公務(wù)員期刊網(wǎng) 論文中心 正文

個人信息安全風險與防范

前言:想要寫出一篇引人入勝的文章?我們特意為您整理了個人信息安全風險與防范范文,希望能給你帶來靈感和參考,敬請閱讀。

個人信息安全風險與防范

摘要:云計算時代的個人信息安全體系初步形成,但個人信息安全技術(shù)風險和管理風險還大量存在,可能導致個人信息的違法收集、利用和處理,因而有必要構(gòu)建云計算下的個人信息安全監(jiān)控機制、偵查機制和應(yīng)急機制,確保個人信息安全可控和云計算產(chǎn)業(yè)健康發(fā)展。

關(guān)鍵詞:云計算;個人信息;安全風險

一、云計算及其潛在風險概述

云計算是繼分布式計算、網(wǎng)格計算、對等計算之后的一種新型計算方式,通過互聯(lián)網(wǎng)上異構(gòu)、自治的服務(wù),為用戶提供定制化的計算。云計算是將網(wǎng)絡(luò)儲存技術(shù)、虛擬化技術(shù)、網(wǎng)格計算技術(shù)、并行處理技術(shù)、分布式處理技術(shù)等軟硬件技術(shù)融合發(fā)展的集大成者,也是集合了網(wǎng)絡(luò)、服務(wù)器、計算、儲存、應(yīng)用軟件等資源并提供快速便捷、即需即取服務(wù)的共享平臺。云計算具有按需服務(wù)、廣泛的網(wǎng)絡(luò)接入、資源池化、快速彈性以及按使用量計費等5個特點;涵蓋私有云、社區(qū)云、公有云、混合云等4種開發(fā)模式]。云計算有3大優(yōu)勢:

一是具有強大的存儲和計算能力,能提供即需即取的服務(wù)。最大的云計算平臺的服務(wù)器數(shù)量達到百萬級別,一般的云計算企業(yè)的服務(wù)器數(shù)量在幾十萬臺,比較小的企業(yè)私有云服務(wù)器數(shù)量也要數(shù)百上千臺。另外,云計算還能夠彈性配置、動態(tài)伸縮,以滿足用戶規(guī)模和計算量增長的需要。二是具有開放性,能實現(xiàn)資源共享。云計算將虛擬化技術(shù)、分布式計算技術(shù)、效用計算技術(shù)和定制、計量、租用的商業(yè)模式相結(jié)合,最大效率地利用了隨時連接、隨時訪問、分布存取的各個服務(wù)器,實現(xiàn)了資源的共享。三是具有管理成本最小化以及與服務(wù)供應(yīng)商的交互最小化的優(yōu)勢,能降低使用成本。云計算具有規(guī)模效應(yīng)和網(wǎng)絡(luò)效應(yīng),在硬件成本、管理成本、電力成本、資源利用率方面都有極大的成本優(yōu)勢,企業(yè)和個人也省去了服務(wù)器的磨損、閑置和管理成本,只需按需要使用相應(yīng)功能、按服務(wù)量支付費用。云計算潛在的安全風險與云計算的技術(shù)優(yōu)勢和經(jīng)濟效益總是如影隨形。用戶對于個人信息安全的擔憂是云計算服務(wù)推廣應(yīng)用的首要障礙,云計算的理念是開放和共享,而個人信息安全注重封閉和私權(quán),兩者之間存在一定的矛盾。個人信息是指個人姓名、住址、出生日期、身份證號碼、醫(yī)療記錄、人事記錄、照片等單獨或與其他信息對照可識別特定個人的信息[5]。個人信息涉及用戶的人身自由、人格尊嚴、財產(chǎn)權(quán)利等基本權(quán)利,事關(guān)重大,一般具有極高的敏感性。用戶在決定是否使用云計算之前會對云計算的安全風險加以衡量。使用云計算功能在線存儲的文檔、圖片、視頻等文件大量涉及個人信息,一旦云計算的安全體系被攻破,則可能發(fā)生個人信息泄露、販賣等事件,嚴重危及用戶的人身財產(chǎn)安全,甚至會造成社會恐慌。與傳統(tǒng)的互聯(lián)網(wǎng)技術(shù)相比,云計算環(huán)境下保護個人信息的必要性更加突出。一是因為云計算下個人信息脫離了用戶的控制范圍,一旦云計算服務(wù)商的數(shù)據(jù)中心發(fā)生事故,用戶無法知悉,也無法及時采取措施,只能被動挨打。

二是因為云計算的交互式、參與性、網(wǎng)絡(luò)化的特點,用戶幾乎將所有個人信息被動或者主動地全部暴露在云計算服務(wù)商平臺上,存在信息不對稱和能力不對稱的問題,一旦發(fā)生侵權(quán)事件,用戶損失巨大,而且難以維權(quán)。

三是因云計算的普及性和規(guī)模性,小的漏洞都會造成巨大的破壞,損害具有連鎖反應(yīng)。比如,2011年亞馬遜的EC2業(yè)務(wù)由于出現(xiàn)一點小的漏洞,整個云計算數(shù)據(jù)中心出現(xiàn)全范圍宕機;2012年微軟的WindowsAzure平臺由于個人服務(wù)的設(shè)置問題,導致所有集群的功能不能使用。目前,研究云計算時代個人信息安全保護的學者大多從國家立法、行業(yè)立規(guī)的角度展開。針對個人信息保護的建章立法固然重要,特別是構(gòu)建規(guī)制云計算環(huán)境下個人信息保護問題的法律規(guī)范和行業(yè)標準正當其時,法律的具體執(zhí)行,特別是建立個人信息安全風險的防控機制和措施更是迫在眉睫,本文擬從這一角度進行探析。

二、云計算中的個人信息安全體系與技術(shù)風險

云計算架構(gòu)分為基礎(chǔ)設(shè)施層、平臺層和軟件服務(wù)層3個層次,分別對應(yīng)簡稱IaaS、PaaS和SaaS3個服務(wù)類型。IaaS是由政府或者企業(yè)建立的大規(guī)模服務(wù)器和網(wǎng)絡(luò)傳輸連接裝置等基礎(chǔ)設(shè)施,同時采用虛擬技術(shù)將分散到各個數(shù)據(jù)中心的服務(wù)器集中起來。PaaS包括基本硬件、基礎(chǔ)軟件、儲存設(shè)備等,起到應(yīng)用支持的作用。SaaS的作用是制定一系列標準和協(xié)議,構(gòu)建公共平臺,提供最終的應(yīng)用服務(wù)。分層是橫向的、縱向的管理系統(tǒng)將這些資源進行統(tǒng)一的配置和統(tǒng)一運行,實現(xiàn)一站式的服務(wù)。不同的云計算服務(wù)模式意味著不同的個人信息安全體系,目前大多數(shù)個人信息安全體系就是基于云計算服務(wù)模型構(gòu)建的。

(一)IaaS層的個人信息安全體系與技術(shù)風險IaaS服務(wù)提供商將基礎(chǔ)設(shè)施,包括服務(wù)器、儲存、網(wǎng)絡(luò)等IT設(shè)施進行組合,形成不同規(guī)模、不同用途的服務(wù)產(chǎn)品,大到集網(wǎng)絡(luò)、數(shù)據(jù)計算、數(shù)據(jù)處理于一體的應(yīng)用系統(tǒng),小到一臺處理簡單業(yè)務(wù)的服務(wù)器,然后以套餐的形式提供給用戶。用戶可以像在麥當勞點餐一樣,租用產(chǎn)品目錄上的IT基礎(chǔ)設(shè)施服務(wù)套餐,將自己的應(yīng)用部署在上面,開展各種業(yè)務(wù)。使用IaaS服務(wù)的信息安全風險比較大,無論是物理設(shè)施、虛擬化技術(shù)、接口設(shè)施、還是應(yīng)用程序,如果發(fā)生自然災害或者操作錯誤,將會對信息安全造成釜底抽薪般的巨大影響。其中,虛擬化安全風險是防范重點。一方面是虛擬機自身存在的安全風險,包括可能面臨用戶劫持、脆弱的防火墻等;另一方面是虛擬化軟件帶來的安全風險,包括未經(jīng)授權(quán)的訪問、非法刪除、非法添加等[6]。在傳統(tǒng)計算機技術(shù)下,對于個人信息的保護已經(jīng)有比較成熟的技術(shù),包括加密和密鑰管理、身份識別和訪問控制、安全事件管理等。云計算環(huán)境更加復雜,更加開放。云計算環(huán)境下的IaaS個人信息安全體系的關(guān)鍵是將這些技術(shù)進行融合,按照一定的技術(shù)標準,形成兼容的、完備的安全閉環(huán),確保物理安全、網(wǎng)絡(luò)安全、虛擬化安全、接口安全。一是要加入安全防護技術(shù),利用防火墻、病毒防護墻等對整個IaaS進行防護;二是要加入訪問控制技術(shù),利用加密和解密管理、身份識別等技術(shù)為用戶提供用戶登錄管理、用戶認證、數(shù)字簽名等安全管理服務(wù);三是要加入審計技術(shù),對用戶的登錄和使用情況進行統(tǒng)計分析,按照不同的風險級別區(qū)分不同的安全域,實施不同等級的安全干預[7]。

(二)PaaS層的個人信息安全體系與技術(shù)風險

PaaS層處在云計算的中間層,具有承上啟下的作用,其對于個人信息的整體安全具有重要作用。PaaS服務(wù)商提供的是應(yīng)用基礎(chǔ)設(shè)施服務(wù),即中間件服務(wù)。PaaS用戶可以將其應(yīng)用系統(tǒng)布置到PaaS平臺上,應(yīng)用系統(tǒng)服務(wù)器、網(wǎng)絡(luò)、操作系統(tǒng)、信息管理等應(yīng)用系統(tǒng)運行的環(huán)境,由PaaS服務(wù)商提供保障。所有PaaS服務(wù)商不僅提供平臺,還提供安全服務(wù)。他們的職責是提供安全可靠的運行環(huán)境,保證用戶的信息安全。PaaS個人信息安全體系要求數(shù)據(jù)處理符合國家法律法規(guī)的要求,主要包括:數(shù)據(jù)存放位置、數(shù)據(jù)刪除或持久性、數(shù)據(jù)備份和恢復重建、數(shù)據(jù)發(fā)現(xiàn);同時禁止一些不當?shù)膫€人信息處理行為,比如:不同客戶數(shù)據(jù)的混合、數(shù)據(jù)聚合和推理。PaaS個人信息安全體系重點在于對價值較高的個人信息的保護,尤其是防范對個人信息的交叉查詢。

(三)SaaS層的個人信息安全體系與技術(shù)風險

與等軟件服務(wù)模式類似。在SaaS平臺上,用戶不用購買軟件,也不用維護管理,只需要按照服務(wù)類型和服務(wù)時間支付費用,就可以選擇使用符合自己需求的軟件。SaaS服務(wù)商不僅要管理維護自身的軟件,而且要將用戶的個人信息儲存在自己的服務(wù)器上,以便用戶隨時隨地可以接著使用軟件。個人信息違法犯罪的概率總是與管理權(quán)限成正比。特別是在SaaS層下,存在一個基本的矛盾,一方面,SaaS需要將用戶的個人信息進行備份,保存在多個不同位置的服務(wù)器上,防止數(shù)據(jù)丟失、數(shù)據(jù)刪除,提供及時的數(shù)據(jù)恢復服務(wù);另一方面,SaaS可能涉嫌秘密保存和永久保存用戶的個人信息,在用戶不知情或者已經(jīng)刪除軟件上的個人信息的情況下,仍然保留電子痕跡并隨時可以恢復數(shù)據(jù)。所以SaaS應(yīng)該提供給用戶透明的個人信息儲存、刪除和保護方案。當然,由于SaaS的共享性,用戶的個人信息安全風險主要來自第三方的攻擊、竊取和篡改等。SaaS層的個人信息安全體系應(yīng)該包括以下4個方面內(nèi)容:

一是應(yīng)用的安全,軟件運行的環(huán)境安全可靠,軟件能夠及時更新?lián)Q代,確保沒有漏洞;

二是個人信息數(shù)據(jù)庫的安全,數(shù)據(jù)庫與應(yīng)用軟件數(shù)據(jù)應(yīng)該隔離分開,多個服務(wù)器進行分別儲存,并使用防火墻、密鑰管理等技術(shù)進行數(shù)據(jù)庫的保護;

三是個人信息的傳輸安全,采用加密的傳輸協(xié)議,確保用戶在客戶端和云計算服務(wù)器之間傳輸個人信息時不被截留;四是訪問控制機制,由于多個用戶共用云計算服務(wù)器,需要對個人信息進行分塊隔離,采用身份識別、數(shù)字簽名和訪問控制技術(shù)對訪問登錄進行嚴格管理。上述分析是著眼于云計算平臺3個層次本身的技術(shù)漏洞,除此之外,云計算用戶的服務(wù)終端也是個人信息安全風險的重要源頭。一方面,云計算環(huán)境下,服務(wù)終端與云計算平臺連為一體,構(gòu)成一個統(tǒng)一的系統(tǒng),具有極強傳染性和破壞性的病毒很可能從服務(wù)終端侵入到整個云平臺,導致整個云的崩潰或者癱瘓。特別是現(xiàn)在手機服務(wù)端日益普及,APP使用率日益增高,手機病毒的傳播更加猖獗,也極易侵入云計算網(wǎng)絡(luò)。另一方面,黑客也很可能通過云計算網(wǎng)絡(luò)對服務(wù)端發(fā)起攻擊,即使用戶的計算機采取防火墻、殺毒軟件等安全措施,但畢竟防范投入和水平有限,未必能阻擋病毒的侵襲。惡意代碼制作者、病毒郵件發(fā)送者以及其他惡意攻擊者可能直接竊取用戶服務(wù)端的個人信息,這種竊取采取各個擊破、螞蟻搬家的形式,更加難以覺察和防范。他們也可能破解或者盜取用戶在云計算平臺上的登錄名稱和登錄密碼,盜取用戶儲存在云計算數(shù)據(jù)中心上的海量個人信息。

三、云計算中的個人信息安全管理風險

除了云計算技術(shù)風險,云計算的管理不善也可能帶來個人信息的安全風險。天災易避,人禍難防,云計算時代個人信息安全管理風險更大,后果也更為嚴重。技術(shù)風險多為概率事件,偶然性較強,而管理風險存在主觀故意,發(fā)生的可能性更高。技術(shù)風險可能造成個人信息的破壞或者丟失,但不一定立即引起直接損失,而管理風險一般伴隨著惡意商業(yè)目的,緊接著就可能造成用戶財產(chǎn)的損失或者人格權(quán)利的侵害。技術(shù)風險可以由云計算服務(wù)商通過技術(shù)改進進行補漏,通過人工操作進行補救,但是,在信息不對稱的現(xiàn)狀下,道德缺失造成的云計算服務(wù)商監(jiān)守自盜所帶來的風險幾乎是難以防范的。下面筆者將從個人信息的收集、利用、處理3個方面歸納總結(jié)各種安全風險。

(一)道德的失范導致的個人信息收集風險

在云計算產(chǎn)業(yè)巨大利益的驅(qū)使下,云計算服務(wù)商可能有意或者無意地大量收集用戶的個人信息。云計算的主要商業(yè)模式是由云計算服務(wù)商運用數(shù)據(jù)挖掘技術(shù),海量收集各類政府機關(guān)、企事業(yè)單位、個人用戶的信息,進行儲存、信息交換、個性服務(wù)、定向營銷等。信息量越大,服務(wù)功能越強,商業(yè)價值就越大,這直接激發(fā)了云計算服務(wù)商收集個人信息的動力。首先,用戶在使用云計算上的軟件時,并不知悉個人信息已經(jīng)被計算服務(wù)商獲取。雖然法律規(guī)定服務(wù)商必須履行告知義務(wù),但是軟件的告知明細往往過于復雜,用戶如果不仔細閱讀一般都難以發(fā)現(xiàn)。特別是信息收集技術(shù)的不斷進步,云計算服務(wù)商的信息收集能力不斷增強,信息收集的種類和數(shù)量往往超出了用戶能夠知曉的范圍。有時候,云計算服務(wù)商秘密收集或者備份用戶的個人信息,但有時用戶知道自己的個人信息要被收集,為了享有便利的服務(wù),不得不放棄個人信息權(quán)。其次,由于數(shù)據(jù)挖掘、數(shù)據(jù)比對等眾多信息收集技術(shù)的出現(xiàn),云計算服務(wù)商具備了強大的信息比對、分析、歸納、推理、整理能力,能夠?qū)⒂脩粼诓煌脚_不同服務(wù)中的碎片化個人信息整理成完整的個人信息圖譜,能夠掌握用戶完整的特征和清晰的活動軌跡。雖然這些個人信息能夠更方便地為用戶提供優(yōu)質(zhì)的個性化服務(wù),但這些脫離信息主體的個人信息,往往處于事實上的權(quán)利失控狀態(tài),信息主體并不知道誰收集、處理和利用了他們的信息,以及以何種手段收集、處理和利用他們的信息,這構(gòu)成了巨大的個人信息收集風險[8]。第三,不同云計算平臺之間可能存在不正當?shù)膫€人信息交換,秘密簽訂個人信息共享協(xié)議,實現(xiàn)云計算服務(wù)商的商業(yè)利益最大化。特別是在云計算不區(qū)分國界的情況下,個人信息的跨境傳輸更難以管控。斯諾登事件就曝光了一些云計算企業(yè)在國家力量的支持下,收集其他國家公民的個人信息。這樣的跨境收集個人信息的行為,不僅侵害了公民的民事權(quán)利,還侵害了一個國家的信息主權(quán)。

(二)規(guī)則的缺失導致的個人信息利用風險

云計算產(chǎn)業(yè)發(fā)展迅猛,但是云計算領(lǐng)域的規(guī)則和標準的建構(gòu)與完善卻相對滯后,這種不對稱的發(fā)展造成了個人信息安全領(lǐng)域的無序狀況,容易造成個人信息利用的違法和犯罪。首先,云計算安全技術(shù)標準還有待強化和細化。沒有統(tǒng)一的云安全技術(shù)標準,無法強制要求云計算服務(wù)商布設(shè)有關(guān)安全技術(shù)措施,導致一些服務(wù)商重視能夠帶來盈利的商業(yè)技術(shù),而忽視了不能帶來直接利益的安全技術(shù)。沒有安全技術(shù)標準的約束,一些云計算服務(wù)提供商還可能在云計算系統(tǒng)中插入秘密收集個人信息的軟件,比如等等。其次,云計算行業(yè)的制度規(guī)范也尚未制定。云計算產(chǎn)業(yè)需要一套關(guān)于個人信息保護的完整的行為準則,確立個人信息數(shù)據(jù)庫的管理制度,明確個人信息處理人員、安全管理人員、系統(tǒng)開發(fā)人員和系統(tǒng)操作人員的職責范圍和操作規(guī)程。云安全規(guī)則的缺失極其容易造成個人信息的濫用。云計算服務(wù)商可能將個人信息應(yīng)用于定向推送廣告、不斷騷擾下的強迫交易、信息銷售等。在現(xiàn)實生活中,用戶將身份證復印件提供給服務(wù)商時,往往在身份證上注明“僅限用作……”等字樣,確保身份證復印件的有限使用和特定用途使用。但是電子數(shù)據(jù)形式的個人信息極易被復制,很難保證服務(wù)商不將其挪作他用。第三,由于個人信息相關(guān)法律不夠健全,云計算環(huán)境下個人信息的保護法更是少之又少,個人信息缺乏有力的司法強制力的保護。云計算用戶在個人信息遭受侵犯時,往往難以獲得有效的救濟。云計算沒有地域性,個人信息案件的管轄難以明確,造成立案難;云計算具有虛擬性,電子數(shù)據(jù)極易篡改,造成個人信息案件的取證難;另外,個人信息具有非物質(zhì)性,其價值難以計量,造成個人信息案件的賠償難。

(三)管理的失位引發(fā)的個人信息處理風險

我國云計算產(chǎn)業(yè)剛剛起步,無論是監(jiān)管機構(gòu)還是云計算企業(yè),都尚未建立完整有效的管理機制。一方面,政府監(jiān)管力度不夠。目前,我國云計算的監(jiān)管部門是國家工信部,由于其職能主要是促進產(chǎn)業(yè)發(fā)展,因此往往重發(fā)展而輕安全。個人信息的違法犯罪涉及司法權(quán)和行政執(zhí)法權(quán),信息化管理部門還無法行使調(diào)查取證、強制措施、搜查凍結(jié)、罰款沒收等權(quán)力。另外,由于條件的限制,信息化管理部門進行個人信息安全執(zhí)法的力量較為薄弱。另一方面,企業(yè)管理動力不足。云計算服務(wù)商利用個人信息的利益和用戶保護個人信息的權(quán)利存在一定的矛盾,企業(yè)沒有足夠的動力投入更多的人力物力進行個人信息的管理。云計算企業(yè)對于能夠產(chǎn)生經(jīng)濟價值的個人信息的利用較為重視,而對于不能直接產(chǎn)生經(jīng)濟效益,甚至有可能產(chǎn)生負效益的個人信息的管理重視不夠。云計算服務(wù)提供商如果不加強內(nèi)部操作人員的管理,不加強個人信息保護內(nèi)部控制的建設(shè),操作人員違規(guī)處理個人信息的現(xiàn)象將不斷出現(xiàn)。云計算時代,所有IT設(shè)備或數(shù)據(jù)被放到一起集中管理,內(nèi)部人員擁有的權(quán)限讓其能輕易獲取重要個人信息甚至得到整個云服務(wù)平臺的完全控制權(quán)。用人失察或監(jiān)管缺位都會給個人信息安全帶來災難性的損失。

四、云計算下的個人信息安全防控措施

云計算下的個人信息安全已經(jīng)不是一個純技術(shù)問題,僅僅依靠云計算企業(yè)采用先進的云安全技術(shù)去遏制個人信息的違法犯罪是不夠的。唯有法律才能明確管理責任,才能明晰處理個人信息的權(quán)限,才能懲罰和防范一些犯罪分子利用個人信息謀取私利。違法收集、利用、處理行為主要承擔民事責任、行政責任和刑事責任[9]。個人信息相關(guān)法律法規(guī)的制定非常重要,而且迫在眉睫。但是個人信息安全防控機制的構(gòu)建、個人信息安全防范措施的完善同樣非常重要。作為以保障公共安全、保護人民生命財產(chǎn)安全為職能的公安機關(guān),在防范和控制個人信息安全違法犯罪中,具有得天獨厚的優(yōu)勢。我國應(yīng)該構(gòu)建以公安機關(guān)為主,信息化管理部門協(xié)調(diào)配合,法律規(guī)制與行業(yè)管理相結(jié)合的個人信息安全防控體系,構(gòu)建并完善云計算下的個人信息安全監(jiān)控機制、偵查機制和應(yīng)急機制。

(一)云計算下的個人信息安全監(jiān)控機制

信息的公開具有不可逆性,云計算個人信息安全事故一旦發(fā)生,造成的損害無法恢復原狀。因而個人信息的保護不能依賴事后的被動處理,而應(yīng)該著重于監(jiān)控與預警,從事后救濟、被動維護向事前設(shè)計、事中報告、主動監(jiān)控轉(zhuǎn)移,形成常態(tài)的監(jiān)控機制[10]。首先,應(yīng)該制定統(tǒng)一的技術(shù)標準,要求云計算服務(wù)商在系統(tǒng)中植入安全監(jiān)控技術(shù);制定統(tǒng)一的行業(yè)規(guī)范,要求云計算服務(wù)商建立完善的內(nèi)部控制制度。利用安全監(jiān)控技術(shù),公安機關(guān)、信息化管理部門和云計算服務(wù)商都能及時了解云計算系統(tǒng)運行狀態(tài)。監(jiān)控技術(shù)不僅起到預警作用,也為云計算安全的內(nèi)部控制提供數(shù)據(jù)支撐。其次,應(yīng)該建立常態(tài)的個人信息安全報告機制,要求云計算服務(wù)商及時報告?zhèn)€人信息流動的異常情況。個人信息安全的報告機制可以借鑒我國《反洗錢法》中的“大額交易和可疑交易監(jiān)控與報告”制度,要求云計算服務(wù)商將可疑的個人信息流動報告給公安機關(guān)和信息化管理部門。可疑的個人信息流動是指個人信息流動在數(shù)量、頻率、流向和性質(zhì)等方面表現(xiàn)異常,或與客戶身份、登錄狀況、活動規(guī)律不符,存有個人信息違法犯罪嫌疑的流動。

(二)云計算下的個人信息安全偵查機制

嚴格的偵查機制和過硬的偵查能力是個人信息安全保護的根本保障。要整合公安機關(guān)、信息化管理部門、行業(yè)自律組織的資源,司法、行政與行業(yè)之間無縫對接,協(xié)調(diào)配合,共同執(zhí)法。在行政和刑事執(zhí)法過程中,取證難嚴重降低了打擊違法犯罪行為的力度。在云計算環(huán)境下,某些電子證據(jù)依靠目前的偵查技術(shù),還難以充分偵測與提取。如在云應(yīng)用服務(wù)中,有許多服務(wù)通過運行的虛擬專用網(wǎng)絡(luò)(VPA)訪問,現(xiàn)有偵查技術(shù)幾乎檢測不到[11]。對此,可以采用面向取證的現(xiàn)場遷移技術(shù)等進行偵查,采取遷移取證監(jiān)管來調(diào)度和監(jiān)控鏡像證據(jù)提取層的每一次遷移操作,并記錄下全部的遷移過程信息,保證取證數(shù)據(jù)符合證據(jù)法要求的可靠性和完整性[12]。

(三)云計算下的個人信息安全應(yīng)急機制

云計算服務(wù)提供商應(yīng)當設(shè)置個人信息安全監(jiān)控中心,負責系統(tǒng)安全的全面維護、個人信息安全的總體監(jiān)控、個人信息安全情況報告和個人信息安全事件的處置等[13]。公安機關(guān)和信息化管理部門要根據(jù)云計算服務(wù)商提交的可疑個人信息流動報告,進行認真研判、仔細甄別。對篩選出來的違反法律規(guī)定的個人信息安全事件,要根據(jù)嚴重程度,啟動個人信息安全應(yīng)急機制。應(yīng)急機制分為輕微、一般、重大、特別重大等不同等級。不同等級的警報對應(yīng)不同級別的應(yīng)急方案。應(yīng)急方案包括提醒客戶、數(shù)據(jù)隔離、數(shù)據(jù)恢復、停止運行等。其中數(shù)據(jù)隔離可以保證用戶的個人信息運行于封閉且安全的范圍內(nèi),防止進一步地泄露,避免用戶間的相互影響,減少用戶錯誤操作或受到計算機病毒攻擊時對整個系統(tǒng)帶來的安全風險。數(shù)據(jù)恢復是針對計算機病毒攻擊的重要應(yīng)急措施,包括恢復個人信息和遭受病毒侵害的軟件等。數(shù)據(jù)恢復是典型的事后應(yīng)急措施,可以保證云計算服務(wù)可靠性和可用性。

五、結(jié)語

技術(shù)的進步必然引起法律制度的變革,產(chǎn)業(yè)的發(fā)展必須依賴法律機制的完善。云計算時代,個人信息安全的法律規(guī)制迫在眉睫。隨著云計算成為人類基本的工作、生活環(huán)境,個人信息都無法避免地集中到云上,海量個人信息的安全問題是公安機關(guān)必須面對的難題。個人信息安全監(jiān)控機制旨在防范犯罪,個人信息安全偵查機制旨在打擊犯罪,個人信息安全應(yīng)急機制則是處理已經(jīng)發(fā)生的犯罪。建立系統(tǒng)的個人信息安全防控機制,多方位協(xié)同發(fā)揮效力,方能最大程度確保個人信息安全可控和云計算產(chǎn)業(yè)健康發(fā)展。

參考文獻:

[1]周漢華.個人信息保護法(專家建議稿)及立法研究報告[M].北京:法律出版社,2006:3.

[2]姜茸,張秋瑾,李彤,等.電子政務(wù)云安全風險分析[J].現(xiàn)代情報,2014(12):14-15.

[3]李連,朱愛紅.云計算安全技術(shù)研究綜述[J].信息安全與技術(shù),2013(5):44-45.

[4]齊愛民,陳星.云計算時代的個人信息安全危機與法律對策[J].中國信息安全,2012(11):83-84.

[5]何培育.個人信息盜竊的技術(shù)路徑與法律規(guī)制問題研究[J].重慶理工大學學報(社會科學),2015(2):159-162.

[6]林闖,蘇文博,孟坤,等.云計算安全:架構(gòu)、機制與模型評價[J].計算機學報,2013(9):1775-1776.

[7]丁秋峰,孫國梓.云計算環(huán)境下取證技術(shù)研究[J].信息網(wǎng)絡(luò)安全,2011(11):36-38.

[8]周剛.云計算環(huán)境中面向取證的現(xiàn)場遷移技術(shù)研究[D].武漢:華中科技大學,2011:29.

[9]魏光禧.電子商務(wù)中個人信息的利用與保護[J].中國商論,2015(5):41-42.

作者:魏光禧 單位:華中科技大學法學院