标签归档:数据

数据安全顶层设计奠基:《数据安全法(草案)》公开征求意见

2020年7月伊始,《数据安全法(草案)》在千呼万唤中得以亮相,成为总体国家安全观下新的拼图,与《国家安全法》《网络安全法》《核安全法》及未来的《生物安全法(草案)》并立。

《数据安全法(草案)》目前只是初次公开征求意见,条文距离最终文本还存在很大的不确定性,但更为重要的是揭示出的立法趋势。

一、界定概念

《数据安全法(草案)》对一些基础概念进行明确:

二、设立义务

对于大多数企业来说,更为关注的是《数据安全法(草案)》新设立了哪些义务,企业需要新采取哪些合规措施。在《数据安全法(草案)》中列明了以下项目:

其中处理重要数据需要报送风险评估报告需要包括以下内容:

如果违反,则可能面临以下行政处罚:

三、数据交易

在2020年4月,《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》提出“引导培育大数据交易市场,依法合规开展数据交易”,并将数据列为一种生产要素,要求:

(二十二)加强数据资源整合和安全保护。探索建立统一规范的数据管理制度,提高数据质量和规范性,丰富数据产品。研究根据数据性质完善产权性质。制定数据隐私保护制度和安全审查制度。推动完善适用于大数据环境下的数据分类分级安全保护制度,加强对政务数据、企业商业秘密和个人数据的保护。

在《数据安全法(草案)》对数据交易的中介机构专门要求,如果违反,最高也会面临100万元的罚款或吊销经营许可:

  • 提供方说明数据来源
  • 审核交易双方的身份
  • 并留存审核、交易记录

国家标准《信息安全技术 数据交易服务安全要求》(GB/T 37932-2019)会成为《数据安全法》适用所倚重的对象,对交易过程的技术措施与管理措施进行了框架性的规定。此外在该国家标准中设计了数据交易服务的参考框架:

四、立法与监管方向

相较于草案阶段的义务,未来立法与监管的方向同样值得留意。

《数据安全法(草案)》不仅在关注境内的数据获得,同样赋予了管辖境外数据活动的“长臂”,并且加入了“对等原则”,即如果境外国家(地区)在与数据和数据开发利用的投资、贸易方面对中国采取歧视性措施,中国也会采取对等措施。但具体如何判断歧视性措施,对等措施如何采取则有待未来立法进一步明确,这恐怕需要不短的时间。

除了设置自己的“长臂”,《数据安全法(草案)》对海外的“长臂”(如欧洲GDPR、美国“云法案”)同样进行了回应,针对海外执法机构在境内调取数据,同样进行了限制。要求向主管机关报告并获得批准或依据中国加入的国际条约,方可提供数据。

此外,未来围绕数据的立法与监管可能会在以下方向着力:

  • 管辖境外影响境内合法权益的数据活动
  • 向境外执法机构提供数据的流程
  • 数据分级分类,由各地区、部门制定重要数据保护目录
  • 统一的数据安全风险评估、报告、信息共享、监测预警机制
  • 数据安全应急处置机制
  • 数据安全审查制度,且审查是最终决定
  • 出口管制拓展至数据领域
  • ……

《网络安全法》从首次公开征求意见到最终生效历时接近两年,《数据安全法》也正在开始同样的进程:

《民法总则》虚拟财产/数据条款的适用

法律对数据、网络虚拟财产的保护有规定的,依照其规定。

《民法总则》第一百二十七条

在《民法总则》中,关于网络虚拟财产的保护有着语焉不详的一条,给法官留下了巨大的发挥空间。在最早版本的《民法总则(草案)》中,数据与知识产权一度被作为知识产权的客体,但随着修改其地位日益模糊。

在2019年12月版的《民法典(草案)》中,对数据、网络虚拟财产有着与《民法总则》一模一样的规定。看来,立法者把更多的悬念留给司法去适用。

自《民法总则》生效以来,已经有不少案件援引了第一百二十七条,稍微汇总了一下,以后可能会从中总结出更多规律吧。

1.冯亦然与北京乐酷达网络科技有限公司合同纠纷案

案号:(2018)京01民终9579号

冯亦然诉讼请求的法律基础。民事权利是受法律保护的特定利益,其因种类不同而有不同的客体。所有权的客体是物,债权的客体是债务人的给付行为。本案冯亦然请求交付比特币现金系基于何种权利,是首要解决的基本问题。《中华人民共和国民法总则》第一百二十七条规定:“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”虽然比特币本身不包含固有价值,比特币持有人须通过分布存储且全网确认的“公共记账簿”(数据库)所记载的信息而行使占有、使用、收益、处分的权能,但鉴于我国现行法律没有将比特币等网络虚拟财产规定为物权法上的“物”,因而基于物权法定原则,冯亦然无法按照所有权的法律规定(如孳息)而要求乐酷达公司交付比特币“分叉”所产生的比特币现金。应当看到,比特币的交易现实存在,持有者仍然希望藉此获取利益,在网络环境下的商品交换过程中,比特币的价值取决于市场对比特币充当交易媒介的信心,所以,比特币属于合同法上的交易对象,具有应当受到法律保护的“民事利益”。冯亦然的诉讼请求,存在合同法上的依据。

2.王洋与方勇民间借贷纠纷案

案号:(2018)皖0403民初1927号

本院认为,公民之间合法的借贷关系应当受到法律保护,债权人有权要求债务人按照合同的约定或者依照法律的规定履行义务。本案涉案财物属于通过网络游戏投资挣钱,根据《中华人民共和国民法总则》第一百二十七条之规定,属于“网络虚拟财产”,适用财产的一般规定;被告拖欠原告王洋1061元有欠条为证,双方之间形成债权债务关系,原告王洋在庭审中对于被告方勇已归还其325元的事实予以认同,本院依法予以确认;原告王洋要求被告方勇归还尚欠余款736元的诉讼请求,本院依法予以确认。被告方勇经本院依法送达开庭传票,无正当理由未到庭,视为放弃答辩的权利。

3.张凤美与黄灿煌合同纠纷案

案号:(2017)鲁0303民初1733号

本院认为,虚拟财产权受法律保护。原告张凤美作为(https://jiyoujia36739403.jiyoujia.com/)ID米陶乐账号的注册人,其对该虚拟店铺享有受法律保护的财产权利。且根据原、被告签订的《网店店铺使用协议》,被告对该店铺归属于原告并未提出异议,且双方在协议中约定使用期满后店铺应归还持有人张凤美,现使用期满后被告拒绝归还,既无法律依据,亦不符合合同约定,被告的行为构成违约,故对于原告要求被告返还店铺并支付赔偿金20万元的诉讼请求,本院予以支持。双方在签订补充协议时将违约损失由5万元调整为20万元,该调整系双方自愿协商且充分考虑店铺使用价值及经营情况作出的约定,被告黄灿煌无正当理由拒绝返还原告店铺,给原告造成较大财产损失,故对于原告要求被告赔偿违约损失20万元,本院予以支持。“1号家装馆”标志在长期使用过程中,已经具备一定的商业价值,且双方在补充协议中约定该标志归被告黄灿煌所有,由被告支付原告标志转让费2万元,故原告要求被告支付该转让费,符合合同约定,且不违反法律规定,本院予以支持。原、被告共同经营使用涉案店铺,并在经营过程中形成涉案店铺所占有的网络权重,现被告黄灿煌主张涉案网店的权重应与网店分离,由被告黄灿煌所有,于法无据,本院不予支持。

4.李某某、韩某返还原物纠纷案

案号:(2018)冀01民终13196号

一审法院认为,原告在网络游戏《大话西游0nlineII》中所实际控制的四个游戏账号中的游戏角色及附带物品属于《中华人民共和国民法总则》第一百二十七条所规定的网络虚拟财产,对该财产的合法权利应当予以保护。根据庭审确认的事实,原告韩某将自己实际控制的游戏账号交给被告李某某使用,被告在此使用过程中应当基于善意、合理的原则,不得对原告的权利造成损害。而被告在使用原告账号过程中,在没有经过原告同意的情况下,擅自将游戏中的角色和装备以明显不合理的低价出售给自己,明显侵害了原告的网络虚拟财产权利,故原告要求被告返还原物或赔偿损失的请求,本院予以支持。

5.中国电信股份有限公司厦门分公司、赖孝君电信服务合同纠纷案

案号:2018闽02民终3796号

本院认为,赖孝君与电信公司签订了《业务服务协议》,二者之间成立合法有效的电信服务合同关系,赖孝君基于此合法享有对案涉优号的使用权和处分权。根据我国《民法总则》第一百二十七条,公民的虚拟财产受法律保护,现赖孝君要求将案涉优号过户给陈太勇,系对其合法财产权益的正当处分,并未违反法律或者双方合同的约定,电信公司无权拒绝为其办理过户手续。

6.徐咪咪与陈小波返还原物纠纷案

案号:(2019)赣0922民初1113号

本院认为,关于比特币的法律性质,2013年12月5日中国人民银行等五部委《关于防范比特币风险的通知》中明确规定“比特币应当是一种特殊的虚拟商品,不具有与货币同等的法律地位,不能且不应当作为货币在市场上流通使用”,由此可以看出,我国只是禁止比特币作为货币流通使用,但对比特币作为特殊商品的即物的持有和使用以及流转并未禁止。2017年9月4日,中国人民银行等七部门发布《关于防范代币发行融资风险的报告》规定任何组织和个人不得非法从事代币发行融资活动以及代币融资平台不得买卖“虚拟货币”,但并未禁止比特币等“虚拟货币”的持有和合法流转。故原、被告之间就比特币的借用不违反法律规定,原告向被告出借比特币后,被告应按双方约定期限归还所借之物。被告抗辩称原告并非标的物的所有人,不享有标的物的返还请求权,本案中被告基于借用关系收到原告交付的比特币情况属实,其并无证据证明收到的比特币为他人所有,故负有向原告返还的义务。因此,对原告要求被告返还比特币30个的诉讼请求,本院予以支持。依照《中华人民共和国民法总则》一百二十七条、《中华人民共和国合同法》第六十条、《中华人民共和国民事诉讼法》第一百四十二条之规定,判决如下:……

7.蒋波与赵元军不当得利纠纷案

案号:2018川0823民初793号

本院认为,法律对数据和网络虚拟财产应当予以保护。随着科技和互联网金融的发展,财付通和支付宝日益成为商品交易和代替货币流通的重要媒介,微信支付平台通过互联网与银行等金融机构链接和绑定账号,可以自由提现,具有货币价值。同时,人民法院对财付通账户资金已具有查控和划扣功能。因此,原告转出的微信资金具有财产属性。被告在本案中获得财产利益没有法律根据,原告财产利益因此受到损害,有权依法要求被告返还。

8.张明生与李柏超占有物返还纠纷案

案号:(2018)黑0110民初5010号

本院认为,雷达币具有了一般商品的属性,具有价值和使用价值及交换属性,亦具备了真实财产的基本特性,其虽然是网络虚拟财产的一种,即无形财产,但雷达币的所有人对自己的虚拟财产依法享有占有、使用、收益、处分的权利。根据我国法律规定,法无明文禁止即可为的民事法律原则,当前我国法律并未禁止虚拟货币在网络空间交易,所以雷达币作为虚拟财产的一种,在民事活动中,应受到法律保护。具体到本案,被告李柏超利用原告张明生委托其注册雷达钱包账号的机会私自将原告雷达币转走,其行为侵犯了原告的财产权益,由于雷达币的交易流通是通过互联网交易平台进行交易流通,其兑价比率适时变化,难以确定雷达币的市场现值和孳息的计算,故本院认为对于原告张明生的诉讼请求应以原物返还予以支持为宜。

数据法律保护的蹊径:技术路线

一、数据法律的研究基础

数据已经成为诸多机构最为重要的资产之一,“数据资产”的概念不断被提及。而5G标准普及在即,数据在存储、传输、处理能力的飞速提高,随之而来的是数据量猛增与数据流动的日趋频繁,所以5G不仅会带来新的商业模式,更多的数据风险与数据争议也会随之而来。数据质量的提升无疑会带来更大的商业价值,也会带来更多的风险与纠纷。

数据的权利(益)、竞争的边界都需要建立在法律对计算机与网络空间技术构架的理解之上。网络空间的逻辑与规则是构建、理解规则的基础。研究物权的前提是对现实空间里的物理规则有所了解,只是物理规则我们已经习以为常,是中学的必修课程。但网络空间的规律我们却相对陌生,很多规律还不属于我们的常识范畴,但抛开技术构架所搭建的数据规则有如沙滩上的城堡,可能外表绚丽自洽,但缺少根基,无法真正起到指引与规制数据经济的作用,无法在执法与争议中适用。只有对技术构架有精准的理解,才能有效提出诉讼请求,不至于让法院根据诉讼请求的裁判结果难以执行。

当法律开始关注网络日志的留存时间,当国家技术推荐标准为律师们所关注,在数据保护的领域,法律技术化与技术法律化的趋势愈发明显,数据的保护需要法律与技术齐头并进。而在诸多技术中,最值得关注的是数据库技术(控制与操作数据)、加密技术(划定数据权利的边界)以及爬虫技术(获取数据)。

继续阅读

数据保护:如何做是好?

一、失控的数据

数据(个人信息)保护的问题几乎令人绝望,不仅是对个人而言,对企业来说也是如此。

虽然所有人都认为个人对数据的权利无可厚非,但如何去保护这样的权利却是难以落实。几乎所有人都要饱受数据泄露之苦,也几乎所有企业都会因为法律为数据保护设定的“过高”要求叫苦不迭,认为增加了合规成本。当前,无论是中国、美国或是欧盟,各国(区域)法律关于数据收集、使用大都以用户的“知情-同意”为合法的基础,可以说“知情-同意”是当前数据保护领域最为重要的基石之一。

在“知情-同意”的背后,是用户对厂商的授权,授权厂商根据用户“同意”的内容收集、使用个人信息。但这样的同意机制导致了各方关于数据保护问题的绝望。一方面“同意”形同虚设,少有用户会去关注自己到底点击同意了什么;另外一方面,在一些场景下,获得“同意”几乎是不可能完成的任务。比如公共场合使用人脸识别技术对人脸影像进行商业性的收集、分析,几乎没有获取用户同意的可能,因此旧金山严格限制人脸识别技术的使用。而在更多情况下,用户所面临的是如果拒绝提供个人信息,厂商则会拒绝提供服务。

在数据利用的法律关系下,厂商草拟的“隐私政策”是核心的文件,厂商通过“隐私政策”向用户告知数据利用的范围与方式,用户点击同意。但问题在于这样一份重要的协议几乎无人阅读,而“隐私政策”本身也佶屈聱牙,难以理解。况且,对用户来说读与不读又有何差异呢?因此,各国的“隐私政策”都更像是一份为了应付监管,而非构建与用户之间法律关系的文件。因此,“知情-同意”的窘境是用户个人在很多时候既不知情,也没法不同意。而在此之上构建的数据经济大厦,有必要重新审视。

继续阅读

评分系统保卫战

豆瓣的评分闹得满城风雨,无论是豆瓣上《流浪地球》的评分还是各App商店里豆瓣的评分,都一时成了焦点。“豆瓣评分”早已作为商标进行保护,现在看来还有可能拥有一个新的保护维度。

前几天看到一个颇为有趣的案子,浙江淘宝网络有限公司诉杜某等网络侵权责任纠纷案。

  • 案号:(2018)苏0684民初5030号
  • 审理法院:江苏省海门市人民法院
  • 案由:网络侵权责任纠纷
  • 原告:浙江淘宝网络有限公司
  • 被告:杜某、邱某某、张某某
  • 裁判日期:2019年1月17日
  • 裁判结果:被告杜某、邱某某、张某某分别赔偿原告浙江淘宝网络有限公司经济损失(含合理费用)10001元、6000元、4000元。
继续阅读

隔靴如何搔痒:问责算法

一、“黑箱”的烦恼

机器学习技术的兴起让人工智能成为近几年来最为火热的技术之一,各行各业都开始陷入人工智能的狂热之中。目前大部分机器学习算法,都是基于人工神经网络(Artificial Neural Network,即ANN)来构建的。人工神经网络是由大量处理单元互联组成的非线性、自适应信息处理系统。它是在现代神经科学研究成果的基础上提出的,试图通过模拟大脑神经网络处理、记忆信息的方式进行信息处理

人工智能对法律的挑战同样存在,算法的不透明是其中最为重要的挑战之一,决策依据不透明导致风险不可控,而神经网络的决策过程也被视为“黑箱”。

当王思聪在新浪微博上的抽奖暴露出新浪微博抽奖算法对男性用户的歧视;当华为手机采用人工智能优化了CPU、GPU、NPU等性能的调度,在识别跑分测试应用程序会智能开启“性能模式”来提供最强的性能,当短视频疯狂根据浏览习惯推荐视频;当百度搜索把QQ邮箱的“山寨版”置于搜索结果首位……尽管这些算法未必都与神经网络或是机器学习有关,但算法对法律的挑战已经来到前台。

继续阅读