金色财经经 首发该文
2020年中共中央、国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》,明确“加快培育数据要素市场”,提出“推进政府数据开放共享”、“提升社会数据价值”,大数据产业在最近几年得到了大幅度的飞跃发展,2018年大数据市场规模突破6000亿元,2019年大数据市场产值达到8500亿元,2020年产业规模有望突破10000亿元。[1]
数据要素市场蓬勃发展的同时,数据安全与隐私保护问题也逐步凸显,区块链作为一种多方共同参与和维护、使用密码学保证传输和访问安全,基于算法和技术来保证整体可信安全的分布式账本技术,兼容组合非对称加密、数字签名、时间戳等多种技术创新,具有数据存储一致,难以篡改、共识一致等优势,能够从基础上增强数据系统安全的潜质,正因如此大数据产业中不少运用案例如供应链金融、电子票据、商保快赔、电子政务、产品溯源等采用了区块链技术。
虽然区块链有很强的时间维度、数据抗篡改能力和数据完整保持功能,但目前区块链技术尚未完全成熟,面对错综复杂的交易环境或交易结构时,容易出现安全风险,再加上区块链不可篡改、不可逆的特征,使得数据安全风险与传统的常规互联网中的数据安全风险呈现出新的特征。随着应用场景的增多,应用场景区块链技术的持续运用,数据安全风险也正逐步爆发,信息保护机制设置不合理,恶意节点可以利用漏洞进行双花攻击,修改与披露区块链信息等,如2018年5月,黑客“双花”攻击比特币黄金加密货币的基础设施造成储存在区块链的个人信息被篡改与泄露,损失高达800万美元。
大数据产业的持续发展,必须解决数据安全这一核心问题。区块链技术作为极具潜力的解决路径在产业兴起之时,数据安全和信息保护同样应当成为重点关注的焦点问题,充分保障权利人的信息保护权既是时代发展的要求,也是区块链产业防范法律风险应有之义。
一、区块链数据主体享有信息安全保护权
在互联网世界,数据是信息的表现形式,信息是数据反映的内容。信息具有人格尊严和自由价值、商业价值和公共管理价值。[2]区块链中的数据主体,享有保护其信息的权利。确保信息安全是信息保护的核心内容。区块链运用场景一旦出现安全问题,即将面临信息安全权被侵害的局面。我国的《民法总则》、《网络安全法》、《电子商务法》,欧盟的《通用数据保护条例》、德国的《联邦数据保护法》、英国的《数据保护法》等不少国家或地区的法律对数据主体的信息权利都已经予以明确和保护,信息权利的一项核心内容就是信息安全权。虽然各国立法对信息权的规定有所差异或侧重,但大体上来看,信息安全权的内涵包括:(1)保证信息的完整和真实性,确保信息主体能够获得社会的正确评价;(2)保证信息未经授权不被修改或泄露,确保信息主体不被侵扰;(3)保证信息的可用性,确保信息主体对信息可用性状态的维持。
自然人对其个人信息享有信息安全保护权;法人对因劳动、金钱投入而产生或获取的信息也有信息安全权。我国《民法总则》第111条规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息”。个人信息被非法收集和处理的,个人可以寻求法律保护。美国的International News Service诉Associated Press[3]一案表明涉案信息如果是劳动的产物,就具有有限的财产利益,可以阻止信息盗用。基于该案所确立的“盗用理论”,为生产或收集信息付出了成本的主体安全地享有使用信息的权利,因此,自然人、法人都有权保护自己的合法信息,在区块链应用场景信息安全被侵害时,信息主体可以通过侵权法实现救济。
二、非授权披露、使用区块链数据面临承担法律责任的风险
2017年3月,京东与腾讯配合公安部破获特大信息安全案件,该案主犯面临刑事法律责任,信息平台限于可能承担信息侵权损害赔偿的民事责任风险之中。上海汉涛(大众点评网)诉爱帮网案[4],大众点评网的商户简介和用户点评系汉涛公司搜集、整理和运用商业方法吸引用户注册而来,大众点评网享有信息安全使用、不被盗用的权利,爱帮网未付出劳动、未支出成本属于“不劳而获”和“搭便车”,承担损害赔偿民事责任。大量的司法案件已经为信息主体的信息保护权保驾护航,这也为数据运用产业敲响了警钟。信息泄露、非经授权收集和使用等行为将面临承担法律责任的风险。
区块链作为存储数据的新技术,虽然在加密、权利人控制等方面比传统平台有优势,但同样出现信息被盗的事件,如2017年6月,韩国最大交易所Bithumb被攻击,三万用户信息被泄露;2018年3月,币安交易所用户数据被盗等。区块链数据产业快速发展,必须得加强对链上数据安全的保护,否则刑事、行政、民事法律责任将成为区块链产业前行中不得不承担的成本。
三、区块链信息权利保护机制及措施
区块链应用场景的开发和设计,除了改进传统交易模式,提高交易效率,解决行业既有痛点,现在必须得注重其中的法律风险、信息安全的法律保护问题。在区块链项目启动之初,侵害信息安全保护权等法律风险测试应当成为项目设计方案中的一项重要内容,信息安全保护应当成为一项长效机制。具体而言,可以考虑以下几点措施:
第一,确定区块链中信息的权属状态。信息安全保护权属于信息主体享有,防范侵权等法律风险的第一步就应当是明确信息的主体是谁。来源于个人的信息,个人享有该信息的实质利益,个人是其自身信息的权属人。个人信息具有人格和财产双重属性,使得个人信息既包括个人使用,也包括他人使用,因此他人也可能成为信息的权属人,因此信息的权属并不是看“信息是关于谁的信息”这么简单。信息权属的界定是大数据产业价值流动、交易顺利进行的前提条件,更是定纷止争的先决问题,区块链数据产业的发展应当首先考虑信息的权属人是谁的问题。
第二,对区块链数据项目进行合法性审查。我国《刑法》第253条规定:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。”《刑法修正案(九)》对出售或者提供公民个人信息罪“非法”的认定采客观标准,即“违反国家有关规定”,这是对公民个人信息保护的不断全面化。[5]《网络安全法》第42条规定:“网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。”区块链数据产业在设计和运行阶段都必须加强合法性审查,审查数据的收集、加工、使用有没有“经过信息主体同意和授权”,有没有违反国家关于信息保护的日渐增多的有关规定,随时关注司法和监管部门在该领域的最新动态。
第三,对信息的商业价值进行使用时,应当注重对数据的“脱敏”。单独的个人信息或许没有重大的商业价值,但对大数据的整合,深度分析与发掘,可以创造出新的商业价值,由于接入大数据平台的数据包括大量用户的个人敏感信息,如保险区块链、租房区块链等链上记载的个人支付、健康、入住等信息。为防止大数据加工本身的侵权风险和数据泄露风险,需要对数据进行脱敏处理。如果经过处理之后无法识别到特定的个人,往往可以成为数据合法收集和使用的抗辩理由,但是数据“脱敏”后,仍然能够复原定位到特定个人,则数据使用者仍然存在侵犯信息保护权的法律风险。因此,对大数据进行分析、加工、使用的区块链项目应当设置“数据脱敏且不能定位到特定个人”的检测机制。
第四,设置信息泄露监测和追踪机制。除了加密技术等正向的安全保障措施,保证信息在防火墙内。审慎的区块链数据产业可以预防性的部署信息出了“安全墙”的监测和报警。信息泄露之后涉及法律追责,信息流向的可追踪,有利于明确责任主体和界分责任。信息监测和追踪机制既可以及时提醒区块链数据产业运营主体,有利于在第一时间采取紧急措施,也可以成为创新区块链数据产业的免责或减责抗辩事由。
作者简介:李西臣,法学博士,副教授,西华大学经济法研究中心副主任,四川省人工智能与大数据法治研究会副会长,四川省金融法学研究会副秘书长。主持国家社科一般项目“金融科技背景下智能合约的法律问题研究”等多个国家及省部级课题。
参考文献
[1] 国家工业信息安全发展研究中心:《2019中国大数据产业发展报告》。
[2]张新宝:“从隐私到个人信息:利益再衡量的理论与制度安排”,《中国法学》,2015年第6期。
[3]248 U.S. 215 (39 S. ct. 68, 63 L. Ed. 211).
[4] “北京市第一中级人民法院民事判决书”,(2011)一中民终字第7512号。
[5]喻海松:《刑法的扩张——<刑法修正案(九)及新近刑法立法解释司法适用解读>》,人民法院出版社,2015年11月。
本文地址: https://www.xiguacaijing.com/news/guandian/2020/20854.html
赞助商