2020-05-02 21:19:40
作者 | 史宇航 法学博士/注册信息安全专业人员(CISP)
来源丨新则
为了应对疫情肆虐对经济的影响,“新基建”被视为是纾困的良药。新基建围绕着人员流动(新能源汽车)、能源流动(特高压)与数据流动(5G、数据中心、人工智能)展开部署,而数据无疑是其中跑得最快的。
此外,在2020年4月《关于构建更加完善的要素市场化配置体制机制的意见》中也提出“加快培育数据要素市场”。
疫情之下,数据在国民经济中扮演着愈发重要的角色,数据合规也随之成为显学,成为法律工作者的新航道。
法律是法律工作者开展数据合规工作的出发点。如果网络安全与数据保护没有被上升为法律义务,那么网络安全与数据保护可能会成为信息安全人员的专利。
- 1 -
数据合规到底在保护什么?
开展数据合规工作,法律工作者尤其需要了解法律究竟在保护什么。在中国,《网络安全法》中将网络安全定义为:
“通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。”
实际上,法律从网络与数据两个维度定义了网络安全:
因此,在数据合规工作中,围绕着网络与数据诞生了“网络运营者”与“数据控制者”两大责任主体。
网络运营者是《网络安全法》中最为重要的主体,几乎所有的法律义务都围绕着网络运营者展开。而数据控制者的概念被GDPR所发扬光大,在国家标准《个人信息安全规范》就频繁使用个人信息控制者的概念,甚至在《民法典(草案)》中也使用了个人信息控制者的概念。
当传统的所有权围绕着占有、使用、收益与处分进行构建,数据的权利也有可能围绕着保密性、完整性与可用性进行构建。
在很多争议与案件中,数据被作为一项新的法益进行保护,传统知识产权的规则受到了巨大的挑战。在2016年7月公开征求意见的《民法总则(草案)》中,“数据信息”一度被认为是一项知识产权,这样的分类无疑将拓展原有知识产权的外延,丰富知识产权的内容。
但是在《民法总则》正式通过的文本中,因为该设置争议过大而取消了这样的规定。对于知识产权中的著作权,与数据在一定程度上会有交叉之处,如对具有原创性的数据库的保护,一方面可以作为汇编作品进行保护,另一方面并不妨碍其作为数据而具有利益,二者并行不悖 。
此外,在“淘宝(中国)软件有限公司诉安徽美景信息科技有限公司不正当竞争案”中,法院一方面承认了淘宝公司对“生意参谋”享有数据权益,另一方面又否认这种数据权益是财产所有权。法院并没有直接回答这种数据权益到底是什么。在“浙江淘宝网络有限公司诉杜某等网络侵权责任纠纷案”中,淘宝的评分系统被认识是一项数据权益,法院认为:
“数据是指具有可分析性、可统计性、有使用价值的信息的总和,不仅包括原生数据,即计算机直接产生的数据,也包括这些数据被记录,储存,编辑,计算后形成的具有使用价值的衍生数据,淘宝网评价系统即在此列。”
这个判决在某种程度上突破评价系统的范畴,让数据能延展的边界不可限量。可以说,所有互联网上的内容都可以被认为是数据,进而得到数据层面的保护。但更关键的问题在于,数据保护的是什么,是保密性、完整性与可用性吗?
