大数据安全问题及应对思路研究
随着互联网、物联网、云计算等技术的快速发展,全球数据量出现爆炸式增长。与此同时,云计算为这些海量的多样化数据提供了存储和运算平台,分布式计算等数据挖掘技术又使得大数据分析规律、研判趋势的能力大大增强。在大数据不断向各个行业渗透、深刻影响国家的政治、经济、民生和国防的同时,其安全问题也将对个人隐私、社会稳定和国家安全带来巨大的潜在威胁,如何应对面临巨大挑战。
一、大数据安全关键问题
随着数字化进程不断深入,大数据逐步渗透至金融、汽车、制造、医疗等各个传统行业,甚至到社会生活的每个角落,大数据安全问题影响也日益增大。
(一)国家数据资源大量流失。互联网海量数据的跨境流动,加剧了大数据作为国家战略资源的大量流失,全世界的各类海量数据正在不断汇总到美国,短期内还看不到转变的迹象。随着未来大数据的广泛应用,涉及国家安全的政府和公用事业领域的大量数据资源也将进一步开放,但目前由于相关配套法律法规和监管机制尚不健全,极有可能造成国家关键数据资源的流失。
(二)大数据环境下用户隐私安全威胁严重。随着大数据挖掘分析技术的不断发展,个人隐私保护和数据安全变得非常紧迫。一是大数据环境下人们对个人信息的控制权明显下降,导致个人数据能够被广泛、详实的收集和分析。二是大数据被应用于攻击手段,黑客可最大限度地收集更多有用信息,为发起攻击做准备,大数据分析让黑客的攻击更精准。三是随着大数据技术发展,更多信息可以用于个人身份识别,个人身份识别信息的范围界定困难,隐私保护的数据范围变得模糊。四是以往建立在“目的明确、事先同意、使用限制”等原则之上的个人信息保护制度,在大数据场景下变得越来越难以操作。
(三)基于大数据挖掘技术的国家安全威胁日益严重。大数据时代美国情报机构已抢占先机,美国通过遍布在全球的国安局监听机构如地面卫星站、国内监听站、海外监听站等采集各种信息,对采集到的海量数据进行快速预处理、解密还原、分析比对、深度挖掘,并生成相关情报,供上层决策。2013年6月底,美中情局前雇员斯诺登爆料,美国情报机关通过思科路由器对中国内地移动运营商、中国教育和科研计算机网等骨干网络实施长达4年之久的长期监控,以获取网内海量短信数据和流量数据。
(四)基础设施安全防护能力不足引发数据资产失控。一是基础通信网络关键产品缺乏自主可控,成为大数据安全缺口。我国运营企业网络中,国外厂商设备的现网存量很大,国外产品存在原生性后门等隐患,一旦被远程利用,大量数据信息存在被窃取的安全风险。二是我国大数据安全保障体系不健全,防御手段能力建设处于起步阶段,尚未建立起针对境外网络数据和流量的监测分析机制,对棱镜监听等深层次、复杂、高隐蔽性的安全威胁难以有效防御、发现和处置。
二、国外大数据安全相关举措及我国应对思路
目前世界各国均通过出台国家战略、促进数据融合与开放、加大资金投入等推动大数据应用。相比之下,各国在涉及大数据安全方面的保障举措则起刚刚起步,主要集中在通过立法加强对隐私数据的保护。德国在2009年对《联邦数据保护法》进行修改并生效,约束范围包括互联网等电子通信领域,旨在防止因个人信息泄露导致的侵犯隐私行为;印度在2012年批准国家数据共享和开放政策的同时,通过拟定非共享数据清单以保护涉及国家安全、公民隐私、商业秘密和知识产权等数据信息;美国在2014年5月发布《大数据:把握机遇,守护价值》白皮书表示,在大数据发挥正面价值的同时,应该警惕大数据应用对隐私、公平等长远价值带来的负面影响,建议推进消费者隐私法案、通过全国数据泄露立法、修订电子通信隐私法案等。
我国在布局、鼓励和推动大数据发展应用的同时,也应提早谋划、积极应对大数据带来的安全挑战,从战略制定、法律法规、基础设施防护等方面应对大数据安全问题。
(一)将大数据资源保护上升为国家战略,建立分级分类安全管理机制。一是把数据资源视为国家战略资源,将大数据资源保护纳入到国家网络空间安全战略框架中,构建大数据环境下的信息安全体系,提高应急处置能力和安全防范能力,提升服务能力和运作效率。二是通过国家层面的战略布局,明确大数据资源保护的整体规划和近远期重点工作。三是对国内大数据资源按实施分级分类安全保护思路,保障数据安全、可靠,积极开展大数据安全风险评估工作,针对不同级别大数据特点加强安全防范。五是尽快制定不同级别的大数据采集、存储、备份、迁移、处理和发布等关键环节的安全规范和标准,配套完善相应的监管措施。
(二)完善法律法规,加大个人信息保护监管力度。一是积极推动个人信息保护法律的立法工作,探索通过技术标准、行业自律等手段解决法律出台前的个人信息保护问题。加快《网络安全法》的出台,在《网络安全法》中对电信和互联网行业用户信息保护作出明确法律界定,为相关工作开展提供法律依据。二是加强对个人隐私保护的行政监管,同时要加大对侵害个人隐私行为的打击力度,建立对个人隐私保护的测评机制,推动大数据行业的自律和监督。
(三)加强国家信息基础设施保护,提升大数据安全保障与防范能力。一是促进技术研究和创新,通过加大财政支持力度,激励关系国家安全和稳定的政府和国有企事业单位采用安全可控的产品,提升我国基础设施关键设备的安全可控水平。二是加强大数据信息安全系统建设,针对大数据的收集、处理、分析、挖掘等过程设计与配置相应的安全产品,并组成统一的、可管控的安全系统,推动建立国家级、企业级的网络个人信息保护态势感知、监控预警、测评认证平台。三是充分利用大数据技术应对网络攻击,通过大数据处理技术实现对网络异常行为的识别和分析,基于大数据分析的智能驱动型安全模型,把被动的事后分析变成主动的事前防御;基于大数据的网络攻击追踪,实现对网络攻击行为的溯源。
以上是小编为大家分享的关于大数据安全问题及应对思路研究的相关内容,更多信息可以关注环球青藤分享更多干货
作者:刘仁文一、高度重视计算机犯罪问题如同任何技术一样,计算机技术也是一柄双刃剑,它的广泛应用和迅猛发展,一方面使社会生产力获得极大解放,另一方面又给人类社会带来前所未有的挑战,其中尤以计算机犯罪为甚。所谓计算机犯罪,是指使用计算机技术来进行的各种犯罪行为,它既包括针对计算机的犯罪,即把电子数据处理设备作为作案对象的犯罪,如非法侵入和破坏计算机信息系统等,也包括利用计算机的犯罪,即以电子数据处理设备作为作案工具的犯罪,如利用计算机进行盗窃、贪污等。前者系因计算机而产生的新的犯罪类型,可称为纯粹意义的计算机犯罪,又称狭义的计算机犯罪;后者系用计算机来实施的传统的犯罪类型,可称为与计算机相关的犯罪,又称广义的计算机犯罪。①从1966年美国查处的第一起计算机犯罪案算起,②世界范围内的计算机犯罪以惊人的速度在增长。有资料指出,目前计算机犯罪的年增长率高达30%,其中发达国家和一些高技术地区的增长率还要远远超过这个比率,如法国达200%,美国的硅谷地区达400%。③与传统的犯罪相比,计算机犯罪所造成的损失要严重得多,例如,美国的统计资料表明:平均每起计算机犯罪造成的损失高达45万美元,而传统的银行欺诈与侵占案平均损失只有1· 9万美元,银行抢劫案的平均损失不过4900美元,一般抢劫案的平均损失仅370美元。④与财产损失相比,也许利用计算机进行恐怖活动等犯罪更为可怕,正如美国Inter—Pact公司的通讯顾问温·施瓦图所警告的:“当恐怖主义者向我们发起进攻时,······他们轻敲一下键盘,恐怖就可能降临到数以百万计的人们身上”,“一场电子战的珍珠港事件时时都有可能发生。”⑤故此,对计算机犯罪及其防治予以高度重视,已成西方各国不争事实,“无庸置疑,计算机犯罪是今天一个值得注意的重大问题。将来,这个问题还会更大、更加值得注意”。⑥我国于1986年首次发现计算机犯罪,截止到1990年,已发现并破获计算机犯罪130余起。⑦进入90年代,随着我国计算机应用和普及程度的提高,计算机犯罪呈迅猛增长态势,例如,光1993至1994年,全国的计算机犯罪发案数就达1200多例。⑧据不完全统计,目前,我国已发现的计算机犯罪案件至少逾数千起,作案领域涉及银行、证券、保险、内外贸易、工业企业以及国防、科研等各个部门。⑨有专家预测,“在今后5至10年左右,我国的计算机犯罪将会大量发生,从而成为社会危害性最大、也是最危险的一种犯罪。”⑩二、国外计算机犯罪的立法考察面对汹涌而来的计算机犯罪,“我们的法律就象是在甲板上吧哒吧哒挣扎的鱼一样,它们拼命地喘着气,因为数字世界是个截然不同的地方。”⑾为了有效惩治和防范计算机犯罪,各国纷纷加快这方面的立法,这不仅因为“立法是一个预防计算机犯罪发生的重要手段”,⑿还因为“它是预防和遵守行为本身所需要公平前提的一个因素,······没有界限,就很难确保不发生影响和侵犯别人的情况。”⒀自1973年瑞典率先在世界上制定第一部含有计算机犯罪处罚内容的《瑞典国家数据保护法》,迄今已有数十个国家相继制定、修改或补充了惩治计算机犯罪的法律,这其中既包括已经迈入信息社会的美欧日等发达国家,也包括正在迈向信息社会的巴西、韩国、马来西亚等发展中国家。⒁根据英国学者巴雷特的归纳,各国对计算机犯罪的立法,分别不同情形采取了不同方案:一是那些非信息时代的法律完全包括不了的全新犯罪种类如黑客袭击,对此明显需要议会或国会建立新的非常详细的法律;二是通过增加特别条款或通过判例来延伸原来法律的适用范围,以“填补那些特殊的信息时代因素”,如将“伪造文件”的概念扩展至包括伪造磁盘的行为,将“财产”概念扩展至包括“信息”在内;三是通过立法进一步明确原来的法律可以不作任何修改地适用于信息时代的犯罪,如盗窃(但盗窃信息等无形财产除外)、、诽谤等。⒂在第一种方案里(有时也包括第二种方案的部分内容),又主要有两种不同的立法模式:一是制定计算机犯罪的专项立法,如美国、英国等,二是通过修订刑法典,增加规定有关计算机犯罪的内容,如法国、俄罗斯等。下面,选取几个有代表性的国家,对其计算机犯罪的立法作一扼要考察。(一)美国美国是世界上计算机和因特网普及率最高的国家,就连欧洲的学者也承认:“即使从一个真正欧洲人的角度出发,美国的法律也是非常重要的,因为主要的系统、用户和因特网的内容都是美国人的。因此,美国法律的修改或法律运用方式的修改都会对整个计算机王国产生影响。”⒃是故,考察计算机犯罪立法,美国当属首选对象。美国的计算机犯罪立法最初是从州开始的。1978年,佛罗里达州率先制定了计算机犯罪法,其后,其他各州均纷纷起而效之,现在,除了佛蒙特州以外,其他所有的州都制定了专门的计算机犯罪法。⒄这些计算机犯罪法所涵盖的内容,大体有以下9个方面:⒅(1)扩大传统意义上的“财产”概念。规定电子信息和计算机技术也属于财产,这样,对盗窃电子信息和计算机技术之类的行为就可以按照盗窃罪等罪名来处理。(2)毁坏。许多州将“篡改、损害、删除或毁坏计算机程序或文件”的行为规定为犯罪。(3)帮助和教唆。一些州明确规定下列行为是犯罪:通过计算机为别人犯诸如贪污、欺诈等罪行提供便利。(4)侵犯知识产权。这些州将非法侵入计算机系统,故意篡改或消除计算机数据、非法拷贝计算机程序或数据等行为都规定为新的犯罪。此种情况下不要求犯罪行为造成实际损害。但也有的州规定,除非此类行为是为了牟利,或者给机主造成一定的经济损失,否则不构成犯罪。(5)故意非法使用。未经机主同意,擅自“访问”或“使用”别人的计算机系统。(6)妨碍计算机的合法使用。大约有1/4的州规定,妨碍合法用户对计算机系统功能的全面获取,如降低计算机处理信息的能力,是犯罪。(7)非法插入或毒害。这些法律将植入、通过电话线或软盘传送“病毒”、“蠕虫”、“逻辑炸弹”等犯罪化。(8)网上侵犯隐私。为了保护计算机内的个人隐私,有的州规定,只要非法侵入计算机系统,查看里面的内容,即使没有篡改或抽取任何内容,也构成犯罪。但也有的州规定,若侵入仅仅是为了窥视别人的隐私,则还不能以犯罪论处。(9)非法占有。有的州将非法占有计算机系统及其内容视为一种独立的犯罪。在联邦一级,虽然早在1979年国会就曾讨论过计算机犯罪的立法问题,但直到1984年才制定了惩治计算机犯罪的专门法律《伪造连接装置及计算机欺诈与滥用法》(Counterfeit Access Device and Computer Fraud and Abuse Act),其后分别于1986、1988、1989、1990、1994、1996年数次对其作出修订,一方面不断扩大该法的涵盖范围,另一方面也进一步明确一些术语,最后形成《计算机滥用修正案》(该内容后被纳入《美国法典》第18篇“犯罪与刑事诉讼”篇第1030条,题为“与计算机有关的欺诈及其相关活动”)。⒆修正案规定,以下7种行为为犯罪行为:⒇(1)未经许可或超出许可范围故意进入计算机系统,并借此获取受美国政府保护的国防和外交方面的信息,或《1954年原子能法》所规定的受限制的数据;(2)未经许可或超出许可范围故意进入计算机系统,并借此获取金融机构或美国法典第15篇第1602(n)条中所规定的信用卡发行者的金融信息,或有关消费者的信息;(3)未经许可故意访问美国政府机构或代理机构的非公用计算机、政府专用计算机,或在非专用情况下影响被美国政府所使用的计算机或为其服务的计算机的运转;(4)未经许可或超出许可范围访问被保护的计算机,旨在欺诈和获取某种有价值的东西;(5)合法用户引起程序、信息、代码或命令传播,故意导致被保护的计算机的损坏;非合法用户未经许可访问被保护的计算机,不论故意还是轻率或者卤莽而导致被保护的计算机的损坏;(6)故意使用未经许可的密码来侵入政府计算机系统,或者州际或外国的商业系统,意图从事欺诈性交易;(7)故意向任何人、公司、协会、教育机构、金融机构、政府实体或其他合法实体,敲诈任何货币或其他有价之物;在州际商务或外贸中,传播含有任何威胁损坏被保护计算机的信息。按照修正案的规定,上述犯罪可分别判处轻至1年以下监禁或罚金,重至20年以下监禁并处罚金的刑罚。未遂也要处罚,并与既遂同罚。修正案还规定,鉴于计算机犯罪的特殊性,美国联邦经济情报局在必要时,可根据财政部长和司法部长的决定,直接对计算机犯罪展开侦查。此外,除了专门的计算机犯罪立法,美国联邦至少还有40个其他的法律可以用来指控某些与计算机有关的犯罪。这些法律包括:版权法,国家被盗财产法,邮件与电报诈欺法,电信隐私法,儿童色情预防法,等等。(21)(二)英国“与美国的情况不同,英国不存在相应的州政府和联邦政府的法律,所有法律都适用于整个国家(虽然苏格兰的法律在许多方面不同,但在计算机滥用和相关方面的法律却相同)。”(22)有关计算机犯罪的立法,在英国经历了一个过程:1981年,通过修订《伪造文书及货币法》,扩大“伪造文件”的概念,将伪造电磁记录纳入“伪造文书罪”的范围;(23)1984年,在《治安与犯罪证据法》中规定:“警察可根据计算机中的情报作为证据”,从而明确了电子记录在刑事诉讼中的证据效力;(24)1985年,通过修订《著作权法》,将复制计算机程序的行为视为犯罪行为,给予相应之刑罚处罚;(25)1990年,制定《计算机滥用法》(以下简称《滥用法》)。在《滥用法》里,重点规定了以下三种计算机犯罪:1、非法侵入计算机罪。根据《滥用法》第一条的规定,非法侵入计算机罪是指行为人未经授权,故意侵入计算机系统以获取其程序或数据的行为。此行为并不要求针对特定的程序或数据,也就是说,只要是故意非法侵入,哪怕仅仅是一般的浏览行为也构成犯罪。该罪可处以2000英镑以下的罚金或6个月以下的监禁,或并处。2、有其他犯罪企图的非法侵入计算机罪。根据《滥用法》第二条的规定,如果某人非法侵入计算机? 俏�俗约夯蛩�朔钙渌�淖铮�缋�枚寥〉男畔⒔�姓┢�蚨镎┑龋�蚬钩纱Ψ8�侠鞯姆缸铮�膳写?年以下监禁或无上限罚金。3、非法修改计算机程序或数据罪。根据《滥用法》第三条的规定,行为人故意非法对计算机中的程序或数据进行修改,将构成此罪,可判处5年以下监禁或无上限罚金。(26)(三)法国法国1992年通过、1994年生效的新刑法典设专章“侵犯资料自动处理系统罪”对计算机犯罪作了规定。根据该章的规定,共有以下三种计算机罪:1、侵入资料自动处理系统罪。刑法典第323-1条规定:“采用欺诈手段,进入或不肯退出某一资料数据自动处理系统之全部或一部的,处1年监禁并科10万法郎罚金。如造成系统内储存之数据资料被删除或被更改,或者导致该系统运行受到损坏,处2年监禁并科20万法郎罚金。”2、妨害资料自动处理系统运作罪。刑法典第323-2条规定:“妨碍或扰乱数据资料自动处理系统之运作的,处3年监禁并科30万法郎罚金。”3、非法输入、取消、变更资料罪。刑法典第323-3条规定:“采取不正当手段,将数据资料输入某一自动处理系统,或者取消或变更该系统储存之资料的,处3年监禁并科30万法郎罚金。”此外,该章还规定:法人亦可构成上述犯罪,科处罚金;对自然人和法人,还可判处“禁止从事在活动中或活动时实行了犯罪的那种职业性或社会性活动”等资格刑;未遂也要处罚。(27)(四)俄罗斯俄罗斯1996年通过、1997年生效的新刑法典也以专章“计算机信息领域的犯罪”为名对计算机犯罪作了规定。该法第272条规定了“不正当调取计算机信息罪”:指不正当地调取受法律保护的计算机信息,且导致信息的遗失、闭锁、变异或复制,电子计算机、电子计算机系统或电子计算机网络的工作遭到破坏的行为。第273条规定了“编制、使用和传播有害的电子计算机程序罪”:指编制电子计算机程序或对现有程序进行修改,明知这些程序和修改会导致信息未经批准的遗失、闭锁、变异或复制,导致电子计算机、电子计算机系统或其网络工作的破坏,以及使用或传播这些程序或带有这些程序的机器载体的行为。该条还规定:“上述行为,过失造成严重后果的,处3年以上7年以下的剥夺自由。”第274条规定了“违反电子计算机、电子计算机系统或其网络的使用规则罪”:指有权进入电子计算机、电子计算机系统或其网络的人员违反电子计算机、电子计算机系统或其网络的使用规则,导致受法律保护的电子计算机信息的遗失、闭锁或变异,造成重大损害的行为。该条也规定,过失造成严重后果的,要负刑事责任。(28)三、中国:问题与改进中国在1997年全面修订刑法典时,适时加进了有关计算机犯罪的条款,这就是:第285条规定的非法侵入计算机信息系统罪,第286条规定的破坏计算机信息系统罪和第287条规定的利用计算机进行传统犯罪。最近,国务院又向全国人大常委会提交议案,提请审议关于维护网络安全和信息安全的决定草案,其中对利用网络进行盗窃、、诽谤等15种行为明确规定:“构成犯罪的,依照刑法有关规定追究刑事责任。”(29)这些规定的陆续出台,无疑对防治计算机犯罪、促进我国计算机技术的健康发展起着重要的作用。但与此同时,也必须看到,目前我国在这方面的立法还远不能适应形势发展的需要,存在诸多需要完善的地方。现简略分析如下,并结合国外先进立法经验,提出若干改进意见。首先,犯罪化的范围偏窄,需要予以适当扩大。例如,刑法第285条规定的非法侵入计算机信息系统罪,仅将犯罪对象限定为国家事务、国防建设和尖端科学技术领域的计算机信息系统,显然太窄,实际上,有些领域如金融、医疗、交通、航运等,其计算机信息系统的安全性也极其重要,非法侵入这些领域的计算机信息系统同样具有严重的社会危害性,因此,宜将该罪的犯罪对象扩大到包括这些领域的计算机信息系统。又如,刑法第286条只规定了用技术手段破坏计算机信息系统,且破坏的对象仅限于计算机软件,这就不能包括用物理手段来破坏计算机硬件或附件的行为,而后者也可能造成计算机系统不能正常运行或其他更严重的后果。还有,窃用计算机服务的行为目前也处于立法空白状态,我国刑法第265条规定对窃用通信系统的行为可依照刑法第264条关于盗窃罪的规定处罚,但该条并没有包括窃用计算机服务的行为。当然,由于国外法律大多持一元犯罪观,即对违法与犯罪不作区分,违法(Violation) 即犯罪,而我国法律则持二元犯罪观,即区分违法和犯罪,一般的违法行为用《治安管理处罚条例》来处理,严重的违法行为才用刑法来处理,因此,在借鉴国外立法例时,也不可照搬,有些国外视为犯罪的行为在我国可以用《治安管理处罚条例》来处理,如前述非法侵入计算机信息系统的行为,假如侵入的对象仅为一般用户的计算机系统,则不宜以犯罪论处,可纳入《治安管理处罚条例》的调控范围。(30)其次,犯罪构成的设计不合理,需要增加法人犯罪和过失犯罪。目前对计算机犯罪的主体仅限定为自然人,但从实践来看,确实存在各种各样的由法人实施的计算机犯罪,(31)因此,增设法人可以成为计算机犯罪的主体,是现实需要。再者,刑法第286条规定的破坏计算机信息系统罪只限于故意犯罪,这是不够的,至少对于那些因严重过失导致某些重要的计算机信息系统遭破坏,造成严重后果的,应给予刑事制裁,否则达不到有效防治此类犯罪的目的。第三,刑罚设置不科学,应当增设罚金刑和资格刑。计算机犯罪往往造成巨大的经济损失,其中许多犯罪分子本身就是为了牟利,因而对其科以罚金等财产刑自是情理之中。同时,由于计算机犯罪分子大多对其犯罪方法具有迷恋性,因而对其判处一定的资格刑,如剥夺其长期或短期从事某种与计算机相关的职业、某类与计算机相关的活动的资格,实乃对症下药之举。正因此,对计算机犯罪分子在科以自由刑的同时,再辅以罚金刑和资格刑,是当今世界各国计算机犯罪立法的通例,但我国刑法第285、286条对计算机犯罪的处罚却既没有规定罚金刑,也没有规定资格刑,这不能不说是一大缺憾。第四,刑事诉讼法等相关法律不健全,亟需跟上。计算机犯罪的自身立法固然重要,但“制定相关法律来确保这些法律的遵守和执行也同样重要”。(32)这方面我们面临的主要问题是:1、我国现行刑事诉讼法规定的7种证据,并不包括电磁记录,实践中对于电磁记录的证据效力尚有分歧,应尽快明确;2、计算机犯罪的跨国特征非常明显,“在互联网上世界就如同一个小小的村落”,(33)这必将使此类犯罪的引渡问题空前增多,因而再度呼唤我国《引渡法》的出台;3、由于刑法固有的属性,决定了它必须建立在其他相关的行政法律和民商法律之基础上,此即所谓的“刑法次要原则”,(34)而目前我国在计算机领域里,相关的行政法律和民商法律还很不完善,应抓紧这方面的工作,以保证刑法与它们的彼此协调和正确定位。①参见(美) Michael Hatcher, Jay McDannell and Stacy Ostfeld:Computer Crimes,American Criminal Law Review,Summer 1999.国内众多的论著也对计算机犯罪的概念或定义进行了多角度的介绍和探讨,有关这方面的情况可参看以下著作:刘广三:《计算机犯罪论》,中国人民大学出版社1999年6月版,第60—66页;赵廷光、朱华池、皮勇:《计算机犯罪的定罪与量刑》,人民法院出版社2000年3月版,第19—33页;于志刚:《计算机犯罪研究》,中国检察出版社1999年10月版,第56—68页;陈兴实、付东阳:《计算机· 计算机犯罪·计算机犯罪的对策》,中国检察出版社1998年7月版,第20—23页。另外,顺便就计算机犯罪、电脑犯罪、赛博犯罪、数字化犯罪与因特网犯罪五个概念的关系在此作一说明:计算机犯罪、电脑犯罪、赛博犯罪与数字化犯罪意义相同,“计算机犯罪”多出现于大陆学者的著作中,“电脑犯罪”则多出现于台湾学者的著作中,而赛博犯罪和数字化犯罪乃分别由英文中的Cyber Crime和Digital Crime翻译而来,前者系音译,后者系意译。至于因特网犯罪,其含义应窄于计算机犯罪,虽然自网络发明以后,因特网犯罪已成为计算机犯罪的主要形式,但仍然存在不属于因特网犯罪却属于计算机犯罪的单机犯罪。②该案发生于1958年的美国硅谷,系一计算机工程师通过篡改程序窃取银行的存款余额,但直到1966年才被发现。(参见于志刚:《计算机犯罪研究》,中国检察出版社1999年10月版,第7页。)这或许可作为计算机犯罪黑数极高的一个例证。据有的学者分析指出,由于计算机犯罪本身所固有的隐蔽性和专业性,加上受害公司和企业因担心声誉受损而很少报案等原因,实践中计算机犯罪绝大多数都没有被发现和受到查处,真正发现的只占15%—20%。(参见庄忠进:〈〈电脑犯罪侦查之探讨〉〉,载台湾〈〈刑事科学〉〉1995年第39期,第127—128页。)③转引自于志刚:《计算机犯罪研究》,中国检察出版社1999年10月版,第7—8页。④转引自周光斌:《计算机犯罪与信息安全在国外》,载《中国信息化法制建设研讨会论文集》,1997年3月,北京。⑤转引自陈兴实、付东阳:《计算机· 计算机犯罪·计算机犯罪的对策》,中国检察出版社1998年7月版,第39页。⑥摘自美国律师协会的报告,转引自刘广三:《计算机犯罪论》,中国人民大学出版社1999年6月版,第74页。⑦参见于志刚:《计算机犯罪研究》,中国检察出版社1999年10月版,第8—9页。⑧参见吴起孝:《高智能犯罪研究》,载《警学经纬》1997年第3期。⑨参见刘广三:《计算机犯罪论》,中国人民大学出版社1999年6月版,第86页。需要指出的是,我国刑法直到1997年才通过修订的方式增加规定了非法侵入计算机信息系统罪、破坏计算机信息系统罪等纯粹意义上的计算机犯罪罪名,而从前述所引文献对有关计算机犯罪的举例来看,除了包括那些利用计算机进行盗窃、贪污等刑法意义上的犯罪外,还包括那些刑法虽没有规定为犯罪但对社会有较大危害性的其他违法行为和失范行为如制造计算机病毒等,因而这里的“犯罪”概念应从犯罪学的意义上来理解,而不是从刑法学意义上来理解。本文其他地方所使用和引用的“犯罪”概念,也有这种情形,敬请读者留意。(关于刑法学和犯罪学中“犯罪”概念的异同,可参看康树华:《犯罪学—历史·现状·未来》,群众出版社1998年9月版,第42—44页。)⑩参见赵廷光:《信息时代、电脑犯罪与刑事立法》,载高铭暄主编:《刑法修改建议文集》,中国人民大学出版社1997年版。⑾参见(美)尼古拉·尼葛洛庞蒂著,胡冰、范海燕译:《数字化生存》,海南出版社1997年版,第278页。
2018年5月25日,欧盟《一般数据保护条例》(General Data Protection Regulation,简称GDPR)将正式生效。GDPR序言共173条,正文分为11章99条。历经多年商讨的GDPR新条例的实施,意味着欧盟的数据保护水平将达到前所未有的高度。堪称世界史上最严格的数据保护法律,必将对未来全球数字经济产生深远影响。
GDPR即将生效,中国发布的《信息安全技术 个人信息安全规范》(下称《信息规范》)也于2018年5月1日起实施。
一些国内企业长期缺乏规则意识,可能并没有尝到应有的苦果。由于多种因素导致的执法不严、违法不究的情形,一旦到了国外可能就不灵。企业的不合规经营行为,一旦被其他国家政府发现追究起来,处以巨额罚款或禁止业务往来,可能是灭顶之灾。特别是在近几年全球贸易保护主义似乎有所抬头的新时代背景下,企业不合规经营,必将产生数年甚至永远难以消化的“恶果”。
面对即将落下的GDPR利剑,全球数字经济企业需要积极应对,努力减少合规风险,防止入“罪”被“罚”。各国政府也需要积极担当作为,为本国数字经济企业的海外发展保驾护航。
GDPR一大“杀手锏”:重罚
除了扩大个人数据的保护范围、赋予数据主体一系列强大的权利外,GDPR有两大“杀手锏”:一是设定了重罚;二是确立了“长臂”管辖原则。
对于数据处理的违法行为,GDPR主要设定两个等级的处罚。第一等级最高可处以1000万欧元,或上一财年全球营业额2%的行政处罚,以较高者为准。如果根据全球营业额进行处罚,在地域上是全球范围内,而非在欧盟境内的营业额;在基数上,是全球营业额(annual turnover),而非全球净利润。该等级的处罚究竟适用哪些情形,GDPR第83条第4款规定三大类数据违法行为:第一,数据控制者与处理者没有尽到相应数据保护义务。譬如未实施适当的技术和组织措施、未尽职责保持数据处理活动的记录、没有及时向监管机构通知数据已泄露、未进行数据保护影响评估等;第二,没有对数据保护认证组织履行义务;第三,没有对监管部门履行义务。
针对严重违法的数据处理行为,GDPR设定了第二等级的行政处罚:最高可处以2000万欧元,或上一财年全球营业额4%的行政处罚,以较高者为准。GDPR第83条第5款规定了五大类严重违法的具体情形:第一,违反数据处理的基本原则与条件。数据处理应当遵循六大原则:合法、正当与透明原则,目的有限原则,数据最小化原则,准确性原则,储存限制原则,完整性与保密性原则。数据处理应当符合相应的合法性条件;第二,侵犯数据主体的同意权、访问权、纠正权、被遗忘权、数据可携带权、拒绝权、获得救济权等多项权利;第三,不符合条件将个人数据传输给第三国或国际组织;第四,没有对成员国履行相应的义务;第五,未能遵守监管机构的相关要求。
可见,GDPR设定的“罪”是相当多的,“罚”是非常严厉的。制定任何法律的目的不在于处罚,处罚只是保障法律有效实施的必要手段。“重典治乱”未必总能取得良好效果,但确实可以起到一定威慑作用。GDPR以重罚为理念,试图倒逼数字经济企业完善数据保护制度。
无论是对于数据处理违法行为的认定及其严重程度判断,还是对于处罚金额的最终作出,欧盟监管机构都享有巨大的执法裁量权。如何减少数据保护监管的权力寻租,防止监管“俘获”,消除腐败,确保公正执法,是接下来欧盟当局特别是法治水平不高的一些成员国需认真对待的问题。
另一“杀手锏”:“长臂”管辖原则
确立“长臂”管辖原则,或称为效果原则,是GDPR的另一大“杀手锏”。法律是国家主权的体现,一般只在一国领土范围内发生效力,即属地原则。但随着近些年来网络技术的不断提高,具有虚拟性、无国界性的电子商务、互联网金融,在全球范围内得到蓬勃发展。在数字经济时代,再继续坚持传统的属地主义原则,或许无法有效保护本国公民的权益和国家利益。
GDPR的适用范围极广,将法律适用的属地主义与属人主义原则结合起来,扩大法律适用的域外效力。
首先,在欧盟境内设立数据控制或处理机构,不管其对个人数据处理的行为是否发生在欧盟境内,都受GDPR的拘束。此管辖规则属于传统的属地主义原则,在欧盟内设有机构,当然应受欧盟法的约束。
其次,即使在欧盟境内没有设立数据控制或处理机构,有两类数据处理行为也受GDPR的约束。一类是向欧盟内的数据主体提供商品或服务,无论是否收费或免费;另一类是对数据主体发生在欧盟内的行为进行监控的。此管辖规则实际上确立了GDPR的属人主义原则,即不管企业在欧盟内有没有设立机构,只要其对欧盟数据主体提供了商品、服务,或对其进行了监控,就受GDPR的拘束。属人主义原则的确立,大大扩大了GDPR的管辖范围。
再次,在欧盟内没有设立机构,但数据处理行为,依国际公法可适用欧盟成员国法律,受GDPR的拘束。根据此管辖规则,欧盟监管机构既不依据属地主义,也不依据属人主义,仍然可能依国际公法规则对数据处理行为进行监管。
GDPR所确立的三大管辖制度,可称之为“长臂”管辖原则。通过分析该规则可以发现,世界上任何一家与欧盟有相关贸易往来的数字经济企业,即使没有在欧盟境内设立任何机构,也可能受GDPR的管辖。重罚机制,加上“长臂”管辖原则,使GDPR威力无比。
“罪”与“罚”都是明确的。GDPR带给数字经济企业的是实实在在的可预测的法律风险。GDPR已经为数字经济企业画出一张数据保护的操作红图。与其担惊受怕抱有欧盟“执法不严、违法不究”的侥幸心理,不如早日“退而结网”完善数据保护合规制度建设。“想吃大蛋糕,又不愿失去更多面包”的全球数字经济企业,应当抓紧按图行事不断完善企业数据治理。
企业应对GDPR的当务之急
欧盟对于数据保护设定比较严格的高标准,必然会有很多数字经济企业一时满足不了要求,或一直不愿花大成本满足标准,所以罚款也必将蜂拥而至。那到底罚谁?
由于人力、物力、财力等执法资源的有限性,未来欧盟对于数据保护的“选择性执法”在所难免。名企首当其冲。“枪打出头鸟”,选择“杀”一些名企,达到“儆百”的目的,可能是欧盟未来数据保护执法的常态。
然而,不管是名企还是非名企,既然选择欧盟大市场,就应当根据GDPR的要求,建立健全合规的数据保护制度。名企财力雄厚,尽管被高额罚款,可能还承受得起。但是,对于非名企,特别是一些中小企业来说,欧盟的一次罚款或制裁,可能马上就会使其濒临破产。
“羊未亡,牢需补。”全球数字经济企业应当高度重视GDPR。随着中国《信息规范》也将实施,中国企业可以从以下几个方面,尽快完善数据保护制度:
第一,高度重视个人数据保护。企业高管团队应当对GDPR有清醒的认识和准确的预判,尽早制定周密的战略计划,不计成本消除各种不合规隐患,加强人员管理与培训。企业相关业务部门应及时全面分析已经采集、存储的个人数据的种类、用途与获取方式,删除不合法、不必要的个人数据,实现个人数据保存时间的最小化,并不断加强数据安全保障。
第二,完善数据主体的权利设置与行使操作规程。GDPR赋予了数据主体一系列强大的权利,对于这些权利的保护不足和侵犯属于严重违法行为,欧盟监管机构可处以最高额度的罚款。在赋予数据主体同意权、访问权、可携带权、被遗忘权、更正权等重要权利外,还应当核实这些权利设置与行使是否符合GDPR的要求,例如检查设置的同意权是否符合GDPR的要求。我国《信息规范》要求收集个人数据时原则上应获得授权同意,收集个人敏感信息还需明示同意,另外还明确了撤回同意权。
第三,完善数据处理机制。运用适当的组织措施与技术措施,确保数据处理符合GDPR的基本原则与合法性条件。以透明的方式,使用简明易懂的语言,及时如实告知收集、存储、使用个人数据的情况。建立健全数据保护影响评估机制与事先协商制度,对个人数据进行去标识化处理,完善数据匿名化处理规程,提高数据处理过程的安全性,并对个人数据处理活动进行记录。
第四,必要时任命数据保护官。GDPR要求相关企业以透明的方式,任命具有专门数据保护知识的数据保护官(Data Protection Officer,DPO)。DPO可以确保数据控制者和处理者遵从GDPR的相关规定,同时也扮演着与监管机构之间的联系人和合作者的角色。如果经评估必须设立DPO,则应保障DPO的任命、权利和职责符合强制性规定,并为DPO独立履行职责提供充足的资源。另外,企业可考虑聘请外部数据保护顾问。
第五,完善数据泄密报告与处理机制。GDPR要求原则上自知道个人数据泄露72小时内,向监管机构报告,并将可能产生高风险的泄露信息通知受到影响的个人。企业应详细记录个人数据泄露情况,及时采取补救措施,不断修改完善现有的数据泄露管理流程。我国《信息规范》要求企业定期组织内部相关人员,进行个人信息安全事件应急响应培训和应急演练,及时更新应急预案。
另外,数字经济企业还应当从更新隐私声明与政策、删除相关协议文本中侵犯数据主体权利的“霸王”条款、完善数据跨境流动机制等方面积极采取应对措施,减少不合规风险。
政府应为数字经济发展保驾护航
经济基础决定上层建筑。GDPR是法律,属于欧盟的上层建筑,但其所要调整的却是全世界的数字经济企业。由于不同国家的经济发展水平存在很大差别,所以不同的经济基础与同一的上层建筑之间,必然存在难以调和的矛盾。一方面个人数据权利要保护,另一方面技术要创新、市场要发展,二者之间发生冲突在所难免。
GDPR是一把双刃剑。欧盟GDPR选择了偏重保护个人数据权利,可能会对技术与市场的发展产生一定的阻碍。发展数字经济,建设数字中国,不仅需要靠企业不断提升数据治理水平,还需要靠政府主动采取措施,解决企业无法克服的实际困难。
首先,政府应当高度重视GDPR给数字经济带来的挑战。严格的个人数据保护,带来高额合规成本。由于信息资产管理的运营成本会显著增加,而且担心被重罚,一些企业已经暂停欧盟的相关业务。GDPR的实施可能不利于中小数字经济企业成长,并可能助长巨头企业的垄断地位。因而,政府应当在战略上予以重视,积极制定各种鼓励扶持政策,有效支持企业提升数据治理水平,消除数据垄断,降低GDPR合规风险。
其次,与欧盟积极沟通,完善对话协商机制。相关政府职能部门需要认真研究欧盟GDPR的监管规则,紧密协同配合,担当有为。在积极制定政策法律不断完善企业数据保护水平的基础上,与欧盟监管当局开展平等对话协商,表明难点与决心,赢得理解,减少不必要的处罚与贸易纠纷。
再次,完善数据保护执法合作机制。对于GDPR 的监管挑战,各国政府应当充分研究欧盟数据保护监管的利益关切和行动计划,加强信息开放与共享,健全实体法之间的协调机制,寻找监管标准的最大公约数,积极寻求产业合作和个人信息保护执法合作,实现全球数据保护的共商共治。
除了作为重罚的依据,欧盟还可能将GDPR作为新的技术壁垒,阻碍全球数字经济企业在欧盟的发展扩张。在我国正在推行“一带一路”倡议的大背景下,GDPR也可能成为阻挡我国数字经济企业“走出去”的障碍。但无论如何,在互联网时代,合规经营是数字经济企业做大做强的不二法则。尽管“规”可能很严厉,但只要“规”是合法有效的存在,企业就应当严格遵守。(来源:《财经》杂志)
上有政策下有对策。
消息来自新华网。
219 浏览 5 回答
178 浏览 3 回答
112 浏览 2 回答
151 浏览 4 回答
120 浏览 6 回答
317 浏览 2 回答
93 浏览 2 回答
290 浏览 4 回答
270 浏览 3 回答
105 浏览 5 回答
265 浏览 3 回答
309 浏览 3 回答
232 浏览 3 回答
198 浏览 6 回答
89 浏览 2 回答