5G时代云端数据安全的法治探究
2021-01-25丁超
丁超
摘 要:随着5g技术的应用,5g传输数据的存储问题也愈发凸显。由于5g的峰值速度为10Gb/s就导致了传统的物理硬件设备存储已经很难满足其数据存储的需要,故而把云存储与5g相结合成为解决5g数据存储的最佳途径。相对于4g时代的云端存储,5g时代的云端需要更大存储空间、更为精准的数据分流以及随着云存储的全民普及也需要更为安全的数据防护措施。在对5g以及“云”的基础概述后进一步分析5g时代云端存储的三大问题:数据控制权之争、数据容易泄露、数据易丢失,同时对比英美与欧盟对云端数据保护的不同方式并根据我国云数据保护的现状从明确云端数据的控制权、建立云端运营者的责任机制、完善数据安全相关法律法规三个方面进一步完善我国在5g时代云端数据的保护规则。
关键词:5G;云端;数据安全;法律规制
一、5G与“云”的概述
(一)5G
随着通信科技的进一步发展以及移动通信终端设备的大规模普及使用,移动互联网已经在当下生活的方方面面扮演者越来越重要的角色。自2012年7月开始,国际电信联盟(International Telecommunication Union简称ITU)已经开始筹备启动新一轮的移动通信系统(mobile telecommunications,简称IMT)研究工作,旨在研究面向2020年及未来的 IMT 市场、用户、业务应用趋势,并提出未来IMT系统的总体框架和关键能力,2015年6月,ITU在ITU-R WP5D第22次会议上正式确定第五代移动通信系统的名称为IMT-2020(5G)。[1]第五代移动通信网络(fifth generation mobile communication network 简称5g)是基于现有4g通信技术提出的新一代移动通信网络技术,旨在构建互联型网络社会以便实现万物互联的技术宏图。5g的主要技术标准包括:最高为1Gbps的极速上网体验、极度峰值为10Gbps的峰值速率、毫秒标准的终端延迟率、90—100万平方千米的连接数目的、数十Tbps平方千米的流量密度以及低于0.00001%不可靠率。另外,基于未来技术可持续发展考虑,节能性也是5g的重要性能指标。针对5g技术的应用场景主要分为三大类:(1)超过100Mbps的宽带体验;(2)较大类型的机器通信;(3)1毫秒级别的极低延迟率以及极高的网络传输可靠性。在2011年中国大陆的4g通信技术规模化进入商业运营以后,5g技术的研发与应用已经成为我国抢占未来通信技术制高点的重要抉择。作为第五代移动通信技术,5g在用户通信以及上网速度、终端下载速率、连接数密度、终端通信稳定度、终端移动支持率以及峰值速率等方面相较于前四代移动通信技术具有质的飞跃,而且还能实现多终端设备互联互通以及不同场所的设备通信服务融通。当下全球移动通信行业已经就5g的重要技术标准达成阶段性共识:全球5G的标准技术标准目前分为中国技术标准和美国技术标准与欧盟技术标准,全球5g技术标准的统一进程有待进一步深化,同时全球统一5g标准有待在2022年以前得以實现。5g技术将进一步提高用户的移动终端体验以及宽带终端体验,并以高速率、高稳定、高融通的三高特征尽可能带给用户不同于以往4g技术的更佳服务体验。同时将通信服务拓宽至云端存储、超清视频通话、三维立体影音视频、智慧家居、智能交通工具、智能建筑以及智慧城市等众多领域。基于5g的众多特征,其必然成为各国通信技术变革的风向标。
(二)云存储与云端
1. 云存储。云存储其实是在云计算(cloud computing)基础之上发展衍生出来的一个新兴产物,本质来讲是基于物联网发展而来的一种新型的数据存储模式,是指通过互联网技术和分布式文件系统以及数据终端分类规整等众多功能,把现有的各种不同类型的互联网数据存储设备通过相匹配的存储优化软件紧密地联系在一个共有数据平台之上以实现各种互联网存储设备互融互通和互联网数据大融合,同时不断强化对数据的分析归类功能,以形成一个庞大的对外承接数据存储以及互联网在线数据业务访问功能的系统链。概括来说,云存储就是把互联网上流通的各种数据放在一个经过存储系统融合的云端之上,便于数据用户随时随刻、无论何地都可以通过互联网查找存储于云端的各种数据以及把数据备份到云端。云存储有三个特征:第一,灵活性。云存储由于是各种互联网存储终端的一个数据大融合平台,所以数据的存储终端几乎没有限制,不再局限于某个存储终端,各个终端都可以实现数据存储与数据读取,同时由于云存储的网络数据空间的拓展性和存储量良好以及云端数据空间的存储协议的高效灵活性,都促进了云存储更加灵活便捷。第二,高效易用性。“云存储通过其特有的架构系统,在云存储的环境中,可以拓展数据存储的空间和能力,提高数据资源的传输效率,以达到减低成本,实现整个数据资源的高效利用。因此,数据能够在移动或者是迁移应用中,仍具有高效的易用性,不受影响。”[2]第三,虚拟性。由于互联网本身就具有虚拟性的特点,通过互联网存储的各种数据自然也就有虚拟性的特点,云存储其本质就是网络虚拟存储,数据流通来无影去无踪,不同于传统的物理设备的显示物质存储。云存储中的数据资源是个经过无数各0和1编码重组的网络资源,数据本身也是看不到摸不着的。
2. 云端。云端本质来讲其实就是一种用于数据存储的应用软件平台,但是由于云端采用了应用程序虚拟化技术所以极大提高了应用软件的数据存储冗余以及应用软件的整体融合度进而促使应用软件集存储、备份、搜索、下载等众多常用功能为一体以便于用户的管理、使用。在运用程序虚拟化技术改造后的各种软件平台在虚拟的互联网中被单独的隔离与区分,以便在运行该应用软件的时候不会导致该软件与整个系统产生耦合,以实现净化云端操作系统的目的。云端的网络终端覆盖率基本生上覆盖了目前95%的网络设备包括:pc、智能手机、电子书以及NB(窄带物联网Narrow Band Internet of Things)等,在基于宽带网络普及频宽的不断提高以及企业全球化办公用网需求的日益迫切,通过云端服务提供者让更多的数据信息及时准确的导入用户的办公系统中,已成为目前云端技术商业化发展的重要方向。由于互联网以及云端都具有虚拟化的特点,在用户需要下载各种应用与数据之时都可以通过操作设备完成动态安装下载,在不需要应用软件之时可以随时卸载删除同时也保证各种应用和数据不会因此丢失。
二、5g时代云端数据的现存问题分析
(一)数据控制权之争
随着云技术的发展,云端数据控制权之争也愈演愈烈。用户把数据上传、备份到云端以后,用户对数据的控制由直接控制转为间接控制,对数据的控制度有所下降。相反,当用户把数据上传、备份于云端以后,云端设备运营与管理商取得对用户数据的直接控制,在此过程中用户与云端运营管理商谁才是数据的直接控制者,其实从本质来看就是对数据存储于云端后的使用权之争,取得了数据的使用权就间接拥有了对数据的处置权,就拥有了云端数据带来的强大经济效益。所以,云技术取得进一步发展之际,云端数据控制权之争已成为云技术挥之不去的阴影。在数字经济时代,数据资源在经济发展中被称为是“未来的石油”,其对于国民经济的重要性不言而喻。当下,在全球企业净利润排行榜中,互联网企业可谓占据着半壁江山。在利润排行榜前10的企业中除了大家熟知的微软、苹果,其余5家企业的大部分利潤来自经营数据资源。这类掌握云存储技术的大型互联网公司不仅对用户的个人消费倾向以及消费水平了如指掌,而且一般对用户通过互联网消费形成的网络交易以及网购意向也是全然知悉。以上互联网企业掌握的用户数字信息属于各互联网企业所有吗?站在这些企业和用户的不同角度,产生了两种不同的观点。数据用户认为:用户在互联网上形成的数字信息俨然不属于各个互联网公司所有,而是归属于各个用户。用户在互联网消费、上传、下载于云端的用户数据信息是基于用户本身行为产生的,云存储企业只是收集、分类存储了这些信息,这些信息哪怕用户不以为然也是基于用户自身行为产生的,作为信息处理方的云端企业也只是数据的一个存储仓库,只有基于用户自身的网络行为云端运营商才能取得对数据信息享有的间接控制,数据的直接占有与所有人还是用户。我们纵观这几年关于用户信息的几个案例如大众点评诉百度案、新浪诉脉脉案等就会发现,国内法院在对用户数据信息类案件的裁判普遍比较模糊:首先法院一般都会承认掌握云存储技术的互联网公司在云端平台上对用户数据信息享有一定的控制权,但是这种一定的控制权达到了何种程度以及这种控制权的性质法院一般都没有给予解释说明。我国目前的法律法规对于数据控制权或数据占有以及数据所有权的规定存在一定的规则真空,一开始立法者是想把数据信息列为知识产权用保护知识产权的方式予以保护,但是此举遭到业界以及许多专家的诟病,立法者不得已沿用自然人个人信息安全的相关规则对用户数据以及网络虚拟财产予以保护。将用户个人数据没有划分为知识产权而是拟制化为网络虚拟财产或是模糊归纳为个人信息,这反映了我国在数据控制权之争上的严谨态度,同时也表明了云端数据本身的争议性与复杂性。
(二)数据容易泄露
随着互联网信息技术的进一步发展数据泄露也有愈发愈烈之势。用户的个人数据在20世纪90年代一般是通过物理硬件传输、存储,到了20世纪末随着计算机与互联网技术的兴起,用户更倾向于通过移动互联网来实现数据传输、存储。云存储技术的应用虽然在一定程度上让用户摆脱了物理存储设备的不易携带的弊端,但是由于云存储是各种在线存储设备的一个大融合平台,各个存储设备对用户信息保护水平参差不齐以及各个存储设备的保密水准也不尽相同,同时由于互联网本身具有的信息流的自由性、开放性、及时性等特征,故而相对于普通物理硬件存储来说更容易发生用户数据泄露的风险。大规模数据泄露事件不胜枚举:2011年3月,Google的Gmail电子邮箱爆发大规模用户数据泄露事件,近15万Gmail用户在周日早上发现自己的邮箱和聊天记录被删除,部分用户的账户被重置而无法登陆。[3]2019年B站后台工程源码遭整体泄露:Github出现一个名为openbilibili/go-common的代码仓库引发网友热议,该仓库短短6小时已经获得了6K+的Star和6K+的Fork,泄漏的仓库压缩包大小足足有46MB,疑似是哔哩哔哩的业务系统源代码,其中包含了很多配置文件、密钥、密码等重要敏感信息。2019年优衣库GU销售网站逾46万名客户个人信息遭未授权访问,这些账户信息包括客户姓名、地址、电话号码、电子邮件、生日、收件地址以及部分信用卡信息,黑客已经浏览过部分信用卡信息并且很有可能已经将这些信息非法出售。以及2019年荷兰非盈利机构GDI基金会研究人员发现,位于深圳的人脸识别公司发生大规模数据泄露事件,超过250万用户的680多万条信息记录被泄露,泄露数据包括身份证信息、人脸识别图像、24小时内的位置记录等敏感信息。由此可见,应用云存储技术把用户个人数据存储于云端虽然便利了用户的数据存储,但是也具有较高的数据泄露风险。同时,不同于普通的物理实物介质存储,云存储是用户把数据信息上传于云端,再由云端运营管理者对数据加以归类保存,试想是把自己的数据存在自己的U盘上安全呢还是把数据信息委托于他人存储于一个并没有严格数据保护义务的软件大平台安全呢?再者,由于云端运营管理服务在目前为止并没有一个用户数据信息使用、保护的业界标准,所以各个不同平台的云端开发商对用户数据的存储方式不同、保护程度也不尽相同。同时对于个人数据用户云端开发商提供的免费云存储空间完全可以满足用户需求。针对这种免费的云存储方式,由于云存储开发商并没有收费这就类似于一个无偿的数据保管合同,所以云存储开发商的数据保护义务相对于收费的存储服务来讲,其数据保护责任是更低的,哪怕出现了用户数据信息泄露的事件,因为是免费的,一般也不会受到用户很严苛的追责。
(三)数据易丢失
互联网技术发展到今天带给人们便捷的数据传输,但是伴随着互联网技术应用而存在的数据丢失现象到现在为止可谓是互联网数据传输技术领域的一块“牛皮藓”,一直饱受诟病。数据丢失是指因为用户或者云设备运营商的原因或者因为云存储软件自身存在的系统漏洞导致用户在把数据信息上传至云端过程中,数据信息部分或是全部丢失,导致存储于云端的数据并不能完整反应用户数据的完整样态的一种现象。由于数据丢失造成用户不能从云端中完整准确的复原其上传的数据,进而引发一系列的数据安全问题,这在全球化的数字信息时代,可谓层出不穷。特别是涉及用户个人的身份以及信用信息,由于这些信息与用户的人身安全以及信用评估相关联,当这些数据长时间丢失且不能通过技术手段恢复时,就在一定程度上产生了因为数据丢失引发的新型数据安全问题。目前来看数据丢失分为人为原因以及硬件、软件设备原因这两类。人为原因造成的数据丢失一般包括:第三人非法攻击以及云存储过程中的技术人员非法窃取、篡改。第三人非法攻击简单来说就是用户的重要数据信息遭受了黑客攻击。互联网技术的发展给合法正规用户带来了巨大便利,同时让一部分非法之徒看到了窃取他人数据后出卖带来的巨大利益。一部分互联网用户利用系统漏洞或者是通过窃取用户的账号密码等方式对用户数据进行篡改或是删减,使得用户不能从云端复原数据的完整、真实样态进而遭受经济损失。同时云存储过程中的技术人员出于私人泄愤或是非法获利目的在用户把数据信息上传于云端以后,利用对云存储平台的管理之便,也会出现修改、删减用户数据以致用户从云端复原的数据样态出现失真现象。除了以上这两种人为原因导致的数据丢失以外,由于云端平台自身存在的系统漏洞或是各个存储软件的防火墙技术水平参差不齐也会引发用户数据丢失的现象。一般来讲导致数据丢失的系统漏洞通常包括:各个用于云存储的软件平台兼容性较低,当用户把数据上传于云端过程中云端平台会对数据信息分门别类地进行数据分流,在此过程中个别软件平台对数据的识别能力较差以致数据归类出现错误,这就会导致用户在提取自己上传的数据时存储数据的软件平台由于归类出现错误把数据自动过滤或者分配到非用户使用的其他云端平台进而导致用户复原的数据出现丢失或是失真。另外一种情况:用于云存储的各个软件平台其防火墙技术参差不齐在遭受到非法攻击时,编程较为精密、完善的存储软件能够不被轻易地窃取或篡改,而一些防火墙技术级别较低的存储软件就很有可能被黑客攻击、篡改,这就导致了用户上传于云端的数据一部分是完整无缺的一部分因被窃取或者被篡改而出现了数据丢失。
三、云端数据保护的域外比较
(一)英美等国制定法律法规为数据安全提供制度保障
就技术层面来讲,英美特别是美国互联网技术以及信息通信技术无疑还是走在了世界的最前列。第四次工业革命特别是在5g技术层面依旧呈现出美国领跑中国紧随其后欧盟其次的发展情况。目前,全球互联网服务器分布最多的地方也是美国。所以,就目前出现数据泄露、数据丢失最多的地方也是美国。科学技术带来了巨大的经济效益,同时随之而来的一系列问题也有愈发明显。自斯诺登事件以后美国政府包括普通民众在内对数据安全问题也越来越重视,保护公民在互联网的数据安全也被视为保护公民隐私与个人信息安全的重要举措。以此为背景,美国国会于2014年就通过了专门用于保护公民互联网数据的《国家网络安全法》,此法的颁布被视为美国政府在立法层面对公民互联网数据信息强化控制的“撒手锏”,同时就互联网数据云存储的经营管理者而言,此法的颁布为美国政府强化对云存储经营管理者的监管提供了有利的法律依据。在《国家网络安全法》颁布以前,美国并没有一项专门针对公民互联网数据安全的法律法规,在出现侵犯公民互联网数据信息之时,一般是依据于2001年颁布的《爱国者法案》规定的司法机关在涉及公民互联网数据信息安全的案件中享有较为广泛的数据信息调查与信息搜集的权力。可见,在《国家网络安全法》颁布之前如果出现了数据安全事件,公民只能以自己的个人信息受到侵害或者个人隐私受到侵犯等具体人格权受到不法侵害为由提起诉讼。与美国不同,在斯诺登事件爆发以前,英国对互联网数据信息的保护主要侧重于以国防数据信息为主的政府数据信息。英国军方(根据英军方军情六处的提议)意识到国防数据信息在现代国防安全领域的重要意义,于是英国军方向英国政府建议应当通过立法加强对英国国防数据信息以及包括经济领域在内的国家数据信息的重点保护。为了防止黑客以及其他不法之徒通过相关技术方式获取重要的政府数据信息,英国于1990年颁布了《计算机滥用法》以加强对通过互联网技术非法获取政府数据信息的处罚惩治。在斯诺登事件后期,英国主要是通过强化云存储程序中对云技术提供者的监管以实现对公民个人的互联网数据信息的保护,基于英国属于判例法法系,其先前的法院裁决对在以后的类似案件具有很强的借鉴与参考作用,在先前判例能够较好解决公民数据安全之需时,判例先行,此时就不会通过立法程序制定出一部专门用于保护公民个人数据信息的法律法规。但在数据安全领域,英国接连颁布数法律予以保护,其对数据安全的重视程度可见一斑。
(二)欧盟各国为数据安全强化保护规则
在英国脱欧后,英国于欧盟之间的法律一体化进程进行停滞状态。同时,不同于欧盟成员国中的德国、法国、意大利等国家,在法系划分领域欧盟大多数成员国属于大陆法系国家,一般会通过制定相关法律法规来强化数据安全。英国、美国属于英美法系一般是通过判例的形式来加强国家以及公民的数据保护。在德国、法国等国家为保护公民个人数据信息安全以及国家数据安全普遍制定了数据保护的法律法规并在规则层面进一步明确了保障数据安全的基本原则。为了强化数据传输过程中的数据保护欧盟各国对个人数据信息的上传、存储、备份、下载等程序都做出了比英美两国更为精准的规定。同时欧盟各国为了保护公民的数据信息在国际互联网的传输安全苛刻的要求欧盟各成员国公民的数据信息的流通国或者接受国必须为欧盟公民提供不亚于欧盟的数据信息保护水准。也就是说非欧盟公民要想获取欧盟公民的数据信息或者允许欧盟公民的数据信息在本国互联网内流通,非欧盟成员国就必须按照欧盟的数据信息保护标准来保障欧盟公民的数据安全。这一在数据信息安全领域内被强行的国民待遇原则虽然在一定程度上增加了数据接收国的技术负担,但是从数据安全角度来讲为欧盟成员国内部数据流通以及外部数据流通提供了强有力的保护标准,在全球化范围内保证了欧盟公民数据信息的安全。同时,在斯诺登事件发酵以前,欧盟各成员国就已经意识到作为数据超级大国的美国并不是保障其数据信息安全的最佳避风港。特别是出于国防数据安全的考虑,欧盟各国达成共识:要建立自己的数据安全体系,同时在原来与美国数据安全挂钩的网络安全领域创制一套欧盟成员国内部使用的欧盟局内网程序,让欧盟的数据信息特别涉及国防领域的数据信息只能在欧盟成员国内部流通,这种强化欧盟数据安全一体化的进程,被美国高层认为是欧盟数据安全不再需要美国技术支持的开端。于是欧盟各国成员国纷纷解除了与美国订立的有关数据安全保护领域的协作条约,并于2005年达成一致意见:欧盟各国国会终止于2000年与美国签署的美国数据运营商在欧盟各国数据安全领域没有实现标准统一或是在欧盟各国的数据保护法规存在差异化的情况下可以不用分别经各国法院同意经行传输、存储、使用欧盟成员国公民乃至政府数据信息的《安全港协议》。《安全港协议》一经终止,包括微软、谷歌、脸书(facebook)等美国数据运营商原来在欧盟各国搜集存储的各种数据信息必须无条件销毁或者必须经欧盟授权后方可在一定领域内使用,同时立刻停止在欧盟进行的数据信息有关活动,撤出在欧盟的相关技术设备。
四、5G时代加强云端数据安全法律规制的建议
纵观云端数据保护进程,既要研讨我国数据保护的特有问题又要参考域外数据保护的可取经验。创制一套既能够解决域内特有问题又能解决域内外普遍问题的数据保护规则。我国特有的问题是数据控制权之争,故而应当针数据控制权之争要进一步明确数据控制权;数据丢失与数据泄露是域内外普遍存在的问题,对于这两种问题应当借鉴欧美规制经验,从确立云端运营商的责任机制以及强化立法保护两方面寻求解决之道。
(一)明确云端数据的控制权
“今天,很多企业都在公开炫耀自己的大数据资源,把这种大数据资源视为自己的核心竞争力和业务增长潜能。而这种所谓大数据,实际上就是从相关业务流程获取的用户隐私。由此很多企业看到了隐私的价值,也助长了数据占有欲。” [4]可见被称为“未来石油”的数据资源越来越受到重视,以致各个数据经营管理企业对之是趋之若鹜。这就进一步导致了云端的数据控制权之争也是愈演愈烈。用户自身生成数据一般包括两个部分:第一,用户自身利用云端终端设备上传于云端存储、备份的数据;第二,用户自身在网购以及互联网通信中由云端运营商自发收集、处理与存储的数据。对于第一种数据控制权:用户自身上传于云端的数据依旧是用户直接控制。用户虽然把数据上传于云端后对数据由直接占有转为间接占有,但是这不影响用户对数据的直接控制,数据所有权归属于用户,故而数据的直接控制权仍然归属于用户。对于第二种数据即用户在上网过程中产生的各种网络痕迹形成的数据,云端运营者认为此类数据并非用户主动上传于云端的数据信息,而是云端运营商耗费人力物力通过技术手段自发收集的,这种用户本身并不直接持有而是由于用户上网过程中产生的数据痕迹亦不是用户直接占有的,因为用户对此类数据并没有主观上的占有目的,同时这类数据并非用户一开始就拥有而是在其上网过程中经过云端运营商收集处理后才形成的,用户只是产生此类数据的源头,并非所有者。针对此类数据云端运营商已经形成了“数据霸权”意识,针对此类数据的“數据霸权”意识,我们要进行深刻反思。此类数据归根结底还是基于用户网络行为产生的,哪怕用户直观上没有占有目的,其数据产生的根源依旧来自用户的网络行为。此类数据是用户网络行为的附属产物,用户对于自身的网络行为自然具有行为意识,故而用户对基于网络行为产生的附属产物自然具有控制以及所有之意识。即使云端运营商对数据采取各种方式的收集、处理,数据产生源头仍然是用户特定的网络行为。用户只要对自身的网络行为具有行为意识,那么对于附属于自身网络行为产生的此类类数据自然享有数据控制权。
