做好物联网时代的信息安全法律保护

做好物联网时代的信息安全法律保护

　　作者：冯宪芬

　　物联网是指通过传感网络，实时采集所需信息，将所采集的信息汇聚至网关终端，然后通过无线网络运程将其顺利地传输至指定的应用系统中，以实现人类对物品的远程控制。物联网一般分为三个层次：感知层、网络层、应用层。感知层主要是利用传感器、摄像机和RFID识别器等设备采集数据。感知层是物联网三层结构中最为脆弱的一层，其采集的数据如果缺乏有效保护，容易被非法手段获取、监听和干扰；网络层是将感知层获取的数据长距离传输至应用层，往往也存在着非法接入、信息盗取和篡改以及假冒攻击等安全隐患；应用层则是对数据进行应用，实现物的智能化。病毒、黑客或者恶意软件绕过了相关安全技术防范后，就可能恶意操纵他人物品，侵犯他人隐私。物联网时代信息安全保护至关重要，除了通过技术手段来解决，更需要法律上的保障。

　　当前我国物联网信息安全保护立法情况

　　我国积极推进信息安全立法。物联网时代，信息安全涉及到个人隐私、企业商业秘密以及国家和社会的重大利益，亟需立法保护。我国针对这一问题虽然没有专门的立法，但是多部法律均对这一问题进行了规定。《中华人民共和国宪法》（以下简称《宪法》）第四十条规定：“中华人民共和国公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要，由公安机关或者检察机关依照法律规定的程序对通信进行检查外，任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。”这一规定为物联网时代信息安全保护提供了根本依据。除了《宪法》之外，《中华人民共和国国家安全法》《中华人民共和国保守国家秘密法》《中华人民共和国电子签名法》和《中华人民共和国著作权法》等法律对网络安全问题均有涉及。另外，在刑法领域，《中华人民共和国刑法》也规定了五种网络犯罪，将信息安全问题纳入了刑法保护范畴。

　　我国物联网信息安全保护立法存在不足。首先是法规分散、不成体系。我国关于信息安全的规定分布在多部法律法规之中，至今没有一部专门针对信息安全问题的基本法，没有形成一个完整的法律体系，并且相关规定，过于繁杂。其次是部门立法、行业立法现象普遍。我国多个政府部门或者行业都对信息安全问题出台了相关的部门规章或者行业自律管理办法，但是各部门或者各行业往往是立足于本部门或本行业的利益进行立法，因各方利益冲突，会导致相关规定冲突。最后是立法存在滞后，无法适应物联网时代的新挑战。目前，我国相关法律法规对信息、信息资源等相关概念缺乏明确的界定，并且对于物联网时代的一些新的侵犯信息安全的行为没能及时予以规定，更没有明确各方的权利义务，难以适应物联网时代的发展，可操作性不强。

　　国际上物联网信息安全保护法律保障有关经验

　　美国较早地推进了信息安全保护。美国采取的是分散立法模式，即没有一部针对信息保护的基本法，而是通过各个部门、各个行业根据自身的特点，颁布相应的法案来保护信息安全。美国早在1974年就指定了《隐私权法》，是世界上第一个通过立法保护个人信息的国家。2015年，美国发布了《消费者隐私权利法（草案）》，该法案为对个人信息的保护提供了原则性的规定，创造性的把“场景导向”与“风险导向”理念引入了个人信息的保护。美国还颁布了《禁止利用电子计算机犯罪法》，对黑客的行为和行为的性质进行了区分。另外，美国各州对信息安全问题也有各自的立法。如，2018年脸书数据泄露后，美国加州颁布了《2018年加州消费者隐私法》，该法案既强调个人对个人信息的控制权，又高度关注产业利益。

　　欧盟专门提出了物联网行动计划。2009年，欧盟委员会向欧盟议会、理事会、欧洲经济和社会委员会及地区委员会递交了《欧洲物联网行动计划》（以下简称“欧洲计划”），“欧洲计划”提出要完善隐私及个人数据保护且要严格执行数据保护有关法律法规，首次从法律层面把物联网时代的信息安全问题上升到新的高度。“欧洲计划”第三条提出了“芯片沉默”的权利，即个人是否有能力在任何时间断开他们与网络环境的连接。简单地说，就是个人对其个人信息是否有控制权。此外，欧盟制定了《一般数据保护条例》，并于2016年5月24日生效。此条例完善了个人数据概念、明确了数据主体的权利、设置了监督主体并加大了处罚力度。

　　多措并举加快推进我国物联网信息安全法律保障

　　借鉴国外经验，完善我国物联网信息安全相关法律法规。一方面，要整体规划，合理分工。应当从国家层面做好物联网时代信息安全立法的整体规划，构建科学合理的法律框架，引导各部门、各行业合理分工，促进信息安全立法沿着正确的轨道推进。另一方面，推进专门立法，研究制定《信息保护法》。虽然我国诸多法律法规对信息安全问题均有涉及，但是我国至今没有对这一问题进行专门立法。物联网时代，信息安全至关重要。我国也应当立足于物联网时代信息安全的新挑战，出台专门的《信息保护法》，减少消除物联网时代信息泄露所带来的困扰。

　　规范好物联网相关主体权利义务。一方面，对于物联网企业而言，首先要履行告知义务，在提供物联网服务前应告知用户在使用过程会获取其相关的个人信息、获取信息的用途以及相应的后果。同时，物联网企业还要提供一个安全的网络环境，应堵住安全漏洞，防止用户信息泄露。最后，物联网企业还应当履行好保密义务，未经用户授权，不得随意对外公布相关信息。若物联网企业基于故意或过失而导致用户信息泄露，应当承担相应的责任。另一方面，对于物联网用户而言，要遵守物联网相关管理规定，以合法合理的方式使用物联网，不能违反规定，恶意使用物联网。此外，要如实提供个人信息并注意个人信息保护。在物联网企业履行告知义务后，用户一旦接受相应条款，须如实填写自己的相关信息，更不能在未经他人授权的情况下，擅自上传他人信息，造成相应后果的，应当承担相应责任。

　　加强政府对物联网信息安全的监管。物联网时代，信息安全会面临更大的挑战，政府应当加强监管。比如，可以研究成立一个处理信息安全问题的专门机关，专门负责信息安全领域的市场规范和执法监管，并赋予该机关相应的处罚权，从而加大信息安全侵权行为的违法成本。物联网作为国家的重要创新产业，即将迎来井喷式发展。在这个过程中，政府要做好物联网发展的相关引导规范，对不良行为加强监管。要运用多种手段解决物联网时代信息安全问题，除了技术上的突破之外，要注意运用好法律武器，为物联网时代营造一个良好的法治环境。

　　（作者为西安交通大学法学院教授；西安交通大学法学院硕士研究生李亮对此文亦有贡献）