域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過

2019年7月29日，由中國(guó)電子學(xué)會(huì)、四川省經(jīng)濟(jì)和信息化廳、四川省互聯(lián)網(wǎng)信息辦公室、四川省科學(xué)技術(shù)協(xié)會(huì)、四川省貿(mào)促會(huì)共同主辦的第四屆中國(guó)網(wǎng)絡(luò)與信息安全大會(huì)在成都隆重召開。

深圳法大大網(wǎng)絡(luò)科技有限公司高級(jí)副總裁兼CTO蘇紅超在大會(huì)現(xiàn)場(chǎng)發(fā)表了《信息安全與法律科技的融合與創(chuàng)新》的演講，以下是現(xiàn)場(chǎng)演講實(shí)錄。

國(guó)內(nèi)外信息安全監(jiān)管發(fā)展與合規(guī)解讀

各位嘉賓、專家早上好，我今天分享的主題是《信息安全與法律科技的融合與創(chuàng)新》，主要是商用環(huán)境下信息安全與法律科技的融合實(shí)踐。

首先我會(huì)給大家分享一下國(guó)內(nèi)外對(duì)于信息安全監(jiān)管的發(fā)展情況與合規(guī)解讀，談一些心得體會(huì)。

作為電子合同領(lǐng)域的公司，我們對(duì)于企業(yè)及個(gè)人的隱私數(shù)據(jù)是非常關(guān)注的，信息安全也是我們關(guān)注的重點(diǎn)。我國(guó)在信息安全的法律法規(guī)方面，也呈現(xiàn)了多維度立體化的特點(diǎn)?？偨Y(jié)起來有這么幾條：

一是依法，這里說的主要是我們的《網(wǎng)絡(luò)安全法》；

二是制度，這個(gè)制度主要是我們等級(jí)保護(hù)制度，并且在今年5月份頒布最新的《網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0標(biāo)準(zhǔn)》；

三是規(guī)范，我們國(guó)家對(duì)于個(gè)人信息安全保護(hù)雖然還屬于立法推進(jìn)的過程當(dāng)中，但已經(jīng)形成了一定的安全規(guī)范。

各位對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度就比較熟悉了，作為一家商業(yè)運(yùn)作的互聯(lián)網(wǎng)公司，我們認(rèn)為等保2.0與1.0相比，最大的提升有兩點(diǎn)：

第一是它把個(gè)人信息納入到等保的約束范圍內(nèi)，第二是信息保障體系由之前的被動(dòng)防御轉(zhuǎn)變成了全方位的主動(dòng)防御。

國(guó)內(nèi)對(duì)于信息安全相關(guān)的法律法規(guī)其實(shí)是比較健全，也是立體全方位的，整體趨勢(shì)更是日趨嚴(yán)格，這和國(guó)際上對(duì)于企業(yè)信息及個(gè)人隱私保護(hù)方面的立法方向也是一致的。

△國(guó)內(nèi)信息安全相關(guān)法律法規(guī)

我們的電子合同業(yè)務(wù)涉及到國(guó)內(nèi)和海外的一些業(yè)務(wù)，下面我跟大家分享一下對(duì)于海外信息安全法律和政策法規(guī)的解讀。

歐盟GDPR是在2018年正式發(fā)布的，GDPR可以說是全世界對(duì)于個(gè)人信息保護(hù)最為嚴(yán)格的法律法規(guī)。總結(jié)下來，其核心是三點(diǎn)：

第一是使用范圍非常廣，無論是通過屬地管轄和屬人管轄，基本上都把涉及個(gè)人的方方面面都包括在內(nèi)。

第二是遵從數(shù)據(jù)的基本原則，這個(gè)是非常嚴(yán)格的，無論是從數(shù)據(jù)收集，還是數(shù)據(jù)存儲(chǔ)和數(shù)據(jù)使用的方方面面，GDPR都做了約束和規(guī)定。

GDPR的核心是個(gè)人隱私數(shù)據(jù)保護(hù)，所以對(duì)于用戶主體權(quán)益的保護(hù)是非常非常大的，無論是對(duì)個(gè)體的知情權(quán)、數(shù)據(jù)管理權(quán)限及數(shù)據(jù)權(quán)限處置的個(gè)人意愿都做了嚴(yán)格的管理。

在美國(guó)，在國(guó)家整體層面上來看，它不像歐盟地區(qū)一樣，有統(tǒng)一的法律法規(guī)來保護(hù)個(gè)人信息安全，它的特點(diǎn)是分行業(yè)、分散立法來進(jìn)行一些政策法規(guī)的制定，比如說在金融、醫(yī)療、教育等領(lǐng)域都制定了一些相關(guān)的個(gè)人隱私保護(hù)條例。

美國(guó)還有一個(gè)特點(diǎn)就是州立法，作為一個(gè)聯(lián)邦制的國(guó)家，美國(guó)每個(gè)州都有自己的一些獨(dú)立立法和司法權(quán)限，比如加州就單獨(dú)制定了CCPA個(gè)人隱私保護(hù)條例。

還有一個(gè)從全球范圍來看比較典型的國(guó)家就是日本。日本更多是借鑒和模仿西方國(guó)家的做法，也比較早對(duì)個(gè)人信息保護(hù)進(jìn)行立法，它的特點(diǎn)是3年更新一次，更新的依據(jù)是什么呢？剛才提到它更多的是借鑒歐美個(gè)人隱私保護(hù)的條例，日本會(huì)在每三年修訂法案時(shí)，將歐美最新的立法動(dòng)態(tài)和外部環(huán)境的發(fā)展情況納入進(jìn)去。

其實(shí)日本和新加坡、美國(guó)一樣，是區(qū)塊鏈發(fā)展非常迅速的國(guó)家，他們?cè)谧罱囊淮涡抻営?jì)劃中，也會(huì)把區(qū)塊鏈相關(guān)的信息保護(hù)政策納入到個(gè)人信息保護(hù)法中。

△國(guó)內(nèi)外信息安全立法對(duì)比

法律科技發(fā)展與信息安全關(guān)注點(diǎn)

整體對(duì)比來看，包括我們國(guó)家在內(nèi)的每個(gè)國(guó)家和地區(qū)都有一些鮮明的特點(diǎn)。我國(guó)在個(gè)人信息保護(hù)立法方面，相關(guān)部門也在持續(xù)推進(jìn)。對(duì)于法律科技這個(gè)領(lǐng)域和信息安全之間的一些融合，下面我給大家簡(jiǎn)單地匯報(bào)一下。

法律科技是隨著整個(gè)互聯(lián)網(wǎng)的發(fā)展而不斷發(fā)展的，起步也是在2000年左右。隨著我們整個(gè)互聯(lián)網(wǎng)的蓬勃發(fā)展，法律科技這個(gè)概念被正式提出來。隨著我國(guó)電商環(huán)境的不斷發(fā)展，也出現(xiàn)了針對(duì)法律行業(yè)、法律科技方面的電商熱潮，他們更多的是提供一些法律服務(wù)。

2014年是一個(gè)重要的分水嶺，法律科技布局初顯，國(guó)家相關(guān)部門以及各個(gè)互聯(lián)網(wǎng)巨頭入場(chǎng)，投資基金在這個(gè)時(shí)候不斷涌入。而法律科技在海外，也差不多是在2013、2014年蓬勃發(fā)展起來的。

法律科技目前的最新發(fā)展趨勢(shì)，第一個(gè)就是大數(shù)據(jù)和AI，通過AI、機(jī)器學(xué)習(xí)、深度學(xué)習(xí)，可以快速地把一些法律文本，尤其是合同范本進(jìn)行智能糾錯(cuò)，甚至是智能起草、智能仲裁。第二個(gè)就是區(qū)塊鏈，區(qū)塊鏈的特點(diǎn)就是公正公開透明，而且是可以追溯源頭的，這個(gè)恰恰是我們電子證據(jù)可以利用的重要技術(shù)手段，所以區(qū)塊鏈在電子數(shù)據(jù)的存證方面有天然的優(yōu)勢(shì)。

這里列舉了一下整個(gè)法律科技的各種應(yīng)用，包括智慧法庭、智能法院，以及我們所從事的電子簽章、電子合同。作為法律科技從業(yè)者，最關(guān)注的還是信息安全。信息安全有三個(gè)重點(diǎn)：一是機(jī)密性，二是完整性，三是可用性。我們通過多維度、多層次的立體防護(hù)，保證法律科技領(lǐng)域的信息安全。

△國(guó)內(nèi)法律科技應(yīng)用領(lǐng)域列舉

法大大信息安全實(shí)踐與創(chuàng)新

下面給大家匯報(bào)一下我們法大大在整個(gè)法律科技領(lǐng)域以及信息安全領(lǐng)域的最佳實(shí)踐。

法大大提供了電子簽章和電子合同的整體解決方案，我們會(huì)通過PAAS中臺(tái)把一些底層能力集成起來，包括我們的密碼技術(shù)、區(qū)塊鏈技術(shù)、機(jī)器學(xué)習(xí)技術(shù)，形成一個(gè)多維度PAAS平臺(tái)。

再往上是我們公司產(chǎn)品的應(yīng)用層，在這個(gè)應(yīng)用層上我們會(huì)提供多種模式，比如SAAS、公有云、混合云，包括本地部署的SDK模式。

第三個(gè)就是我們給企業(yè)提供的垂直行業(yè)解決方案，包括傳統(tǒng)金融、地產(chǎn)、游戲等等。當(dāng)然物聯(lián)網(wǎng)我們也會(huì)涉及，我們?cè)诤炇痣娮雍贤瑫r(shí)的某些功能，像身份認(rèn)證其實(shí)就會(huì)借助物聯(lián)網(wǎng)、5G技術(shù)的賦能。

右邊兩個(gè)部分，一個(gè)是大數(shù)據(jù)中心，一個(gè)是AI處理中心，它們是兩個(gè)是相輔相成的。對(duì)于一些法律文本，我們可以對(duì)其做深度脫敏之后進(jìn)行聚合處理，并且通過機(jī)器學(xué)習(xí)使得我們的工作效率進(jìn)一步提升。

△電子簽章整體解決方案

整體來說我們會(huì)涵蓋合同的整個(gè)生命周期，包括合同起草、合同簽署，在合同產(chǎn)生糾紛之后我們可以一鍵發(fā)起網(wǎng)絡(luò)仲裁。

合同是非常機(jī)密的，通過合同來連接了企業(yè)和個(gè)人，涉及到相關(guān)方的隱私信息，針對(duì)這一點(diǎn)，我們通過六個(gè)維度，把整個(gè)信息安全體系管理起來。

剛剛王小云院士也提到我們國(guó)家頒布了《電子簽名法》，它涉及到了企業(yè)和個(gè)人的認(rèn)證，對(duì)簽署雙方或者多方的身份要做嚴(yán)格的實(shí)名認(rèn)證。后面我會(huì)展開講一下，如何通過數(shù)字證書技術(shù)、密碼學(xué)習(xí)技術(shù)來確認(rèn)簽約主體的合法性和有效性。

另一個(gè)重點(diǎn)就是意愿簽署，合同最關(guān)鍵的是確保簽署各方意愿，現(xiàn)在有很多不合規(guī)的平臺(tái)，消費(fèi)者在上面可能莫名其妙地就簽署合同，進(jìn)行了消費(fèi)貸。其實(shí)這是非常不合規(guī)的，其中的隱患也是非常巨大的。

我們通過這樣的一個(gè)流程，會(huì)不斷地優(yōu)化我們?cè)诜珊弦?guī)性，以及個(gè)人隱私保護(hù)上的工作，通過對(duì)標(biāo)分析、差距評(píng)估、合規(guī)方案的選定，最終不斷整改推動(dòng)我們整個(gè)信息安全水平的提升。

當(dāng)然這個(gè)流程我們是會(huì)不斷地演進(jìn)，而非把它固定下來的，我們會(huì)隨時(shí)根據(jù)外部環(huán)境，以及實(shí)際的演進(jìn)情況往前推進(jìn)。在這個(gè)過程中，我們也得到了很多信息安全相關(guān)的資質(zhì)認(rèn)定。

電子合同簽署技術(shù)要求，概括來說就是3W，我們會(huì)對(duì)文件內(nèi)容、簽約主體和簽約時(shí)間，分別通過數(shù)字簽名，數(shù)字證書和可信時(shí)間戳來進(jìn)行運(yùn)算，最終植入到電子合同中，電子合同最終承載的實(shí)體在我們國(guó)內(nèi)更多使用OFD格式，整個(gè)國(guó)際上通用的是PDF，我們會(huì)把這些數(shù)據(jù)格式寫入到整個(gè)電子合同中去。

△安全電子合同的技術(shù)要求

數(shù)字簽名、數(shù)字證書、可信時(shí)間戳是大家比較關(guān)注的三個(gè)點(diǎn)，數(shù)字證書更多的是鑒別企業(yè)及個(gè)人的身份，可信時(shí)間戳則是合同簽署時(shí)間防抵賴的一種措施。

證書安全，這里有幾點(diǎn)是專家們比較熟悉的。我們通過一些密碼學(xué)算法上的支撐，對(duì)手機(jī)盾等硬件進(jìn)行物理保護(hù)，在云端我們也會(huì)通過硬件設(shè)施來保證這些證書的安全。

關(guān)于文件安全，因?yàn)殡娮雍贤欠浅Ｃ舾械碾娮游募?，為此我們通過自己獨(dú)有的數(shù)據(jù)文件切片技術(shù)，將原始文件分割后儲(chǔ)存到多個(gè)公有云及私有云上，進(jìn)行分布式的部署，這樣即便是有不法分子攻擊這些公有云，他獲取到的也只是文件碎片，而無法擁有電子合同的完整文本。

文印安全對(duì)國(guó)有大型企業(yè)、銀行是比較有作用的，我們通過自研的防偽墨水、防偽打印機(jī)，以及防偽鑒證儀來保證紙質(zhì)合同不被篡改、可跟蹤、可溯源。

這個(gè)是電子證據(jù)保全，我們更多的與互聯(lián)網(wǎng)法院及仲裁委合作，將包括簽證、電子合同文件本身以及合同相關(guān)行為的哈希值保存到聯(lián)盟區(qū)塊鏈上。這些區(qū)塊鏈跟公檢法都是打通的，所以在產(chǎn)生糾紛的時(shí)候，我們能提供強(qiáng)司法屬性的出證服務(wù)。這是對(duì)于區(qū)塊鏈證據(jù)保全做了一些展開，更多是通過存證API接受令來進(jìn)行廣播上鏈，這一塊是具有強(qiáng)司法屬性的，我們可以在一鍵發(fā)起網(wǎng)絡(luò)仲裁，甚至一鍵進(jìn)行線上裁判。

△電子證據(jù)保全

接下來的是我們整個(gè)平臺(tái)為了確保信息安全而做的一些保障，我們是融合了多家公有云，包括阿里云、騰訊云等云服務(wù)商合作，來保障整個(gè)業(yè)務(wù)的連續(xù)性和高可用性。我們也會(huì)在運(yùn)維安全方面做合規(guī)審計(jì)，包括的堡壘機(jī)、日志智能審計(jì)、數(shù)據(jù)庫(kù)審計(jì)、數(shù)據(jù)庫(kù)安全運(yùn)維系統(tǒng)等等。

最后跟大家說一下，上面所有的技術(shù)手段，包括運(yùn)維安全手段，很大程度是為了控制好我們企業(yè)和個(gè)人的信息安全。法大大電子合同是和各地的公檢法系統(tǒng)及互聯(lián)網(wǎng)法院打通的，具備強(qiáng)司法效力，現(xiàn)在已經(jīng)有超過一千次判決認(rèn)可了我們的電子合同。我們已經(jīng)出具了上千份的電子合同技術(shù)報(bào)告，對(duì)接多家公證處和司法鑒定機(jī)構(gòu)進(jìn)行數(shù)據(jù)證據(jù)保全。

我的匯報(bào)就到這里，謝謝大家！

蘇紅超  法大大高級(jí)總裁兼CTO

電子科技大學(xué)本科畢業(yè)，十余年互聯(lián)網(wǎng)一線技術(shù)研發(fā)與管理經(jīng)驗(yàn)，國(guó)內(nèi)最早研發(fā)實(shí)施SaaS/PaaS平臺(tái)的實(shí)踐者，對(duì)云原生（Cloud Native）體系和生態(tài)有豐富的實(shí)踐及落地經(jīng)驗(yàn)，深耕區(qū)塊鏈應(yīng)用研發(fā)，擁有多項(xiàng)技術(shù)發(fā)明專利。在企業(yè)級(jí)電子簽章/電子印章以及安全證書等領(lǐng)域有多年實(shí)踐經(jīng)驗(yàn)。

GITC全球互聯(lián)網(wǎng)技術(shù)大會(huì)專家顧問，微軟最有價(jià)值專家MVP。出版及翻譯了《ASP.NET深入解析》、《ASP.NET 4高級(jí)程序設(shè)計(jì)(第4版)》、《ASP.NET 3.5 高級(jí)程序設(shè)計(jì)：第2版》等多本計(jì)算機(jī)程序設(shè)計(jì)教材。

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！