ChatGPT的数据安全风险及其合规管理

ChatGPT在积极赋能社会各领域发展过程中也隐含着数据安全风险,可能侵犯公民与企业合法权益、损害公共利益和国家安全。应当坚持“四个治理”原则,将合规管理方式引入到ChatGPT的数据安全风险治理体系,创新ChatGPT数据安全风险的治理方式。以合规管理方式治理ChatGPT的数据安全风险,需要ChatGPT的研发、生产、运用企业依据有效性原则、全面性原则、独立性原则、相称性原则开展数据合规管理,并从数据合规管理制度、数据安全风险识别与评估、数据安全风险应对处置、数据合规奖惩、数据合规科技创新、数据合规管理评估、数据合规文化培育等方面建立和实施数据合规管理方案。     

数据安全合规标准的建立与发展

随着数字经济社会高速发展,数据安全日益成为关乎数字经济发展的核心内容,同时数据安全合规问题也是企业合规的新兴领域,具体的数据安全合规参考标准问题近年来常引起争议,如果不确立明确有效的数据安全合规标准,为数据处理者提供准确的法律支撑,可能会导致其面临数据安全的行政或刑事法律风险。数据安全合规标准实质上是对数据全流程处理的法律规范指引,可以从合规风险精准管控,全流程体系化覆盖,管理机构、人员及技术专业性,违法行为及时查处等方面入手,对数据安全合规进行标准化审查。     

数据安全视角下企业刑事合规的检视与治理

数据的广泛使用在促进数字经济快速发展的同时，也面临数据的收集、使用、存储、管理和流转风险，并滋生有关刑事法律风险。为维护数字安全，实现数据价值，应构建以预防数据安全风险为核心的数据安全治理新范式，企业刑事合规正是其中的关键治理手段。大数据背景下，我国企业刑事合规存在理念认识不够到位、专业监管能力不足、技术合规适用空白等问题。对此，可在维护数据安全为导向的新形势下，拓展和完善企业刑事合规，以开展企业数据合规为要，探索实现法律与技术合规二元共治，持续优化涉案企业数据合规第三方监督评估机制，并落实企业数据合规刑行衔接。     

将检察工作纳入"数安法"语境

根据《中共中央关于加强新时代检察机关法律监督工作的意见》,一方面,数据为检察监督提供了抓手,检察机关可基于大数据的应用增强履职能力;另一方面,数据安全保护需要检察机关充分发挥法律监督职能.《数据安全法》(简称"数安法")正式施行后,检察工作须更全面地纳入新的语境.     

数据安全认证:个人信息保护的第三方规制

契合"放管服"改革理念的数据安全认证,在数字时代整个规制法体系中必将占据日益重要的地位。数据安全认证通过声誉评价机制,可以引导、激励互联网企业守法合规经营,可以增强用户对中小微互联网企业和新兴数字产业的信任感,可以避免"一刀切"的政府规制,可以满足社会公众多元的数据安全需求。数据安全认证机构应具有高度的独立性与专业性,防止其被互联网企业"俘获"或成为政府的"附庸"。宜实行自愿为主、强制为辅的数据安全认证模式。认证程序应强调公正透明性,认证标准应注重评价企业数据合规的制度建设。根据过错责任原则,分别设置数据安全认证机构"相应的赔偿责任"或"连带责任",并加大对数据安全认证违法行为的公法责任追究。科学构建法治化的数据安全认证体制机制,不仅是保障数据安全的现实需要,而且是弥补数字时代政府规制缺陷的迫切需求。     

完善网络信息时代安全体系

出台的背景和意义 2021年6月,十三届全国人大常委会第二十九次会议表决通过了《数据安全法》.该法作为我国第一部数据安全相关部门法,于2021年9月1日起施行,为国家重要数据保护和各行业数据安全监管提供了依据. 可以从四个方面理解《数据安全法》出台的背景:第一,信息技术的发展、移动终端的出现促使数据累积为大数据.大数据...     

健全体系强化数据安全司法保护

检察机关承担维护国家数据安全和为数字经济发展保驾护航的双重职责,必须牢固树立总体国家安全观和新发展理念。应以全面落实《关于加强新时代检察机关网络法治工作的意见》为契机,聚焦Web3.0时代数据犯罪的新特征,建立健全数据安全司法保护体系,依法履行数据安全司法保护职能,准确把握数据合理利用与数据犯罪的界限,加大对危害数据安全犯罪的惩治力度,加强检察业务数据安全管理,完善个人信息保护检察公益诉讼,从而筑牢数据安全底线,为数据法治建设提供有力司法保障,推动数字经济在法治轨道上规范健康持续发展。     

制定"氢气经济发展法"助力我国氢气经济发展

21世纪是科技的世纪也是新能源的世纪.如何借助科技发展发展新能源,是新时代发展经济的需求也是立足世界的要求.本文以发展氢气经济为中心介绍和讨论国内外氢气经济发展状况,并提出制定我国的《氢气经济发展法》,从而实现以法律保障为后盾的新经济增长模式.     

享受美好数字生活,数据“安全锁”必不可少

随着数字经济的加速发展,加强数据治理、保护数据安全,为数字经济持续健康发展筑牢安全屏障,成为时代发展的客观需要近年来,中国网络空间的法治化建设按下了“加速键”。《数据安全法》《关键信息基础设施安全保护条例》《个人信息保护法》陆续施行,《网络数据安全管理条例(征求意见稿)》向社会公开征求意见,与数据治理、数据安全相关的法律法规体系得到进一步完善。     

数据生产论下的平台数据安全保障义务

《数据安全法(草案)》构建了平台数据安全保障义务框架,包含着数据安全制度、个人信息权利保护与监管配合义务三个维度。传统的民事侵权责任理论已经无力解释平台的数据安全保障义务的庞杂体系与多样化内容。应从数据社会生产的角度分析,平台已经成为了数据生产要素提取加工者、数字经济基础设施、数字经济多边市场。根据霍菲尔德的"特权-无权力"框架分析,平台的数据安全保障义务的扩张,实际上是数字经济社会生产中膨胀的平台权力的纠偏机制。合理的平台数据安全保障义务应以数字生产论为基础,合理设置平台对数字产品的质量责任与安全生产义务,划定平台数据安全保障义务的边界,促进数字经济发展。     

数据泄露中企业对用户的损害赔偿问题研究

非法抓取、窃取、破坏数据库数据的行为使得数据企业与用户承受了巨大损失.在用户数据权益保护方面,《数据安全法》第27条规定了网络运营者对用户数据的安全保护义务,但如何对用户进行损害赔偿尚不明确.在用户数据权利尚未被立法确认的前提下,可以以《民法典》第1197条、1198条为请求权基础,结合数据经营实践确定"知道或应当知道"、"采取必要措施"以及"违反安全保障(数据安全保护)义务"的具体标准,构建用户数据权益救济框架,使违反义务的企业承担损害赔偿责任.     

助力科技,按下补齐法制短板快进键

科技兴则民族兴,科技强则国家强. 2021年,围绕创新驱动发展,加快发展现代产业体系,修改《科学技术进步法》,制定《个人信息保护法》等,成果颇丰. 在当前大数据快速发展环境下,数据安全和个人隐私保护逐渐成为数字社会人们关注的焦点.通过制定专门法律,运用法治方式加强个人信息保护,激活数据要素潜能,成为法治社会的必要之举、...     

企业数据合规的构建与落地

2022年,党的二十大报告指出,要“加快建设制造强国、质量强国、航天强国、交通强国、网络强国、数字中国”。数字经济已成为产业变革的重要引擎,是高质量发展的核心驱动力。伴随数字经济时代的到来,国内数据保护立法取得了飞跃式发展。网络安全法、数据安全法、个人信息保护法等共同构建了我国数据保护领域的行政监管法律体系,其中不仅规定了数据处理基本规则,还规定了企业数据合规管理义务,这种预防性监管方式标志着数据领域全行业强制合规制度的确立。     

数据犯罪刑事治理逻辑的消极预防转向与实践展开

积极预防刑法观主导的数据犯罪刑事治理思路着眼于风险管控,以安全价值为优先考量、以维护社会管理秩序为首要任务,主要表现为数据法益抽象化、行为入罪早期化、平台责任加重化。国家刑罚权的急剧扩张使得规制手段与所要达到的目的不成比例,数据治理在立法和司法上均陷入过度犯罪化的窠臼,不仅压缩了公民自由权利的行使空间,而且阻碍了数据要素的流动利用。贯彻数字经济“坚持促进发展和监管规范并重”的指导方针,刑法干预数据犯罪应恪守比例原则统辖下的刑法克制主义,从积极预防转向兼具预防性与有限性的消极预防,统筹兼顾数据要素开发利用与安全保障两大价值。数据犯罪刑事治理应以保障公民自由权利免于遭受不当干涉和限制国家刑罚权的范围及强度为目标,从法益论、不法论、刑罚论三个层面贯彻消极预防刑法观:在确定数据犯罪相关罪名的保护法益时,秉持以保障个人自由为本位的数据法益观;在判断数据犯罪行为的可罚性时,贯彻基于结果无价值论的实质危害原则;在对数据处理者施加刑事责任时,引入数据安全合规的刑法激励机制。     

“数据合规官”的角色与责任

“首席隐私官”“首席安全官”“信息合规官”“数据合规官”“数据安全官”……在数据隐私合规的大环境下,催生出了大量合规方面的工作岗位,这些岗位可以成为法律人施展专业能力的新舞台。这种岗位的设置最初可以追溯到欧盟于2018年5月25日出台的《通用数据保护条例》。     

我国数据安全法的体系逻辑与实施优化

我国《数据安全法》采取综合立法模式，形成我国对数据安全的原创性制度实践。《数据安全法》拓展了传统数据安全的含义，其立法逻辑隐含了“安全—控制—利用”三个层次，以适应数据开发和利用所伴随的安全风险加剧的现实。从域外经验来看，美欧等数字经济发达国家或地区近年来通过多个单行立法的形式，同样沿着“安全—控制—利用”的三层结构，构建了各自独特的数据战略。相比之下，目前的《数据安全法》的实施和落地，无论在战略层面和具体制度构建层面都存在不足，应当对此予以针对性优化。     

数字时代隐私权保护的立法因应

数字技术在为人类生活带来便利、促进数字经济发展和数字服务能力及效率提升的同时,使自然人隐私权面临以保障安全和发展经济为名的潜在威胁、数字伦理缺失等多重消解风险。当下中国形成了以《数据安全法》保障数据安全、以《个人信息保护法》规制个人信息处理活动、以《民法典》保护自然人隐私权的立法模式。但在数字时代,上述立法模式存在对个人信息和隐私界定不明、缺少流动场景下对隐私权社会属性的重视、隐私权法律救济和责任规制缺失、国内外的隐私权保护立法衔接不足等问题。在数字时代,我国对隐私权保护立法的完善,应从法理和适用规则上界分隐私和个人信息,依群体分类保护隐私权,完善私密信息的法律救济规则,健全对重点场景和行业的法律责任追究机制,建立公平公正的数字贸易与隐私权保护国际规则,强化自然人对数字社会治理的参与等。     

法益抑或财产权利?——《民法典》规定的"数据"的法律性质认定

《民法典》关于"数据"的规定是其对大数据时代的响应,彰显了《民法典》的时代性与前瞻性,具有重要的价值宣示功能.然而,《民法典》对其具体意涵、法律性质等均未明确,无法为数据要素领域的后续规则建构提供切实指引.长远观之,这无疑将阻滞我国数据产业的发展.鉴于《民法典》采取了"个人信息"与"数据"二分模式,可以推知其规定的"数据"仅指具有财产属性的市场主体数据而非主要体现人格利益的个人数据.在此基础上,可以通过利益成权的理论正当性、受保护利益的独立性和利益成权的现实影响三个标准考察《民法典》规定的"数据"在法律性质上是权利还是法益.洛克劳动理论证成了市场主体数据成权的理论正当性;数据条款保护的利益具有区别于其他接近利益的独立性;市场主体数据成权将积极助推我国数据产业发展.因此,《民法典》规定的"数据"应当被认定为财产权利而非法益.     

刑事司法中的数据安全保护问题研究

刑事司法中海量收集使用数据必然带来数据安全保护的问题,现有法律对于此问题的规定存在不足,新出台的数据安全法对于刑事司法中的数据安全保护之规定亦过于粗疏,加之司法信息化加剧了刑事司法中的数据安全风险,有必要予以充分关注.刑事司法中应当以保障公民权利为数据安全保护的重要价值取向,确定国家承担数据安全保护的主要义务,进而对刑事诉讼全程进行数据安全监管.具体而言,应当通过建立数据分类和分级制度、尊重和发挥数据主体在数据安全保护中的作用、明确数据控制者和处理者的数据安全保护职责、将检察机关设置为专门的数据监管机构并赋予其相应职能,从而构建起相对完整的刑事司法领域数据安全保护制度.     

论数据安全的客体

数据安全与网络安全以及个人信息保护等法律制度相互关联，数据与信息、安全与保护等法律概念相互杂糅，导致数据安全客体范围不清晰。从数据的价值实现、数据安全的独立性、数据安全保护机制及数据利用方式等四个维度，可以辨析出数据安全客体应当是：动态开发利用中的数据、电子记录方式的数据、“风险—控制”社会安全管理意义上的数据、适用算法处理的集合性数据。在有关数据安全的立法、执法和司法活动中，应清晰辨别数据安全的客体，才能将数据安全制度落到实处，促进数字经济健康发展。