文 | 北京邮电大学互联网治理与法律研究中心 谢永江 袁璐
随着物联网的快速发展,大量视频设备连入互联网。近年来,由于网络摄像头价格低廉、操作简单的特点,几乎“满城尽是电子眼”的现实,使处在网络视频设备扫描下的生活成为日常的一部分。中国是网络视频设备数量增长最快的国家,然而,如此多的视频防控设备在为我们带来了更多安全和便利的同时,也带来了数据安全等诸多问题。
一、网络视频设备应用的安全问题
政府出于公共安全管理的需要,在道路、广场、车站等公共场所安装了大量网络视频设备;同样,出于自身安全或管理需要,商店、银行、学校、医院、企业等单位门前、室内、生产车间等场所也安装了大量网络视频设备;许多家庭等私人场所也安装了网络摄像头,以了解独自在家的老人、孩子或宠物的状况;一些餐饮店、幼儿园等,为了让顾客、家长放心,或出于宣传的目的,开通了厨房、幼儿园视频直播。网络视频设备的广泛使用所带来的安全风险问题,不容忽视。
1. 网络视频设备软件安全漏洞问题
由于市场巨大,大量“山寨”视频设备充斥市场,一些生产厂商的安全技术水平和安全管理意识参差不齐,设备、应用、服务端、客户端都可能存在各种各样的安全漏洞和安全风险,并且极少进行后续的系统更新,一旦联网,黑客可以轻而易举地破解并获取视频信息。
《2018 年摄像头安全报告》显示,截止至2018 年11 月,2018 年公开发布的摄像头漏洞达221 条以上,比2017年增长了19%。网络摄像头的安全漏洞还会被黑客利用实施网络攻击,而且,利用黑客程序破解摄像头IP 地址并公开叫卖的事件频频发生,并逐渐形成了一条日渐成熟的黑客入侵、地下交易以及偷窥的黑色产业链。
2. 网络视频设备引发数据信息泄露等问题
对公共领域网络视频设备的安装和使用,需要平衡网络视频设备在维护秩序、防御犯罪方面的积极作用与在公共领域的个人信息安全需求。安装在公共领域或开放场所大量的高清化、网络化、智能化的视频设备,获取了大量的数据信息,并且可以实现进一步深度数据挖掘。
如果这些数据信息被泄露或滥用,将对相关方造成威胁。例如,当公民在公共场所的行为被高清摄像头连续记录时,就可以挖掘分析当事人的行踪轨迹等信息,对当事人的个人信息构成现实威胁,这超出了当事人在公共场所对个人信息保护的“合理期待”。事实上,公共领域视频设备信息未经授权的查看、使用和传播行为引发了社会公众极大的不安。
3. 公共利益和国家信息安全保护问题
随着高清化、网络化技术的发展,公共安全视频图像信息系统在前端采集、网络传输、后端平台处理等技术和管理环节存在的网络安全风险日益凸显。网络视频设备的广泛使用必然会汇集海量视频信息,这些信息极容易给公共利益和国家信息安全带来隐患。例如,道路交通摄像头的安装使用,对押解、运送国家重要军事物资车辆的路线、目的地等情况有可能造成威胁,存在泄露国家秘密的可能。这对敏感状况下的视频信息保密措施提出了更高的要求。
二、网络视频设备安全现状及问题
在国外,一些国家已经开始针对网络摄像头等物联网设备进行立法。在澳大利亚,视频、图像采集装备的安装必须要遵循1988 年《隐私法》(Privacy Act)的规定;如没有具体的规定,则需要接受国家隐私原则的约束。澳大利亚于2004 年出台了《澳大利亚监视设备法》(Surveillance Devices Act),对于监视设备的安装、使用、特例情况等做出规定。美国加州于2018 年9 月通过了全美首部被称为“物联网安全法”的法案《信息隐私:联网设备》(SB-327 Information privacy: connected devices),要求联网设备的制造商应为设备配备合理的安全性能,以保护设备及其中包含的信息,防止未经授权的访问、销毁、使用、修改或披露。该法要求每一台设备的预编程序密码均是唯一的,或要求用户在首次被授予设备访问权限之前生成新的认证方法。2019 年3 月,美国参众两院议员还提出《物联网网络安全改进法案》(Internet of Things Cybersecurity Improvement Act),除了要求每家企业都提升其制造的联网设备的安全性,该法案还希望对联邦政府使用的任何物联网设备设定最低的安全标准。
目前,我国《网络安全法》《侵权责任法》《治安管理处罚法》等法律对网络安全保护有了总体规定,但是,对大规模使用的网络视频设备,尚未有一部法律层级较高、统筹规划网络视频设备安装使用的法律或行政法规。
我国高度重视安全防控网、视频防控系统的建设。2015 年4 月,中共中央办公厅、国务院办公厅印发的《关于加强社会治安防控体系建设的意见》,对加强机关、企事业单位内部安全防控网建设、加快公共安全视频监控系统建设作出部署。2015 年5 月,国家发改委等九部门出台《关于加强公共安全视频监控建设联网应用工作的若干意见》,就加强公共安全视频监控建设、联网、应用等工作提出指导意见,并提出要加快推进视频图像信息安全、数据保护等方面的立法工作。2015 年12 月颁布的《反恐怖主义法》为满足反恐工作需要,对公共安全视频图像信息系统的配备、安装、使用、信息保存、运行维护做了原则规定。为此,公安部于2016年发布《公共安全视频图像信息系统管理条例(征求意见稿)》,对公共安全视频图像信息系统的建设、使用和管理进行规范,并对涉及公共安全的区域或者场所的视频设备等进行视频图像信息采集、传输、显示、存储和处理的各个环节作出具体规定。
我国一些地方政府对视频安防监控系统的规划、建设、使用、维护和管理行为进行法律规范。目前,北京等15个省(自治区、直辖市)、市已经出台了公共安全图像信息系统管理办法,江苏省、深圳市等5 个省、市推出了征求意见稿。此外,一些行业也制定了相关条例,例如,《保安服务管理条例》对保安服务中使用的技术防范产品作了原则性规定。不过,由于缺乏上位法的统领,这些地方立法在术语使用、概念界定、调整范围、处罚标准等方面,存在差异。
在技术标准层面,2017年发布的GB35114-2017《公共安全视频监控联网信息安全技术要求》,对公共安全领域摄像头联网视频信息以及控制信令信息安全保护的技术要求进行了详细规定。2019年颁布的GB37300-2018《公共安全重点区域视频图像信息采集规范》,规定了公共安全重点区域视频图像信息采集部位和采集种类、技术要求和采集设备要求。此外,此类标准还包括GB50395-2007《视频安防监控系统工程设计规范》、GB/T28181-2011《安全防范视频监控联网系统信息传输、交换、控制技术要求》、GA/T367-2001《视频安防监控系统技术要求》等。这些技术标准对网络视频设备信息采集、联网信息安全、系统技术要求、工程设计规范等作了规范,在一定程度上弥补了立法的不足,但是,各项技术规范都只是针对特定问题进行规定,不可能对网络视频设备相关安全问题进行系统、全面地规范,而且,许多现行国家标准得不到有效执行,产品质量参差不齐,各方建设的公共安全视频图像信息系统因标准不统一无法互联互通,制约了整体效能发挥,信息安全难以保障。
可见,随着视频防控建设、应用不断深入,现有法律法规不完善、统筹规划不到位、安全保障不落实、管理机制不健全等问题日益突出,不但严重制约了社会治安防控体系的建设,也不利于公民合法权益的保护。
三、完善视频安全管理的法律建议
面对网络视频设备日益彰显的安全隐患问题,需要进一步完善相关法律制度,尽快出台诸如《公共安全视频图像信息系统管理条例》等行政法规,建议从以下几个方面完善相关立法:
第一,构建统一的公共安全视频图像信息系统管理体系。强化统筹规划和资源整合,推动视频图像信息的共享,提升公共安全防管能力。公共安全视频图像信息系统涉及公安、发展改革、财政、住房城乡建设、交通运输、工业和信息化、市场监督等行政主管部门,应当明确由公安部门主管,其他部门在各自职责范围内,履行公共安全视频图像信息系统建设、管理等方面的指导、监督职责。
第二,规范视频设备使用条件与程序。面对高清、智能、联网视频设备的迅速发展和广泛应用,视频信息海量汇集,大数据挖掘分析技术快速提升,对个人在公共场所中的个人信息利益日渐构成威胁,因此,需要重新审视和规范网络视频设备安装、视频信息采集、储存、传输、处理与使用的条件与程序,以及网络视频设备所有人和管理人、视频信息控制人和处理人以及有关个人等主体之间权利义务的划分。
第三,明确视频信息使用权限。应当立法明确公共安全视频设备安装的主体、程序、地点范围等要求,明确私人联网视频设备安装的范围,防止侵害他人合法权益。同时,应明确对所采集的视频信息实行授权管理、访问控制等保护措施和管理要求,严格视频信息的查阅、复制、传输、使用、公布的条件与程序,应当对涉及当事人的个体特征等个人信息采取保护性措施,严格控制对个人信息的挖掘分析。
第四,明确网络视频设备生产者和销售者的安全管理义务。除了通过建立强制性安全标准,促使厂商在生产过程中加大安全技术投入外,还需要在后续的售后服务中对网络视频设备和应用软件进行常规防护检查和更新,确保覆盖到每个环节,及时修复漏洞问题,预防网络攻击,并在遭到攻击后能够尽快恢复功能。同时,应保障用户对网络视频设备使用与风险的知情权,提升用户的安全意识。
第五,规范网络视频设备视频信息的社会共享和商业使用。应当立法规范幼儿园、敬老院等单位的网络视频设备网上直播、信息共享的开通程序、直播时间段和时长以及受众范围,加强日常管理,保障有关当事人的知情权、同意权。对于餐馆、商场等为了商业宣传目的而开通的线上直播,要严格限定直播场景范围,不得直播不特定公众。
第六,严厉打击视频信息黑色产业链。近年来,一条从视频设备破解软件开发和销售、偷拍和盗取视频信息到贩卖牟利的黑色产业链已经形成,对此,亟需加大打击力度,切断和铲除黑色产业链的利益链条。应充分发挥国务院打击治理电信网络新型违法犯罪工作部际联席会议的统筹协调功能,公安、工信、金融等多部门、多地区联动,健全打击整治长效工作机制,利用大数据、追踪溯源等信息技术,提高打击效率,巩固打击成果。
(本文刊登于《中国信息安全》杂志2019年第4期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。