域名預訂/競價，好“米”不錯過

2019年7月29日，由中國電子學會、四川省經(jīng)濟和信息化廳、四川省互聯(lián)網(wǎng)信息辦公室、四川省科學技術(shù)協(xié)會、四川省貿(mào)促會共同主辦的第四屆中國網(wǎng)絡與信息安全大會在成都隆重召開。

深圳法大大網(wǎng)絡科技有限公司高級副總裁兼CTO蘇紅超在大會現(xiàn)場發(fā)表了《信息安全與法律科技的融合與創(chuàng)新》的演講，以下是現(xiàn)場演講實錄。

國內(nèi)外信息安全監(jiān)管發(fā)展與合規(guī)解讀

各位嘉賓、專家早上好，我今天分享的主題是《信息安全與法律科技的融合與創(chuàng)新》，主要是商用環(huán)境下信息安全與法律科技的融合實踐。

首先我會給大家分享一下國內(nèi)外對于信息安全監(jiān)管的發(fā)展情況與合規(guī)解讀，談一些心得體會。

作為電子合同領(lǐng)域的公司，我們對于企業(yè)及個人的隱私數(shù)據(jù)是非常關(guān)注的，信息安全也是我們關(guān)注的重點。我國在信息安全的法律法規(guī)方面，也呈現(xiàn)了多維度立體化的特點?？偨Y(jié)起來有這么幾條：

一是依法，這里說的主要是我們的《網(wǎng)絡安全法》；

二是制度，這個制度主要是我們等級保護制度，并且在今年5月份頒布最新的《網(wǎng)絡安全等級保護制度2.0標準》；

三是規(guī)范，我們國家對于個人信息安全保護雖然還屬于立法推進的過程當中，但已經(jīng)形成了一定的安全規(guī)范。

各位對網(wǎng)絡安全等級保護制度就比較熟悉了，作為一家商業(yè)運作的互聯(lián)網(wǎng)公司，我們認為等保2.0與1.0相比，最大的提升有兩點：

第一是它把個人信息納入到等保的約束范圍內(nèi)，第二是信息保障體系由之前的被動防御轉(zhuǎn)變成了全方位的主動防御。

國內(nèi)對于信息安全相關(guān)的法律法規(guī)其實是比較健全，也是立體全方位的，整體趨勢更是日趨嚴格，這和國際上對于企業(yè)信息及個人隱私保護方面的立法方向也是一致的。

△國內(nèi)信息安全相關(guān)法律法規(guī)

我們的電子合同業(yè)務涉及到國內(nèi)和海外的一些業(yè)務，下面我跟大家分享一下對于海外信息安全法律和政策法規(guī)的解讀。

歐盟GDPR是在2018年正式發(fā)布的，GDPR可以說是全世界對于個人信息保護最為嚴格的法律法規(guī)?？偨Y(jié)下來，其核心是三點：

第一是使用范圍非常廣，無論是通過屬地管轄和屬人管轄，基本上都把涉及個人的方方面面都包括在內(nèi)。

第二是遵從數(shù)據(jù)的基本原則，這個是非常嚴格的，無論是從數(shù)據(jù)收集，還是數(shù)據(jù)存儲和數(shù)據(jù)使用的方方面面，GDPR都做了約束和規(guī)定。

GDPR的核心是個人隱私數(shù)據(jù)保護，所以對于用戶主體權(quán)益的保護是非常非常大的，無論是對個體的知情權(quán)、數(shù)據(jù)管理權(quán)限及數(shù)據(jù)權(quán)限處置的個人意愿都做了嚴格的管理。

在美國，在國家整體層面上來看，它不像歐盟地區(qū)一樣，有統(tǒng)一的法律法規(guī)來保護個人信息安全，它的特點是分行業(yè)、分散立法來進行一些政策法規(guī)的制定，比如說在金融、醫(yī)療、教育等領(lǐng)域都制定了一些相關(guān)的個人隱私保護條例。

美國還有一個特點就是州立法，作為一個聯(lián)邦制的國家，美國每個州都有自己的一些獨立立法和司法權(quán)限，比如加州就單獨制定了CCPA個人隱私保護條例。

還有一個從全球范圍來看比較典型的國家就是日本。日本更多是借鑒和模仿西方國家的做法，也比較早對個人信息保護進行立法，它的特點是3年更新一次，更新的依據(jù)是什么呢？剛才提到它更多的是借鑒歐美個人隱私保護的條例，日本會在每三年修訂法案時，將歐美最新的立法動態(tài)和外部環(huán)境的發(fā)展情況納入進去。

其實日本和新加坡、美國一樣，是區(qū)塊鏈發(fā)展非常迅速的國家，他們在最近的一次修訂計劃中，也會把區(qū)塊鏈相關(guān)的信息保護政策納入到個人信息保護法中。

△國內(nèi)外信息安全立法對比

法律科技發(fā)展與信息安全關(guān)注點

整體對比來看，包括我們國家在內(nèi)的每個國家和地區(qū)都有一些鮮明的特點。我國在個人信息保護立法方面，相關(guān)部門也在持續(xù)推進。對于法律科技這個領(lǐng)域和信息安全之間的一些融合，下面我給大家簡單地匯報一下。

法律科技是隨著整個互聯(lián)網(wǎng)的發(fā)展而不斷發(fā)展的，起步也是在2000年左右。隨著我們整個互聯(lián)網(wǎng)的蓬勃發(fā)展，法律科技這個概念被正式提出來。隨著我國電商環(huán)境的不斷發(fā)展，也出現(xiàn)了針對法律行業(yè)、法律科技方面的電商熱潮，他們更多的是提供一些法律服務。

2014年是一個重要的分水嶺，法律科技布局初顯，國家相關(guān)部門以及各個互聯(lián)網(wǎng)巨頭入場，投資基金在這個時候不斷涌入。而法律科技在海外，也差不多是在2013、2014年蓬勃發(fā)展起來的。

法律科技目前的最新發(fā)展趨勢，第一個就是大數(shù)據(jù)和AI，通過AI、機器學習、深度學習，可以快速地把一些法律文本，尤其是合同范本進行智能糾錯，甚至是智能起草、智能仲裁。第二個就是區(qū)塊鏈，區(qū)塊鏈的特點就是公正公開透明，而且是可以追溯源頭的，這個恰恰是我們電子證據(jù)可以利用的重要技術(shù)手段，所以區(qū)塊鏈在電子數(shù)據(jù)的存證方面有天然的優(yōu)勢。

這里列舉了一下整個法律科技的各種應用，包括智慧法庭、智能法院，以及我們所從事的電子簽章、電子合同。作為法律科技從業(yè)者，最關(guān)注的還是信息安全。信息安全有三個重點：一是機密性，二是完整性，三是可用性。我們通過多維度、多層次的立體防護，保證法律科技領(lǐng)域的信息安全。

△國內(nèi)法律科技應用領(lǐng)域列舉

法大大信息安全實踐與創(chuàng)新

下面給大家匯報一下我們法大大在整個法律科技領(lǐng)域以及信息安全領(lǐng)域的最佳實踐。

法大大提供了電子簽章和電子合同的整體解決方案，我們會通過PAAS中臺把一些底層能力集成起來，包括我們的密碼技術(shù)、區(qū)塊鏈技術(shù)、機器學習技術(shù)，形成一個多維度PAAS平臺。

再往上是我們公司產(chǎn)品的應用層，在這個應用層上我們會提供多種模式，比如SAAS、公有云、混合云，包括本地部署的SDK模式。

第三個就是我們給企業(yè)提供的垂直行業(yè)解決方案，包括傳統(tǒng)金融、地產(chǎn)、游戲等等。當然物聯(lián)網(wǎng)我們也會涉及，我們在簽署電子合同時的某些功能，像身份認證其實就會借助物聯(lián)網(wǎng)、5G技術(shù)的賦能。

右邊兩個部分，一個是大數(shù)據(jù)中心，一個是AI處理中心，它們是兩個是相輔相成的。對于一些法律文本，我們可以對其做深度脫敏之后進行聚合處理，并且通過機器學習使得我們的工作效率進一步提升。

△電子簽章整體解決方案

整體來說我們會涵蓋合同的整個生命周期，包括合同起草、合同簽署，在合同產(chǎn)生糾紛之后我們可以一鍵發(fā)起網(wǎng)絡仲裁。

合同是非常機密的，通過合同來連接了企業(yè)和個人，涉及到相關(guān)方的隱私信息，針對這一點，我們通過六個維度，把整個信息安全體系管理起來。

剛剛王小云院士也提到我們國家頒布了《電子簽名法》，它涉及到了企業(yè)和個人的認證，對簽署雙方或者多方的身份要做嚴格的實名認證。后面我會展開講一下，如何通過數(shù)字證書技術(shù)、密碼學習技術(shù)來確認簽約主體的合法性和有效性。

另一個重點就是意愿簽署，合同最關(guān)鍵的是確保簽署各方意愿，現(xiàn)在有很多不合規(guī)的平臺，消費者在上面可能莫名其妙地就簽署合同，進行了消費貸。其實這是非常不合規(guī)的，其中的隱患也是非常巨大的。

我們通過這樣的一個流程，會不斷地優(yōu)化我們在法律合規(guī)性，以及個人隱私保護上的工作，通過對標分析、差距評估、合規(guī)方案的選定，最終不斷整改推動我們整個信息安全水平的提升。

當然這個流程我們是會不斷地演進，而非把它固定下來的，我們會隨時根據(jù)外部環(huán)境，以及實際的演進情況往前推進。在這個過程中，我們也得到了很多信息安全相關(guān)的資質(zhì)認定。

電子合同簽署技術(shù)要求，概括來說就是3W，我們會對文件內(nèi)容、簽約主體和簽約時間，分別通過數(shù)字簽名，數(shù)字證書和可信時間戳來進行運算，最終植入到電子合同中，電子合同最終承載的實體在我們國內(nèi)更多使用OFD格式，整個國際上通用的是PDF，我們會把這些數(shù)據(jù)格式寫入到整個電子合同中去。

△安全電子合同的技術(shù)要求

數(shù)字簽名、數(shù)字證書、可信時間戳是大家比較關(guān)注的三個點，數(shù)字證書更多的是鑒別企業(yè)及個人的身份，可信時間戳則是合同簽署時間防抵賴的一種措施。

證書安全，這里有幾點是專家們比較熟悉的。我們通過一些密碼學算法上的支撐，對手機盾等硬件進行物理保護，在云端我們也會通過硬件設施來保證這些證書的安全。

關(guān)于文件安全，因為電子合同是非常敏感的電子文件，為此我們通過自己獨有的數(shù)據(jù)文件切片技術(shù)，將原始文件分割后儲存到多個公有云及私有云上，進行分布式的部署，這樣即便是有不法分子攻擊這些公有云，他獲取到的也只是文件碎片，而無法擁有電子合同的完整文本。

文印安全對國有大型企業(yè)、銀行是比較有作用的，我們通過自研的防偽墨水、防偽打印機，以及防偽鑒證儀來保證紙質(zhì)合同不被篡改、可跟蹤、可溯源。

這個是電子證據(jù)保全，我們更多的與互聯(lián)網(wǎng)法院及仲裁委合作，將包括簽證、電子合同文件本身以及合同相關(guān)行為的哈希值保存到聯(lián)盟區(qū)塊鏈上。這些區(qū)塊鏈跟公檢法都是打通的，所以在產(chǎn)生糾紛的時候，我們能提供強司法屬性的出證服務。這是對于區(qū)塊鏈證據(jù)保全做了一些展開，更多是通過存證API接受令來進行廣播上鏈，這一塊是具有強司法屬性的，我們可以在一鍵發(fā)起網(wǎng)絡仲裁，甚至一鍵進行線上裁判。

△電子證據(jù)保全

接下來的是我們整個平臺為了確保信息安全而做的一些保障，我們是融合了多家公有云，包括阿里云、騰訊云等云服務商合作，來保障整個業(yè)務的連續(xù)性和高可用性。我們也會在運維安全方面做合規(guī)審計，包括的堡壘機、日志智能審計、數(shù)據(jù)庫審計、數(shù)據(jù)庫安全運維系統(tǒng)等等。

最后跟大家說一下，上面所有的技術(shù)手段，包括運維安全手段，很大程度是為了控制好我們企業(yè)和個人的信息安全。法大大電子合同是和各地的公檢法系統(tǒng)及互聯(lián)網(wǎng)法院打通的，具備強司法效力，現(xiàn)在已經(jīng)有超過一千次判決認可了我們的電子合同。我們已經(jīng)出具了上千份的電子合同技術(shù)報告，對接多家公證處和司法鑒定機構(gòu)進行數(shù)據(jù)證據(jù)保全。

我的匯報就到這里，謝謝大家！

蘇紅超  法大大高級總裁兼CTO

電子科技大學本科畢業(yè)，十余年互聯(lián)網(wǎng)一線技術(shù)研發(fā)與管理經(jīng)驗，國內(nèi)最早研發(fā)實施SaaS/PaaS平臺的實踐者，對云原生（Cloud Native）體系和生態(tài)有豐富的實踐及落地經(jīng)驗，深耕區(qū)塊鏈應用研發(fā)，擁有多項技術(shù)發(fā)明專利。在企業(yè)級電子簽章/電子印章以及安全證書等領(lǐng)域有多年實踐經(jīng)驗。

GITC全球互聯(lián)網(wǎng)技術(shù)大會專家顧問，微軟最有價值專家MVP。出版及翻譯了《ASP.NET深入解析》、《ASP.NET 4高級程序設計(第4版)》、《ASP.NET 3.5 高級程序設計：第2版》等多本計算機程序設計教材。

申請創(chuàng)業(yè)報道，分享創(chuàng)業(yè)好點子。點擊此處，共同探討創(chuàng)業(yè)新機遇！