论大数据时代数据安全法律综合保护的完善
——以《网络安全法》为视角
2017-04-12
齐 爱 民
(广西民族大学 法学院,广西 南宁 530006)
论大数据时代数据安全法律综合保护的完善
——以《网络安全法》为视角
齐 爱 民
(广西民族大学 法学院,广西 南宁 530006)
大数据时代,数据安全面临严峻挑战,呈现出动态性、综合性、整体性、风险的高度或然性和无序性等特点。《网络安全法》的颁布迎来了数据安全的春天,这仅是万里长征第一步。为充分应对大数据安全的新形势,须变革思维,秉承发展与安全并重的原则,树立多维立体的风险防控理念,建立关键基础设施数据安全保护法律机制,推进数据本地化立法,加强数据跨境流动监管,建立个人数据保护法律机制,加紧制定《个人数据保护法》,完善数据犯罪法律保护制度,加大对数据违法犯罪行为的打击力度。
大数据;数据安全;数据保护;《网络安全法》;立法完善
随着信息技术的不断进步,海量数据如潮水般扑面而来,人类开始大步踏入大数据时代。这个堪比石油、黄金的大数据,已成为社会重要财富和国家基础性战略资源。其安全问题不容小觑,如何采取法律措施保障大数据安全问题是我们当前亟待解决的重要课题。2016年11月17日,《中华人民共和国网络安全法》(以下简称《网络安全法》)颁布,可谓迎来了数据安全的春天。虽然该部法律以“网络安全”命名,但数据安全构成其重要组成部分。本文以《网络安全法》为视角探讨大数据时代数据安全的法律保护,以期对大数据产业的发展以及国家的和谐稳定有所裨益。
一、大数据时代数据安全面临的新挑战
大数据体量巨大,类型繁多,半结构化、非结构化数据等大量涌现且成为主流,其复杂性使得数据安全所面临的威胁和挑战随着数据规模非线性增长。
(一)黑客攻击成为大数据安全的重大隐患
大数据来源广泛,个人、企业、移动智能终端、传感器、可穿戴设备等每天都产生大量数据,这些海量数据具有无限潜在价值;特别是随着数据急剧聚合所形成规模化数据平台或中心的出现,使得大数据对黑客而言诱惑力更大,极易成为攻击对象。2016年1月,媒体与娱乐界巨头美国时代华纳公司(Time Warner Inc.)公开表示旗下近32万用户邮件和密码数据被黑客窃取;全球最大的职业社交网站领英(LinkedIn)于同年5月证实,超过1.67亿个领英用户登录数据(如电子邮件、用户密码等) 被黑客组织窃取并在黑市公开售卖[1];同年12月,雅虎自曝遭黑客攻击,超过15亿用户的账户数据被盗,涉及用户名、电子邮件地址、电话号码、出生日期、加密或未加密的安全问题和答案等[2],这可能是单一网站史上规模最大的数据泄露事件。以上仅是冰山之一角,但可以窥见黑客们对大数据的情有独钟,数据安全问题日益突出。
(二)多样化攻击技术的应用
大数据时代,黑客常常利用大数据技术发动攻击,攻击方式日趋多元,攻击类型日趋复杂,攻击也更精准。黑客可最大限度地收集一切有用数据为攻击做好准备,进而利用大数据技术操纵僵尸网络(Botnet)中的众多傀儡机同时发起攻击。例如,2016年9月,法国一家拥有分布在16个国家共计超过70万用户的网站托管服务公司OVH遭遇超大型分布式拒绝服务(Distributed Denial of Service,DDoS)攻击,攻击者利用感染僵尸程序的145 607个摄像头形成僵尸网络实施攻击,服务器被攻击的峰值达到了每秒1 Tb[3]。此外,大数据也往往被当作高级可持续威胁(Advanced Persistent Threat,APT)的载体,威胁代码隐藏在浩瀚的数据洪流当中,让受害者无从察觉,即使发现,也如大海捞针般难以查找到风险点。例如著名的APT攻击“极光行动”(Operation Aurora),攻击者对谷歌公司(Google Inc.)所用浏览器的漏洞代码进行加密变形,并使用不同的免费二级域名作为跳板远程控制木马发动攻击,导致整个Google网络被多个变种恶意代码渗透数个月,造成各种系统的数据被窃取[4]。无独有偶,索尼影视娱乐公司(Sony Pictures Entertainment)也遭遇重大APT网络攻击,大量商业机密被泄露[5]。
(三)关键基础设施成为攻击对象
“大数据堪称智能交通、智能电网、智慧城市等国民经济运行和社会发展高度依赖的信息基础设施‘血液’,这些重要的信息系统、基础设施网络化智能化程度越高,安全也就越脆弱;速度越快,风险也就越大。”[6]近年来,针对关键基础设施的攻击愈来愈频繁,数据安全面临极大考验。例如震惊世界的“震网”(Stuxnet)病毒,作为全球首个定向攻击基础设施的网络“超级破坏性武器”,该高端蠕虫病毒已经感染全球逾 45 000个网络,其中伊朗核电站遭到的攻击最为严重,所受影响已无法简单用经济损失来衡量[7]。德国RWE电力集团旗下核电站在2016年4月的安全检测中亦发现计算机系统感染病毒,发电厂被迫关闭[8]。同年10月21日,美国域名服务器管理服务供应商Dyn遭遇网络攻击,攻击者利用恶意程序劫持海量物联网设备资源,进而反向攻击关键信息基础设施——域名系统,导致Twitter、Netflix、亚马逊等知名网站在美国东海岸集体宕机超过两个小时[9]。《网络空间安全蓝皮书:中国网络空间安全发展报告(2016)》指出,境外黑客组织“海莲花”(Ocean Lotus) 一直以来针对我国重要信息系统和关键基础设施进行APT攻击,数据安全态势严峻。
(四)数据非法跨境流动威胁数据主权
据麦肯锡研究院报告显示,数据流动在十几年前还很少见,而如今数据跨境流动激增,正在改变全球化的动态发展进程[10]1。随着云计算、大数据时代的接踵而至,数据跨境流动已成常态化,范围愈来愈广,规模愈来愈大,内容愈来愈多,造成的影响也愈来愈深远。数据的跨境流动不仅会削弱数据主体对自身数据的控制权,难以保护自身合法权益,国家关键数据资源的流失还会危及一国数据主权。此外,原始数据从发展中国家流向发达国家,经由这些国家处理、分析后又反馈回输出国,造成发展中国家对发达国家数据产品的依赖,从而造成数据主权的丧失,直接导致一国的经济、文化状况等易被发达国家所掌握,从而影响该国在经贸往来和国际交往中的话语权以及文化发展自主权。
(五)大数据核心个人数据成为侵犯重点
大数据的“原材料”中大部分来自于人和传感器,包括用户上网购物、搜索并浏览网站留下的数据印迹、微博、微信等社交工具中的评论、传感器数据、监视数据等等。这些 碎片化数据若经过技术处理可形成完整的“人格拼图”,使人们无所遁形。大数据时代,人们变得越来越透明,而数据的权利界限却越发模糊,个人数据成为侵权的重灾区。许多企业、组织或个人基于大数据价值的驱动,过度收集、肆意处理并不加限制地使用和发布个人数据,还有相当多大企业之间或企业与第三方之间“共享”用户数据[11]230,导致个人数据的“暴露面”无限扩大,严重侵犯公民个人数据权。近年来愈演愈烈的电信诈骗案背后凸显的就是个人数据安全问题。
二、大数据时代数据安全的特点
大数据时代是一个最好的时代,也是一个最坏的时代。在这个时代,大数据把网络空间与现实社会紧密地联结在一起,给人类生产和生活带来极大便利的同时,也将传统安全问题与非传统安全问题糅杂为一体,使数据安全以一个全新姿态跃然而出。
(一)大数据安全的动态性
大数据本身并不是一个静态的概念,其处于实时高速流动之中,相应的,大数据安全也处于一个动态过程,其中涉及数据的收集、处理、存储等各个环节的安全以及数据处理平台的安全等。从个人数据安全问题就可见一斑。传统安全语境中,个人数据处于一种分散、孤立的静止状态,单一地考量某些个人数据可能无法关联到公民个人,而大数据具有数量和范围的无限性以及动态挖掘的可能性,那些在过去看似无用的碎片数据在汇集、处理之后有可能识别出公民个人身份甚至还原出其完整的人格原貌。此外,大数据时代,数据安全的威胁来源和攻击手段亦处在不断变化之中,传统的数据安全保护措施已无法满足现代形势的发展要求。
(二)大数据安全的综合性
大数据时代,数据之所以大,主要在于人类记录范围的不断扩大[12]258。源于此“大记录”,大数据之上承载了人格、财产、社会安全、国家安全等不同性质的利益[13]69,数据安全问题也已远远超出技术安全、系统保护的范畴,发展成为涉及政治、经济、文化、社会、军事等领域的综合安全。例如, 2016年美国大选之季,民主党全国委员会、筹款委员会、总统候选人希拉里竞选团队的计算机网络接连被黑客攻击[14],近2万封邮件被披露,该“邮件门”事件折射出数据安全已向政治领域渗透。又如,在军事领域,国防建设数据、军事数据等的窃密将直接威胁国家军事安全;现代数据化战争的决胜关键已不是消灭敌人有生力量的多少,而是能否在大数据这个无硝烟的战场之上首先抢占制数据权[15]110。在经济领域,雅虎自2016年12月14日曝出用户数据被窃之后,公司股票在当天下午盘后交易中下跌2.5%,其将被美国电信巨头威瑞森(Verizon)以48亿美元价格收购的计划也将搁浅[2]。
(三)大数据安全的整体性
随着技术的更迭,大数据与互联网、云计算、基础设施等融合为深度关联、相互依赖的整体,在这个生态空间中,数据安全问题可谓牵一发而动全身。以云计算为例,云计算是一种独立而灵活的计算资源获取平台和数据处理模式[16]70,如果没有云计算这条高速公路的支撑,大数据这辆汽车就只能停留在“价值可能性”的状态,毫无用武之地。云计算中数据采用分布式存储,具体存储位置不断变化,这种存储的分散性和多变性导致用户数据安全面临一系列潜在威胁[16]71-72。此外,以云计算架构平台为目标的攻击,致使其上的大数据资源也被牵连其中。 可见,大数据安全远非局部问题这么简单,已上升为全局性战略问题。
(四)大数据安全风险的高度或然性与无序性
大数据时代,数据安全从计算数据延伸到互联网、物联网、可移动便携设备等终端数据甚至云端,每一个数据源的出现都会成为潜在的受攻击点;加之大数据与云计算、互联网、物联网等深度融合,致使数据安全风险大大提升。大数据安全体现出幂律分布的特点,若遭遇威胁,数据源头分散的微小攻击虽然频繁但是单次攻击的涉及面并不广,而针对云端或拥有海量数据的大型企业的攻击,仅仅一次就有可能造成难以估量的大范围损失。信息技术的日新月异导致数据安全的威胁与日俱增并溢出其控制能力之外,该种安全威胁伴随着迸发的不确定性,这种流动的充满不确定性的数据体系极好地诠释了大数据安全风险的高度或然性。此外,由于大数据的泛在性以及网络的公开性和网络节点的巨量性,攻击者可以在任何时间对任意节点发起攻击,数据安全的无序性致使人们难以在攻击发动前进行预测,也无从在攻击发生后彻底查明。
三、大数据时代数据安全的法律综合保护
大数据时代开启了一次重大的时代转型,社会将经历类似的地壳运动[17]9,219,法律也将与时俱进。关于信息和数据规范的立法*例如2009年2月28日颁布的《刑法修正案(七)》,2012年12月28日颁布的《全国人民代表大会常务委员会关于加强网络信息保护的决定》,2013年1月21日公布的《征信业管理条例》,工业和信息化部于2013年7月16日出台的《电信和互联网用户个人信息保护规定》,国家质量监督检验检疫总局、国家标准化管理委员会于2012年11月5日批准发布的《信息安全技术——公共及商用服务信息系统个人信息保护指南》,2013年10月25日第十二届全国人民代表大会常务委员会第五次会议通过的《消费者权益保护法(修正案)》,国家卫生和计划生育委员会于2014年5月发布的《人口健康信息管理办法(试行)》,2015年7月1日通过的《国家安全法》,2015年8月29日发布的《刑法修正案(九)》以及2015年11月11日国务院第111次常务会议通过的《地图管理条例》等。,目前主要集中在个人信息保护领域,且都是零敲碎打式,位阶总体不高。《网络安全法》的出台可谓是对大数据时代数据安全的有力回应。下文将以《网络安全法》为视角,提出完善我国大数据安全保护的法律对策。
(一)建立关键基础设施数据安全保护法律机制
随着大数据战略和“互联网+”行动计划的全面铺开,我国关键基础设施与大数据、互联网的深度融合势如破竹。关键基础设施作为大数据赖以存续的载体,如若遭遇威胁,数据安全将面临重大挑战。我国《网络安全法》第三十一条划定了关键信息基础设施的范围,包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的设施;并用一节的篇幅明确了关键信息基础设施运行安全具体保护要求,分别从国家、行业、运营者三个维度划定了相关各方的职责与义务。国家网信部门负责总的统筹协调工作,开展安全风险抽查检测,定期组织网络安全应急演练,推动相关主体之间共享网络安全信息,并在网络功能恢复以及应急处置方面给予协助和技术支持。关键领域和重要行业主管部门分别负责编制并组织实施本行业、本领域的关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全保护工作。关键信息基础设施的运营者除须履行网络安全等级保护制度要求的安全保护义务,还应设置专门安全管理机构和安全管理负责人,对从业人员实施定期的网络安全教育、技术培训并进行相应的技能考核;制定应急预案并定期演练;对重要系统和数据库进行容灾备份;采购对国家安全可能造成影响的网络产品和服务,应事先通过有关国家安全审查等。总而言之,这是我国首次在基本法律层面对关键信息基础设施概念进行厘定,并提出相关规范要求。《网络安全法》的上述规定,使我国在关键信息基础设施安全保护领域实现质的飞跃。欣喜的同时,依然要清醒地意识到我国在关键基础设施数据安全保护方面还有很长的路要走。我们要牢固树立风险防范理念,建立以风险为中心的防控保护体系,对关键基础设施具体范围进行细化,列出关键基础设施数据安全保护对象清单,建立首席安全官制度以及关键基础设施数据安全测评制度,并进行脆弱性评估,以做好风险的事先预防;确立关键基础设施数据安全监测预警和信息通报制度,一旦发现风险,及时隔离,防止数据安全事件扩散;制定数据安全事件的分级标准,建立不同级别的应急处置机制,制定不同行业、领域各自的应急处置和恢复措施,设立事后总结报告制度等,争取做到尽早发现风险,隔离风险,减小损失和应急恢复,尽最大可能保障关键基础设施的持续运转[18]162-165。故而,建议国务院尽快出台《关键信息基础设施保护条例》,细化有关数据安全、监测预警、应急处置、监督管理等方面的做法和规定;各地方人民政府应结合自身情况进一步制定本行政区域内的规划和实施细则,并辅之以关键基础设施数据安全保护的科学研究和技术队伍建设、经费供给等相关配套保障制度。
(二)建立数据跨境流动监管法律机制
大数据时代,数据跨境流动蓬勃发展,给数据安全带来潜在威胁。受棱镜门事件影响,数据本地化(Data localization)风潮席卷全球,俄罗斯、德国、巴西、韩国、印度等国家纷纷出台相关政策或立法,限制数据跨境流动。在《网络安全法》未出台之前,我国仅在一些特定行业立法中有所涉及,例如《征信业管理条例》第二十四条规定,征信机构对在中国境内所采集信息的任何处理以及存储均须在中国境内进行,如若向境外提供信息,须遵守我国相关规定;又如《地图管理条例》第三十四条规定,互联网地图服务单位存放地图数据的服务器必须设在我国境内,并要制定互联网地图数据安全管理制度和保障措施。《网络安全法》的颁布,以法律的高度提升了我国对数据本地化的关切,体现了国家对数据跨境流动的应对思考。其第三十七条规定,关键信息基础设施运营者在中国境内运营收集和产生的个人信息和重要数据应当在境内存储,如需向境外提供,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。可见,我国对数据跨境流动采取的是以境内存储为原则,安全评估后向境外传输为例外,并不像有的国家那样刚性禁止数据离境,例如俄罗斯要求公民的个人数据必须存储在俄联邦境内的服务器中,仅在执法、行使国家机关和地方政府权力以及以达成国际协议为目的的行为情况下方可在俄境外的服务器上处理个人数据。我国《网络安全法》的该条规定具有延展性,但仍存在不足:首先,限定范围较窄且语词模糊,数据留存主体仅为关键信息基础设施运营者,留存内容仅为该主体在我国境内收集和产生的个人信息和重要数据,而何为重要数据语焉不详;其次,监管前提和方式单一,仅为事前监管,且仅在业务需要跨境传输情况下才启动,如因他国执法需要不在此列,数据主权难以充分体现。此规定对于方兴未艾的数据跨境流动而言远远不够,我国应当完善数据本地化立法,加强数据跨境流动监管。坚持数据主权原则,兼顾数据自由流动与安全保护,根据数据的不同类型、性质制定差异化规范。明确数据本地化范围,分类规制跨境数据。对特定种类的敏感数据,如涉及社会公共利益和国家安全的数据必须境内存储,严禁跨境传输;对商用数据进行安全评估后再行决定是否对外传输;个人数据境内留存,经数据主体同意后方能对外传输。此外,还要完善数据跨境流动监管立法,将监管贯穿于数据整个生命周期,并为数据跨境流动国际合作留下一定空间。设立专门的数据监管机关,负责数据安全的风险评估,数据跨境传输的登记、审查许可、抽样监督检查以及对违规行为的处罚和起诉,进行数据跨境传输的国际协调等;限定数据跨境传输的条件,防止关键数据资源流失,阻止不良数据传播;明确数据主体的权利与损害救济途径以及数据使用者的义务与责任。
(三)建立个人数据保护法律机制
关于个人数据安全的保护,我国至今尚未出台独立的《个人数据保护法》,仅是零散地规定在一些法律法规和部门规章以及规范性文件当中,例如2012年12月颁布的《全国人民代表大会常务委员会关于加强网络信息保护的决定》*《全国人民代表大会常务委员会关于加强网络信息保护的决定》规定国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息,并对网络服务提供者和其他企业事业单位收集、使用公民个人电子信息做出原则性规定。,工信部于2013年7月出台的《电信和互联网用户个人信息保护规定》*《电信和互联网用户个人信息保护规定》对用户个人信息进行界定,并对电信业务经营者、互联网信息服务提供者收集、使用信息的行为进行规范。,2013年10月通过的《消费者权益保护法(2013修正)》*《消费者权益保护法(2013修正)》第十四条规定,消费者在购买、使用商品和接受服务时,享有个人信息依法得到保护的权利;第二十九条规定,经营者应当依法收集、使用消费者个人信息,并采取必要措施确保该信息安全。,2015年8月发布的《刑法修正案(九)》*《刑法修正案(九)》将原来《刑法修正案(七)》中第二百五十三条之一即侵犯个人信息罪的主体范围予以扩大,而不再局限于国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,规定出售或者非法提供公民个人信息,情节严重的,属于犯罪,并加大惩处力度。等,除此之外,也散见于其他法律规范之中。《网络安全法》总结了上述立法的经验做法,以基本法形式统一了个人信息的定义和范围,建立健全了个人信息保护制度。该法在原来人大决定、工信部规定等基础上,借鉴吸收国际上的有益经验,确立了个人信息收集、使用的基本原则,即合法、正当、必要原则、目的限制原则、知情同意原则和安全保密原则等,并明确“不得收集与其提供的服务无关的个人信息”*具体参见《网络安全法》第四十一条的规定。,厘清了收集个人信息的界限,为保护个人数据权利树立边界;“道高一尺,魔高一丈”,在个人信息数据泄露难以杜绝的情势下,当发生或者可能发生个人信息泄露、毁损、丢失的情况时,要求网络运营者及时履行告知义务,以使用户知晓,增强用户对相关安全行为的警惕性,同时报告有关主管部门,让其第一时间了解实情,以便运筹帷幄。该法明晰了网络运营商、关键信息基础设施运营者、网络产品、服务提供者等义务主体的责任,将责令改正、警告、罚款、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等措施纳入其中,弥补了先前立法中罚则不足的缺陷,增强了对个人数据权利侵害行为的威慑力。此外,《网络安全法》还规范了相关网络安全监管部门的责权范围,有助于在全社会形成保护个人数据安全的合力。
将个人数据保护纳入《网络安全法》之中,可谓一大亮点,该法的相关举措虽有一定进步意义,但是在诸如知情同意原则方面的规定仍然无法逃脱传统时代的窠臼。总体而言,《网络安全法》对个人数据安全的保护毕竟张筋弩脉,出台《个人数据保护法》尤为重要。《个人数据保护法》应寻求在保护个人数据安全基础上,促进数据的合理流通,其并不是将个人数据藏匿于保险柜中,而是谋求一种动态的安全——在个人数据资源开发利用中的安全[19]10。赋予公民个人数据权,使其能够控制和支配自身个人数据[20]27,以区别于传统数据安全环境中的消极防御权。个人数据权是存在论的壳(The ontological shell),它确保了个人的不可侵犯性[21]10。“大数据时代,很多数据在收集时并无意做他用,而最终却产生很多创新性用途,大数据的价值更多源于它的二次利用”[18]162-165。知情同意和目的限制等原则已经力有未逮。我们应变革思维,增强风险导向意识,将个人数据安全风险评估贯穿整个数据生命周期,根据个人数据处理、利用的场景、目的及可能引发的风险程度施以义务和责任,强化对个人数据侵权行为的预防和救济。此外,数据企业、机构还应承担风险识别义务,在用户可能发生数据安全风险时进行相关风险提示并及时采取措施,对个人数据给予全方位立体的保障。
(四)建立和完善数据犯罪法律制度
大数据时代,数据犯罪频频发生,给国家、社会和个人造成了极大的威胁和伤害。《网络安全法》在总则中开宗明义地强调要依法惩治网络违法犯罪活动,开展打击网络违法犯罪等方面的国际交流与合作;保护公民、法人和其他组织依法使用网络的权利,保障网络信息依法有序自由流动,旨在营造一个绿色、和谐、安全的网络环境。在分则中,明令任何个人和组织不得从事侵入、干扰他人网络、窃取网络数据等危害网络安全的行为以及为该行为提供程序、工具,技术支持等帮助;不得设立用于实施诈骗,传授犯罪方法等违法犯罪活动的网站、通讯群组,不得利用网络发布涉及实施诈骗等违法犯罪活动的信息,并规定相应的法律责任;对攻击破坏我国关键信息基础设施的境外组织和个人亦制定相应的制裁措施。上述举措虽为营造良好的数据安全环境奠定了一定基础,但为了应因大数据时代数据安全的新形势以及时代变革发展的新诉求,以加大惩治力度,增强威慑力,完善我国《刑法》相关体系和规定仍然十分有必要。随着信息技术的更新迭代,数据处理方式和途径不断演化,从过去信息系统的计算机运算演变为云环境中的云资源计算,《刑法》第285条、286条所规制的信息系统犯罪在面对信息化浪潮的冲击下已捉襟见肘。传统刑法主要针对的是保护信息系统的完整性、安全性和可靠性,而大数据时代中云计算资源保护问题日益显现,我国《刑法》在应对互联网技术变革时要做出适度回应和调整。大数据时代,一般技术意义上的数据有可能转化为具有价值的电磁记录,“对刑法所保护的重要法益价值……,数据的意义体系在对数据对象的反映上,当数据的反映同质于信息的内容时,单纯技术角度定义的数据便具有了现实意义”[15]114,是故,元数据的价值意义亦不能忽视,应当跳脱传统的依附于计算机信息系统保护数据的思维桎梏,单独增设以网络数据为独立犯罪对象的罪名。此立法思路早在欧洲理事会《网络犯罪公约》(Cyber-crime Convention)*《网络犯罪公约》第二章第四条规定了数据干扰行为(Data interference),其包含任何无授权的故意毁损、删除、破坏、修改或者隐藏数据的行为,与公约第二条针对非授权的故意侵入计算机系统的“非法访问行为(Illegal access)”以及第五条针对妨碍计算机系统合法使用的“系统干扰行为(System interference)”独立开来分别加以立法。以及《德国刑法典》*《德国刑法典》第202a条规定了“探知数据行为”,即非法为自己或他人探知不属于自己的,为防止被他人非法获得而作了特殊安全处理的数据的行为;并对“数据”一词进行了界定,仅指以电子的磁性的或者其他不能直接提取的方法储存或传输的数据。中均有体现,其将数据价值作为单独的评判标准和法益进行保护。数据犯罪已成为世界上所有国家所要共同面对的新型犯罪,故而,此做法并不是我国标新立异。此外,为遏制高发的电信诈骗案件,须从源头上完善侵犯公民个人数据犯罪的刑法规范才是根本。精细化地区分不同的个人数据类型,例如身份数据、行为数据,识别数据、认证数据、授权数据等,针对数据自身的特征、核心价值以及不同侵权手段和不同的数据处理阶段衡量法益,设置相应的刑法条文。总的说来,基于大数据时代数据安全所呈现的新特性,可确立“基本行为特征类型化模式+动态链条模式”的纵横双向模式的数据犯罪制裁思路,从横向上,构建以个人数据犯罪和以国家秘密、情报等网络重要数据犯罪为核心的制裁体系;从纵向上,分割数据犯罪链条和步骤,打击犯罪预备行为的实行化,增加对数据处理阶段的犯罪立法,实现对完整的数据动态过程的保护[22]25-28。一言蔽之,以独立的数据视角建构合理可行、协调发展的刑法体系,不再囿于过去松散式碎片化信息立法的藩篱在大数据时代显得尤为重要。任何事物均具有两面性,大数据在给人们生活带来便利的同时,也会被犯罪分子所利用而产生巨大隐患。其处于一个流动性的集成状态而并非静止与固化,数据安全风险潜藏在数据收集、数据处理、数据利用、数据存储等阶段当中,所产生的危险较传统危险更为综合和复杂,因此,应将保护或惩治提前,使责任刑法向预防刑法转变。同时,对于数据犯罪,要考虑多方面因素制定处罚标准,而不是一刀切地适用统一标准从严处罚,必须涵盖各方面、各层次的法益保护需求。
我国已成为泱泱网络大国,党中央对网络安全异常重视,将其上升到国家安全战略高度,其中数据安全更是成为国家安全重中之重。正如全球IT研究与顾问咨询公司高纳德(Gartner)所论断的那样:“大数据安全是一场必要的斗争。”[23]我国《网络安全法》的出台仅是万里长征第一步。面对大数据时代数据安全的新形势,我们必须要转变思维,在国家总体安全观的指导下,秉承发展与安全并重的原则,树立多维立体的风险防控理念,坚持整体防护、动态防护、综合防护,以深刻的眼光聚焦于技术背后的公民、社会和国家的利益,建立关键基础设施数据安全保护法律机制,推进数据本地化立法,加强数据跨境流动监管,构建个人数据保护法律机制,完善数据犯罪法律保护制度,加大对数据违法犯罪行为的打击力度,筑牢大数据安全保障的法律防线。
[1] 2016年十大数据泄露事件:社交网络成泄露重灾区[EB/OL].[2016-12-09].http://www.raincent.com/content-10-8087-2.html.
[2] 雅虎自曝遭黑客攻击超15亿用户账号信息被盗[EB/OL].[2016-12-15].http://www.chinanews.com/gj/2016/12-15/8094535.shtml.
[3] 1Tbs!OVH遭遇史上最大DDOS攻击[EB/OL].[2016-09-27].http://mt.sohu.com/20160927/n469328292.shtml.
[4] 极光行动[EB/OL].[2016-04-18].http://baike.baidu.com/link?url=R9fvv6IqituHYkwqyakaxSO9U_diDV V5a4-eiOFq-L3J_2XoXi3nj1fy6pJj0 L3YvihHa8vRQy QE_2jBQ__rcrRozpRExtHZN7NstWRgWsmxepuoD4D Sg8hfUmrkM2vJ.
[5] 索尼影视遭遇重大APT网络攻击大量商业机密遭泄露[EB/OL].[2014-12-10].http://www.doit.com.cn/p/224887.html.
[6] 吴世忠.大数据时代安全风险及政策选择[EB/OL].[2013-08-14].http://www.71.cn/2013/0814/727984.shtml.
[7] 震网病毒[EB/OL].[2016-11-01].http://baike.baidu.com/link?url=WLuY79ejupdOhGd8xNpstrF9xfNI 7qpEQYeS1_o4lz1FnN54Yr5-FfTXZOc6fTSV20TDb Bu8-Mdc-Hc8nxlyBGMUrBqcXK2AoFGxXjU9gdMe 3YlLAMzok7fBZXUkSZr1.
[8] 胡若愚.德国一核电站“惊”染电脑病毒[EB/OL].[2016-04-28].http://news.xinhuanet.com/world/2016-04/28/c_128940554.htm.
[9] 网络空间治理创新:2016全球网络空间安全大事记(事件篇)[EB/OL].[2017-01-07].http://mp.weixin.qq.com/s/AXHJWPDwY0T9B3WJW40pOw.
[10] Mckinsey Global Institute. Digital Globalization: The New Era of Global Flow[R].March,2016.
[11] 刘雅辉,张铁赢,靳小龙,等.大数据时代的个人隐私保护[J].计算机研究与发展,2015,52(1).
[12] 涂子沛.数据之巅[M]. 北京:中信出版社,2014.
[13] 齐爱民,盘佳.数据权、数据主权的确立与大数据保护的基本原则[J].苏州大学学报(哲学社会科学版),2015(1).
[14] 希拉里团队电脑系统疑遭俄黑客攻击 安全部门调查[EB/OL].[2016-08-01].http://www.chinanews.com/gj/2016/08-01/7957605.shtml.
[15] 于志刚,李源粒.大数据时代数据犯罪的制裁思路[J].中国社会科学,2014(10).
[16] 金华,陈平凡,等.云计算法律问题研究[M].北京:法律出版社,2012.
[17] 维克托·迈尔-舍恩伯格,肯尼思·库克耶.大数据时代:生活、工作与思维的大变革[M].盛杨燕,周涛,译.杭州:浙江人民出版社,2013.
[18] 王玥,马民虎.“互联网+”时代关键基础设施信息安全法律保护研究[J].西北大学学报(哲学社会科学版),2016(9).
[19] 齐爱民.个人信息开发利用与人格权保护之衡平[J].社会科学家,2007(3).
[20] 齐爱民,盘佳.大数据安全法律保障机制研究[J].重庆邮电大学学报(社会科学版),2015(3).
[21] 卢风.人类增强与人权[J].广西大学学报(哲学社会科学版),2016(3).
[22] 于志刚,李源粒. 大数据时代数据犯罪的类型化与制裁思路[J].政治与法律,2016(9).
[23] 大数据安全是一场必要的斗争[EB/OL].[2014-01-27].http://news.xinhuanet.com/info/2014-01/27/c_133077141.htm.
[责任编辑:秦卫波]
On the Improvement of the Comprehensive Legal Protection of Data Secarity in the Big Data Era——From the View of Cyber Security Law
QI Ai-min
(School of Law,Guangxi University for Nationalities,Nanning 530006,China)
In the big data era,data security faces severe challenges,which presents some dynamic,comprehensive,integrity,the risk of highly probability and disorder characteristics. The promulgation of Cyber Security Law brings the spring of data security,but it is only the first step. To cope with the new situation of big data security,we must make innovation of thinking,persist in the principle of paying equal attention to development and safety,set up the multi-dimensional three-dimensional concept of risk prevention and control,perfect the legislation of critical infrastructure data security,promote the legislation of data localization,strengthen the supervision of cross-border data flows,make personal data protection law and perfect the criminal law rules.
Big Data;Data Security;Data Protection;Cyber Security Law;Perfect Legislation
10.16164/j.cnki.22-1062/c.2017.04.019
2017-03-24
中国法学会2016年度部级法学研究课题(CLS[2016]A01)。
齐爱民( 1970-),男,河北晋州人,广西民族大学法学院教授,博士生导师,广西民族大学广西知识产权发展研究院院长,重庆市协同创新知识产权研究中心主任。
D922.8
A
1001-6201(2017)04-0108-07
