数据安全认证:个人信息保护的第三方规制

契合"放管服"改革理念的数据安全认证,在数字时代整个规制法体系中必将占据日益重要的地位。数据安全认证通过声誉评价机制,可以引导、激励互联网企业守法合规经营,可以增强用户对中小微互联网企业和新兴数字产业的信任感,可以避免"一刀切"的政府规制,可以满足社会公众多元的数据安全需求。数据安全认证机构应具有高度的独立性与专业性,防止其被互联网企业"俘获"或成为政府的"附庸"。宜实行自愿为主、强制为辅的数据安全认证模式。认证程序应强调公正透明性,认证标准应注重评价企业数据合规的制度建设。根据过错责任原则,分别设置数据安全认证机构"相应的赔偿责任"或"连带责任",并加大对数据安全认证违法行为的公法责任追究。科学构建法治化的数据安全认证体制机制,不仅是保障数据安全的现实需要,而且是弥补数字时代政府规制缺陷的迫切需求。     

企业合规"待办清单"

《数据安全法》被视为我国网络空间与信息安全治理的三部基础性法律之一.其着力于从保障数字经济发展角度,强调数据安全与经济发展的辩证关系,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展.企业应明确《数据安全法》下的合规应对措施,梳理出一张"待办清单",以尽快落实合规措施,加强数据安全管理.     

数据安全视角下企业刑事合规的检视与治理

数据的广泛使用在促进数字经济快速发展的同时，也面临数据的收集、使用、存储、管理和流转风险，并滋生有关刑事法律风险。为维护数字安全，实现数据价值，应构建以预防数据安全风险为核心的数据安全治理新范式，企业刑事合规正是其中的关键治理手段。大数据背景下，我国企业刑事合规存在理念认识不够到位、专业监管能力不足、技术合规适用空白等问题。对此，可在维护数据安全为导向的新形势下，拓展和完善企业刑事合规，以开展企业数据合规为要，探索实现法律与技术合规二元共治，持续优化涉案企业数据合规第三方监督评估机制，并落实企业数据合规刑行衔接。     

刑事司法中的数据安全保护问题研究

刑事司法中海量收集使用数据必然带来数据安全保护的问题,现有法律对于此问题的规定存在不足,新出台的数据安全法对于刑事司法中的数据安全保护之规定亦过于粗疏,加之司法信息化加剧了刑事司法中的数据安全风险,有必要予以充分关注.刑事司法中应当以保障公民权利为数据安全保护的重要价值取向,确定国家承担数据安全保护的主要义务,进而对刑事诉讼全程进行数据安全监管.具体而言,应当通过建立数据分类和分级制度、尊重和发挥数据主体在数据安全保护中的作用、明确数据控制者和处理者的数据安全保护职责、将检察机关设置为专门的数据监管机构并赋予其相应职能,从而构建起相对完整的刑事司法领域数据安全保护制度.     

数据跨境流动的法理反思与制度重构——兼评《数据出境安全评估办法》

数据跨境流动需要在法理层面反思。从理论与实践出发，可以提炼数据无国界、数据主权、数据自由贸易、数据人权保护四种基础法理。这些法理存在部分合理性，但也存在重大困境。作为替代，应将数据安全主权作为数据跨境流动的法理基础。数据安全主权秉持安全不可分割与人类命运共同体原则，既平等回应各国对数据安全的合理关切，又反对单边主义与霸权主义，可以成为国际数据跨境流动的重叠共识。我国的《数据出境安全评估办法》等数据出境制度整体上与数据安全主权的法理高度吻合。但在风险认知上，需要采取合理、开放、动态的安全观。在具体法律工具上，需要针对个人信息、重要数据与关键信息基础设施采纳不同的风险评估方式。     

论数据安全的客体

数据安全与网络安全以及个人信息保护等法律制度相互关联，数据与信息、安全与保护等法律概念相互杂糅，导致数据安全客体范围不清晰。从数据的价值实现、数据安全的独立性、数据安全保护机制及数据利用方式等四个维度，可以辨析出数据安全客体应当是：动态开发利用中的数据、电子记录方式的数据、“风险—控制”社会安全管理意义上的数据、适用算法处理的集合性数据。在有关数据安全的立法、执法和司法活动中，应清晰辨别数据安全的客体，才能将数据安全制度落到实处，促进数字经济健康发展。     

政府数据开放中个人信息保护的范式转变

政府数据开放并非静态的单一行为,而是动态的系统过程。借助数据生命周期理论,可以将政府数据开放解构为数据收集、转换、存储、公开和使用五个阶段。根据《个人信息保护法》和《数据安全法》确立的最新规则,个人信息保护风险可能同时存在于政府数据开放生命周期的各个阶段。然而,政府数据开放中现有的个人信息保护范式主要采取“基于结果的方法”,重点关注政府数据在公开时的状态,依靠技术性匿名化手段,难以有效应对政府数据开放中的个人信息保护风险。与此相对应,“基于过程的方法”与政府数据生命周期、个人信息保护的程序化和数据安全全流程管理相契合,可以弥补“基于结果的方法”的不足。通过将风险预防原则和程序、技术、经济、教育和法律等手段分散放置在政府数据开放生命周期的每个阶段,能够最大限度减少个人信息保护风险,在个人信息保护与政府数据开放之间实现动态平衡。     

论数据安全保护义务

数据安全保护义务贯穿于数据产权、数据要素流通和交易等基本制度，对于保护民事主体的合法权益，维护国家安全，促进数字经济的发展，至关重要。我国数据安全义务的规范体系由数据安全、网络安全与个人信息保护三个方面的法律组成，存在相应的适用顺序。当事人也可以约定数据安全保护义务。任何实施数据处理活动的组织或个人都是数据处理者，负有数据安全保护义务。数据处理者应当根据数据安全风险确定所采取的相应的技术措施和其他必要措施，重要数据的处理者还负有两项特殊的义务。数据处理者违反数据安全保护义务，导致数据被第三人取得进而被非法利用，造成他人损害的，直接侵权人应当承担全部的赔偿责任，而数据处理者应承担与其过错、原因力相应的赔偿责任。     

健全体系强化数据安全司法保护

检察机关承担维护国家数据安全和为数字经济发展保驾护航的双重职责,必须牢固树立总体国家安全观和新发展理念。应以全面落实《关于加强新时代检察机关网络法治工作的意见》为契机,聚焦Web3.0时代数据犯罪的新特征,建立健全数据安全司法保护体系,依法履行数据安全司法保护职能,准确把握数据合理利用与数据犯罪的界限,加大对危害数据安全犯罪的惩治力度,加强检察业务数据安全管理,完善个人信息保护检察公益诉讼,从而筑牢数据安全底线,为数据法治建设提供有力司法保障,推动数字经济在法治轨道上规范健康持续发展。     

数据泄露中企业对用户的损害赔偿问题研究

非法抓取、窃取、破坏数据库数据的行为使得数据企业与用户承受了巨大损失.在用户数据权益保护方面,《数据安全法》第27条规定了网络运营者对用户数据的安全保护义务,但如何对用户进行损害赔偿尚不明确.在用户数据权利尚未被立法确认的前提下,可以以《民法典》第1197条、1198条为请求权基础,结合数据经营实践确定"知道或应当知道"、"采取必要措施"以及"违反安全保障(数据安全保护)义务"的具体标准,构建用户数据权益救济框架,使违反义务的企业承担损害赔偿责任.     

ChatGPT的数据安全风险及其合规管理

ChatGPT在积极赋能社会各领域发展过程中也隐含着数据安全风险,可能侵犯公民与企业合法权益、损害公共利益和国家安全。应当坚持“四个治理”原则,将合规管理方式引入到ChatGPT的数据安全风险治理体系,创新ChatGPT数据安全风险的治理方式。以合规管理方式治理ChatGPT的数据安全风险,需要ChatGPT的研发、生产、运用企业依据有效性原则、全面性原则、独立性原则、相称性原则开展数据合规管理,并从数据合规管理制度、数据安全风险识别与评估、数据安全风险应对处置、数据合规奖惩、数据合规科技创新、数据合规管理评估、数据合规文化培育等方面建立和实施数据合规管理方案。     

加强检察大数据安全保护的方法

加快数字检察建设,是推进智慧司法、构建法治社会的重要举措之一。数字检察的核心在于发挥数据作用,但也必须注意数据安全,不断加强监管和保障措施,从而最大限度提升数字检察监督质效。一、设立数据安全监管部门,在检察机关内部设立专门的数据安全监管部门。     

我国数据安全法的体系逻辑与实施优化

我国《数据安全法》采取综合立法模式，形成我国对数据安全的原创性制度实践。《数据安全法》拓展了传统数据安全的含义，其立法逻辑隐含了“安全—控制—利用”三个层次，以适应数据开发和利用所伴随的安全风险加剧的现实。从域外经验来看，美欧等数字经济发达国家或地区近年来通过多个单行立法的形式，同样沿着“安全—控制—利用”的三层结构，构建了各自独特的数据战略。相比之下，目前的《数据安全法》的实施和落地，无论在战略层面和具体制度构建层面都存在不足，应当对此予以针对性优化。     

论我国数据安全保护法律制度的完善

《中华人民共和国数据安全法(草案)》第九条明确了国家、企业和个人等参与数据安全协同治理体系构建的重要性.对此,在界定数据安全概念之含义并对其进行分类后,应意识到重要数据和敏感数据之安全应比一般数据安全更需要受到重视.针对数据泄露事件频发使得数据安全受到普遍关注之现象,分析现行数据保护法律制度内容及其不足十分关键.在前述...     

树立科学理念 推动数字检察建设

数字化转型是新时代检察工作融入数字化变革的必由之路,虽然大数据技术已广泛应用于检察工作,但还存在一些问题,应从树立科学的大数据理念、规范数据信息采集程序、持续推进平台信息共享、强化检察大数据挖掘分析与应用、建立制度规范保障数据安全等五方面加以完善。     

数据确权的中国方案：要素市场语境下分类分级产权制度研究

分类分级的数据产权制度是数据确权的中国方案,其中不仅包含中国对于数据产权制度的价值判断,即数据产权有利于数据流通利用、利益公平分配、数据安全保障,同时也蕴含了类型化法律思维。在对数据产权路径的分析中可以得出,行为赋权与人格权赋权难以实现数据的积极利用,财产权路径下将数据归属于企业的做法既为数据安全保护带来挑战,也无法体现数据利益的公平分配。只有在多元产权模式下以差异性制度安排对数据产权进行设计,才能兼顾数据确权需考虑的多重因素。分类分级数据产权是对数据产权进行类型化解析,建立结构性分置制度。在人格与财产二分的基础上,以主体为标准划分个人、企业、公共数据,依风险对个人数据进行分级,除部分数据构成知识产权外,其他数据通过“所有权+用益权”的数据权利结构,赋予处置、收益的积极权利以及排除妨害的消极权利等财产权。     

数据征用的理论证成与制度展开

数字时代政府通过企业主动开放共享、数据报送、政府采购、数据调取等方式获取企业数据,但是,仅依靠这些方式无法完全调整实践中政府大规模强制获取数据的行为。为此,应当承认数据征用制度的应用价值,系统阐释数据征用的法理逻辑与制度框架。数据征用并非对数据产权的肆意攫取,相反其能够更加充分地保障数据产权人的合法权益。数据产权作为财产权的具体类型承载社会义务,但是,这并不能成为反对数据征用补偿的充分理由。数据征用补偿不仅可以激励数据产权人进行数据创新和数据供给,而且通过价格机制有助于实现数据财产权的防御功能。补偿标准不宜采取完全填补原则,而是应当以数据获取目的与公益性的密切程度为基础,综合额外技术处理成本、利益减损程度等因素确定直接损失。以比例原则为分析框架,既能为数据征用行为设定边界,妥当平衡公共利益、数据财产和人格权益,也可进一步明确数据征用的适用条件。     

数据生产论下的平台数据安全保障义务

《数据安全法(草案)》构建了平台数据安全保障义务框架,包含着数据安全制度、个人信息权利保护与监管配合义务三个维度。传统的民事侵权责任理论已经无力解释平台的数据安全保障义务的庞杂体系与多样化内容。应从数据社会生产的角度分析,平台已经成为了数据生产要素提取加工者、数字经济基础设施、数字经济多边市场。根据霍菲尔德的"特权-无权力"框架分析,平台的数据安全保障义务的扩张,实际上是数字经济社会生产中膨胀的平台权力的纠偏机制。合理的平台数据安全保障义务应以数字生产论为基础,合理设置平台对数字产品的质量责任与安全生产义务,划定平台数据安全保障义务的边界,促进数字经济发展。     

生成式人工智能背景下数据安全的刑法保护困境与应对--以ChatGPT为视角的展开

ChatGPT是基于大型神经网络语言模型并通过强化学习进行训练,能够实现与用户深度交流的生成式人工智能。在人工智能背景下,现行刑法尚不足以抵御生成式人工智能带来的数据安全风险。生成式人工智能对数据的海量获取需求,与刑法中的数据控制保护理念存在天然矛盾;生成式人工智能因其存在自由意志的现实可能性,对传统刑事责任主体的范围也发起了挑战。故应从两方面着手提升刑法对新形势下数据安全的保护能力:一方面刑法对数据安全的保护应从数据控制保护模式转向数据利用保护模式,包括建立非法获取行为的出罪机制、规制数据滥用行为,以及建构专门的数据安全刑法保护体系;另一方面,应考虑人工智能体成为刑事责任主体的可能性,对其自由意志支配下实施的数据侵害行为进行自我答责。     

从保密到安全:数据销毁义务的理论逻辑与制度建构

我国现行立法规定了自然人有请求信息处理者删除个人信息的权利,但这并不等于承认数据生命周期的最后环节是“删除”,因为“删除权”是“信息处理的合法性与必要性基础丧失”的必然结果,而“数据销毁”才是“数据归于消灭”的处理流程末端。数据销毁义务的理论基础在于信息保密方式的扩张,即从维持信息保密状态转向维持数据安全风险的可控性。在数据安全风险评估过程中,倘若义务主体无法保障暂时不使用的重要数据和个人信息处于安全状态,则应当采取适当的数据销毁范式降低数据泄露或非法复原的安全风险。在未来立法活动中,我国应当明确数据销毁义务的义务主体、销毁方式和销毁范围等具体制度内容,完成数据安全立法的“最后闭环”。