APP大數(shù)據(jù)：共享和保護的分界在哪

提供公交查詢服務的APP“酷米客”后臺系統(tǒng)數(shù)據(jù)被同類APP“車來了”盜取，損失高達億元，日前“車來了”已被警方立案。有聲音認為公交數(shù)據(jù)是公共數(shù)據(jù)，分享應用能更好地服務社會。那么，此類軟件數(shù)據(jù)共享和保護的界限究竟在哪里？

建立數(shù)據(jù)分類分級保護制度

張韜（北京華訊律師事務所主任）

2014年3月攜程網(wǎng)發(fā)生數(shù)據(jù)泄露事件，部分用戶身份及銀行卡信息被泄露;同年12月，中國鐵路客戶訂票系統(tǒng)數(shù)據(jù)庫遭到黑客攻擊，超過13萬條用戶數(shù)據(jù)信息被泄露。手機APP軟件廣泛應用之前，近年來數(shù)據(jù)盜竊案件已經(jīng)在互聯(lián)網(wǎng)企業(yè)時有發(fā)生。這反映出數(shù)據(jù)信息領域的違法犯罪活動危害大、影響面廣、涉及人數(shù)眾多，而且往往會給用戶造成永久且不可逆的損害。數(shù)據(jù)信息泄露還可能給當事人造成二次傷害，比如有不法人員利用獲取的信息進行詐騙活動。

在平衡促進發(fā)展和保障權益時，對于數(shù)據(jù)信息應當遵循先保護、再合理利用及共享的發(fā)展原則。區(qū)分可交易的商業(yè)數(shù)據(jù)和商業(yè)秘密之間的界限，劃分個人一般信息和個人隱私信息的邊界，之后進行分類、分級保護，這樣的分級尤為重要。

我認為，商業(yè)數(shù)據(jù)信息、個人信息如果去身份化后，可以在限定的條件下交換、使用和共享，并不是對所有的商業(yè)數(shù)據(jù)信息和個人信息都要“一刀切”式的禁止分享，而是要根據(jù)相關數(shù)據(jù)信息的屬性（包括商業(yè)屬性和人身屬性等）、類別、對權利人造成的影響等多方面對其歸類，再根據(jù)具體的類別給予相應保護。

商業(yè)秘密和個人隱私是必須被保護的級別。商業(yè)秘密指不為公眾所知悉、具有商業(yè)價值并能為權利人帶來經(jīng)濟利益、經(jīng)過了權利人采取相應保密措施的技術信息和經(jīng)營信息。個人隱私包括自然人的基因信息、病歷資料、健康檢查資料、犯罪記錄、家庭住址、私人活動等。

要看取得數(shù)據(jù)的方式合法與否

龍衛(wèi)球（北京航空航天大學法學院院長）

數(shù)據(jù)公開是數(shù)據(jù)時代的一個重要制度，旨在通過促進數(shù)據(jù)向社會或公眾開放達到更加便利、更加公平利用和開發(fā)數(shù)據(jù)的效果。但是，數(shù)據(jù)公開只能在一定的范圍實施：首先，只適用于公共性數(shù)據(jù)，這是指具有公共利益相關性的數(shù)據(jù)，與私人包括個人、企業(yè)、特定機構自身利益相關的私密性數(shù)據(jù)，不屬于公開范圍。其次，只適用于公共主體，比如政府部門或者其他承擔公共事業(yè)的部門，其負有數(shù)據(jù)公開的義務，此項義務與政務公開、信息公開理論基礎相近。所以非公共部門，包括企業(yè)自己產(chǎn)生或收集的數(shù)據(jù)，通常不屬于數(shù)據(jù)公開的范圍。再次，數(shù)據(jù)公開還存在與其他原則的沖突權衡問題，數(shù)據(jù)公開必須讓位于數(shù)據(jù)安全、數(shù)據(jù)公平等，比如當數(shù)據(jù)公開與數(shù)據(jù)安全存在矛盾時，則不得公開。

APP商業(yè)數(shù)據(jù)，只有屬于公共部門產(chǎn)生、收集的情況下，才具有公開的義務。“酷米客”的數(shù)據(jù)信息具有商業(yè)價值，但只有該企業(yè)處于公共主體或者受公共主體委托的地位，才負有分享或公開數(shù)據(jù)的義務。

數(shù)據(jù)資產(chǎn)是數(shù)據(jù)時代企業(yè)的重要資源性財產(chǎn)。一個企業(yè)只有在得到數(shù)據(jù)資產(chǎn)保護的情況下，才有動力和保障去積極開發(fā)數(shù)據(jù)資源，通過數(shù)據(jù)手段去改進生產(chǎn)、經(jīng)營和服務，最終造福于市場和消費者。

我國既有法律體系在數(shù)據(jù)資產(chǎn)保護方面總體上存在極大的滯后性。應當與時俱進，加快立法速度，制定一部完善的數(shù)據(jù)基本法，就數(shù)據(jù)主體、數(shù)據(jù)治理、數(shù)據(jù)活動、數(shù)據(jù)關系、數(shù)據(jù)資產(chǎn)、數(shù)據(jù)安全、數(shù)據(jù)責任這些基本問題加以合理規(guī)范，確立有關依據(jù)和行為邊界。

遭遇數(shù)據(jù)被盜，有4種維權方式

肖颯（北京大成律師事務所合伙人）

刑法第285條規(guī)定了非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪。

“酷米客”與“車來了”這類APP公司發(fā)生數(shù)據(jù)盜竊案件之前，事實上物流快遞公司已經(jīng)有大量非法獲取計算機系統(tǒng)數(shù)據(jù)罪的案件。如2013年7月至2014年1月期間，周某通過網(wǎng)絡購買圓通系統(tǒng)賬號，非法進入圓通金剛系統(tǒng)并利用cookie劫持的方式繞過金剛系統(tǒng)權限認證，編寫代碼置于其控制的網(wǎng)站中，從圓通公司系統(tǒng)內(nèi)部盜取快遞單信息出售并非法獲取25萬元。后周某以非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪被判處有期徒刑3年3個月。

在信息網(wǎng)絡時代，盜取數(shù)字資產(chǎn)在證據(jù)認定和保存上我認為其實根本沒有難度——只要使用計算機信息系統(tǒng)，就會留下痕跡;即使數(shù)據(jù)被刪除，司法人員一般也可通過技術手段對數(shù)據(jù)予以恢復。當然，案件在偵查過程中可能因為網(wǎng)絡犯罪案件跨區(qū)域廣（許多案件是跨國作案）、作案人多、受害人多而導致搜集和認定證據(jù)產(chǎn)生一定困難。

遭遇商業(yè)數(shù)據(jù)被盜取，一般有4種維權方式，刑事報案（效率高，花費少）、民事追償（可控，但花費大）、談判（如非訴訟糾紛解決機制）、行政訴訟（解決政府不作為，立案難度大）。實踐中，權利人往往通過民事訴訟程序維護自己的合法權益，通過刑事訴訟程序維權的案例并不多見。

民事渠道與刑事渠道的難度和結果應該統(tǒng)一起來看。例如，犯罪嫌疑人以非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪被審理時，被害人也可以同時提起刑事附帶民事訴訟。

從多方向入手來保護數(shù)據(jù)資產(chǎn)

楊超（西安電子科技大學網(wǎng)絡與信息安全學院副教授）

盜取數(shù)據(jù)犯罪的危害和風險極大：泄露用戶隱私信息、侵害用戶名譽;侵害用戶利益，如盜取用戶金融賬戶信息，執(zhí)行非法轉賬等行為;利用用戶隱私信息給用戶發(fā)送垃圾信息或非法廣告，利用社會工程獲取用戶社會關系等更詳細的用戶隱私，為搶劫、勒索等惡性犯罪提供信息;利用盜取的商業(yè)數(shù)據(jù)，分析對手的商業(yè)秘密、惡意搶奪用戶資源，造成不平等競爭，等等。

企業(yè)信息系統(tǒng)存在各種各樣的漏洞，常見的有商業(yè)數(shù)據(jù)未加密存儲、數(shù)據(jù)加密密鑰信息熵值太低、數(shù)據(jù)加密密鑰明文存儲或密鑰文件訪問控制設置不當、數(shù)據(jù)加密參數(shù)設置不當，任何導致系統(tǒng)權限非法使用的系統(tǒng)漏洞等均可能造成數(shù)據(jù)信息的泄露。

電子商務中，由于大量數(shù)據(jù)信息采用計算機進行處理、存儲和傳輸，因此對電子商務企業(yè)的信息安全提出了更高的要求。特別是創(chuàng)新型企業(yè)，更需要重視數(shù)據(jù)知識產(chǎn)權的保護。

而對于擁有大量的終端用戶數(shù)據(jù)的手機APP企業(yè)來講，更應該從技術、管理、法律威懾等多個方向入手來切實保護其數(shù)據(jù)資產(chǎn)。信息安全管理方法主要包括基礎安全服務與框架確立、企業(yè)IT系統(tǒng)安全運維策略與方法、企業(yè)安全風險管理與合規(guī)三個主要方面。技術層面，建議企業(yè)要增強用戶身份認證方法、設計合理的訪問控制策略、對數(shù)據(jù)信息的生產(chǎn)、使用、存儲等全生命周期進行加密保護并妥善管理密鑰、設計備份容災策略、嚴格管理應用軟件的業(yè)務流程安全和開發(fā)應用安全。