【摘要】物聯(lián)網(wǎng)是新興產(chǎn)業(yè)的重要組成部分,在經(jīng)濟社會發(fā)展中發(fā)揮著越來越重要的作用。物聯(lián)網(wǎng)的快速發(fā)展離不開對信息安全的保護,這不僅需要技術(shù)上的突破,更需要法律上的保障。要完善物聯(lián)網(wǎng)信息安全相關(guān)法律法規(guī),規(guī)范物聯(lián)網(wǎng)相關(guān)主體權(quán)利義務(wù),加強政府監(jiān)管,以法律護航物聯(lián)網(wǎng)的發(fā)展及信息安全。
【關(guān)鍵詞】物聯(lián)網(wǎng) 信息安全 法律保護 【中圖分類號】D92 【文獻標識碼】A
物聯(lián)網(wǎng)是指通過傳感網(wǎng)絡(luò),實時采集所需信息,將所采集的信息匯聚至網(wǎng)關(guān)終端,然后通過無線網(wǎng)絡(luò)運程將其順利地傳輸至指定的應(yīng)用系統(tǒng)中,以實現(xiàn)人類對物品的遠程控制。物聯(lián)網(wǎng)一般分為三個層次:感知層、網(wǎng)絡(luò)層、應(yīng)用層。感知層主要是利用傳感器、攝像機和RFID識別器等設(shè)備采集數(shù)據(jù)。感知層是物聯(lián)網(wǎng)三層結(jié)構(gòu)中最為脆弱的一層,其采集的數(shù)據(jù)如果缺乏有效保護,容易被非法手段獲取、監(jiān)聽和干擾;網(wǎng)絡(luò)層是將感知層獲取的數(shù)據(jù)長距離傳輸至應(yīng)用層,往往也存在著非法接入、信息盜取和篡改以及假冒攻擊等安全隱患;應(yīng)用層則是對數(shù)據(jù)進行應(yīng)用,實現(xiàn)物的智能化。病毒、黑客或者惡意軟件繞過了相關(guān)安全技術(shù)防范后,就可能惡意操縱他人物品,侵犯他人隱私。物聯(lián)網(wǎng)時代信息安全保護至關(guān)重要,除了通過技術(shù)手段來解決,更需要法律上的保障。
當前我國物聯(lián)網(wǎng)信息安全保護立法情況
我國積極推進信息安全立法。物聯(lián)網(wǎng)時代,信息安全涉及到個人隱私、企業(yè)商業(yè)秘密以及國家和社會的重大利益,亟需立法保護。我國針對這一問題雖然沒有專門的立法,但是多部法律均對這一問題進行了規(guī)定?!吨腥A人民共和國憲法》(以下簡稱《憲法》)第四十條規(guī)定:“中華人民共和國公民的通信自由和通信秘密受法律的保護。除因國家安全或者追查刑事犯罪的需要,由公安機關(guān)或者檢察機關(guān)依照法律規(guī)定的程序?qū)νㄐ胚M行檢查外,任何組織或者個人不得以任何理由侵犯公民的通信自由和通信秘密。”這一規(guī)定為物聯(lián)網(wǎng)時代信息安全保護提供了根本依據(jù)。除了《憲法》之外,《中華人民共和國國家安全法》《中華人民共和國保守國家秘密法》《中華人民共和國電子簽名法》和《中華人民共和國著作權(quán)法》等法律對網(wǎng)絡(luò)安全問題均有涉及。另外,在刑法領(lǐng)域,《中華人民共和國刑法》也規(guī)定了五種網(wǎng)絡(luò)犯罪,將信息安全問題納入了刑法保護范疇。
我國物聯(lián)網(wǎng)信息安全保護立法存在不足。首先是法規(guī)分散、不成體系。我國關(guān)于信息安全的規(guī)定分布在多部法律法規(guī)之中,至今沒有一部專門針對信息安全問題的基本法,沒有形成一個完整的法律體系,并且相關(guān)規(guī)定,過于繁雜。其次是部門立法、行業(yè)立法現(xiàn)象普遍。我國多個政府部門或者行業(yè)都對信息安全問題出臺了相關(guān)的部門規(guī)章或者行業(yè)自律管理辦法,但是各部門或者各行業(yè)往往是立足于本部門或本行業(yè)的利益進行立法,因各方利益沖突,會導(dǎo)致相關(guān)規(guī)定沖突。最后是立法存在滯后,無法適應(yīng)物聯(lián)網(wǎng)時代的新挑戰(zhàn)。目前,我國相關(guān)法律法規(guī)對信息、信息資源等相關(guān)概念缺乏明確的界定,并且對于物聯(lián)網(wǎng)時代的一些新的侵犯信息安全的行為沒能及時予以規(guī)定,更沒有明確各方的權(quán)利義務(wù),難以適應(yīng)物聯(lián)網(wǎng)時代的發(fā)展,可操作性不強。
國際上物聯(lián)網(wǎng)信息安全保護法律保障有關(guān)經(jīng)驗
美國較早地推進了信息安全保護。美國采取的是分散立法模式,即沒有一部針對信息保護的基本法,而是通過各個部門、各個行業(yè)根據(jù)自身的特點,頒布相應(yīng)的法案來保護信息安全。美國早在1974年就指定了《隱私權(quán)法》,是世界上第一個通過立法保護個人信息的國家。2015年,美國發(fā)布了《消費者隱私權(quán)利法(草案)》,該法案為對個人信息的保護提供了原則性的規(guī)定,創(chuàng)造性的把“場景導(dǎo)向”與“風險導(dǎo)向”理念引入了個人信息的保護。美國還頒布了《禁止利用電子計算機犯罪法》,對黑客的行為和行為的性質(zhì)進行了區(qū)分。另外,美國各州對信息安全問題也有各自的立法。如,2018年臉書數(shù)據(jù)泄露后,美國加州頒布了《2018年加州消費者隱私法》,該法案既強調(diào)個人對個人信息的控制權(quán),又高度關(guān)注產(chǎn)業(yè)利益。
歐盟專門提出了物聯(lián)網(wǎng)行動計劃。2009年,歐盟委員會向歐盟議會、理事會、歐洲經(jīng)濟和社會委員會及地區(qū)委員會遞交了《歐洲物聯(lián)網(wǎng)行動計劃》(以下簡稱“歐洲計劃”),“歐洲計劃”提出要完善隱私及個人數(shù)據(jù)保護且要嚴格執(zhí)行數(shù)據(jù)保護有關(guān)法律法規(guī),首次從法律層面把物聯(lián)網(wǎng)時代的信息安全問題上升到新的高度。“歐洲計劃”第三條提出了“芯片沉默”的權(quán)利,即個人是否有能力在任何時間斷開他們與網(wǎng)絡(luò)環(huán)境的連接。簡單地說,就是個人對其個人信息是否有控制權(quán)。此外,歐盟制定了《一般數(shù)據(jù)保護條例》,并于2016年5月24日生效。此條例完善了個人數(shù)據(jù)概念、明確了數(shù)據(jù)主體的權(quán)利、設(shè)置了監(jiān)督主體并加大了處罰力度。
多措并舉加快推進我國物聯(lián)網(wǎng)信息安全法律保障
借鑒國外經(jīng)驗,完善我國物聯(lián)網(wǎng)信息安全相關(guān)法律法規(guī)。一方面,要整體規(guī)劃,合理分工。應(yīng)當從國家層面做好物聯(lián)網(wǎng)時代信息安全立法的整體規(guī)劃,構(gòu)建科學(xué)合理的法律框架,引導(dǎo)各部門、各行業(yè)合理分工,促進信息安全立法沿著正確的軌道推進。另一方面,推進專門立法,研究制定《信息保護法》。雖然我國諸多法律法規(guī)對信息安全問題均有涉及,但是我國至今沒有對這一問題進行專門立法。物聯(lián)網(wǎng)時代,信息安全至關(guān)重要。我國也應(yīng)當立足于物聯(lián)網(wǎng)時代信息安全的新挑戰(zhàn),出臺專門的《信息保護法》,減少消除物聯(lián)網(wǎng)時代信息泄露所帶來的困擾。
規(guī)范好物聯(lián)網(wǎng)相關(guān)主體權(quán)利義務(wù)。一方面,對于物聯(lián)網(wǎng)企業(yè)而言,首先要履行告知義務(wù),在提供物聯(lián)網(wǎng)服務(wù)前應(yīng)告知用戶在使用過程會獲取其相關(guān)的個人信息、獲取信息的用途以及相應(yīng)的后果。同時,物聯(lián)網(wǎng)企業(yè)還要提供一個安全的網(wǎng)絡(luò)環(huán)境,應(yīng)堵住安全漏洞,防止用戶信息泄露。最后,物聯(lián)網(wǎng)企業(yè)還應(yīng)當履行好保密義務(wù),未經(jīng)用戶授權(quán),不得隨意對外公布相關(guān)信息。若物聯(lián)網(wǎng)企業(yè)基于故意或過失而導(dǎo)致用戶信息泄露,應(yīng)當承擔相應(yīng)的責任。另一方面,對于物聯(lián)網(wǎng)用戶而言,要遵守物聯(lián)網(wǎng)相關(guān)管理規(guī)定,以合法合理的方式使用物聯(lián)網(wǎng),不能違反規(guī)定,惡意使用物聯(lián)網(wǎng)。此外,要如實提供個人信息并注意個人信息保護。在物聯(lián)網(wǎng)企業(yè)履行告知義務(wù)后,用戶一旦接受相應(yīng)條款,須如實填寫自己的相關(guān)信息,更不能在未經(jīng)他人授權(quán)的情況下,擅自上傳他人信息,造成相應(yīng)后果的,應(yīng)當承擔相應(yīng)責任。
加強政府對物聯(lián)網(wǎng)信息安全的監(jiān)管。物聯(lián)網(wǎng)時代,信息安全會面臨更大的挑戰(zhàn),政府應(yīng)當加強監(jiān)管。比如,可以研究成立一個處理信息安全問題的專門機關(guān),專門負責信息安全領(lǐng)域的市場規(guī)范和執(zhí)法監(jiān)管,并賦予該機關(guān)相應(yīng)的處罰權(quán),從而加大信息安全侵權(quán)行為的違法成本。物聯(lián)網(wǎng)作為國家的重要創(chuàng)新產(chǎn)業(yè),即將迎來井噴式發(fā)展。在這個過程中,政府要做好物聯(lián)網(wǎng)發(fā)展的相關(guān)引導(dǎo)規(guī)范,對不良行為加強監(jiān)管。要運用多種手段解決物聯(lián)網(wǎng)時代信息安全問題,除了技術(shù)上的突破之外,要注意運用好法律武器,為物聯(lián)網(wǎng)時代營造一個良好的法治環(huán)境。
(作者為西安交通大學(xué)法學(xué)院教授;西安交通大學(xué)法學(xué)院碩士研究生李亮對此文亦有貢獻)
【參考文獻】
①馬曉旭:《歐盟信息保護立法與美國域外取證的沖突和啟示》,《法律適用》,2014年第3期。
②郭世斌、劉慧:《美國、歐盟個人信息保護立法改革路徑與啟示》,《華北金融》,2017年第4期。
③魏書音:《從CCPA和GDPR比對看美國個人信息保護立法趨勢及路徑》,《網(wǎng)絡(luò)空間安全》,2019年第4期。
責編/于洪清 美編/陳琳(見習)
聲明:本文為人民論壇雜志社原創(chuàng)內(nèi)容,任何單位或個人轉(zhuǎn)載請回復(fù)本微信號獲得授權(quán),轉(zhuǎn)載時務(wù)必標明來源及作者,否則追究法律責任。