論大數據時代數據安全法律綜合保護的完善
——以《網絡安全法》為視角

齊 愛 民

(廣西民族大學 法學院，廣西 南寧 530006)

?

論大數據時代數據安全法律綜合保護的完善
——以《網絡安全法》為視角

齊 愛 民

(廣西民族大學 法學院，廣西 南寧 530006)

大數據時代，數據安全面臨嚴峻挑戰，呈現出動態性、綜合性、整體性、風險的高度或然性和無序性等特點?！毒W絡安全法》的頒布迎來了數據安全的春天，這僅是萬里長征第一步。為充分應對大數據安全的新形勢，須變革思維，秉承發展與安全并重的原則，樹立多維立體的風險防控理念，建立關鍵基礎設施數據安全保護法律機制，推進數據本地化立法，加強數據跨境流動監管，建立個人數據保護法律機制，加緊制定《個人數據保護法》，完善數據犯罪法律保護制度，加大對數據違法犯罪行為的打擊力度。

大數據；數據安全；數據保護；《網絡安全法》；立法完善

隨著信息技術的不斷進步，海量數據如潮水般撲面而來，人類開始大步踏入大數據時代。這個堪比石油、黃金的大數據，已成為社會重要財富和國家基礎性戰略資源。其安全問題不容小覷，如何采取法律措施保障大數據安全問題是我們當前亟待解決的重要課題。2016年11月17日，《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)頒布，可謂迎來了數據安全的春天。雖然該部法律以“網絡安全”命名，但數據安全構成其重要組成部分。本文以《網絡安全法》為視角探討大數據時代數據安全的法律保護，以期對大數據產業的發展以及國家的和諧穩定有所裨益。

一、大數據時代數據安全面臨的新挑戰

大數據體量巨大，類型繁多，半結構化、非結構化數據等大量涌現且成為主流，其復雜性使得數據安全所面臨的威脅和挑戰隨著數據規模非線性增長。

(一)黑客攻擊成為大數據安全的重大隱患

大數據來源廣泛，個人、企業、移動智能終端、傳感器、可穿戴設備等每天都產生大量數據，這些海量數據具有無限潛在價值；特別是隨著數據急劇聚合所形成規?；瘮祿脚_或中心的出現，使得大數據對黑客而言誘惑力更大，極易成為攻擊對象。2016年1月，媒體與娛樂界巨頭美國時代華納公司(Time Warner Inc.)公開表示旗下近32萬用戶郵件和密碼數據被黑客竊??；全球最大的職業社交網站領英(LinkedIn)于同年5月證實，超過1.67億個領英用戶登錄數據(如電子郵件、用戶密碼等) 被黑客組織竊取并在黑市公開售賣[1]；同年12月，雅虎自曝遭黑客攻擊，超過15億用戶的賬戶數據被盜，涉及用戶名、電子郵件地址、電話號碼、出生日期、加密或未加密的安全問題和答案等[2]，這可能是單一網站史上規模最大的數據泄露事件。以上僅是冰山之一角，但可以窺見黑客們對大數據的情有獨鐘，數據安全問題日益突出。

(二)多樣化攻擊技術的應用

大數據時代，黑客常常利用大數據技術發動攻擊，攻擊方式日趨多元，攻擊類型日趨復雜，攻擊也更精準。黑客可最大限度地收集一切有用數據為攻擊做好準備，進而利用大數據技術操縱僵尸網絡(Botnet)中的眾多傀儡機同時發起攻擊。例如，2016年9月，法國一家擁有分布在16個國家共計超過70萬用戶的網站托管服務公司OVH遭遇超大型分布式拒絕服務(Distributed Denial of Service，DDoS)攻擊，攻擊者利用感染僵尸程序的145 607個攝像頭形成僵尸網絡實施攻擊，服務器被攻擊的峰值達到了每秒1 Tb[3]。此外，大數據也往往被當作高級可持續威脅(Advanced Persistent Threat，APT)的載體，威脅代碼隱藏在浩瀚的數據洪流當中，讓受害者無從察覺，即使發現，也如大海撈針般難以查找到風險點。例如著名的APT攻擊“極光行動”(Operation Aurora)，攻擊者對谷歌公司(Google Inc.)所用瀏覽器的漏洞代碼進行加密變形，并使用不同的免費二級域名作為跳板遠程控制木馬發動攻擊，導致整個Google網絡被多個變種惡意代碼滲透數個月，造成各種系統的數據被竊取[4]。無獨有偶，索尼影視娛樂公司(Sony Pictures Entertainment)也遭遇重大APT網絡攻擊，大量商業機密被泄露[5]。

(三)關鍵基礎設施成為攻擊對象

“大數據堪稱智能交通、智能電網、智慧城市等國民經濟運行和社會發展高度依賴的信息基礎設施‘血液’，這些重要的信息系統、基礎設施網絡化智能化程度越高，安全也就越脆弱；速度越快，風險也就越大。”[6]近年來，針對關鍵基礎設施的攻擊愈來愈頻繁，數據安全面臨極大考驗。例如震驚世界的“震網”(Stuxnet)病毒，作為全球首個定向攻擊基礎設施的網絡“超級破壞性武器”，該高端蠕蟲病毒已經感染全球逾 45 000個網絡，其中伊朗核電站遭到的攻擊最為嚴重，所受影響已無法簡單用經濟損失來衡量[7]。德國RWE電力集團旗下核電站在2016年4月的安全檢測中亦發現計算機系統感染病毒，發電廠被迫關閉[8]。同年10月21日，美國域名服務器管理服務供應商Dyn遭遇網絡攻擊，攻擊者利用惡意程序劫持海量物聯網設備資源，進而反向攻擊關鍵信息基礎設施——域名系統，導致Twitter、Netflix、亞馬遜等知名網站在美國東海岸集體宕機超過兩個小時[9]?！毒W絡空間安全藍皮書：中國網絡空間安全發展報告(2016)》指出，境外黑客組織“海蓮花”(Ocean Lotus) 一直以來針對我國重要信息系統和關鍵基礎設施進行APT攻擊，數據安全態勢嚴峻。

(四)數據非法跨境流動威脅數據主權

據麥肯錫研究院報告顯示，數據流動在十幾年前還很少見，而如今數據跨境流動激增，正在改變全球化的動態發展進程[10]1。隨著云計算、大數據時代的接踵而至，數據跨境流動已成常態化，范圍愈來愈廣，規模愈來愈大，內容愈來愈多，造成的影響也愈來愈深遠。數據的跨境流動不僅會削弱數據主體對自身數據的控制權，難以保護自身合法權益，國家關鍵數據資源的流失還會危及一國數據主權。此外，原始數據從發展中國家流向發達國家，經由這些國家處理、分析后又反饋回輸出國，造成發展中國家對發達國家數據產品的依賴，從而造成數據主權的喪失，直接導致一國的經濟、文化狀況等易被發達國家所掌握，從而影響該國在經貿往來和國際交往中的話語權以及文化發展自主權。

(五)大數據核心個人數據成為侵犯重點

大數據的“原材料”中大部分來自于人和傳感器，包括用戶上網購物、搜索并瀏覽網站留下的數據印跡、微博、微信等社交工具中的評論、傳感器數據、監視數據等等。這些 碎片化數據若經過技術處理可形成完整的“人格拼圖”，使人們無所遁形。大數據時代，人們變得越來越透明，而數據的權利界限卻越發模糊，個人數據成為侵權的重災區。許多企業、組織或個人基于大數據價值的驅動，過度收集、肆意處理并不加限制地使用和發布個人數據，還有相當多大企業之間或企業與第三方之間“共享”用戶數據[11]230，導致個人數據的“暴露面”無限擴大，嚴重侵犯公民個人數據權。近年來愈演愈烈的電信詐騙案背后凸顯的就是個人數據安全問題。

二、大數據時代數據安全的特點

大數據時代是一個最好的時代，也是一個最壞的時代。在這個時代，大數據把網絡空間與現實社會緊密地聯結在一起，給人類生產和生活帶來極大便利的同時，也將傳統安全問題與非傳統安全問題糅雜為一體，使數據安全以一個全新姿態躍然而出。

(一)大數據安全的動態性

大數據本身并不是一個靜態的概念，其處于實時高速流動之中，相應的，大數據安全也處于一個動態過程，其中涉及數據的收集、處理、存儲等各個環節的安全以及數據處理平臺的安全等。從個人數據安全問題就可見一斑。傳統安全語境中，個人數據處于一種分散、孤立的靜止狀態，單一地考量某些個人數據可能無法關聯到公民個人，而大數據具有數量和范圍的無限性以及動態挖掘的可能性，那些在過去看似無用的碎片數據在匯集、處理之后有可能識別出公民個人身份甚至還原出其完整的人格原貌。此外，大數據時代，數據安全的威脅來源和攻擊手段亦處在不斷變化之中，傳統的數據安全保護措施已無法滿足現代形勢的發展要求。

(二)大數據安全的綜合性

大數據時代，數據之所以大，主要在于人類記錄范圍的不斷擴大[12]258。源于此“大記錄”，大數據之上承載了人格、財產、社會安全、國家安全等不同性質的利益[13]69，數據安全問題也已遠遠超出技術安全、系統保護的范疇，發展成為涉及政治、經濟、文化、社會、軍事等領域的綜合安全。例如， 2016年美國大選之季，民主黨全國委員會、籌款委員會、總統候選人希拉里競選團隊的計算機網絡接連被黑客攻擊[14]，近2萬封郵件被披露，該“郵件門”事件折射出數據安全已向政治領域滲透。又如，在軍事領域，國防建設數據、軍事數據等的竊密將直接威脅國家軍事安全；現代數據化戰爭的決勝關鍵已不是消滅敵人有生力量的多少，而是能否在大數據這個無硝煙的戰場之上首先搶占制數據權[15]110。在經濟領域，雅虎自2016年12月14日曝出用戶數據被竊之后，公司股票在當天下午盤后交易中下跌2.5%，其將被美國電信巨頭威瑞森(Verizon)以48億美元價格收購的計劃也將擱淺[2]。

(三)大數據安全的整體性

隨著技術的更迭，大數據與互聯網、云計算、基礎設施等融合為深度關聯、相互依賴的整體，在這個生態空間中，數據安全問題可謂牽一發而動全身。以云計算為例，云計算是一種獨立而靈活的計算資源獲取平臺和數據處理模式[16]70，如果沒有云計算這條高速公路的支撐，大數據這輛汽車就只能停留在“價值可能性”的狀態，毫無用武之地。云計算中數據采用分布式存儲，具體存儲位置不斷變化，這種存儲的分散性和多變性導致用戶數據安全面臨一系列潛在威脅[16]71-72。此外，以云計算架構平臺為目標的攻擊，致使其上的大數據資源也被牽連其中。 可見，大數據安全遠非局部問題這么簡單，已上升為全局性戰略問題。

(四)大數據安全風險的高度或然性與無序性

大數據時代，數據安全從計算數據延伸到互聯網、物聯網、可移動便攜設備等終端數據甚至云端，每一個數據源的出現都會成為潛在的受攻擊點；加之大數據與云計算、互聯網、物聯網等深度融合，致使數據安全風險大大提升。大數據安全體現出冪律分布的特點，若遭遇威脅，數據源頭分散的微小攻擊雖然頻繁但是單次攻擊的涉及面并不廣，而針對云端或擁有海量數據的大型企業的攻擊，僅僅一次就有可能造成難以估量的大范圍損失。信息技術的日新月異導致數據安全的威脅與日俱增并溢出其控制能力之外，該種安全威脅伴隨著迸發的不確定性，這種流動的充滿不確定性的數據體系極好地詮釋了大數據安全風險的高度或然性。此外，由于大數據的泛在性以及網絡的公開性和網絡節點的巨量性，攻擊者可以在任何時間對任意節點發起攻擊，數據安全的無序性致使人們難以在攻擊發動前進行預測，也無從在攻擊發生后徹底查明。

三、大數據時代數據安全的法律綜合保護

大數據時代開啟了一次重大的時代轉型，社會將經歷類似的地殼運動[17]9，219，法律也將與時俱進。關于信息和數據規范的立法*例如2009年2月28日頒布的《刑法修正案(七)》，2012年12月28日頒布的《全國人民代表大會常務委員會關于加強網絡信息保護的決定》，2013年1月21日公布的《征信業管理條例》，工業和信息化部于2013年7月16日出臺的《電信和互聯網用戶個人信息保護規定》，國家質量監督檢驗檢疫總局、國家標準化管理委員會于2012年11月5日批準發布的《信息安全技術——公共及商用服務信息系統個人信息保護指南》，2013年10月25日第十二屆全國人民代表大會常務委員會第五次會議通過的《消費者權益保護法(修正案)》，國家衛生和計劃生育委員會于2014年5月發布的《人口健康信息管理辦法(試行)》，2015年7月1日通過的《國家安全法》，2015年8月29日發布的《刑法修正案(九)》以及2015年11月11日國務院第111次常務會議通過的《地圖管理條例》等。，目前主要集中在個人信息保護領域，且都是零敲碎打式，位階總體不高?！毒W絡安全法》的出臺可謂是對大數據時代數據安全的有力回應。下文將以《網絡安全法》為視角，提出完善我國大數據安全保護的法律對策。

(一)建立關鍵基礎設施數據安全保護法律機制

隨著大數據戰略和“互聯網+”行動計劃的全面鋪開，我國關鍵基礎設施與大數據、互聯網的深度融合勢如破竹。關鍵基礎設施作為大數據賴以存續的載體，如若遭遇威脅，數據安全將面臨重大挑戰。我國《網絡安全法》第三十一條劃定了關鍵信息基礎設施的范圍，包括公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的設施；并用一節的篇幅明確了關鍵信息基礎設施運行安全具體保護要求，分別從國家、行業、運營者三個維度劃定了相關各方的職責與義務。國家網信部門負責總的統籌協調工作，開展安全風險抽查檢測，定期組織網絡安全應急演練，推動相關主體之間共享網絡安全信息，并在網絡功能恢復以及應急處置方面給予協助和技術支持。關鍵領域和重要行業主管部門分別負責編制并組織實施本行業、本領域的關鍵信息基礎設施安全規劃，指導和監督關鍵信息基礎設施運行安全保護工作。關鍵信息基礎設施的運營者除須履行網絡安全等級保護制度要求的安全保護義務，還應設置專門安全管理機構和安全管理負責人，對從業人員實施定期的網絡安全教育、技術培訓并進行相應的技能考核；制定應急預案并定期演練；對重要系統和數據庫進行容災備份；采購對國家安全可能造成影響的網絡產品和服務，應事先通過有關國家安全審查等?？偠灾?，這是我國首次在基本法律層面對關鍵信息基礎設施概念進行厘定，并提出相關規范要求?！毒W絡安全法》的上述規定，使我國在關鍵信息基礎設施安全保護領域實現質的飛躍。欣喜的同時，依然要清醒地意識到我國在關鍵基礎設施數據安全保護方面還有很長的路要走。我們要牢固樹立風險防范理念，建立以風險為中心的防控保護體系，對關鍵基礎設施具體范圍進行細化，列出關鍵基礎設施數據安全保護對象清單，建立首席安全官制度以及關鍵基礎設施數據安全測評制度，并進行脆弱性評估，以做好風險的事先預防；確立關鍵基礎設施數據安全監測預警和信息通報制度，一旦發現風險，及時隔離，防止數據安全事件擴散；制定數據安全事件的分級標準，建立不同級別的應急處置機制，制定不同行業、領域各自的應急處置和恢復措施，設立事后總結報告制度等，爭取做到盡早發現風險，隔離風險，減小損失和應急恢復，盡最大可能保障關鍵基礎設施的持續運轉[18]162-165。故而，建議國務院盡快出臺《關鍵信息基礎設施保護條例》，細化有關數據安全、監測預警、應急處置、監督管理等方面的做法和規定；各地方人民政府應結合自身情況進一步制定本行政區域內的規劃和實施細則，并輔之以關鍵基礎設施數據安全保護的科學研究和技術隊伍建設、經費供給等相關配套保障制度。

(二)建立數據跨境流動監管法律機制

大數據時代，數據跨境流動蓬勃發展，給數據安全帶來潛在威脅。受棱鏡門事件影響，數據本地化(Data localization)風潮席卷全球，俄羅斯、德國、巴西、韓國、印度等國家紛紛出臺相關政策或立法，限制數據跨境流動。在《網絡安全法》未出臺之前，我國僅在一些特定行業立法中有所涉及，例如《征信業管理條例》第二十四條規定，征信機構對在中國境內所采集信息的任何處理以及存儲均須在中國境內進行，如若向境外提供信息，須遵守我國相關規定；又如《地圖管理條例》第三十四條規定，互聯網地圖服務單位存放地圖數據的服務器必須設在我國境內，并要制定互聯網地圖數據安全管理制度和保障措施。《網絡安全法》的頒布，以法律的高度提升了我國對數據本地化的關切，體現了國家對數據跨境流動的應對思考。其第三十七條規定，關鍵信息基礎設施運營者在中國境內運營收集和產生的個人信息和重要數據應當在境內存儲，如需向境外提供，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。可見，我國對數據跨境流動采取的是以境內存儲為原則，安全評估后向境外傳輸為例外，并不像有的國家那樣剛性禁止數據離境，例如俄羅斯要求公民的個人數據必須存儲在俄聯邦境內的服務器中，僅在執法、行使國家機關和地方政府權力以及以達成國際協議為目的的行為情況下方可在俄境外的服務器上處理個人數據。我國《網絡安全法》的該條規定具有延展性，但仍存在不足：首先，限定范圍較窄且語詞模糊，數據留存主體僅為關鍵信息基礎設施運營者，留存內容僅為該主體在我國境內收集和產生的個人信息和重要數據，而何為重要數據語焉不詳；其次，監管前提和方式單一，僅為事前監管，且僅在業務需要跨境傳輸情況下才啟動，如因他國執法需要不在此列，數據主權難以充分體現。此規定對于方興未艾的數據跨境流動而言遠遠不夠，我國應當完善數據本地化立法，加強數據跨境流動監管。堅持數據主權原則，兼顧數據自由流動與安全保護，根據數據的不同類型、性質制定差異化規范。明確數據本地化范圍，分類規制跨境數據。對特定種類的敏感數據，如涉及社會公共利益和國家安全的數據必須境內存儲，嚴禁跨境傳輸；對商用數據進行安全評估后再行決定是否對外傳輸；個人數據境內留存，經數據主體同意后方能對外傳輸。此外，還要完善數據跨境流動監管立法，將監管貫穿于數據整個生命周期，并為數據跨境流動國際合作留下一定空間。設立專門的數據監管機關，負責數據安全的風險評估，數據跨境傳輸的登記、審查許可、抽樣監督檢查以及對違規行為的處罰和起訴，進行數據跨境傳輸的國際協調等；限定數據跨境傳輸的條件，防止關鍵數據資源流失，阻止不良數據傳播；明確數據主體的權利與損害救濟途徑以及數據使用者的義務與責任。

(三)建立個人數據保護法律機制

關于個人數據安全的保護，我國至今尚未出臺獨立的《個人數據保護法》，僅是零散地規定在一些法律法規和部門規章以及規范性文件當中，例如2012年12月頒布的《全國人民代表大會常務委員會關于加強網絡信息保護的決定》*《全國人民代表大會常務委員會關于加強網絡信息保護的決定》規定國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息，并對網絡服務提供者和其他企業事業單位收集、使用公民個人電子信息做出原則性規定。，工信部于2013年7月出臺的《電信和互聯網用戶個人信息保護規定》*《電信和互聯網用戶個人信息保護規定》對用戶個人信息進行界定，并對電信業務經營者、互聯網信息服務提供者收集、使用信息的行為進行規范。，2013年10月通過的《消費者權益保護法(2013修正)》*《消費者權益保護法(2013修正)》第十四條規定，消費者在購買、使用商品和接受服務時，享有個人信息依法得到保護的權利；第二十九條規定，經營者應當依法收集、使用消費者個人信息，并采取必要措施確保該信息安全。，2015年8月發布的《刑法修正案(九)》*《刑法修正案(九)》將原來《刑法修正案(七)》中第二百五十三條之一即侵犯個人信息罪的主體范圍予以擴大，而不再局限于國家機關或者金融、電信、交通、教育、醫療等單位的工作人員，規定出售或者非法提供公民個人信息，情節嚴重的，屬于犯罪，并加大懲處力度。等，除此之外，也散見于其他法律規范之中。《網絡安全法》總結了上述立法的經驗做法，以基本法形式統一了個人信息的定義和范圍，建立健全了個人信息保護制度。該法在原來人大決定、工信部規定等基礎上，借鑒吸收國際上的有益經驗，確立了個人信息收集、使用的基本原則，即合法、正當、必要原則、目的限制原則、知情同意原則和安全保密原則等，并明確“不得收集與其提供的服務無關的個人信息”*具體參見《網絡安全法》第四十一條的規定。，厘清了收集個人信息的界限，為保護個人數據權利樹立邊界；“道高一尺，魔高一丈”，在個人信息數據泄露難以杜絕的情勢下，當發生或者可能發生個人信息泄露、毀損、丟失的情況時，要求網絡運營者及時履行告知義務，以使用戶知曉，增強用戶對相關安全行為的警惕性，同時報告有關主管部門，讓其第一時間了解實情，以便運籌帷幄。該法明晰了網絡運營商、關鍵信息基礎設施運營者、網絡產品、服務提供者等義務主體的責任，將責令改正、警告、罰款、暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照等措施納入其中，彌補了先前立法中罰則不足的缺陷，增強了對個人數據權利侵害行為的威懾力。此外，《網絡安全法》還規范了相關網絡安全監管部門的責權范圍，有助于在全社會形成保護個人數據安全的合力。

將個人數據保護納入《網絡安全法》之中，可謂一大亮點，該法的相關舉措雖有一定進步意義，但是在諸如知情同意原則方面的規定仍然無法逃脫傳統時代的窠臼?？傮w而言，《網絡安全法》對個人數據安全的保護畢竟張筋弩脈，出臺《個人數據保護法》尤為重要?！秱€人數據保護法》應尋求在保護個人數據安全基礎上，促進數據的合理流通，其并不是將個人數據藏匿于保險柜中，而是謀求一種動態的安全——在個人數據資源開發利用中的安全[19]10。賦予公民個人數據權，使其能夠控制和支配自身個人數據[20]27，以區別于傳統數據安全環境中的消極防御權。個人數據權是存在論的殼(The ontological shell),它確保了個人的不可侵犯性[21]10?！按髷祿r代，很多數據在收集時并無意做他用，而最終卻產生很多創新性用途，大數據的價值更多源于它的二次利用”[18]162-165。知情同意和目的限制等原則已經力有未逮。我們應變革思維，增強風險導向意識，將個人數據安全風險評估貫穿整個數據生命周期，根據個人數據處理、利用的場景、目的及可能引發的風險程度施以義務和責任，強化對個人數據侵權行為的預防和救濟。此外，數據企業、機構還應承擔風險識別義務，在用戶可能發生數據安全風險時進行相關風險提示并及時采取措施，對個人數據給予全方位立體的保障。

(四)建立和完善數據犯罪法律制度

大數據時代，數據犯罪頻頻發生，給國家、社會和個人造成了極大的威脅和傷害。《網絡安全法》在總則中開宗明義地強調要依法懲治網絡違法犯罪活動，開展打擊網絡違法犯罪等方面的國際交流與合作；保護公民、法人和其他組織依法使用網絡的權利，保障網絡信息依法有序自由流動，旨在營造一個綠色、和諧、安全的網絡環境。在分則中，明令任何個人和組織不得從事侵入、干擾他人網絡、竊取網絡數據等危害網絡安全的行為以及為該行為提供程序、工具，技術支持等幫助；不得設立用于實施詐騙，傳授犯罪方法等違法犯罪活動的網站、通訊群組，不得利用網絡發布涉及實施詐騙等違法犯罪活動的信息，并規定相應的法律責任；對攻擊破壞我國關鍵信息基礎設施的境外組織和個人亦制定相應的制裁措施。上述舉措雖為營造良好的數據安全環境奠定了一定基礎，但為了應因大數據時代數據安全的新形勢以及時代變革發展的新訴求，以加大懲治力度，增強威懾力，完善我國《刑法》相關體系和規定仍然十分有必要。隨著信息技術的更新迭代，數據處理方式和途徑不斷演化，從過去信息系統的計算機運算演變為云環境中的云資源計算，《刑法》第285條、286條所規制的信息系統犯罪在面對信息化浪潮的沖擊下已捉襟見肘。傳統刑法主要針對的是保護信息系統的完整性、安全性和可靠性，而大數據時代中云計算資源保護問題日益顯現，我國《刑法》在應對互聯網技術變革時要做出適度回應和調整。大數據時代，一般技術意義上的數據有可能轉化為具有價值的電磁記錄，“對刑法所保護的重要法益價值……，數據的意義體系在對數據對象的反映上，當數據的反映同質于信息的內容時，單純技術角度定義的數據便具有了現實意義”[15]114，是故，元數據的價值意義亦不能忽視，應當跳脫傳統的依附于計算機信息系統保護數據的思維桎梏，單獨增設以網絡數據為獨立犯罪對象的罪名。此立法思路早在歐洲理事會《網絡犯罪公約》(Cyber-crime Convention)*《網絡犯罪公約》第二章第四條規定了數據干擾行為(Data interference)，其包含任何無授權的故意毀損、刪除、破壞、修改或者隱藏數據的行為，與公約第二條針對非授權的故意侵入計算機系統的“非法訪問行為(Illegal access)”以及第五條針對妨礙計算機系統合法使用的“系統干擾行為(System interference)”獨立開來分別加以立法。以及《德國刑法典》*《德國刑法典》第202a條規定了“探知數據行為”，即非法為自己或他人探知不屬于自己的，為防止被他人非法獲得而作了特殊安全處理的數據的行為；并對“數據”一詞進行了界定，僅指以電子的磁性的或者其他不能直接提取的方法儲存或傳輸的數據。中均有體現，其將數據價值作為單獨的評判標準和法益進行保護。數據犯罪已成為世界上所有國家所要共同面對的新型犯罪，故而，此做法并不是我國標新立異。此外，為遏制高發的電信詐騙案件，須從源頭上完善侵犯公民個人數據犯罪的刑法規范才是根本。精細化地區分不同的個人數據類型，例如身份數據、行為數據，識別數據、認證數據、授權數據等，針對數據自身的特征、核心價值以及不同侵權手段和不同的數據處理階段衡量法益，設置相應的刑法條文?？偟恼f來，基于大數據時代數據安全所呈現的新特性，可確立“基本行為特征類型化模式+動態鏈條模式”的縱橫雙向模式的數據犯罪制裁思路，從橫向上，構建以個人數據犯罪和以國家秘密、情報等網絡重要數據犯罪為核心的制裁體系；從縱向上，分割數據犯罪鏈條和步驟，打擊犯罪預備行為的實行化，增加對數據處理階段的犯罪立法，實現對完整的數據動態過程的保護[22]25-28。一言蔽之，以獨立的數據視角建構合理可行、協調發展的刑法體系，不再囿于過去松散式碎片化信息立法的藩籬在大數據時代顯得尤為重要。任何事物均具有兩面性，大數據在給人們生活帶來便利的同時，也會被犯罪分子所利用而產生巨大隱患。其處于一個流動性的集成狀態而并非靜止與固化，數據安全風險潛藏在數據收集、數據處理、數據利用、數據存儲等階段當中，所產生的危險較傳統危險更為綜合和復雜，因此，應將保護或懲治提前，使責任刑法向預防刑法轉變。同時，對于數據犯罪，要考慮多方面因素制定處罰標準，而不是一刀切地適用統一標準從嚴處罰，必須涵蓋各方面、各層次的法益保護需求。

我國已成為泱泱網絡大國，黨中央對網絡安全異常重視，將其上升到國家安全戰略高度，其中數據安全更是成為國家安全重中之重。正如全球IT研究與顧問咨詢公司高納德(Gartner)所論斷的那樣：“大數據安全是一場必要的斗爭?！盵23]我國《網絡安全法》的出臺僅是萬里長征第一步。面對大數據時代數據安全的新形勢，我們必須要轉變思維，在國家總體安全觀的指導下，秉承發展與安全并重的原則，樹立多維立體的風險防控理念，堅持整體防護、動態防護、綜合防護，以深刻的眼光聚焦于技術背后的公民、社會和國家的利益，建立關鍵基礎設施數據安全保護法律機制，推進數據本地化立法，加強數據跨境流動監管，構建個人數據保護法律機制，完善數據犯罪法律保護制度，加大對數據違法犯罪行為的打擊力度，筑牢大數據安全保障的法律防線。

[1] 2016年十大數據泄露事件：社交網絡成泄露重災區[EB/OL].[2016-12-09].http://www.raincent.com/content-10-8087-2.html.

[2] 雅虎自曝遭黑客攻擊超15億用戶賬號信息被盜[EB/OL].[2016-12-15].http://www.chinanews.com/gj/2016/12-15/8094535.shtml.

[3] 1Tbs！OVH遭遇史上最大DDOS攻擊[EB/OL].[2016-09-27].http://mt.sohu.com/20160927/n469328292.shtml.

[4] 極光行動[EB/OL].[2016-04-18].http://baike.baidu.com/link?url=R9fvv6IqituHYkwqyakaxSO9U_diDV V5a4-eiOFq-L3J_2XoXi3nj1fy6pJj0 L3YvihHa8vRQy QE_2jBQ__rcrRozpRExtHZN7NstWRgWsmxepuoD4D Sg8hfUmrkM2vJ.

[5] 索尼影視遭遇重大APT網絡攻擊大量商業機密遭泄露[EB/OL].[2014-12-10].http://www.doit.com.cn/p/224887.html.

[6] 吳世忠.大數據時代安全風險及政策選擇[EB/OL].[2013-08-14].http://www.71.cn/2013/0814/727984.shtml.

[7] 震網病毒[EB/OL].[2016-11-01].http://baike.baidu.com/link?url=WLuY79ejupdOhGd8xNpstrF9xfNI 7qpEQYeS1_o4lz1FnN54Yr5-FfTXZOc6fTSV20TDb Bu8-Mdc-Hc8nxlyBGMUrBqcXK2AoFGxXjU9gdMe 3YlLAMzok7fBZXUkSZr1.

[8] 胡若愚.德國一核電站“驚”染電腦病毒[EB/OL].[2016-04-28].http://news.xinhuanet.com/world/2016-04/28/c_128940554.htm.

[9] 網絡空間治理創新：2016全球網絡空間安全大事記(事件篇)[EB/OL].[2017-01-07].http://mp.weixin.qq.com/s/AXHJWPDwY0T9B3WJW40pOw.

[10] Mckinsey Global Institute. Digital Globalization: The New Era of Global Flow[R].March，2016.

[11] 劉雅輝，張鐵贏，靳小龍，等.大數據時代的個人隱私保護[J].計算機研究與發展，2015，52(1).

[12] 涂子沛.數據之巔[M]. 北京：中信出版社，2014.

[13] 齊愛民，盤佳.數據權、數據主權的確立與大數據保護的基本原則[J].蘇州大學學報(哲學社會科學版)，2015(1).

[14] 希拉里團隊電腦系統疑遭俄黑客攻擊 安全部門調查[EB/OL].[2016-08-01].http://www.chinanews.com/gj/2016/08-01/7957605.shtml.

[15] 于志剛，李源粒.大數據時代數據犯罪的制裁思路[J].中國社會科學，2014(10).

[16] 金華，陳平凡，等.云計算法律問題研究[M].北京：法律出版社，2012.

[17] 維克托·邁爾-舍恩伯格，肯尼思·庫克耶.大數據時代：生活、工作與思維的大變革[M].盛楊燕，周濤，譯.杭州：浙江人民出版社，2013.

[18] 王玥，馬民虎.“互聯網+”時代關鍵基礎設施信息安全法律保護研究[J].西北大學學報(哲學社會科學版)，2016(9).

[19] 齊愛民.個人信息開發利用與人格權保護之衡平[J].社會科學家，2007(3).

[20] 齊愛民，盤佳.大數據安全法律保障機制研究[J].重慶郵電大學學報(社會科學版)，2015(3).

[21] 盧風.人類增強與人權[J].廣西大學學報(哲學社會科學版)，2016(3).

[22] 于志剛，李源粒. 大數據時代數據犯罪的類型化與制裁思路[J].政治與法律，2016(9).

[23] 大數據安全是一場必要的斗爭[EB/OL].[2014-01-27].http://news.xinhuanet.com/info/2014-01/27/c_133077141.htm.

[責任編輯：秦衛波]

On the Improvement of the Comprehensive Legal Protection of Data Secarity in the Big Data Era——From the View of Cyber Security Law

QI Ai-min

(School of Law，Guangxi University for Nationalities，Nanning 530006，China)

In the big data era，data security faces severe challenges，which presents some dynamic，comprehensive，integrity，the risk of highly probability and disorder characteristics. The promulgation of Cyber Security Law brings the spring of data security，but it is only the first step. To cope with the new situation of big data security，we must make innovation of thinking，persist in the principle of paying equal attention to development and safety，set up the multi-dimensional three-dimensional concept of risk prevention and control，perfect the legislation of critical infrastructure data security，promote the legislation of data localization,strengthen the supervision of cross-border data flows，make personal data protection law and perfect the criminal law rules.

Big Data；Data Security；Data Protection；Cyber Security Law；Perfect Legislation

10.16164/j.cnki.22-1062/c.2017.04.019

2017-03-24

中國法學會2016年度部級法學研究課題(CLS[2016]A01)。

齊愛民( 1970-)，男，河北晉州人，廣西民族大學法學院教授，博士生導師，廣西民族大學廣西知識產權發展研究院院長，重慶市協同創新知識產權研究中心主任。

D922.8

A

1001-6201(2017)04-0108-07