“由于对IT技术、互联网创新业务的热爱,始终在关注这个行业,也发现了一些现象和问题,特别是安全技术人员的弱势、背锅、无意识犯罪,感到非常可惜,也值得社会反思和法律人的投入。”
创新互联不只是一家网站建设的网络公司;我们对营销、技术、服务都有自己独特见解,公司采取“创意+综合+营销”一体化的方式为您提供更专业的服务!我们经历的每一步也许不一定是最完美的,但每一步都有值得深思的意义。我们珍视每一份信任,关注我们的网站设计制作、成都网站设计质量和服务品质,在得到用户满意的同时,也能得到同行业的专业认可,能够为行业创新发展助力。未来将继续专注于技术创新,服务升级,满足企业一站式全网整合营销推广需求,让再小的品牌网站制作也能产生价值!
一句“可惜”的感叹背后是多少个真实的法律案例。正所谓常在河边走,哪有不湿鞋。网络安全这条大河又让多少安全技术人员脚底沾“泥”而不自知?
如今,网络安全行业相关的法律法规不再是“一枝独秀”,而呈“百花齐放”之势。在刚过去的几个月内,政府就出台了多部网络安全行业相关的法律法规,比如新版国家标准《个人信息安全规范》、《网络安全标准实践指南—远程办公安全防护》等,涉及领域之多样,行业之细,可落地、可执行。
然而,近几年,技术却频频闯入法律的红灯区,因为安全技术而锒铛入狱的从业者不在少数,如何去把握法律的边界而不触及这条高危红线?这是安全技术人员常常需要思考的问题。此次邀请到娄鹤律师来聊一聊安全技术人员自身的安全问题。
[[323367]]
娄鹤,北京德和衡(上海)律师事务所,高级联席合伙人/律师。上海市科技创业导师,CISO(注册信息安全专业人员),曾任上海市律师协会互联网业务委员会委员。在网络信息安全、数据及隐私保护、网络犯罪等领域拥有丰富经验,对境内外法律均有深入研究。
公平、正义,再带点酷炫……这是多少律师从业者的初心,娄鹤亦是如此。除此以外,律师行业对个人意味着有更多施展的空间,可以通过法律服务参与到经济发展的不同行业。
娄鹤认为,数字化经济的发展,离不开技术的迭代,也离不开法律的规范,在这个过程中充满着不确定性、利益冲突、各种机会。互联网安全行业一直是娄鹤的关注对象,对于行业的整体形势发展他给出了一些自己的看法:
从目前的立法和执法情况看,我们国家对网络安全问题日益重视,原因在于国内外的网络安全事件频发、网络威胁严重,国内数字化经济的快速发展也需要一个更安全的技术环境和法律环境。 |
因此,面对网络安全行业法律的新兴态势时,娄鹤认为对整体行业发展是利好。
随着网安法规及监管政策的不断落地,比如:等保2.0、密码法、关键信息基础设施测评等,全社会都越来越重视安全这个事情。但从实践角度,还是得从等保测评、一些安全硬件的采购和部署开始,一步一步来,这需要一个过程。 |
在法规层面,以2016年出台的《网络安全法》为基点,作为顶层架构逐步扩散,具体细化到一些技术领域。这就类似一棵树一样,往下不断生长扎根。整体网络安全法律体系是逐渐地从抽象到具体,从笼统到细化,不断完善的过程。
何以“踩雷”却不自知
网络安全形势的复杂化和多样化是催生行业法规的出台和完善的一大动力。除了企业合规风险上升,安全技术人员触及法律这条红线的事件也在增加,比如早期的“世纪佳缘”案件、近期的“微盟删库”事件等。
其中,娄鹤认为背后的原因有多个方面:
以上三个原因之间是相互交织的,随着技术应用的多样化,用传统的方法去识别这种犯罪或者违法的形态和情况也会越来越难。因此,在这种情况下,政府部门需要进行规范。从立法到执法,这个过程也需要时间,从而导致了滞后性。
这种情况下容易出现两种比较普遍的结果,一种是人员被技术的功能性和应用的多样性所迷惑,无法把握本质而违法。
比如说某网站推出的对客户奖励的红包活动,技术人员用技术去突破,去冒领一些数字财产,将其变现。他可能不觉得这是一个犯罪的行为,他觉得我只是技术比较牛,不会被人察觉。虽然这不同于直接去银行窃取钱财,但是本质上它其实是一个偷盗的行为。
另一种是处在法律的模糊边界,并不确定是否可以执行,但最后做完又充当了“替罪羊”的角色。
特别是一些金融创新类的业务,处在模糊边界,这个东西到底能不能做,本身是比较摇摆的。有时候监管部门的态度也比较暧昧,那么技术人员可能确实会充当一些背锅的这样的角色。
总结来说,安全技术人员容易“踩雷”而不知,有以下五点原因:
爬虫场景的法律“暧昧”
安全技术人员容易踩雷的场景之一,是避不开用爬虫技术获取数据。爬虫被称为互联网行业的“黄金矿工”,然而有时候这位“黄金矿工”也是会挖到“地雷”的。近几年,因为爬虫触及法律的事件,曝光的和判刑的都比较多。
“只因写了一段爬虫,公司200多人被抓!” “来我公司写爬虫吗?会坐牢的那种!” |
这类新闻字眼也是频频挑动着技术人员的心,所以在利用爬虫开展信息搬运时,应三省吾身:
另外需要特别注意,对“违法”要做区分,有的是民事违法,比如爬取竞争对手的数据,会构成不正当竞争,可能被对手提起民事诉讼。而当爬取的数据涉及个人敏感数据,或造成了严重后果的,则会构成刑事犯罪。
爬虫本身其实并不违法,但是对于爬取的数据,因其性质进行分类,结果就不一样了。那些在爬虫场景下容易触及的法律法规,比如,
网络安全法 《网络安全法》第四十四条 任何个人和组织不得窃取或者以其他非法方式获取个人信息。因此,如果爬虫在未经用户同意的情况下大量抓取用户的个人信息,则有可能构成非法收集个人信息的违法行为。 非法侵入计算机信息系统罪 《刑法》第二百八十六条还规定,违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,构成犯罪,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。而违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,也构成犯罪,依照前款的规定处罚。 侵犯商业秘密罪 《反不正当竞争法》第九条,以不正当手段获取他人商业秘密的行为即已经构成侵犯商业秘密。而后续如果进一步利用,或者公开该等信息,则构成对他人商业秘密的披露和使用,同样构成对权利人的商业秘密的侵犯。 …… |
因此,娄鹤建议开展爬虫业务的公司及业务人员,要十分重视其潜在的法律风险,最好咨询网络安全律师的意见,对业务风险及合法性进行评估。
“故意”“过失”傻傻分不清
前段时间,微盟删库事件引起轩然大波,嫌疑人是企业内部的运维人员,涉嫌故意“删库”泄愤,这类情况属于少数案例,而日常生活中,技术人员往往是因为各种因素而导致的“无意”犯罪。
娄鹤指出,对于技术类的“无意”犯罪是十分常见的。从人的主观判断上来说,可以称之为“无意”,但是在法律上,是分为“故意”和“过失”两种情况。
比如说在一些数据泄露案件中,可能只是一个普通的操作,把代码放在某个公共平台上,因为操作不规范或保护不当,被黑客窃取了,那么这种是属于过失犯罪。
而对于故意犯罪的判定,娄鹤举了个例子,比如经常会听到一些P2P金融公司陷入非法集资或者集资诈骗的新闻,但是这个事件却把程序员抓进去了。从程序员的角度来说,有种情况就是起到一个帮忙实现功能的作用,而对于平台所参与的犯罪活动一概不知,这种情况下程序员仍然会被判为故意犯罪。因为从整体上的功能实现来说,程序员还是有主动参与的,法律上只是主犯和从犯的区别。但是归根到底,这是整个平台的商业模式的问题。
[[323368]]
安全圈的“软件”防护不可少
如果说安全技术上的规避,是为硬件防护,那么法律安全意识就是“软件”防护。
2020年的RSA大会中,“人的因素”被定为了大会主题,这也表明了一种行业趋势,人在安全领域的作用会越来越大,越来越关键,那么构成企业的人员个体的法律安全意识的重要性不言自明。从技术人员安全上升到企业安全,企业员工个体如果没有这种法律的安全意识,那么对于企业自身而言也是岌岌可危的。当企业员工个体懂得如何去规避法律风险时,企业合规或许也就真正地有了着落。
在采访的最后,娄鹤为安全技术人员提出了一些建议来规避网络安全风险:
当然,简短的几行建议并不是行走安全圈的护身符,真正需要安全技术人员去做到的是对于安全法律的了然于心,当技术和法律的协同支撑,才能在未来走得更远。
希望安全技术人员能够保护好自己,享受技术的快乐、发挥技术的能量,共同造福社会,建设一个更安全、更高效、更丰富多彩的数字世界。
文章标题:娄鹤:网络安全人员真的“安全”吗?
当前URL:http://www.shufengxianlan.com/qtweb/news42/287592.html
网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联