引言:
上半年,2308起数据泄露事件被公开披露,约26亿条用户记录被曝光。
云计算时代,数据的跨境分布式存储给各国政府执法机构的数据调取带来管辖权上的争议,数据主权的争夺成为各国在网络空间立法博弈的新领地。
网络空间大国博弈与各国实践增加了国际治理合作的不确定性,网络空间治理的一致性规则尚未形成。
“我的手机app之间好像可以交流一样,我在购物app上搜索了想买的东西,第二天,其他app就出现了相同类型产品的广告。”
“我在手机上点了一个网站链接,页面和正常的支付宝抢红包页面一样,点完之后支付宝余额就变少了。”
“我的币安账户遭到黑客攻击,账户里所持有的各种各样的数字货币都用币币交易形式折换成了比特币。”
……
网络安全无小事,这些用户遇到的烦恼都与网络安全有关。《世界互联网发展报告2018》(以下简称《报告》)显示,世界范围内网络安全威胁愈演愈烈,网络攻击、勒索软件、数据泄露等安全问题频发,重大网络安全事件数量、规模持续上升。上半年,2308起数据泄露事件被公开披露,约26亿条用户记录被曝光。
如何更好地保障网络安全,共建网络空间命运共同体,继续成为第五届世界互联网大会上的重要议题。
数据主权争夺成立法博弈新领地
近年来,世界各国纷纷加快网络空间顶层制度的建立和完善。我国网络安全法已在2017年6月1日起正式施,虽然大多数国家并未像我国一样制定统一的基本网络安全法,但也出台了相应的网络安全战略,例如,今年9月,美国出台了《国家网络战略》;英国则在去年10月公布了新版的《安全上网战略》。
“各国都在通过制定法律和完善标准,夯实网络安全保障基础体系。与此同时,云计算时代,数据的跨境分布式存储给各国政府执法机构的数据调取带来管辖权上的争议,数据主权的争夺成为各国在网络空间立法博弈的新领地。”中国网络空间研究院院长杨树桢在接受记者采访时指出,在国际规则尚未统一的形势下,通过国内法来维护数据主权成为各国首选。
我国网络安全法对数据跨境转移作出明确规定,要求关键信息基础设施运营者在中国境内收集产生的个人信息和重要数据应当在境内存储;并要求网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息。
“美欧在数据领域有着"长臂管辖"的趋势,陆续出台相关立法,扩展司法及执法范围。”杨树桢介绍说。
2018年3月,美国发布《澄清境外数据的合法使用法案》(以下简称cloud法案),为美国执法机构访问在美国境内运营的企业存储在海外的用户数据提供明确授权。舆论普遍认为,cloud法案扩大了美国执法机构的调取域外数据的权力,为“适格外国政府”跨境执法提供便利,同时该法案也可能侵犯其他国家特别是非“适格外国政府”的网络主权和国家安全。
中国企业也曾遭受美国数据领域“长臂管辖”。2015年,中国银行在美分支机构因拒绝向美国纽约南区地方法院提供gucci案相关被告在中国银行的中国境内账户信息,被认为构成“藐视法庭”处以按日累计的每日5万美元的巨额罚款。
对于“长臂管辖”,我国外交部发言人耿爽曾在例行记者会时明确表示:“我们反对任何国家根据国内法对中方实体或个人实施"长臂管辖"。”
人工智能或带来新的网络安全风险
面对层出不穷的网络安全威胁,各国普遍认为,人工智能作为一种通用技术,为保障国家网络空间安全、提升人类经济社会风险防控能力等方面提供了新手段和途径。
《报告》举例指出,人工智能在网络安全漏洞检测、恶意软件识别、防范网络犯罪等方面发挥着重要作用。将人工智能技术运用于漏洞发现上,可以弥补传统软件漏洞发现时间较长的不足;利用人工智能极强的查找能力,从每个可疑文件的数百万特征中检测出最轻微的代码改变,将人工智能技术与各类犯罪模型有机结合,能构建有效的网络犯罪预防机制。
“不过,人工智能本身存在安全风险。人工智能学习框架和组件存在安全漏洞风险,所依赖的传感器、训练数据和使用的开源软件等也都可能存在安全隐患。”中国网络空间研究院副院长李欲晓指出,目前人工智能产品和应用的研发主要是基于谷歌、微软、亚马逊、百度等科技巨头发布的人工智能学习框架和组件,这些开源框架和组件缺乏严格的测试管理和安全认证。
此外,在杨树桢看来,人工智能技术在网络安全领域的应用是一把双刃剑,人工智能技术在用于加强网络安全防护的同时,也可能被攻击者用来提高网络攻击效率和能力。
“具体而言,当前人工智能对网络安全带来的风险主要包括三个方面,第一是数据安全风险和数据污染攻击,第二是模型安全风险和逃逸攻击,第三是代码安全风险。”杨树桢补充说,“这些安全风险造成的影响包括恶意输入导致的拒绝服务信息泄露、系统劫持等,可能导致人工智能所驱动的识别系统出现混乱,形成漏判或误判,甚至导致系统崩溃或被劫持,并可以使智能设备变成僵尸攻击工具。
蓝盾股份高级研究员江纬认为,目前人工智能技术在安全性、可解释性等方面的发展也相对滞后,建议从专利制度、侵权责任制度和政府机构管制三个方面的结合来考虑,建立人工智能法律法规、伦理规范和政策体系,构建可以更好地促进可信人工智能创新发展的法制环境。
网络空间治理一致性规则尚未形成
早在2014年首届世界互联网大会开幕时,国家主席习近平就在贺词中指出:“中国愿意同世界各国携手努力,本着相互尊重、相互信任的原则,深化国际合作,尊重网络主权,维护网络安全,共同构建和平、安全、开放、合作的网络空间,建立多边、民主、透明的国际互联网治理体系。”
《报告》提到,网络空间治理已成为大国地缘战略的重点之一,互联网治理已由“包含政治意义的技术问题”发展成为“包含技术元素的政治问题”,需要各国政府、国际组织、技术社群、民间团体和个人携手共建全球网络空间命运共同体。
“近一年来,在反全球化思潮的冲击下,网络空间国际治理逐渐步入深水区,继续呈现"多利益相关方"和"多边主义"两种模式并行态势,治理模式之争不断走向深化。网络空间大国博弈与各国实践增加了国际治理合作的不确定性,网络空间治理的一致性规则尚未形成。”杨树桢解释道。
法治周末记者注意到,美国接连出台《国家网络战略》、cloud法案、《消费者隐私法案》等网络政策,谋求继续主导网络空间国际治理规则;欧盟则在数据跨境流动方面进展显著,特别是《通用数据保护条例》的生效掀起新一轮个人信息保护立法热潮;俄罗斯等国也在积极打造网络安全防护力量,今年7月,有俄罗斯联邦储蓄银行主办的“国际网络安全大会”召开,会议聚焦打击网络有组织犯罪、数字转型时代的网络风险、区块链技术和信息安全等问题。
“治理模式差异需要协商协同解决。一年来,随着网络空间国家环境的变化,越来越多的人意识到多编多方并存的合理性和可能性,互信可以增加网络空间治理合作的深度及广度,面对网络恐怖主义、网络犯罪等网络空间棘手的全球性问题,需要增强互信以构建有效的网络空间治理国际合作机制。”李欲晓说。
2015年,习近平主席在第二届世界互联网大会开幕式上发表主旨演讲时,首次提出推进全球互联网治理体系变革的“四项原则”和构建网络空间命运共同体的“五点主张”,也被认为是网络空间国际治理的“中国主张”。
杨树桢提到,“中国主张”是共商共建共享全球治理观的重要体现,中国政府、社会组织、私营部门、技术社群、专家学者等均积极参与全球互联网发展治理,参与全球技术标准的制定和研发,参与全球互联网关键基础资源管理,持续为全球互联网治理进程的推进贡献中国智慧。(来源: 法治周末 )