齊 愛 民

(廣西民族大學 法學院，廣西 南寧 530006)

?

論大數(shù)據時代數(shù)據安全法律綜合保護的完善
——以《網絡安全法》為視角

齊 愛 民

(廣西民族大學 法學院，廣西 南寧 530006)

大數(shù)據時代，數(shù)據安全面臨嚴峻挑戰(zhàn)，呈現(xiàn)出動態(tài)性、綜合性、整體性、風險的高度或然性和無序性等特點?！毒W絡安全法》的頒布迎來了數(shù)據安全的春天，這僅是萬里長征第一步。為充分應對大數(shù)據安全的新形勢，須變革思維，秉承發(fā)展與安全并重的原則，樹立多維立體的風險防控理念，建立關鍵基礎設施數(shù)據安全保護法律機制，推進數(shù)據本地化立法，加強數(shù)據跨境流動監(jiān)管，建立個人數(shù)據保護法律機制，加緊制定《個人數(shù)據保護法》，完善數(shù)據犯罪法律保護制度，加大對數(shù)據違法犯罪行為的打擊力度。

大數(shù)據；數(shù)據安全；數(shù)據保護；《網絡安全法》；立法完善

隨著信息技術的不斷進步，海量數(shù)據如潮水般撲面而來，人類開始大步踏入大數(shù)據時代。這個堪比石油、黃金的大數(shù)據，已成為社會重要財富和國家基礎性戰(zhàn)略資源。其安全問題不容小覷，如何采取法律措施保障大數(shù)據安全問題是我們當前亟待解決的重要課題。2016年11月17日，《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)頒布，可謂迎來了數(shù)據安全的春天。雖然該部法律以“網絡安全”命名，但數(shù)據安全構成其重要組成部分。本文以《網絡安全法》為視角探討大數(shù)據時代數(shù)據安全的法律保護，以期對大數(shù)據產業(yè)的發(fā)展以及國家的和諧穩(wěn)定有所裨益。

一、大數(shù)據時代數(shù)據安全面臨的新挑戰(zhàn)

大數(shù)據體量巨大，類型繁多，半結構化、非結構化數(shù)據等大量涌現(xiàn)且成為主流，其復雜性使得數(shù)據安全所面臨的威脅和挑戰(zhàn)隨著數(shù)據規(guī)模非線性增長。

(一)黑客攻擊成為大數(shù)據安全的重大隱患

大數(shù)據來源廣泛，個人、企業(yè)、移動智能終端、傳感器、可穿戴設備等每天都產生大量數(shù)據，這些海量數(shù)據具有無限潛在價值；特別是隨著數(shù)據急劇聚合所形成規(guī)?；瘮?shù)據平臺或中心的出現(xiàn)，使得大數(shù)據對黑客而言誘惑力更大，極易成為攻擊對象。2016年1月，媒體與娛樂界巨頭美國時代華納公司(Time Warner Inc.)公開表示旗下近32萬用戶郵件和密碼數(shù)據被黑客竊??；全球最大的職業(yè)社交網站領英(LinkedIn)于同年5月證實，超過1.67億個領英用戶登錄數(shù)據(如電子郵件、用戶密碼等) 被黑客組織竊取并在黑市公開售賣[1]；同年12月，雅虎自曝遭黑客攻擊，超過15億用戶的賬戶數(shù)據被盜，涉及用戶名、電子郵件地址、電話號碼、出生日期、加密或未加密的安全問題和答案等[2]，這可能是單一網站史上規(guī)模最大的數(shù)據泄露事件。以上僅是冰山之一角，但可以窺見黑客們對大數(shù)據的情有獨鐘，數(shù)據安全問題日益突出。

(二)多樣化攻擊技術的應用

大數(shù)據時代，黑客常常利用大數(shù)據技術發(fā)動攻擊，攻擊方式日趨多元，攻擊類型日趨復雜，攻擊也更精準。黑客可最大限度地收集一切有用數(shù)據為攻擊做好準備，進而利用大數(shù)據技術操縱僵尸網絡(Botnet)中的眾多傀儡機同時發(fā)起攻擊。例如，2016年9月，法國一家擁有分布在16個國家共計超過70萬用戶的網站托管服務公司OVH遭遇超大型分布式拒絕服務(Distributed Denial of Service，DDoS)攻擊，攻擊者利用感染僵尸程序的145 607個攝像頭形成僵尸網絡實施攻擊，服務器被攻擊的峰值達到了每秒1 Tb[3]。此外，大數(shù)據也往往被當作高級可持續(xù)威脅(Advanced Persistent Threat，APT)的載體，威脅代碼隱藏在浩瀚的數(shù)據洪流當中，讓受害者無從察覺，即使發(fā)現(xiàn)，也如大海撈針般難以查找到風險點。例如著名的APT攻擊“極光行動”(Operation Aurora)，攻擊者對谷歌公司(Google Inc.)所用瀏覽器的漏洞代碼進行加密變形，并使用不同的免費二級域名作為跳板遠程控制木馬發(fā)動攻擊，導致整個Google網絡被多個變種惡意代碼滲透數(shù)個月，造成各種系統(tǒng)的數(shù)據被竊取[4]。無獨有偶，索尼影視娛樂公司(Sony Pictures Entertainment)也遭遇重大APT網絡攻擊，大量商業(yè)機密被泄露[5]。

(三)關鍵基礎設施成為攻擊對象

“大數(shù)據堪稱智能交通、智能電網、智慧城市等國民經濟運行和社會發(fā)展高度依賴的信息基礎設施‘血液’，這些重要的信息系統(tǒng)、基礎設施網絡化智能化程度越高，安全也就越脆弱；速度越快，風險也就越大?！盵6]近年來，針對關鍵基礎設施的攻擊愈來愈頻繁，數(shù)據安全面臨極大考驗。例如震驚世界的“震網”(Stuxnet)病毒，作為全球首個定向攻擊基礎設施的網絡“超級破壞性武器”，該高端蠕蟲病毒已經感染全球逾 45 000個網絡，其中伊朗核電站遭到的攻擊最為嚴重，所受影響已無法簡單用經濟損失來衡量[7]。德國RWE電力集團旗下核電站在2016年4月的安全檢測中亦發(fā)現(xiàn)計算機系統(tǒng)感染病毒，發(fā)電廠被迫關閉[8]。同年10月21日，美國域名服務器管理服務供應商Dyn遭遇網絡攻擊，攻擊者利用惡意程序劫持海量物聯(lián)網設備資源，進而反向攻擊關鍵信息基礎設施——域名系統(tǒng)，導致Twitter、Netflix、亞馬遜等知名網站在美國東海岸集體宕機超過兩個小時[9]。《網絡空間安全藍皮書：中國網絡空間安全發(fā)展報告(2016)》指出，境外黑客組織“海蓮花”(Ocean Lotus) 一直以來針對我國重要信息系統(tǒng)和關鍵基礎設施進行APT攻擊，數(shù)據安全態(tài)勢嚴峻。

(四)數(shù)據非法跨境流動威脅數(shù)據主權

據麥肯錫研究院報告顯示，數(shù)據流動在十幾年前還很少見，而如今數(shù)據跨境流動激增，正在改變全球化的動態(tài)發(fā)展進程[10]1。隨著云計算、大數(shù)據時代的接踵而至，數(shù)據跨境流動已成常態(tài)化，范圍愈來愈廣，規(guī)模愈來愈大，內容愈來愈多，造成的影響也愈來愈深遠。數(shù)據的跨境流動不僅會削弱數(shù)據主體對自身數(shù)據的控制權，難以保護自身合法權益，國家關鍵數(shù)據資源的流失還會危及一國數(shù)據主權。此外，原始數(shù)據從發(fā)展中國家流向發(fā)達國家，經由這些國家處理、分析后又反饋回輸出國，造成發(fā)展中國家對發(fā)達國家數(shù)據產品的依賴，從而造成數(shù)據主權的喪失，直接導致一國的經濟、文化狀況等易被發(fā)達國家所掌握，從而影響該國在經貿往來和國際交往中的話語權以及文化發(fā)展自主權。

(五)大數(shù)據核心個人數(shù)據成為侵犯重點

大數(shù)據的“原材料”中大部分來自于人和傳感器，包括用戶上網購物、搜索并瀏覽網站留下的數(shù)據印跡、微博、微信等社交工具中的評論、傳感器數(shù)據、監(jiān)視數(shù)據等等。這些 碎片化數(shù)據若經過技術處理可形成完整的“人格拼圖”，使人們無所遁形。大數(shù)據時代，人們變得越來越透明，而數(shù)據的權利界限卻越發(fā)模糊，個人數(shù)據成為侵權的重災區(qū)。許多企業(yè)、組織或個人基于大數(shù)據價值的驅動，過度收集、肆意處理并不加限制地使用和發(fā)布個人數(shù)據，還有相當多大企業(yè)之間或企業(yè)與第三方之間“共享”用戶數(shù)據[11]230，導致個人數(shù)據的“暴露面”無限擴大，嚴重侵犯公民個人數(shù)據權。近年來愈演愈烈的電信詐騙案背后凸顯的就是個人數(shù)據安全問題。

二、大數(shù)據時代數(shù)據安全的特點

大數(shù)據時代是一個最好的時代，也是一個最壞的時代。在這個時代，大數(shù)據把網絡空間與現(xiàn)實社會緊密地聯(lián)結在一起，給人類生產和生活帶來極大便利的同時，也將傳統(tǒng)安全問題與非傳統(tǒng)安全問題糅雜為一體，使數(shù)據安全以一個全新姿態(tài)躍然而出。

(一)大數(shù)據安全的動態(tài)性

大數(shù)據本身并不是一個靜態(tài)的概念，其處于實時高速流動之中，相應的，大數(shù)據安全也處于一個動態(tài)過程，其中涉及數(shù)據的收集、處理、存儲等各個環(huán)節(jié)的安全以及數(shù)據處理平臺的安全等。從個人數(shù)據安全問題就可見一斑。傳統(tǒng)安全語境中，個人數(shù)據處于一種分散、孤立的靜止狀態(tài)，單一地考量某些個人數(shù)據可能無法關聯(lián)到公民個人，而大數(shù)據具有數(shù)量和范圍的無限性以及動態(tài)挖掘的可能性，那些在過去看似無用的碎片數(shù)據在匯集、處理之后有可能識別出公民個人身份甚至還原出其完整的人格原貌。此外，大數(shù)據時代，數(shù)據安全的威脅來源和攻擊手段亦處在不斷變化之中，傳統(tǒng)的數(shù)據安全保護措施已無法滿足現(xiàn)代形勢的發(fā)展要求。

(二)大數(shù)據安全的綜合性

大數(shù)據時代，數(shù)據之所以大，主要在于人類記錄范圍的不斷擴大[12]258。源于此“大記錄”，大數(shù)據之上承載了人格、財產、社會安全、國家安全等不同性質的利益[13]69，數(shù)據安全問題也已遠遠超出技術安全、系統(tǒng)保護的范疇，發(fā)展成為涉及政治、經濟、文化、社會、軍事等領域的綜合安全。例如， 2016年美國大選之季，民主黨全國委員會、籌款委員會、總統(tǒng)候選人希拉里競選團隊的計算機網絡接連被黑客攻擊[14]，近2萬封郵件被披露，該“郵件門”事件折射出數(shù)據安全已向政治領域滲透。又如，在軍事領域，國防建設數(shù)據、軍事數(shù)據等的竊密將直接威脅國家軍事安全；現(xiàn)代數(shù)據化戰(zhàn)爭的決勝關鍵已不是消滅敵人有生力量的多少，而是能否在大數(shù)據這個無硝煙的戰(zhàn)場之上首先搶占制數(shù)據權[15]110。在經濟領域，雅虎自2016年12月14日曝出用戶數(shù)據被竊之后，公司股票在當天下午盤后交易中下跌2.5%，其將被美國電信巨頭威瑞森(Verizon)以48億美元價格收購的計劃也將擱淺[2]。

(三)大數(shù)據安全的整體性

隨著技術的更迭，大數(shù)據與互聯(lián)網、云計算、基礎設施等融合為深度關聯(lián)、相互依賴的整體，在這個生態(tài)空間中，數(shù)據安全問題可謂牽一發(fā)而動全身。以云計算為例，云計算是一種獨立而靈活的計算資源獲取平臺和數(shù)據處理模式[16]70，如果沒有云計算這條高速公路的支撐，大數(shù)據這輛汽車就只能停留在“價值可能性”的狀態(tài)，毫無用武之地。云計算中數(shù)據采用分布式存儲，具體存儲位置不斷變化，這種存儲的分散性和多變性導致用戶數(shù)據安全面臨一系列潛在威脅[16]71-72。此外，以云計算架構平臺為目標的攻擊，致使其上的大數(shù)據資源也被牽連其中。 可見，大數(shù)據安全遠非局部問題這么簡單，已上升為全局性戰(zhàn)略問題。

(四)大數(shù)據安全風險的高度或然性與無序性

大數(shù)據時代，數(shù)據安全從計算數(shù)據延伸到互聯(lián)網、物聯(lián)網、可移動便攜設備等終端數(shù)據甚至云端，每一個數(shù)據源的出現(xiàn)都會成為潛在的受攻擊點；加之大數(shù)據與云計算、互聯(lián)網、物聯(lián)網等深度融合，致使數(shù)據安全風險大大提升。大數(shù)據安全體現(xiàn)出冪律分布的特點，若遭遇威脅，數(shù)據源頭分散的微小攻擊雖然頻繁但是單次攻擊的涉及面并不廣，而針對云端或擁有海量數(shù)據的大型企業(yè)的攻擊，僅僅一次就有可能造成難以估量的大范圍損失。信息技術的日新月異導致數(shù)據安全的威脅與日俱增并溢出其控制能力之外，該種安全威脅伴隨著迸發(fā)的不確定性，這種流動的充滿不確定性的數(shù)據體系極好地詮釋了大數(shù)據安全風險的高度或然性。此外，由于大數(shù)據的泛在性以及網絡的公開性和網絡節(jié)點的巨量性，攻擊者可以在任何時間對任意節(jié)點發(fā)起攻擊，數(shù)據安全的無序性致使人們難以在攻擊發(fā)動前進行預測，也無從在攻擊發(fā)生后徹底查明。

三、大數(shù)據時代數(shù)據安全的法律綜合保護

大數(shù)據時代開啟了一次重大的時代轉型，社會將經歷類似的地殼運動[17]9，219，法律也將與時俱進。關于信息和數(shù)據規(guī)范的立法*例如2009年2月28日頒布的《刑法修正案(七)》，2012年12月28日頒布的《全國人民代表大會常務委員會關于加強網絡信息保護的決定》，2013年1月21日公布的《征信業(yè)管理條例》，工業(yè)和信息化部于2013年7月16日出臺的《電信和互聯(lián)網用戶個人信息保護規(guī)定》，國家質量監(jiān)督檢驗檢疫總局、國家標準化管理委員會于2012年11月5日批準發(fā)布的《信息安全技術——公共及商用服務信息系統(tǒng)個人信息保護指南》，2013年10月25日第十二屆全國人民代表大會常務委員會第五次會議通過的《消費者權益保護法(修正案)》，國家衛(wèi)生和計劃生育委員會于2014年5月發(fā)布的《人口健康信息管理辦法(試行)》，2015年7月1日通過的《國家安全法》，2015年8月29日發(fā)布的《刑法修正案(九)》以及2015年11月11日國務院第111次常務會議通過的《地圖管理條例》等。，目前主要集中在個人信息保護領域，且都是零敲碎打式，位階總體不高?！毒W絡安全法》的出臺可謂是對大數(shù)據時代數(shù)據安全的有力回應。下文將以《網絡安全法》為視角，提出完善我國大數(shù)據安全保護的法律對策。

(一)建立關鍵基礎設施數(shù)據安全保護法律機制

隨著大數(shù)據戰(zhàn)略和“互聯(lián)網+”行動計劃的全面鋪開，我國關鍵基礎設施與大數(shù)據、互聯(lián)網的深度融合勢如破竹。關鍵基礎設施作為大數(shù)據賴以存續(xù)的載體，如若遭遇威脅，數(shù)據安全將面臨重大挑戰(zhàn)。我國《網絡安全法》第三十一條劃定了關鍵信息基礎設施的范圍，包括公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域，以及其他一旦遭到破壞、喪失功能或者數(shù)據泄露，可能嚴重危害國家安全、國計民生、公共利益的設施；并用一節(jié)的篇幅明確了關鍵信息基礎設施運行安全具體保護要求，分別從國家、行業(yè)、運營者三個維度劃定了相關各方的職責與義務。國家網信部門負責總的統(tǒng)籌協(xié)調工作，開展安全風險抽查檢測，定期組織網絡安全應急演練，推動相關主體之間共享網絡安全信息，并在網絡功能恢復以及應急處置方面給予協(xié)助和技術支持。關鍵領域和重要行業(yè)主管部門分別負責編制并組織實施本行業(yè)、本領域的關鍵信息基礎設施安全規(guī)劃，指導和監(jiān)督關鍵信息基礎設施運行安全保護工作。關鍵信息基礎設施的運營者除須履行網絡安全等級保護制度要求的安全保護義務，還應設置專門安全管理機構和安全管理負責人，對從業(yè)人員實施定期的網絡安全教育、技術培訓并進行相應的技能考核；制定應急預案并定期演練；對重要系統(tǒng)和數(shù)據庫進行容災備份；采購對國家安全可能造成影響的網絡產品和服務，應事先通過有關國家安全審查等。總而言之，這是我國首次在基本法律層面對關鍵信息基礎設施概念進行厘定，并提出相關規(guī)范要求?！毒W絡安全法》的上述規(guī)定，使我國在關鍵信息基礎設施安全保護領域實現(xiàn)質的飛躍。欣喜的同時，依然要清醒地意識到我國在關鍵基礎設施數(shù)據安全保護方面還有很長的路要走。我們要牢固樹立風險防范理念，建立以風險為中心的防控保護體系，對關鍵基礎設施具體范圍進行細化，列出關鍵基礎設施數(shù)據安全保護對象清單，建立首席安全官制度以及關鍵基礎設施數(shù)據安全測評制度，并進行脆弱性評估，以做好風險的事先預防；確立關鍵基礎設施數(shù)據安全監(jiān)測預警和信息通報制度，一旦發(fā)現(xiàn)風險，及時隔離，防止數(shù)據安全事件擴散；制定數(shù)據安全事件的分級標準，建立不同級別的應急處置機制，制定不同行業(yè)、領域各自的應急處置和恢復措施，設立事后總結報告制度等，爭取做到盡早發(fā)現(xiàn)風險，隔離風險，減小損失和應急恢復，盡最大可能保障關鍵基礎設施的持續(xù)運轉[18]162-165。故而，建議國務院盡快出臺《關鍵信息基礎設施保護條例》，細化有關數(shù)據安全、監(jiān)測預警、應急處置、監(jiān)督管理等方面的做法和規(guī)定；各地方人民政府應結合自身情況進一步制定本行政區(qū)域內的規(guī)劃和實施細則，并輔之以關鍵基礎設施數(shù)據安全保護的科學研究和技術隊伍建設、經費供給等相關配套保障制度。

(二)建立數(shù)據跨境流動監(jiān)管法律機制

大數(shù)據時代，數(shù)據跨境流動蓬勃發(fā)展，給數(shù)據安全帶來潛在威脅。受棱鏡門事件影響，數(shù)據本地化(Data localization)風潮席卷全球，俄羅斯、德國、巴西、韓國、印度等國家紛紛出臺相關政策或立法，限制數(shù)據跨境流動。在《網絡安全法》未出臺之前，我國僅在一些特定行業(yè)立法中有所涉及，例如《征信業(yè)管理條例》第二十四條規(guī)定，征信機構對在中國境內所采集信息的任何處理以及存儲均須在中國境內進行，如若向境外提供信息，須遵守我國相關規(guī)定；又如《地圖管理條例》第三十四條規(guī)定，互聯(lián)網地圖服務單位存放地圖數(shù)據的服務器必須設在我國境內，并要制定互聯(lián)網地圖數(shù)據安全管理制度和保障措施?！毒W絡安全法》的頒布，以法律的高度提升了我國對數(shù)據本地化的關切，體現(xiàn)了國家對數(shù)據跨境流動的應對思考。其第三十七條規(guī)定，關鍵信息基礎設施運營者在中國境內運營收集和產生的個人信息和重要數(shù)據應當在境內存儲，如需向境外提供，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估?？梢?，我國對數(shù)據跨境流動采取的是以境內存儲為原則，安全評估后向境外傳輸為例外，并不像有的國家那樣剛性禁止數(shù)據離境，例如俄羅斯要求公民的個人數(shù)據必須存儲在俄聯(lián)邦境內的服務器中，僅在執(zhí)法、行使國家機關和地方政府權力以及以達成國際協(xié)議為目的的行為情況下方可在俄境外的服務器上處理個人數(shù)據。我國《網絡安全法》的該條規(guī)定具有延展性，但仍存在不足：首先，限定范圍較窄且語詞模糊，數(shù)據留存主體僅為關鍵信息基礎設施運營者，留存內容僅為該主體在我國境內收集和產生的個人信息和重要數(shù)據，而何為重要數(shù)據語焉不詳；其次，監(jiān)管前提和方式單一，僅為事前監(jiān)管，且僅在業(yè)務需要跨境傳輸情況下才啟動，如因他國執(zhí)法需要不在此列，數(shù)據主權難以充分體現(xiàn)。此規(guī)定對于方興未艾的數(shù)據跨境流動而言遠遠不夠，我國應當完善數(shù)據本地化立法，加強數(shù)據跨境流動監(jiān)管。堅持數(shù)據主權原則，兼顧數(shù)據自由流動與安全保護，根據數(shù)據的不同類型、性質制定差異化規(guī)范。明確數(shù)據本地化范圍，分類規(guī)制跨境數(shù)據。對特定種類的敏感數(shù)據，如涉及社會公共利益和國家安全的數(shù)據必須境內存儲，嚴禁跨境傳輸；對商用數(shù)據進行安全評估后再行決定是否對外傳輸；個人數(shù)據境內留存，經數(shù)據主體同意后方能對外傳輸。此外，還要完善數(shù)據跨境流動監(jiān)管立法，將監(jiān)管貫穿于數(shù)據整個生命周期，并為數(shù)據跨境流動國際合作留下一定空間。設立專門的數(shù)據監(jiān)管機關，負責數(shù)據安全的風險評估，數(shù)據跨境傳輸?shù)牡怯?、審查許可、抽樣監(jiān)督檢查以及對違規(guī)行為的處罰和起訴，進行數(shù)據跨境傳輸?shù)膰H協(xié)調等；限定數(shù)據跨境傳輸?shù)臈l件，防止關鍵數(shù)據資源流失，阻止不良數(shù)據傳播；明確數(shù)據主體的權利與損害救濟途徑以及數(shù)據使用者的義務與責任。

(三)建立個人數(shù)據保護法律機制

關于個人數(shù)據安全的保護，我國至今尚未出臺獨立的《個人數(shù)據保護法》，僅是零散地規(guī)定在一些法律法規(guī)和部門規(guī)章以及規(guī)范性文件當中，例如2012年12月頒布的《全國人民代表大會常務委員會關于加強網絡信息保護的決定》*《全國人民代表大會常務委員會關于加強網絡信息保護的決定》規(guī)定國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息，并對網絡服務提供者和其他企業(yè)事業(yè)單位收集、使用公民個人電子信息做出原則性規(guī)定。，工信部于2013年7月出臺的《電信和互聯(lián)網用戶個人信息保護規(guī)定》*《電信和互聯(lián)網用戶個人信息保護規(guī)定》對用戶個人信息進行界定，并對電信業(yè)務經營者、互聯(lián)網信息服務提供者收集、使用信息的行為進行規(guī)范。，2013年10月通過的《消費者權益保護法(2013修正)》*《消費者權益保護法(2013修正)》第十四條規(guī)定，消費者在購買、使用商品和接受服務時，享有個人信息依法得到保護的權利；第二十九條規(guī)定，經營者應當依法收集、使用消費者個人信息，并采取必要措施確保該信息安全。，2015年8月發(fā)布的《刑法修正案(九)》*《刑法修正案(九)》將原來《刑法修正案(七)》中第二百五十三條之一即侵犯個人信息罪的主體范圍予以擴大，而不再局限于國家機關或者金融、電信、交通、教育、醫(yī)療等單位的工作人員，規(guī)定出售或者非法提供公民個人信息，情節(jié)嚴重的，屬于犯罪，并加大懲處力度。等，除此之外，也散見于其他法律規(guī)范之中。《網絡安全法》總結了上述立法的經驗做法，以基本法形式統(tǒng)一了個人信息的定義和范圍，建立健全了個人信息保護制度。該法在原來人大決定、工信部規(guī)定等基礎上，借鑒吸收國際上的有益經驗，確立了個人信息收集、使用的基本原則，即合法、正當、必要原則、目的限制原則、知情同意原則和安全保密原則等，并明確“不得收集與其提供的服務無關的個人信息”*具體參見《網絡安全法》第四十一條的規(guī)定。，厘清了收集個人信息的界限，為保護個人數(shù)據權利樹立邊界；“道高一尺，魔高一丈”，在個人信息數(shù)據泄露難以杜絕的情勢下，當發(fā)生或者可能發(fā)生個人信息泄露、毀損、丟失的情況時，要求網絡運營者及時履行告知義務，以使用戶知曉，增強用戶對相關安全行為的警惕性，同時報告有關主管部門，讓其第一時間了解實情，以便運籌帷幄。該法明晰了網絡運營商、關鍵信息基礎設施運營者、網絡產品、服務提供者等義務主體的責任，將責令改正、警告、罰款、暫停相關業(yè)務、停業(yè)整頓、關閉網站、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照等措施納入其中，彌補了先前立法中罰則不足的缺陷，增強了對個人數(shù)據權利侵害行為的威懾力。此外，《網絡安全法》還規(guī)范了相關網絡安全監(jiān)管部門的責權范圍，有助于在全社會形成保護個人數(shù)據安全的合力。

將個人數(shù)據保護納入《網絡安全法》之中，可謂一大亮點，該法的相關舉措雖有一定進步意義，但是在諸如知情同意原則方面的規(guī)定仍然無法逃脫傳統(tǒng)時代的窠臼?？傮w而言，《網絡安全法》對個人數(shù)據安全的保護畢竟張筋弩脈，出臺《個人數(shù)據保護法》尤為重要。《個人數(shù)據保護法》應尋求在保護個人數(shù)據安全基礎上，促進數(shù)據的合理流通，其并不是將個人數(shù)據藏匿于保險柜中，而是謀求一種動態(tài)的安全——在個人數(shù)據資源開發(fā)利用中的安全[19]10。賦予公民個人數(shù)據權，使其能夠控制和支配自身個人數(shù)據[20]27，以區(qū)別于傳統(tǒng)數(shù)據安全環(huán)境中的消極防御權。個人數(shù)據權是存在論的殼(The ontological shell),它確保了個人的不可侵犯性[21]10?！按髷?shù)據時代，很多數(shù)據在收集時并無意做他用，而最終卻產生很多創(chuàng)新性用途，大數(shù)據的價值更多源于它的二次利用”[18]162-165。知情同意和目的限制等原則已經力有未逮。我們應變革思維，增強風險導向意識，將個人數(shù)據安全風險評估貫穿整個數(shù)據生命周期，根據個人數(shù)據處理、利用的場景、目的及可能引發(fā)的風險程度施以義務和責任，強化對個人數(shù)據侵權行為的預防和救濟。此外，數(shù)據企業(yè)、機構還應承擔風險識別義務，在用戶可能發(fā)生數(shù)據安全風險時進行相關風險提示并及時采取措施，對個人數(shù)據給予全方位立體的保障。

(四)建立和完善數(shù)據犯罪法律制度

大數(shù)據時代，數(shù)據犯罪頻頻發(fā)生，給國家、社會和個人造成了極大的威脅和傷害?！毒W絡安全法》在總則中開宗明義地強調要依法懲治網絡違法犯罪活動，開展打擊網絡違法犯罪等方面的國際交流與合作；保護公民、法人和其他組織依法使用網絡的權利，保障網絡信息依法有序自由流動，旨在營造一個綠色、和諧、安全的網絡環(huán)境。在分則中，明令任何個人和組織不得從事侵入、干擾他人網絡、竊取網絡數(shù)據等危害網絡安全的行為以及為該行為提供程序、工具，技術支持等幫助；不得設立用于實施詐騙，傳授犯罪方法等違法犯罪活動的網站、通訊群組，不得利用網絡發(fā)布涉及實施詐騙等違法犯罪活動的信息，并規(guī)定相應的法律責任；對攻擊破壞我國關鍵信息基礎設施的境外組織和個人亦制定相應的制裁措施。上述舉措雖為營造良好的數(shù)據安全環(huán)境奠定了一定基礎，但為了應因大數(shù)據時代數(shù)據安全的新形勢以及時代變革發(fā)展的新訴求，以加大懲治力度，增強威懾力，完善我國《刑法》相關體系和規(guī)定仍然十分有必要。隨著信息技術的更新迭代，數(shù)據處理方式和途徑不斷演化，從過去信息系統(tǒng)的計算機運算演變?yōu)樵骗h(huán)境中的云資源計算，《刑法》第285條、286條所規(guī)制的信息系統(tǒng)犯罪在面對信息化浪潮的沖擊下已捉襟見肘。傳統(tǒng)刑法主要針對的是保護信息系統(tǒng)的完整性、安全性和可靠性，而大數(shù)據時代中云計算資源保護問題日益顯現(xiàn)，我國《刑法》在應對互聯(lián)網技術變革時要做出適度回應和調整。大數(shù)據時代，一般技術意義上的數(shù)據有可能轉化為具有價值的電磁記錄，“對刑法所保護的重要法益價值……，數(shù)據的意義體系在對數(shù)據對象的反映上，當數(shù)據的反映同質于信息的內容時，單純技術角度定義的數(shù)據便具有了現(xiàn)實意義”[15]114，是故，元數(shù)據的價值意義亦不能忽視，應當跳脫傳統(tǒng)的依附于計算機信息系統(tǒng)保護數(shù)據的思維桎梏，單獨增設以網絡數(shù)據為獨立犯罪對象的罪名。此立法思路早在歐洲理事會《網絡犯罪公約》(Cyber-crime Convention)*《網絡犯罪公約》第二章第四條規(guī)定了數(shù)據干擾行為(Data interference)，其包含任何無授權的故意毀損、刪除、破壞、修改或者隱藏數(shù)據的行為，與公約第二條針對非授權的故意侵入計算機系統(tǒng)的“非法訪問行為(Illegal access)”以及第五條針對妨礙計算機系統(tǒng)合法使用的“系統(tǒng)干擾行為(System interference)”獨立開來分別加以立法。以及《德國刑法典》*《德國刑法典》第202a條規(guī)定了“探知數(shù)據行為”，即非法為自己或他人探知不屬于自己的，為防止被他人非法獲得而作了特殊安全處理的數(shù)據的行為；并對“數(shù)據”一詞進行了界定，僅指以電子的磁性的或者其他不能直接提取的方法儲存或傳輸?shù)臄?shù)據。中均有體現(xiàn)，其將數(shù)據價值作為單獨的評判標準和法益進行保護。數(shù)據犯罪已成為世界上所有國家所要共同面對的新型犯罪，故而，此做法并不是我國標新立異。此外，為遏制高發(fā)的電信詐騙案件，須從源頭上完善侵犯公民個人數(shù)據犯罪的刑法規(guī)范才是根本。精細化地區(qū)分不同的個人數(shù)據類型，例如身份數(shù)據、行為數(shù)據，識別數(shù)據、認證數(shù)據、授權數(shù)據等，針對數(shù)據自身的特征、核心價值以及不同侵權手段和不同的數(shù)據處理階段衡量法益，設置相應的刑法條文?？偟恼f來，基于大數(shù)據時代數(shù)據安全所呈現(xiàn)的新特性，可確立“基本行為特征類型化模式+動態(tài)鏈條模式”的縱橫雙向模式的數(shù)據犯罪制裁思路，從橫向上，構建以個人數(shù)據犯罪和以國家秘密、情報等網絡重要數(shù)據犯罪為核心的制裁體系；從縱向上，分割數(shù)據犯罪鏈條和步驟，打擊犯罪預備行為的實行化，增加對數(shù)據處理階段的犯罪立法，實現(xiàn)對完整的數(shù)據動態(tài)過程的保護[22]25-28。一言蔽之，以獨立的數(shù)據視角建構合理可行、協(xié)調發(fā)展的刑法體系，不再囿于過去松散式碎片化信息立法的藩籬在大數(shù)據時代顯得尤為重要。任何事物均具有兩面性，大數(shù)據在給人們生活帶來便利的同時，也會被犯罪分子所利用而產生巨大隱患。其處于一個流動性的集成狀態(tài)而并非靜止與固化，數(shù)據安全風險潛藏在數(shù)據收集、數(shù)據處理、數(shù)據利用、數(shù)據存儲等階段當中，所產生的危險較傳統(tǒng)危險更為綜合和復雜，因此，應將保護或懲治提前，使責任刑法向預防刑法轉變。同時，對于數(shù)據犯罪，要考慮多方面因素制定處罰標準，而不是一刀切地適用統(tǒng)一標準從嚴處罰，必須涵蓋各方面、各層次的法益保護需求。

我國已成為泱泱網絡大國，黨中央對網絡安全異常重視，將其上升到國家安全戰(zhàn)略高度，其中數(shù)據安全更是成為國家安全重中之重。正如全球IT研究與顧問咨詢公司高納德(Gartner)所論斷的那樣：“大數(shù)據安全是一場必要的斗爭?！盵23]我國《網絡安全法》的出臺僅是萬里長征第一步。面對大數(shù)據時代數(shù)據安全的新形勢，我們必須要轉變思維，在國家總體安全觀的指導下，秉承發(fā)展與安全并重的原則，樹立多維立體的風險防控理念，堅持整體防護、動態(tài)防護、綜合防護，以深刻的眼光聚焦于技術背后的公民、社會和國家的利益，建立關鍵基礎設施數(shù)據安全保護法律機制，推進數(shù)據本地化立法，加強數(shù)據跨境流動監(jiān)管，構建個人數(shù)據保護法律機制，完善數(shù)據犯罪法律保護制度，加大對數(shù)據違法犯罪行為的打擊力度，筑牢大數(shù)據安全保障的法律防線。

[1] 2016年十大數(shù)據泄露事件：社交網絡成泄露重災區(qū)[EB/OL].[2016-12-09].http://www.raincent.com/content-10-8087-2.html.

[2] 雅虎自曝遭黑客攻擊超15億用戶賬號信息被盜[EB/OL].[2016-12-15].http://www.chinanews.com/gj/2016/12-15/8094535.shtml.

[3] 1Tbs！OVH遭遇史上最大DDOS攻擊[EB/OL].[2016-09-27].http://mt.sohu.com/20160927/n469328292.shtml.

[4] 極光行動[EB/OL].[2016-04-18].http://baike.baidu.com/link?url=R9fvv6IqituHYkwqyakaxSO9U_diDV V5a4-eiOFq-L3J_2XoXi3nj1fy6pJj0 L3YvihHa8vRQy QE_2jBQ__rcrRozpRExtHZN7NstWRgWsmxepuoD4D Sg8hfUmrkM2vJ.

[5] 索尼影視遭遇重大APT網絡攻擊大量商業(yè)機密遭泄露[EB/OL].[2014-12-10].http://www.doit.com.cn/p/224887.html.

[6] 吳世忠.大數(shù)據時代安全風險及政策選擇[EB/OL].[2013-08-14].http://www.71.cn/2013/0814/727984.shtml.

[7] 震網病毒[EB/OL].[2016-11-01].http://baike.baidu.com/link?url=WLuY79ejupdOhGd8xNpstrF9xfNI 7qpEQYeS1_o4lz1FnN54Yr5-FfTXZOc6fTSV20TDb Bu8-Mdc-Hc8nxlyBGMUrBqcXK2AoFGxXjU9gdMe 3YlLAMzok7fBZXUkSZr1.

[8] 胡若愚.德國一核電站“驚”染電腦病毒[EB/OL].[2016-04-28].http://news.xinhuanet.com/world/2016-04/28/c_128940554.htm.

[9] 網絡空間治理創(chuàng)新：2016全球網絡空間安全大事記(事件篇)[EB/OL].[2017-01-07].http://mp.weixin.qq.com/s/AXHJWPDwY0T9B3WJW40pOw.

[10] Mckinsey Global Institute. Digital Globalization: The New Era of Global Flow[R].March，2016.

[11] 劉雅輝，張鐵贏，靳小龍，等.大數(shù)據時代的個人隱私保護[J].計算機研究與發(fā)展，2015，52(1).

[12] 涂子沛.數(shù)據之巔[M]. 北京：中信出版社，2014.

[13] 齊愛民，盤佳.數(shù)據權、數(shù)據主權的確立與大數(shù)據保護的基本原則[J].蘇州大學學報(哲學社會科學版)，2015(1).

[14] 希拉里團隊電腦系統(tǒng)疑遭俄黑客攻擊 安全部門調查[EB/OL].[2016-08-01].http://www.chinanews.com/gj/2016/08-01/7957605.shtml.

[15] 于志剛，李源粒.大數(shù)據時代數(shù)據犯罪的制裁思路[J].中國社會科學，2014(10).

[16] 金華，陳平凡，等.云計算法律問題研究[M].北京：法律出版社，2012.

[17] 維克托·邁爾-舍恩伯格，肯尼思·庫克耶.大數(shù)據時代：生活、工作與思維的大變革[M].盛楊燕，周濤，譯.杭州：浙江人民出版社，2013.

[18] 王玥，馬民虎.“互聯(lián)網+”時代關鍵基礎設施信息安全法律保護研究[J].西北大學學報(哲學社會科學版)，2016(9).

[19] 齊愛民.個人信息開發(fā)利用與人格權保護之衡平[J].社會科學家，2007(3).

[20] 齊愛民，盤佳.大數(shù)據安全法律保障機制研究[J].重慶郵電大學學報(社會科學版)，2015(3).

[21] 盧風.人類增強與人權[J].廣西大學學報(哲學社會科學版)，2016(3).

[22] 于志剛，李源粒. 大數(shù)據時代數(shù)據犯罪的類型化與制裁思路[J].政治與法律，2016(9).

[23] 大數(shù)據安全是一場必要的斗爭[EB/OL].[2014-01-27].http://news.xinhuanet.com/info/2014-01/27/c_133077141.htm.

[責任編輯：秦衛(wèi)波]

On the Improvement of the Comprehensive Legal Protection of Data Secarity in the Big Data Era——From the View of Cyber Security Law

QI Ai-min

(School of Law，Guangxi University for Nationalities，Nanning 530006，China)

In the big data era，data security faces severe challenges，which presents some dynamic，comprehensive，integrity，the risk of highly probability and disorder characteristics. The promulgation of Cyber Security Law brings the spring of data security，but it is only the first step. To cope with the new situation of big data security，we must make innovation of thinking，persist in the principle of paying equal attention to development and safety，set up the multi-dimensional three-dimensional concept of risk prevention and control，perfect the legislation of critical infrastructure data security，promote the legislation of data localization,strengthen the supervision of cross-border data flows，make personal data protection law and perfect the criminal law rules.

Big Data；Data Security；Data Protection；Cyber Security Law；Perfect Legislation

10.16164/j.cnki.22-1062/c.2017.04.019

2017-03-24

中國法學會2016年度部級法學研究課題(CLS[2016]A01)。

齊愛民( 1970-)，男，河北晉州人，廣西民族大學法學院教授，博士生導師，廣西民族大學廣西知識產權發(fā)展研究院院長，重慶市協(xié)同創(chuàng)新知識產權研究中心主任。

D922.8

A

1001-6201(2017)04-0108-07