大数据发展给信息安全带来全新挑战

　　“在大数据背景下，《刑法》对隐私的保护尤为重要，这包括两层概念：一是数据思维模式下的隐私保护，二是大数据思维模式下的隐私保护”；

　　“企业对大数据的交易要考虑到法律保护与风险控制问题，在数据收集时要做到合法、正当和必要”；

　　……

　　9月9日，数博会品牌沙龙第十期活动在北京举行。本期沙龙活动由数博会组委会主办，中国大数据产业观察网、北京孙中伟律师事务所承办，中国大数据律师网、中关村大数据产业联盟协办。中国矿业大学文法学院助理教授陈冉、中央民族大学副教授李杨、中央民族大学讲师田刚、北师大法学院刑法专业博士生万方、北京孙中伟律师事务所主任孙中伟五位专家，通过主题演讲的形式，针对大数据交易、个人隐私保护、计算机数据的刑法保护等话题开展深度交流与研讨。

　　中央民族大学副教授、法学博士李杨：

　　数据收集要做到合法、正当和必要

　　从企业角度来看，在大数据交易对象里主要得注意三个问题：如今，在大家认为法律欠缺、民法通则没有完全确定的情况下，哪些数据绝对不能交易？哪些数据可以自由交易？哪些需要通过法律设计之后，把数据变成合法的才能安心交易？

　　首先，这会涉及到数据产权边界问题。根据现有法规，三类数据不能进行交易——第一是危害国家安全、涉及国家秘密的；第二是侵犯商业秘密和个人隐私的；第三是未获合法授权或者授权失效的。

　　司法上有一个基本原则叫“法无禁止皆可为”。从原理上讲，只要国家不禁止的数据都属于企业可自由交易数据，但有一部分数据一定要假设法律前提才能合法交易，它就是“个人信息到底是否属于可采集交易的对象”。

　　从法律上讲，个人信息的核心特点是可识别性，即通过这些信息直接指向一个具体的归属人。若对个人信息进一步分类，又可以分成两类，一是个人敏感信息，二是个人一般信息，这两部分信息对信息主体本身的利益关联不同，所以法律上对二者保护的力度和方式也不一样。如果要收集信息主体的个人敏感信息，法律要求必须要经过信息主体的明示同意，即明确授权，企业一定要留存证据；收集个人一般信息时，只要信息主体没有明确反对，企业告知即可。

　　个人信息若要成为交易对象，需假设一个合法的法律前提才能继续往下运作。工信部个人信息保护指南里提到：“从信息系统获取个人信息的个人组织和机构，依据个人信息主体的意愿，对获得的个人信息进行处理”，这实际上就为企业运作打开了一扇窗。

　　那么，企业如何在运转、交易过程当中体现保障了信息主体及其意愿呢？法律上完成两步就能认可——第一步是保障个人信息主体知情权。知情权即告知他人所享有的权利，告知内容是收集使用信息的目的、方式、范围、查询更正信息的渠道，以及拒绝提供信息的后果等事项，告知方式是“普通的注意义务足以发现即可”。第二步是保障个人信息的选择权。选择权最核心的一点叫做“通常的退出机制”，若信息主体有一天不想被收集了，可随时停止。

　　其次，还需关注大数据安全交易的边界问题。企业在大数据交易过程中超越底线，容易带来各式各样的法律风险。

　　在数据收集的界限上，目前的法律中提供了三个词，分别是合法、正当、必要。工信部要求“不得将数据信息用于提供服务之外的目的”“不在个人信息主体不知情的情况下改变处理个人信息的目的”。这些条款看似制约了企业的经营范围，但反过来看，如果个人信息主体知情并授权，那企业的做法就是合法的。这也要求大数据企业在第一次权利数据收集、权利告知时，一定要对使用信息的目的进行精细化的法律设计。

　　在数据信息使用的实现上，法律规定“电信业务的经营者，互联网信息的服务提供者，在用户终止使用电信服务，互联网服务，要停止对个人用户信息收集和使用，并且注销账号”。在停止服务之前，已经收集信息并处理的情况下，如果采集的是原始信息，则要看双方之前的约定；此外，直接认为上面附着的新数据可用。

　　在数据转移方面，按照工信部规定，企业通过合法手段可以向他人提供用户及个人信息。那法律规定的合法界限在哪里？相关文件提出，如需将个人信息转移或者委托到其他机构，要向个人信息主体告知包含以下信息，转移的目的、转移具体内容加使用范围、接受转移者的名称、地址和联系方式等内容。也就是说以上程序只要符合立法所规定的合法要求，便可以向他人进行数据转移。

　　中国矿业大学文法学院助理教授、法学博士陈冉：

　　保护隐私始终要回到个人，即“数据自我”

　　数据采集之后有一个自动化决策功能，要发展一个产业需要这种自动化决策的认可，而认可的前提是需要个人隐私数据。

　　在大数据背景下，《刑法》对隐私的保护尤为重要，这包括两层概念：一是数据思维模式下的隐私保护，二是大数据思维模式下的隐私保护。但保护隐私始终要回到个人，也就是对“数据自我”的保护。

　　作为一般数据模式下的隐私保护问题，根据数据保护对象，《刑法》中涉及计算机犯罪、传播淫秽物品的社会法益犯罪、侵犯个人信息的犯罪等，各自在隐私保护力度上有所区别。

　　侵犯公民个人信息犯罪的关键点在“个人信息”，但我国并没有一部个人信息法，无法界定哪些数据需要保护。比如，每个人每天吃多少饭、走多少步，有人觉得这不是信息，但在大数据情况下，这些数据也有可能构成信息。在我国，关于公民个人数据和个人信息没有法律来界定，因此，法官对个人信息的理解也是“摸着石头过河”。

　　《刑法》不会去保护所有数据，所保护的只是最关键的部分，所以涉及到隐私的肯定就是最关键的利益。无论从数据思维模式来看，还是从大数据思维模式来看，最重要的就是隐私。什么是隐私？简单来说，就是“你不要打扰我”“不要随便控制我的东西”。举例来说，个人受法律保护，个人通过微博、微信等社交平台塑造出一个形象，此人塑造形象之下的所有数据自然就应该得到保护。

　　涉及到“数据自我”保护，这一块主要有几个问题，一是身份盗窃、人肉搜索、网络暴力，二是涉及到信息不对称情况下，知情同意是否能做到尽善尽美。比如微信现在广泛流传的视频《你愿意不愿意一千万卖掉你男朋友》，不少人都转发评论，因为个体感受不到这信息对自己有多重要。但如果卖掉的是姓名、身份证号、DNA信息呢，个体还敢卖吗？因此有时候数据的有效性无法把握，这个责任由平台数据的收集者担当。

　　事实上，刑法修正案里已经设置了平台责任，其中有一个拒不履行信息网络安全管理义务罪。为了避免平台责任过于严苛，让企业建立关于平台保障义务规范性的体系，是个不错的想法。

　　北京孙中伟律师事务所主任孙中伟：

　　大数据律师未来将有广阔市场

　　大数据产业的发展需要法律保护，大数据时代法律的滞后已经制约和妨碍大数据的产业发展。

　　法律在大数据时代能够做什么？第一个“大数据律师”肯定是刑辩律师。如果说错过了刑辩时代，那就不能错过大数据时代，这是使律师发展实现弯道超车的时代。未来的律师是专家型、专业型律师，大数据要做的东西，是靠专业的水平做好专业的研究。

　　如何把大数据产业政策与法律年度论坛相结合？我们期待一个平台，它能够聚集法律行业的专家，做一个政策的研究论坛。在大数据企业成立之前做投资顾问，成立以后拥有法律股份，出事后做诉讼代理和刑事辩护——这是大数据律师的市场方向。对于投资律师、投资顾问，要充分掌握每一个城市、每一个地方大数据的政策优势，为企业提供投资顾问，协助地方政府实现招商引资。

　　互联网时代是个无边界的时代，大数据也是无边界、无国界的。律师要适应这个环境，做好大数据业务，搭建一个对话平台，实现法律人的交流和对话。

　　中央民族大学讲师、法学博士田刚：

　　大数据时代需要实现

　　信息数据刑法保护的理念更新

　　古希腊的毕达哥拉斯曾提出，希望用数认识世界。在大数据时代，我们不但用数据认识世界，还用数据预测未来。大数据技术给我们带来许多挑战和改变，我们必须做好准备，特别是做好法律层面的准备。

　　如今，大数据在社会管理领域的应用非常多，交通管理部门、公共卫生管理部门、气象部门等都在利用数据分析技术。在大数据技术普及的情况下，《刑法》面临着全新的挑战。在利用数据发挥积极效益的同时，数据滥用也会对公众利益、国家安全产生了严重威胁。

　　面临这种数据风险，我们的《刑法》并非没有准备，其他法律也有预防举措。计算机数据刑法保护有一个“二元划分”，分为专属罪名和特定信息数据罪名，专属罪名保护的是计算机信息系统，而不是数据本身；特定信息数据犯罪罪名比较多，比如说侵犯商业秘密罪、非法获取国家秘密罪等。然而，传统的信息数据保护体系，是一种纵向思维，仅保护特定领域的信息。而大数据时代，对于信息数据的利用是一种基于规模数据分析利用的横向思维，孤立的零散数据背后看似并没有重要法益，但达到一定数量层级则会同个体安全、公共安全、国家安全密切相关，比如农民在百度上搜索“明年种什么农作物比较值钱”，类似的零散信息不会威胁国家安全，但是量达到一定程度，却可以用来分析、预测未来农作物的产量，具有重要的价值，甚至关乎国家安全。

　　因此，在大数据时代，有必要改变仅保护同重要法益直接相关的传统信息数据刑法保护模式，将信息数据作为一种独立的法益进行保护。短期来看，应当通过对非法获取计算机信息系统数据罪、侵犯公民个人信息罪等罪名进行一定的扩大解释，发挥已有罪名的潜力，扩大刑法对信息数据的保护范围；而长期来看，大数据技术引发的刑事立法更新不可避免，未来需要立法机关设立更为全面的信息数据刑法保护罪名体系。

　　北师大法学院刑法专业博士生万方:

　　完善以数据为独立犯罪对象的立法体系

　　大数据时代，数据已经超越信息，成为社会生产活动中的重要资源，以此形成的权利就是数据权。基于对数据权确定、调整和保护所形成的核心法律，就是数据法。

　　数据主权是国家层面的，也就是一国领域内所有个人、企业产生的所有数据。国家有数据主权，国家机关、事业单位等不仅拥有数据管理权，而且还有数据控制权。与此同时，每个人对网络生活中产生的一些数据也拥有个人数据权利，这个数据权利包含两方面，一是数据人格权，二是数据财产权。

　　农业、工业社会、信息社会都有特定的社会资源，对社会资源的保护形成了一种相关法律规则。在大数据时代，我们是否可以直接将数据作为法律保护的对象，这个课题值得思考。

　　在大数据交易过程当中，我们交易、收集、转移、存储的都是数据。数据经过不同企业、个体和机关，经过不同手段进行分析和加工利用，便可产生不同的信息、服务于不同的行业。数据不是物质，数据有没有物权、存在不存在物权？当前的法律层面没有给出标准。

　　刑法修正案有一个规定，提出网络服务提供商不能造成大面积数据泄漏，也不能违法使用和传播虚假信息。如果违反这两项规定的话，就构成了网络服务供应商安全管理义务罪。在交易阶段，《刑法》253条规定：非法出售提供公民个人信息罪，就是《刑法》中关于个人信息买卖和交易的一些特殊规定。

　　针对个人数据犯罪，我国尚未建立起以数据为独立犯罪对象的罪名体系，相关法律规范当中，“数据”范围过于狭窄，比如说，《刑法》283条有非法获取个人信息罪，那我们使用手机APP软件的时候，很多APP后台非法获取数据，这些数据是不是属于信息？

　　考虑到这样现状，我建议应该立足现在的刑法规范，完善和构建以数据为独立犯罪对象的立法体系，把非法获取公民信息罪修改为非法获取数据罪。也就是说，应该把公民主体身份淡化，把“信息”替换成“数据”，把数据保护起来。