论云出版中数字身份安全与版权保护

2015-01-30郑海江李义杰

中国出版 2015年16期

□文│郑海江李义杰

论云出版中数字身份安全与版权保护

□文│郑海江李义杰

信息安全和版权保护是云出版面临的两个重要而又密切相关的问题，用户数字身份安全又是其中的一个焦点。当前云出版面临数字身份安全危机，对其保护过程中也存在诸多问题。问题的解决需要提升数字身份保护的技术标准、完善法规和管理、发挥市场机制作用，培养用户的信息安全意识，坚持用户中心、告知原则等。

云出版数字身份版权保护

云出版作为数字出版发展的新阶段，在革新传统出版方式的同时，也面临更严峻的信息安全危机及版权保护问题，如出版商、作者、读者、运营企业等信息及资源内容的泄露。尤其是不同主体的数字身份信息安全是一个敏感而又关键的问题，它不仅关系到个人或组织隐私，还关系到网络出版版权保护成败及数字出版产业（市场）的健康发展。有学者认为，“数字身份”技术是网络安全、信息安全中的焦点之焦点，[1]完善的身份认证和管理系统对保障云计算环境下用户信息安全具有重要的作用。[2]因此，探讨云出版中数字身份问题有助于我们更好地理解云出版的特点及其版权保护的着力点，并为其发展提供思路。

一、关于云端的数字身份

数字身份是指以数字形式进行存储和转换的身份信息，通常指存储于数据云端上关涉个人身份的信息，这些身份信息包括姓名、性别、出生日期以及职业信息等。[3]数字身份是一个网络空间中的概念，用于描述在网络空间中一个人或事物的一组数据或信息之总和，也是一种网络身份。[4]数字身份的主体包括个人、组织，乃至其他电子设备等应用工具，并且这些不同的主体在不同的网络空间可能拥有不止一个数字身份。通常数字身份的属性是可以变更、可以隐藏，甚至是可以废弃的。因此，数字身份的验证和批准措施对于确保网络及其基础设施安全性来说，是至关重要的。[4]

在数字网络的环境中，一个自然人必须通过他的数字身份进行日常活动。在此背景下，数字身份构成了云端数据的重要组成部分。随着这些数字身份信息的商业价值及法律重要性的日益提升，如何对用户的数字身份进行保护也日显突出和必要。

二、云出版中的数字身份危机

数字身份问题其实也是一个网络安全、信息安全问题，目前在全球被政治、经济及社会组织机构所重视，尤其是全球各地的政府部门，不过其在云出版这一新的领域显得比较特殊和重要。一方面它涉及个人或组织隐私或保密信息，另一方面关系到云端储存、出版内容版权问题。一旦因为个人或组织数字身份信息的泄露，导致云端内容及个人隐私的泄露、侵权，就会对云出版产业链中多方主体造成巨大损失，进而影响云出版行业的良性发展。因此，在云出版中，数字身份安全问题是一个事关版权保护、行业发展的基础性环节。当前在云出版领域数字身份信息安全面临着更大的风险和挑战。

首先，云出版中数字身份信息泄露风险增大。云出版的重要技术基础或特点是对云计算、云技术的应用，可以将大量的数据内容、不同的应用设备及个人信息储存在云端，并联接打通作者、出版商、运营商、读者等产业链的不同主体，使用户随时随地存取数据。但同时，这种网络空间互联互通的存取应用模式也使信息安全风险增加，主要体现在这种相对更加开放的云端网络应用提供了更多信息泄露的渠道和可能性。如智能移动等不同存储数据终端、社交网络、引擎搜索、大数据对个人信息的挖掘以及蓄意截取信息的黑客或组织等。在云出版中安全机制不太完善的情况下，云端的储存信息安全风险显著增加，如数字身份的公开特性可能导致在交易中有些信息被泄露。云计算技术使这些信息处于一种更加不安全的状态，因为数据存储于云端，就存在一些无法预测的错误。但是到目前为止还未发现一些有效的安全措施能防止由于这些错误所导致的信息泄露隐患。这些错误可能包括系统故障（例如系统无法识别这些数字身份信息）、软件瘫痪、部分或全部数字身份信息被其他人有意或无意地错误使用。一旦个人的数字身份信息被泄露，将会直接影响当事人的切身利益。另外，很多数据分享的应用程序可能导致用户在分享过程中信息被泄露，这些信息可能包括一些敏感信息，例如个人住址、收入、信用卡密码等。

其次，数字身份信息保护难度加大。这和云出版网络版权保护难度加大是一致的。一是云出版中涉及的用户主体类型复杂、数量巨大，且需求活动具有个性化、及时性等诸多不确定性，从而对用户数字身份的认证及保护提出更高的技术要求。目前云服务面临着用户身份属性泄漏的安全威胁已是一个普遍的问题，尽管很多研究提出了不同的技术手段，但是，机构用户的多样性使属性安全防范具有更多的不确定性，因此云安全联盟仍然把用户身份安全列为重要的云安全威胁之一。[5]二是侵权之后取证难度加大。在云端网络环境下，空间的虚拟性、侵权痕迹的易消性以及相关法律的不健全等原因，使调查取证困难，且成本高，专业技术性强，这些都加大了用户数字身份以及版权保护的难度。

三、云出版中数字身份保护现状及存在的主要问题

由于云出版主要基于云计算技术，因此，其数字身份安全问题也是云计算本身面临的数据安全和隐私问题。目前对于这一问题的解决主要从技术和管理两个方面着手。从技术角度来讲，针对云环境中的用户身份安全问题，现有方案主要从两个角度考虑，一是身份管理基础设施，二是扩展数字身份管理系统框架，并且这些方案仅对认证用户提供服务。基于这两个方面，云环境中身份安全问题逐步演变为两个方向：基于实体的认证系统和基于证书的认证系统。[6]从目前的研究文献来看，对数字身份的技术解决方案是关注的热点。如谷科[7]、陈爱群[8]、陈玲玲[9]等的研究。

从管理角度来讲，主要是在云端平台建立数字身份管理系统，即运用技术、经济、法律、行政、自律等多种手段和规则来帮助网络空间活动主题相互识别。网络实名制即是上网者网络空间的身份和其真实身份相互对应的一种制度。有学者专门提出基于“数字身份”的网络安全监督管理支撑服务平台。[10]2014年我国出台的《信息安全技术云计算服务安全指南》（国家标准GB/T 31167-2014），体现了我国对云计算中信息安全的重视。这一文件的出台针对云计算带来的信息安全问题，关注云计算服务的安全管理，是云计算服务安全审查的系列标准之一。

但目前云出版中数字身份安全仍面临一些问题。主要包括：①云出版作为一个新兴领域，对数字身份安全认识还不够，这包括个人用户以及企业用户等。目前业界和学界针对云出版领域的数字身份安全问题关注也不多。②相关的法律法规欠缺，这也是整个云出版目前面临的问题。法规滞后于云出版发展。[11]③针对云出版的网络软件安全技术滞后，包括版权保护技术等。先进的身份认证、软件识别、加密技术在云出版领域应用还不够普遍。④对用户可用数据的保护关注较多，对云存储环境中个人数据安全保护研究关注不够。[12]

四、云出版中数字身份保护的路径

提升数字身份保护技术标准。提升云出版中信息安全技术标准，可以有效增加数字身份信息安全系数，减少信息的泄露和侵权行为。重点围绕实体认证系统和证书认证系统进行技术创新。此外，云出版的可靠性、完整性还需要其他科技尤其是先进通讯技术的支持，如光纤入户、新一代移动通信技术、微型通信技术、物联网技术等。[13]

完善数字身份法规和管理机制。云出版中数字身份安全的保障需要技术的支撑，但有效的法律法规的建立也必不可少。这是云出版目前面临的比较迫切的问题，滞后的、不完善的数字信息保护法律框架和执行机制，将严重影响云出版产业的发展。[14,15]这其中个人信息的保护是数字身份管理面临的最为主要的挑战。[16]为此可建立三个平台机制：①云平台系统安全机制，这是云存储平台安全的首要保障，以及解决身份认证和访问控制问题的重要手段；②云存储安全管理机制，解决云服务器端安全存储问题，提升网络管理员水平；③云存储应用安全机制，主要包括对数据存储、备份、交换加密以及身份认证等。[17]

充分发挥市场机制作用。对于数字身份安全的管理，除了政府层面的立法和基础设施建设的支持引导，还要发挥市场的作用。毕竟随着网络云服务及相关信息安全需求的扩大，仅靠政府力量毕竟有限。美国网络身份战略就是将身份认证界定为一种市场服务活动，存在着用户对于网络安全与隐私保护的需求及供给。[18]

培养提升用户数字身份保护意识。除了由政府或相关组织专门的宣传、培训，在云端服务应用中，应对用户做有关数字身份使用的提示说明，提醒告知用户相关的使用情况及泄露的危害。

在不同的数字身份保护路径当中，还应注意以下几方面原则：第一，用户中心原则。从用户需求出发，以用户为中心提供友好数字身份管理界面，并坚持用户自愿、用户便利原则。第二，告知原则。个人应该被告知他们的数字身份信息被收集了，并且被告知这些信息将如何被使用，包括场合、目的、方式等，并且必须在征求当事人的同意后这些信息才可以被使用。第三，可选择原则。个人必须能够在被收集的数字身份信息中选择一些用于第三方用途。第四，可转发原则。个人可以将数字身份信息转发给第三方，并在此基础上寻求更多的保护。第五，安全原则。对个人数字身份信息进行收集和使用的部门必须给予当事人切实可行的承诺，采取有效的措施来确保这些数据的安全。第六，可进入原则。个人必须能够进入自己的数字身份信息的存储终端，并且在信息发生错误时，能够对其进行更改或删除。第七，强制执行原则。必须制定有力的措施来确保以上规则得以执行。

（作者单位：宁波市委宣传部浙江大学宁波理工学院）

[1]钟红山.数字身份的法律效力及其应用[J].商时代, 2004(17): 56-57

[2]闫娟.云计算环境下用户信息安全策略研究[J].才智，2015（5）：326

[3] Yu Tian，Jingliang Chen (2010).A Research on Architecture of Digital Publishing Management System. Computer and Information Science.

[4]黄雯，翟晓梅.数字身份与数字裂沟的伦理分析和管理研究[J].中国医学伦理学, 2014(1):15-17

[5][6]李拴保.云环境下基于环签密的用户身份属性保护方案[J].通信学报, 2014(9): 99-111

[7]谷科.标准模型下基于身份的数字签名方案研究[D].中南大学，2012:161

[8]陈爱群.一种基于椭圆曲线数字签名的身份认证方案[C].全国第十五届计算机科学与技术应用学术会议，2003：5

[9]陈玲玲.基于身份数字签名方案的研究[D].中南大学,2008

[10]陈小龙.基于“数字身份”的网络安全监督管理支撑服务平台[J].信息网络安全, 2006

[11][13][17]汪全莉，徐志武.我国云出版:发展与问题[J].出版发行研究，2013(1):81-84

[12]吴慧玲，赵卓.基于云计算的个人信息安全保护研究[J].信息网络安全，2015（4）:72