本报简介数据保护立法考量
由于数据保护立法滞后、政府监管职权范围划分不清,数据流通安全事件反复频发。而对于拥有海量数据的电商平台来说,同样面临类似的问题。
“只要我在网上搜索过一个产品,在一段时间里,只要登录网页,就会收到此类产品的推送信息。”网民平平说,她有一种“被透明”的感觉,她担心享受互联网便利的同时,需要付出个人隐私作为代价。
但这并不妨碍“双11”这一天,以亿计算的用户量蜂拥进入电商平台,除了借助产品促销获得丰厚的回报外,对电商平台来说,无疑也是一场争夺数据资源的盛宴。
个人消费数据、物流数据、个人的喜好、网页浏览痕迹……海量的个人信息数据,都会被电商平台所收集,在大数据时代最后将变成生产资料和交易的资本。
据报道,9年前,阿里巴巴公司内部早就把公司定位为数据公司而不是电商公司。马云也多次表示,“阿里巴巴是一家数据公司,不是电商公司,我们做电商的目的不是为了做买卖。”
在人们看来,10年以后,这个世界上最大的资源不是石油,而是数据,这将是国家之间竞争的焦点。
如今,大数据已经广泛被应用于人工智能等领域,而早在两年前,一些电商公司运用大数据手段在个人征信领域已经“长袖善舞”。与此同时,为了争夺这些数据资源,不少公司已经不惜为此屡屡对簿公堂,他们的焦点无一例外都聚集在用户数据的调用问题上。
数据交易,也被视作数据产业的一个重要的特点。据不完全统计,2014年以来,我国已经成立中关村数海大数据交易平台、贵阳大数据交易所等十余家交易平台与中心,每天大量的数据交易在这些平台和中心完成。预计2020年,这一产业规模将达到13600多亿元的高点。
中国信息通信研究院互联网法律研究中心主任李海英介绍,目前国内从立法价值和目的来看,有关“信息”的条款侧重保护要求,而有关“数据”的立法,更多侧重安全的意义。
因此,由于数据保护立法滞后、政府监管职权范围划分不清,数据流通安全事件反复频发。而对于拥有海量数据的电商平台来说,同样面临类似问题。
数据资源之争
当人们还没真正意识到数据的意义时,相关平台已经为此展开了激烈争夺。
今年6月初,阿里巴巴旗下的快递公司菜鸟网络发声明称,顺丰速运突然宣布关闭对菜鸟的数据接口,建议商家暂时改用其他快递公司发货。
而顺丰则表示,是菜鸟封杀顺丰旗下丰巢快递柜数据。在这场顺丰速运与菜鸟网络的数据接口之争中,双方均指责对方超过合理范围调取己方用户数据。
业内人士表示,菜鸟、顺丰之争是双方的一场数据博弈,涉及数据安全、数据共享。
该人士透露,两家争执的起因主要是菜鸟方面想要获得顺丰更多的信息数据,而顺丰不愿配合,难以接受菜鸟提出的合作要求。如今淘宝、菜鸟不断做大,顺丰也不愿让相当一部分业务被阿里巴巴掌控。
虽然这场争执最后以官方出来调解而收场,但却暴露出对用户个人信息进行第三方共享,以及数据交易合作等焦点问题。
与此类似,2017年8月,华为和腾讯公司也发生了用户数据归属之争。
起因源于华为旗下荣耀Magic手机可通过利用用户在微信中的聊天信息,实现为用户提供智能化的推荐等功能。
如在微信聊天对话中有人说“看电影”相关的内容,荣耀Magic手机则会利用这样的内容进行分析,为用户展示出当前上映的电影、附近影院和票价等信息。
腾讯据此指控华为窃取微信用户数据,并向监管部门投诉了华为。
京东旗下网站“京准通”更是公开宣称,“‘京准通’基于京东集团大数据的营销体系,为京东商城第三方商家、拍拍网入驻商家、京东商城供应商及品牌商等提供京东站内资源、腾讯优质资源以及其他媒体资源的精准分配。在不侵犯用户隐私的前提下,京准通平台可以沉淀用户通过不同触点进行的浏览、搜索、收藏、下单等大数据并进行深层的挖掘、分析和应用,提供有价值的营销参考。”
此前,苏宁与阿里巴巴集团携手合作时高调对外宣称,双方将在大数据层面展开合作。
而整个过程,却跟用户个人却没有丝毫的关系。因此,哪些数据可以交易?应该由谁来监管?引发人们的讨论,但目前业界尚未达成一致规范,致使个人隐私等信息数据泄露风险增加。
泄露事件频发
“电子商务运营战略的核心是客户资料,围绕客户资料的所有有用信息就是客户数据。要比客户还了解他们自己,才能影响他们口袋里的钱怎么花出去。”大数据行业从业者郝斌(化名)告诉民主与法制社记者。
在电商争夺与海量收集个人数据的同时,数据泄露事件也频频发生。中国互联网协会发布的《2016中国网民权益保护调查报告》显示,去年中国4.8亿网购用户中,超过半数在网购时遭遇个人信息泄露。
今年7月,电子商务生态安全联盟(SAEE)发布的《2017电商安全白皮书》研究报告显示,电商生态产业中“平台”“商家”以及为商家服务的第三方(即服务商)与物流等各环节,都存在不同程度的用户信息泄露风险。
2017年3月,公安部破获了一起窃取贩卖公民个人信息案,主要犯罪嫌疑人是京东内部尚处于试用期的员工。
该员工盗取涉及交通、物流、医疗、社交、银行等个人信息50亿条,通过各种方式在网络黑市贩卖。
管理咨询公司埃森哲等研究机构2016年发布的一项调查研究结果显示,其调查的208家企业中,69%的企业曾在过去一年内“遭公司内部人员窃取数据或试图盗取”。
郝斌透露,个人数据在泄露之后,往往会被多次倒卖,使信息所有者受到进一步的骚扰和侵害。
而在网络上,对各种数据的收集、窃取、贩卖已然高度专业化,形成了一条“黑色产业链”,在链条上有人负责窃取数据,有人从事分销,有人负责寻找目标买家或帮买家寻找黑客。
“这些被窃取的数据往往被出售给合法机构,来使这些数据交易合法化,通过隐藏、删除或编造非法获取的数据来源,以使这些数据能够被用作合法目的。”郝斌说。
据统计,2011年中国互联网信息安全地下产业链的总体盈利规模就已经超过50亿元,参与地下黑市数据交易的人数就超过9万人。
郝斌介绍,数据交易具有隐秘性,在没有任何登记备案的情况下就可以进行交易,这令非法获取的数据可以在不被察觉的情况下进行销赃,公安部门打击难度极大,等到用户发现自己的信息泄露时,往往于事无补。
而随着中国快递实名制不断推进,用户关于个人隐私泄露的担忧则更加强烈。
7月24日,国务院法制办发布《快递暂行条例(征求意见稿)》明确,经营快递业务的企业收寄快件,应当对寄件人身份进行查验,并登记身份信息,寄件人拒绝提供身份信息或者提供身份信息不实的,经营快递业务的企业不得收寄。
据统计,仅2015年,全国快递企业就发生重大信息泄露案43起,泄露包含消费者个人信息数据的订单达上百万张。
数据保护面临立法短板
与大数据产业发展的势头相比,对于数据交易使用等方面立法保护却并不被广泛重视。
中国信息通信研究院互联网法律研究中心主任李海英介绍,这两年大数据开放发展,相关的一些法律法规还在建设的过程中。由于立法程序和一些其他的原因,目前关于大数据的立法更多的是集中在像个人信息保护等的领域,关于数据流通交易的法律事实上现在还有一定的空白,在数据权属、数据收集使用、数据交易、数据安全和监督管理等方面没有统一的标准。
此外,数据还有呈集中化的趋势,被政府和大企业、平台等掌握。这带来的问题是:一方面,国内政府公共数据开放和共享本身存在缺失;另外,有关数据收集使用的法律制度还在构建,企业又普遍存在避开讨论数据保护的问题,以求减少保护的义务与成本。
2016年,贵州率先探路大数据发展立法,出台了地方性法规《贵州省大数据发展应用促进条例》,引发关注。
但西北工业大学人文与经法学院教授张敏表示,大数据交易与普通买卖合同在于交易平台的特殊性,现在的政策以及地方性法规,包括贵州出台的地方性法规都没有明确大数据交易平台的法律地位。
张敏表示,数据交易内容不明确,法律监管制度没形成,致使数据安全事件频发。同时,由于根据数据持有主体,可分为公共数据、企业数据、个人数据等,因此数据权属也极易引发争议。
虽然,《刑法修正案(九)》《全国人大常委会关于加强网络信息保护的决定》《征信业管理条例》《电信和互联网用户个人信息保护规定》《国家安全法》《网络安全法》等都对个人信息保护作出了规定,但涉及数据层面依然存在漏洞。
比如,《网络安全法》规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
这意味着数据不能转用。那么,如果去贵州的大数据交易中心购买数据,是不是就意味着卖家把数据转用了呢?