1、数据跨域管控白皮书华东政法大学数据法律研究中心蚂蚁集团2023 年 12 月华东政法大学数据法律研究中心蚂蚁集团2023 年 12 月目录1.数据流通时代的到来.11.1 数据作为生产要素的提出.21.2.数据是难以排他控制的有风险资源.21.3 构建适合数据及其价值的跨域管控体系.41.4 基本框架.61.5 术语定义.72.数据流通及其风险.92.1 数据流通及其场景类型.92.1.1 数据流通的含义.92.1.2 数据流通场景类型.122.2 数据流通利用的风险.132.2.1 数据泄露风险.142.2.2 数据滥用风险.162.2.3 责任不清风险.172.3 小结.193.数据流通风
2、险的规范和防范现状.213.1 数据流通安全规范不完善.213.1.1 持有者安全义务体系不健全.213.1.2 持有者安全责任配置不合理.243.2 数据市场缺失数据跨域过程管控.304.数据流通的跨域管控解决方案.324.1 数据跨域管控的基本思路.324.1.1 跨域管控责任主体:流通主体责任与数据流通运营者管控的责任.324.1.2 跨域管控的机制:技术、法律和管理的综合应用.334.1.3 跨域管控的方法:与安全风险程度适配的安全技术和管理措施344.1.4 跨域管控是全流程的管控.364.2 与数据流通风险适配的管控技术要求.374.2.1 数据来源可确认.374.2.2 数据可用
3、不可见.394.2.3 数据可算不可识.404.2.4 数据使用可界定.414.2.5 数据流通可追溯.434.3 数据流通者安全责任的明确.444.3.1 明确数据持有者的责任.454.3.2 明确数据接受/使用者的责任.464.3.3 明确数据流通运营者的责任.475.构建中国的可信数据流通参考架构.49参考文献.52表目录表 1 数据持有者相关表述.21表 2 刑法涉数据犯罪罪名.26表 3 刑法对网络服务提供者(数据持有者)的规定.26表 4 典型案例对比表.29图目录图 1 数据跨域管控的定位.5图 2 传统模式.10图 3 密态管道模式.11图 4 平台模式.12图 5 数据流通场
4、景类型:按流通方式划分.12图 6 数据流通利用的风险.14图 7 数据流通风险范围.20图 8 我国涉及数据安全的相关规范.22图 9 数据持有者法定安全义务图.24图 10 某数据交易所交易流程.31数据流通时代的到来第 1 页1.数据流通时代的到来从计算机诞生起到现在,数据产生、存储、使用和消费的方式产生了翻天覆地的变化。最初,数据只在单台机器上存储和使用;后来有了局域网和互联网,数据可以在多台机器间共享;到了大数据和云计算时代,数据在物理上的存在空间和范围更广更大。这几种情况下,数据持有者都是享有对数据的全生命周期的绝对控制能力的,也就是传统的数据安全领域致力解决的问题。数字技术的迭代
5、发展使人类进入数据智能时代。数据仅在单个数据持有者域内加工、使用,已经不能满足数据智能时代的发展要求。各行业发展过程中,需要更精准模型或者对用户更精确地洞察,数据需要进行跨域融合、加工等产生新的数据产品,进而创造出全新的数据价值。数据需要流动才能释放价值,数据流通过程伴随着数据权责利的变化,同时产生新的风险,让数据安全面临新的挑战。在此背景下,我国提出数据作为生产要素,探索适应数据要素特征的数据基础制度,以“促进数据合规高效流通使用、赋能实体经济”。数据流通本质上是数据的跨域使用,如何构建数据跨域管控体系,确保“数据合规高效流通使用”,成为数据流通基础设施关键内容,进而成为数据基础设施的重要组
6、成部分。本白皮书通过分析数据流通与传统数据利用方式的不同所导致的风险增加,提出应采取技术、管理和法律的手段,通过数据跨域管控实现数据离开持有者的域后,数据持有者仍能控制数据流转过程,避免数据被窃取或非预期使用,管控数据流通风险,构建技术信任体数据跨域管控白皮书第 2 页系,保障“数据合规高效流通使用”。1.1 数据作为生产要素的提出数据资源已经成为数字经济时代的基础性生产要素。数据资源已经成为数字经济时代的基础性生产要素。随着数据爆发增长和规模应用,新产业、新业态不断涌现,对生产力和生产关系的发展和变革产生重要影响。2020 年 3 月,中共中央、国务院发布关于构建更加完善的要素市场化配置体制
7、机制的意见,首次将数据视为新的生产要素,并形成了土地、劳动力、资本、技术和数据五大生产要素框架。2022 年 12 月,中共中央、国务院印发关于构建数据基础制度更好发挥数据要素作用的意见(以下简称“数据二十条”),从生产要素高度系统部署数据要素价值释放,确立了数据基础制度体系的“四梁八柱”,对更好地发挥数据要素的作用具有重要意义。为进一步释放数据要素的价值,2023 年 2 月,中共中央、国务院印发的数字中国建设整体布局规划明确指出,畅通数据资源大循环是数字中国建设的两大基础之一,要构建国家数据管理体制机制,健全各级数据统筹管理机构,推动公共数据汇聚利用,释放商业数据价值潜能。规划提出的总体布
8、局为数据要素价值释放指出了方向,将数字技术与社会各个领域深度融合,带动数据要素在各场景下发挥独特作用,从而充分激活数据要素的内在价值,全面赋能经济社会发展。1.2.数据是难以排他控制的有风险资源数据流通时代的到来第 3 页与传统生产要素相比,数据要素具有独特的自然属性。在数字时代,作为客观事实记录的数据及其从数据分析得出的信息和知识均以数字化形式存储、呈现、传递和使用。数字化的数据具有独特的自然属性。一方面,作为技术产物,与土地、劳动力等看得见、摸得着的物理实体不同,数据存在于数字空间中,其初始数字化是有成本的,但数据在数字空间可方便转移,无限复制。另一方面,作为经济对象,与土地、劳动力等排他
9、性和竞争性资源不同,数据具有一定的公共物品性质,其取得和使用具有非排他性和外部性,数据公开、接触即被使用。数据是客观事实的数字化转化,本质上具有利益并存性和社会性,人人都是数据的来源者,人人皆可成为数据的使用者。这些特性打破了传统要素有限供给对增长的制约,为持续增长和可持续发展提供了基础与可能。数据是一种有风险的资源。打破了传统要素有限供给对增长的制约,为持续增长和可持续发展提供了基础与可能。数据是一种有风险的资源。数据要素的属性突出了其资源性质,但是数据本身作为一种非常特殊的资源,其特性又为其带来风险性:低复制成本性的属性带来了数字化数据本身的安全控制问题;非排他性和外部性等特性使数据来源和
10、归属很难界定,本身存在安全和合规风险;利益并存性和社会性等特征意味着数据上存在多重利益,除了代表数据上可能并存各种利益需要保护或协调之外,也代表数据产品上存在多重风险。数据生产要素的资源性和风险性对其利用提出了更高的要求。这意味着我们很难援用传统的产权制度,在特定主体与数据之间建立排他支配(使用)关系,将数据外部性内化,使数据持有者独享数据跨域管控白皮书第 4 页数据利用的好处,承担数据利用的危害和风险。即使有这样的产权制度,也不适合数据社会价值最大化实现。数据的价值在于使用,而使用意味汇集,汇集即流通,不断汇集数据到一定规模,才能实现数据的价值。在这样不断汇集分析或流通利用中界定清晰产权,如
11、果不是徒劳的,也是高成本的。因此,我们需要在控制数据流通利用风险的前提下,创制数据流通利用的秩序。1.3 构建适合数据及其价值的跨域管控体系数据要素的流通是跨主体控制域的数据使用,它突破了数据持有者对数据的管控范围和管控能力,数据的风险会进一步放大。同时,由于数据上不存在清晰界定的产权,无法通过产权界定数据流通的风险。援用产权交易模式构建的数据市场不能解决数据流通的风险,提振数据要素市场的信心。从现有实践来看,数据流通的主要风险源自两个方面的不确定性:从数据提供者角度,流通出去的数据是否会泄露、滥用甚或违法使用,是否给自己带来风险,是否会侵害自己的合法利益?从数据使用者的角度,获得的数据是否有
12、用、可用和好用,数据来源是否合法,其获得数据使用是否合法,是否给自己带来风险?由于没有清晰的产权界定数据流通利用中的风险,就需要建立数据流通利用体制和机制解决数据流通主体的顾虑和担心,降低数据流通利用法律风险的不确定性,增加数据流通主体信心。如何建立适合数据要素特征的数据流通利用秩序,合理界分数据流通利用责权利,降低数据流通的风险,是数据流通基础设施要解决的问题。为此,我们要建立确保数据流通安全,降低数据使用成本和数据流通时代的到来第 5 页风险的数据流通基础设施:在流通前,建立数据质量和合法性判断标准和降低判断风险实现机制;在流通利用过程中,要合理界分数据参与各方的权责利,并配套相应制度机制
13、和技术措施,采纳防范解决数据泄露和滥用控制技术和安全计算技术,管控使用行为和风险;在数据流通之后,要实现数据使用行为可界定、可控制、可审计,实现合法性可监督和责任可追溯。我们要围绕这样目标构建数据全链路可信流通基础设施。显然,跨域管控是数据流通基础设施的重要组成部分。图 1 数据跨域管控的定位跨域管控是指数据离开持有者的域后,数据持有者仍然能够有效地控制数据的流转过程,避免其被滥用或者非预期的使用。跨域管控体系采取与安全目的和风险程度适配的技术和管理措施,确保数据访问、重用、流通安全秩序,保护数据上的合法权益不因数据流通利用而受侵害,防范数据滥用和安全风险。通过搭建跨域管控体系可以实现数据要素
14、的合法合规流转,以技术手段在保障数据持有权可控的前提下,有效实现数据的跨域管控,从而进一步推动数据要素市场的发数据跨域管控白皮书第 6 页展。在现有法律框架下适配合适的数据流通技术要求,搭建数据跨域管控体系是数据要素市场建设的迫切需求,是数据经济共同体的重要任务。是数据要素市场建设的迫切需求,是数据经济共同体的重要任务。1.4 基本框架本白皮书通过调研数据流通的基本形式,明确数据要素本身和数据要素流通全过程的风险,分析现行数据流通利用风险防范制度,归纳出了数据跨域安全规范不完善和数据市场缺失数据跨域过程管控的问题,提出有针对性的数据跨域管控解决路径。目前,数据流通形式主要包括数据开放、数据共享
15、、数据交易和数据交换。由于数据本身是有风险的资源,流通行为同样具有风险,在两者共同作用下,数据流通可能产生泄露风险、滥用风险以及责任不清风险。随着数据要素市场的加速建立,相关的法律制度还在探索过程中。现行数据跨域风险防范制度仍存在数据跨域安全规范不完善和缺失数据跨域过程管控的问题,使得现行数据交易市场尚未形成跨域管控的制度框架、可信环境与合规指引。为解决上述问题,本白皮书倡导围绕数据跨域的三个风险设计数据跨域管控方案:针对数据交付或传输、跨域使用的数据泄露风险提出采用数据加密、安全通道、隐私计算等技术手段;针对数据流通交易的风险提出数据的使用控制和区块链技术,确保数据流通全过程留痕,可审计监督
16、;针对数据流通过程的法律责任不清晰导致的连带责任或不确定性风险,提出基于支付规则和合同约定法律手段去解决,数据流通时代的到来第 7 页形成技术、法律和管理三位一体的数据跨域管控架构体系,进一步释放数据价值,为数据要素市场建设奠定扎实基础。1.5 术语定义针对本白皮书中的一些重要术语概念在这里进行明确,以防止出现理解和适用上的偏差。(1)域:(网络)在单一安全策略下运行的一组实体。注 1:域通过构建数据流通的技术与法律的安全边界,建立保护合法权益、预防泄露和非法获取的技术设施与法律措施,运营互信且制衡的数据互联网络,维护有序控制、高效连接的数据流通环境。注 2:安全域是指遵从共同安全策略的资产和
17、资源的集合。(来源:GB/T25068.1-2020.3.35)(2)数据流通:数据持有者将特定数据提供给使用者在非持有者直接控制域中使用,实现特定的加工使用目的。(3)跨域管控:跨域管控指数据离开持有者的安全域后,数据持有者仍然能够有效地控制或监督数据的流通、使用或再使用过程,实现对滥用、超约定使用或者非法使用的审核和追查。(3)数据持有者:指合法实际控制数据并决定数据使用的主体。一般而言,持有者通过对数据安全域的控制,实现对数据的控制。(4)数据持有者权:数据持有者对合法生成、取得、加工、控制的数据享有的使用、流通和收益的权利。根据数据加工使用状态,数据持有权可以分为数据资源持有权和数据产
18、品持有权。(5)数据接受/使用者:数据接受者/使用者是指接收并处理数据数据跨域管控白皮书第 8 页的实体,可以是程序、系统、数据库或任何能够接收和解释数据的自然人或组织。(6)数据流通运营者:指负责运维和管理数据在不同数据域之间的交换和流通的自然人或组织。(7)数据安全:数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。在实践中,广义的数据安全不仅包括数据安全控制和使用,还包括数据权益(隐私、个人信息权益、合法财产利益)保护、公共利益和公共安全利益维护和国家安全。本报告在广义使用数据安全一词。数据流通及其风险第 9 页2.数据流通及其风险理解
19、数据流通及其风险是准确定位跨域管控的前提。本章探讨了以下内容:(1)数据流通及其场景类型;(2)数据流通利用的风险;(3)数据流通的风险贯穿全过程。2.1 数据流通及其场景类型数据流通是数据要素利用的特有概念,涵盖数据持有者允许他人使用数据的各种场景和方式。本白皮书在数据社会价值实现层面揭示数据流通场景和方式,以期使数据流通成为数据社会化利用的基础概念。2.1.1 数据流通的含义流通是数据价值实现必然,跨域是数据流通的内在要求。流通是数据价值实现必然,跨域是数据流通的内在要求。数据作为新生产要素的独特性之一在于可重复利用,可以在不断的结合汇集和演算分析中产生新的价值。数据流通是向他人提供数据或
20、使他人接触或使用数据的行为,数据流通的过程就是使数据从 A 流动到 B 的过程,可能存在两种情形:(1)如果 A 和 B 由同一个主体管理和运营,则依然遵循同一项安全策略,数据不发生跨域;(2)如果 A 和B 分别由不同的主体管理和运营,则需要跨越不同的管理权限和安全策略,数据跨域发生。后者即是数据流通,即本文所讲的跨域管控的对象。数据跨域可能发生在数据流通的不同环节。数据跨域可能发生在数据流通的不同环节。数据流通的过程就是数据资源在提供方和接收方双方控制域之间的交换与让渡使用权的过程。只要在数据流通的过程中有环节不发生在同一安全域内,即意数据跨域管控白皮书第 10 页味着数据跨域发生,同时,
21、在数据流通的不同环节都可能发生数据跨域,由此产生了不同的数据流通模式。以下是三种常见数据流通模式的列举:常见模式之一:传统模式(见下图 2)。常见模式之一:传统模式(见下图 2)。数据和数据的相关信息存储在数据源方本地,接收方向数据源方发出请求,数据源方进行授权,将数据传送给接收方。接收方在需要真正使用时按照内部数据应用管理制度进行鉴权后发生运算。数据跨域发生在接收环节。在传统模式下,数据是明文出域的,一旦流出后数据使用不受数据源方控制,并没有技术信任机制保障是否遵守合同或法律约定。接收方数据源方图 2 传统模式 常见模式之二:密态管道模式(见下图 3)。常见模式之二:密态管道模式(见下图 3
22、)。多个数据源方之间通过密态计算链路相连,这些链路就如同管道一般将各个数据源方连接起来。当有数据流通使用需求时,接收方向多个数据源方发出请求,数据源方进行授权。接收方在需要真正发生运算时将计算任务与数据源方进行计算任务协商与分发,数据源方进行鉴权后协同发起密态运算,计算交互过程是密态的,确保数据可用不可见。与传统模式的区别在于,在密态管道模式中,明文数据不出域,数据出域发生在计算环节,但是以密态方式出域。数据流通及其风险第 11 页数据源方接收方数据源方数据源方图 3 密态管道模式 常见模式之三:平台模式(见下图 4)。常见模式之三:平台模式(见下图 4)。数据源方把数据上传至平台方,在平台进
23、行数据和相关信息的存储,接收方需要使用数据时向数据源方发出请求,数据源方对接收方授权后,接收方凭借授权寻求平台方进行鉴权,鉴权通过后再进行计算和分发,数据生命周期的大多数行为都在平台方完成,数据跨域自数据源方将数据上传至平台方就已经发生。平台模式在实现时又可采用基于主体信任和基于技术信任的两种方式。这两种方方式架构相同,但依赖的信任基石不同。前者是目前行业中普遍流行的方式,数据源方一般是将数据明文直接出域到平台方,其假设是平台方主体或内部人员是值得信任的,不会主动作恶并且有能力保障数据安全。后者是指平台侧更强调通过技术增强主体信任,在平台上的数据应用身份需要可信验证,并且能够有效约束实际运维人
24、员权限,以确保数据源方和平台方利益诉求能对齐。数据源方是将密态数据流出到平台方,而且能始终对出域数据保持控制权。数据跨域管控白皮书第 12 页平台方接收方数据源方数据源方数据源方图 4 平台模式2.1.2 数据流通场景类型为了更好地理解数据流通,可以对其场景进行划分。场景的划分存在多种不同的标准,这里以数据流通方式为标准,对数据流通的场景进行划分。在数据流通方式的划分标准下,数据流通适用于四大类数据流通利用场景:数据交换、数据共享、数据交易、数据开放(见下图 5)。图 5 数据流通场景类型:按流通方式划分数据流通及其风险第 13 页 数据交换。数据交换。数据交换是指双方互易数据使用权,是一种参
25、与主体互为数据供需方的数据双向流通形式。一般以一对一资源互换的形式开展,例如:政府部门之间数据交换。数据共享。数据共享。数据共享是指多方共享数据使用和收益,是一种体系化的数据流通形式。一般政府间或行业间的多方数据共享更容易形成规模和持续开展。例如:行业数据空间、政务数据共享。数据交易。数据交易。数据交易是指数据提供者和需求方之间以金钱为媒介支付对价的数据使用权交易。数据交易是数据要素市场化流通的主要形式。我国目前提出要构建适应我国国情的数据交易市场体系,构建合规高效、场内外结合的数据要素流通和交易制度。数据开放。数据开放。数据开放是指数据提供者以无偿或有偿方式对外提供数据使用权的数据单向流通形
26、式。数据开放的对象一般以公共数据居多。2.2 数据流通利用的风险传统的数据应用主要发生在单一数据持有者域内,也就是数据的传输、交付和使用不需要出域,此时数据应用相关的责任主体清晰,利益诉求可依赖,对自身的安全能力有预期,行为后果明确。当数据开始流通,它将离开数据持有者的安全域,其传输、交付和使用过程不全在数据持有者的可控范围内,数据流通参与者众、链路长。此时,传统数据安全领域的信任基石遭到了破坏:数据在流通过程中的安全责任主体不再清晰,众多参与者的主观利益诉求也不一致,其安全能力参差不齐,责任链路难以追溯。数据具有极易复制、数据跨域管控白皮书第 14 页非排他性、难追溯等特征1,因此数据泄露风
27、险、数据滥用风险、责任不清风险的构成更加复杂数据泄露风险、数据滥用风险、责任不清风险的构成更加复杂(见下图 6)。本小节将对这三类风险展开分析。图 6 数据流通利用的风险2.2.1 数据泄露风险数据泄露风险即由于数据窃取、爬取、脱库、撞库等安全威胁,或者缺乏有效的安全措施、人员操作失误或有意盗取等,导致数据泄露、恶意窃取、未授权访问等影响数据保密性的风险。数据泄露可能导致个人隐私、商业机密等重要信息被窃取或滥用,从而造成经济损失和声誉损害,甚至某些敏感数据的泄露可能引发社会公共安全问题。数据流通增加了数据泄露的风险。数据流通增加了数据泄露的风险。数据泄漏可以发生在其生命周期中的任何一个阶段,数
28、据传输或交付、跨域使用使数据从持有者到1在信息安全技术 数据安全风险评估方法(征求意见稿)中,附录 A 列举了 23 种典型数据安全风险类别示例(参见关于国家标准征求意见稿征求意见的通知(信安秘字2023115 号)。数据流通及其风险第 15 页接受者(即从 A 到 B),直接使数据所在安全域变化,数据要素流通环境更加复杂,使遭受外部攻击的风险、敏感数据暴露的风险、数据二次识别的风险增加,导致数据泄露风险增加。遭受外部攻击的风险增加。遭受外部攻击的风险增加。数据跨域意味着数据需要经历长距离的网络传输过程,面临网络不稳定导致的数据包丢失风险、网络带宽不足导致的传输时效风险大大提高。同时,数据流通
29、常常需要数据在多路径中快速集群和转发,数据汇集与传输会降低外部攻击成本,提高单次攻击的收益,更容易遭受病毒植入和黑客攻击。此外,如果是明文流通,由于数据流通的供应链经常比较漫长,链条上的主体公司安全能力层次不齐,抵御和防范外部攻击的能力也存在参差,加剧了数据泄露的风险。敏感数据暴露的风险增加。敏感数据暴露的风险增加。由于各安全域遵循不同的安全策略,其安全水平并不相同,跨域数据最可能面临的风险是高安全域向低安全域开放其无权访问的数据,即低安全域只需要数据 A,但是在高安全域中,A、B 数据是同一类数据的不同属性,如果高安全域直接向低安全域传输和交付 A 数据和 B 数据,则导致数据 B 进入低安
30、全域,使非授权者直接获取了敏感数据。此外,如果发生了针对低安全域的攻击,则敏感数据暴露于的风险将直接提高。2023 年,波耐蒙研究所(Ponemon Institute)和IBM Security对16个国家和地区以及17 个行业的 553 个不同规模的组织进行的调查中,15%的组织认为数据泄露的根源在于对业务合作伙伴的攻击。数据跨域管控白皮书第 16 页 数据二次识别的风险增加。数据二次识别的风险增加。从原始数据到可流通交易的脱敏数据、模型化数据,必须借助大数据技术进行脱敏、分析、测试等加工操作,从这个意义上看,在数据流通交易前,已对数据进行了一定的清洗和加密操作。然而,不同安全域采用的技术
31、不同,数据跨域后,数据接收者可能结合其自身所掌握的数据和不断增多的公开信息,利用不断发展的新技术,反向识别出已经经过清洗和加密操作的数据。2.2.2 数据滥用风险数据滥用风险即由于缺乏授权访问控制、权限管控等有效的安全管控措施、人员有意或无意操作等,导致数据被未授权或超出授权范围使用、加工的风险。数据滥用会使数据提供者和接收者遭受经济利益损失、声誉损失,还有可能要被追究法律责任,并使其数据资源面临数据安全威胁等。数据流通增加了数据滥用的风险。数据流通增加了数据滥用的风险。随着数据流通链路的变长,链路上参与者的可信性逐渐变低。当缺乏管控时,他们滥用数据的可能性将大幅增加,其中比较突出的是数据越权
32、使用和数据二次转售。数据越权使用的风险增加。数据越权使用的风险增加。数据越权使用风险源于数据流通链路上各参与者的主观利益不一致。在传统数据安全领域,数据持有者对自己的数据使用和安全负责;在数据流通时,数据持有者仍需承担此责任,当流通链路变长,能够接触到数据的参与者越多越复杂,由于数据是极易被窃取的资产,这些参与者极有可能出于逐利的目的非预期地使用数据。数据流通的对象不仅是数据内容,更是与之相关的各项使用权限。数据跨域意味着数据在多个环境中使用,数据接收数据流通及其风险第 17 页者将获得数据权限。随着数据使用链条的延长,拥有数据权限的数据接收者也增加。然而,由于数据要素的特性,其使用用途和用量
33、难以监控和衡量,受利益驱动,不诚实的数据使用者存在不按照合同约定而是超范围使用数据的机会。尤其是数据流通使数据权限拥有者的范围扩大,发生不诚实数据使用的可能性将随着数据跨域的进一步提高,也就意味着出现数据接收者超权限使用数据现象的风险系数变大。数据二次转售的风险增加。数据二次转售的风险增加。数据流通意味着需要将数据交付给接收者使用,或者接收者也需要参与数据处理,也就使数据产品的处理主体由一个变为多个。对于跨域交付的数据产品,在数据供需双方之间流转的通常只有使用权而不包括转售权。理论上,每个接收者只有在对原有数据产品进行新的价值添付后,才可以对新形成的数据产品进行新一轮的流转。但是从实际上看,由
34、于在技术上缺乏控制和约束能力,出于逐利目的,不诚实的接收者可能将其购买的数据产品进行二次转售,这将导致原数据持有者所拥有的数据市场价值缩减甚至崩塌。2.2.3 责任不清风险责任不清风险是数据流通主体在流通过程中可能面临的安全风险。责任不清风险将严重影响数据持有者参与数据流通的意愿,形成供方持有数据但不愿分享,需方需求数据但无法获得的两难局面。责任不清风险是数据流通障碍。责任不清风险是数据流通障碍。数据持有者参与数据流通时,需要通过清晰的事后责任以在事前有明确的预期。然而,数据流通的链数据跨域管控白皮书第 18 页条不断拉长,数据事故源头更难溯清,数据事故责任主体更难认定,责任不清风险突出。数据
35、事故源头更难溯清。数据事故源头更难溯清。数据流通的过程中,希望完全依靠安全防护措施防止数据危害事件和数据侵权行为是不现实的,持有者应具备溯源能力,追踪危害事件和侵权行为的源头和路径,这就需要依靠流通交易结束后所生成相关交易日志和备份。然而,在数据流通后,由于数据流转链路增长,所有安全域内的数据访问日志的完整性受到挑战。备份过程可能存在未经授权擅自更改或删除、异机备份等情况,无法为交易过程的查询和审计等提供可靠依据。同时,对数据流通进行追踪溯源并进行处理往往需要花费更多的金钱和时间成本。以数据泄露为例,2023 年数据泄露成本报告显示,识别和遏制源于对业务合作伙伴的攻击而造成的泄露业务合作伙伴供
36、应链泄露的金钱成本为 476 万美元,比其他泄露类型的平均耗费(423 万美元)高 11.8%(53 万美元);时间成本为 307 天(识别时间 233 天,遏制时间 74 天),比其他泄露类型的平均耗时(270 天)长 12.8%(37天)。数据事故责任主体更难认定。数据事故责任主体更难认定。一方面,初始持有者不应成为数据事故的完全责任人。传统的数据安全侧重域内安全保障,权责相对集中且相对明确,这也是传统的网络安全防护体系要做的事情;然而,以数据跨域为核心的数据流通使数据流转往往发生在持有者运营管控域外,数据持有者对数据的控制是一种事实上的控制,控制力的辐射范围往往有限,存在直接相对关系的使
37、用者行为和数据危害事件数据流通及其风险第 19 页还处于可控范围内,但经过复杂流转后下游使用者行为和数据危害事件确实难以包含在控制范围中,苛责持有者对下游发生的所有数据事故承担责任,不符合数据持有的本质和数据持有者的能力。另一方面,下游使用者的道德风险监管难度大。使用者很容易实施事后机会主义行为,基于利己目的“钻空子”从而造成数据事故,但基于成本和数据持有者控制力有限的短板,又很难制约这种道德风险。2.3 小结对于数据流通的风险,我们形成以下两点认知:一是数据流通面临的安全风险增加;二是与传统数据安全不同,数据流通风险是贯穿流通全过程的风险。与传统数据安全的基础上,数据跨域使数据流通面临的安全
38、风险增加。与传统数据安全的基础上,数据跨域使数据流通面临的安全风险增加。在域内数据利用的场景下,数据的传输交付和后续使用都不需要出域。数据所在系统的数据流通运营者与数据持有者始终一致,数据流通运营者会尽全力降低数据安全风险。然而,在以数据跨域为核心的数据流通的场景下,数据出于不同的利用需求可能在多个场景中交互,进而需要在不同域和不同持有者之间流转。数据所在系统的数据流通运营者和数据持有者不一致,这对数据流通运营者的安全保障能力提出更高的要求,需要具备跨域管控的能力和治理机制,才能防范数据流通引发的风险。与传统数据安全不同,数据流通风险是贯穿流通全过程的风险。与传统数据安全不同,数据流通风险是贯
39、穿流通全过程的风险。对于数据流通的典型风险,数据泄露风险在传输和交付阶段呈现;数据滥用风险在数据跨域使用过程中展露;责任不清风险在数据使用后数据跨域管控白皮书第 20 页突显。从这个意义上看,数据流通风险恰恰与传统数据安全注重静态风险和强调单一风险不同,数据流通的典型风险从数据传输交付阶段,拓展到了数据跨域使用过程中,再延续到了数据使用后,可以说是贯穿全过程(见下图 7)。图 7 数据流通风险范围数据流通及其风险第 21 页3.数据流通风险的规范和防范现状数据流通存在风险,且风险贯穿流通全过程。然而,现有数据流通风险防范制度对于数据流通风险的揭示和防范均有不足,主要表现在两个方面:(1)数据流
40、通安全规范不完善;(2)数据市场缺失数据跨域过程管控。3.1 数据流通安全规范不完善数据持有者的概念还没有正式进入法律,立法建立了对数据安全负责主体概念,以网络运营者、数据处理者、个人信息处理者等表述体现(见下表 1),实际上都是指合法取得数据的使用者,因此可以统合为“数据持有者”的概念。因此可以统合为“数据持有者”的概念。现行规范要求数据持有者承担数据安全义务,并配置了违反义务的法律责任,但是还存在持有者安全义务体系不健全、持有者安全责任配置不合理的问题,数据流通安全规范还不够完善。表 1 数据持有者相关表述3.1.1 持有者安全义务体系不健全为了在建设数据要素化市场的同时应对网络安全领域的
41、新形势和新挑战,我国现行规范体现了对数据安全的保障,规定了持有者的数据跨域管控白皮书第 22 页数据安全义务。然而,现行规范对数据安全的规定较为分散,在整体框架上,没有从系统化的角度设置安全义务;在具体内容上,没有从数据流通的角度分配风险,持有者与使用者安全义务体系不健全。在整体框架上,现行规范没有从系统化的角度设置义务。在整体框架上,现行规范没有从系统化的角度设置义务。规定分散。规定分散。有关数据安全保障的规定散见于各法律、法规、规章和规范性文件中(见下图 8。其中,以中华人民共和国网络安全法(以下简称“网安法”)中华人民共和国数据安全法(以下简称“数安法”)中华人民共和国个人信息保护法(以
42、下简称“个保法”)三部法律为核心,并以中华人民共和国刑法(以下简称“刑法”)中华人民共和国民法典(以下简称“民法典”)等其他法律和规范为补充。图 8 我国涉及数据安全的相关规范 未成体系。未成体系。数据持有者是集权利和义务为一体的数据管控者和责任承担者,首先应当实施数据安全管理和控制数据风险。然而,数据流通及其风险第 23 页从整体上看,现行规范没有从系统化的角度设置义务,而是从网络安全(数据安全的基础)、数据安全和个人信息安全(特种数据安全)三个方面分别规定了持有者的数据安全义务。在具体内容上,现行规范没有从数据流通的角度分配风险。在具体内容上,现行规范没有从数据流通的角度分配风险。没有聚焦
43、数据流通交易引发的安全风险。没有聚焦数据流通交易引发的安全风险。数据的价值在于流通,数据需要流通是数据价值实现的必然的天然属性,也是数据资源权利配置的基础。目前,所有涉数据安全的法律主要是从数据处理或数据生命周期的角度来规范数据动态安全,对于数据流通交易引发的安全风险还没有明确的规定。网安法在网络信息安全中规定了持有者的个人信息安全义务,覆盖收集(第 40-43 条)、存储(第 43条)、使用(第 41.43.46 条)、传输(第 47-48 条)、提供(第 41-42.44-45 条)、删除(第 43 条)等个人信息处理活动,将持有者数据安全责任延及数据处理活动的各个环节。数安法进一步延长了
44、数据持有者义务的链条,数据安全义务进一步覆盖了数据收集、存储、使用、加工、传输、提供、公开等全流程,持有者需要确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力(第 3条)。没有依据数据流通的特点配置持有者义务。没有依据数据流通的特点配置持有者义务。现行规范中持有者数据安全义务的内容可以概括为四项一般义务和两项特殊义务(见下图 9),依然体现传统的行政管理逻辑。然而,数据流通的核心是数据跨域,在数据交汇和连接的过程中,需要将多个数据持有者及其数据处理环境联系在一起,所涉及的安全风险不再限于单一域内,而数据跨域管控白皮书第 24 页是存在于复数域之间。数据持有权是基于事实上的控
45、制权,当数据脱离特定数据持有者的控制流向其他第三方时,一旦出现数据安全问题,对于不法使用行为的安全责任追究即面临难题。这就意味着需要从数据流通的角度重新审视持有者的数据安全义务。图 9 数据持有者法定安全义务图3.1.2 持有者安全责任配置不合理现行规范对于持有者违反数据安全义务的责任承担体系是公法责任和私法责任并举的综合法定责任体系,由行政责任、刑事责任和民事责任构成。如三种责任竞合,则责任承担按照民事责任、行政责任、刑事责任的顺序向数据持有者进行追究(数安法第 52 条、民法典第 187 条)。然而,现行持有者安全责任配置并不合理,公法上的无限责任和私法上的过错责任使数据流通安全责任追究的
46、链条过长,持有者免责的要求过高。公法上,刑事责任和行政责任承担双罚制,无限责任原则可能使公法上,刑事责任和行政责任承担双罚制,无限责任原则可能使数据流通及其风险第 25 页数据持有者承担过高的刑事责任和行政责任。数据持有者承担过高的刑事责任和行政责任。刑事责任承担双罚制。刑事责任承担双罚制。刑法从犯罪惩治的角度规定了持有者违反数据安全义务的刑事责任。涉数据犯罪遵循二元体系:(1)所打击的犯罪行为侵犯的法益触及数据,包括侵犯公民个人信息罪、非法获取国家秘密罪等 9 项罪名。(2)所打击的犯罪行为系不法利用计算机技术的行为,包括非法获取计算机信息系统数据等 2 项罪名(见下表 2)。此外,还针对数
47、据持有者(网络服务提供者)设置了拒不履行信息网络安全管理义务罪等 2 项罪名(见下表 3)。刑法将涉数据犯罪的内涵定义得较为宽泛,具体法益涵盖个人信息、商业秘密、国家秘密、军事秘密等;行为方式包括对计算机信息系统中存储、处理、传输数据的不法行为,还包括数据伪造、数据投毒、数据滥用、过度挖掘等行为;更重要的是,所追责的主体不限于数据持有者或主要负责人其一,而是倾向于同时追究主要负责人的替代责任和数据持有者的单位责任。刑法打击端口的触手前伸,使数据持有者所面临的刑事法律风险增加。数据跨域管控白皮书第 26 页表 2 刑法涉数据犯罪罪名表 3 刑法对网络服务提供者(数据持有者)的规定 行政责任承担双
48、罚制。行政责任承担双罚制。网安法数安法个保法基于相应的数据安全义务,为数据持有者配备了违反数据安全义务的行政责任。有关主管部门可以对违反数据安全义务的数据持有者采取相应的行政处罚措施,包括:责令改正、予以警告、处以罚款、责令暂停相关业务、停业整顿、吊销相关业务许可证或吊销营业执照等,并可以对其直接负责的主管人员和其他责任人员处以罚款等,并对其他刑事和民事责任另行处理(数安法 第 45 条、个保法 第 66 条)。持有者和负责人双罚制的制度设计,拓宽了行政责任承担的主体范围,数据流通及其风险第 27 页提高了对数据持有者的震慑。公法责任将使持有者慑于无限责任。公法责任将使持有者慑于无限责任。前文
49、对刑事责任和行政责任的分析表明,公法上数据持有者的安全义务和责任存在于数据处理活动全程,包括收集、存储、使用、加工、传输、提供、公开等数据处理行为,从这个意义上看,无论数据最终流转至何处,只要数据持有者有涉数据犯罪的情形,以其为源头的后续交易对象,包括主要责任人和企业(数据持有者),均可能成为刑事责任和行政责任的追责对象。然而,特定数据持有者对数据的控制是一种事实上的控制,控制力的辐射范围往往有限,存在直接相对关系的持有者的处理行为还处于可控范围内,但经过复杂流转后下游持有者的非法数据获取和使用行为确实难以包含在控制范围中,苛责持有者对关系过远的其他持有者侵权行为承担刑事责任和行政责任,不符合
50、数据持有的本质和数据持有者的能力。此外,在数据安全责任划分机制不明的情况下,庞杂且连带的涉数据刑事条款将使数据持有者可能触犯的数据罪名变得复杂。私法上,民事责任承担强调过错责任,连带责任使数据持有者可能承担与其行为不相适的民事责任。私法上,民事责任承担强调过错责任,连带责任使数据持有者可能承担与其行为不相适的民事责任。条文规定强调过错责任。条文规定强调过错责任。在法律规定上,第一,民法典对数据侵权行为要求承担过错责任。民法典并没有特别规定侵害个人信息的归责原则,更不涉及从数据持有者的角度明确侵犯个人信息的归责原则,因此依然适用一般过错责任。也就是说,在 民法典的体系下,数据侵权行为的财产性侵权
浙ICP备2021020529号-1 | 浙B2-20240490 
