术对访问登录进行严格管理。上述分析是着眼于云计算平台3个层次本身的技术漏洞,除此之外,云计算用户的服务终端也是个人信息安全风险的重要源头。一方面,云计算环境下,服务终端与云计算平台连为一体,构成一个统一的系统,具有极强传染性和破坏性的病毒很可能从服务终端侵入到整个云平台,导致整个云的崩溃或者瘫痪。特别是现在手机服务端日益普及,APP使用率日益增高,手机病毒的传播更加猖獗,也极易侵入云计算网络。另一方面,黑客也很可能通过云计算网络对服务端发起攻击,即使用户的计算机采取防火墙、杀毒软件等安全措施,但毕竟防范投入和水平有限,未必能阻挡病毒的侵袭。恶意代码制作者、病毒邮件发送者以及其他恶意攻击者可能直接窃取用户服务端的个人信息,这种窃取采取各个击破、蚂蚁搬家的形式,更加难以觉察和防范。他们也可能破解或者盗取用户在云计算平台上的登录名称和登录密码,盗取用户储存在云计算数据中心上的海量个人信息。
三、云计算中的个人信息安全管理风险
除了云计算技术风险,云计算的管理不善也可能带来个人信息的安全风险。天灾易避,人祸难防,云计算时代个人信息安全管理风险更大,后果也更为严重。技术风险多为概率事件,偶然性较强,而管理风险存在主观故意,发生的可能性更高。技术风险可能造成个人信息的破坏或者丢失,但不一定立即引起直接损失,而管理风险一般伴随着恶意商业目的,紧接着就可能造成用户财产的损失或者人格权利的侵害。技术风险可以由云计算服务商通过技术改进进行补漏,通过人工操作进行补救,但是,在信息不对称的现状下,道德缺失造成的云计算服务商监守自盗所带来的风险几乎是难以防范的。下面笔者将从个人信息的收集、利用、处理3个方面归纳总结各种安全风险。
(一)道德的失范导致的个人信息收集风险
在云计算产业巨大利益的驱使下,云计算服务商可能有意或者无意地大量收集用户的个人信息。云计算的主要商业模式是由云计算服务商运用数据挖掘技术,海量收集各类政府机关、企事业单位、个人用户的信息,进行储存、信息交换、个、定向营销等。信息量越大,服务功能越强,商业价值就越大,这直接激发了云计算服务商收集个人信息的动力。首先,用户在使用云计算上的软件时,并不知悉个人信息已经被计算服务商获取。虽然法律规定服务商必须履行告知义务,但是软件的告知明细往往过于复杂,用户如果不仔细阅读一般都难以发现。特别是信息收集技术的不断进步,云计算服务商的信息收集能力不断增强,信息收集的种类和数量往往超出了用户能够知晓的范围。有时候,云计算服务商秘密收集或者备份用户的个人信息,但有时用户知道自己的个人信息要被收集,为了享有便利的服务,不得不放弃个人信息权。其次,由于数据挖掘、数据比对等众多信息收集技术的出现,云计算服务商具备了强大的信息比对、分析、归纳、推理、整理能力,能够将用户在不同平台不同服务中的碎片化个人信息整理成完整的个人信息图谱,能够掌握用户完整的特征和清晰的活动轨迹。虽然这些个人信息能够更方便地为用户提供优质的个性化服务,但这些脱离信息主体的个人信息,往往处于事实上的权利失控状态,信息主体并不知道谁收集、处理和利用了他们的信息,以及以何种手段收集、处理和利用他们的信息,这构成了巨大的个人信息收集风险[8]。第三,不同云计算平台之间可能存在不正当的个人信息交换,秘密签订个人信息共享协议,实现云计算服务商的商业利益最大化。特别是在云计算不区分国界的情况下,个人信息的跨境传输更难以管控。斯诺登事件就曝光了一些云计算企业在国家力量的支持下,收集其他国家公民的个人信息。这样的跨境收集个人信息的行为,不仅侵害了公民的民事权利,还侵害了一个国家的信息。
(二)规则的缺失导致的个人信息利用风险
云计算产业发展迅猛,但是云计算领域的规则和标准的建构与完善却相对滞后,这种不对称的发展造成了个人信息安全领域的无序状况,容易造成个人信息利用的违法和犯罪。首先,云计算安全技术标准还有待强化和细化。没有统一的云安全技术标准,无法强制要求云计算服务商布设有关安全技术措施,导致一些服务商重视能够带来盈利的商业技术,而忽视了不能带来直接利益的安全技术。没有安全技术标准的约束,一些云计算服务提供商还可能在云计算系统中插入秘密收集个人信息的软件,比如等等。其次,云计算行业的制度规范也尚未制定。云计算产业需要一套关于个人信息保护的完整的行为准则,确立个人信息数据库的管理制度,明确个人信息处理人员、安全管理人员、系统开发人员和系统操作人员的职责范围和操作规程。云安全规则的缺失极其容易造成个人信息的滥用。云计算服务商可能将个人信息应用于定向推送广告、不断骚扰下的强迫交易、信息销售等。在现实生活中,用户将身份证复印件提供给服务商时,往往在身份证上注明“仅限用作……”等字样,确保身份证复印件的有限使用和特定用途使用。但是电子数据形式的个人信息极易被复制,很难保证服务商不将其挪作他用。第三,由于个人信息相关法律不够健全,云计算环境下个人信息的保护法更是少之又少,个人信息缺乏有力的司法强制力的保护。云计算用户在个人信息遭受侵犯时,往往难以获得有效的救济。云计算没有地域性,个人信息案件的管辖难以明确,造成立案难;云计算具有虚拟性,电子数据极易篡改,造成个人信息案件的取证难;另外,个人信息具有非物质性,其价值难以计量,造成个人信息案件的赔偿难。
(三)管理的失位引发的个人信息处理风险
我国云计算产业刚刚起步,无论是监管机构还是云计算企业,都尚未建立完整有效的管理机制。一方面,政府监管力度不够。目前,我国云计算的监管部门是国家工信部,由于其职能主要是促进产业发展,因此往往重发展而轻安全。个人信息的违法犯罪涉及司法权和行政执法权,信息化管理部门还无法行使调查取证、强制措施、搜查冻结、罚款没收等权力。另外,由于条件的限制,信息化管理部门进行个人信息安全执法的力量较为薄弱。另一方面,企业管理动力不足。云计算服务商利用个人信息的利益和用户保护个人信息的权利存在一定的矛盾,企业没有足够的动力投入更多的人力物力进行个人信息的管理。云计算企业对于能够产生经济价值的个人信息的利用较为重视,而对于不能直接产生经济效益,甚至有可能产生负效益的个人信息的管理重视不够。云计算服务提供商如果不加强内部操作人员的管理,不加强个人信息保护内部控制的建设,操作人员违规处理个人信息的现象将不断出现。云计算时代,所有IT设备或数据被放到一起集中管理,内部人员拥有的权限让其能轻易获取重要个人信息甚至得到整个云服务平台的完全控制权。用人失察或监管缺位都会给个人信息安全带来灾难性的损失。
四、云计算下的个人信息安全防控措施
云计算下的个人信息安全已经不是一个纯技术问题,仅仅依靠云计算企业采用先进的云安全技术去遏制个人信息的违法犯罪是不够的。唯有法律才能明确管理责任,才能明晰处理个人信息的权限,才能惩罚和防范一些犯罪分子利用个人信息谋取私利。违法收集、利用、处理行为主要承担民事责任、行政责任和刑事责任[9]。个人信息相关法律法规的制定非常重要,而且迫在眉睫。但是个人信息安全防控机制的构建、个人信息安全防范措施的完善同样非常重要。作为以保障公共安全、保护人民生命财产安全为职能的公安机关,在防范和控制个人信息安全违法犯罪中,具有得天独厚的优势。我国应该构建以公安机关为主,信息化管理部门协调配合,法律规制与行业管理相结合的个人信息安全防控体系,构建并完善云计算下的个人信息安全监控机制、侦查机制和应急机制。
(一)云计算下的个人信息安全监控机制
信息的公开具有不可逆性,云计算个人信息安全事故一旦发生,造成的损害无法恢复原状。因而个人信息的保护不能依赖事后的被动处理,而应该着重于监控与预警,从事后救济、被动维护向事前设计、事中报告、主动监控转移,形成常态的监控机制[10]。首先,应该制定统一的技术标准,要求云计算服务商在系统中植入安全监控技术;制定统一的行业规范,要求云计算服务商建立完善的内部控制制度。利用安全监控技术,公安机关、信息化管理部门和云计算服务商都能及时了解云计算系统运行状态。监控技术不仅起到预警作用,也为云计算安全的内部控制提供数据支撑。其次,应该建立常态的个人信息安全报告机制,要求云计算服务商及时报告个人信息流动的异常情况。个人信息安全的报告机制可以借鉴我国《反洗钱法》中的“大额交易和可疑交易监控与报告”制度,要求云计算服务商将可疑的个人信息流动报告给公安机关和信息化管理部门。可疑的个人信息流动是指个人信息流动在数量、频率、流向和性质等方面表现异常,或与客户身份、登录状况、活动规律不符,存有个人信息违法犯罪嫌疑的流动。
(二)云计算下的个人信息安全侦查机制
严格的侦查机制和过硬的侦查能力是个人信息安全保护的根本保障。要整合公安机关、信息化管理部门、行业自律组织的资源,司法、行政与行业之间无缝对接,协调配合,共同执法。在行政和刑事执法过程中,取证难严重降低了打击违法犯罪行为的力度。在云计算环境下,某些电子证据依靠目前的侦查技术,还难以充分侦测与提取。如在云应用服务中,有许多服务通过运行的虚拟专用网络(VPA)访问,现有侦查技术几乎检测不到[11]。对此,可以采用面向取证的现场迁移技术等进行侦查,采取迁移取证监管来调度和监控镜像证据提取层的每一次迁移操作,并记录下全部的迁移过程信息,保证取证数据符合证据法要求的可靠性和完整性[12]。
(三)云计算下的个人信息安全应急机制
云计算服务提供商应当设置个人信息安全监控中心,负责系统安全的全面维护、个人信息安全的总体监控、个人信息安全情况报告和个人信息安全事件的处置等[13]。公安机关和信息化管理部门要根据云计算服务商提交的可疑个人信息流动报告,进行认真研判、仔细甄别。对筛选出来的违反法律规定的个人信息安全事件,要根据严重程度,启动个人信息安全应急机制。应急机制分为轻微、一般、重大、特别重大等不同等级。不同等级的警报对应不同级别的应急方案。应急方案包括提醒客户、数据隔离、数据恢复、停止运行等。其中数据隔离可以保证用户的个人信息运行于封闭且安全的范围内,防止进一步地泄露,避免用户间的相互影响,减少用户错误操作或受到计算机病毒攻击时对整个系统带来的安全风险。数据恢复是针对计算机病毒攻击的重要应急措施,包括恢复个人信息和遭受病毒侵害的软件等。数据恢复是典型的事后应急措施,可以保证云计算服务可靠性和可用性。
五、结语
技术的进步必然引起法律制度的变革,产业的发展必须依赖法律机制的完善。云计算时代,个人信息安全的法律规制迫在眉睫。随着云计算成为人类基本的工作、生活环境,个人信息都无法避免地集中到云上,海量个人信息的安全问题是公安机关必须面对的难题。个人信息安全监控机制旨在防范犯罪,个人信息安全侦查机制旨在打击犯罪,个人信息安全应急机制则是处理已经发生的犯罪。建立系统的个人信息安全防控机制,多方位协同发挥效力,方能最大程度确保个人信息安全可控和云计算产业健康发展。
参考文献:
[1]周汉华.个人信息保护法(专家建议稿)及立法研究报告[M].北京:法律出版社,2006:3.
[2]姜茸,张秋瑾,李彤,等.电子政务云安全风险分析[J].现代情报,2014(12):14-15.
[3]李连,朱爱红.云计算安全技术研究综述[J].信息安全与技术,2013(5):44-45.
[4]齐爱民,陈星.云计算时代的个人信息安全危机与法律对策[J].中国信息安全,2012(11):83-84.
[5]何培育.个人信息盗窃的技术路径与法律规制问题研究[J].重庆理工大学学报(社会科学),2015(2):159-162.
[6]林闯,苏文博,孟坤,等.云计算安全:架构、机制与模型评价[J].计算机学报,2013(9):1775-1776.
[7]丁秋峰,孙国梓.云计算环境下取证技术研究[J].信息网络安全,2011(11):36-38.
[8]周刚.云计算环境中面向取证的现场迁移技术研究[D].武汉:华中科技大学,2011:29.
记者从深圳市五届人大二次会议议案建议组获悉,由市人大代表、腾讯董事长兼首席执行官马化腾领衔提出的关于制定《网络信息安全保护条例》的议案“拔得头筹”,被排在了此次会议第一份议案的位置。该议案共获得了23名代表的联名。该议案的重点内容是提出了立法的建议对策,并附上具体条款。
马化腾的腾讯“掌门人”身份,以及该议案的关键词“网络信息安全”,两者之间的关系很容易让人联想到去年下半年爆发的腾讯和360之间的“3Q大战”。记者注意到,该议案反映的问题的确与该事件所引发的思考息息相关。
当前网络不正当竞争出现三种新情况
该议案指出,随着高新技术的发展,网络环境下的各种非法行为层出不穷,利用新环境下法律的空白、实施违法犯罪活动的行为种类也在不断翻新。这些行为严重危害了网络信息安全,损害了企业和个人利益,严重扰乱了市场秩序,破坏了产业的良性发展。
该议案认为,对比以往的不正当竞争事件,2010年的危及网络安全事件中还出现了一些新情况:一是恶性竞争手段常态化趋势。惯用手段主要有:以维护用户安全之名,恶意对竞争对手产品进行定性、评级,贬损竞争对手商业信誉与产品声誉;非法干扰屏蔽、强行卸载竞争对手产品、服务;限制用户选择竞争对手产品。二是恶意竞争手段变得隐蔽。比如,在某重大项目投标期间,某公司利用技术手段伪造竞争对手的域名广发垃圾邮件、病毒邮件,导致竞争对手的域名被客户邮件系统列入黑名单,造成客户和竞争对手之间的正常邮件通信严重受阻,项目投标受到严重干扰。三是新技术被用于恶性竞争。比如,奇虎公司利用最新的“360云安全技术”通过其后端服务器发出指令封杀竞争对手的产品,该技术在封杀对手推出的杀毒产品以及3Q弹窗大战中均有使用。
相关法律制度面临三大监管问题
2010年9月,奇虎公司指责腾讯公司QQ安全模块“窥私”,由此引发了全国关注的“3Q大战”公共事件。在该议案引用的实例中,就有“3Q大战”。“‘3Q大战’持续了长达一个月的时间里,没有任何相关政府部门出来对双方的行为进行约束和监管。”作为该事件的当事人之一,马化腾在该议案中道出切身感受,指出当前相关法律制度的监管困境。
议案认为,目前的法律制度问题主要有三。一是现有法律制度制定较早,已经很长时间没有经过修订,无法跟上社会的发展,而且,新型的侵权行为没有在法律中明确规定。根据目前三网融合的技术发展趋势,网络的概念已不局限于计算机网络,如广播电视网、通信网等也在日益发展,但是法律的规定还只是限于计算机网络的范围,有些过于狭窄。网络时代的来临,利用网络高新技术手段实施各种违法犯罪行为的现象层出不穷,侵权形式也多种多样,由于很多技术是在法律制定之后的数年间才产生和发展的,法律法规有必要适时修订,进而适应社会生活对法律的要求。
二是相关制度的缺失致使政府监管缺位。对于网络信息安全保护,行业主要机构应该承担相应的监管职责,如通讯运营商、网络服务提供商。但现有的立法中,对哪些机构、应承担何种职责,都没有明确的描述。
三是规范竞争秩序的法律制度难以适应市场快速发展的需要,亟待进行完善。目前,规范网络环境下企业间权利保护与市场竞争的法律是《反不正当竞争法》,但这部制定于上世纪九十年代初的法律已不能满足规范引导互联网企业有序竞争的需要,不正当竞争行为的违法收益大,而违法成本低。此外,司法诉讼冗长的诉讼周期导致恶意竞争行为不能通过司法途径及时得到制止,这也是业界呼吁政府介入监管的重要原因。
立法扩大对“网络”概念外延的解释
该议案建议,在立法中扩大对“网络”概念外延的解释,将网络的范围界定为任何可以进行数据交换的场景之下。理由是:三网融合是中国未来的技术发展趋势,网络的概念已不局限于计算机网络,如广播电视网、通信网等也在日益发展,三网融合或者更多网络融合之后的网络范围异常广泛,基本涵盖了社会生活的方方面面。
增加对网络安全本身保护
该议案建议立法增加对网络安全本身的保护,规定任何组织和个人不得实施非法破坏其他人的网络的行为,包括:破坏网络设备,导致无法正常通信的;破坏网络的安全防护,使网络处于不安全状态的;制作、传播病毒等破坏性程序,攻击网络的。
理由是:网络信息的安全很大程度上依赖网络本身的安全,加强对网络本身的保护势在必行。另外,现在出现的部分侵权行为只限于破坏行为,该行为没有直接造成网络信息的泄露、丢失等后果,但是却造成了网络的安全风险,法律有必要对这类行为进行规制。
立法保护下特定的“商业标识”
该议案建议立法增加对“域名”、“网站名称”、“网站标识”等网络环境下特定“商业标识”的保护,规定经营者不得采取下列手段进行经济活动:擅自使用与他人在先使用的为相关公众所知悉的商标、域名、网站名称、网站标识、企业名称、企业简称、字号、姓名等相同或者近似的商业标识,造成或者足以造成市场混淆的。
理由是:在商业标识中,增加“网站名称”、“网站标识”,具有现实意义。目前,网站名称和标识并没有单独的登记注册程序,也没有类似《商标法》、《企业名称登记管理实施条例》、《中国互联网域名管理条例》等专门性的规则。实践中,互联网服务企业主要通过宣传“网站名称”、“网站标识”来扩大企业影响,也是通过“网站名称”和“网站标识”来与其他的互联网服务企业相区别。由于网站名称和网站标识用于注册商标的周期比较长,在其未能作为商标加以保护时,有一定影响力的网站名称、网站标识往往被人擅自利用,以达到分流有影响力网站流量实施不正当目的。立法扩大对于商标标识的保护范围,对于维护市场竞争秩序有非常大的帮助。
将网络不正当竞争纳入规制