分类目录归档:数据法

看脸时代的隐私难题与出路

一、不会“脸盲”的时代

这是一个对“脸盲”不友好的时代,人际交往中我们未必会记得某人的姓名,但却总对面孔印象深刻。“看脸”是日常生活中我们最常用的区分人的方式,但这样的区分方式正在受到来自网络空间的挑战。Deepfake技术横空出世,并且开放了源代码,让视频中的面孔不再真实,几乎成为了人工智能在伦理道德的反面典型。无论是面部特征的肆意收集还是对人脸的替换,都在不断挑战法律与伦理的底线。

人脸识别信息通常会被直接用于身份鉴别,能够取代用户名、密码的组合来验证身份,因此面部特征被广泛运用于核验身份。机场、火车站开始越开越多地部署人脸识别闸机,很多时候不用刷身份证、刷脸即可完成检票,手机刷脸即可完成解锁、支付。银行开户时需要在摄像头前“眨巴”眼睛以确认是本人操作。一些手机游戏也开始启用了人脸识别验证的功能,作为保护未成年人健康上网的举措。根据网络游戏管理的相关规定,对未成年人玩游戏的时间需要进行限制,传统上是通过输入身份证号码的方式验证年龄,但越来越多的未成年人使用家长的身份证来绕开这一限制,这也就需要网络游戏企业去核验真正玩游戏的人。比如《王者荣耀》会将用户真实面部信息与公安数据平台数据源进行比对,并按用户实际年龄段匹配相应的游戏时限。如比对结果不符或用户拒绝验证,健康系统将统一视作12周岁及以下未成年人,纳入相应的防沉迷监管。

人脸识别技术不仅适用于用户主动配合的核验场景,也被用于被动识别的场景。比如很多地方都在路口部署了摄像头以识别闯红灯的行人,并在旁边树立显示屏实时显示闯红灯行人的姓名、身份证号等信息,每每都会引起隐私的争议。在商业领域亦然,广告屏收集用户的面部表情的技术已经出现并且投入运用,实时分析用户对播放广告所反映出的喜怒哀乐。

继续阅读

数据法律保护的蹊径:技术路线

一、数据法律的研究基础

数据已经成为诸多机构最为重要的资产之一,“数据资产”的概念不断被提及。而5G标准普及在即,数据在存储、传输、处理能力的飞速提高,随之而来的是数据量猛增与数据流动的日趋频繁,所以5G不仅会带来新的商业模式,更多的数据风险与数据争议也会随之而来。数据质量的提升无疑会带来更大的商业价值,也会带来更多的风险与纠纷。

数据的权利(益)、竞争的边界都需要建立在法律对计算机与网络空间技术构架的理解之上。网络空间的逻辑与规则是构建、理解规则的基础。研究物权的前提是对现实空间里的物理规则有所了解,只是物理规则我们已经习以为常,是中学的必修课程。但网络空间的规律我们却相对陌生,很多规律还不属于我们的常识范畴,但抛开技术构架所搭建的数据规则有如沙滩上的城堡,可能外表绚丽自洽,但缺少根基,无法真正起到指引与规制数据经济的作用,无法在执法与争议中适用。只有对技术构架有精准的理解,才能有效提出诉讼请求,不至于让法院根据诉讼请求的裁判结果难以执行。

当法律开始关注网络日志的留存时间,当国家技术推荐标准为律师们所关注,在数据保护的领域,法律技术化与技术法律化的趋势愈发明显,数据的保护需要法律与技术齐头并进。而在诸多技术中,最值得关注的是数据库技术(控制与操作数据)、加密技术(划定数据权利的边界)以及爬虫技术(获取数据)。

继续阅读

数据保护:如何做是好?

一、失控的数据

数据(个人信息)保护的问题几乎令人绝望,不仅是对个人而言,对企业来说也是如此。

虽然所有人都认为个人对数据的权利无可厚非,但如何去保护这样的权利却是难以落实。几乎所有人都要饱受数据泄露之苦,也几乎所有企业都会因为法律为数据保护设定的“过高”要求叫苦不迭,认为增加了合规成本。当前,无论是中国、美国或是欧盟,各国(区域)法律关于数据收集、使用大都以用户的“知情-同意”为合法的基础,可以说“知情-同意”是当前数据保护领域最为重要的基石之一。

在“知情-同意”的背后,是用户对厂商的授权,授权厂商根据用户“同意”的内容收集、使用个人信息。但这样的同意机制导致了各方关于数据保护问题的绝望。一方面“同意”形同虚设,少有用户会去关注自己到底点击同意了什么;另外一方面,在一些场景下,获得“同意”几乎是不可能完成的任务。比如公共场合使用人脸识别技术对人脸影像进行商业性的收集、分析,几乎没有获取用户同意的可能,因此旧金山严格限制人脸识别技术的使用。而在更多情况下,用户所面临的是如果拒绝提供个人信息,厂商则会拒绝提供服务。

在数据利用的法律关系下,厂商草拟的“隐私政策”是核心的文件,厂商通过“隐私政策”向用户告知数据利用的范围与方式,用户点击同意。但问题在于这样一份重要的协议几乎无人阅读,而“隐私政策”本身也佶屈聱牙,难以理解。况且,对用户来说读与不读又有何差异呢?因此,各国的“隐私政策”都更像是一份为了应付监管,而非构建与用户之间法律关系的文件。因此,“知情-同意”的窘境是用户个人在很多时候既不知情,也没法不同意。而在此之上构建的数据经济大厦,有必要重新审视。

继续阅读

首例(?)云服务器侵权案:云背后的法律线

  • 案件名称:乐动卓越诉阿里云侵犯著作权案
  • 案号:(2017)京73民终1194号
  • 审理法院:北京知识产权法院
  • 上诉人(一审被告):阿里云计算有限公司
  • 被上诉人(一审原告):北京乐动卓越科技有限公司
  • 裁判日期:2019年6月20日
  • 裁判结果:撤销一审判决,驳回乐动卓越诉讼请求

早在案件一审判决结果公布时,我就从数据角度写过一篇《数据与知识产权分野时》,讨论数据与知识产权的边界:

阿里云作为服务器提供商,在网络世界中所扮演的角色就像是房东一样,对于房客是否在房屋内从事侵犯知识产权的行为没有直接的责任,但也并不是说全无责任,房东在特定的情况下有义务披露房客信息,协助调查维权。如何把握这个度,平衡好信息网络传播权与数据安全就成为了一个关键的问题。

如今案件二审定谳,长达52页的判决书也随之公布,其中有相当的内容值得留意。

继续阅读

《数据安全法》前瞻

在2018年9月公布的“十三届全国人大常委会立法规划”中,《数据安全法》与其他68部法律被列为“条件比较成熟、任期内拟提请审议的法律草案”。在2019年十三届全国人大二次会议新闻发布会上,大会发言人张业遂表示在2019年将推进《数据安全法》立法工作。《数据安全法》的立法已经走上快车道。

但与《个人信息保护法》的大量研究讨论以及高关注度相比,《数据安全法》却显得有些“落寞”,学者们与媒体对《数据安全法》的讨论与研究并不多见,这与大数据在各行各业受到的追捧形成了鲜明的对比,因此有必要给予《数据安全法》更多关注。

一、《数据安全法》与其他法律的关系

在《网络安全法》已经生效的情况下,《数据安全法》的定位就显得尤其重要。《网络安全法》中关于数据已经有了一些规定,比如明确网络数据“是指通过网络收集、存储、传输、处理和产生的各种电子数据。”(第76条)并且指出“网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。”(第76条)《数据安全法》在制定时,需要与《网络安全法》做好衔接。

《数据安全法》与《网络安全法》同是《国家安全法》的配套法规。《国家安全法》明确提出“国家……实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控;……”(第25条)《国家安全法》的定位意味着《数据安全法》并不仅是《网络安全法》的配套法律,更是与《网络安全法》一样作为国家整体安全观的组成部分。如果说《网络安全法》更多地关注网络空间与网络数据的保护,那么《数据安全法》与之相比将更多关注数据的安全可控,而且《数据安全法》也将不只是关注网络数据,还会关注更广范围的数据,尤其是非网络数据的安全。《数据安全法》与《网络安全法》将各有侧重,互相补充,共同构筑网络空间安全与数据安全。

继续阅读