信息安全立法

信息时代的信息安全立法是必要的。 欧美等发达国家在信息安全立法方面最为先进且最富经验，对我国信息安全立法具有借鉴意义。

下面主要对我国的信息安全立法现状和思考展开讨论。

大数据、 个人征信、 物联网、 移动金融……越来越多的新兴业态正在互联网上发酵，但相应的制度规制却并未完善，尤其是处于顶层设计的法律体系。

我国高层决策者已经提出要加强互联网领域立法。 目前，互联网立法相关规划也已具雏形。但“互联网＋” 战略的提出使互联网立法面临向“互联网＋” 立法前瞻。

人脸识别、大数据、移动金融等新兴 “互联网＋” 领域的立法，与互联网立法有着共同的面向，即保护网络安全和个人信息。

1. 互联网立法规划

互联网领域立法，主要体现在完善网络信息服务、 信息安全、 网络管理和依法规范网络行为等方面。

几年前，相关立法决策部门曾提出了一份互联网立法规划，业内普遍认为应包括5部法律和2部行政法规。5部法律为 «网络安全法»、 «电子商务法»、 «电信法»、 «互联网信息服务法» 和 «个人信息保护法»，2部法规为 «电子政务条例» 和 «未成年人网络保护条例»。

目前，多部法律法规已进入立法程序，网络安全法被列入立法规划，电子商务法已完成立法大纲。 未成年人网络保护条例也已被列入国务院立法计划。

网络安全立法是国家安全体系的重要组成部分，是针对网络安全产业链的立法，其对象可能包括网络服务提供商、 互联网接入服务提供商、 互联网信息服务提供商、 设备制造商、核心技术芯片提供商等。

而对个人信息保护的规定已散见于200多部法律、 法规、 地方性法规之中。 2000年和2012年，全国人大常委会分别通过了 «关于维护互联网安全的决定» 和 «关于加强网络信息保护的决定»，这两部法律性质的文件对网络安全和个人信息保护做出了顶层设计。

但法律规定过于抽象，比如 «关于加强网络信息保护的决定» 中首次提出了对个人信息搜集、 使用的 “合法性、 正当性和必要性” 三个原则，可是却没有任何下位法对其有明确的具体化。

2. “电子签名” 不可抵赖

随着人脸识别的应用，远程开户如果成为现实，移动互联网金融将对传统银行业带来很大冲击，但也存在无法回避的安全问题。

基于生物特征的身份识别技术，存在一旦被盗用，将无法吊销的问题。 生物识别技术具有使用便捷的优点，但是也存在两个问题: 一是人脸识别、 指纹识别等技术都无法达到100％的准确率 二是人的生物特征是不能改变的，但是泄露生物特征的途径有很多，一旦泄露，被伪造后将无法吊销。 因此，目前仅依赖生物识别技术进行身份认证还不适用于大范围的金融业务。 电子签名在金融领域的应用十分广泛，以网上银行为例，目前大部分银行都采取电子签名，也就是我们常说的U盾的方式来认证用户身份及保障用户的网上操作安全。近两年，由于互联网金融的快速发展，电子签名在P2P等互联网金融企业也有大量应用。

电子签名具有机密性、 完整性、 鉴别与授权、 不可抵赖性，还广泛应用在电子政务、 电子商务、 网上招投标等领域。 可以说，无论哪个行业，只要在互联网上进行信息交流和商务活动，电子签名都可以作为可靠身份证明的有效手段，解决网络信任问题。

«电子签名法» 的实施，解决了电子发票、 电子合同等电子交易的完整性、 真实性和抗抵赖性。 对APP进行电子签名，还能保障它的安全性和可追溯性。

在金融领域，远程开户、 移动营销等新业务将是电子签名新的应用方向 在非金融领域随着“互联网＋” 理念的提出及我国网络基础设施的加快建设，更多的行业、 企业将更加重视电子签名的使用。 此外，在签名设备上，由于移动互联网的发展，无线签名设备将会是未来的发展趋势。

3. 隐私权保护必不可少

通过RFID (射频识别技术) 侵犯个人隐私是物联网的一个重要法律问题。 RFID系统即射频识别系统，它由电子标签、 读写器、 天线和计算机系统几个部分组成，利用无线射频方式在读写器和电子标签之间进行非接触双向数据传输，以达到目标识别和数据交换的目的。

其对个人隐私的威胁主要基于: 电子标签本身存在较大隐私风险。 电子标签的信息存储容量较大，且具有较高的数据处理效率，这就使人们把更多信息存储在标签中变为可能。 然而，将更多的信息集中在一个嵌有电子标签的设备上，使人们可以同时用一个设备购物、 上班、 停车、 加油、 看病、 上学、 吃饭等，将导致各种信息 (包括隐私信息) 过于集中，一旦泄露，个人隐私将可能全部被泄露。

电子标签中的隐私信息可被第三方读写器非法读取，不法分子也可通过RFID技术对个人进行监控和跟踪，由于目前RFID安全机制尚不够完善，不法分子完全可以通过第三方读写器直接与标签进行通信，读取、 修改或删除其中隐私信息。 同时，不法分子还可以通过在多处设置读写器，对电子标签携带者的行踪轨迹和位置进行记录，以实现监视跟踪的目的。

RFID技术是物联网的关键核心技术，它事关物联网中目标识别和数据采集。 目前我国并没有强制性的RFID安全标准，也没有相应的RFID法律规范。 也就是说，只要条件允许任何人可以在任何时间、 任何地点，对任何电子标签进行读取，而这将对个人隐私和信息安全带来严重威胁。

有必要出台一部专项的RFID法规。 在该法规中，应至少包含以下内容: 明确RFID设备生产和服务企业的准入门槛 明确电子标签和读写器的使用规范 要求企业对收集到的数据进行加密，并将数据加密作为一项最基本要求 明确个人的权利，包括有权对电子标签中的内容进行查询、 修改、 删除操作，有权对标签进行销毁，有权获知电子标签被读取情况建立认证制度，对RFID相关设备进行认证，确保其安全性 明确滥用、 非法使用RFID技术所应承担的法律后果等。

4. 大数据对法律的冲击

数据具有资产性，需要保护数据背后的利益方，包括企业利益、 公民个人利益。 某种意义上说，这也是在保护国家利益，因为整个数据所构成的公共资源是一个国家信息资源的重要组成部分。 另外，数据也是可使用的。 为了促进发展，应该破除企业之间使用数据的不合理壁垒，这要求法律不断完善。 当然，对数据的使用也是有限制的，要符合目的，也就是要有一定的原则。

大数据对立法的冲击主要体现在两个方面: 一个是网络安全立法，一个是个人隐私保护立法。 建立全方位的安全审查制度，是网络安全立法重要的关注点。 其内容应包括针对主体的安全审查、 针对产品的安全审查、 配合政府采购制度的安全审查等。

一方面，信息资源日益成为重要的生产要素，成为国家竞争力的重要标志，大数据可以驱动整个社会的创新，释放整个经济发展的活力。 从国家层面已经对信息资源有了一个非常高的认识。 为了促进发展，应该鼓励数据尤其是政府数据的全面开放，目前，全球很多国家都在开展数据政府开放运动，有些国家已经制定了相关立法。

但另一方面，还看到对信息资源和网络安全管控的趋势，这需要在立法中进行平衡。 数据的价值可以说是未来的新能源，各国都在加强对信息资源的控制和争夺，这提出一个问题，在全球化时代，是推进跨境数据资源共享，还是进行跨境数据流动的限制?

立法当中，还要平衡数据使用和隐私保护。 在获取数据时，过去个人信息保护立法都是以告知为原则。 但在大数据时代，这种告知很难实现，因为数据分析者可能在使用数据以前，都很难知道要用这些数据做什么，也不一定知道会产生什么结果。

大数据还会在其他方面给法律带来冲击，比如数据的权属怎样确定、 数据价值怎样衡量、 会不会产生数据垄断等。

总之，我国信息安全立法任重而道远。

本章案例

大数据应用之: 农夫山泉用大数据卖矿泉水

这里是上海城乡结合部九亭镇新华都超市的一个角落，农夫山泉的矿泉水堆静静地摆放在这里。 来自农夫山泉的业务员每天例行公事地来到这个点，拍摄10张照片: 水怎么摆放、位置有什么变化、 高度如何……这样的点每个业务员一天要跑15个，按照规定，下班之前150张照片就被传回杭州总部。 每个业务员，每天会产生的数据量在10MB，这似乎并不是个大数字。

但农夫山泉全国有10000个业务员，这样每天的数据就是100GB，每月为3TB。 当这些图片如雪片般进入农夫山泉在杭州的机房时，这家公司的CIO胡健就会有这么一种感觉:守着一座金山，却不知道从哪里挖下第一锹。

胡健想知道的问题包括: 怎样摆放水堆更能促进销售? 什么年龄的消费者在水堆前停留更久? 他们一次购买的量多大? 气温的变化让购买行为发生了哪些改变? 竞争对手的新包装对销售产生了怎样的影响? 不少问题目前也可以回答，但它们更多是基于经验，而不是基于数据。

从2008年开始，业务员拍摄的照片就这么被收集起来，如果按照数据的属性来分类“图片” 属于典型的非关系型数据，还包括视频、 音频等。 系统地对非关系型数据进行分析是胡健设想的下一步计划，这是农夫山泉在 “大数据时代” 必须迈出的步骤。 如果超市、金融公司与农夫山泉有某种渠道来分享信息，如果类似图像、 视频和音频资料可以系统分析，如果人的位置有更多的方式可以被监测到，那么摊开在胡健面前的就是一幅基于人消费行为的画卷，而描绘画卷的是一组组复杂的 “0、1、1、0”。

SAP全球执行副总裁、 中国研究院院长孙小群接受 «中国企业家» 采访时表示，企业对于数据的挖掘使用分三个阶段，“一开始是把数据变得透明，让大家看到数据，能够看到数据越来越多 第二步是可以提问题，可以形成互动，用很多支持的工具来帮我们做出实时分析 而3.0时代，用信息流来指导物流和资金流，现在数据要告诉我们未来，告诉我们往什么地方走。”

SAP从2003年开始与农夫山泉在企业管理软件ERP方面进行合作。 彼时，农夫山泉仅仅是一个软件采购和使用者，而SAP还是服务商的角色。

而等到2011年6月，SAP和农夫山泉开始共同开发基于 “饮用水” 这个产业形态中运输环境的数据场景。

关于运输的数据场景到底有多重要呢? 将自己定位成 “大自然搬运工” 的农夫山泉在全国有十多个水源地。 农夫山泉通过把水灌装、 配送，然后上架，一瓶超市售价2元的550m L饮用水，其中3毛钱花在了运输上。 在农夫山泉内部，有着 “搬上搬下，银子哗哗”的说法。 如何根据不同的变量因素来控制自己的物流成本，成为问题的核心。

基于上述场景，SAP团队和农夫山泉团队开始了场景开发，他们将很多数据纳入进来:高速公路的收费、 道路等级、 天气、 配送中心辐射半径、 季节性变化、 不同市场的售价、 不同渠道的费用、 各地的人力成本，甚至突发性的需求 (比如某城市召开一次大型运动会)。在没有数据实时支撑时，农夫山泉在物流领域花了很多 “冤枉钱”。 比如某个小品相的产品 (350m L饮用水)，在某个城市的销量预测不到位时，公司以往通常的做法是通过大区间的调运来弥补终端货源的不足。 “华北往华南运，运到半道的时候，发现华东实际有富余，从华东调运更便宜。 但很快发现对华南的预测有偏差，华北短缺更为严重，华东开始往华北运。 此时如果太湖突发一次污染事件，很可能华东又出现短缺。”

这种没头苍蝇的状况让农夫山泉头疼不已。 在采购、 仓储、 配送这条线上，农夫山泉特别希望通过获取大数据来解决三个顽症: 首先是解决生产和销售的不平衡，准确获知该产多少，送多少 其次，让400家办事处、 30个配送中心能够纳入到体系中来，形成一个动态网状结构，而非简单的树状结构 最后，让退货、 残次等问题与生产基地能够实时连接起来。

也就是说，销售的最前端成为一个个神经末梢，它的任何一个痛点，在大脑这里都能快速感知到。

“日常运营中，我们会产生销售、 市场费用、 物流、 生产、 财务等数据，这些数据都是通过工具定时抽取到SAPBW或Oracle DM，再通过Business Object展现的。” 胡健表示，这个 “展现” 的过程长达24小时，也就是说，在24小时后，物流、 资金流和信息流才能汇聚到一起，彼此关联形成一份有价值的统计报告。 当农夫山泉的每月数据积累达到3TB时这样的速度导致农夫山泉每个月财务结算都要推迟一天。 更重要的是，胡健等农夫山泉的决策者们只能依靠数据来验证以往的决策是否正确，或者对已出现的问题做出纠正，仍旧无法预测未来。

2011年，SAP推出了创新性的数据库平台SAPHana，农夫山泉则成为全球第三个、 亚洲第一个上线该系统的企业，并在当年9月宣布系统对接成功。

胡健选择SAPHana的目的只有一个，快些，再快些。 采用SAPHana后，同等数据量的计算速度从过去的24小时缩短到了0.67秒，几乎可以做到实时计算结果，这让很多不可能的事情变为了可能。

这些基于饮用水行业的实际情况反映到孙小群这里时，这位SAP全球研发的主要负责人非常兴奋。 基于饮用水的场景，SAP并非没有案例，雀巢就是SAP在全球范围长期的合作伙伴。 但是，欧美发达市场的整个数据采集、 梳理、 报告已经相当成熟，上百年的运营经验让这些企业已经能从容面对任何突发状况，他们对新数据解决方案的渴求甚至还不如中国本土公司强烈。

这对农夫山泉董事长钟目炎而言，精准的管控物流成本将不再局限于已有的项目，也可以针对未来的项目。 这位董事长将手指放在一台平板电脑显示的中国地图上，随着手指的移动，建立一个物流配送中心的成本随之显示出来。 数据在不断飞快地变化，好像手指移动产生的数字涟漪。

以往，钟目炎的执行团队也许要经过长期的考察、 论证，再形成一份报告提交给董事长，给他几个备选方案，到底设在哪座城市，还要凭借经验来再做判断。 但现在，至少从成本方面已经一览无遗。 剩下的是一些无法测量的因素。

有了强大的数据分析能力做支持后，农夫山泉近年以30％~40％的年增长率，在饮用水方面快速超越了原先的三甲: 娃哈哈、 乐百氏和可口可乐。 根据国家统计局公布的数据，饮用水领域的市场份额，农夫山泉、 康师傅、 娃哈哈、 可口可乐的冰露，分别为34.8％、16.1％、14.3％、4.7％，农夫山泉的份额几乎是另外三家之和。 对于胡健来说，下一步他希望那些业务员搜集来的图像、 视频资料可以被利用起来。

获益的不仅仅是农夫山泉，在农夫山泉场景中积累的经验，SAP迅速将其复制到神州租车身上。 “我们客户的车辆使用率在达到一定百分比之后出现 ‘瓶颈’，这意味着还有相当比率的车辆处于空置状态，资源尚有优化空间。 通过合作创新，我们用SAPHana为他们特制了一个算法，优化租用流程，帮助他们打破 ‘瓶颈’，将车辆使用率再次提高了15％。”

(本案例改编自http: //ask.hellobi.com/blog/dataman/2299)

案例讨论: 利用大数据后，农夫山泉会发生管理变革吗?

人们在享受管理信息系统带来的高效和便利之后，开始致力于开发更加便利、 功能更加齐全的信息系统。 管理信息系统的发展离不开各种信息技术，特别是大数据、 云计算、 物联网和工业4.0等技术和理念。 无论是哪项技术，都能为管理信息系统带来新的模式。 这些技术都能为人们的工作、 生活带来新的飞跃。

同时，我们也不得不关注信息安全问题。 政府在这方面做出了大量努力，建立信息安全标准，深入研究信息安全技术，同时以法律手段规范不道德的行为。 我国的信息安全立法还有很长远的路，如何吸收国外立法的相关经验，尽早建立健全我国的信息安全法律体系是目前的重点工作。

1. 什么是云计算? 它有哪三种最基本的服务模式?

2. 什么是大数据? 它有哪些特点?

3. 什么是“互联网＋”?你能举例说明 “＋” 后面的内容吗?

4. 什么是物联网? 试举例其在信息系统中的应用。

5. 什么是工业4.0? 工业4.0的三大主题是什么?

6. 简述信息系统面临的风险及安全保障技术。

7. 什么是隐私权? 你认为应当如何保障网络隐私权和知识产权?

参看第8章实验，完成实验项目五: ERP工单管理。