大数据时代 网络安全建设非常重要
扫描二维码
随时随地手机看文章
信息是推动世界发展、科技进步的不竭动力,而作为信息时代的产物——大数据,引来诸多关注。日前,在第四届东湖国际法律论坛分论坛大数据时代的网络安全上,法律界人士围绕区块链、信息合规等热点议题展开讨论,为大数据网络安全发展建言献策。
数据保护与合规的探索之路
近年来,以《网络安全法》为首的一系列数据保护相关立法、行政法规、部门规章和国家标准密集出台。
“在国际数据保护监管环境日益趋紧,国内数据保护规则体系不断完善、监管力度不断增强的背景下,信息安全成为通信企业合规的重点领域。”中国移动通信集团法律与监管事务部张薇称,中国移动作为关键信息基础设施运营者,控制着个人敏感信息,还涉及海外个人信息的处理。一旦出现信息泄露,危害巨大。
“对此,中国移动制定了《客户信息安全保护管理规定》,并根据最新法律要求进行了多次修订。作为公司客户信息安全保护工作的“上位法”,该规定成为国家相关法律法规在公司落地的重要保障。”张薇指出,中国移动参考一系列国际标准,研究制定了中国移动大数据安全保障系列规范,涉及大数据安全策略、安全管理、安全运营、安全技术、合规评测、服务支撑共六大体系,并制订发布了《大数据安全管理要求》《大数据安全防护通用技术要求》等13项规范制度。此外,制定合规指南,并根据最新政策法规适用指引适应监管需要,追踪最新国内外数据保护政策法规制定和执行情况,识别合规要求变化情况,发布法律研究报告,及时为业务发展提供合规指引。
谈到个人信息保护的经验,张薇表示,中国移动从用户个人信息的收集、使用、存储、传输等多个环节入手,建设各种技术手段进行用户个人信息安全保护,特别是通过金库模式和客户信息模糊化两项关键举措,切实保护用户个人信息。借鉴银行业金库管理中“多人操作”和“授权操作”的理念,通过技术手段对关键系统平台涉及敏感用户个人信息的高风险操作实施“金库模式”管控,通过技术手段确保涉敏操作由多人共同完成。此外,对实体营业厅、社会渠道、自助终端以及外部接口等各类客服系统界面开展了全面的模糊化改造,以保护客户姓名、证件号码、地址等敏感信息,防止发生泄漏。
对于数据保护,张薇有心得也有困惑,在没有法律、行政法规规定的情况下,向公权力机关共享个人信息用于社会治理等公共事项,遵循和商业使用同等的标准是否合理?如何准确界定“个人信息”的范围?这些问题仍需探索。
寻找数据抓取程序与数据垄断间的法度
“随着ABC时代(AI、Big Data、Cloud)到来,数据的重要性逐渐增加。”中伦律师事务所资深合伙人陈际红指出,谈及数据的重要性,数据爬虫不可不提,这是按照一定的规则自动抓取万维网信息的程序或者脚本。
日前,魔蝎科技、新颜科技等多家现金贷相关的数据源公司被查处,涉事高管被警方控制,多家知名数据风控相关公司主动或被动地停止了与爬虫相关的数据业务。面对执法监管力度加强,很多大数据公司由于不清楚合规边界和红线而“畏手畏脚”。
“促进数据的正当流动应是基本价值的导向。”陈际红称,数据需要区分前台数据与后台数据,前台数据是通过读取公开的URL地址即可获取的信息,后台数据则需要身份认证或破解技术措施才能获取。一般而言,抓取数据前,数据抓取者应查看被访问网站是否设有网络爬虫排除标准(以下简称Robots协议)。若设有Robots协议,数据抓取者应遵守Robots协议,否则可能存在民事侵权法律风险,除非Robots协议设置不合理,被用作不正当竞争的工具。
无论是百度公司诉奇虎公司不正当竞争纠纷案、淘友天下公司等与微梦公司不正当竞争纠纷案,还是瑞安航空公司诉PR航空案,hiQ诉领英案等由大数据爬虫引发的不正当竞争案件屡见不鲜。
陈际红指出,《数据安全管理办法(征求意见稿)》第16条规定,自动化访问收集流量超过网站日均流量三分之一,即构成严重影响网站运行,数据抓取者应立即停止抓取。鉴于此,在使用网络爬虫抓取数据时,数据抓取者应注意优化爬虫代码,将收集流量控制在法定标准内,避免干扰被访问网站的正常运行。
“要对《反不当竞争法》第二条(诚实信用原则)谦抑适用。”陈际红称,一是平台对平台内的数据不具有“民事权利”,仅具有“民事权益”,不能通过《反不正当竞争法》第2条扩展平台对数据的权益范围,使其实质上拥有“民事权利”。其次,尽量制定和适用具体的法律规范,如《数据安全管理办法(征求意见稿)》中对数据抓取和流动的规制条款,不能忽视专门法律规定而滥用原则性规定。再次,在平衡利益时,不能仅仅考察双方的利益,认为数据抓取方获得利益,就认定其行为“不正当”,而应从互联网数据流动的大趋势和整体利益判断,是否促进产业竞争和优胜劣汰。最后,警惕平台对数据的垄断,警惕以竞争的表象去维护数据垄断的事实。
“未来,数据的确权是基础,数据的交易、流通和利用是关键。”北京师范大学法学院教授刘德良认为,人与人之间的自由技术信息流动会对隐私形成挑战,而大数据的搜集、加工等系列过程都是非人为的自动化操作,参照传统个人信息隐私保护的心理学基础,在大数据技术背景下已经完全不存在。法律规范的是人与人之间的关系,而不是人与机器的关系。未来,如何有地防止数据滥用是立法关键所在。