論大數(shù)據(jù)時代數(shù)據(jù)安全法律綜合保護的完善
——以《網(wǎng)絡安全法》為視角

齊 愛 民

(廣西民族大學 法學院，廣西 南寧 530006)

?

論大數(shù)據(jù)時代數(shù)據(jù)安全法律綜合保護的完善
——以《網(wǎng)絡安全法》為視角

齊 愛 民

(廣西民族大學 法學院，廣西 南寧 530006)

大數(shù)據(jù)時代，數(shù)據(jù)安全面臨嚴峻挑戰(zhàn)，呈現(xiàn)出動態(tài)性、綜合性、整體性、風險的高度或然性和無序性等特點?！毒W(wǎng)絡安全法》的頒布迎來了數(shù)據(jù)安全的春天，這僅是萬里長征第一步。為充分應對大數(shù)據(jù)安全的新形勢，須變革思維，秉承發(fā)展與安全并重的原則，樹立多維立體的風險防控理念，建立關鍵基礎設施數(shù)據(jù)安全保護法律機制，推進數(shù)據(jù)本地化立法，加強數(shù)據(jù)跨境流動監(jiān)管，建立個人數(shù)據(jù)保護法律機制，加緊制定《個人數(shù)據(jù)保護法》，完善數(shù)據(jù)犯罪法律保護制度，加大對數(shù)據(jù)違法犯罪行為的打擊力度。

大數(shù)據(jù)；數(shù)據(jù)安全；數(shù)據(jù)保護；《網(wǎng)絡安全法》；立法完善

隨著信息技術的不斷進步，海量數(shù)據(jù)如潮水般撲面而來，人類開始大步踏入大數(shù)據(jù)時代。這個堪比石油、黃金的大數(shù)據(jù)，已成為社會重要財富和國家基礎性戰(zhàn)略資源。其安全問題不容小覷，如何采取法律措施保障大數(shù)據(jù)安全問題是我們當前亟待解決的重要課題。2016年11月17日，《中華人民共和國網(wǎng)絡安全法》(以下簡稱《網(wǎng)絡安全法》)頒布，可謂迎來了數(shù)據(jù)安全的春天。雖然該部法律以“網(wǎng)絡安全”命名，但數(shù)據(jù)安全構成其重要組成部分。本文以《網(wǎng)絡安全法》為視角探討大數(shù)據(jù)時代數(shù)據(jù)安全的法律保護，以期對大數(shù)據(jù)產(chǎn)業(yè)的發(fā)展以及國家的和諧穩(wěn)定有所裨益。

一、大數(shù)據(jù)時代數(shù)據(jù)安全面臨的新挑戰(zhàn)

大數(shù)據(jù)體量巨大，類型繁多，半結構化、非結構化數(shù)據(jù)等大量涌現(xiàn)且成為主流，其復雜性使得數(shù)據(jù)安全所面臨的威脅和挑戰(zhàn)隨著數(shù)據(jù)規(guī)模非線性增長。

(一)黑客攻擊成為大數(shù)據(jù)安全的重大隱患

大數(shù)據(jù)來源廣泛，個人、企業(yè)、移動智能終端、傳感器、可穿戴設備等每天都產(chǎn)生大量數(shù)據(jù)，這些海量數(shù)據(jù)具有無限潛在價值；特別是隨著數(shù)據(jù)急劇聚合所形成規(guī)?；瘮?shù)據(jù)平臺或中心的出現(xiàn)，使得大數(shù)據(jù)對黑客而言誘惑力更大，極易成為攻擊對象。2016年1月，媒體與娛樂界巨頭美國時代華納公司(Time Warner Inc.)公開表示旗下近32萬用戶郵件和密碼數(shù)據(jù)被黑客竊??；全球最大的職業(yè)社交網(wǎng)站領英(LinkedIn)于同年5月證實，超過1.67億個領英用戶登錄數(shù)據(jù)(如電子郵件、用戶密碼等) 被黑客組織竊取并在黑市公開售賣[1]；同年12月，雅虎自曝遭黑客攻擊，超過15億用戶的賬戶數(shù)據(jù)被盜，涉及用戶名、電子郵件地址、電話號碼、出生日期、加密或未加密的安全問題和答案等[2]，這可能是單一網(wǎng)站史上規(guī)模最大的數(shù)據(jù)泄露事件。以上僅是冰山之一角，但可以窺見黑客們對大數(shù)據(jù)的情有獨鐘，數(shù)據(jù)安全問題日益突出。

(二)多樣化攻擊技術的應用

大數(shù)據(jù)時代，黑客常常利用大數(shù)據(jù)技術發(fā)動攻擊，攻擊方式日趨多元，攻擊類型日趨復雜，攻擊也更精準。黑客可最大限度地收集一切有用數(shù)據(jù)為攻擊做好準備，進而利用大數(shù)據(jù)技術操縱僵尸網(wǎng)絡(Botnet)中的眾多傀儡機同時發(fā)起攻擊。例如，2016年9月，法國一家擁有分布在16個國家共計超過70萬用戶的網(wǎng)站托管服務公司OVH遭遇超大型分布式拒絕服務(Distributed Denial of Service，DDoS)攻擊，攻擊者利用感染僵尸程序的145 607個攝像頭形成僵尸網(wǎng)絡實施攻擊，服務器被攻擊的峰值達到了每秒1 Tb[3]。此外，大數(shù)據(jù)也往往被當作高級可持續(xù)威脅(Advanced Persistent Threat，APT)的載體，威脅代碼隱藏在浩瀚的數(shù)據(jù)洪流當中，讓受害者無從察覺，即使發(fā)現(xiàn)，也如大海撈針般難以查找到風險點。例如著名的APT攻擊“極光行動”(Operation Aurora)，攻擊者對谷歌公司(Google Inc.)所用瀏覽器的漏洞代碼進行加密變形，并使用不同的免費二級域名作為跳板遠程控制木馬發(fā)動攻擊，導致整個Google網(wǎng)絡被多個變種惡意代碼滲透數(shù)個月，造成各種系統(tǒng)的數(shù)據(jù)被竊取[4]。無獨有偶，索尼影視娛樂公司(Sony Pictures Entertainment)也遭遇重大APT網(wǎng)絡攻擊，大量商業(yè)機密被泄露[5]。

(三)關鍵基礎設施成為攻擊對象

“大數(shù)據(jù)堪稱智能交通、智能電網(wǎng)、智慧城市等國民經(jīng)濟運行和社會發(fā)展高度依賴的信息基礎設施‘血液’，這些重要的信息系統(tǒng)、基礎設施網(wǎng)絡化智能化程度越高，安全也就越脆弱；速度越快，風險也就越大?！盵6]近年來，針對關鍵基礎設施的攻擊愈來愈頻繁，數(shù)據(jù)安全面臨極大考驗。例如震驚世界的“震網(wǎng)”(Stuxnet)病毒，作為全球首個定向攻擊基礎設施的網(wǎng)絡“超級破壞性武器”，該高端蠕蟲病毒已經(jīng)感染全球逾 45 000個網(wǎng)絡，其中伊朗核電站遭到的攻擊最為嚴重，所受影響已無法簡單用經(jīng)濟損失來衡量[7]。德國RWE電力集團旗下核電站在2016年4月的安全檢測中亦發(fā)現(xiàn)計算機系統(tǒng)感染病毒，發(fā)電廠被迫關閉[8]。同年10月21日，美國域名服務器管理服務供應商Dyn遭遇網(wǎng)絡攻擊，攻擊者利用惡意程序劫持海量物聯(lián)網(wǎng)設備資源，進而反向攻擊關鍵信息基礎設施——域名系統(tǒng)，導致Twitter、Netflix、亞馬遜等知名網(wǎng)站在美國東海岸集體宕機超過兩個小時[9]。《網(wǎng)絡空間安全藍皮書：中國網(wǎng)絡空間安全發(fā)展報告(2016)》指出，境外黑客組織“海蓮花”(Ocean Lotus) 一直以來針對我國重要信息系統(tǒng)和關鍵基礎設施進行APT攻擊，數(shù)據(jù)安全態(tài)勢嚴峻。

(四)數(shù)據(jù)非法跨境流動威脅數(shù)據(jù)主權

據(jù)麥肯錫研究院報告顯示，數(shù)據(jù)流動在十幾年前還很少見，而如今數(shù)據(jù)跨境流動激增，正在改變?nèi)蚧膭討B(tài)發(fā)展進程[10]1。隨著云計算、大數(shù)據(jù)時代的接踵而至，數(shù)據(jù)跨境流動已成常態(tài)化，范圍愈來愈廣，規(guī)模愈來愈大，內(nèi)容愈來愈多，造成的影響也愈來愈深遠。數(shù)據(jù)的跨境流動不僅會削弱數(shù)據(jù)主體對自身數(shù)據(jù)的控制權，難以保護自身合法權益，國家關鍵數(shù)據(jù)資源的流失還會危及一國數(shù)據(jù)主權。此外，原始數(shù)據(jù)從發(fā)展中國家流向發(fā)達國家，經(jīng)由這些國家處理、分析后又反饋回輸出國，造成發(fā)展中國家對發(fā)達國家數(shù)據(jù)產(chǎn)品的依賴，從而造成數(shù)據(jù)主權的喪失，直接導致一國的經(jīng)濟、文化狀況等易被發(fā)達國家所掌握，從而影響該國在經(jīng)貿(mào)往來和國際交往中的話語權以及文化發(fā)展自主權。

(五)大數(shù)據(jù)核心個人數(shù)據(jù)成為侵犯重點

大數(shù)據(jù)的“原材料”中大部分來自于人和傳感器，包括用戶上網(wǎng)購物、搜索并瀏覽網(wǎng)站留下的數(shù)據(jù)印跡、微博、微信等社交工具中的評論、傳感器數(shù)據(jù)、監(jiān)視數(shù)據(jù)等等。這些 碎片化數(shù)據(jù)若經(jīng)過技術處理可形成完整的“人格拼圖”，使人們無所遁形。大數(shù)據(jù)時代，人們變得越來越透明，而數(shù)據(jù)的權利界限卻越發(fā)模糊，個人數(shù)據(jù)成為侵權的重災區(qū)。許多企業(yè)、組織或個人基于大數(shù)據(jù)價值的驅動，過度收集、肆意處理并不加限制地使用和發(fā)布個人數(shù)據(jù)，還有相當多大企業(yè)之間或企業(yè)與第三方之間“共享”用戶數(shù)據(jù)[11]230，導致個人數(shù)據(jù)的“暴露面”無限擴大，嚴重侵犯公民個人數(shù)據(jù)權。近年來愈演愈烈的電信詐騙案背后凸顯的就是個人數(shù)據(jù)安全問題。

二、大數(shù)據(jù)時代數(shù)據(jù)安全的特點

大數(shù)據(jù)時代是一個最好的時代，也是一個最壞的時代。在這個時代，大數(shù)據(jù)把網(wǎng)絡空間與現(xiàn)實社會緊密地聯(lián)結在一起，給人類生產(chǎn)和生活帶來極大便利的同時，也將傳統(tǒng)安全問題與非傳統(tǒng)安全問題糅雜為一體，使數(shù)據(jù)安全以一個全新姿態(tài)躍然而出。

(一)大數(shù)據(jù)安全的動態(tài)性

大數(shù)據(jù)本身并不是一個靜態(tài)的概念，其處于實時高速流動之中，相應的，大數(shù)據(jù)安全也處于一個動態(tài)過程，其中涉及數(shù)據(jù)的收集、處理、存儲等各個環(huán)節(jié)的安全以及數(shù)據(jù)處理平臺的安全等。從個人數(shù)據(jù)安全問題就可見一斑。傳統(tǒng)安全語境中，個人數(shù)據(jù)處于一種分散、孤立的靜止狀態(tài)，單一地考量某些個人數(shù)據(jù)可能無法關聯(lián)到公民個人，而大數(shù)據(jù)具有數(shù)量和范圍的無限性以及動態(tài)挖掘的可能性，那些在過去看似無用的碎片數(shù)據(jù)在匯集、處理之后有可能識別出公民個人身份甚至還原出其完整的人格原貌。此外，大數(shù)據(jù)時代，數(shù)據(jù)安全的威脅來源和攻擊手段亦處在不斷變化之中，傳統(tǒng)的數(shù)據(jù)安全保護措施已無法滿足現(xiàn)代形勢的發(fā)展要求。

(二)大數(shù)據(jù)安全的綜合性

大數(shù)據(jù)時代，數(shù)據(jù)之所以大，主要在于人類記錄范圍的不斷擴大[12]258。源于此“大記錄”，大數(shù)據(jù)之上承載了人格、財產(chǎn)、社會安全、國家安全等不同性質(zhì)的利益[13]69，數(shù)據(jù)安全問題也已遠遠超出技術安全、系統(tǒng)保護的范疇，發(fā)展成為涉及政治、經(jīng)濟、文化、社會、軍事等領域的綜合安全。例如， 2016年美國大選之季，民主黨全國委員會、籌款委員會、總統(tǒng)候選人希拉里競選團隊的計算機網(wǎng)絡接連被黑客攻擊[14]，近2萬封郵件被披露，該“郵件門”事件折射出數(shù)據(jù)安全已向政治領域滲透。又如，在軍事領域，國防建設數(shù)據(jù)、軍事數(shù)據(jù)等的竊密將直接威脅國家軍事安全；現(xiàn)代數(shù)據(jù)化戰(zhàn)爭的決勝關鍵已不是消滅敵人有生力量的多少，而是能否在大數(shù)據(jù)這個無硝煙的戰(zhàn)場之上首先搶占制數(shù)據(jù)權[15]110。在經(jīng)濟領域，雅虎自2016年12月14日曝出用戶數(shù)據(jù)被竊之后，公司股票在當天下午盤后交易中下跌2.5%，其將被美國電信巨頭威瑞森(Verizon)以48億美元價格收購的計劃也將擱淺[2]。

(三)大數(shù)據(jù)安全的整體性

隨著技術的更迭，大數(shù)據(jù)與互聯(lián)網(wǎng)、云計算、基礎設施等融合為深度關聯(lián)、相互依賴的整體，在這個生態(tài)空間中，數(shù)據(jù)安全問題可謂牽一發(fā)而動全身。以云計算為例，云計算是一種獨立而靈活的計算資源獲取平臺和數(shù)據(jù)處理模式[16]70，如果沒有云計算這條高速公路的支撐，大數(shù)據(jù)這輛汽車就只能停留在“價值可能性”的狀態(tài)，毫無用武之地。云計算中數(shù)據(jù)采用分布式存儲，具體存儲位置不斷變化，這種存儲的分散性和多變性導致用戶數(shù)據(jù)安全面臨一系列潛在威脅[16]71-72。此外，以云計算架構平臺為目標的攻擊，致使其上的大數(shù)據(jù)資源也被牽連其中。 可見，大數(shù)據(jù)安全遠非局部問題這么簡單，已上升為全局性戰(zhàn)略問題。

(四)大數(shù)據(jù)安全風險的高度或然性與無序性

大數(shù)據(jù)時代，數(shù)據(jù)安全從計算數(shù)據(jù)延伸到互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、可移動便攜設備等終端數(shù)據(jù)甚至云端，每一個數(shù)據(jù)源的出現(xiàn)都會成為潛在的受攻擊點；加之大數(shù)據(jù)與云計算、互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等深度融合，致使數(shù)據(jù)安全風險大大提升。大數(shù)據(jù)安全體現(xiàn)出冪律分布的特點，若遭遇威脅，數(shù)據(jù)源頭分散的微小攻擊雖然頻繁但是單次攻擊的涉及面并不廣，而針對云端或擁有海量數(shù)據(jù)的大型企業(yè)的攻擊，僅僅一次就有可能造成難以估量的大范圍損失。信息技術的日新月異導致數(shù)據(jù)安全的威脅與日俱增并溢出其控制能力之外，該種安全威脅伴隨著迸發(fā)的不確定性，這種流動的充滿不確定性的數(shù)據(jù)體系極好地詮釋了大數(shù)據(jù)安全風險的高度或然性。此外，由于大數(shù)據(jù)的泛在性以及網(wǎng)絡的公開性和網(wǎng)絡節(jié)點的巨量性，攻擊者可以在任何時間對任意節(jié)點發(fā)起攻擊，數(shù)據(jù)安全的無序性致使人們難以在攻擊發(fā)動前進行預測，也無從在攻擊發(fā)生后徹底查明。

三、大數(shù)據(jù)時代數(shù)據(jù)安全的法律綜合保護

大數(shù)據(jù)時代開啟了一次重大的時代轉型，社會將經(jīng)歷類似的地殼運動[17]9，219，法律也將與時俱進。關于信息和數(shù)據(jù)規(guī)范的立法*例如2009年2月28日頒布的《刑法修正案(七)》，2012年12月28日頒布的《全國人民代表大會常務委員會關于加強網(wǎng)絡信息保護的決定》，2013年1月21日公布的《征信業(yè)管理條例》，工業(yè)和信息化部于2013年7月16日出臺的《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》，國家質(zhì)量監(jiān)督檢驗檢疫總局、國家標準化管理委員會于2012年11月5日批準發(fā)布的《信息安全技術——公共及商用服務信息系統(tǒng)個人信息保護指南》，2013年10月25日第十二屆全國人民代表大會常務委員會第五次會議通過的《消費者權益保護法(修正案)》，國家衛(wèi)生和計劃生育委員會于2014年5月發(fā)布的《人口健康信息管理辦法(試行)》，2015年7月1日通過的《國家安全法》，2015年8月29日發(fā)布的《刑法修正案(九)》以及2015年11月11日國務院第111次常務會議通過的《地圖管理條例》等。，目前主要集中在個人信息保護領域，且都是零敲碎打式，位階總體不高?！毒W(wǎng)絡安全法》的出臺可謂是對大數(shù)據(jù)時代數(shù)據(jù)安全的有力回應。下文將以《網(wǎng)絡安全法》為視角，提出完善我國大數(shù)據(jù)安全保護的法律對策。

(一)建立關鍵基礎設施數(shù)據(jù)安全保護法律機制

隨著大數(shù)據(jù)戰(zhàn)略和“互聯(lián)網(wǎng)+”行動計劃的全面鋪開，我國關鍵基礎設施與大數(shù)據(jù)、互聯(lián)網(wǎng)的深度融合勢如破竹。關鍵基礎設施作為大數(shù)據(jù)賴以存續(xù)的載體，如若遭遇威脅，數(shù)據(jù)安全將面臨重大挑戰(zhàn)。我國《網(wǎng)絡安全法》第三十一條劃定了關鍵信息基礎設施的范圍，包括公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的設施；并用一節(jié)的篇幅明確了關鍵信息基礎設施運行安全具體保護要求，分別從國家、行業(yè)、運營者三個維度劃定了相關各方的職責與義務。國家網(wǎng)信部門負責總的統(tǒng)籌協(xié)調(diào)工作，開展安全風險抽查檢測，定期組織網(wǎng)絡安全應急演練，推動相關主體之間共享網(wǎng)絡安全信息，并在網(wǎng)絡功能恢復以及應急處置方面給予協(xié)助和技術支持。關鍵領域和重要行業(yè)主管部門分別負責編制并組織實施本行業(yè)、本領域的關鍵信息基礎設施安全規(guī)劃，指導和監(jiān)督關鍵信息基礎設施運行安全保護工作。關鍵信息基礎設施的運營者除須履行網(wǎng)絡安全等級保護制度要求的安全保護義務，還應設置專門安全管理機構和安全管理負責人，對從業(yè)人員實施定期的網(wǎng)絡安全教育、技術培訓并進行相應的技能考核；制定應急預案并定期演練；對重要系統(tǒng)和數(shù)據(jù)庫進行容災備份；采購對國家安全可能造成影響的網(wǎng)絡產(chǎn)品和服務，應事先通過有關國家安全審查等?？偠灾?，這是我國首次在基本法律層面對關鍵信息基礎設施概念進行厘定，并提出相關規(guī)范要求?！毒W(wǎng)絡安全法》的上述規(guī)定，使我國在關鍵信息基礎設施安全保護領域實現(xiàn)質(zhì)的飛躍。欣喜的同時，依然要清醒地意識到我國在關鍵基礎設施數(shù)據(jù)安全保護方面還有很長的路要走。我們要牢固樹立風險防范理念，建立以風險為中心的防控保護體系，對關鍵基礎設施具體范圍進行細化，列出關鍵基礎設施數(shù)據(jù)安全保護對象清單，建立首席安全官制度以及關鍵基礎設施數(shù)據(jù)安全測評制度，并進行脆弱性評估，以做好風險的事先預防；確立關鍵基礎設施數(shù)據(jù)安全監(jiān)測預警和信息通報制度，一旦發(fā)現(xiàn)風險，及時隔離，防止數(shù)據(jù)安全事件擴散；制定數(shù)據(jù)安全事件的分級標準，建立不同級別的應急處置機制，制定不同行業(yè)、領域各自的應急處置和恢復措施，設立事后總結報告制度等，爭取做到盡早發(fā)現(xiàn)風險，隔離風險，減小損失和應急恢復，盡最大可能保障關鍵基礎設施的持續(xù)運轉[18]162-165。故而，建議國務院盡快出臺《關鍵信息基礎設施保護條例》，細化有關數(shù)據(jù)安全、監(jiān)測預警、應急處置、監(jiān)督管理等方面的做法和規(guī)定；各地方人民政府應結合自身情況進一步制定本行政區(qū)域內(nèi)的規(guī)劃和實施細則，并輔之以關鍵基礎設施數(shù)據(jù)安全保護的科學研究和技術隊伍建設、經(jīng)費供給等相關配套保障制度。

(二)建立數(shù)據(jù)跨境流動監(jiān)管法律機制

大數(shù)據(jù)時代，數(shù)據(jù)跨境流動蓬勃發(fā)展，給數(shù)據(jù)安全帶來潛在威脅。受棱鏡門事件影響，數(shù)據(jù)本地化(Data localization)風潮席卷全球，俄羅斯、德國、巴西、韓國、印度等國家紛紛出臺相關政策或立法，限制數(shù)據(jù)跨境流動。在《網(wǎng)絡安全法》未出臺之前，我國僅在一些特定行業(yè)立法中有所涉及，例如《征信業(yè)管理條例》第二十四條規(guī)定，征信機構對在中國境內(nèi)所采集信息的任何處理以及存儲均須在中國境內(nèi)進行，如若向境外提供信息，須遵守我國相關規(guī)定；又如《地圖管理條例》第三十四條規(guī)定，互聯(lián)網(wǎng)地圖服務單位存放地圖數(shù)據(jù)的服務器必須設在我國境內(nèi)，并要制定互聯(lián)網(wǎng)地圖數(shù)據(jù)安全管理制度和保障措施?！毒W(wǎng)絡安全法》的頒布，以法律的高度提升了我國對數(shù)據(jù)本地化的關切，體現(xiàn)了國家對數(shù)據(jù)跨境流動的應對思考。其第三十七條規(guī)定，關鍵信息基礎設施運營者在中國境內(nèi)運營收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應當在境內(nèi)存儲，如需向境外提供，應當按照國家網(wǎng)信部門會同國務院有關部門制定的辦法進行安全評估。可見，我國對數(shù)據(jù)跨境流動采取的是以境內(nèi)存儲為原則，安全評估后向境外傳輸為例外，并不像有的國家那樣剛性禁止數(shù)據(jù)離境，例如俄羅斯要求公民的個人數(shù)據(jù)必須存儲在俄聯(lián)邦境內(nèi)的服務器中，僅在執(zhí)法、行使國家機關和地方政府權力以及以達成國際協(xié)議為目的的行為情況下方可在俄境外的服務器上處理個人數(shù)據(jù)。我國《網(wǎng)絡安全法》的該條規(guī)定具有延展性，但仍存在不足：首先，限定范圍較窄且語詞模糊，數(shù)據(jù)留存主體僅為關鍵信息基礎設施運營者，留存內(nèi)容僅為該主體在我國境內(nèi)收集和產(chǎn)生的個人信息和重要數(shù)據(jù)，而何為重要數(shù)據(jù)語焉不詳；其次，監(jiān)管前提和方式單一，僅為事前監(jiān)管，且僅在業(yè)務需要跨境傳輸情況下才啟動，如因他國執(zhí)法需要不在此列，數(shù)據(jù)主權難以充分體現(xiàn)。此規(guī)定對于方興未艾的數(shù)據(jù)跨境流動而言遠遠不夠，我國應當完善數(shù)據(jù)本地化立法，加強數(shù)據(jù)跨境流動監(jiān)管。堅持數(shù)據(jù)主權原則，兼顧數(shù)據(jù)自由流動與安全保護，根據(jù)數(shù)據(jù)的不同類型、性質(zhì)制定差異化規(guī)范。明確數(shù)據(jù)本地化范圍，分類規(guī)制跨境數(shù)據(jù)。對特定種類的敏感數(shù)據(jù)，如涉及社會公共利益和國家安全的數(shù)據(jù)必須境內(nèi)存儲，嚴禁跨境傳輸；對商用數(shù)據(jù)進行安全評估后再行決定是否對外傳輸；個人數(shù)據(jù)境內(nèi)留存，經(jīng)數(shù)據(jù)主體同意后方能對外傳輸。此外，還要完善數(shù)據(jù)跨境流動監(jiān)管立法，將監(jiān)管貫穿于數(shù)據(jù)整個生命周期，并為數(shù)據(jù)跨境流動國際合作留下一定空間。設立專門的數(shù)據(jù)監(jiān)管機關，負責數(shù)據(jù)安全的風險評估，數(shù)據(jù)跨境傳輸?shù)牡怯?、審查許可、抽樣監(jiān)督檢查以及對違規(guī)行為的處罰和起訴，進行數(shù)據(jù)跨境傳輸?shù)膰H協(xié)調(diào)等；限定數(shù)據(jù)跨境傳輸?shù)臈l件，防止關鍵數(shù)據(jù)資源流失，阻止不良數(shù)據(jù)傳播；明確數(shù)據(jù)主體的權利與損害救濟途徑以及數(shù)據(jù)使用者的義務與責任。

(三)建立個人數(shù)據(jù)保護法律機制

關于個人數(shù)據(jù)安全的保護，我國至今尚未出臺獨立的《個人數(shù)據(jù)保護法》，僅是零散地規(guī)定在一些法律法規(guī)和部門規(guī)章以及規(guī)范性文件當中，例如2012年12月頒布的《全國人民代表大會常務委員會關于加強網(wǎng)絡信息保護的決定》*《全國人民代表大會常務委員會關于加強網(wǎng)絡信息保護的決定》規(guī)定國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息，并對網(wǎng)絡服務提供者和其他企業(yè)事業(yè)單位收集、使用公民個人電子信息做出原則性規(guī)定。，工信部于2013年7月出臺的《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》*《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》對用戶個人信息進行界定，并對電信業(yè)務經(jīng)營者、互聯(lián)網(wǎng)信息服務提供者收集、使用信息的行為進行規(guī)范。，2013年10月通過的《消費者權益保護法(2013修正)》*《消費者權益保護法(2013修正)》第十四條規(guī)定，消費者在購買、使用商品和接受服務時，享有個人信息依法得到保護的權利；第二十九條規(guī)定，經(jīng)營者應當依法收集、使用消費者個人信息，并采取必要措施確保該信息安全。，2015年8月發(fā)布的《刑法修正案(九)》*《刑法修正案(九)》將原來《刑法修正案(七)》中第二百五十三條之一即侵犯個人信息罪的主體范圍予以擴大，而不再局限于國家機關或者金融、電信、交通、教育、醫(yī)療等單位的工作人員，規(guī)定出售或者非法提供公民個人信息，情節(jié)嚴重的，屬于犯罪，并加大懲處力度。等，除此之外，也散見于其他法律規(guī)范之中?！毒W(wǎng)絡安全法》總結了上述立法的經(jīng)驗做法，以基本法形式統(tǒng)一了個人信息的定義和范圍，建立健全了個人信息保護制度。該法在原來人大決定、工信部規(guī)定等基礎上，借鑒吸收國際上的有益經(jīng)驗，確立了個人信息收集、使用的基本原則，即合法、正當、必要原則、目的限制原則、知情同意原則和安全保密原則等，并明確“不得收集與其提供的服務無關的個人信息”*具體參見《網(wǎng)絡安全法》第四十一條的規(guī)定。，厘清了收集個人信息的界限，為保護個人數(shù)據(jù)權利樹立邊界；“道高一尺，魔高一丈”，在個人信息數(shù)據(jù)泄露難以杜絕的情勢下，當發(fā)生或者可能發(fā)生個人信息泄露、毀損、丟失的情況時，要求網(wǎng)絡運營者及時履行告知義務，以使用戶知曉，增強用戶對相關安全行為的警惕性，同時報告有關主管部門，讓其第一時間了解實情，以便運籌帷幄。該法明晰了網(wǎng)絡運營商、關鍵信息基礎設施運營者、網(wǎng)絡產(chǎn)品、服務提供者等義務主體的責任，將責令改正、警告、罰款、暫停相關業(yè)務、停業(yè)整頓、關閉網(wǎng)站、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照等措施納入其中，彌補了先前立法中罰則不足的缺陷，增強了對個人數(shù)據(jù)權利侵害行為的威懾力。此外，《網(wǎng)絡安全法》還規(guī)范了相關網(wǎng)絡安全監(jiān)管部門的責權范圍，有助于在全社會形成保護個人數(shù)據(jù)安全的合力。

將個人數(shù)據(jù)保護納入《網(wǎng)絡安全法》之中，可謂一大亮點，該法的相關舉措雖有一定進步意義，但是在諸如知情同意原則方面的規(guī)定仍然無法逃脫傳統(tǒng)時代的窠臼?？傮w而言，《網(wǎng)絡安全法》對個人數(shù)據(jù)安全的保護畢竟張筋弩脈，出臺《個人數(shù)據(jù)保護法》尤為重要?！秱€人數(shù)據(jù)保護法》應尋求在保護個人數(shù)據(jù)安全基礎上，促進數(shù)據(jù)的合理流通，其并不是將個人數(shù)據(jù)藏匿于保險柜中，而是謀求一種動態(tài)的安全——在個人數(shù)據(jù)資源開發(fā)利用中的安全[19]10。賦予公民個人數(shù)據(jù)權，使其能夠控制和支配自身個人數(shù)據(jù)[20]27，以區(qū)別于傳統(tǒng)數(shù)據(jù)安全環(huán)境中的消極防御權。個人數(shù)據(jù)權是存在論的殼(The ontological shell),它確保了個人的不可侵犯性[21]10。“大數(shù)據(jù)時代，很多數(shù)據(jù)在收集時并無意做他用，而最終卻產(chǎn)生很多創(chuàng)新性用途，大數(shù)據(jù)的價值更多源于它的二次利用”[18]162-165。知情同意和目的限制等原則已經(jīng)力有未逮。我們應變革思維，增強風險導向意識，將個人數(shù)據(jù)安全風險評估貫穿整個數(shù)據(jù)生命周期，根據(jù)個人數(shù)據(jù)處理、利用的場景、目的及可能引發(fā)的風險程度施以義務和責任，強化對個人數(shù)據(jù)侵權行為的預防和救濟。此外，數(shù)據(jù)企業(yè)、機構還應承擔風險識別義務，在用戶可能發(fā)生數(shù)據(jù)安全風險時進行相關風險提示并及時采取措施，對個人數(shù)據(jù)給予全方位立體的保障。

(四)建立和完善數(shù)據(jù)犯罪法律制度

大數(shù)據(jù)時代，數(shù)據(jù)犯罪頻頻發(fā)生，給國家、社會和個人造成了極大的威脅和傷害?！毒W(wǎng)絡安全法》在總則中開宗明義地強調(diào)要依法懲治網(wǎng)絡違法犯罪活動，開展打擊網(wǎng)絡違法犯罪等方面的國際交流與合作；保護公民、法人和其他組織依法使用網(wǎng)絡的權利，保障網(wǎng)絡信息依法有序自由流動，旨在營造一個綠色、和諧、安全的網(wǎng)絡環(huán)境。在分則中，明令任何個人和組織不得從事侵入、干擾他人網(wǎng)絡、竊取網(wǎng)絡數(shù)據(jù)等危害網(wǎng)絡安全的行為以及為該行為提供程序、工具，技術支持等幫助；不得設立用于實施詐騙，傳授犯罪方法等違法犯罪活動的網(wǎng)站、通訊群組，不得利用網(wǎng)絡發(fā)布涉及實施詐騙等違法犯罪活動的信息，并規(guī)定相應的法律責任；對攻擊破壞我國關鍵信息基礎設施的境外組織和個人亦制定相應的制裁措施。上述舉措雖為營造良好的數(shù)據(jù)安全環(huán)境奠定了一定基礎，但為了應因大數(shù)據(jù)時代數(shù)據(jù)安全的新形勢以及時代變革發(fā)展的新訴求，以加大懲治力度，增強威懾力，完善我國《刑法》相關體系和規(guī)定仍然十分有必要。隨著信息技術的更新迭代，數(shù)據(jù)處理方式和途徑不斷演化，從過去信息系統(tǒng)的計算機運算演變?yōu)樵骗h(huán)境中的云資源計算，《刑法》第285條、286條所規(guī)制的信息系統(tǒng)犯罪在面對信息化浪潮的沖擊下已捉襟見肘。傳統(tǒng)刑法主要針對的是保護信息系統(tǒng)的完整性、安全性和可靠性，而大數(shù)據(jù)時代中云計算資源保護問題日益顯現(xiàn)，我國《刑法》在應對互聯(lián)網(wǎng)技術變革時要做出適度回應和調(diào)整。大數(shù)據(jù)時代，一般技術意義上的數(shù)據(jù)有可能轉化為具有價值的電磁記錄，“對刑法所保護的重要法益價值……，數(shù)據(jù)的意義體系在對數(shù)據(jù)對象的反映上，當數(shù)據(jù)的反映同質(zhì)于信息的內(nèi)容時，單純技術角度定義的數(shù)據(jù)便具有了現(xiàn)實意義”[15]114，是故，元數(shù)據(jù)的價值意義亦不能忽視，應當跳脫傳統(tǒng)的依附于計算機信息系統(tǒng)保護數(shù)據(jù)的思維桎梏，單獨增設以網(wǎng)絡數(shù)據(jù)為獨立犯罪對象的罪名。此立法思路早在歐洲理事會《網(wǎng)絡犯罪公約》(Cyber-crime Convention)*《網(wǎng)絡犯罪公約》第二章第四條規(guī)定了數(shù)據(jù)干擾行為(Data interference)，其包含任何無授權的故意毀損、刪除、破壞、修改或者隱藏數(shù)據(jù)的行為，與公約第二條針對非授權的故意侵入計算機系統(tǒng)的“非法訪問行為(Illegal access)”以及第五條針對妨礙計算機系統(tǒng)合法使用的“系統(tǒng)干擾行為(System interference)”獨立開來分別加以立法。以及《德國刑法典》*《德國刑法典》第202a條規(guī)定了“探知數(shù)據(jù)行為”，即非法為自己或他人探知不屬于自己的，為防止被他人非法獲得而作了特殊安全處理的數(shù)據(jù)的行為；并對“數(shù)據(jù)”一詞進行了界定，僅指以電子的磁性的或者其他不能直接提取的方法儲存或傳輸?shù)臄?shù)據(jù)。中均有體現(xiàn)，其將數(shù)據(jù)價值作為單獨的評判標準和法益進行保護。數(shù)據(jù)犯罪已成為世界上所有國家所要共同面對的新型犯罪，故而，此做法并不是我國標新立異。此外，為遏制高發(fā)的電信詐騙案件，須從源頭上完善侵犯公民個人數(shù)據(jù)犯罪的刑法規(guī)范才是根本。精細化地區(qū)分不同的個人數(shù)據(jù)類型，例如身份數(shù)據(jù)、行為數(shù)據(jù)，識別數(shù)據(jù)、認證數(shù)據(jù)、授權數(shù)據(jù)等，針對數(shù)據(jù)自身的特征、核心價值以及不同侵權手段和不同的數(shù)據(jù)處理階段衡量法益，設置相應的刑法條文?？偟恼f來，基于大數(shù)據(jù)時代數(shù)據(jù)安全所呈現(xiàn)的新特性，可確立“基本行為特征類型化模式+動態(tài)鏈條模式”的縱橫雙向模式的數(shù)據(jù)犯罪制裁思路，從橫向上，構建以個人數(shù)據(jù)犯罪和以國家秘密、情報等網(wǎng)絡重要數(shù)據(jù)犯罪為核心的制裁體系；從縱向上，分割數(shù)據(jù)犯罪鏈條和步驟，打擊犯罪預備行為的實行化，增加對數(shù)據(jù)處理階段的犯罪立法，實現(xiàn)對完整的數(shù)據(jù)動態(tài)過程的保護[22]25-28。一言蔽之，以獨立的數(shù)據(jù)視角建構合理可行、協(xié)調(diào)發(fā)展的刑法體系，不再囿于過去松散式碎片化信息立法的藩籬在大數(shù)據(jù)時代顯得尤為重要。任何事物均具有兩面性，大數(shù)據(jù)在給人們生活帶來便利的同時，也會被犯罪分子所利用而產(chǎn)生巨大隱患。其處于一個流動性的集成狀態(tài)而并非靜止與固化，數(shù)據(jù)安全風險潛藏在數(shù)據(jù)收集、數(shù)據(jù)處理、數(shù)據(jù)利用、數(shù)據(jù)存儲等階段當中，所產(chǎn)生的危險較傳統(tǒng)危險更為綜合和復雜，因此，應將保護或懲治提前，使責任刑法向預防刑法轉變。同時，對于數(shù)據(jù)犯罪，要考慮多方面因素制定處罰標準，而不是一刀切地適用統(tǒng)一標準從嚴處罰，必須涵蓋各方面、各層次的法益保護需求。

我國已成為泱泱網(wǎng)絡大國，黨中央對網(wǎng)絡安全異常重視，將其上升到國家安全戰(zhàn)略高度，其中數(shù)據(jù)安全更是成為國家安全重中之重。正如全球IT研究與顧問咨詢公司高納德(Gartner)所論斷的那樣：“大數(shù)據(jù)安全是一場必要的斗爭?！盵23]我國《網(wǎng)絡安全法》的出臺僅是萬里長征第一步。面對大數(shù)據(jù)時代數(shù)據(jù)安全的新形勢，我們必須要轉變思維，在國家總體安全觀的指導下，秉承發(fā)展與安全并重的原則，樹立多維立體的風險防控理念，堅持整體防護、動態(tài)防護、綜合防護，以深刻的眼光聚焦于技術背后的公民、社會和國家的利益，建立關鍵基礎設施數(shù)據(jù)安全保護法律機制，推進數(shù)據(jù)本地化立法，加強數(shù)據(jù)跨境流動監(jiān)管，構建個人數(shù)據(jù)保護法律機制，完善數(shù)據(jù)犯罪法律保護制度，加大對數(shù)據(jù)違法犯罪行為的打擊力度，筑牢大數(shù)據(jù)安全保障的法律防線。

[1] 2016年十大數(shù)據(jù)泄露事件：社交網(wǎng)絡成泄露重災區(qū)[EB/OL].[2016-12-09].http://www.raincent.com/content-10-8087-2.html.

[2] 雅虎自曝遭黑客攻擊超15億用戶賬號信息被盜[EB/OL].[2016-12-15].http://www.chinanews.com/gj/2016/12-15/8094535.shtml.

[3] 1Tbs！OVH遭遇史上最大DDOS攻擊[EB/OL].[2016-09-27].http://mt.sohu.com/20160927/n469328292.shtml.

[4] 極光行動[EB/OL].[2016-04-18].http://baike.baidu.com/link?url=R9fvv6IqituHYkwqyakaxSO9U_diDV V5a4-eiOFq-L3J_2XoXi3nj1fy6pJj0 L3YvihHa8vRQy QE_2jBQ__rcrRozpRExtHZN7NstWRgWsmxepuoD4D Sg8hfUmrkM2vJ.

[5] 索尼影視遭遇重大APT網(wǎng)絡攻擊大量商業(yè)機密遭泄露[EB/OL].[2014-12-10].http://www.doit.com.cn/p/224887.html.

[6] 吳世忠.大數(shù)據(jù)時代安全風險及政策選擇[EB/OL].[2013-08-14].http://www.71.cn/2013/0814/727984.shtml.

[7] 震網(wǎng)病毒[EB/OL].[2016-11-01].http://baike.baidu.com/link?url=WLuY79ejupdOhGd8xNpstrF9xfNI 7qpEQYeS1_o4lz1FnN54Yr5-FfTXZOc6fTSV20TDb Bu8-Mdc-Hc8nxlyBGMUrBqcXK2AoFGxXjU9gdMe 3YlLAMzok7fBZXUkSZr1.

[8] 胡若愚.德國一核電站“驚”染電腦病毒[EB/OL].[2016-04-28].http://news.xinhuanet.com/world/2016-04/28/c_128940554.htm.

[9] 網(wǎng)絡空間治理創(chuàng)新：2016全球網(wǎng)絡空間安全大事記(事件篇)[EB/OL].[2017-01-07].http://mp.weixin.qq.com/s/AXHJWPDwY0T9B3WJW40pOw.

[10] Mckinsey Global Institute. Digital Globalization: The New Era of Global Flow[R].March，2016.

[11] 劉雅輝，張鐵贏，靳小龍，等.大數(shù)據(jù)時代的個人隱私保護[J].計算機研究與發(fā)展，2015，52(1).

[12] 涂子沛.數(shù)據(jù)之巔[M]. 北京：中信出版社，2014.

[13] 齊愛民，盤佳.數(shù)據(jù)權、數(shù)據(jù)主權的確立與大數(shù)據(jù)保護的基本原則[J].蘇州大學學報(哲學社會科學版)，2015(1).

[14] 希拉里團隊電腦系統(tǒng)疑遭俄黑客攻擊 安全部門調(diào)查[EB/OL].[2016-08-01].http://www.chinanews.com/gj/2016/08-01/7957605.shtml.

[15] 于志剛，李源粒.大數(shù)據(jù)時代數(shù)據(jù)犯罪的制裁思路[J].中國社會科學，2014(10).

[16] 金華，陳平凡，等.云計算法律問題研究[M].北京：法律出版社，2012.

[17] 維克托·邁爾-舍恩伯格，肯尼思·庫克耶.大數(shù)據(jù)時代：生活、工作與思維的大變革[M].盛楊燕，周濤，譯.杭州：浙江人民出版社，2013.

[18] 王玥，馬民虎.“互聯(lián)網(wǎng)+”時代關鍵基礎設施信息安全法律保護研究[J].西北大學學報(哲學社會科學版)，2016(9).

[19] 齊愛民.個人信息開發(fā)利用與人格權保護之衡平[J].社會科學家，2007(3).

[20] 齊愛民，盤佳.大數(shù)據(jù)安全法律保障機制研究[J].重慶郵電大學學報(社會科學版)，2015(3).

[21] 盧風.人類增強與人權[J].廣西大學學報(哲學社會科學版)，2016(3).

[22] 于志剛，李源粒. 大數(shù)據(jù)時代數(shù)據(jù)犯罪的類型化與制裁思路[J].政治與法律，2016(9).

[23] 大數(shù)據(jù)安全是一場必要的斗爭[EB/OL].[2014-01-27].http://news.xinhuanet.com/info/2014-01/27/c_133077141.htm.

[責任編輯：秦衛(wèi)波]

On the Improvement of the Comprehensive Legal Protection of Data Secarity in the Big Data Era——From the View of Cyber Security Law

QI Ai-min

(School of Law，Guangxi University for Nationalities，Nanning 530006，China)

In the big data era，data security faces severe challenges，which presents some dynamic，comprehensive，integrity，the risk of highly probability and disorder characteristics. The promulgation of Cyber Security Law brings the spring of data security，but it is only the first step. To cope with the new situation of big data security，we must make innovation of thinking，persist in the principle of paying equal attention to development and safety，set up the multi-dimensional three-dimensional concept of risk prevention and control，perfect the legislation of critical infrastructure data security，promote the legislation of data localization,strengthen the supervision of cross-border data flows，make personal data protection law and perfect the criminal law rules.

Big Data；Data Security；Data Protection；Cyber Security Law；Perfect Legislation

10.16164/j.cnki.22-1062/c.2017.04.019

2017-03-24

中國法學會2016年度部級法學研究課題(CLS[2016]A01)。

齊愛民( 1970-)，男，河北晉州人，廣西民族大學法學院教授，博士生導師，廣西民族大學廣西知識產(chǎn)權發(fā)展研究院院長，重慶市協(xié)同創(chuàng)新知識產(chǎn)權研究中心主任。

D922.8

A

1001-6201(2017)04-0108-07