浅析大数据时代数据泄露问题的法律规制

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

龙源期刊网浅析大数据时代数据泄露问题的法律规制作者:黄佳来源:《新丝路(下旬)》2019年第04期摘要:大数据时代数据成为新型石油,个人数据成为争抢对象,近年来数据泄露事件频发个人信息安全难以确保,电信诈骗、短信轰炸、人肉他人发起网络攻击多出于数据泄露,数据泄露对于稳定社会秩序,保护个人的人身财产安全,尤其身为人口大国的我国的国家安全具有重要意义。反思当下,引发数据泄露事件的原因不止黑客攻击,还包括个人数据价值输出的正当渠道的匮乏以及相应的制度不完善,企业和政府的保护意识薄弱,关于个人信息保护的法律法规规定尚不完善等。数据泄露问题的治理,可以从数据平台及其制度、数据泄露通知制度、被遗忘权、政府信息公开审查、设立专门人员监管五个方面提出修改意见,以此解决数据泄露规制存在的缺陷,促使数字时代我国的数字经济发展和信息安全齐头并进。关键字:数据泄露;信息安全;信息主体大数据时代呼啸而至,作为当今最热的话题已经成为整个世界所关注的焦点。在大数据时代,个人信息作为信息社会的一种重要经济资源,个人数据成为企业提高竞争力的工具,其价值不言而喻,近年来的数据泄露问题使人们普遍开始关注被忽略已久的服务协议和自己的权利,促使国际法律改革,但是根据中国通讯研究院安全研究所2018年7月发布的《2018大数据安全报告书》显示,2016年到2017年全球数据泄露事件数量由13.79亿个上升到26.01亿个,事件数量翻倍增长。在我国发生的数据泄露案,一起案件泄露的信息主体人数便可以千万为单位计算,让网民戏称每个人都是在互联网中“裸奔”。这种大规模泄露案件的杀伤力并不止发骚扰短信,人肉信息后实施网络暴力,跟踪骚扰、电信诈骗,给信息主体带来人身财产方面的困扰可小可大,数据一旦遭到过分滥用,也会造成难以挽回的结果。解决数据泄露问题不仅要依靠计算机技术,也需要法律的规制。目前我国颁布的《网络安全法》的规制不足以为个人信息提供全面充分的保护,当前企业对个人信息安全的保护也不尽人意,信息主体对个人信息安全的保护虽有不满但势力单薄。《个人信息安全规范》虽然对《网络安全法》的内容进行了进一步的填充,但其效力不能与法律相比,其内容虽有进步但不足以称其全面,仍需要制定更加完备的法律予以规制。一、个人信息泄露事件多发的时代背景数据为新型石油的时代,即使是不为人重视的数据也具有潜在的经济价值,个人信息更能为持有者带来商业价值,然而数据交易平台尚未普遍以及数据交易管理规定的缺失不能满足数据需求者,因此让“货源丰富”的黑色产业链有机可乘。以暗网的数据交易为例,电子数据的复制性,电子交易的无限性,加上比特币价值不菲,一次交易就能获利至少数万元,在暗网交易不易留痕迹,丰厚利润和不易被发现身份的平台吸引企业和政府部门内部人员窃取并泄露数据,参与到贩卖个人信息的黑色产业链。龙源期刊网目前我国的法律规制并不周密,使地方政府无法正确判断信息公开的范围导致个人敏感信息的公开。目前的《政府信息公开条例》对于公开的信息内容仅做了最宽泛的规定,没有考虑到个人敏感信息与一般个人信息对信息主体的不同意义,各地方对于政府信息公开的范围又有着不同的理解,导致出现身份证号码等敏感信息出现在政府网站的事件。网络服务提供者以及政府部门重利用而轻视个人信息安全问题,使得信息保护措施不到位,《2017年我国互联网网络安全态势综述》指出,根据国家信息安全漏洞共享平台(CNVD)收录漏洞的情况,近三年来新增通用软硬件漏洞的数量年均增长超过20%,漏洞收录数量呈现快速增长趋势。信息系统存在安全漏洞是诱发网络安全事件的重要因素,根据《2017年我国互联网网络安全态势综述》的数据,CNVD“零日”漏洞收录数量同比增长75.0%,这些漏洞等于向黑客主动张开怀抱,将其掌握的个人数据全盘托出。二、解决措施1.搭建正规数据交易平台,完善数据交易规范数据交易作为企业发展壮大和提供优质服务的推动力量不能被全盘否定,地下数据交易平台售卖的数据通常是黑客入侵获得的数据或者数据控制主體的内部人员泄露的数据,没有进行清洗、脱敏,从而对个人信息安全产生威胁。为了大数据产业发展,可以更多搭建合法安全的交易平台,以鼓励需求者购买不危及个人又符合需求的数据。但是现有的大数据交易平台存在一些问题:在供需上,出现供应者的信息无法满足需求者的期望的情况;在时效上,出现售卖的信息并非实时数据而失去价值的情况;在价格上,出现价格不高使得供应方失去交易积极性问题[1]在隐私保护上,未经过数据主体同意擅自售卖的情况。对于这些问题,各国有不同的措施:(1)美国的信息售卖激励制度作为鼓励数据流通交易的美国的《2018年加州消费者隐私权法案》(简称CCPA)对信息售卖制度做了比较详细的规定,在CCPA中企业需通知个人其信息有被售卖的可能性且个人享有“选择退出”权(Opt-outRight),即“消费者有权在任何时候指示一个欲将消费者个人信息出售给第三方的企业不得出售该消费者的个人信息。”在网站中必须有不得售卖个人信息的链接以供用户行使“选择退出”权,如果企业实际明知用户小于16岁则不得售卖用户的个人信息。对于同意售卖个人信息的用户,企业可以将其纳入财务激励计划,提供赔偿金以及更优质的服务,以此鼓励数据交易的长远发展。(2)欧盟的反对权和自主决定权欧盟在数据保护方面,以数据主体的利益为重点整体侧重于增加企业义务和数据主体的权利,对数据交易的限制严于美国。因此GDPR第20条规定数据主体有直接营销为目的的处理龙源期刊网有反对权和自主决定权,数据控制者需要清楚的单独的提醒主体的权利,而无财政激励计划、赔偿金等类似表述。我国对数据交易规范没有特别规定,仅在《网络安全法》的第42条中提到完全脱敏后的数据可以自由处理,未脱敏的数据需要经过用户同意才能提供给第三方,未提及数据出售的其他问题。我国的学者宋梅青提出融合数据分析服务的大数据交易平台,将云存贮、数据分析、数据匹配、数据脱敏等技术合而为一,提供实时、安全、多维的数据,使交易双方都能得到满意的交易结果[1];学者王忠提出个人数据销售许可机制,将允许销售的数据限定为与个人关联性弱或者无关的数据。[2]本文认为适当的数据出售有利于信息主体和企业的共同获利,信息主体和企业各取所需的局面优于企业通过地下途径出售和收购个人信息而让信息主体遭受人身财产安全损失的结果,也会提高企业对个人信息保护的积极性,因此本文认为可以在将来的《个人信息保护法》中设立个人信息销售许可机制。目前,美国有Factual、BDEX、InChimps三个实时交易平台可以让数据提供者将个人信息明码标价出售,日本的富士通的Dataplaza大数据交易平台,将个人信息匿名化后将数据放在平台售出。国内数据交易产业正在发展,2014年12月成立的贵阳大数据交易所、2014年1月成立的中关村树海大数据交易平台、2015年成立的武汉东湖大数据交易中心以及2011年成立的数据堂,数据交易产业方兴未艾,数据交易制度在法律上还有很大的发展空间。2.完善数据泄露通知制度尽管数据泄露通知制度是一种事后补救措施但能够防止情况恶化,稳定数据主体的情绪并对数据保护和服务提供者的信誉具有重要意义。数据泄露通知制度最早源于美国2002年《加州数据安全泄露通知法案》,随后欧盟、澳大利亚等国都效仿立法[3],欧盟的GDPR将数据泄露通知制度加入其中,对于数据泄露通知制度,GDPR规定了数据泄露通知的主体、对象、还将通知程序其分为两种情况:第一种当数据泄露不大可能给自然人的权利和自由带来风险时可以不通知监管部门和用户;第二种当数据泄露可能给自然人的权利和自由带来风险时应当了解情况后在72小时内联系监管部门,如果遇有特殊原因可以延长时间并说明原因,如果会对用户产生实质影响就要及时通知用户。[4]然而,我国对数据泄露通知制度内容、程序、主体、对象、条件等各方面都缺乏细致规定,仅在《网络安全法》第二十六条中规定:向社会发布系统漏洞应当遵守国家有关规定。近年来,多起“网络攻击武器库”泄露事件进一步扩大了安全漏洞可能造成的严重危害,落实法律要求,进一步细化我国安全漏洞信息保护管理工作迫在眉睫。3.保障被遗忘权的行使被遗忘权或称删除权,指用户在一定条件下享有要求数据控制者删除其所掌握的用户信息的权利。基于此权利,搜索引擎必须删除个人信息的链接,其他服务提供者必须删除个人信息龙源期刊网的内容。基于數据泄露案件对信息主体造成的伤害通常是事后出现,被遗忘权的行使可以有效地保障信息主体及时减损以及预防数据泄露再次发生。被遗忘权起源于20世纪末期,主要适用于犯罪分子、公众人物,随着网络的发展,被遗忘权适用于所有数据主体。法国、荷兰等国在各国的相关数据保护的法律中规定了类似被遗忘权的删除权、更正权[5],2014年5月1欧盟通过被遗忘权第一案——GoogleSpainSL&GoogleInc.vAEPDandCostejaGonzález案正式提出被遗忘权,后在GDPR中被改名为删除权。被遗忘权能够帮助数据主体有效控制信息,是个人信息保护立法的一大进步。而各国对于被遗忘权行使的条件和例外有不同的规定:美国《数字世界加利福尼亚未成年人隐私权法案》规定未成年人可以要求删除网站上的有关个人信息内容包括图片、文字等,而不要求删去服务器里的个人信息内容,且无法删除他人发布的有关该未成年的个人信息的内容;[6]欧盟的GDPR第17条对允许行使删除权的条件和行使的例外做了详细规定,用户不必要的、非法处理的、被用户反对处理的、为了遵守法定义务或者为提供公共服务而收集的信息,可以删除,对于有利于公共利益、言论自由的信息不能删除,用户信息删除的是信息链接、副本和复制件。俄罗斯的《互联网隐私权法案》内容与GDPR近似,关于删除个人信息的程序规定详细,但是没有为公共利益而禁止该权利的例外;[7]我国的《网络安全法》第43条仅提出用户享有删除的权利,《个人信息安全规范》仅补充了《网络安全法》中允许删除的条件,没有关于删除权的例外规定以及删除权的程序性的规定。在欧盟的被遗忘权第一案判决用户享有被遗忘权后,谷歌删除用户数据的工作量增加,负担加重,我国在完善删除权的条件时可以考虑限制删除权行使的条件以及增加行使删除权的例外,减少企业负担,以2015年中国“被遗忘权”第一案为例,案件原告任甲玉发现百度网页中出现带有“陶氏教育任甲玉”内容的网站,陶氏教育是任甲玉曾就职的公司,名声欠佳,任甲玉认为百度将自己的名字与名声不好的陶氏教育加在一起是种侮辱行为侵犯了自己的姓名权和名誉权,要求百度删除内容却被百度拒绝于是将百度诉至北京市海淀区人民法院,主张行使被遗忘权,被法院否决。[8]原告的请求删除的信息达不到必须删除的程度就不应删除。4.完善政府信息公开内容审查制度《2018年政务公开工作要点》提出“加强政府信息公开审查工作”,保护个人隐私,除惩戒公示、强制性披露,对涉及个人隐私的信息应当在公开时去标识化处理。这一规定能够提高地方政府人员对信息公开内容审查的意识,能够有效防止政府“主动”泄露数据事件的发生,但需要切实的政府信息公开内容审查制度,政府虽不同于企业,但本文认为政府可以参考《个人信息安全规范》去制定政府信息内容审查制度,理解一般个人信息和个人敏感信息的区别,优化服务。5.任用专业人才,增强法律意识龙源期刊网企业和国家机关需要及时预防和控制数据泄露事故,就需要培养专业的人才并建立独立的专门机构,监管数据流通的全过程。人才一方面包括企业内部的负责信息安全的人员,如具有监测、设计信息安全系统、开发信息安全产品等技能的信息安全工程师、GDPR规定的专门负责告知企业相关法律义务、监测企业履行义务的情况、开展培训活动等的数据保护官(DataProtectionOfficer,DPO);另一方面包括非企业的信息安全保护人员;此外,还包括国家

1 / 6
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功