北京郵電大學謝永江:視訊安全問題及其法律規制
文 | 北京郵電大學網際網路治理與法律研究中心 謝永江 袁璐
隨著物聯網的快速發展,大量視訊裝置連入網際網路。近年來,由於網路攝像頭價格低廉、操作簡單的特點,幾乎“滿城盡是電子眼”的現實,使處在網路視訊裝置掃描下的生活成為日常的一部分。中國是網路視訊裝置數量增長最快的國家,然而,如此多的視訊防控裝置在為我們帶來了更多安全和便利的同時,也帶來了資料安全等諸多問題。
一、網路視訊裝置應用的安全問題
政府出於公共安全管理的需要,在道路、廣場、車站等公共場所安裝了大量網路視訊裝置;同樣,出於自身安全或管理需要,商店、銀行、學校、醫院、企業等單位門前、室內、生產車間等場所也安裝了大量網路視訊裝置;許多家庭等私人場所也安裝了網路攝像頭,以瞭解獨自在家的老人、孩子或寵物的狀況;一些餐飲店、幼兒園等,為了讓顧客、家長放心,或出於宣傳的目的,開通了廚房、幼兒園視訊直播。網路視訊裝置的廣泛使用所帶來的安全風險問題,不容忽視。
1. 網路視訊裝置軟體安全漏洞問題
由於市場巨大,大量“山寨”視訊裝置充斥市場,一些生產廠商的安全技術水平和安全管理意識參差不齊,裝置、應用、服務端、客戶端都可能存在各種各樣的安全漏洞和安全風險,並且極少進行後續的系統更新,一旦聯網,黑客可以輕而易舉地破解並獲取視訊資訊。
《2018 年攝像頭安全報告》顯示,截止至2018 年11 月,2018 年公開發布的攝像頭漏洞達221 條以上,比2017年增長了19%。網路攝像頭的安全漏洞還會被黑客利用實施網路攻擊,而且,利用黑客程式破解攝像頭IP 地址並公開叫賣的事件頻頻發生,並逐漸形成了一條日漸成熟的黑客入侵、地下交易以及偷窺的黑色產業鏈。
2. 網路視訊裝置引發資料資訊洩露等問題
對公共領域網路視訊裝置的安裝和使用,需要平衡網路視訊裝置在維護秩序、防禦犯罪方面的積極作用與在公共領域的個人資訊保安需求。安裝在公共領域或開放場所大量的高清化、網路化、智慧化的視訊裝置,獲取了大量的資料資訊,並且可以實現進一步深度資料探勘。
如果這些資料資訊被洩露或濫用,將對相關方造成威脅。例如,當公民在公共場所的行為被高清攝像頭連續記錄時,就可以挖掘分析當事人的行蹤軌跡等資訊,對當事人的個人資訊構成現實威脅,這超出了當事人在公共場所對個人資訊保護的“合理期待”。事實上,公共領域視訊裝置資訊未經授權的檢視、使用和傳播行為引發了社會公眾極大的不安。
3. 公共利益和國家資訊保安保護問題
隨著高清化、網路化技術的發展,公共安全視訊影象資訊系統在前端採集、網路傳輸、後端平臺處理等技術和管理環節存在的網路安全風險日益凸顯。網路視訊裝置的廣泛使用必然會彙集海量視訊資訊,這些資訊極容易給公共利益和國家資訊保安帶來隱患。例如,道路交通攝像頭的安裝使用,對押解、運送國家重要軍事物資車輛的路線、目的地等情況有可能造成威脅,存在洩露國家祕密的可能。這對敏感狀況下的視訊資訊保密措施提出了更高的要求。
二、網路視訊裝置安全現狀及問題
在國外,一些國家已經開始針對網路攝像頭等物聯網裝置進行立法。在澳大利亞,視訊、影象採集裝備的安裝必須要遵循1988 年《隱私法》(Privacy Act)的規定;如沒有具體的規定,則需要接受國家隱私原則的約束。澳大利亞於2004 年出臺了《澳大利亞監視裝置法》(Surveillance Devices Act),對於監視裝置的安裝、使用、特例情況等做出規定。美國加州於2018 年9 月通過了全美首部被稱為“物聯網安全法”的法案《資訊隱私:聯網裝置》(SB-327 Information privacy: connected devices),要求聯網裝置的製造商應為裝置配備合理的安全效能,以保護裝置及其中包含的資訊,防止未經授權的訪問、銷燬、使用、修改或披露。該法要求每一臺裝置的預程式設計序密碼均是唯一的,或要求使用者在首次被授予裝置訪問許可權之前生成新的認證方法。2019 年3 月,美國參眾兩院議員還提出《物聯網網路安全改進法案》(Internet of Things Cybersecurity Improvement Act),除了要求每家企業都提升其製造的聯網裝置的安全性,該法案還希望對聯邦政府使用的任何物聯網裝置設定最低的安全標準。
目前,我國《網路安全法》《侵權責任法》《治安管理處罰法》等法律對網路安全保護有了總體規定,但是,對大規模使用的網路視訊裝置,尚未有一部法律層級較高、統籌規劃網路視訊裝置安裝使用的法律或行政法規。
我國高度重視安全防控網、視訊防控系統的建設。2015 年4 月,中共中央辦公廳、國務院辦公廳印發的《關於加強社會治安防控體系建設的意見》,對加強機關、企事業單位內部安全防控網建設、加快公共安全視訊監控系統建設作出部署。2015 年5 月,國家發改委等九部門出臺《關於加強公共安全視訊監控建設聯網應用工作的若干意見》,就加強公共安全視訊監控建設、聯網、應用等工作提出指導意見,並提出要加快推進視訊影象資訊保安、資料保護等方面的立法工作。2015 年12 月頒佈的《反恐怖主義法》為滿足反恐工作需要,對公共安全視訊影象資訊系統的配備、安裝、使用、資訊儲存、執行維護做了原則規定。為此,公安部於2016年釋出《公共安全視訊影象資訊系統管理條例(徵求意見稿)》,對公共安全視訊影象資訊系統的建設、使用和管理進行規範,並對涉及公共安全的區域或者場所的視訊裝置等進行視訊影象資訊採集、傳輸、顯示、儲存和處理的各個環節作出具體規定。
我國一些地方政府對視訊安防監控系統的規劃、建設、使用、維護和管理行為進行法律規範。目前,北京等15個省(自治區、直轄市)、市已經出臺了公共安全影象資訊系統管理辦法,江蘇省、深圳市等5 個省、市推出了徵求意見稿。此外,一些行業也制定了相關條例,例如,《保安服務管理條例》對保安服務中使用的技術防範產品作了原則性規定。不過,由於缺乏上位法的統領,這些地方立法在術語使用、概念界定、調整範圍、處罰標準等方面,存在差異。
在技術標準層面,2017年釋出的GB35114-2017《公共安全視訊監控聯網資訊保安技術要求》,對公共安全領域攝像頭聯網視訊資訊以及控制信令資訊保安保護的技術要求進行了詳細規定。2019年頒佈的GB37300-2018《公共安全重點區域視訊影象資訊採集規範》,規定了公共安全重點區域視訊影象資訊採集部位和採集種類、技術要求和採集裝置要求。此外,此類標準還包括GB50395-2007《視訊安防監控系統工程設計規範》、GB/T28181-2011《安全防範視訊監控聯網系統資訊傳輸、交換、控制技術要求》、GA/T367-2001《視訊安防監控系統技術要求》等。這些技術標準對網路視訊裝置資訊採集、聯網資訊保安、系統技術要求、工程設計規範等作了規範,在一定程度上彌補了立法的不足,但是,各項技術規範都只是針對特定問題進行規定,不可能對網路視訊裝置相關安全問題進行系統、全面地規範,而且,許多現行國家標準得不到有效執行,產品質量參差不齊,各方建設的公共安全視訊影象資訊系統因標準不統一無法互聯互通,制約了整體效能發揮,資訊保安難以保障。
可見,隨著視訊防控建設、應用不斷深入,現有法律法規不完善、統籌規劃不到位、安全保障不落實、管理機制不健全等問題日益突出,不但嚴重製約了社會治安防控體系的建設,也不利於公民合法權益的保護。
三、完善視訊安全管理的法律建議
面對網路視訊裝置日益彰顯的安全隱患問題,需要進一步完善相關法律制度,儘快出臺諸如《公共安全視訊影象資訊系統管理條例》等行政法規,建議從以下幾個方面完善相關立法:
第一,構建統一的公共安全視訊影象資訊系統管理體系。強化統籌規劃和資源整合,推動視訊影象資訊的共享,提升公共安全防管能力。公共安全視訊影象資訊系統涉及公安、發展改革、財政、住房城鄉建設、交通運輸、工業和資訊化、市場監督等行政主管部門,應當明確由公安部門主管,其他部門在各自職責範圍內,履行公共安全視訊影象資訊系統建設、管理等方面的指導、監督職責。
第二,規範視訊裝置使用條件與程式。面對高清、智慧、聯網視訊裝置的迅速發展和廣泛應用,視訊資訊海量彙集,大資料探勘分析技術快速提升,對個人在公共場所中的個人資訊利益日漸構成威脅,因此,需要重新審視和規範網路視訊裝置安裝、視訊資訊採集、儲存、傳輸、處理與使用的條件與程式,以及網路視訊裝置所有人和管理人、視訊資訊控制人和處理人以及有關個人等主體之間權利義務的劃分。
第三,明確視訊資訊使用許可權。應當立法明確公共安全視訊裝置安裝的主體、程式、地點範圍等要求,明確私人聯網視訊裝置安裝的範圍,防止侵害他人合法權益。同時,應明確對所採集的視訊資訊實行授權管理、訪問控制等保護措施和管理要求,嚴格視訊資訊的查閱、複製、傳輸、使用、公佈的條件與程式,應當對涉及當事人的個體特徵等個人資訊採取保護性措施,嚴格控制對個人資訊的挖掘分析。
第四,明確網路視訊裝置生產者和銷售者的安全管理義務。除了通過建立強制性安全標準,促使廠商在生產過程中加大安全技術投入外,還需要在後續的售後服務中對網路視訊裝置和應用軟體進行常規防護檢查和更新,確保覆蓋到每個環節,及時修復漏洞問題,預防網路攻擊,並在遭到攻擊後能夠儘快恢復功能。同時,應保障使用者對網路視訊裝置使用與風險的知情權,提升使用者的安全意識。
第五,規範網路視訊裝置視訊資訊的社會共享和商業使用。應當立法規範幼兒園、敬老院等單位的網路視訊裝置網上直播、資訊共享的開通程式、直播時間段和時長以及受眾範圍,加強日常管理,保障有關當事人的知情權、同意權。對於餐館、商場等為了商業宣傳目的而開通的線上直播,要嚴格限定直播場景範圍,不得直播不特定公眾。
第六,嚴厲打擊視訊資訊黑色產業鏈。近年來,一條從視訊裝置破解軟體開發和銷售、偷拍和盜取視訊資訊到販賣牟利的黑色產業鏈已經形成,對此,亟需加大打擊力度,切斷和剷除黑色產業鏈的利益鏈條。應充分發揮國務院打擊治理電信網路新型違法犯罪工作部際聯席會議的統籌協調功能,公安、工信、金融等多部門、多地區聯動,健全打擊整治長效工作機制,利用大資料、追蹤溯源等資訊科技,提高打擊效率,鞏固打擊成果。
(本文刊登於《中國資訊保安》雜誌2019年第4期)
宣告:本文來自中國資訊保安,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如有侵權,請聯絡 [email protected]。