隨著企業對數據信息的挖掘和利用能力的不斷提升,大數據的商業價值逐漸顯現,更加受到了互聯網公司的重視,互聯網公司相繼成立了負責數據業務的部門,專司對數據信息的收集、使用或交換工作。
然而,海量數據集合而成的“大數據”帶來的不僅僅是機遇,往往也會伴隨著較大的安全風險問題。信息的非法獲取、泄露及交易擾亂了社會秩序和經濟秩序,干擾了人們的正常工作、學習和生活,也給大數據產業的健康有序發展造成了阻礙。
由于大數據的特性,傳統的物理保護模式已經難以應對數據信息的非法獲取、泄露和交易;同時,由于數據信息的權屬存在爭議、主體多元化等原因,導致法律邊界較難界定,用戶維權難等現實問題,筆者認為,這就需要我們從社會、法律、技術等多個層面對大數據進行研究,進而進行調整、保護和規范。
一、數據保護須先行
互聯網和大數據產業持續健康發展的前提,是必須保護好相關權利人(下稱“數據信息權利人”)的合法權利,這樣才能確保數據的穩定和質量。同時,數據信息往往涉及到廣大自然人、法人及其他組織的個人隱私和商業秘密,如果只顧商業價值而不保護數據信息權利人的權益及數據的安全,無異于竭澤而漁、飲鴆止渴。
數據的利用和保護存在一定的沖突:對數據權利人權益保障的越充分,對數據的使用和交換的限制就會越大。如何平衡和協調二者之間的關系是現階段比較重要的問題,筆者認為,在數據的使用和交換過程中,應當遵循先保護,再合理利用及共享發展的原則,盡可能平衡和兼顧促進發展與保障權益。在權利人的權利和數據使用人的利益相沖突時,先保護“在先”權利人的合法權益不受侵害,通過對數據信息的獲取、使用和共享給予一定的限制,并對相關行業和產業進行積極引導,為數據保護及使用提供法律和制度保障。
如今,數據信息被竊取、泄露導致各行業亂象叢生。筆者平均每天能夠接到3~5個推銷電話,這還是在手機已經安裝了詐騙、廣告推銷等號碼的識別軟件之后。而且其中一些推銷者,能夠準確說出筆者的姓名、職業及其他個人信息,其目的就是“精準營銷”。而這些信息顯然都是從非公開渠道獲得。這種情況對互聯網行業、大數據產業具有非常大的破壞力和殺傷力,容易出現“劣幣驅逐良幣”的現象,讓不誠實守信的經營者反而能夠獲取巨大利潤,對合法經營行為造成巨大的沖擊,嚴重擾亂社會、經濟秩序,極大地破壞了網絡經濟的良性、可持續發展。
因此,在大數據產業和共享經濟發展伊始,就應加強保護工作,以按“保護—合理利用—交換—共享”順序的發展思維,推動整個大數據行業和產業的健康有序發展。
二、建立數據信息的分類分級保護制度
“人類正從IT時代走向DT時代”,對數據信息的使用、交換和共享能夠更有效的配置資源、降低成本、提高效率。現階段數據信息已經成為了重要的生產要素,能夠為企業帶來巨大的經濟利益,其重要性和經濟價值日益凸顯,被許多企業視為待開采的“金礦”。
然而,并不應對所有的商業數據信息和個人信息都要“一刀切”式的允許或者禁止使用,而是要區分可使用、可交易的商業數據信息和不可使用、不可交易的(商業秘密等)數據信息,劃分個人一般信息和個人隱私(或敏感)信息的邊界,根據相關數據信息的屬性(包括商業屬性和人身屬性等)、所屬領域和類別、可對數據信息權利人造成的影響等多方面對其分類,再根據具體的類別給予相應(級別)的保護。
考慮到相關的數據、信息的類型和性質,對商業秘密和個人隱私要嚴格保護,除非經過數據信息權利人的許可外,禁止任何企業、其他組織和個人使用、交易或者披露他人的商業秘密和個人隱私。對于商業秘密、個人隱私信息的泄露、盜取和非法使用應當采取“零容忍”的態度,對違法行為給予嚴厲打擊。
根據相關法律的規定,商業秘密是指不為公眾所知悉的、且能為權利人帶來經濟利益,并經權利人采取相應的保密措施的技術信息和經營信息。而商業數據信息中包含的商業秘密,其價值往往要大于普通商業信息,對權利人的影響重大,因此對商業秘密的保護級別和力度就要遠高于一般商業數據信息。
我們通常所說的個人隱私信息,是指不為公眾所知悉的、公民個人生活中不愿為(往往是一定范圍以外的)他人所知悉的私密信息。例如,最高人民法院《關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》第12條就以列舉的方式規定了個人隱私信息包含的部分具體內容,包括自然人的基因信息、病歷資料、健康檢查資料、犯罪記錄、家庭住址、私人活動等。個人信息中包含個人隱私信息,同理也要分級保護。
筆者認為,商業數據信息和個人信息,如果經過處理使無法識別特定個人且不能復原(即去身份化)后,可以在一定的條件下使用、交換和共享。例如,貴陽大數據交易所就是在能夠很好地保護商業秘密和個人隱私信息這一前提下,得以迅速發展的。
三、加大打擊盜取濫用數據信息行為
數據信息的盜取、泄露和濫用是很多違法犯罪的根源,近年來,此類事件時有發生,危害性大、影響面廣、涉及人數眾多,而且往往會給用戶造成永久且不可逆的損害,用戶無法因身份信息被泄露而采取補救措施,同時,還可能給當事人造成二次傷害。國家相關部門也已深刻地認識到了問題的嚴重性,開展了打擊相關違法犯罪行為的專項治理,并不斷加大打擊力度。
我國刑法第285條,規定了非法獲取計算機系統數據罪,是指違反國家規定,侵入國家事務、國防建設、尖端科學技術領域以外的計算機信息系統或者采用其他技術手段,獲取該計算機信息系統中存儲、處理或者傳輸的數據,情節嚴重的行為。犯本罪的,處三年以下有期徒刑或者拘役,并處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,并處罰金。
但并非所有的非法獲取數據信息行為,都受到刑法的制裁,尚不構成刑事犯罪的,也有可能涉嫌違反治安管理處罰法規定。根據治安管理處罰法第29條的規定,違反國家規定,侵入計算機信息系統,造成危害的;或者對計算機信息系統中存儲、處理、傳輸的數據和應用程序進行刪除、修改、增加的;處5日以下拘留;情節較重的,處5日以上10日以下拘留。
四、
構建完善的數據信息保護法律體系
盡管我國法律法規中涉及到個人隱私和數據信息的超過了200部,但是這些規定都是分散在各部法律、法規中,沒有一部專門的法律保護個人信息和企業商業信息的規范,因此,應當盡快制定《個人信息保護法》《商業數據信息保護法》等法律,完善數據信息保護制度。
最近,筆者欣喜地看到,民法總則(草案)對網絡虛擬財產、數據信息等新型民事權利客體作了規定,雖然僅是征求意見稿,但也體現了中國立法機關和法學界的觀點——對數據信息權利的確立和保護已經迫在眉睫,并且應當立法進行規范。
草案第104條規定,“物包括不動產和動產。法律規定具體權利或者網絡虛擬財產作為物權客體的,依照其規定”,這確立了虛擬財產能夠成為權利客體的法律地位;草案第108條第二款第八項還規定,知識產權包括權利人依法就數據信息(客體)所享有的權利,這就確立了數據信息成為新型民事權利的客體,應當受到法律保護。
明確數據信息權利人對數據信息享有占有、使用、處分、收益的權利是互聯網和大數據產業發展的法律保障。而數據處理者在經過許可后對收集的數據信息進行分類整理、加工分析得出的數據信息已經具有原始數據所不具有的新特征,這些特征能夠為數據處理者帶來財產性的利益和新的商業機會,此時,數據處理者可以在獲得數據信息權利人的許可后,進行有條件的信息再利用。
毋庸置疑,加快制定專門的法律、法規,建立健全數據信息保護制度,是當務之急和互聯網時代的迫切需要。
筆者認為,首先要構建完善的數據信息保護法律體系。制定《個人信息保護法》《商業數據保護法》及配套的法規、部門規章,構建完整的信息保護法律體系,并在此基礎上建立信息安全爭議解決機制,從實體和程序上完善信息保護制度,切實保護權利主體的合法權益。
其次是要推動網絡管理法制建設,促進網絡運營商、軟件、硬件開發商等主體廣泛協同參與,加強信息安全網絡建設,倡導構建信息保護的自律機制;指導、宣傳和加強公眾的自我保護意識,加強數據信息風險預警,減少個人信息泄露風險。
第三是要建立信息安全認證制度,成立第三方評級機構,對企業信息保護制度建設及運行給予評價,并向社會公眾開放評價查詢。企業可以根據數據信息保護評價的高低及不足之處,采取相應的技術和制度措施,加強企業的數據信息保護。
最后,須鼓勵信息安全企業的發展和研究,建議政府部門從稅收、財政補貼等各方面鼓勵企業加強信息保護技術的開發和信息保護制度的研究,將數據信息保護作為發展的重點。
京公網安備 11010502049343號