2019年7月29日,由中国电子学会、四川省经济和信息化厅、四川省互联网信息办公室、四川省科学技术协会、四川省贸促会共同主办的第四届中国网络与信息安全大会在成都隆重召开。
深圳法大大网络科技有限公司高级副总裁兼CTO苏红超在大会现场发表了《信息安全与法律科技的融合与创新》的演讲,以下是现场演讲实录。
国内外信息安全监管发展与合规解读
各位嘉宾、专家早上好,我今天分享的主题是《信息安全与法律科技的融合与创新》,主要是商用环境下信息安全与法律科技的融合实践。
首先我会给大家分享一下国内外对于信息安全监管的发展情况与合规解读,谈一些心得体会。
作为电子合同领域的公司,我们对于企业及个人的隐私数据是非常关注的,信息安全也是我们关注的重点。我国在信息安全的法律法规方面,也呈现了多维度立体化的特点。总结起来有这么几条:
一是依法,这里说的主要是我们的《网络安全法》;
二是制度,这个制度主要是我们等级保护制度,并且在今年5月份颁布最新的《网络安全等级保护制度2.0标准》;
三是规范,我们国家对于个人信息安全保护虽然还属于立法推进的过程当中,但已经形成了一定的安全规范。
各位对网络安全等级保护制度就比较熟悉了,作为一家商业运作的互联网公司,我们认为等保2.0与1.0相比,最大的提升有两点:
第一是它把个人信息纳入到等保的约束范围内,第二是信息保障体系由之前的被动防御转变成了全方位的主动防御。
国内对于信息安全相关的法律法规其实是比较健全,也是立体全方位的,整体趋势更是日趋严格,这和国际上对于企业信息及个人隐私保护方面的立法方向也是一致的。
△国内信息安全相关法律法规
我们的电子合同业务涉及到国内和海外的一些业务,下面我跟大家分享一下对于海外信息安全法律和政策法规的解读。
欧盟GDPR是在2018年正式发布的,GDPR可以说是全世界对于个人信息保护最为严格的法律法规。总结下来,其核心是三点:
第一是使用范围非常广,无论是通过属地管辖和属人管辖,基本上都把涉及个人的方方面面都包括在内。
第二是遵从数据的基本原则,这个是非常严格的,无论是从数据收集,还是数据存储和数据使用的方方面面,GDPR都做了约束和规定。
GDPR的核心是个人隐私数据保护,所以对于用户主体权益的保护是非常非常大的,无论是对个体的知情权、数据管理权限及数据权限处置的个人意愿都做了严格的管理。
在美国,在国家整体层面上来看,它不像欧盟地区一样,有统一的法律法规来保护个人信息安全,它的特点是分行业、分散立法来进行一些政策法规的制定,比如说在金融、医疗、教育等领域都制定了一些相关的个人隐私保护条例。
美国还有一个特点就是州立法,作为一个联邦制的国家,美国每个州都有自己的一些独立立法和司法权限,比如加州就单独制定了CCPA个人隐私保护条例。
还有一个从全球范围来看比较典型的国家就是日本。日本更多是借鉴和模仿西方国家的做法,也比较早对个人信息保护进行立法,它的特点是3年更新一次,更新的依据是什么呢?刚才提到它更多的是借鉴欧美个人隐私保护的条例,日本会在每三年修订法案时,将欧美最新的立法动态和外部环境的发展情况纳入进去。
其实日本和新加坡、美国一样,是区块链发展非常迅速的国家,他们在最近的一次修订计划中,也会把区块链相关的信息保护政策纳入到个人信息保护法中。
△国内外信息安全立法对比
法律科技发展与信息安全关注点
整体对比来看,包括我们国家在内的每个国家和地区都有一些鲜明的特点。我国在个人信息保护立法方面,相关部门也在持续推进。对于法律科技这个领域和信息安全之间的一些融合,下面我给大家简单地汇报一下。
法律科技是随着整个互联网的发展而不断发展的,起步也是在2000年左右。随着我们整个互联网的蓬勃发展,法律科技这个概念被正式提出来。随着我国电商环境的不断发展,也出现了针对法律行业、法律科技方面的电商热潮,他们更多的是提供一些法律服务。
2014年是一个重要的分水岭,法律科技布局初显,国家相关部门以及各个互联网巨头入场,投资基金在这个时候不断涌入。而法律科技在海外,也差不多是在2013、2014年蓬勃发展起来的。
法律科技目前的最新发展趋势,第一个就是大数据和AI,通过AI、机器学习、深度学习,可以快速地把一些法律文本,尤其是合同范本进行智能纠错,甚至是智能起草、智能仲裁。第二个就是区块链,区块链的特点就是公正公开透明,而且是可以追溯源头的,这个恰恰是我们电子证据可以利用的重要技术手段,所以区块链在电子数据的存证方面有天然的优势。
这里列举了一下整个法律科技的各种应用,包括智慧法庭、智能法院,以及我们所从事的电子签章、电子合同。作为法律科技从业者,最关注的还是信息安全。信息安全有三个重点:一是机密性,二是完整性,三是可用性。我们通过多维度、多层次的立体防护,保证法律科技领域的信息安全。
△国内法律科技应用领域列举
法大大信息安全实践与创新
下面给大家汇报一下我们法大大在整个法律科技领域以及信息安全领域的最佳实践。
法大大提供了电子签章和电子合同的整体解决方案,我们会通过PAAS中台把一些底层能力集成起来,包括我们的密码技术、区块链技术、机器学习技术,形成一个多维度PAAS平台。
再往上是我们公司产品的应用层,在这个应用层上我们会提供多种模式,比如SAAS、公有云、混合云,包括本地部署的SDK模式。
第三个就是我们给企业提供的垂直行业解决方案,包括传统金融、地产、游戏等等。当然物联网我们也会涉及,我们在签署电子合同时的某些功能,像身份认证其实就会借助物联网、5G技术的赋能。
右边两个部分,一个是大数据中心,一个是AI处理中心,它们是两个是相辅相成的。对于一些法律文本,我们可以对其做深度脱敏之后进行聚合处理,并且通过机器学习使得我们的工作效率进一步提升。
△电子签章整体解决方案
整体来说我们会涵盖合同的整个生命周期,包括合同起草、合同签署,在合同产生纠纷之后我们可以一键发起网络仲裁。
合同是非常机密的,通过合同来连接了企业和个人,涉及到相关方的隐私信息,针对这一点,我们通过六个维度,把整个信息安全体系管理起来。
刚刚王小云院士也提到我们国家颁布了《电子签名法》,它涉及到了企业和个人的认证,对签署双方或者多方的身份要做严格的实名认证。后面我会展开讲一下,如何通过数字证书技术、密码学习技术来确认签约主体的合法性和有效性。
另一个重点就是意愿签署,合同最关键的是确保签署各方意愿,现在有很多不合规的平台,消费者在上面可能莫名其妙地就签署合同,进行了消费贷。其实这是非常不合规的,其中的隐患也是非常巨大的。
我们通过这样的一个流程,会不断地优化我们在法律合规性,以及个人隐私保护上的工作,通过对标分析、差距评估、合规方案的选定,最终不断整改推动我们整个信息安全水平的提升。
当然这个流程我们是会不断地演进,而非把它固定下来的,我们会随时根据外部环境,以及实际的演进情况往前推进。在这个过程中,我们也得到了很多信息安全相关的资质认定。
电子合同签署技术要求,概括来说就是3W,我们会对文件内容、签约主体和签约时间,分别通过数字签名,数字证书和可信时间戳来进行运算,最终植入到电子合同中,电子合同最终承载的实体在我们国内更多使用OFD格式,整个国际上通用的是PDF,我们会把这些数据格式写入到整个电子合同中去。
△安全电子合同的技术要求
数字签名、数字证书、可信时间戳是大家比较关注的三个点,数字证书更多的是鉴别企业及个人的身份,可信时间戳则是合同签署时间防抵赖的一种措施。
证书安全,这里有几点是专家们比较熟悉的。我们通过一些密码学算法上的支撑,对手机盾等硬件进行物理保护,在云端我们也会通过硬件设施来保证这些证书的安全。
关于文件安全,因为电子合同是非常敏感的电子文件,为此我们通过自己独有的数据文件切片技术,将原始文件分割后储存到多个公有云及私有云上,进行分布式的部署,这样即便是有不法分子攻击这些公有云,他获取到的也只是文件碎片,而无法拥有电子合同的完整文本。
文印安全对国有大型企业、银行是比较有作用的,我们通过自研的防伪墨水、防伪打印机,以及防伪鉴证仪来保证纸质合同不被篡改、可跟踪、可溯源。
这个是电子证据保全,我们更多的与互联网法院及仲裁委合作,将包括签证、电子合同文件本身以及合同相关行为的哈希值保存到联盟区块链上。这些区块链跟公检法都是打通的,所以在产生纠纷的时候,我们能提供强司法属性的出证服务。这是对于区块链证据保全做了一些展开,更多是通过存证API接受令来进行广播上链,这一块是具有强司法属性的,我们可以在一键发起网络仲裁,甚至一键进行线上裁判。
△电子证据保全
接下来的是我们整个平台为了确保信息安全而做的一些保障,我们是融合了多家公有云,包括阿里云、腾讯云等云服务商合作,来保障整个业务的连续性和高可用性。我们也会在运维安全方面做合规审计,包括的堡垒机、日志智能审计、数据库审计、数据库安全运维系统等等。
最后跟大家说一下,上面所有的技术手段,包括运维安全手段,很大程度是为了控制好我们企业和个人的信息安全。法大大电子合同是和各地的公检法系统及互联网法院打通的,具备强司法效力,现在已经有超过一千次判决认可了我们的电子合同。我们已经出具了上千份的电子合同技术报告,对接多家公证处和司法鉴定机构进行数据证据保全。
我的汇报就到这里,谢谢大家!
苏红超 法大大高级总裁兼CTO
电子科技大学本科毕业,十余年互联网一线技术研发与管理经验,国内最早研发实施SaaS/PaaS平台的实践者,对云原生(Cloud Native)体系和生态有丰富的实践及落地经验,深耕区块链应用研发,拥有多项技术发明专利。在企业级电子签章/电子印章以及安全证书等领域有多年实践经验。
GITC全球互联网技术大会专家顾问,微软最有价值专家MVP。出版及翻译了《ASP.NET深入解析》、《ASP.NET 4高级程序设计(第4版)》、《ASP.NET 3.5 高级程序设计:第2版》等多本计算机程序设计教材。