隨著現代社會的快速發展、信息化的快速膨脹和互聯網的迅猛傳播,海量的各種數據化信息被不停地生產、收集、存儲、處理與利用,大數據時代隨之來臨。這不僅帶來了全方位的社會變革,同時也帶來了新的安全挑戰,數據洩露、數據濫用、隱私安全等日漸成為明患隱憂。
圍繞數據立法、信息保護等話題,第八屆中國公司法務年會(北京)於近日召開,旨在探討如何在大數據時代保護數據安全。此次年會由法制日報社中國公司法務研究院聯合中國國際經濟貿易仲裁委員會、上海交通大學凱原法學院、中國國防工業企業協會法律工作委員會主辦,美國飛翰律師事務所、律商聯訊、北大法寶協辦。
存儲數據需求量大 信息資產應運而生
提起大數據一詞,人人都不陌生,但何為大數據?許多人又不是很清楚。
百度百科關於大數據的定義是這樣的:無法在一定時間範圍內用常規軟體工具進行捕捉、管理和處理的數據集合,是需要新處理模式才能具有更強的決策力、洞察發現力和流程優化能力的海量、高增長率和多樣化的信息資產。
中國移動法律與監管事務部副總經理於莽說:“從現代計算機的誕生,到關係型數據庫的誕生,再到移動互聯網的誕生,人類一步步跨入‘大數據’時代。大數據是數量大、處理速度快、種類繁多的信息資產,指的是規模超出普通數據庫軟體工具的采集、存儲、管理和分析能力的數據集。”
據於莽介紹,大數據的應用和技術是在互聯網快速發展中誕生的,起點可追溯到2000年前後。當時搜索引擎要存儲和處理數據,數量之大前所未有,而且以非結構化數據為主,傳統技術無法應對。數據量成倍遞增,量變引起質變,開始對數據管理技術提出全新的要求。
“在當前信息科技的浪潮中,大數據技術並不是孤立存在的,它與包括雲計算、人工智能、物聯網、區塊鏈等在內的新技術都有密切關係。”於莽說,雲計算為大數據提供計算支撐,大數據為雲計算提供用武之地;物聯網則是大數據的重要數據來源,大數據技術為物聯網數據分析提供支撐;人工智能需要數據來建立其智能,大數據催生機器智能促進人工智能的大發展;共同的關鍵詞“分布式”聯繫在一起,區塊鏈技術可以確保大數據的真實性。
數據安全影響深遠合理合規采集使用
近年來,移動互聯網應用程序(App)得到廣泛應用,在促進經濟社會發展、服務民生等方面發揮了重要作用。同時,App強製授權、過度索權、超範圍收集個人信息等現象大量存在,違法違規使用個人信息的問題突出,網民對此反映強烈。
為切實治理個人信息保護方面存在的亂象,中央網信辦、工信部、警察部、市場監管總局四部門決定自今年1月至12月,在全國範圍組織開展App違法違規收集使用個人信息專項治理。截至4月16日,舉報信息超過3480條,涉及1300多款App。其中31%的App在申請打開收集個人信息相關權限時,未明確告知用戶;20%的App收集與業務功能無關的個人信息。
數據安全涉及每個公民的切身利益,如何合理合規地收集使用大數據、如何平衡個人信息保護和產業發展,成為當下亟待解決的問題。
於莽說:“數據的生命周期,包括了數據的產生、采集、存儲、流通、應用、銷毀六個環節,涉及數據來源者、數據收集者、數據控制者、數據加工者四種主體角色。”
據於莽介紹,數據來源者也稱數據主體,在現實生活中,數據來源者並不單一。如在微信系統中,微信號的所有權屬於微信服務商,個人僅享有使用權,因此微信號的數據來源者既包括個人和微信服務商;數據收集者即記錄數據的主體,如各大平台;數據控制者即存儲數據主體,不僅包括自行收集並存儲數據,還包括通過數據公開、數據分享和數據交易等流通行為,從其他主體處取得數據,成為數據控制者的主體;數據加工者則指通過數據整合、數據清洗、數據脫敏、數據標準化和數據建模等手段,有效地聚集和分析數據,使數據產生新價值的主體。
“大數據采集是指從系統、網絡、機器或傳感器等不同的來源記錄、創建、收集、獲取數據。”於莽說,大數據采集要遵循三個原則:合法原則,不得竊取或者以其他非法方式獲取個人信息;正當原則,不得以欺騙、誤導、強迫、違約等方式收集個人信息;必要原則,滿足信息主體授權目的所需的最少個人信息類型和數量。
新浪互聯網法律研究院秘書長王磊說:“數據商業化利用要有其規範,一是應充分尊重用戶,保障個人信息權益;二是數據收集和使用應當遵守現有商業秩序;三是充分尊重平台在數據收集中的權益;四是建立數據追溯和共享機制;五是技術中立應當具有合理邊界。”
在平台對數據的自律方面,騰訊公司法務部副總經理王小夏介紹了騰訊“數據有度”的理念,即管理數據有法度、使用數據有態度、收集數據有限度、保護數據有力度、數據服務有溫度。
王小夏說:“數據有法度,管理數據必須以遵守法律法規為首要前提;數據有態度,保護用戶數據、合理使用數據是我們的態度;數據有限度,使用數據始終堅持有一個限度;同時保護數據要有力度;最後是要讓用戶感受到我們對數據使用的溫度,把隱私保護嵌入產品設計中,更加符合人性的心理。”
把握應用發展方向 構建有機法律體系
在會上,王磊提出:“大數據時代,數據的巨大價值逐漸為人所知,這其中尤以個人數據的價值為甚。在個人數據商業化利用的鏈條中,數據開發者都希望通過基於個人數據而佔據不可替代的優勢地位。因此,數據開發者之間關於個人數據的獲取和有效流轉,成為個人信息保護和商業化利用面臨的問題。”
事實上,由數據商業化利用引起的不正當競爭案件時有發生。例如,2016年12月,脈脈非法抓取使用新浪微博用戶信息,被法院判決不正當競爭;2019年3月,抖音違反開放平台用戶協議,將來源於微信、QQ開放平台的微信、QQ頭像、昵稱等數據提供給多閃使用,被法院裁定立即停止不當行為。
對此,北京市高級人民法院民三庭法官張玲玲說:“在大數據時代,信息所具有的價值已日漸成為企業的核心競爭力,愈來愈多的市場主體投入巨資收集、整理和挖掘信息,如果不加節製地允許市場主體任意使用或利用他人通過巨大投入所獲取的信息,任由技術任性,將形成技術霸權,不利於產業創新和誠實經營,最終損害健康的競爭機制。因此,市場主體在使用他人所獲取的信息時,仍然要遵循公認的商業道德,在相對合理的範圍內使用。”
張玲玲同時稱,平台方應通過用戶協議或隱私協議等方式收集用戶信息,明確告知收集的信息內容、目的,堅持“最少必要”原則;第三方通過開放端口OpenAPI獲取數據,應尊重開發者協議,遵守OpenAPI合作開發模式及數據共享規則。
眾所周知,數據財產是大數據時代的核心生產要素,那麽大數據到底是誰的財產?應該受到什麽樣的保護呢?
對此,中國政法大學傳播法研究中心副主任朱巍認為,帶有可識別性的個人信息不可以商業化使用。但經過分析和處理,用於分析用戶行為、判斷用戶消費能力喜好、做精準廣告的網絡行為信息則屬於大數據,具有知識產權屬性,哪個公司開發就歸哪個公司所有。
完美世界集團法務部知識產權總監薛穎也提出了數據財產所面臨的問題,“企業在合規獲取數據後,數據產品的開發、運營以及維護等,都需要投入很大的成本。目前企業在數據方面受到的限制很多,但權利保護卻非常少”。
中國人民大學教授孟雁北建議,在大數據權屬確定及行為規製方面,構建一個更宏觀的整體系統化法律框架體系,以盡可能避免法律和法律之間的衝突,在調整個人信息保護、大數據的運用及數據規製上,形成一個相對有機融合的法律體系。
近年來,與大數據、個人信息保護相關的法律相繼頒布。2017年6月1日實施的網絡安全法,對個人信息保護提出專門要求;2018年5月1日,國家標準《信息安全技術個人信息安全規範》實施;個人信息保護法、數據安全法被列入人大立法計劃。
對於大數據應用的發展,於莽建議,規範數據采集行為;規範數據流通與共享行為;落實數據安全保障的相關制度;建立網絡安全檢測預警體系;完善網絡安全事件預案,定期進行演練。
於莽說,一是要強化法治思維,把握大數據應用的發展方向。在數據產業風起雲湧、數據立法加快完善、執法力度不斷加強的形勢下,守住法律底線、把握監管規律,是落實公司戰略、推動數據類業務有序發展的重要保障。
“二是落實法律規範,守住大數據應用的法律底線。在大數據法律體系中,數據安全、個人信息保護是貫穿收集、存儲、傳輸、處理、使用、銷毀等數據全生命周期的兩條紅線。以數據安全、個人信息風險防控為重點,配置相應的審核力量,依照不同業務模式,製訂合約範本和法律風險防範指引,保障大數據應用健康發展。”於莽說。
香港九龍灣馬來街興發大廈15樓D室