仅用财产权保护数据“远远不够”
从2013年的美国“棱镜门”,到前不久国家旅游局6套系统沦陷,信息泄露事件的频发,让数据安全管理成为各国不可回避的议题。
如何做好网络安全中的数据安全管理?在北京强国知识产权研究院与北京理工大学联合主办的2016强国知识产权论坛“互联网安全与治理模式创新”分论坛上,与会专家就这一问题展开了探讨。
数据产权确权是前提
在中央网信办政策法规局李民看来,数据安全管理要解决的一个大前提问题是数据的产权问题。
“经过一年运营的贵州大数据基地,目前的成交额只有6000万元,基本上没做成几笔数据流转,原因就在于数据产权不明。很多机构本身拥有一些数据,也采集了很多数据,但由于现行立法不明晰,采集完以后不知道该不该流转。”李民举例指出,目前学界对于数据产权的问题意见不一,有的观点认为,数据本身不存在所有权问题,有的观点则对数据本身是知识产权客体还是物权客体存在争议。
不过,这些争议在近日提请全国人大常委会审议的民法总则草案中得到回应——草案规定,数据信息是知识产权的客体之一。
“但草案仍有不明确之处,草案并没有对作为知识产权客体的数据权利做内涵和外延上的解释、限定。依据现行法律规定,知识产权是基于创造性智力成果和工商业标记依法产生的权利的统称,显然,并非所有的数据信息都可以成为知识产权的保护对象;此外,如何界定数据信息与其他传统类别的知识产权的区别,也是一个问题。”法律评论人士王鹏程在接受记者采访时表示,将数据信息仅仅限于财产权甚至仅限于知识产权的保护是远远不够的。
无独有偶,重庆大学法学院教授齐爱民也认为,每个人对个人信息都依法享有决定权,因此大数据交易中的个人信息权属于人格权的一部分。
法治周末记者注意到,在2008年的“人肉搜索第一案”中,原告王菲的妻子在“死亡博客”中留下对原告出轨的日记记载后自杀,后该日记被大旗网、天涯社区等被告曝光,同时原告身份信息也在其中全部披露。法院审理认为,被告对原告个人信息的侵害和滥用,构成隐私权、名誉权等人格权的侵犯。
“在大数据时代,通过对个人相关数据的获取,或者与其他相关信息结合便可识别出个人信息,进而勾勒出一个人的生活全貌或者某一方面的特征。数据作为人的具体化的表现形式,更应该从人格权的高度来保护。”王鹏程补充建议,在未来民法典的制定中应将数据信息保护上升到人格权高度。
大数据交易脱敏标准待统一
除了数据产权确权外,大数据交易尤其是数据的跨境传输,也是数据安全管理的重中之重。
按照流程,大数据交易中交易方要进行个人信息的存储和处理,其需要承担保密的基本义务,采取技术措施和其他必要措施,确保信息安全,不得泄露、篡改、损毁个人信息。
对此,网络安全法草案中,明确要求网络运营者应当按照网络安全的等级保护制度履行安全保护义务。
“但对于已存储的个人信息,即使交易方履行了保密义务,在大数据交易时也可能存在信息泄露的风险。很多交易方会说为了保护个人信息将采取漂白数据的脱敏技术,而目前的数据脱敏却存在很大问题,由于没有统一的脱敏标准,对脱敏的技术程序也没有统一要求,有的数据交易中采用的是可恢复性脱敏,比如数据加密,有的则采用不可恢复性脱敏。而采取可恢复性脱敏的情况下就会存在可逆化,敏感信息的可逆将导致个人信息的泄露。”全国律协信息网络与高新技术委员会副主任陈际红在论坛上提到,由脱敏标准不统一造成的信息泄露问题,在大数据的跨境传输中很可能会被放大。
国家互联网应急中心监测数据显示,仅2014年上半年,境外的1.9万台主机控制了我国境内619万台电脑。
事实上,并非所有的大数据都可以跨境传输。
按照相关法律规定,涉及到国家秘密和国家安全的数据不得跨境传输;征信机构在中国采集的征信信息整理、保存和加工应该在中国境内进行;在中国境内收集的个人金融信息应该在境内存储和处理;基础设施运营者在中国境内收集的信息应当在境内存储。
“此外,大数据的跨国交易,牵扯到国家安全,对于大数据交易中的非涉密信息,应该经过评估或者国家颁发相应许可证后,才能进行跨国交易。”齐爱民在论坛上谈道。
分类监管跨境数据传输
对于大数据跨境传输中涉及的数据主权管辖边界的问题,上海社科院信息研究所信息安全研究中心主任惠志斌认为,数据主权管辖边界一般是通过云服务提供商的所属国别确定的,因此云服务商的地理位置所属国别就对数据主权管辖边界产生了重要的影响。
“从欧盟GDPR(全球数据保护法规)和其他一些重大法律对场地管辖的要求来看,数据接收方所属国别更强调数据主权的主张,这就与云服务商的地理位置所属国别产生大量的博弈,进而会因数据主权边界的重叠导致执法上的困惑。”惠志斌补充道。
面对大数据跨境传输的基础性立法缺乏、执法能力不足问题,惠志斌建议,在明确国家安全和网络安全红线的基础上,依法建立开放透明和可操作性的分类监管体系,把高风险、中等风险、低等风险、无风险的跨境数据流动作出分类,对应不同的监管手段和方法;针对重要领域的跨境数据流动进行全生命周期管理,做好跨境数据流动标准化建设。
法治周末记者注意到,去年8月,国务院印发《促进大数据发展行动纲要》,指出要加快法规制度建设,包括修订政府信息公开条例,促进政府数据在风险可控原则下最大程度开放,明确政府统筹利用市场主体大数据的权限及范围;制定政府信息资源管理办法;推动个人信息立法,加强对数据滥用、侵犯个人隐私等行为的管理;研究推动数据资源权益相关立法工作。
目前,我国首部规范促进大数据发展的地方性法规《贵州省大数据发展应用促进条例》,也已经于今年3月1日正式实施,该法规对数据共享、数据权属、数据交易和数据安全等方面作出了规定。
如何做好网络安全中的数据安全管理?在北京强国知识产权研究院与北京理工大学联合主办的2016强国知识产权论坛“互联网安全与治理模式创新”分论坛上,与会专家就这一问题展开了探讨。
数据产权确权是前提
在中央网信办政策法规局李民看来,数据安全管理要解决的一个大前提问题是数据的产权问题。
“经过一年运营的贵州大数据基地,目前的成交额只有6000万元,基本上没做成几笔数据流转,原因就在于数据产权不明。很多机构本身拥有一些数据,也采集了很多数据,但由于现行立法不明晰,采集完以后不知道该不该流转。”李民举例指出,目前学界对于数据产权的问题意见不一,有的观点认为,数据本身不存在所有权问题,有的观点则对数据本身是知识产权客体还是物权客体存在争议。
不过,这些争议在近日提请全国人大常委会审议的民法总则草案中得到回应——草案规定,数据信息是知识产权的客体之一。
“但草案仍有不明确之处,草案并没有对作为知识产权客体的数据权利做内涵和外延上的解释、限定。依据现行法律规定,知识产权是基于创造性智力成果和工商业标记依法产生的权利的统称,显然,并非所有的数据信息都可以成为知识产权的保护对象;此外,如何界定数据信息与其他传统类别的知识产权的区别,也是一个问题。”法律评论人士王鹏程在接受记者采访时表示,将数据信息仅仅限于财产权甚至仅限于知识产权的保护是远远不够的。
无独有偶,重庆大学法学院教授齐爱民也认为,每个人对个人信息都依法享有决定权,因此大数据交易中的个人信息权属于人格权的一部分。
法治周末记者注意到,在2008年的“人肉搜索第一案”中,原告王菲的妻子在“死亡博客”中留下对原告出轨的日记记载后自杀,后该日记被大旗网、天涯社区等被告曝光,同时原告身份信息也在其中全部披露。法院审理认为,被告对原告个人信息的侵害和滥用,构成隐私权、名誉权等人格权的侵犯。
“在大数据时代,通过对个人相关数据的获取,或者与其他相关信息结合便可识别出个人信息,进而勾勒出一个人的生活全貌或者某一方面的特征。数据作为人的具体化的表现形式,更应该从人格权的高度来保护。”王鹏程补充建议,在未来民法典的制定中应将数据信息保护上升到人格权高度。
大数据交易脱敏标准待统一
除了数据产权确权外,大数据交易尤其是数据的跨境传输,也是数据安全管理的重中之重。
按照流程,大数据交易中交易方要进行个人信息的存储和处理,其需要承担保密的基本义务,采取技术措施和其他必要措施,确保信息安全,不得泄露、篡改、损毁个人信息。
对此,网络安全法草案中,明确要求网络运营者应当按照网络安全的等级保护制度履行安全保护义务。
“但对于已存储的个人信息,即使交易方履行了保密义务,在大数据交易时也可能存在信息泄露的风险。很多交易方会说为了保护个人信息将采取漂白数据的脱敏技术,而目前的数据脱敏却存在很大问题,由于没有统一的脱敏标准,对脱敏的技术程序也没有统一要求,有的数据交易中采用的是可恢复性脱敏,比如数据加密,有的则采用不可恢复性脱敏。而采取可恢复性脱敏的情况下就会存在可逆化,敏感信息的可逆将导致个人信息的泄露。”全国律协信息网络与高新技术委员会副主任陈际红在论坛上提到,由脱敏标准不统一造成的信息泄露问题,在大数据的跨境传输中很可能会被放大。
国家互联网应急中心监测数据显示,仅2014年上半年,境外的1.9万台主机控制了我国境内619万台电脑。
事实上,并非所有的大数据都可以跨境传输。
按照相关法律规定,涉及到国家秘密和国家安全的数据不得跨境传输;征信机构在中国采集的征信信息整理、保存和加工应该在中国境内进行;在中国境内收集的个人金融信息应该在境内存储和处理;基础设施运营者在中国境内收集的信息应当在境内存储。
“此外,大数据的跨国交易,牵扯到国家安全,对于大数据交易中的非涉密信息,应该经过评估或者国家颁发相应许可证后,才能进行跨国交易。”齐爱民在论坛上谈道。
分类监管跨境数据传输
对于大数据跨境传输中涉及的数据主权管辖边界的问题,上海社科院信息研究所信息安全研究中心主任惠志斌认为,数据主权管辖边界一般是通过云服务提供商的所属国别确定的,因此云服务商的地理位置所属国别就对数据主权管辖边界产生了重要的影响。
“从欧盟GDPR(全球数据保护法规)和其他一些重大法律对场地管辖的要求来看,数据接收方所属国别更强调数据主权的主张,这就与云服务商的地理位置所属国别产生大量的博弈,进而会因数据主权边界的重叠导致执法上的困惑。”惠志斌补充道。
面对大数据跨境传输的基础性立法缺乏、执法能力不足问题,惠志斌建议,在明确国家安全和网络安全红线的基础上,依法建立开放透明和可操作性的分类监管体系,把高风险、中等风险、低等风险、无风险的跨境数据流动作出分类,对应不同的监管手段和方法;针对重要领域的跨境数据流动进行全生命周期管理,做好跨境数据流动标准化建设。
法治周末记者注意到,去年8月,国务院印发《促进大数据发展行动纲要》,指出要加快法规制度建设,包括修订政府信息公开条例,促进政府数据在风险可控原则下最大程度开放,明确政府统筹利用市场主体大数据的权限及范围;制定政府信息资源管理办法;推动个人信息立法,加强对数据滥用、侵犯个人隐私等行为的管理;研究推动数据资源权益相关立法工作。
目前,我国首部规范促进大数据发展的地方性法规《贵州省大数据发展应用促进条例》,也已经于今年3月1日正式实施,该法规对数据共享、数据权属、数据交易和数据安全等方面作出了规定。
课程推荐
- 初级会计职称特色班
- 初级会计职称精品班
- 初级会计职称实验班
课程班次 | 课程介绍 | 价格 | 购买 |
---|---|---|---|
特色班 | 班次特色 |
290元/一门 580元/两门 |
购买 |
- 初级会计职称机考模拟系统综合版
相关文章
无相关信息