国盟信息安全通报2018年9月17日第178期.pdf

资源描述

1、国盟信息安全通报（2018 年 10 月 15 日第 178 期）国际信息安全学习联盟主办 1 http:/ 2018 年 10 月 15 日第 178 期国盟信息安全通报（2018 年 10 月 15 日第 178 期）国际信息安全学习联盟主办 2 http:/ 国盟信息安全通报（第第 178 期期）国家信息安全漏洞共享平台（以下简称 CNVD）本周共收集、整理信息安全漏洞 267 个，其中高危漏洞 93 个、中危漏洞 168 个、低危漏洞 6 个。漏洞平均分值为 6.10。本周收录的漏洞中，涉及 0day 漏洞100 个（占 37%），其中互联网上出现“LGSuperSign

2、CMS 远程代码执行漏洞、Joomla!组件 Penny Auction Factory SQL 注入漏洞”等零日代码攻击漏洞。本周 CNVD 接到的涉及党政机关和企事业单位的事件型漏洞总数 1261 个，与上周（588 个）环比增长 1.14 倍。国际国际信息安全信息安全学习联学习联盟盟 2018 年年 10 月月 15 日日国盟信息安全通报（2018 年 10 月 15 日第 178 期）国际信息安全学习联盟主办 3 http:/ 主要内容主要内容一、概述一、概述 . 4 4 二、安全漏洞增长数量及种类分布情况二、安全漏洞增长数量及种类分布情况 . . 4 4 漏洞产生原因（201

3、8 年 9 月 17 日2018 年 10 月 15 日） . 4 漏洞引发的威胁（2018 年 9 月 17 日2018 年 10 月 15 日） . 5 漏洞影响对象类型（2018 年 9 月 17 日2018 年 10 月 15 日） . 5 三、安全产业动态三、安全产业动态 . 6 6 守好信息安全的城池. 6 欧盟数据治理新走向非个人数据自由流动框架条例提案评析 . 7 人工智能、区块链等新技术影响法律的三个趋势 . 13 各国提高网络安全意识的主要做法、特点与借鉴 . 18 四、政府之声四、政府之声 . 2424 公安部发布公安机关互联网安全监督检查规定 . 24 国家能源局印发关

4、于加强电力行业网络安全工作的指导意见 . 24 证监会发布证券期货业数据分类分级指引四项金融行业标准 . 25 17 项信安标委归口国家标准获批发布:2019 年 4 月 1 实施 . 26 五、本期重要漏洞实例五、本期重要漏洞实例 . 2828 Microsoft Word 远程执行代码漏洞 . 28 Linux kernel 信息泄露安全漏洞 . 29 IBM Security Key Lifecycle Manager 信息泄露安全漏洞 . 29 Cisco IOS XR Software 拒绝服务漏洞 . 30 六、本期网络安全事件六、本期网络安全事件 . 3131 数千人苹果 ID

5、遭盗刷苹果拒退款 . 31 重大系统故障袭击东京证券交易所 . 32 Facebook 因安全漏洞暴露用户私人信息被起诉 . 33 华夏银行技术处长编写病毒植入系统盗窃 700 余万受审 . 35 陕南公务员找兼职遇间谍为境外窃取提供国家机密获刑 10 年 . 37 非法获取上亿条公民信息深圳一程序员被刑拘 . 39 注：本报根据中国国家信息安全漏洞库（CNNVD）和各大信息安全网站整理分析而成。国盟信息安全通报（2018 年 10 月 15 日第 178 期）国际信息安全学习联盟主办 4 http:/ 一、一、概述概述国盟信息安全通报是根据国家信息安全漏洞共享平台（以下简称 CNVD

6、）本周共收集、整理信息安全漏洞 267 个，其中高危漏洞 93 个、中危漏洞 168 个、低危漏洞 6 个。漏洞平均分值为 6.10。本周收录的漏洞中，涉及 0day 漏洞 100个（占 37%），其中互联网上出现“LGSuperSign CMS 远程代码执行漏洞、Joomla!组件 Penny Auction Factory SQL 注入漏洞”等零日代码攻击漏洞。本周 CNVD 接到的涉及党政机关和企事业单位的事件型漏洞总数 1261 个，与上周（588 个）环比增长 1.14 倍。二、二、安全漏洞增长数量及种类分布情况安全漏洞增长数量及种类分布情况漏洞产生原因漏洞产生原因（2018

7、年年 9 月月 17 日日2018 年年 10 月月 15 日日）国盟信息安全通报（2018 年 10 月 15 日第 178 期）国际信息安全学习联盟主办 5 http:/ 漏洞引发的威胁漏洞引发的威胁（2018 年年 9 月月 17 日日2018 年年 10 月月 15 日日）漏洞影响对象类型漏洞影响对象类型（2018 年年 9 月月 17 日日2018 年年 10 月月 15 日日）国盟信息安全通报（2018 年 10 月 15 日第 178 期）国际信息安全学习联盟主办 6 http:/ 三、三、安全产业动态安全产业动态守好信息安全的城池守好信息安全的城池个人信息保护

8、方面存在的短板，影响着用户对网络世界的信任感、安全感；如何守好数据的城池，成为亟待破解的现实问题 2018 年 9 月 17 日23 日是国家网络安全宣传周，和公民个人信息有关的网络安全话题，持续引人关注。置身互联互通的网络时代，个人信息的采集与记录十分普遍，相关信息在特定平台的共享也无可避免。一定程度上，这为拓展网络应用、便利日常生活提供了必要条件和基础。然而，面对源源不断的“授权”要求，人们也不无担忧：往往一点击“同意” ，个人信息就必须共享，这样的程序或应用会不会埋下隐患？从某种意义上说，个人信息保护方面存在的短板，影响着用户对网络世界的信任感、安全感。现实中，个人信息泄露的

9、案例经常可见。学生刚报名参加考试，辅导机构就找上门来；孕妇还没下产床，月子中心就已掌握情况；购买了新车，结果推销房产的电话也纷至沓来遭泄露的个人信息数目惊人，背后衍生出复杂的利益链条。有鉴于此，近年来，多部门多次加以集中整治，着力强化个人信息安全保护。例如，针对用户快递单信息频遭贩卖，推动物流行业改进管理，推广“隐形面单” 。然而，就像最近某酒店集团数亿条用户信息疑遭泄露国盟信息安全通报（2018 年 10 月 15 日第 178 期）国际信息安全学习联盟主办 7 http:/ 所警示的，个人信息安全风险无所不在，时刻不能放松警惕。从安全角度出发，保护个人信息需要两条腿走路。既要大力

10、打击网络黑手，斩断个人信息贩卖的黑色利益链，也应进一步强化监管，压实有关单位和企业的网络安全责任。特别是对于学校、医院等机构来说，掌握的个人信息不少，但“保险箱”可能还存在弱点。此前，某医疗服务信息系统就曾遭到“黑客”入侵，造成海量个人健康信息泄露。随着各行各业信息化程度不断提升，大数据日益打破信息“孤岛” ，如何守好数据的城池，成为亟待破解的现实问题。信息泄露的教训值得警醒，但前置的权利保护也须高度重视。年初，支付软件晒账单默认勾选“同意”之所以引发争议，就是因为用户日渐看重自己的知情同意权，而这是数据合法收集与使用的前提。今年欧盟通用数据保护条例正式生效，其开创性的数据“被遗忘权”受到广

11、泛关注。擦除互联网信息痕迹的权利，也体现了对用户权利保护的强化。我国网络安全法明确规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则。在实践中，如何科学界定“必要” ，还有赖于进一步完善规则。个人信息，已成为互联网时代的另一种 “身体发肤” 。从治理个人信息泄露的角度来说，加强立法、健全制度是治本之策。去年两会，全国人大通过的民法总则规定，自然人的个人信息受法律保护。随着民法典各分编草案提上日程，细化对隐私权和个人信息的保护，更加可期。前不久公布的十三届全国人大常委会立法规划也显示，个人信息保护法位列“条件比较成熟、任期内拟提请审议”的一类法律草案，这意味着个人信息保护的

12、专门立法有望出台。多管齐下、惩防并举、加强治理，为个人信息安全筑牢防护栏，我们才能更安心地畅游网络空间。（来源：人民日报）欧盟数据治理新走向非个人数据自由流动框架条例提案评析欧盟数据治理新走向非个人数据自由流动框架条例提案评析前前言：言：欧盟委员会于 2017 年下半年提出非个人数据自由流动框架条例的提案（Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on a framework for the free flow of non-personal data in the European Un

13、ion）（下文简称：非个人数据流动条例提案），其核心内容要素主要包括与数据本地化要求有关的规则、向主管部门提供数据的可用性以及专业用户的数据迁移等相关问题。该提案旨在统一有关非个人数据(non-personal data)的自由流动规则，试图为欧盟数字单一市场带来良性的竞争环境，同时为国盟信息安全通报（2018 年 10 月 15 日第 178 期）国际信息安全学习联盟主办 8 http:/ 发展更为安全的数据存储空间提供新的治理框架。一一、非个人数据流动保护背景、非个人数据流动保护背景云计算、大数据、人工智能和物联网等新一代数字化技术以最大限度提高效率、实现规模经济并发

14、展新服务作为目标追求，为技术使用者带来了诸多益处敏捷性、高效性以及自主性。欧盟对数据保护一贯极为重视，迄今出台了多部相关立法力求建构完善的数据保护制度，促进数据合法、有效的利用。但若将个人数据与非个人数据同日而语，则忽略了二者在隐私保护以及价值、影响方面的重大差异。欧盟委员会发布的非个人数据流动条例提案着眼于二者的差异，对非个人数据制定了不同的流转规则体系。（1）亟待解决的问题）亟待解决的问题欧盟数据报告文本显示，欧盟数据市场的价值呈逐年增长趋势，为了释放欧盟数据市场的潜力，该非个人数据流动条例提案特别提示以下亟待解决的问题：改善单一市场中非个人数据的跨境流动性。由于本地化

15、限制或市场法律的不确定性，许多成员国对跨境的非个人数据予以限制; 确保有权机关为监管控制目的要求和获取数据的权力不受影响，例如检查和审计; 使数据存储或其他处理服务的专业用户更容易更换服务提供商和端口数据，同时避免为服务提供商带来过度负担以及产生市场扭曲。该提案将上述诸多问题作为总体政策目标，对数据存储和数据处理服务、动态的数据市场增添竞争力和整合性。国盟信息安全通报（2018 年 10 月 15 日第 178 期）国际信息安全学习联盟主办 9 http:/ （2）追求目标）追求目标目前数据保护立法的适用范围将一些部门排除在外，这将导致仅仅依靠欧洲联盟运行条约（TFEU）

16、的相关规定，不足以消除数据市场中的数据服务面临的现有障碍。在当下欧盟数据市场环境中，相关成员国的数据侵权保护程序极为复杂，抑或面临公营与私人层面数据处理规则不同的障碍。为此，非个人数据流动条例提案与政策领域的现有政策规定以及其他欧盟政策保持一致，力求提高法律确定性，侧重于提供数据存储和其他处理服务，并进一步培育欧盟数字服务市场。该法案提出的非个人数据流动具体规则以及相关措施，旨在减少欧洲数据驱动型竞争经济的壁垒，增强数据的可访问性和再利用性，减少因数据集中对公共利益或私人造成的损害。数据自由流动的规制，将增强数据的可操作性，妥善处理数字合作问题，对互联网的开放提供保护性框架。

17、二二、非个人数据流动条例提案核心框架、非个人数据流动条例提案核心框架该提案所针对的适用对象涵盖除个人数据以外的其他电子数据，规范其存储以及相关处理服务等活动。就内容而言，对于非个人数据的处理活动，为了统筹个人数据与非个人数据的整体保护框架，其提出对数据本地化措施予以最大程度的限制或禁止。此外，对有权机关获取数据的权利以及其他专业用户迁移数据的方式提供了进一步保障和具体措施。对于数据本地化，提案做出的定义为：成员国法律、法规或行政规定中规定的义务、禁止、条件、限制或其他要求，而这些要求对数据存储或数据的其他处理行为做出了特定领域的限制或阻碍。而“有权机关”是指根据国家或联盟法律规定

18、，有权履行其公务职责、获得自然人、法人存储或处理的数据的成员国主管部门;“专业用户”是指包括公营部门实体在内的自然人或法人，基于与其贸易、商业、工艺、专业或业务相关的目而提出使用或请求数据存储以及其他处理服务。针对以上概念定义，提案提出了非个人数据在国际电联内部自由流动的规则理念，也即最大程度限制或禁止数据本地化并为各成员国之间对法律适用提供单一联结点，同时在该前提下要保障有权机关依法获取数据的权力，并改善专业用户更换数据存储或其他处理服务提供商移植数据的条件。三三、限制数据本地化以及提高法律确定性、限制数据本地化以及提高法律确定性欧盟数字单一市场中数据流动的障碍已被确定为核心问

19、题，而问题驱动的因素则是本地国盟信息安全通报（2018 年 10 月 15 日第 178 期）国际信息安全学习联盟主办 10 http:/ 化限制：立法和行政的本地化限制;法律不确定性和市场缺乏信任的数据本地化;禁止处理服务提供商进行数据移转活动的限制。该提案将要求根据第 2015/1535 号指令评估本地化限制是否合理。（1）数据本地化问题的评估及其限制）数据本地化问题的评估及其限制非个人数据流动条例提案第 4 条第（1）款提出了国际电联内部数据自由流动的规则：国际电联存储或其他数据处理的位置不应限于某一特定会员国的领土，并且不得禁止或限制任何其他成员国的存储或其他处理，除非基

20、于公共安全的理由。该规定表明，在欧盟，数字经济的建立以及依赖数据的新技术会受到数据流动障碍的影响，从而影响数字单一市场中的企业及其运营。数字本地化规则对于个人数据的保护而言，具有强针对性保护，但就数字经济而言，数据流动的过分限制同时也阻碍了经济横向发展。为此提案指出，成员国应引入新的数据本地化要求或根据国家法律实施第 2015/1535 号指令中规定的程序对现有数据本地化要求进行修改或废除。该举措的目标是为数据存储和处理活动培育更具竞争力的欧盟市场，具体而言，这意味着减少数据本地化要求的数量和范围，进一步增强法律的确定性。综合条文规定来看，数字本地化并非被完全禁止，但在必

21、要的范围内应当被更改或者修订。根据对该提案的影响评估报告显示，对现有本地化政策的限制情况应当予以评估，即该影响评估报告提出可采用优先选择权来确保审查程序，并建立明确的法律原则，以此有效地消除现行不合理的本地化限制，以及避免将来可能科加的限制。该举措可提高对条例确立的法律原则的认识，还将提高市场的法律确定性。数据本地化应当被完全禁止还是应当采取立法手段予以规制，存有一定的争议。在建立欧洲数字经济的交流报告中，虽然大部分公众认为应当对其采取禁止措施，但事实上，众多利益相关者则认为采取立法行动才是消除本地化限制的最合适手段。（2）单点联系增强法律确定性）单点联系增强法律确定性当然，非

22、个人数据的流动并非仅要求限制数据本地化要求。该提案考虑到了法律确定性问题。提案第 4 条的第（4）款和第（5）款提出了单一信息点的建立问题，该信息点主要为成员国在网上公开适用于其领域的数据本地化要求的详细信息提供了展示方式。此外，根据第 7 条的规定，每个成员国均应指定一个单一信息点，与其他成员国和欧盟委员会的联络点进行联络。单一联络点的适用前提是成员国之间没有可依据的明确法律框架来形成具体的合作机制。此时，在成员国向其他成员国请求协助时，单一联络点将包含一个适当的动机要求以及国盟信息安全通报（2018 年 10 月 15 日第 178 期）国际信息安全学习联盟主办 11 htt

23、p:/ 对被请求方的书面解释理由和寻求访问数据的法律依据。换言之，该种方式是通过在成员国之间建立一个明确的框架规范成员国之间的合作方式，同时通过成员国自身的自律性以提高法律确定性和彼此间的信任水平。基于成员国之间的单一联络点，赋予彼此合作方式一定的灵活性，以长期保持法律框架和各国合作机制的相关性和有效性。四四、数据提供以及数据迁移、数据提供以及数据迁移数据本地化要求往往是由于缺乏对数据跨境存储或其他处理的信任而产生的，但当这些数据是成员国有权机关为了检查、审计监管或监督控制等合法性目的而收集的，对有权机关的权力不应当按照此提案的要求予以限制。（1）向有权机关提供数据）向有

24、权机关提供数据非个人数据流动条例提案第 5 条规定，在有权机关根据联盟或国家法律要求获得依据公职而收集数据的权力时，在不违反公共秩序的前提下，有权机关的此种权利不应受到限制。换言之，有义务向有权机关提供数据的自然人或法人应保证向其提供相应数据，并保证其有效、及时地访问数据，且不论该数据在哪一个成员国中被存储或以其他方式处理。如果有义务提供数据的自然人或法人不遵守这些规定，并且有权机关已经用尽所有适用的手段获取数据，有权机关可寻求其他成员国的协助。在这种情况下，有权机关应根据特定案件的具体情形，依据欧盟相关法律框架的具体条文规定彼此提供有效的合作。此外，在缺乏明确、具体的合作机制的

25、情况下，有权机关可通过指定的单一联络点提供需要的数据。该条文主要确保了有权机关监管控制中的数据可获取性。为此，用户不得以数据在另一成员国存储或以其他方式处理作为理由，拒绝向主管当局提供数据访问权。（2）专业用户数据迁移条件的优化）专业用户数据迁移条件的优化鉴于监管目的而力求在数据可获取性方面取得进展，专业用户可以通过增加数据处理合同中适用程序或其他条件的透明度，更换数据处理服务提供商和端口数据，且不必在此阶段对服务提供商施加具体标准或义务。无障碍迁移数据的能力是用户选择和数据处理服务市场有效竞争的关键促进因素，而数据流动的障碍会破坏专业用户对内部市场的信心。据此，非个人数

26、据流动条例提案第 6条做出规定：在专业用户想要切换到另一个提供商或端口数据时，在返回自己的 IT 系统过程中所适用的流程、技术要求等，均可采用可用数据格式的支持以及最小网络带宽，在迁移过程启动之前所需时间和数据将得以被保证；以结构化等可读格式转换或迁移数据的操作要求，允许用户有充足的时间切换或迁移数国盟信息安全通报（2018 年 10 月 15 日第 178 期）国际信息安全学习联盟主办 12 http:/ 据。换言之，该条文主要要求服务提供者以合理且相称的方式应用于数据的存储或其他处理环节，减轻专业用户切换服务提供商和端口数据的操作难度，各参与者依自律性来履行彼此的义务要求。

27、五五、完善非个人数据流动保护机制的未来影响、完善非个人数据流动保护机制的未来影响为了发展数字经济和提高欧洲工业竞争力，建设一个清晰、全面和可预测的法律体系，规制除个人数据以外的其他数据的处理活动非常有必要。非个人数据流动条例提案具有一定的灵活性，其以成员国之间基于自律性的合作来满足数据用户、服务提供者以及有权机关不断变化的需求，谨慎遴选技术规则以降低与现有机制产生重叠的风险，避免成员国和企业承担更高的经济负担。总体而言，虽然有极大的可能性会导致欧盟市场监管要求以及企业额外成本的增加，该提案力求确保数字单一市场内部的平稳运行，对非个人数据的自由流通加以规制，进一步完善作为

28、核心问题的数据跨境流动规则。（1）促进市场竞争良性发展）促进市场竞争良性发展该提案或将对竞争产生积极影响，其将刺激数据处理服务的创新，从而吸引更多的用户，特别是对于初创和小型服务提供商，可使其更容易进入新市场。此外，还将促进数据处理服务的跨境、跨行业发展，进一步推动数字市场的发展。中小企业是数据处理提供商以及市场创新驱动因素的重要组成部分，这些企业最可能从消除数据流动障碍的规定中受益，非个人数据的自由流动将直接降低其运营成本，并有利于增强其市场地位的竞争力。（2）平衡监管与市场自律）平衡监管与市场自律非个人数据流动条例提案引入有关数据迁移方面的规定，对于专业用户而言，为了充分利

29、用竞争环境，可据此广泛比较内部市场提供的各种数据处理服务情况，以此做出更为明智的选择。该举措不仅是为了培育市场的创新潜力，同时要求数据处理服务提供商和专业用户具有一定的经验和专业知识以及一定的自律性。此外，通过鼓励为数据迁移制定行为准则的方式，将为云服务提供商带来更具竞争力的内部市场，此举将进一步完善数据的传输方法，并在欧盟监管和市场自律之间谋求平衡。具体而言，该规定并未在数据处理服务提供商之间创设新的迁移权利，而是依赖其自我监管来确保与可迁移性相关的技术和操作条件的透明度，从而增强对数据处理安全性的信任。国盟信息安全通报（2018 年 10 月 15 日第 178 期

30、）国际信息安全学习联盟主办 13 http:/ （3）培育安全的数据存储空间）培育安全的数据存储空间该提案所建立的数据自由流动框架，在建设具有竞争力的数据经济的同时，为数据存储和处理的规模经济提供了新的发展前景。虽然数据的流动性予以增加，但在数据治理的过程中，法律确定性随之增加，数据处理环节的参与者彼此之间的信任度也会同步上升。欧盟对非个人数据自由流动规则的协调，不仅是出于法律确定性和数据公平竞争环境的需要，市场参与者遵循统一规则是数字单一市场运作的关键因素，规则的统一对于贸易障碍和竞争扭曲有控制和预防作用。此外，欧盟对数据流动规则的干预将有助于欧盟培育更为安全的数据存

31、储空间。结语结语经济数字化发展趋势正在加速，信息和通信技术从一个单一的产业部门发展成为现代创新经济体系和社会的基础，而电子数据正是这些系统的核心，并可以产生巨大的价值。数据价值链建立在不同的数据业务上，包括收集、存储、处理、分析以及使用等。而数据存储及其处理活动的健康、高效运作是数据价值链中基础的组成部分，对数据流动和数据市场的科学治理，将进一步促进数据经济的发展。可以预期，非个人数据流动条例提案或将与欧盟一般数据保护条例（GDPR）共同协作，在个人数据和非个人数据两个层面，建构差异性数据保护立法框架，共同激发数据的泛在价值。（来源：吴沈括北京师范大学刑科院暨法学院副教授）

32、附：附：欧盟非个人数据自由流动条例全文欧盟非个人数据自由流动条例全文：http:/ 人工智能、区块链等新技术影响法律的三个趋势人工智能、区块链等新技术影响法律的三个趋势引言引言：从查尔斯狄更斯那个年代到现在，律师和法官的工作方式始终如旧，英国学者萨斯金曾如是评论法律职业。金融时报去年评论道，法律对技术的免疫，就好像技术从未被发明一样。这一说法虽然略显夸张，但确实值得深思。如今，在互联网持续深刻影响人类社会和生活方方面面的大背景下，大数据、云计算、人工智能、区块链、物联网等新一轮技术浪潮持续兴起，有望重塑我们的社会和经济。这一切无疑为法律及法律行业的创新和进化提供了前所未有的机遇。为了

33、抓住这一机遇，法律与技术关系研究迫切需要转变视角。以往，人们更多关注如何规制技术，包括如何应对技术及其商业模式带来的法律问题。现在，人们需要转换研究视角，开始思考技术如何补充和增强国盟信息安全通报（2018 年 10 月 15 日第 178 期）国际信息安全学习联盟主办 14 http:/ 法律。因为随着互联网以及人工智能、区块链等新技术的发展，法律与技术关系发生了显著的变化，律师和法官以及政策制定者、执法者在其日常工作和活动中，越来越依赖数字信息和软件工具（无论智能与否）。可以从以下三个趋势理解新技术对法律及法律行业的补充和增强作用。一、一、数字正义：以在线化、智能化方式解决和

34、预防纠纷数字正义：以在线化、智能化方式解决和预防纠纷移动互联网的发展不仅改变了人们的生活和消费习惯，而且改变了人们对法院司法等政府服务的期待。如今的法院系统无法有效应对不断增长的纠纷，况且发生在网络空间中的纠纷所占比例在日益增长。法院因此面临着数字化、在线化转型，以满足民众的新期待并实现数字正义。甚至有观点认为，传统法院是工业时代的结果，在线法院是互联网时代的产物；传统法院必将衰落，在线法院必将兴起。为此，世界各国都在探索在线运行的法院程序，英国较为典型。 2016 年民事法院结构审查：最终报告提出在线法院设想。按此，英国在线法院将是一个独立建制和特别规则的法院，利用互联网新技术保障

35、法院当事人的诉权，使当事人无需聘请律师就可实现正义。英国将投入 10 亿英镑使其法院系统现代化、数字化，到 2020 年完成这一司法改革。数字正义、在线法院等概念对应着我国的智慧法院、互联网法院等概念。最高人民法院于 2015 年 7 月首次提出“智慧法院”这一概念，并于 2017 年 4 月印发最高人民法院关于国盟信息安全通报（2018 年 10 月 15 日第 178 期）国际信息安全学习联盟主办 15 http:/ 加快建设智慧法院的意见。此后，杭州、北京、广州三地的互联网法院成立，利用互联网技术实现案件的网上起诉、受理、送达、调解、举证、质证、庭前准备、庭审、宣判和执

36、行等一系列流程。立足于民众的移动生活和消费习惯，微信及其公众号、小程序等为智慧法院、互联网法院的落地提供了绝佳的载体。各地法院纷纷推出基于公众号、小程序的微法院，实现司法服务全流程在线化，并将当事人、律师、法官等主体全面连接起来，便利各参与方，显著提高司法服务效率和质量。而且借助自动化的软件工具，在线司法程序能够更好地实现案件分流，并与 ODR 等替代性纠纷解决机制实现无缝对接，实现更广泛的数字正义。在数字正义、在线法院、智慧法院等概念之下，我们认为法院的纠纷解决正在经历三个重大转变。一是从物理环境向虚拟或半虚拟环境转变。一是从物理环境向虚拟或半虚拟环境转变。完全在网络平台上运行的

37、法院，以线下亲临和在线活动相结合的方式运行的法院，逐渐削弱了法院诉讼程序长久以来以物理边界和特殊空间为代表的标记。这也印证了法院是一项服务而非一个场所的观念。司法创新依赖于这样的观念。二是从人类干预和决策向自动化程序转变。二是从人类干预和决策向自动化程序转变。自动化程序的使用降低了成本，增强了处理案件的能力。在法院中使用 ODR 涉及将算法引入司法决策程序。算法可以抑制法官的自由裁量，增加一致性并减少偏见。因此可以巩固“正义”及“正义实现方式” 。但与此同时，算法也可能带来偏见并挑战我们对正义的渴望。这在很大程度上取决于我们能否严格地监控这类算法的运行方式及指导算法设计的价值。

38、三是从以保密性为价值追求的纠纷解决模型向以预防纠纷为目的收集、利用、再利用数三是从以保密性为价值追求的纠纷解决模型向以预防纠纷为目的收集、利用、再利用数据的纠纷解决模型转变。据的纠纷解决模型转变。由于法院越来越多地依赖数字技术和 ODR 程序，其开始视数据为纠纷解决程序的一个核心特征。换句话说，这是从传统司法向大数据司法的转变，基于人工智能等技术的数据处理和分析活动在纠纷解决、预防、预测以及未来法律规则制定方面开始扮演重大角色。由于软件在组织、解决和预防纠纷方面，扮演着越来越重大的角色，司法程序的本质正在发生改变。诚然，我们对正义内涵的理解有望被重塑。总之，人们正在塑造新

39、型诉讼程序：更少对抗性，更灵活，更有活力，更透明，更高效，以及更平衡。以此方式部署技术的法院正向着数字正义的目标奋进，同时增强 “正义实现方式”（access to justice）和 “正义”（justice）、效率和公平。国盟信息安全通报（2018 年 10 月 15 日第 178 期）国际信息安全学习联盟主办 16 http:/ 然而，考虑到互联网和人工智能时代持续增多的纠纷数量，纠纷解决方式还远远供不应求。对于人工智能、区块链、大数据等新兴技术能够为纠纷解决和预防做什么，人们需要达成共识，并努力推动技术与纠纷解决和预防的进一步融合。萨斯金在明日世界的律师一书中指出，在线

40、纠纷解决机制（ODR）从根本上挑战了传统法官和律师的工作。长远来看，除了疑难复杂、标的金额比较高的纠纷以外，ODR 将成为其他所有纠纷的主要解决方式。笔者认为，在不远的将来，这很有可能成为现实。二、二、法律活动智能化：法律机器人提高法律活动的效率和质量法律活动智能化：法律机器人提高法律活动的效率和质量机器学习等人工智能技术正日益介入法律行业，对这个古老的行业产生深远影响。笔者总结了人工智能在法律行业应用的五个主要领域：智能法律检索，文件自动审阅，文件自动生成，智能法律咨询，以及案件结果预测。随着这些领域应用的进步和成熟，法律人的工作方式和工作内容将有望发生根本性变化，未来的法律行业将面

41、临着从法律人向“法律人+法律机器人”的转变，就像医生如今普遍依赖医疗器械一样。可以从以下方面理解法律活动的智能化。一是立法的智能化，人工智能可以基于自动化检索、预测、辅助决策等，防止立法冲突并实现精准立法，从而避免无效立法和立法资源的浪费。二是司法的智能化，大数据、人工智能等新技术可以赋能法院，解放人力。国内一些法院已经在探索智能辅助办案系统，借助人脸识别、图像识别、语音识别、自然语言处理、专家系统、机器学习等人工智能技术，实现更加高效和公平的司法服务。三是执法的智能化，执法部门的执法资源是有限的，如何借助人工智能等新技术合理分国盟信息安全通报（2018 年 10 月 15 日第 1

42、78 期）国际信息安全学习联盟主办 17 http:/ 配有限的执法资源并实现自动化、智能化的执法，是各国重点探索的方向。四是法律服务市场的智能化，律师法律服务市场和公共法律服务市场都日益受到人工智能技术影响，比如一些地方的司法局借助人工智能软件程序，为民众提供自动化的公共法律咨询服务，可以极大缓解公共法律服务资源不足的现状。当前，法律机器人的优势在于数据处理和分析以及基于数据的预测，且在大数据、算法和算力的推动下，法律机器人将持续得到提高和改进。相反，留给人类法律专家的将是需要人际关系、创造力以及面向未来的法律事项。人工智能与法律活动的结合，法律人与法律机器人之间的协同，将是一个

43、显著的趋势。可以肯定的是，人们正在迈入智能法律活动的新时代，无论是律师、法官、立法者等法律人，还是普通消费者，都将受到或多或少的影响。三、三、法律代码化：代码日益发挥法律的功能法律代码化：代码日益发挥法律的功能在过去的几十年中，通过代码规制（regulation by code）已成为一种越来越受欢迎的方式。劳伦斯莱斯格在其著作代码：塑造网络空间的法律（Code and Other Laws of Cyberspace）中提出“代码即法律” （code is law）这一理念，认为代码在网络空间规定什么可为、什么不可为，比法律更高效地调节个人行为、规制网络空间。由于越来越多的社会交

44、往开始依赖软件，或者由软件控制（比如网络社交、网络购物以及在线支付），技术不仅帮助人们作出决策，而且直接执行法律的或者非法律的规则（比如将法律规则嵌入代码，版权领域的技术保护措施是一个典型的例子）。区块链技术的出现有望使法律代码化，实现代码之治（rule of code）。这是一种全新的规制路径，可被称为“法律即代码” （law is code）。国盟信息安全通报（2018 年 10 月 15 日第 178 期）国际信息安全学习联盟主办 18 http:/ 在这一阶段，代码不仅被用来执行法律规则，而且被用来制定和阐明规则。比如，基于区块链技术的智能合约可被用来效仿或者模仿法律合同

45、的功能，从而将法律转变为代码。在这个意义上，区块链代码就是法律。技术进步可能使法律规则和技术规则之间的界限变得更为模糊，因为智能合约既可以支撑、也可以代替法律合同。于是，有人呼吁摒弃传统的法律合同框架，并以区块链提供的基础技术设施取而代之。最终，区块链技术可能导致一个以自治规则代替传统法律的社会。我们看到，区块链逐步发挥了“监管技术”(regulatory technology)的效用即可用于定义法律或合同条款并将它们纳入代码，予以强制执行，而不管是否存在优先的法律规则。但法律本质上具有模糊性，这样才能使其应用于各种不同的个案之中。各种法律纵横交错，如同一张法律之网，构建出一个

46、坚实的框架体系。这个体系还设计了各种限制和例外情形，用以适应社会的复杂性、不可预测性。所以，我们至少应当谨慎审视自动化法治的前景，虽然它可能会开辟新天地，但是其后果我们则根本无法预见。最为重要的是，通过自动执行法律，我们可能会获得更高的效率和透明度，但我们最终也可能会牺牲掉人类的自由和民主。结语结语：如前所述，人工智能、大数据、区块链等新技术为法律及法律行业的创新和进化提供了新的机遇。诸如数字正义、在线法院、法律活动智能化、法律代码化等一些新的观念和做法正在不断产生，技术对法律及法律行业的补充和增强作用日益彰显。法律及法律行业拥抱技术成为我们这个时代最重大的命题之一。这既需要

47、加强法律科技（legal tech）研究，又需要探索应用场景，同时用新的命题和理念引领法律及法律行业的未来之路。但与此同时，新技术在法律及法律行业的应用可能带来一些新的问题，比如算法歧视的问题、智能合约的问题、法律代码化的问题以及其他正在或者将会涌现的问题。所以需要人们在实践过程中寻求应对之策，以便在利用技术提高效率和公平的同时，确保技术不会带来新的不公平，不会威胁到法律所要维护的自由与民主。（来源：腾讯研究院）各国提高网络安全意识的主要做法、特点与借鉴各国提高网络安全意识的主要做法、特点与借鉴网络安全意识是指国民在网络空间活动中所具备的安全风险意识，主要包括对网络空间的认知

48、、对网络环境的认识、对网络活动中各种风险因素的感知和对具体安全事件或挑战的反应等。 “意识决定行为” ，网络安全意识的强弱既直接影响着个人的财产、心理乃至人身安全，也现实影响到社会的稳定与平安，更深刻关乎国家的繁荣与发展。因此各国越来越重视国盟信息安全通报（2018 年 10 月 15 日第 178 期）国际信息安全学习联盟主办 19 http:/ 国民网络安全意识培养，将其作为网络安全能力建设的重要组成部分，并采取各种政策举措，努力提高公众的网络安全意识，促进公众理性认识网络空间，合理合法利用网络，自觉保护个人权益和国家利益。梳理和分析各国网络安全意识培养的主要做法与基本特点，

49、可为我国加强网络安全宣传教育，培养国民网络安全意识，完善网络安全治理提供借鉴。一、各国的主要做法一、各国的主要做法为应对信息技术日新月异，网络安全形势多变的现实挑战，各国特别是西方发达国家均将加强网络安全意识作为提升网络安全保障能力的有效手段。（一）纳入国家网络安全整体规划，进入政府重要议事日程（一）纳入国家网络安全整体规划，进入政府重要议事日程网络安全意识培养已被越来越多国家纳入到国家网络安全的整体规划中。美国早在2003 年颁布的保护网络安全国家战略中就明确提出要“启动国家网络安全意识普及和培训计划” ；2008 年小布什总统签署的国家网络安全综合计划进一步要求“扩大网络教育”

50、， “建立一支技术熟练、精通网络的人才队伍” ；2009 年的网络空间政策评估与 2016年的网络安全国家行动计划均要求提高公众网络安全风险意识，加强和推动网络安全教育。紧随美国，日本在 2010 年保护国民信息安全战略中强调“通过普及安全意识来加强国民针对个人电脑采取的信息安全措施” 。而一向注重个人网上隐私权利的欧盟在 2013 年欧盟网络安全战略中也建议各成员国 “每年组织网络安全宣传月活动以提升用户意识” 。除此之外，各国高层极为重视，如以色列总理内塔尼亚胡连续 8 次出席以色列网络安全国际会议并发表重要讲话。连一向被指责不重视网络安全的特朗普也在 2017 年 9 月 30

展开阅读全文