■ 中国人民公安大学法学院副教授 李怀胜
当前,以政府数据为基础的“数据开放”几乎成为世界各国步调一致的战略举动。美国白宫科学技术政策办公室2012年3月提出《大数据研究与发展计划》, 法国2013年7月提出《法国政府大数据五项支持计划》。英国出台《开放政府国家行动计划(2016-2018)》。 截止到2018年,全球有75个国家加入了“开放政府合作伙伴”计划。我国也于2015年出台了《促进大数据发展行动纲要》。2018年1月,中央网信办、国家发改委、工信部联合印发《公共信息资源开放试点工作方案》,确定在北京、上海、浙江、福建、贵州五地开展公共信息资源开放试点。然而,在数据安全保护措施匮乏的背景下,数据开放会给数据收集、数据流转等造成了更大的安全风险,数据滥用更可能给公民个体利益、公共秩序乃至国家安全造成严重侵害。刑法是法益保护的最后一道屏障,数据开放的巨大社会价值和经济利益需要在刑法的有效保障下得到充分实现。立足于数据开放的现状及前瞻性发展趋势,构建围绕数据开放的全方位的刑法保护体系已迫在眉睫。
一、从数据非法流转到主动数据开放引发的安全风险迁移
1.长期存在的数据非法流转:主要侵害个体利益。数据非法流转催生了后续的网络诈骗等犯罪行为,是当前威胁数据安全和公民个体利益的突出犯罪形式,但从另一方面看,不法分子主要出于牟利动机,反而将危害性限制在个体利益层面。而随着数据的全方位开放时代,数据开放对社会安全和利益的侵害将呈几何级数倍增。
2.逐步推行的数据主动开放:对安全的复合型侵害。我国《促进大数据发展行动纲要》明确表示2018年底前建成国家政府数据统一开放平台,率先在信用、交通、医疗等重要领域实现公共数据资源合理适度向社会开放。 但是高价值的、高敏感度的数据开放将可能造成多重安全风险:(1)数据开放的时代,传统个人数据保护法律制度操作将更加困难。个人数据边界模糊,潜在范围无限扩展,数据难以做到彻底地去识别化;数据多方流转和后续利用无法保证遵循原始收集时的特定目的; 数据利用及流转的复杂性使用户知情同意难以有效行使;流转及交易牵涉多方主体,数据保护责任难以清晰界定。(2)政府数据与公共利益密切相关,敏感的社会公共服务数据一旦被滥用,可能对公共安全和国家安全造成巨大威胁。 例如新出台的《地图管理条例》提出向社会提供地理信息公共服务,实现地理信息数据开放共享,如不加限制,可能对军事安全造成威胁。(3)数据的分布式存储加大了对数据的访问控制难度,从而导致大数据环境下数据泄露更易实现。数据保护的挑战集中体现在数据收集、数据分析、数据流转等环节,及增大数据安全及隐私侵害风险等方面。(4)当前数据类型多元化,数据的内涵已突破了刑法中的“信息”、“国家秘密和情报”、“商业秘密”等内涵,刑法无法有效规制所有的数据安全风险。
二、数据开放法律体系的初创及中外保护视角的差异
许多国家在数据开放的保护领域进行了卓有成效的法律探索和制度完善。基于各国关注重心的不同,也形成了数据开放的差异化保护视角。在制度实践层面,西方发达国家较早推行数据开放政策,因而他们对数据开放法律制度的探索和数据安全保护体系的构建亦相对成熟和完善。
数据资产的优劣已成为国家间竞争的重要筹码,越来越多的国家开始重视数据治理,将之视为国家发展的重要战略。美国2006年《佩邦资金责任透明法案》首次提出开放所有公共财政支出的原始数据。2009年奥巴马在“透明和开放政府备忘录”中指出,开放政府计划必须保护那些应当合法保护的数据信息,包括公开将威胁到国家安全、侵犯个人隐私、违反保密法,或者损害一些受法律保护的相关利益的数据。2013年美国《将政府信息状态新默认为公开和可机读的行政法令》,把隐私分析纳入信息生命周期的每个阶段。2013年G8开放数据宪章第一条原则指出,希望所有的政府数据都能以默认的方式公开,但与知识产权、个人隐私和敏感信息相关的数据,应作为例外。 在欧盟的法律框架下,考虑到数据开放的威胁已超越了传统的隐私权框架,经过几十年的判例和数据法律改革,对个人数据的信息基本权利的保护,已经取代了隐私权的保护路径。
而在国内,许多地方政府对数据开放保持了高度的热忱,从而为我国的数据开放法律保护提供了有益的经验样本。北京市、上海市已建立了基本的政府数据服务网络,上海市发布了《政务数据资源共享和开放年度工作计划》。从全国范围来看,仅2018年上半年,各地就推出了21个政府数据开放平台。有的地方甚至出台了专门的数据开放共享条例和数据安全管理条例。不过整体来看,我国的数据安全立法依然存在基础法律规范缺失、法律层级不高、规范数量较少等问题,对数据开放给国家安全、公共安全造成的风险关注不够等。
三、确立数据法律保护的思路与对策
1.探索数据安全的刑法保护模式,构建风险可控的数据安全法律体系。2015年国务院办公厅发布的《关于促进电子政务协调发展的指导意见》对加快政府数据开放和社会化利用提出了要求。数据已成为国家基础性战略资源,对于数据资源的本地存储、利用、控制、管辖等是网络空间国家主权的必然要求。在制度建设上,需要通过对网络攻击和网络监控的防范来保护整个数据资源的安全。 数据开放的重大战略意义得到充分重视,但顶层设计与战略规划相对滞后。对数据安全治理的目标定位应当进一步明确,确保海量数据的存储、使用、传输安全,防止数据泄露、丢失。提供有效的数据安全法律保护规则,实现数据开放的风险可控和运营合规。
2.确立数据开放的刑事责任边界,对数据开放范围和开放对象强化保护。从法律层面明确数据开放和共享的范围,确认边界,以有效地防止敏感涉密数据非法扩散,保障数据开放和共享的安全。 数据开放和共享的安全上,从采集、处理、分析、传输等各个方面探索保护规则,根本上保障数据的安全。在欧盟2014年3月修订的“关于个人数据的处理与保护规定”中,提出“以基因检测和分析为目的的数据采集应被禁止,且应作为一项原则”。应当针对特定类型、特定范围的数据开放适用负面清单制度,限制数据持有人的开放自由,剥夺数据法益相对人的转移自由,确定合理的数据开放边界。从数据源类型来看,开放数据主要包括公共数据源、社会数据源、商业数据源和个人数据源等四大类, 数据中哪些信息可以进入流通市场,如何防止商业机密或个人隐私外泄,如何在立法中明确责任条款,对大数据交易中可能出现的泄露、非法使用信息、数据等行为设定法律责任,均是今后立法需要突破的问题。
3.数据犯罪司法解释的更新。现行刑法对数据犯罪的罪名体系有三条规制路径:一是传统的计算机犯罪罪名,二是适用商业秘密犯罪罪名,三是使用公民个人信息犯罪罪名,然而,无论国家秘密、商业秘密还是公民个人信息,都无法充分涵盖现有的法益类型。诸如网页浏览痕迹、下载记录、关键词搜索记录等信息数据,在本质上无法归属于计算机信息系统数据的范畴之内,但是,恰恰是这些数据才可能是“大数据”未来最核心的组成部分, 因此,它应成为法律所保护的对象。应着眼于数据犯罪与传统犯罪、特别是传统计算机犯罪的规范差异,对非法获取计算机信息系统数据罪、破坏计算机信息系统罪等罪状和关键词进行再解释,合理利用现有司法资源、充分发挥司法的能动性,在罪刑法定的框架下积极进行司法解释,以作为刑事立法完善前的权宜之计。为此刑法理论研究也要保持超前性和敏锐性,以更加稳健的姿态面对网络犯罪异化之于理论与实践的双重挑战,为司法实践提供智力支持。
(本文为中国人民公安大学法治中国研究专项课题“公安大数据开放与共享的实施机制与法律保障”阶段性成果,刊登于《中国信息安全》杂志2018年第12期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。