论文部分内容阅读
提供公交查询服务的APP“酷米客”后台系统数据被同类APP“车来了”盗取,损失高达亿元,日前“车来了”已被警方立案。有声音认为公交数据是公共数据,分享应用能更好地服务社会。那么,此类软件数据共享和保护的界限究竟在哪里?
建立数据分类分级保护制度
张韬(北京华讯律师事务所主任)
2014年3月携程网发生数据泄露事件,部分用户身份及银行卡信息被泄露;同年12月,中国铁路客户订票系统数据库遭到黑客攻击,超过13万条用户数据信息被泄露。手机APP软件广泛应用之前,近年来数据盗窃案件已经在互联网企业时有发生。这反映出数据信息领域的违法犯罪活动危害大、影响面广、涉及人数众多,而且往往会给用户造成永久且不可逆的损害。数据信息泄露还可能给当事人造成二次伤害,比如有不法人员利用获取的信息进行诈骗活动。
在平衡促进发展和保障权益时,对于数据信息应当遵循先保护、再合理利用及共享的发展原则。区分可交易的商业数据和商业秘密之间的界限,划分个人一般信息和个人隐私信息的边界,之后进行分类、分级保护,这样的分级尤为重要。
我认为,商业数据信息、个人信息如果去身份化后,可以在限定的条件下交换、使用和共享,并不是对所有的商业数据信息和个人信息都要“一刀切”式的禁止分享,而是要根据相关数据信息的属性(包括商业属性和人身属性等)、类别、对权利人造成的影响等多方面对其归类,再根据具体的类别给予相应保护。
商业秘密和个人隐私是必须被保护的级别。商业秘密指不为公众所知悉、具有商业价值并能为权利人带来经济利益、经过了权利人采取相应保密措施的技术信息和经营信息。个人隐私包括自然人的基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等。
要看取得数据的方式合法与否
龙卫球(北京航空航天大学法学院院长)
数据公开是数据时代的一个重要制度,旨在通过促进数据向社会或公众开放达到更加便利、更加公平利用和开发数据的效果。但是,数据公开只能在一定的范围实施:首先,只适用于公共性数据,这是指具有公共利益相关性的数据,与私人包括个人、企业、特定机构自身利益相关的私密性数据,不属于公开范围。其次,只适用于公共主体,比如政府部门或者其他承担公共事业的部门,其负有数据公开的义务,此项义务与政务公开、信息公开理论基础相近。所以非公共部门,包括企业自己产生或收集的数据,通常不属于数据公开的范围。再次,数据公开还存在与其他原则的冲突权衡问题,数据公开必须让位于数据安全、数据公平等,比如当数据公开与数据安全存在矛盾时,则不得公开。
APP商业数据,只有属于公共部门产生、收集的情况下,才具有公开的义务。“酷米客”的数据信息具有商业价值,但只有该企业处于公共主体或者受公共主体委托的地位,才负有分享或公开数据的义务。
数据资产是数据时代企业的重要资源性财产。一个企业只有在得到数据资产保护的情况下,才有动力和保障去积极开发数据资源,通过数据手段去改进生产、经营和服务,最终造福于市场和消费者。
我国既有法律体系在数据资产保护方面总体上存在极大的滞后性。应当与时俱进,加快立法速度,制定一部完善的数据基本法,就数据主体、数据治理、数据活动、数据关系、数据资产、数据安全、数据责任这些基本问题加以合理规范,确立有关依据和行为边界。
遭遇数据被盗,有4种维权方式
肖飒(北京大成律师事务所合伙人)
刑法第285条规定了非法获取计算机信息系统数据罪。
“酷米客”与“车来了”这类APP公司发生数据盗窃案件之前,事实上物流快递公司已经有大量非法获取计算机系统数据罪的案件。如2013年7月至2014年1月期间,周某通过网络购买圆通系统账号,非法进入圆通金刚系统并利用cookie劫持的方式绕过金刚系统权限认证,编写代码置于其控制的网站中,从圆通公司系统内部盗取快递单信息出售并非法获取25万元。后周某以非法获取计算机信息系统数据罪被判处有期徒刑3年3个月。
在信息网络时代,盗取数字资产在证据认定和保存上我认为其实根本没有难度——只要使用计算机信息系统,就会留下痕迹;即使数据被删除,司法人员一般也可通过技术手段对数据予以恢复。当然,案件在侦查过程中可能因为网络犯罪案件跨区域广(许多案件是跨国作案)、作案人多、受害人多而导致搜集和认定证据产生一定困难。
遭遇商业数据被盗取,一般有4种维权方式,刑事报案(效率高,花费少)、民事追偿(可控,但花费大)、谈判(如非诉讼纠纷解决机制)、行政诉讼(解决政府不作为,立案难度大)。实践中,权利人往往通过民事诉讼程序维护自己的合法权益,通过刑事诉讼程序维权的案例并不多见。
民事渠道与刑事渠道的难度和结果应该统一起来看。例如,犯罪嫌疑人以非法获取计算机信息系统数据罪被审理时,被害人也可以同时提起刑事附带民事诉讼。
从多方向入手来保护数据资产
杨超(西安电子科技大学网络与信息安全学院副教授)
盗取数据犯罪的危害和风险极大:泄露用户隐私信息、侵害用户名誉;侵害用户利益,如盗取用户金融账户信息,执行非法转账等行为;利用用户隐私信息给用户发送垃圾信息或非法广告,利用社会工程获取用户社会关系等更详细的用户隐私,为抢劫、勒索等恶性犯罪提供信息;利用盗取的商业数据,分析对手的商业秘密、恶意抢夺用户资源,造成不平等竞争,等等。
企业信息系统存在各种各样的漏洞,常见的有商业数据未加密存储、数据加密密钥信息熵值太低、数据加密密钥明文存储或密钥文件访问控制设置不当、数据加密参数设置不当,任何导致系统权限非法使用的系统漏洞等均可能造成数据信息的泄露。
电子商务中,由于大量数据信息采用计算机进行处理、存储和传输,因此对电子商务企业的信息安全提出了更高的要求。特别是创新型企业,更需要重视数据知识产权的保护。
而对于拥有大量的终端用户数据的手机APP企业来讲,更应该从技术、管理、法律威慑等多个方向入手来切实保护其数据资产。信息安全管理方法主要包括基础安全服务与框架确立、企业IT系统安全运维策略与方法、企业安全风险管理与合规三个主要方面。技术层面,建议企业要增强用户身份认证方法、设计合理的访问控制策略、对数据信息的生产、使用、存储等全生命周期进行加密保护并妥善管理密钥、设计备份容灾策略、严格管理应用软件的业务流程安全和开发应用安全。
建立数据分类分级保护制度
张韬(北京华讯律师事务所主任)
2014年3月携程网发生数据泄露事件,部分用户身份及银行卡信息被泄露;同年12月,中国铁路客户订票系统数据库遭到黑客攻击,超过13万条用户数据信息被泄露。手机APP软件广泛应用之前,近年来数据盗窃案件已经在互联网企业时有发生。这反映出数据信息领域的违法犯罪活动危害大、影响面广、涉及人数众多,而且往往会给用户造成永久且不可逆的损害。数据信息泄露还可能给当事人造成二次伤害,比如有不法人员利用获取的信息进行诈骗活动。
在平衡促进发展和保障权益时,对于数据信息应当遵循先保护、再合理利用及共享的发展原则。区分可交易的商业数据和商业秘密之间的界限,划分个人一般信息和个人隐私信息的边界,之后进行分类、分级保护,这样的分级尤为重要。
我认为,商业数据信息、个人信息如果去身份化后,可以在限定的条件下交换、使用和共享,并不是对所有的商业数据信息和个人信息都要“一刀切”式的禁止分享,而是要根据相关数据信息的属性(包括商业属性和人身属性等)、类别、对权利人造成的影响等多方面对其归类,再根据具体的类别给予相应保护。
商业秘密和个人隐私是必须被保护的级别。商业秘密指不为公众所知悉、具有商业价值并能为权利人带来经济利益、经过了权利人采取相应保密措施的技术信息和经营信息。个人隐私包括自然人的基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等。
要看取得数据的方式合法与否
龙卫球(北京航空航天大学法学院院长)
数据公开是数据时代的一个重要制度,旨在通过促进数据向社会或公众开放达到更加便利、更加公平利用和开发数据的效果。但是,数据公开只能在一定的范围实施:首先,只适用于公共性数据,这是指具有公共利益相关性的数据,与私人包括个人、企业、特定机构自身利益相关的私密性数据,不属于公开范围。其次,只适用于公共主体,比如政府部门或者其他承担公共事业的部门,其负有数据公开的义务,此项义务与政务公开、信息公开理论基础相近。所以非公共部门,包括企业自己产生或收集的数据,通常不属于数据公开的范围。再次,数据公开还存在与其他原则的冲突权衡问题,数据公开必须让位于数据安全、数据公平等,比如当数据公开与数据安全存在矛盾时,则不得公开。
APP商业数据,只有属于公共部门产生、收集的情况下,才具有公开的义务。“酷米客”的数据信息具有商业价值,但只有该企业处于公共主体或者受公共主体委托的地位,才负有分享或公开数据的义务。
数据资产是数据时代企业的重要资源性财产。一个企业只有在得到数据资产保护的情况下,才有动力和保障去积极开发数据资源,通过数据手段去改进生产、经营和服务,最终造福于市场和消费者。
我国既有法律体系在数据资产保护方面总体上存在极大的滞后性。应当与时俱进,加快立法速度,制定一部完善的数据基本法,就数据主体、数据治理、数据活动、数据关系、数据资产、数据安全、数据责任这些基本问题加以合理规范,确立有关依据和行为边界。
遭遇数据被盗,有4种维权方式
肖飒(北京大成律师事务所合伙人)
刑法第285条规定了非法获取计算机信息系统数据罪。
“酷米客”与“车来了”这类APP公司发生数据盗窃案件之前,事实上物流快递公司已经有大量非法获取计算机系统数据罪的案件。如2013年7月至2014年1月期间,周某通过网络购买圆通系统账号,非法进入圆通金刚系统并利用cookie劫持的方式绕过金刚系统权限认证,编写代码置于其控制的网站中,从圆通公司系统内部盗取快递单信息出售并非法获取25万元。后周某以非法获取计算机信息系统数据罪被判处有期徒刑3年3个月。
在信息网络时代,盗取数字资产在证据认定和保存上我认为其实根本没有难度——只要使用计算机信息系统,就会留下痕迹;即使数据被删除,司法人员一般也可通过技术手段对数据予以恢复。当然,案件在侦查过程中可能因为网络犯罪案件跨区域广(许多案件是跨国作案)、作案人多、受害人多而导致搜集和认定证据产生一定困难。
遭遇商业数据被盗取,一般有4种维权方式,刑事报案(效率高,花费少)、民事追偿(可控,但花费大)、谈判(如非诉讼纠纷解决机制)、行政诉讼(解决政府不作为,立案难度大)。实践中,权利人往往通过民事诉讼程序维护自己的合法权益,通过刑事诉讼程序维权的案例并不多见。
民事渠道与刑事渠道的难度和结果应该统一起来看。例如,犯罪嫌疑人以非法获取计算机信息系统数据罪被审理时,被害人也可以同时提起刑事附带民事诉讼。
从多方向入手来保护数据资产
杨超(西安电子科技大学网络与信息安全学院副教授)
盗取数据犯罪的危害和风险极大:泄露用户隐私信息、侵害用户名誉;侵害用户利益,如盗取用户金融账户信息,执行非法转账等行为;利用用户隐私信息给用户发送垃圾信息或非法广告,利用社会工程获取用户社会关系等更详细的用户隐私,为抢劫、勒索等恶性犯罪提供信息;利用盗取的商业数据,分析对手的商业秘密、恶意抢夺用户资源,造成不平等竞争,等等。
企业信息系统存在各种各样的漏洞,常见的有商业数据未加密存储、数据加密密钥信息熵值太低、数据加密密钥明文存储或密钥文件访问控制设置不当、数据加密参数设置不当,任何导致系统权限非法使用的系统漏洞等均可能造成数据信息的泄露。
电子商务中,由于大量数据信息采用计算机进行处理、存储和传输,因此对电子商务企业的信息安全提出了更高的要求。特别是创新型企业,更需要重视数据知识产权的保护。
而对于拥有大量的终端用户数据的手机APP企业来讲,更应该从技术、管理、法律威慑等多个方向入手来切实保护其数据资产。信息安全管理方法主要包括基础安全服务与框架确立、企业IT系统安全运维策略与方法、企业安全风险管理与合规三个主要方面。技术层面,建议企业要增强用户身份认证方法、设计合理的访问控制策略、对数据信息的生产、使用、存储等全生命周期进行加密保护并妥善管理密钥、设计备份容灾策略、严格管理应用软件的业务流程安全和开发应用安全。