每逢“双十一”人们都热衷谈阿里的商业奇迹,这里想说的却是商业奇迹背后的网络安全系统。
阿里巴巴安全部成立于2005年,一直以来都是阿里巴巴下属的一个很神秘的组织,在今年“双十一”前,阿里安全部首次对外开放,接受了媒体的采访。笔者也有幸作为记者中的一员走进了阿里安全部的大门。
通过整个的采访和交流,笔者有一个越来越清晰的感受,那就是十多年来,阿里安全部做的工作可以用一句话概括——防范各种网络犯罪。而且随着互联网的普及与应用,这种防范的难度越来越大,成本也会越来越高。从狭义上讲,阿里安全部有两千多人,而从广义上讲,其人数已超过四千人,而这四千多人的工作就是为了保护数亿支付宝账户的安全及交易的安全。
据阿里安全部负责人介绍,支付宝账户每天要受到各种各样黑客和黑客软件的攻击,这些攻击有些是恶意的犯罪行为,有些纯属恶作剧,为了保障用户安全,阿里不得不投入大量的人力、物力、财力来维护安全系统。就在记者们采访的半个小时里,阿里安全部就对69个异常账户进行了封号,可见这种攻击的力度之大。
其实不只是阿里,现在国内很多网站都面临着这样的攻击,而且不是每一个网站都有阿里这样的实力,能够组织这样庞大的团队来维护用户的安全。前不久发生的山东女大学生徐玉玉被骗案就是这个原因,当地教育局的网站被黑客攻击,学生的信息泄露,这些泄露的信息被卖给了骗子,再由骗子们利用这些信息直接对学生行骗。而攻击这些网站的人也不是什么真正的黑客高手,他们只不过是利用了一些在网上公开或半公开售卖的黑客软件而已。所谓高手永远是少数,他们站在金字塔尖,而那些利用黑客软件盗取信息和直接行骗的人都处在金字塔的底端。
那么,现在的问题就是法律如何规制这些行为。首先不能不说的就是全国人大常委会刚刚审议通过的网络安全法。这是一部关于网络安全的基础性法律,这部法律着重强调了国家和网络运营商对网络安全所承担的责任。比如像徐玉玉案中,教育部门的网站要有安全防护措施,不能“裸奔”,“裸奔”就等于把所有用户信息置于非常危险的境地。
然而,强化运营者的责任只是网络安全的一个方面,另一个方面是对非法侵入计算机系统行为的规制。这方面的规制主要体现在我国刑法第285和286条上,这两条是对非法侵入计算机系统,非法获取、修改、干扰计算机信息数据的刑法规制。也就是说,像记者们在采访阿里安全部时遇到的那些恶意攻击和获取支付宝用户信息的行为,其实都已经构成了犯罪。
行文至此,可能有人会觉得我们国家对计算机安全、网络安全方面的立法还是比较完善的。的确,如果把网络只是当作社会生活重要的组成部分来看,这样的法律规制应该是不错了。但我们总说,网络信息技术是第三次产业革命,而前两次产业革命指的是蒸汽机技术和电力技术。
如果是这样的话,我们对网络信息技术的理解和认识可能就太保守了。我们可以看看现代生活中哪里用不到电力,电力是整个社会运行的基础能源。那么,现在以及不太远的将来,网络是否也会成为我们整个社会生活运行的基础能源呢?答案是很明显的。事实上,我们与其强调“互联网+”,不如把互联网当成支撑整个社会产业的基础。
在这种视角下,再看我们的立法就会发现,其实我们整个立法体系是建立在传统的社会形态下的,网络立法只是法律体系的一部分。也就是说,生活中网络是基础产业,而法律体系中互联网只是一部分,而且还不是最重的。这就是为什么我们的法律对很多网络问题总是解决不了,一遇到涉及互联网的刑事犯罪、民商关系总是束手束脚。
2013年,最高法出台了两个关于互联网的司法解释,一个是刑法的,另一个是民法的。这两个司法解释从思路上看,是想从法律上打破网络与现实分界的一种尝试,意欲突破传统立法的局限,让传统的法律适用于互联网。但由于司法解释的层级低,不可能解决这一根本性问题,只能是一种修修补补,勉强维持。
也不仅仅是立法,还有司法。在司法体系中我们在多大程度上接受和融入了以互联网为基础能源的社会?可能现在的证据规则是走得比较快的一部分,很多电子证据司法机关是认可的,但是与互联网给传统司法体系带来的颠覆相比,这只是很小一部分。
举一个简单的例子,电信诈骗案为什么那么多?而且有些还破不了?仅仅是警察不给力吗?不是。电信诈骗的特点是无疆界、无国界,可现实的执法体系有时还在为一起案子由仅一街之隔的两个派出所谁来管辖而争来争去,这种现状不得不让人感到焦虑,这样的执法体系亟待改变。
拉长时空,这是一个转折的时代,这个时代既有过去的印迹,也有对未来的感知,走进新时代就意味着对传统的变革甚至是颠覆,想来我们的立法、司法也是如此。跨界也好,修补也罢,最后总是要建立起完全适应新时代的执法体系。