站長資訊網
2019年7月29日,由中國電子學會、四川省經濟和信息化廳、四川省互聯網信息辦公室、四川省科學技術協會、四川省貿促會共同主辦的第四屆中國網絡與信息安全大會在成都隆重召開。
深圳法大大網絡科技有限公司高級副總裁兼CTO蘇紅超在大會現場發表了《信息安全與法律科技的融合與創新》的演講,以下是現場演講實錄。
國內外信息安全監管發展與合規解讀
各位嘉賓、專家早上好,我今天分享的主題是《信息安全與法律科技的融合與創新》,主要是商用環境下信息安全與法律科技的融合實踐。
首先我會給大家分享一下國內外對于信息安全監管的發展情況與合規解讀,談一些心得體會。
作為電子合同領域的公司,我們對于企業及個人的隱私數據是非常關注的,信息安全也是我們關注的重點。我國在信息安全的法律法規方面,也呈現了多維度立體化的特點。總結起來有這么幾條:
一是依法,這里說的主要是我們的《網絡安全法》;
二是制度,這個制度主要是我們等級保護制度,并且在今年5月份頒布最新的《網絡安全等級保護制度2.0標準》;
三是規范,我們國家對于個人信息安全保護雖然還屬于立法推進的過程當中,但已經形成了一定的安全規范。
各位對網絡安全等級保護制度就比較熟悉了,作為一家商業運作的互聯網公司,我們認為等保2.0與1.0相比,最大的提升有兩點:
第一是它把個人信息納入到等保的約束范圍內,第二是信息保障體系由之前的被動防御轉變成了全方位的主動防御。
國內對于信息安全相關的法律法規其實是比較健全,也是立體全方位的,整體趨勢更是日趨嚴格,這和國際上對于企業信息及個人隱私保護方面的立法方向也是一致的。
△國內信息安全相關法律法規
我們的電子合同業務涉及到國內和海外的一些業務,下面我跟大家分享一下對于海外信息安全法律和政策法規的解讀。
歐盟GDPR是在2018年正式發布的,GDPR可以說是全世界對于個人信息保護最為嚴格的法律法規。總結下來,其核心是三點:
第一是使用范圍非常廣,無論是通過屬地管轄和屬人管轄,基本上都把涉及個人的方方面面都包括在內。
第二是遵從數據的基本原則,這個是非常嚴格的,無論是從數據收集,還是數據存儲和數據使用的方方面面,GDPR都做了約束和規定。
GDPR的核心是個人隱私數據保護,所以對于用戶主體權益的保護是非常非常大的,無論是對個體的知情權、數據管理權限及數據權限處置的個人意愿都做了嚴格的管理。
在美國,在國家整體層面上來看,它不像歐盟地區一樣,有統一的法律法規來保護個人信息安全,它的特點是分行業、分散立法來進行一些政策法規的制定,比如說在金融、醫療、教育等領域都制定了一些相關的個人隱私保護條例。
美國還有一個特點就是州立法,作為一個聯邦制的國家,美國每個州都有自己的一些獨立立法和司法權限,比如加州就單獨制定了CCPA個人隱私保護條例。
還有一個從全球范圍來看比較典型的國家就是日本。日本更多是借鑒和模仿西方國家的做法,也比較早對個人信息保護進行立法,它的特點是3年更新一次,更新的依據是什么呢?剛才提到它更多的是借鑒歐美個人隱私保護的條例,日本會在每三年修訂法案時,將歐美最新的立法動態和外部環境的發展情況納入進去。
其實日本和新加坡、美國一樣,是區塊鏈發展非常迅速的國家,他們在最近的一次修訂計劃中,也會把區塊鏈相關的信息保護政策納入到個人信息保護法中。
△國內外信息安全立法對比
法律科技發展與信息安全關注點
整體對比來看,包括我們國家在內的每個國家和地區都有一些鮮明的特點。我國在個人信息保護立法方面,相關部門也在持續推進。對于法律科技這個領域和信息安全之間的一些融合,下面我給大家簡單地匯報一下。
法律科技是隨著整個互聯網的發展而不斷發展的,起步也是在2000年左右。隨著我們整個互聯網的蓬勃發展,法律科技這個概念被正式提出來。隨著我國電商環境的不斷發展,也出現了針對法律行業、法律科技方面的電商熱潮,他們更多的是提供一些法律服務。
2014年是一個重要的分水嶺,法律科技布局初顯,國家相關部門以及各個互聯網巨頭入場,投資基金在這個時候不斷涌入。而法律科技在海外,也差不多是在2013、2014年蓬勃發展起來的。
法律科技目前的最新發展趨勢,第一個就是大數據和AI,通過AI、機器學習、深度學習,可以快速地把一些法律文本,尤其是合同范本進行智能糾錯,甚至是智能起草、智能仲裁。第二個就是區塊鏈,區塊鏈的特點就是公正公開透明,而且是可以追溯源頭的,這個恰恰是我們電子證據可以利用的重要技術手段,所以區塊鏈在電子數據的存證方面有天然的優勢。
這里列舉了一下整個法律科技的各種應用,包括智慧法庭、智能法院,以及我們所從事的電子簽章、電子合同。作為法律科技從業者,最關注的還是信息安全。信息安全有三個重點:一是機密性,二是完整性,三是可用性。我們通過多維度、多層次的立體防護,保證法律科技領域的信息安全。
△國內法律科技應用領域列舉
法大大信息安全實踐與創新
下面給大家匯報一下我們法大大在整個法律科技領域以及信息安全領域的最佳實踐。
法大大提供了電子簽章和電子合同的整體解決方案,我們會通過PAAS中臺把一些底層能力集成起來,包括我們的密碼技術、區塊鏈技術、機器學習技術,形成一個多維度PAAS平臺。
再往上是我們公司產品的應用層,在這個應用層上我們會提供多種模式,比如SAAS、公有云、混合云,包括本地部署的SDK模式。
第三個就是我們給企業提供的垂直行業解決方案,包括傳統金融、地產、游戲等等。當然物聯網我們也會涉及,我們在簽署電子合同時的某些功能,像身份認證其實就會借助物聯網、5G技術的賦能。
右邊兩個部分,一個是大數據中心,一個是AI處理中心,它們是兩個是相輔相成的。對于一些法律文本,我們可以對其做深度脫敏之后進行聚合處理,并且通過機器學習使得我們的工作效率進一步提升。
△電子簽章整體解決方案
整體來說我們會涵蓋合同的整個生命周期,包括合同起草、合同簽署,在合同產生糾紛之后我們可以一鍵發起網絡仲裁。
合同是非常機密的,通過合同來連接了企業和個人,涉及到相關方的隱私信息,針對這一點,我們通過六個維度,把整個信息安全體系管理起來。
剛剛王小云院士也提到我們國家頒布了《電子簽名法》,它涉及到了企業和個人的認證,對簽署雙方或者多方的身份要做嚴格的實名認證。后面我會展開講一下,如何通過數字證書技術、密碼學習技術來確認簽約主體的合法性和有效性。
另一個重點就是意愿簽署,合同最關鍵的是確保簽署各方意愿,現在有很多不合規的平臺,消費者在上面可能莫名其妙地就簽署合同,進行了消費貸。其實這是非常不合規的,其中的隱患也是非常巨大的。
我們通過這樣的一個流程,會不斷地優化我們在法律合規性,以及個人隱私保護上的工作,通過對標分析、差距評估、合規方案的選定,最終不斷整改推動我們整個信息安全水平的提升。
當然這個流程我們是會不斷地演進,而非把它固定下來的,我們會隨時根據外部環境,以及實際的演進情況往前推進。在這個過程中,我們也得到了很多信息安全相關的資質認定。
電子合同簽署技術要求,概括來說就是3W,我們會對文件內容、簽約主體和簽約時間,分別通過數字簽名,數字證書和可信時間戳來進行運算,最終植入到電子合同中,電子合同最終承載的實體在我們國內更多使用OFD格式,整個國際上通用的是PDF,我們會把這些數據格式寫入到整個電子合同中去。
△安全電子合同的技術要求
數字簽名、數字證書、可信時間戳是大家比較關注的三個點,數字證書更多的是鑒別企業及個人的身份,可信時間戳則是合同簽署時間防抵賴的一種措施。
證書安全,這里有幾點是專家們比較熟悉的。我們通過一些密碼學算法上的支撐,對手機盾等硬件進行物理保護,在云端我們也會通過硬件設施來保證這些證書的安全。
關于文件安全,因為電子合同是非常敏感的電子文件,為此我們通過自己獨有的數據文件切片技術,將原始文件分割后儲存到多個公有云及私有云上,進行分布式的部署,這樣即便是有不法分子攻擊這些公有云,他獲取到的也只是文件碎片,而無法擁有電子合同的完整文本。
文印安全對國有大型企業、銀行是比較有作用的,我們通過自研的防偽墨水、防偽打印機,以及防偽鑒證儀來保證紙質合同不被篡改、可跟蹤、可溯源。
這個是電子證據保全,我們更多的與互聯網法院及仲裁委合作,將包括簽證、電子合同文件本身以及合同相關行為的哈希值保存到聯盟區塊鏈上。這些區塊鏈跟公檢法都是打通的,所以在產生糾紛的時候,我們能提供強司法屬性的出證服務。這是對于區塊鏈證據保全做了一些展開,更多是通過存證API接受令來進行廣播上鏈,這一塊是具有強司法屬性的,我們可以在一鍵發起網絡仲裁,甚至一鍵進行線上裁判。
△電子證據保全
接下來的是我們整個平臺為了確保信息安全而做的一些保障,我們是融合了多家公有云,包括阿里云、騰訊云等云服務商合作,來保障整個業務的連續性和高可用性。我們也會在運維安全方面做合規審計,包括的堡壘機、日志智能審計、數據庫審計、數據庫安全運維系統等等。
最后跟大家說一下,上面所有的技術手段,包括運維安全手段,很大程度是為了控制好我們企業和個人的信息安全。法大大電子合同是和各地的公檢法系統及互聯網法院打通的,具備強司法效力,現在已經有超過一千次判決認可了我們的電子合同。我們已經出具了上千份的電子合同技術報告,對接多家公證處和司法鑒定機構進行數據證據保全。
我的匯報就到這里,謝謝大家!
蘇紅超 法大大高級總裁兼CTO
電子科技大學本科畢業,十余年互聯網一線技術研發與管理經驗,國內最早研發實施SaaS/PaaS平臺的實踐者,對云原生(Cloud Native)體系和生態有豐富的實踐及落地經驗,深耕區塊鏈應用研發,擁有多項技術發明專利。在企業級電子簽章/電子印章以及安全證書等領域有多年實踐經驗。
GITC全球互聯網技術大會專家顧問,微軟最有價值專家MVP。出版及翻譯了《ASP.NET深入解析》、《ASP.NET 4高級程序設計(第4版)》、《ASP.NET 3.5 高級程序設計:第2版》等多本計算機程序設計教材。
