富煜
隨全球“大數(shù)據(jù)”技術和應用的發(fā)展,我國也躋身該時代潮流。國務院早于2015年發(fā)布《促進大數(shù)據(jù)發(fā)展行動綱要》,將大數(shù)據(jù)發(fā)展確立為國家戰(zhàn)略。各地紛紛建立大數(shù)據(jù)交易所以及人工智能的快速發(fā)展顯示了大數(shù)據(jù)的重要性。與此同時,頻頻爆出的數(shù)據(jù)泄露、數(shù)據(jù)“裸奔”等數(shù)據(jù)安全事件更凸顯了大數(shù)據(jù)交易信息安全的重要性。本文將探討大數(shù)據(jù)交易信息安全問題的法律規(guī)制。
一、大數(shù)據(jù)和大數(shù)據(jù)交易
大數(shù)據(jù)又稱“巨量資料”,其特點可以用“4V”概括,即Volume(大量)、Velocity(高速)、Variety(多樣)、Value(價值)?!按髷?shù)據(jù)”這個詞的概念較模糊,沒有一個精確的定義,但是在日常生活中卻很常見。例如“智慧城市”就是運用信息和通信技術手段感測、分析、整合城市運行核心系統(tǒng)的各項關鍵信息,從而對包括民生、環(huán)保、公共安全、城市服務、工商業(yè)活動在內的各種需求做出智能響應。[1]手機淘寶中的“猜你喜歡”也是通過對用戶個人信息收集,將數(shù)據(jù)傳送到后臺進行處理分析,不斷推送出你感興趣的商品……
而大數(shù)據(jù)交易則是將數(shù)據(jù)本身視為一種可買賣的資源,將對數(shù)據(jù)的挖掘能力視為一種核心競爭力,從而在大數(shù)據(jù)交易市場中進行交易活動。例如我國成立的第一家以大數(shù)據(jù)命名的交易所——貴陽大數(shù)據(jù)交易所,這是一個面向全國提供數(shù)據(jù)交易服務的創(chuàng)新型交易場所, 以“開放、規(guī)范、安全、可控”為原則,采用“政府指導,社會參與、市場化運作”的模式,旨在促進數(shù)據(jù)流通,規(guī)范數(shù)據(jù)交易行為,維護數(shù)據(jù)交易市場秩序,保護數(shù)據(jù)交易各方合法權益,向社會提供完整的數(shù)據(jù)交易、結算、交付、安全保障、數(shù)據(jù)資產管理和融資等綜合配套服務。[2]
二、大數(shù)據(jù)交易面臨的信息安全問題
1.大數(shù)據(jù)交易主體中的信息安全問題
大數(shù)據(jù)交易的主體主要分為三類:大數(shù)據(jù)交易平臺、大數(shù)據(jù)買方、大數(shù)據(jù)賣方。貴陽大數(shù)據(jù)交易所禁止個人購買交易所的數(shù)據(jù),同時在監(jiān)管不健全的情況下,外資數(shù)據(jù)買方購買數(shù)據(jù)之前需要進行資格審查。但大部分大數(shù)據(jù)交易平臺為了增加交易次數(shù)是允許自然人作為交易主體進行交易的,交易面更加廣泛可能會導致信息泄露較為嚴重,在信息安全保護方面存在重大隱患。
2.大數(shù)據(jù)交易客體中的信息安全問題
大數(shù)據(jù)交易的客體主要包含經過處理的大數(shù)據(jù)產品,處理包括“預處理”和“數(shù)據(jù)脫敏”?!邦A處理”就是在主要的處理過程以前對數(shù)據(jù)進行清洗,例如將出生日期與年齡不符、冗余等無效信息處理掉,以提高下一步處理信息的效率;“數(shù)據(jù)脫敏”又稱“信息去隱私化”,就是對某些敏感信息通過脫敏規(guī)則進行數(shù)據(jù)的變形,實現(xiàn)敏感隱私數(shù)據(jù)的可靠保護[3],如將身份證號、手機號、銀行卡號、家庭住址等個人信息進行一定的隨機處理,以隱去某些信息,保證數(shù)據(jù)的隱私性。按照脫敏規(guī)則,可以將數(shù)據(jù)脫敏分為“可恢復性脫敏”和“不可恢復性脫敏”:“可恢復性脫敏”就是數(shù)據(jù)經過脫敏規(guī)則的轉化后,還可以經過某些處理還原出原有數(shù)據(jù);“不可恢復性脫敏”就是數(shù)據(jù)經過不可恢復性脫敏之后,將無法還原出原有數(shù)據(jù)。如果大數(shù)據(jù)交易采用可恢復性脫敏則無法保證數(shù)據(jù)的安全性,因此采用不可恢復性脫敏更加合理。但是采取了不可恢復性脫敏技術,個人信息就真的安全了嗎?倡導社交文化的企業(yè)Salesforce.com推薦首先利用從Facebook、Twitter等上面的應用獲取的信息,建立客戶的社交化檔案,掌握他們的整體形象,從而對人們的追求和期望做出精確的理解。但基本上這里所利用的都是用戶自己在網上公開發(fā)布的信息,且由于Facebook等服務是推薦實名注冊的,因此以這些服務為中心來收集信息,再和客戶的真實姓名進行關聯(lián),就可以刻畫出包括興趣愛好在內的人物特征。[4]因此即使采取了不可恢復性脫敏技術,還是有可能通過相關信息的整合刻畫出人物形象,侵犯個人隱私。
3.大數(shù)據(jù)交易模式中的信息安全問題
大數(shù)據(jù)交易的模式主要分為三類:在線數(shù)據(jù)交易、離線數(shù)據(jù)交易和托管數(shù)據(jù)交易。在線數(shù)據(jù)交易以數(shù)據(jù)調用接口的形式,由賣方向買方提供數(shù)據(jù)拷貝進行數(shù)據(jù)交易,服務平臺本身不存儲數(shù)據(jù)(僅對數(shù)據(jù)進行必要的實時脫敏、清洗、審核和安全測試),而是作為交易渠道為各類用戶提供數(shù)據(jù)服務,實現(xiàn)交易流程管理,數(shù)據(jù)存在不合法、不合規(guī)的安全風險,由于接口不安全、訪問控制設置不合理、數(shù)據(jù)拷貝未加密也會導致交易過程存在數(shù)據(jù)泄露、非法訪問、傳輸?shù)劝踩L險;離線數(shù)據(jù)交易中賣方將數(shù)據(jù)拷貝到交易平臺,由交易平臺轉移給買方而交易,主要存在非法竊取、泄露、篡改等安全風險;托管數(shù)據(jù)交易中賣方將數(shù)據(jù)拷貝至交易平臺,買方在交易平臺提供的環(huán)境內使用數(shù)據(jù),而原始數(shù)據(jù)不發(fā)生轉移,由于需要經相關數(shù)據(jù)負責人的批準,辦理復制登記手續(xù)和復制,因此主要存在用戶進行非授權操作的風險。[5]
三、大數(shù)據(jù)交易的信息安全問題的法律規(guī)制
從以上分析可以看出,收集、儲存、管理以及交易等各環(huán)節(jié)都存在信息安全問題。因此在大數(shù)據(jù)時代之下,信息安全必須被高度重視。
1.數(shù)據(jù)安全
今天提到數(shù)據(jù)安全時,應當包括三方面的內容,即:防竊取、防濫用、防誤用。[6]首先,通過在計算機上下載安裝殺毒軟件,可以對計算機中儲存的文件進行定期的掃描以及殺毒,并及時對病毒庫進行更新和修補,從而達到防竊取的要求。其次,為了確保網絡安全控制能夠真正得以實現(xiàn),必須對海量數(shù)據(jù)進行加密處理,這樣就可以將數(shù)據(jù)轉化為密文,從而有效地保證加密后的信息在其傳播過程中得到保護,即使發(fā)生數(shù)據(jù)被竊取的情況,非授權人員也不能查看這些被加密的數(shù)據(jù),即使是授權人員也無法查看加密前的原數(shù)據(jù),以避免數(shù)據(jù)被誤用、濫用。為了保證數(shù)據(jù)存儲的安全性和穩(wěn)定性,相關的技術人員必須針對各種數(shù)據(jù)所獨有的特點及類型來完成網絡信息數(shù)據(jù)的安全傳播。
2.個人隱私安全
在大數(shù)據(jù)背景下個人很難保護自己的隱私不被泄露,故需通過信息安全技術、企業(yè)自律、市場監(jiān)管保護個人隱私安全,提升個人隱私保護意識,并建立全面的法律體系,從而全方位保護用戶個人隱私安全不受非法侵害。
在大數(shù)據(jù)環(huán)境之下,必須有較強的技術和完善的法律制度,才能為人們提供切實有效的依據(jù)和強有力的保障,讓個人隱私得到更好的保護。目前,我國已有相關法律、法規(guī)規(guī)定了網絡個人信息安全的保護,例如《中華人民共和國網絡安全法》中規(guī)定了數(shù)據(jù)收集時應當明確收集的相關事項、審慎評估第三方應用收集數(shù)據(jù),并制定網絡應急預案;《中華人民共和國民法總則》第一百一十一條規(guī)定了自然人的個人信息受法律保護;《中華人民共和國刑法》第二百五十條規(guī)定了“侵犯公民個人信息罪”……除此之外,我國還在個人信息安全方面已經著手開展標準建設,例如《個人信息安全規(guī)范》(GB/T 35273-2017)中定義了個人信息和個人敏感信息的定義、范疇、使用規(guī)范、共享及披露等細節(jié);《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》規(guī)定個人敏感信息在收集和利用之前,必須首先獲得個人信息主體明確授權,用戶可以自行決定是否對外發(fā)布信息、發(fā)布哪些信息,用戶對自己的信息具有一定的可控制性。但是在這個信息高速發(fā)展的時代,缺乏綜合性網絡信息安全基本法,還缺失非法行為的處罰規(guī)定,因此還需進一步建設和完善相應的法律體系,增強法律法規(guī)的系統(tǒng)性來推動大數(shù)據(jù)環(huán)境下個人隱私保護。
根據(jù)公安部網站數(shù)據(jù),僅在2016年4至6月的打擊整治網絡侵犯公民個人信息犯罪專項行動中,全國公安機關就累計查破刑事案件750余起,繳獲信息230億條?,F(xiàn)如今因信息泄露導致的各類犯罪數(shù)量呈直線式上漲,但是報案人數(shù)與泄露信息數(shù)量完全不成正比,我認為一方面是公民沒有重視信息泄露這件事情可能會造成的嚴重后果,另一方面是立案難、破案難。我國民法中舉證規(guī)則是“誰主張,誰舉證”,但是公民個人與大數(shù)據(jù)時代中的數(shù)據(jù)交易主體明顯不處于同一天平,公民很難舉證究竟是誰泄露了自己的個人信息,故我認為對于此類案件可適用“舉證責任倒置”,強化數(shù)據(jù)持有主體的責任。相關機關、部門也應加大查處侵犯公民個人信息非法行為力度。這樣不僅更有利于保護公民個人的私權利,也為交易平臺、各個可以搜集個人信息的企業(yè)等主體作出警示,起到預防作用。
四、結語
大數(shù)據(jù)的交易及應用給我們帶來便捷、智能生活的同時,其信息安全問題也必須引起個人、社會、企業(yè)的高度重視。筆者建議從提高大數(shù)據(jù)交易的信息安全技術、完善大數(shù)據(jù)交易信息安全法律、提升個人隱私安全意識、強化數(shù)據(jù)持有主體的責任、加大侵犯公民個人信息非法行為的查處力度等等多個途徑,多管齊下,構建綜合信息安全保護之網。
參考文獻:
[1]智慧城市.360百科https://baike.so.com/doc/3430033-3609895.html
[2]貴陽大數(shù)據(jù)交易所.百度百科https://baike.baidu.com/item/,貴陽大數(shù)據(jù)交易所
[3]數(shù)據(jù)脫敏.百度百科.https://baike.baidu.com/item/,數(shù)據(jù)脫敏
[4](日)城田真琴著.周自恒譯.大數(shù)據(jù)的沖擊.北京:人民郵電出版社,2013
[5]李怡、楊帆、安克萬-.《網絡安全技術與應用》,2017年10期
[6]杜躍進.《大數(shù)據(jù)時代的數(shù)據(jù)安全》.中國信息化周報,2018年12月3日第013版
指導老師:
付霞,法學碩士,武昌首義學院講師,研究方向為信息安全法律、知識產權法。