日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
婁鶴:網(wǎng)絡(luò)安全人員真的“安全”嗎?

“由于對(duì)IT技術(shù)、互聯(lián)網(wǎng)創(chuàng)新業(yè)務(wù)的熱愛(ài),始終在關(guān)注這個(gè)行業(yè),也發(fā)現(xiàn)了一些現(xiàn)象和問(wèn)題,特別是安全技術(shù)人員的弱勢(shì)、背鍋、無(wú)意識(shí)犯罪,感到非常可惜,也值得社會(huì)反思和法律人的投入。”

創(chuàng)新互聯(lián)不只是一家網(wǎng)站建設(shè)的網(wǎng)絡(luò)公司;我們對(duì)營(yíng)銷、技術(shù)、服務(wù)都有自己獨(dú)特見(jiàn)解,公司采取“創(chuàng)意+綜合+營(yíng)銷”一體化的方式為您提供更專業(yè)的服務(wù)!我們經(jīng)歷的每一步也許不一定是最完美的,但每一步都有值得深思的意義。我們珍視每一份信任,關(guān)注我們的網(wǎng)站設(shè)計(jì)制作、成都網(wǎng)站設(shè)計(jì)質(zhì)量和服務(wù)品質(zhì),在得到用戶滿意的同時(shí),也能得到同行業(yè)的專業(yè)認(rèn)可,能夠?yàn)樾袠I(yè)創(chuàng)新發(fā)展助力。未來(lái)將繼續(xù)專注于技術(shù)創(chuàng)新,服務(wù)升級(jí),滿足企業(yè)一站式全網(wǎng)整合營(yíng)銷推廣需求,讓再小的品牌網(wǎng)站制作也能產(chǎn)生價(jià)值!

一句“可惜”的感嘆背后是多少個(gè)真實(shí)的法律案例。正所謂常在河邊走,哪有不濕鞋。網(wǎng)絡(luò)安全這條大河又讓多少安全技術(shù)人員腳底沾“泥”而不自知?

如今,網(wǎng)絡(luò)安全行業(yè)相關(guān)的法律法規(guī)不再是“一枝獨(dú)秀”,而呈“百花齊放”之勢(shì)。在剛過(guò)去的幾個(gè)月內(nèi),政府就出臺(tái)了多部網(wǎng)絡(luò)安全行業(yè)相關(guān)的法律法規(guī),比如新版國(guó)家標(biāo)準(zhǔn)《個(gè)人信息安全規(guī)范》、《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—遠(yuǎn)程辦公安全防護(hù)》等,涉及領(lǐng)域之多樣,行業(yè)之細(xì),可落地、可執(zhí)行。

然而,近幾年,技術(shù)卻頻頻闖入法律的紅燈區(qū),因?yàn)榘踩夹g(shù)而鋃鐺入獄的從業(yè)者不在少數(shù),如何去把握法律的邊界而不觸及這條高危紅線?這是安全技術(shù)人員常常需要思考的問(wèn)題。此次邀請(qǐng)到婁鶴律師來(lái)聊一聊安全技術(shù)人員自身的安全問(wèn)題。

?[[323367]]?

婁鶴,北京德和衡(上海)律師事務(wù)所,高級(jí)聯(lián)席合伙人/律師。上海市科技創(chuàng)業(yè)導(dǎo)師,CISO(注冊(cè)信息安全專業(yè)人員),曾任上海市律師協(xié)會(huì)互聯(lián)網(wǎng)業(yè)務(wù)委員會(huì)委員。在網(wǎng)絡(luò)信息安全、數(shù)據(jù)及隱私保護(hù)、網(wǎng)絡(luò)犯罪等領(lǐng)域擁有豐富經(jīng)驗(yàn),對(duì)境內(nèi)外法律均有深入研究。

公平、正義,再帶點(diǎn)酷炫……這是多少律師從業(yè)者的初心,婁鶴亦是如此。除此以外,律師行業(yè)對(duì)個(gè)人意味著有更多施展的空間,可以通過(guò)法律服務(wù)參與到經(jīng)濟(jì)發(fā)展的不同行業(yè)。

婁鶴認(rèn)為,數(shù)字化經(jīng)濟(jì)的發(fā)展,離不開(kāi)技術(shù)的迭代,也離不開(kāi)法律的規(guī)范,在這個(gè)過(guò)程中充滿著不確定性、利益沖突、各種機(jī)會(huì)。互聯(lián)網(wǎng)安全行業(yè)一直是婁鶴的關(guān)注對(duì)象,對(duì)于行業(yè)的整體形勢(shì)發(fā)展他給出了一些自己的看法:

從目前的立法和執(zhí)法情況看,我們國(guó)家對(duì)網(wǎng)絡(luò)安全問(wèn)題日益重視,原因在于國(guó)內(nèi)外的網(wǎng)絡(luò)安全事件頻發(fā)、網(wǎng)絡(luò)威脅嚴(yán)重,國(guó)內(nèi)數(shù)字化經(jīng)濟(jì)的快速發(fā)展也需要一個(gè)更安全的技術(shù)環(huán)境和法律環(huán)境。

因此,面對(duì)網(wǎng)絡(luò)安全行業(yè)法律的新興態(tài)勢(shì)時(shí),婁鶴認(rèn)為對(duì)整體行業(yè)發(fā)展是利好。

隨著網(wǎng)安法規(guī)及監(jiān)管政策的不斷落地,比如:等保2.0、密碼法、關(guān)鍵信息基礎(chǔ)設(shè)施測(cè)評(píng)等,全社會(huì)都越來(lái)越重視安全這個(gè)事情。但從實(shí)踐角度,還是得從等保測(cè)評(píng)、一些安全硬件的采購(gòu)和部署開(kāi)始,一步一步來(lái),這需要一個(gè)過(guò)程。

在法規(guī)層面,以2016年出臺(tái)的《網(wǎng)絡(luò)安全法》為基點(diǎn),作為頂層架構(gòu)逐步擴(kuò)散,具體細(xì)化到一些技術(shù)領(lǐng)域。這就類似一棵樹(shù)一樣,往下不斷生長(zhǎng)扎根。整體網(wǎng)絡(luò)安全法律體系是逐漸地從抽象到具體,從籠統(tǒng)到細(xì)化,不斷完善的過(guò)程。

何以“踩雷”卻不自知

網(wǎng)絡(luò)安全形勢(shì)的復(fù)雜化和多樣化是催生行業(yè)法規(guī)的出臺(tái)和完善的一大動(dòng)力。除了企業(yè)合規(guī)風(fēng)險(xiǎn)上升,安全技術(shù)人員觸及法律這條紅線的事件也在增加,比如早期的“世紀(jì)佳緣”案件、近期的“微盟刪庫(kù)”事件等。

其中,婁鶴認(rèn)為背后的原因有多個(gè)方面:

  • 一是網(wǎng)絡(luò)技術(shù)更新很快,應(yīng)用形式多樣,綜合環(huán)境很復(fù)雜。
  • 二是人員的技術(shù)能力,與法律意識(shí)、安全意識(shí)不匹配、不同步。這里的人員,包括技術(shù)人員,也包括管理人員。他們往往沒(méi)有意識(shí)到技術(shù)的發(fā)展和更多樣化的行業(yè)運(yùn)用,其實(shí)是在放大風(fēng)險(xiǎn)。比如引發(fā)社會(huì)混亂和投資人損失的一些互聯(lián)網(wǎng)金融事件,就是如此。
  • 三是監(jiān)管具有滯后性的特點(diǎn),一般跟不上技術(shù)和應(yīng)用發(fā)展的速度,會(huì)留有時(shí)間窗口期,短期內(nèi)存在立法缺位的現(xiàn)象,同時(shí)執(zhí)法的尺度、邊界也比較模糊,這些都可能引起一些誤讀。

以上三個(gè)原因之間是相互交織的,隨著技術(shù)應(yīng)用的多樣化,用傳統(tǒng)的方法去識(shí)別這種犯罪或者違法的形態(tài)和情況也會(huì)越來(lái)越難。因此,在這種情況下,政府部門需要進(jìn)行規(guī)范。從立法到執(zhí)法,這個(gè)過(guò)程也需要時(shí)間,從而導(dǎo)致了滯后性。

這種情況下容易出現(xiàn)兩種比較普遍的結(jié)果,一種是人員被技術(shù)的功能性和應(yīng)用的多樣性所迷惑,無(wú)法把握本質(zhì)而違法。

比如說(shuō)某網(wǎng)站推出的對(duì)客戶獎(jiǎng)勵(lì)的紅包活動(dòng),技術(shù)人員用技術(shù)去突破,去冒領(lǐng)一些數(shù)字財(cái)產(chǎn),將其變現(xiàn)。他可能不覺(jué)得這是一個(gè)犯罪的行為,他覺(jué)得我只是技術(shù)比較牛,不會(huì)被人察覺(jué)。雖然這不同于直接去銀行竊取錢財(cái),但是本質(zhì)上它其實(shí)是一個(gè)偷盜的行為。

另一種是處在法律的模糊邊界,并不確定是否可以執(zhí)行,但最后做完又充當(dāng)了“替罪羊”的角色。

特別是一些金融創(chuàng)新類的業(yè)務(wù),處在模糊邊界,這個(gè)東西到底能不能做,本身是比較搖擺的。有時(shí)候監(jiān)管部門的態(tài)度也比較曖昧,那么技術(shù)人員可能確實(shí)會(huì)充當(dāng)一些背鍋的這樣的角色。

總結(jié)來(lái)說(shuō),安全技術(shù)人員容易“踩雷”而不知,有以下五點(diǎn)原因:

  • 技術(shù)相關(guān)法律條款相對(duì)原則、抽象,但實(shí)踐又是具體、豐富和多樣的,存在理解和認(rèn)知上的差異;
  • 技術(shù)人員的認(rèn)知局限,缺乏風(fēng)險(xiǎn)意識(shí)、警惕性和敏感性;
  • 存在不少灰色的地帶、模糊的邊界,特別是創(chuàng)新業(yè)務(wù),執(zhí)法態(tài)度可能會(huì)隨著事態(tài)的發(fā)展發(fā)生變化;
  • 在單位犯罪中,技術(shù)人員往往要背鍋,他們承擔(dān)了底層的技術(shù)工作,但因?yàn)樯蠈由虡I(yè)模式的違法性,而受到牽連;
  • 商業(yè)競(jìng)爭(zhēng)激烈、環(huán)境兇險(xiǎn),一些看似普通的技術(shù)問(wèn)題,也可能會(huì)轉(zhuǎn)化成刑事案件。

爬蟲(chóng)場(chǎng)景的法律“曖昧”

安全技術(shù)人員容易踩雷的場(chǎng)景之一,是避不開(kāi)用爬蟲(chóng)技術(shù)獲取數(shù)據(jù)。爬蟲(chóng)被稱為互聯(lián)網(wǎng)行業(yè)的“黃金礦工”,然而有時(shí)候這位“黃金礦工”也是會(huì)挖到“地雷”的。近幾年,因?yàn)榕老x(chóng)觸及法律的事件,曝光的和判刑的都比較多。

“只因?qū)懥艘欢闻老x(chóng),公司200多人被抓!”

“來(lái)我公司寫爬蟲(chóng)嗎?會(huì)坐牢的那種!”

這類新聞字眼也是頻頻挑動(dòng)著技術(shù)人員的心,所以在利用爬蟲(chóng)開(kāi)展信息搬運(yùn)時(shí),應(yīng)三省吾身:

  • 是否違反ROBOTS協(xié)議,爬取對(duì)方數(shù)據(jù);
  • 是否繞過(guò)防護(hù)系統(tǒng),爬取數(shù)據(jù),甚至竊取個(gè)人敏感信息;
  • 是否入侵計(jì)算機(jī)信息系統(tǒng),或因爬取數(shù)據(jù)的行為影響對(duì)方服務(wù)器正常運(yùn)行。

另外需要特別注意,對(duì)“違法”要做區(qū)分,有的是民事違法,比如爬取競(jìng)爭(zhēng)對(duì)手的數(shù)據(jù),會(huì)構(gòu)成不正當(dāng)競(jìng)爭(zhēng),可能被對(duì)手提起民事訴訟。而當(dāng)爬取的數(shù)據(jù)涉及個(gè)人敏感數(shù)據(jù),或造成了嚴(yán)重后果的,則會(huì)構(gòu)成刑事犯罪。

爬蟲(chóng)本身其實(shí)并不違法,但是對(duì)于爬取的數(shù)據(jù),因其性質(zhì)進(jìn)行分類,結(jié)果就不一樣了。那些在爬蟲(chóng)場(chǎng)景下容易觸及的法律法規(guī),比如,

網(wǎng)絡(luò)安全法

《網(wǎng)絡(luò)安全法》第四十四條 任何個(gè)人和組織不得竊取或者以其他非法方式獲取個(gè)人信息。因此,如果爬蟲(chóng)在未經(jīng)用戶同意的情況下大量抓取用戶的個(gè)人信息,則有可能構(gòu)成非法收集個(gè)人信息的違法行為。

非法侵入計(jì)算機(jī)信息系統(tǒng)罪

《刑法》第二百八十六條還規(guī)定,違反國(guó)家規(guī)定,對(duì)計(jì)算機(jī)信息系統(tǒng)功能進(jìn)行刪除、修改、增加、干擾,造成計(jì)算機(jī)信息系統(tǒng)不能正常運(yùn)行,后果嚴(yán)重的,構(gòu)成犯罪,處五年以下有期徒刑或者拘役;后果特別嚴(yán)重的,處五年以上有期徒刑。而違反國(guó)家規(guī)定,對(duì)計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、處理或者傳輸?shù)臄?shù)據(jù)和應(yīng)用程序進(jìn)行刪除、修改、增加的操作,后果嚴(yán)重的,也構(gòu)成犯罪,依照前款的規(guī)定處罰。

侵犯商業(yè)秘密罪

《反不正當(dāng)競(jìng)爭(zhēng)法》第九條,以不正當(dāng)手段獲取他人商業(yè)秘密的行為即已經(jīng)構(gòu)成侵犯商業(yè)秘密。而后續(xù)如果進(jìn)一步利用,或者公開(kāi)該等信息,則構(gòu)成對(duì)他人商業(yè)秘密的披露和使用,同樣構(gòu)成對(duì)權(quán)利人的商業(yè)秘密的侵犯。

……

因此,婁鶴建議開(kāi)展爬蟲(chóng)業(yè)務(wù)的公司及業(yè)務(wù)人員,要十分重視其潛在的法律風(fēng)險(xiǎn),最好咨詢網(wǎng)絡(luò)安全律師的意見(jiàn),對(duì)業(yè)務(wù)風(fēng)險(xiǎn)及合法性進(jìn)行評(píng)估。

“故意”“過(guò)失”傻傻分不清

前段時(shí)間,微盟刪庫(kù)事件引起軒然大波,嫌疑人是企業(yè)內(nèi)部的運(yùn)維人員,涉嫌故意“刪庫(kù)”泄憤,這類情況屬于少數(shù)案例,而日常生活中,技術(shù)人員往往是因?yàn)楦鞣N因素而導(dǎo)致的“無(wú)意”犯罪。

婁鶴指出,對(duì)于技術(shù)類的“無(wú)意”犯罪是十分常見(jiàn)的。從人的主觀判斷上來(lái)說(shuō),可以稱之為“無(wú)意”,但是在法律上,是分為“故意”和“過(guò)失”兩種情況。

  • 有些技術(shù)人員因?yàn)椴欢?,沒(méi)有意識(shí)到違法而犯罪的,從刑法上依然可以被認(rèn)定為是故意犯罪,不影響定罪。
  • 對(duì)于過(guò)失類犯罪,是指當(dāng)事人主觀上沒(méi)有作惡或犯罪的目的,比如因操作不規(guī)范導(dǎo)致公司代碼泄露而造成經(jīng)濟(jì)損失的,這種非主動(dòng)的情況在判罰上相比故意犯罪會(huì)輕一些。

比如說(shuō)在一些數(shù)據(jù)泄露案件中,可能只是一個(gè)普通的操作,把代碼放在某個(gè)公共平臺(tái)上,因?yàn)椴僮鞑灰?guī)范或保護(hù)不當(dāng),被黑客竊取了,那么這種是屬于過(guò)失犯罪。

而對(duì)于故意犯罪的判定,婁鶴舉了個(gè)例子,比如經(jīng)常會(huì)聽(tīng)到一些P2P金融公司陷入非法集資或者集資詐騙的新聞,但是這個(gè)事件卻把程序員抓進(jìn)去了。從程序員的角度來(lái)說(shuō),有種情況就是起到一個(gè)幫忙實(shí)現(xiàn)功能的作用,而對(duì)于平臺(tái)所參與的犯罪活動(dòng)一概不知,這種情況下程序員仍然會(huì)被判為故意犯罪。因?yàn)閺恼w上的功能實(shí)現(xiàn)來(lái)說(shuō),程序員還是有主動(dòng)參與的,法律上只是主犯和從犯的區(qū)別。但是歸根到底,這是整個(gè)平臺(tái)的商業(yè)模式的問(wèn)題。

?[[323368]]?

安全圈的“軟件”防護(hù)不可少

如果說(shuō)安全技術(shù)上的規(guī)避,是為硬件防護(hù),那么法律安全意識(shí)就是“軟件”防護(hù)。

2020年的RSA大會(huì)中,“人的因素”被定為了大會(huì)主題,這也表明了一種行業(yè)趨勢(shì),人在安全領(lǐng)域的作用會(huì)越來(lái)越大,越來(lái)越關(guān)鍵,那么構(gòu)成企業(yè)的人員個(gè)體的法律安全意識(shí)的重要性不言自明。從技術(shù)人員安全上升到企業(yè)安全,企業(yè)員工個(gè)體如果沒(méi)有這種法律的安全意識(shí),那么對(duì)于企業(yè)自身而言也是岌岌可危的。當(dāng)企業(yè)員工個(gè)體懂得如何去規(guī)避法律風(fēng)險(xiǎn)時(shí),企業(yè)合規(guī)或許也就真正地有了著落。

在采訪的最后,婁鶴為安全技術(shù)人員提出了一些建議來(lái)規(guī)避網(wǎng)絡(luò)安全風(fēng)險(xiǎn):

  • 呼吁整個(gè)安全技術(shù)行業(yè)、都要增強(qiáng)法律風(fēng)險(xiǎn)意識(shí)。
  • 多參加安全/法律培訓(xùn);多關(guān)注與技術(shù)相關(guān)的違法犯罪案件,這些案件往往具有代表性,也是執(zhí)法部門在階段性整治、打擊行動(dòng)的風(fēng)向標(biāo)。
  • 提高對(duì)高風(fēng)險(xiǎn)的技術(shù)、場(chǎng)景的辨識(shí)能力,如:爬蟲(chóng)、虛擬貨幣、個(gè)人數(shù)據(jù)、金融業(yè)務(wù)、漏洞挖掘。
  • 多咨詢專業(yè)律師的意見(jiàn),不要憑感覺(jué)去做判斷,很多問(wèn)題都出在 “我以為”,但是法律并不是你以為的那樣。

當(dāng)然,簡(jiǎn)短的幾行建議并不是行走安全圈的護(hù)身符,真正需要安全技術(shù)人員去做到的是對(duì)于安全法律的了然于心,當(dāng)技術(shù)和法律的協(xié)同支撐,才能在未來(lái)走得更遠(yuǎn)。

希望安全技術(shù)人員能夠保護(hù)好自己,享受技術(shù)的快樂(lè)、發(fā)揮技術(shù)的能量,共同造福社會(huì),建設(shè)一個(gè)更安全、更高效、更豐富多彩的數(shù)字世界。


當(dāng)前文章:婁鶴:網(wǎng)絡(luò)安全人員真的“安全”嗎?
URL地址:http://www.5511xx.com/article/cccdsij.html