論云出版中數(shù)字身份安全與版權保護

□文│鄭海江 李義杰

論云出版中數(shù)字身份安全與版權保護

□文│鄭海江 李義杰

信息安全和版權保護是云出版面臨的兩個重要而又密切相關的問題，用戶數(shù)字身份安全又是其中的一個焦點。當前云出版面臨數(shù)字身份安全危機，對其保護過程中也存在諸多問題。問題的解決需要提升數(shù)字身份保護的技術標準、完善法規(guī)和管理、發(fā)揮市場機制作用，培養(yǎng)用戶的信息安全意識，堅持用戶中心、告知原則等。

云出版 數(shù)字身份 版權保護

云出版作為數(shù)字出版發(fā)展的新階段，在革新傳統(tǒng)出版方式的同時，也面臨更嚴峻的信息安全危機及版權保護問題，如出版商、作者、讀者、運營企業(yè)等信息及資源內(nèi)容的泄露。尤其是不同主體的數(shù)字身份信息安全是一個敏感而又關鍵的問題，它不僅關系到個人或組織隱私，還關系到網(wǎng)絡出版版權保護成敗及數(shù)字出版產(chǎn)業(yè)（市場）的健康發(fā)展。有學者認為，“數(shù)字身份”技術是網(wǎng)絡安全、信息安全中的焦點之焦點，[1]完善的身份認證和管理系統(tǒng)對保障云計算環(huán)境下用戶信息安全具有重要的作用。[2]因此，探討云出版中數(shù)字身份問題有助于我們更好地理解云出版的特點及其版權保護的著力點，并為其發(fā)展提供思路。

一、關于云端的數(shù)字身份

數(shù)字身份是指以數(shù)字形式進行存儲和轉(zhuǎn)換的身份信息，通常指存儲于數(shù)據(jù)云端上關涉?zhèn)€人身份的信息，這些身份信息包括姓名、性別、出生日期以及職業(yè)信息等。[3]數(shù)字身份是一個網(wǎng)絡空間中的概念，用于描述在網(wǎng)絡空間中一個人或事物的一組數(shù)據(jù)或信息之總和，也是一種網(wǎng)絡身份。[4]數(shù)字身份的主體包括個人、組織，乃至其他電子設備等應用工具，并且這些不同的主體在不同的網(wǎng)絡空間可能擁有不止一個數(shù)字身份。通常數(shù)字身份的屬性是可以變更、可以隱藏，甚至是可以廢棄的。因此，數(shù)字身份的驗證和批準措施對于確保網(wǎng)絡及其基礎設施安全性來說，是至關重要的。[4]

在數(shù)字網(wǎng)絡的環(huán)境中，一個自然人必須通過他的數(shù)字身份進行日?；顒?。在此背景下，數(shù)字身份構成了云端數(shù)據(jù)的重要組成部分。隨著這些數(shù)字身份信息的商業(yè)價值及法律重要性的日益提升，如何對用戶的數(shù)字身份進行保護也日顯突出和必要。

二、云出版中的數(shù)字身份危機

數(shù)字身份問題其實也是一個網(wǎng)絡安全、信息安全問題，目前在全球被政治、經(jīng)濟及社會組織機構所重視，尤其是全球各地的政府部門，不過其在云出版這一新的領域顯得比較特殊和重要。一方面它涉及個人或組織隱私或保密信息，另一方面關系到云端儲存、出版內(nèi)容版權問題。一旦因為個人或組織數(shù)字身份信息的泄露，導致云端內(nèi)容及個人隱私的泄露、侵權，就會對云出版產(chǎn)業(yè)鏈中多方主體造成巨大損失，進而影響云出版行業(yè)的良性發(fā)展。因此，在云出版中，數(shù)字身份安全問題是一個事關版權保護、行業(yè)發(fā)展的基礎性環(huán)節(jié)。當前在云出版領域數(shù)字身份信息安全面臨著更大的風險和挑戰(zhàn)。

首先，云出版中數(shù)字身份信息泄露風險增大。云出版的重要技術基礎或特點是對云計算、云技術的應用，可以將大量的數(shù)據(jù)內(nèi)容、不同的應用設備及個人信息儲存在云端，并聯(lián)接打通作者、出版商、運營商、讀者等產(chǎn)業(yè)鏈的不同主體，使用戶隨時隨地存取數(shù)據(jù)。但同時，這種網(wǎng)絡空間互聯(lián)互通的存取應用模式也使信息安全風險增加，主要體現(xiàn)在這種相對更加開放的云端網(wǎng)絡應用提供了更多信息泄露的渠道和可能性。如智能移動等不同存儲數(shù)據(jù)終端、社交網(wǎng)絡、引擎搜索、大數(shù)據(jù)對個人信息的挖掘以及蓄意截取信息的黑客或組織等。在云出版中安全機制不太完善的情況下，云端的儲存信息安全風險顯著增加，如數(shù)字身份的公開特性可能導致在交易中有些信息被泄露。云計算技術使這些信息處于一種更加不安全的狀態(tài)，因為數(shù)據(jù)存儲于云端，就存在一些無法預測的錯誤。但是到目前為止還未發(fā)現(xiàn)一些有效的安全措施能防止由于這些錯誤所導致的信息泄露隱患。這些錯誤可能包括系統(tǒng)故障（例如系統(tǒng)無法識別這些數(shù)字身份信息）、軟件癱瘓、部分或全部數(shù)字身份信息被其他人有意或無意地錯誤使用。一旦個人的數(shù)字身份信息被泄露，將會直接影響當事人的切身利益。另外，很多數(shù)據(jù)分享的應用程序可能導致用戶在分享過程中信息被泄露，這些信息可能包括一些敏感信息，例如個人住址、收入、信用卡密碼等。

其次，數(shù)字身份信息保護難度加大。這和云出版網(wǎng)絡版權保護難度加大是一致的。一是云出版中涉及的用戶主體類型復雜、數(shù)量巨大，且需求活動具有個性化、及時性等諸多不確定性，從而對用戶數(shù)字身份的認證及保護提出更高的技術要求。目前云服務面臨著用戶身份屬性泄漏的安全威脅已是一個普遍的問題，盡管很多研究提出了不同的技術手段，但是，機構用戶的多樣性使屬性安全防范具有更多的不確定性，因此云安全聯(lián)盟仍然把用戶身份安全列為重要的云安全威脅之一。[5]二是侵權之后取證難度加大。在云端網(wǎng)絡環(huán)境下，空間的虛擬性、侵權痕跡的易消性以及相關法律的不健全等原因，使調(diào)查取證困難，且成本高，專業(yè)技術性強，這些都加大了用戶數(shù)字身份以及版權保護的難度。

三、云出版中數(shù)字身份保護現(xiàn)狀及存在的主要問題

由于云出版主要基于云計算技術，因此，其數(shù)字身份安全問題也是云計算本身面臨的數(shù)據(jù)安全和隱私問題。目前對于這一問題的解決主要從技術和管理兩個方面著手。從技術角度來講，針對云環(huán)境中的用戶身份安全問題，現(xiàn)有方案主要從兩個角度考慮，一是身份管理基礎設施，二是擴展數(shù)字身份管理系統(tǒng)框架，并且這些方案僅對認證用戶提供服務?；谶@兩個方面，云環(huán)境中身份安全問題逐步演變?yōu)閮蓚€方向：基于實體的認證系統(tǒng)和基于證書的認證系統(tǒng)。[6]從目前的研究文獻來看，對數(shù)字身份的技術解決方案是關注的熱點。如谷科[7]、陳愛群[8]、陳玲玲[9]等的研究。

從管理角度來講，主要是在云端平臺建立數(shù)字身份管理系統(tǒng)，即運用技術、經(jīng)濟、法律、行政、自律等多種手段和規(guī)則來幫助網(wǎng)絡空間活動主題相互識別。網(wǎng)絡實名制即是上網(wǎng)者網(wǎng)絡空間的身份和其真實身份相互對應的一種制度。有學者專門提出基于“數(shù)字身份”的網(wǎng)絡安全監(jiān)督管理支撐服務平臺。[10]2014年我國出臺的《信息安全技術云計算服務安全指南》（國家標準GB/T 31167-2014），體現(xiàn)了我國對云計算中信息安全的重視。這一文件的出臺針對云計算帶來的信息安全問題，關注云計算服務的安全管理，是云計算服務安全審查的系列標準之一。

但目前云出版中數(shù)字身份安全仍面臨一些問題。主要包括：①云出版作為一個新興領域，對數(shù)字身份安全認識還不夠，這包括個人用戶以及企業(yè)用戶等。目前業(yè)界和學界針對云出版領域的數(shù)字身份安全問題關注也不多。②相關的法律法規(guī)欠缺，這也是整個云出版目前面臨的問題。法規(guī)滯后于云出版發(fā)展。[11]③針對云出版的網(wǎng)絡軟件安全技術滯后，包括版權保護技術等。先進的身份認證、軟件識別、加密技術在云出版領域應用還不夠普遍。④對用戶可用數(shù)據(jù)的保護關注較多，對云存儲環(huán)境中個人數(shù)據(jù)安全保護研究關注不夠。[12]

四、云出版中數(shù)字身份保護的路徑

提升數(shù)字身份保護技術標準。提升云出版中信息安全技術標準，可以有效增加數(shù)字身份信息安全系數(shù)，減少信息的泄露和侵權行為。重點圍繞實體認證系統(tǒng)和證書認證系統(tǒng)進行技術創(chuàng)新。此外，云出版的可靠性、完整性還需要其他科技尤其是先進通訊技術的支持，如光纖入戶、新一代移動通信技術、微型通信技術、物聯(lián)網(wǎng)技術等。[13]

完善數(shù)字身份法規(guī)和管理機制。云出版中數(shù)字身份安全的保障需要技術的支撐，但有效的法律法規(guī)的建立也必不可少。這是云出版目前面臨的比較迫切的問題，滯后的、不完善的數(shù)字信息保護法律框架和執(zhí)行機制，將嚴重影響云出版產(chǎn)業(yè)的發(fā)展。[14,15]這其中個人信息的保護是數(shù)字身份管理面臨的最為主要的挑戰(zhàn)。[16]為此可建立三個平臺機制：①云平臺系統(tǒng)安全機制，這是云存儲平臺安全的首要保障，以及解決身份認證和訪問控制問題的重要手段；②云存儲安全管理機制，解決云服務器端安全存儲問題，提升網(wǎng)絡管理員水平；③云存儲應用安全機制，主要包括對數(shù)據(jù)存儲、備份、交換加密以及身份認證等。[17]

充分發(fā)揮市場機制作用。對于數(shù)字身份安全的管理，除了政府層面的立法和基礎設施建設的支持引導，還要發(fā)揮市場的作用。畢竟隨著網(wǎng)絡云服務及相關信息安全需求的擴大，僅靠政府力量畢竟有限。美國網(wǎng)絡身份戰(zhàn)略就是將身份認證界定為一種市場服務活動，存在著用戶對于網(wǎng)絡安全與隱私保護的需求及供給。[18]

培養(yǎng)提升用戶數(shù)字身份保護意識。除了由政府或相關組織專門的宣傳、培訓，在云端服務應用中，應對用戶做有關數(shù)字身份使用的提示說明，提醒告知用戶相關的使用情況及泄露的危害。

在不同的數(shù)字身份保護路徑當中，還應注意以下幾方面原則：第一，用戶中心原則。從用戶需求出發(fā)，以用戶為中心提供友好數(shù)字身份管理界面，并堅持用戶自愿、用戶便利原則。第二，告知原則。個人應該被告知他們的數(shù)字身份信息被收集了，并且被告知這些信息將如何被使用，包括場合、目的、方式等，并且必須在征求當事人的同意后這些信息才可以被使用。第三，可選擇原則。個人必須能夠在被收集的數(shù)字身份信息中選擇一些用于第三方用途。第四，可轉(zhuǎn)發(fā)原則。個人可以將數(shù)字身份信息轉(zhuǎn)發(fā)給第三方，并在此基礎上尋求更多的保護。第五，安全原則。對個人數(shù)字身份信息進行收集和使用的部門必須給予當事人切實可行的承諾，采取有效的措施來確保這些數(shù)據(jù)的安全。第六，可進入原則。個人必須能夠進入自己的數(shù)字身份信息的存儲終端，并且在信息發(fā)生錯誤時，能夠?qū)ζ溥M行更改或刪除。第七，強制執(zhí)行原則。必須制定有力的措施來確保以上規(guī)則得以執(zhí)行。

（作者單位：寧波市委宣傳部 浙江大學寧波理工學院）

[1]鐘紅山.數(shù)字身份的法律效力及其應用[J].商時代, 2004(17): 56-57

[2]閆娟.云計算環(huán)境下用戶信息安全策略研究[J].才智，2015（5）：326

[3] Yu Tian，Jingliang Chen (2010).A Research on Architecture of Digital Publishing Management System. Computer and Information Science.

[4]黃雯，翟曉梅.數(shù)字身份與數(shù)字裂溝的倫理分析和管理研究[J].中國醫(yī)學倫理學, 2014(1):15-17

[5][6]李拴保.云環(huán)境下基于環(huán)簽密的用戶身份屬性保護方案[J].通信學報, 2014(9): 99-111

[7]谷科.標準模型下基于身份的數(shù)字簽名方案研究[D].中南大學，2012:161

[8]陳愛群.一種基于橢圓曲線數(shù)字簽名的身份認證方案[C].全國第十五屆計算機科學與技術應用學術會議，2003：5

[9]陳玲玲.基于身份數(shù)字簽名方案的研究[D].中南大學,2008

[10]陳小龍.基于“數(shù)字身份”的網(wǎng)絡安全監(jiān)督管理支撐服務平臺[J].信息網(wǎng)絡安全, 2006

[11][13][17]汪全莉，徐志武.我國云出版:發(fā)展與問題[J].出版發(fā)行研究，2013(1):81-84

[12]吳慧玲，趙卓.基于云計算的個人信息安全保護研究[J].信息網(wǎng)絡安全，2015（4）:72

[14]張秀芹.“云出版”時代數(shù)字版權保護面臨的新挑戰(zhàn)及對策[J].前沿, 2013(15):82-84

[15]樓婕.論滯后的版權保護對“云出版”的桎梏[J].科技通報,2014(3):234-238

[16][18]王融.數(shù)字身份管理——網(wǎng)絡時代的身份證[J].中國新通信，2011(14):44-49