下载掌阅APP,畅读海量书库
立即打开
随着互联网应用的不断普及,尤其是随着区块链、大数据的飞速发展,人们对互联网的依赖性大幅增强。发展解决了一些问题,也带来了一些新问题,电信诈骗、恶意程序植入等各类“钓鱼”现象继续呈高速增长态势,黑客攻击和大规模的个人信息泄露事件频发,自动贩卖机被“黑”、共享充电设备泄露用户信息、银行卡里的钱可能被盗刷。涉及海量用户信息的医疗、网购、房地产、教育等领域成为个人信息泄露的重灾区,大量网民个人信息泄露,互联网的安全问题日益凸显,数据安全受到了极大的威胁。
数据安全已成为数字经济时代最基础和最紧迫的安全问题。近些年来全球数据泄露问题频发,个人、企业、国家都可能成为数据泄露现象的受影响主体,数据泄露的风险程度因数据特点、行业类型、企业规模的不同而有所不同。随着全球化的发展,数据的进一步开放,数据安全风险的来源和种类会更加复杂,除数据泄露外,还会带来数据滥用、非法交易、违规出境等新的数据安全问题,不仅需要各国重视国内的数据保护工作,还需要在国际层面加强协作。
加强数据安全治理已成为维护国家安全和国家竞争力的战略需要。近年来,我国多次发布相关法律法规,将保障数据安全视为安全战略核心组分,以维护国家安全、数据主权以及社会公共安全。2015年7月,《国家安全法》正式实施,其第二十五条将数据安全纳入国家安全的范畴。2017年6月,《网络安全法》正式实施,该法引入了网络数据的概念,并将网络数据安全纳入网络安全范畴。2020年6月,国家网信办等联合发布《网络安全审查办法》
,推动建立了国家网络安全审查工作机制,以确保关键信息基础设施供应链安全,保障网络安全和数据安全,从而切实维护国家安全。《网络安全审查办法》着重强调关键信息基础设施供应链安全,明确在平台运营商的数据处理活动等影响或可能影响国家安全的情况下进行网络安全审查的义务,巩固落实网络安全和数据安全防护网的根基。2021年9月,《数据安全法》正式实施,成为我国数据安全领域的基本法,强调了数据安全是数字中国重要战略举措的根本保障,从法律层面定义了数据处理、数据安全等核心概念,提出对数据实行分级分类保护、开展数据处理必须履行数据安全保护义务等规则,体现了国家对保障数字经济安全的决心与信心。由于数据和个人信息纠缠难分,这些关联个人信息的数据之安全和人民群众的切身利益息息相关,其安全保障需要特别对待,故我国于2021年11月实施《个人信息保护法》,聚焦个人信息保护领域的安全问题,厘清了个人信息保护领域的权利、义务、职责配置,回应了人民群众热切的信息安全需求。
《网络安全法》《数据安全法》和《个人信息保护法》三部法律已经构建了我国数据安全保护基本法律框架,而围绕基本法制定的配套法规制度与相关国家规定也在加快制定出台,包括数据跨境流动、个人信息保护、新技术新应用数据安全等多个方面。
1.数据泄露
当前,科技发展在一定程度上变革了互联网商业模式和群众生活方式。互联网平台的商业模式都建基于收集分析数据、个人信息上,群众在日常生活中越来越多地使用各类手机软件、小程序、网页等互联网工具,这些工具涵盖购物、医疗、税收、社交等日常生活多个方面,在不同程度上收集用户的身份、地理位置、偏好等个人信息和数据。一个平台能够掌握海量的数据和个人信息,一个主体的个人信息和数据也会通过多渠道被收集,这种复杂交错的数据信息输出输入现状,给了不法分子可乘之机,引发了数据、个人信息的泄露风险。数据泄露已经成为全球性安全议题。
越来越多的数据泄露诉讼,也暴露出更多法律争议问题,分歧不仅涉及程序问题如原告起诉资格、举证责任分配、溯及既往原则的适用、集体诉讼、刑民交叉案件的审理,还涉及实体问题如损害赔偿责任认定、刑事定罪、非法获取数据的不正当竞争行为认定等。在数据泄露案件原告资格和损害事实的认定上,不同法院就存在争议。在一案中,根据美国最高法院的规定,只有因被告的违法行为而受到具体伤害的原告才有资格在联邦法院向该私人被告寻求损害赔偿。本案是一起集体诉讼,共有8185人起诉,法院审理后认为其中1853名原告存在侵害事实,具备原告资格,另外6332名集体成员因无法证明损害事实的存在而被认为不具有起诉资格。虽然该6332名成员辩称其信息随时会泄露,具有遭受未来侵害的风险,但是法院则认为仅仅是未来的风险不足以构成具体伤害。
然而在另一案中,法院则持不同观点,认为在关于原告是否可以因未来风险而获得诉讼资格的问题上,目前存在争议,且没有一个上诉法院明确禁止原告基于未来数据泄露的风险获得起诉资格,故本案法院认为原告可以基于未经授权披露其数据后身份盗窃或欺诈风险增加而确立诉讼地位,即依据所谓的“风险增加”理论。
在英国最高法院审理的一起集体成员人数达到四百万人的集体诉讼案中,最具代表性的一个争议问题同样是损害事实的判断,即根据《1998年数据保护法》,没有金钱损失或精神损害的情况下,是否仍可因失去对数据的控制而获得损害赔偿?本案法院最终裁决原告只有在证明存在物质损害或精神损害的情况下才能获得违反其法定数据隐私权的赔偿,仅仅是失去对个人数据的控制是不足以获得赔偿的。
关于责任承担的主体,英国最高法院在一案中对企业是否要因员工的数据泄露行为承担责任的问题作了说明。本案高等法院和上诉法院认为企业负有替代责任,而最高法院则认为下级法院在许多方面误解了替代责任的认定原则,指出如果员工的不法行为没有为企业经营带来好处,并且泄露数据是为了报复企业,则企业不应因为员工的数据泄露行为而承担责任。
在举证责任、法律适用溯及既往和举证责任分配的问题上,在一案件中,原告根据《加州消费者隐私法》(CCPA)提起损害赔偿要求,加利福尼亚州北区地方法院认为,由于CCPA不包括明确的追溯条款,根据该法提出的索赔只能针对法律生效之后(2020年1月1日)发生的违规行为。原告没有证明被告违法行为发生的时间,法院无法确定所称的违法行为是在CCPA生效时间之前还是之后发生的。
如果非因企业自身原因,而是企业的数据被他人非法获取时,此种场景不仅涉及数据安全议题,还可能涉及企业之间的不正当竞争议题。比如某不正当竞争纠纷案中,原告主张被告非法抓取了其不公开的平台数据,“平台的非公开数据通常涉及数据安全、用户隐私以及平台经营者商业策略的实现等,系平台经营者的核心资源,不属于可自由流动的数据范畴。未经平台经营者许可,他人不得随意获取、使用”
,被告抓取后的使用行为损害了原告的竞争利益,构成反不正当竞争。
从上述案例中可以看到,若因企业的责任导致用户数据泄露,根据个案事实将可能面临刑事责任、行政责任、民事责任。若非因企业的责任导致的数据泄露,视侵权主体的不同,适用不同的法律规制。各种情形下的责任分配仍旧是一个难题,特别是在自动化程序高度应用的背景下,企业是否要为自动化程序运行错误导致的数据泄露承担责任更是一个极具争议的问题。数据安全所存在的问题远不止上述列举,可以说,目前在数据安全这个领域,无论是企业还是监管机构还有很多待讨论的议题。
2.数据垄断
随着数据安全内涵与外延的不断扩大,以数据权属争夺为目的的数据垄断问题也成为数据安全的重要组成部分。数据作为生产要素之一,对于企业而言是市场竞争中重要的战略资源和竞争优势。伴随着大数据技术的发展和企业数字化转型的深化,传统行业和新兴互联网行业对于数据收集使用的需求都大大增加,随着数据要素在市场中的流动加快,数据对于市场结构重塑和企业市场地位提升的影响也日益深刻。当前,由于各互联网平台的业务大都由数据驱动,商业推广、精准营销、产品迭代等业务都以数据的分析处理为核心,数据的积累将为企业增强市场力量,获得垄断市场的资本和能力。垄断是市场竞争秩序失调的结果,数据垄断则意味着数字经济市场的失衡,这将带来巨大的危害。一方面对于市场而言,数据垄断会限制、排除竞争对手获得发展必需的数据资源,从而拉高后来者进入相关市场的门槛,威胁行业生态。另一方面对于消费者而言,拥有数据垄断地位的企业可以凭借滥用市场支配地位的行为(如大数据杀熟、数据搭售等)来谋取不正当利益,更有甚者还会将经营中获得的用户信息用于非法交易,肆意漠视用户个人信息安全,侵害用户个人信息权益。若是非法交易的用户信息包含敏感个人信息,还可能会对社会安全、国家安全造成威胁。
针对数据垄断的治理,相关监管机构是治理主力军,数据垄断的认定标准是争议焦点。我国数据垄断问题近年集中在“二选一”“大数据杀熟”等问题上,监管机构发挥了核心作用,也探索制定了一些数据垄断认定规则。多家电子商务平台相继被曝光存在不同程度的“大数据杀熟”情况。随着类似案例与投诉的增加,“大数据杀熟”“二选一”事件多次将各互联网平台推向风口浪尖,随后国家市场监督管理总局等相关监管部门联合对多家平台企业进行约谈。此外,中央网信办与国家市场监督管理总局、税务总局联合召开互联网平台企业行政指导会,指出信息泄露、强迫实施“二选一”、进行“大数据杀熟”等问题必须严肃整治,并要求各平台向社会公开《依法合规经营承诺》。
2021年2月7日,为预防和制止平台经济领域垄断行为,国务院反垄断委员会制定发布《国务院反垄断委员会关于平台经济领域的反垄断指南》
,强调反垄断法及配套法规规章适用于所有行业,对“二选一”“大数据杀熟”等数据垄断问题也做了相关界定。
3.数据安全审查
保障数据安全,既需要事前预防机制,也需要事中动态调控机制,还需要事后追责弥补机制,而数据安全审查则是事前预防机制的重要部分。
我国已经初步建立起数据安全审查机制。2021年6月10日颁布的《数据安全法》将数据上升到关乎国家主权、安全和发展利益的地位,在第二十四条第一款规定,国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。2021年12月28日,根据《国家安全法》《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》等规定,国家互联网信息办公室等部门联合发布了修订后的《网络安全审查办法》
(以下简称《办法》),自2022年2月15日起施行,强化了国家安全制度保障。
《办法》构建了基本的数据安全审查框架,对于保障数据安全有重要意义,但是也存在部分体系协调方面的问题,可能会影响审查效果。(1)《办法》规定的审查对象包括采购网络产品和服务的关键信息基础设施运营者、开展数据处理活动的网络平台运营者以及赴国外上市的掌握超过100万用户个人信息的网络平台运营者。虽然对于审查对象范围作了一些限缩,但总体上审查广度比较可观。(2)《办法》第十条集中规定了审查内容,涵盖关键信息基础设施、核心数据、重要数据、个人信息、重要通信产品等,涉及产品和服务供应稳定风险、被攻击风险如关键信息基础设施被非法控制、遭受干扰或者破坏,数据被窃取、泄露、毁损。审查还考虑到了政治、外交、贸易等风险因素。总体而言,《办法》规定的审查内容考虑得较为细致,不过有些内容还需要和其他法规结合适用,比如审查涉及的重要数据、核心数据就需要结合国家、地方有关数据分级分类的规定。(3)《办法》对于审查程序作了相应规定,包括审查工作机制、材料递交、审查期限等。《办法》规定的审查工作机制为中央网络安全和信息化委员会领导下的13部委联合审查机制。另外,《办法》对于审查双方在审查过程中的责任义务作了明确,审查部门要负担相应的个人信息保护、知识产权保密义务,被审查对象需要在审查期间负担风险防范义务,这和上位法作了较好的衔接。(4)关于审查结果,根据《网络安全审查办法》答记者问
,赴国外上市的掌握超过100万用户个人信息的网络平台运营者的审查结果,存在三种情况:无需审查;审查后认为不影响国家安全的可以继续上市程序;审查后认为影响国家安全的停止上市。
4.数据失真
数据失真指向的是数据丧失真实性的各种情形,是数据安全的隐患之一。真实性对于数据开发利用来说至关重要,一方面,虽然数据的价值受到数据规模、数据种类、数据分析处理速度等的影响,但在这些直接因素的背后,是数据的真实性提供了数据价值稳定和发展的根基。另一方面,数据价值体现在数据可以帮助我们理解事物,数据所训练的算法可以帮助我们更好地决策,这一切同样是建立在数据真实的根基上。我们不能忽视大数据决策大多建立在相关性分析上,但如果数据失真,将大大影响最终决策的合理性,若存在严重误差甚至会导致不可弥补的损害。
数据失真存在多方面的原因。数据失真有历史局限性的原因:数字经济尚处于起步阶段,各行各业的数字化转型尚处于摸索阶段,数据理念和数据文化尚且在培育之中。在传统业务向数字化业务转化的过程中,一些现实世界、复杂人性的表征被转化为数据,我们处在当前的历史条件下,很难跳出我们对于数据转化的认识,也很难客观评价现阶段我们将现实世界转换为数据表征的能力成熟度。数据失真也有技术方面的原因:数据采集标准是否科学、数据传输过程中是否发生数据丢失、数据清洗和分析过程是否符合相关统计标准等诸多技术因素都会影响最终数据集合的真实性。数据失真还存在人为原因:既有认知局限性如业务部门对数据真实的认识局限,也有过失因素如录入数据马虎大意导致错误,也有故意因素如出于牟利或泄愤原因故意污染数据。
数据失真的危害需要得到重视,大数据征信企业数据分析错误导致无辜民众成为“失信被执行人”等现实案例已经反映出不少数据失真所导致的问题。数据失真的难点在于如何确定事故责任人和如何救济受害者。责任认定的难点在于,数据失真将导致基于数据建构的算法模型和基于算法模型所作的决策发生传导性错误,当发生事故后很难在紧密的错误链条中发现确切的错误节点。尤其是,当数据提供者、算法建构者、决策者分离时,如何确定责任人的范围、受害者该找谁获得救济和赔偿,是一个复杂的问题。更为复杂的是,由上述数据失真的原因可知,数据失真存在人类认知局限和技术方面的原因,在这种情况下,当责任相关方以“技术局限”“技术中立”为由辩护时,法律又该如何回应。
数据安全问题已成为当下社会运行的基础安全问题,数据安全治理也逐渐被提升到国家安全治理的战略高度。随着《数据安全法》的出台,我国正式确立了数据安全领域的基本法律框架,完善了数据安全监管框架的顶层设计。在构建统一的数据安全保护义务体系并为重要数据规定“分级分类保护”“地区与行业共治”“额外数据安全保护义务”等制度的同时,《数据安全法》也提出了“国家核心数据”的概念,并对数据交易、数字经济发展、数据出口管制与对等反制措施、应对外国司法执法机构数据调取请求、政务数据开发、数据与竞争等社会热点、难点问题规定了相应的制度。但整体看来,数据安全的制度设计仍然存在有待完善之处。
首先,目前来看,作为数据安全制度基石的一些重要概念的范围仍需进一步明确。例如,《数据安全法》《网络安全法》《关键信息基础设施安全保护条例》等法律法规文件中都提到了“重要数据”,要求对该类数据采取有别于一般数据的特殊保护措施,但并未对“重要数据”进行界定。《网络数据安全管理条例(征求意见稿)》
第七十三条虽然对重要数据进行了定义并列举了七类判断标准,但是其对重要数据的阐释仍旧是一种描述性规定,仍然存在兜底规定,兜底条款在实践中可能还是会造成重要数据范围扩大化的问题。
由于《数据安全法》中授权“国家数据安全工作协调机制统筹协调有关部门制定重要数据目录”以及“各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录”,因而重要数据管理的具体权限实际上还会下放到各地区、各部门以及相关行业、领域中去。这可能导致这一概念在横向和纵向层面上涵盖的范围存在差异,如何避免各地各部门对“重要数据”的认定标准产生差异就成为一个需要考虑的问题,需要加强对“重要数据”认定标准的统筹协调工作。
其次,从目前的规定看来,数据垄断仍缺乏足够的立法规制。《网络安全法》《数据安全法》主要强调的是数据的国家安全问题,但是考虑到其对于数据收集、处理、加工等的某些严格规定,在一定程度上也会影响到企业市场势力的形成。《个人信息保护法》是围绕个人信息保护的体系立法,虽然规定了个人信息的可携带权,但总体来看规定较少且较为原则,难以有效调整数据垄断的问题。虽然上述法律对于促进数据的流通利用做出过宣示性规定,但原则性较强,实操性不足。我国当前直接规制数据垄断的法规主要落在了《反不正当竞争法》之上,司法实践中也多以《反不正当竞争法》第二条和第十二条来处理各主体之间的数据权属纠纷。但是在日趋复杂的产业变革中,原先的监管机制已经显现出应对数据垄断问题的疲力。如果说《反不正当竞争法》面对此前单一性质的互联网平台产生的复杂的垄断问题能够勉强应对,那么在当前——数字交易中政府和企业高度融合导致数字企业性质复杂、数据不正当竞争和个人隐私纠缠不清——的情况下,数据利益多元性使得对数据垄断的认定和规制存在种种困难。为解决上述问题,从完善基础制度(如以明确数据产权和优化价值评估为重点完善基础制度)、完善规则制定(如加强立法工作)、加强反数据垄断与数据领域监管工作的协调都是值得努力的方向。
再则,在数据安全审查方面,《办法》
第七条规定,掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。《网络数据安全管理条例(征求意见稿)》
第十三条提及了处理一百万人以上个人信息的数据处理者赴国外上市的应当按照要求申报网络安全审查。此标准将相当多的网络运营者包含了进来,但掌握用户个人信息超过100万的数据使用者数量庞大,根据中国互联网络信息中心发布的《第48次中国互联网络发展状况统计报告》
,截至2021年6月我国国内市场上监测到的App数量为302万款,我国网民规模为10.11亿,可以说在中国这样一个拥有超级互联网市场的国家,掌握超过100万用户个人信息的运营者数量是相当之多、覆盖范围是相当之广的。此外,有些企业虽然没有掌握超过100万的用户信息,但其所涉及的业务或数据可能具有重要的价值,一旦遭遇数据安全事件,将会给国家安全带来巨大风险。故还需要根据实践情况完善数据安全审查的一般规则和特殊规则。
最后,数据安全问题涉及多元主体,牵涉个人、企业和国家。数据安全问题涉及多个领域,是跨行业、跨国家的时代性问题。目前全球的数据安全体系仍处于摸索之中,结合数据安全治理的发展现状和核心问题,需要注意以下方面:第一,紧抓顶层设计。数据安全问题是一个宏观议题,涉及安全和发展的平衡,不仅涉及国内的平衡,也涉及国内国外的平衡,这就需要在制定数据安全规则时立足大局,统筹规划,明确方向。第二,注重实践,采取更灵动的治理机制。数据安全问题不仅是战略问题,更是实践性非常强的议题,在实践中才能更好地检验建成的数据安全体系的坚固性和完备性。这就需要在制定规则后尽快落地,畅通沟通渠道,检验规则运行成效,及时修正体系运行不良的地方。第三,主动参与全球讨论。数据安全问题是全球共同面临的问题,是一个建设中的全球性议题。我国应积极参与全球数字规则的构建,一方面强化对于数据安全理论的研究,争取在国际上提出有说服力的方案,另一方面以开放包容的态度,推进双边、多边、区域和全球安全规则的讨论,提高参与度,提升话语权。